信息安全的概述
信息安全概述
一、信息与信息安全
1、信息与信息技术
◆信息奠基人香浓认为:信息是用来消除随机不确定性的东西。
◆信息是食物运动状态或存在方式的不确定性的描述。
◆信息是具体的,并且可以被人(生物、机器等)所感知、提取、识别、可以被传递、储存、变换、处理、显示、检索和利用。
信息来源于物质,又不是物质本身;它从物质的运动中产生出来,又可以脱离源物质而寄生于媒体物质,相对独立地存在。
◆信息的功能:反应事物属性、状态、结构、相互联系以及与外部环境的互动关系,减少事物的不确定性。
◆信息的表达:信息本身是无形的,借助于信息媒体以多种形式存在或传播,它可以存储在计算机、磁带、纸张等介质中,也可以以记忆在人的大脑里,还可以通过网络等方式进行传播。
◆信息的基本属性
1、信息具有普遍性和客观性。
2、信息具有实质性和传递性。
3、信息具有可扩散性和可扩充性。
4、信息具有中介性和共享性。
5、信息具有差异性和转换性。
6、信息具有时效性和增值性。
7、信息具有可压缩性。
◆ 信息不同于消息,消息是信息的外壳,信息则是消息的内核,也可以说:消息是信息的笼统概念,信息则是消息的精确概念。
◆信息不同于数据,数据是信息的符号表示,或称载体;信息是数据的内涵,是数据的语义解释。数据是信息存在的一种储存形式,只有通过解释或处理才能成为有用的信息。数据可用不同的形式表示,而信息不会随数据不同的形式而改变。
◆信息技术(Information Technology,缩写IT),是主要用于管理和处理信息所采用的各种技术的总称。
◆它主要是应用计算机科学和通信技术来设计、开发、安装和实施信息系统及应用软件。其中,信息处理是获取信息并对他进行变换,使之成为有用信息并发布出去的过程,主要包括信息的获取、储存、加工、发布和表示等几个环节。目前,信息收集和处理已经成为人们社会工作的一个重要组成部分。
◆信息技术包括生产和应用两个方面
◆信息技术的生产主要体现在信息技术产业本身,包括计算机软件、计算机硬件、设备制造、微电子电路等;
◆信息技术应用主要体现在信息技术的扩散上,包括信息服务、信息管理系统等。
◆微电子、通信、计算机和网络是信息系统的核心技术,其发展进程大致可分为以下四个阶段:
◆第一阶段:电讯技术的发明
信息技术的起源可以追溯到19世纪30年代,其标志性事件是随着电磁技术的发展,出现了电话电报。人类远程通信手段有了飞跃,开始进入新时代。这一时期的突出成果包括:1835年,美国人莫尔斯( Morse)发明电报;1837年,莫尔斯电磁式有线电报问世;1886年,马可尼发明无线电报机;1876年,贝尔(Bell)发明电话机;1906年,美国物理学家费森登成功研究出无线电广播;1912年美国Emerson公司制造出世界上第一台收音机;1925年,约翰・贝德发明了世界上第一台电视机。这些技术成果统称为电讯技术,它们为信息技术的进一步发展奠定了基础。
◆第二阶段:计算机技术的发展
进入20世纪30年代,计算机理论与技术迅速发展,信息技术进入计算机阶段。
20世纪50年代末,第一代电子管计算机出现,用于军事科研信息处理;
60年代中期,第二代晶体管计算机逐渐在民用企业中使用;
60年代末,集成电路( Integrated Circuit,IC)和大规模集成电路计算机接踵而至,并开始在社会普及应用;
70年代,随着个人计算机的普及,人们开始使用计算机处理各种业务。计算机技术的发展和应用加快了人类奔向信息时代的步伐。
◆第三阶段:互联网的使用
20世纪60年代末,美国出现了第一个用于军事目的的计算机网络 ARPANET.。ARPANET的重要意义在于它使连接到网络上的计算机能够相互交流信息。
20世纪90年代,计算机网络发展成为全球性网络——因特网(Internet),网络技术和网络应用迅猛发展。此外,这一阶段电话、计算机等设备也实现了互联互通,信息和数据的传输更加容易。信息技术在这一阶段的飞速发展,深刻地影响着人们的工作和生活方式。
◆第四阶段:网络社会
20世纪末,以 Internet为核心的信息技术进一步发展,人们的工作、生活和学习越来越离不开网络,国家的经济、社会治理也与网络密不可分。
高度发展的信息网络,一方面通过现实社会投射,构成了虚拟“网络社会”;另一方面通过网络信息渗透,融合了各种已存在的社会实体网络,使“网络社会”成为整个现实社会的结构形态。
至此,信息技术步入一个崭新的阶段一一网络社会阶段。
