信息安全基础概念
在数据通信的过程中,由于各种不安全因素将会导致信息泄密、信息不完整不可用等问题,因此在通信过程中必须要保证信息安全。
本笔记描述了信息安全的基本概念以及如何保障信息安全,列举了信息安全风险和如何评估规避这些风险。主要用于学习考试使用,若有侵权,请第一时间告知作者删除。
信息
信息是通过施加于数据上的某些约定而赋予这些数据的特定含义。
---《ISO/IEC IT安全管理指南(GMITS)》
一般意义上,信息可以理解为消息、信号、数据、情报或知识。它可以以多种形式存在,可以是信息设施中存储与处理的数据、程序;可以是打印或书写出来的论文、电子邮件、设计图纸、业务方案;也可以是显示在胶片等载体或表达在会话中的消息。
信息安全
信息安全是指通过采用计算机软硬件技术 、网络技术、密钥技术等安全技术和各种组织管理措施,来保护信息在其神秘周期内的产生、传输、交换、处理和存储的各个环节中,信息的机密性、完整性和可用性不被破坏。
假如信息资产遭到损害,将会影响:
信息安全的任务,就是要采取措施(技术手段及有效管理)让这些信息资产免遭威胁。
信息安全的目的,就是让信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。
信息安全发展历程
(1)信息保密阶段
在通信保密阶段中通信技术还不发达,数据只是零散地位于不同的地点,信息系统的安全仅限于保证信息的物理安全以及通过密码(主要是序列密码)解决通信安全的保密问题。把信息安置在相对安全的地点,不容许非授权用户接近,就基本可以保证数据的安全性了。
(2)信息安全阶段
从二十世纪90年代开始,由于互联网技术的飞速发展,信息无论是企业内部还是外部都得到了极大的开放,而由此产生的信息安全问题跨越了时间和空间,信息安全的焦点已经从传统的保密性、完整性和可用性三个原则衍生为诸如可控性、不可否认性等其他的原则和目标。
①保密性(Confidentiality):确保信息只能由那些被授权使用的人获取
②完整性(Integrity):保护信息及其处理方法的准确性和完整性
③可用性(Availability) :确保被授权使用人在需要时可以获取信息和使用相关的资产
④可控性(Controllability):对信息和信息系统实施安全监控管理,防止非法利用信息和信息系统
⑤不可否认性(Non-Repudiation):防止信息源用户对他发送的信息事后不承认,或者用户接收到信息之后不认帐。
信息安全涉及到信息的保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、可控性(Controllability)和不可否认性(Non-Repudiation)。
综合起来说,就是要保障电子信息的有效性。保密性就是对抗对手的被动攻击,保证信息不泄漏给未经授权的人。完整性就是对抗对手主动攻击,防止信息被未经授权的人篡改。可用性就是保证信息及信息系统确实为授权使用者所用。可控性就是对信息及信息系统实施安全监控。
(3)信息保障阶段
进入面向业务的安全保障阶段,从多角度来考虑信息的安全问题。
建设信息安全的意义
信息安全的分类从大的层面上定义了数据的保密性,完整性,可用性,可控性和不可抵赖性。针对于网络安全的层面,考虑的需求分类不一样,还包括一些具体层次的要求,比如物理的安全性,身份鉴别,审计与检测等的要求。
C4I系统是指指挥、控制、通讯、电脑和情报的集成,多被应用在军事领域。
信息安全涉及的风险
(1)物理风险
(2)信息安全
信息存储安全包括针对于服务器磁盘的保护,存储信息加密防盗等。
①信息风险 - 信息传输安全
在总部和下属机构之间传输企业业务信息时可能会被攻击者窃取,攻击者窃取信息后篡改成错误消息发送出去。
②信息风险 - 信息访问安全
在远程用户访问公司内部网络资源时,出现非法用户仿冒合法用户。
(3)系统安全
(4)应用安全
(5)网络风险
安全区域:在网络系统中往往存在不同安全级别的区域,例如高安全级别的服务器区和低安全级别的办公区域,我们需要将不同安全级别的设备放入相应区域,并将不信任域和安全域隔离开。
(6)管理风险
确保信息系统是否存在管理风险,可以从以下几个方面讨论:
信息安全管理的重要性
据统计,企业信息收到损失的70%是由于内部员工的疏忽或有意泄密造成的。
安全技术知识信息安全控制的手段,要让安全技术发挥应有的作用,必然要有适当的管理程序的支持。
信息安全管理发展现状
小结
信息安全事件频发的原因是存在漏洞病毒后门程序等安全攻击手段( × )