信息安全概述
1.1信息与信息安全
1.1.1信息与信息技术
香农认为:信息是用来消除随机不确定性的东西。
信息的定义
信息是有意义的数据,它具有一定价值,是一种需要适当保护的资产。
数据是反映客观事物属性的记录,是信息的具体表现形式。
数据经过加工处理之后就变成了信息;而信息需要经过数字化处理转变成数据才能存储和传输。
信息的功能
反映事物内部属性、状态、结构、相互联系以及与外部环境的互动关系,减少事物的不确定性。
信息的表达
信息本身是无形的,借助于信息媒体以多种形式存在或传播。它可以存储在计算机、磁带、纸张等介质中,也可以记忆在人的大脑里,还可以通过网络等方式进行传播。
信息(内核)与消息(外壳)
信息不同于消息,
消息是信息的外壳,
信息则是消息的内核。
也可以说:消息是信息的笼统概念,信息则是消息的精确概念
信息(内涵)与数据(载体)
信息不同于数据
数据是信息的符号表示,或称载体。-->客观存在
信息是数据的内涵,是数据的语义解释。
数据是信息存在的一种形式,只有通过解释或处理才能成为有用的信息。
数据可用不同的形式表示,而信息不会随数据不同的形式而改变。
信息技术
简称(Information Technology,IT),是用于管理和处理信息所采用的各种技术的总称。
主要包括两方面:生产和应用。
大致分为4个阶段:
①电讯技术的发明(19世纪30年代)
②计算机技术的发展(20世纪30年代)
③互联网的使用(20世纪60年代末)
④网络社会(20世纪末)
1.1.2信息安全
信息安全一般指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意原因的影响而遭到破坏、更改、泄露,系统连续性可靠正常地运行,信息服务不中断,最终实现业务连续性。
信息安全的根本目的是使信息不受内部、外部、自然等因素的威胁。
所谓信息安全就是关注信息本身的安全,而不管是否应用了计算机作为信息处理的手段。
我国信息安全标准化委员会发布的GB/T 25069-2010《信息安全技术术语》中,信息安全是指保持、维护信息的保密性、完整性和可用性,也可包括真实性、可核查性、抗抵赖性和可靠性等性质。
信息安全的目标
保证信息上述安全属性得到保持,不被破坏,从而对组织业务运行能力提供支撑。
信息安全的任务
保护信息资产(信息及信息系统)免受未经授权的访问使用、披露、破坏、修改、查看、记录及销毁。
信息安全的属性
分为基本属性和其他属性。
基本属性包括:
①完整性
②机密性
③可用性
其他属性包括:
①真实性
②可控性
③不可否认性
消息层次看:机密性、完整性、不可否认性。
机密性
机密性也称保密性,控制信息资源的开放范围,确保信息在存储、使用、传输过程中不会泄露给非授权用户、实体和进程,或被其利用。
完整性
确保信息在存储、使用、传输过程中保持未经授权不能改变的特性,即对抗主动攻击,保持数据一致,防止数据被非法用户修改和破坏。
不可否认性
又称抗抵赖性,即建立有效的责任机制,防止用户否认其发送信息的行为和信息内容。
从网络层次看:可用性、可控性。
可用性
确保授权用户、是实体和进程对信息及资源的正常使用不会被不合理拒绝,允许其可靠而及时地访问信息及资源。
可控性
对信息的传播范围及内容具有控制能力,防止非法利用信息和信息系统。
信息安全的特征
相对性
安全是相对的、动态的,没有绝对安全的系统。所以需要及时对系统安全问题进行跟踪处理,定期进行整体安全评估,及时发现问题并加以解决。
时效性
安全不能一劳永逸,需要根据安全风险,及时制定应对策略。
相关性
在更改配置等操作时,需对系统重新进行评估和同步更新安全措施。
不确定性
攻击发起的时间、地点、攻击者和攻击目标都具有不确定性,在制定安全应对措施时,要尽可能考量所有潜在的安全威胁。
复杂性
信息安全是一项系统工程,涉及到安全管理、教育、培训、立法、国际合作等领域。
与传统安全相比,信息安全具有4个鲜明特征
系统性
系统地从技术、管理、工程和标准法规等各层面综合保障的系统安全
动态性
对信息安全不能抱有一劳永逸的思想,应该根据风险的变化,在信息系统的整个生命周期中采取相应的安全措施来控制风险。
无边界性
信息系统安全威胁超越了现实地域和现实行业的限制。
非传统性
与军事安全、政治安全等传统安全相比,信息安全涉及的领域和影响范围十分广泛。
信息系统安全
信息系统安全包括设备安全、数据安全、内容安全、行为安全。
信息设备的安全是信息系统安全的首要问题。
包括稳定性、可靠性和可用性。
设备包括硬设备和软设备。
数据安全
秘密性、真实性、完整性
采取措施确保数据免受未授权的泄露、篡改和破坏。
内容安全
内容安全是信息安全在法律、政治、道德层次上的要求。
行为安全是信息系统安全的终极目标
秘密性、完整性、可控性