在这一阶段,云计算、物联网和大数据技术进入人们的生活,信息和数据的保存、传输更加容易。
2、信息安全
◆所谓信息安全就是关注信息本身的安全,而不管是否应用了计算机作为信息处理的手段。
◆信息安全的任务是保护信息财产,以防止偶然的或未授权者对信息的恶意泄露、修改和破坏,从而导致信息的不可靠或无法处理等。这样可以使得我们在最大限度地利用信息为我们服务的同时而不招致损失或使损失最小。
◆信息安全向题目前已经涉及到人们日常生活的各个方面。
◆建立在网络基础之上的现代信息系统,信息安全定义较为明确,那就是:保护信息系统的硬件、软件及相关数据
使之不因为偶然戓者恶意侵犯而遭受破坏、更改及泄露保证信息系统能够连续、可靠、正常地运行。
◆在商业和经济领域,信息安全主要强调的是消减并控制风险,保持业务操作的连续性,并将风险造成的损失和影响降低到最低程度。
信息系统安全的四个层面
◆信息设备的安全是信息系统安全的首要问题。
◆设备的稳定性;
◆ 设备的可靠性
◆设备的可用性
◆设备:硬设备,软设备
◆数据安全:
◆数据的秘密性(Secrecy);
◆数据的真实性(Authenticity);
◆数据的完整性(Integrity);
◆IBM公司的定义:釆取措施确保数据兔受未授权的泄露、篡改和毀坏。
◆内容安全是信息安全在法律、政治、道德层次上的要求。
◆政治上健康
◆符合国家法律法规
◆符合中华民族道德规范
◆行为安全是信息安全的终极目的。
◆行为的秘密性
◆行为的完整性
◆行为的可控性
◆符合哲学上,实践是检验真理的唯一标准的原理。
二、信息安全威胁
1、我国面临的信息安全威胁
◆国家威胁
◆一是恐怖组织通过网络大肆发布恐怖信息,渲染暴力活动;
◆二是邪教组织通过网络极力宣扬种族歧视,煽动民族仇恨,破坏民族团结,宣扬邪教理念,破坏国家宗教政策,煽动社会不满情绪,甚至暴力活动;
◆三是西方势力通过网络传播他们的意识形态、价值观念和生活方式,进行文化渗透、侵略;
◆四是其他国家情报机构收集我国政治、军事、经济等情报信息。
◆组织威胁
主要针对企业或组织受保护的财产、专有技术。具体表现为:一是网络恐怖分子破坏公共秩序、制造社会混乱等;
二是通过工业间谍掠夺竞争优势、打击竞争对手,使企业或组织蒙受经济或声誉损失。
◆个人威助
◆一是对知识产权的威胁
◆二是侵犯、破坏个人计算机系统中的信息,通过互联网对财产权进行侵犯,对E-mail系统进行破坏,影响人们正常的工作、学习和生活。
2、信息安全问题产生的根源
◆內因
◆系统自身的脆弜性
◆外因
◆来自恶意攻击者的攻击
◆来自自然灾害的破坏
内在复杂-结构
1、工作站中存在信息数据
2、员工
3、移动介质
4、网络中其他系统
5、网络中其他资源
6、访问 Internet
7、访问其他局域网
8、到 Internet的其他路由
9、电话和调制解调器
10、开放的网络端口
11、远程用户
12、厂商和合同方的访问访问外部资源
13、公共信息服务
14、运行维护环境
安全问题根源一内因示例
◆复杂性导致脆弱性
◆凡是人做的东西总会存在问题
安全问题根源一外因示例
◆来自大自然的威胁
◆雷击、地震、火灾和洪水等自然灾害
◆电力、空调等被电磁脉冲破坏
◆信息系统机房和设备遭受破坏
三、信息安全发展阶段与形势
1、信息安全的发展阶段
◆通信安全
COMSEC
・Communication Security
・20世纪,40年代~70年代
核心思想
・通过密码技术解决通信保密,保证数据的保密性和完整性主要关注传输过程中的数据保护
安全威胁
・搭线窃听、密码学分析
安全措施
・加密
◆计算机安全
COMPUSEC
・Computer Security
・20世纪,70-90年代
核心思想
・确保信息系统的保密性、完整性和可用性
安全威胁
・非法访问、恶意代码、脆弱口令等
安全措施
・安全操作系统设计技术(TCB)
◆信息系统安全
INFOSEC
・Information Systems Security
・20世纪,90年代后
核心思想
・确保信息在存储、处理和传输过程中免受偶然或恶意的泄密、非法访问或破坏
安全威胁
・网络入侵、病毒破坏、信息对抗等
安全措施
・防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等
◆信息安全保障
IA
・Information Assurance
・今天,将来
核心思想
・动态安全,保障信息系统的业务正常、稳定的运行
・综合技术、管理、过程、人员
安全威胁
・黑客、恐怖分子、信息战、自然灾难、电力中断等
安全措施
・技术安全保障体系、安全管理体系、人员意识/培训/教育
2、我国信息安全形势
◆2013年,“棱镜门”事件在全球持续发酵隐藏在互联网背后的国家力量和无所不在的“监控”之手,引起论哗然和网络空间的连锁反应。全球范围内陡然上升的网络攻击威胁,导致各国对信息安全的重视程度急副提高,越来越多的国家将信息安全列为国家核心安全利益。网络安全进一步成为大国竞争的战略基点,较量和博弈逐步深化升级。
◆我国信息安全环境日趋复杂,网络安全问题对互联网的健康发展带来日益严峻的挑战网络安全事件的影响力和破坏程度不断扩大。
主要体现在以下几个方面
◆针对网络信息的破坏活动日益严重,利用网络进行违法犯罪案件逐年上升。
◆安全漏洞和安全隐患增多,对信息安全构成严重威胁。
◆黑客攻击、恶意代码对重要信息系统安全造成严重景影响。
四、信息安全与保障
1、信息安全保障含义
信息安全保障是指采用技术、管理等综合手段,保护信息和信息系统能够安全运行的防护性行为。
它通过保证信息和信息系统的可用性、完整性、机密性和不可否认性来保护并防御信息和信息系统的操作,包括通过综合保护、检测和响应等能力为信息系统提供修复。
◆防止信息泄露、修改和破坏
◆检测入侵行为,计划和部署针对入侵行为的防御措施
◆采用安全措施和容错机制在遭受攻击的情况下保证机密性、私密性、完整性、抗抵赖性(不可否认性)、真实性、可用性和可靠性
◆修复信息和信息系统所遭受的破坏
信息安全保障是一种立体的保障
与信息安全、信息系统的区别
◆信息安全保障的概念更加广泛。
◆信息安全的重点是保护和防御,而安全保障的重点是保护、检测和响应综合
◆信息安全不太关注检测和响应,但是信息安全保障非常关注这两点
◆攻击后的修复不在传统信息安全概念的范围之内,但是它是信息安全保障的重要组成部分。
信息安全的目的是为了防止攻击的发生,而信息安全保障的目的是为了保证信息系统始终能保证维持特定水平的可用性、完整性、真实性、机密性和抗抵赖性。
2、信息安全保障模型
◆信息安全保障模型能准确描述安全的重要方面与系统行为的关系,提高对成功实现关键安全需求的理解层次,计划-执行-检查-改进( Plan Do Check Act,PDCA)模型和信息保障技术框架是信息安全管理和信息安全保障技术实施过程遵循的方法和思想。
◆防护-检测-响应( Protection Detection Response,PDR)模型
◆策略-防护-检测-响应( Policy Protection Detection Response, P2DR/PPDR)模型
◆防护-检测-响应( Protection Detection Response,PDR)模型的基本思想是承认信息系统中存在漏洞,正视系统面临的威胁,通过适度防护并加强检测,落实安全事件响应,建立威胁源威慑,保障系统安全。该模型认为,任何安全防护措施都是基于时间的,超过该时间段,这种防护措施就可能被攻破。PDR模型直观、实用,但对系统的安隐患和安全措施采取相对团定假设前提,难以适应网络安全环境的快速变化
P2DR/PPDR,即策略-防护-检测-响应。该模型的核心是信息系统所有防护、检测和响应都是依据安全策略实施的。
3、信息安全保障的作用
◆由于网络信息传播的开放性、跨界性、即时性、交互性等特点,互联网在为广大民众提供越来越多有益信息及其他信息服务的同时,也存在着一些虚假和错误导向的信息,以及直接危害公众利益、民族团结、国家统一、社会稳定和国家安全的违法与有害信息及活动。枃建更加安全可靠更加有用、更加可信的互联网,服务于建设小康社会和构建和谐社会,是我国加强信息安全保障的一个重要任务
◆在实施国家信息化发展战略中,要高度重视信息安全保障体系建设,实现信息化与信息安全协调发展。
◆国家基础信息网络、重要信息系统以及政府、企业和公民的信息活动的安全若不能得到切实保障,信息化带来的巨大经济与社会效益就难以有效发挥,信息化发展也会受到严重制约
◆加强信息安全保障的目的,就是要保障和促进信息化发展,而不是以牺牲信息化发展来换取信息安全
◆采取不上网、不共享、不互联互通等传统封闭的方式保安全,会严重影响甚至阻碍信息化发展,也不可能从根本上解决信息安全保障问题。
◆只有继续大力推动信息化建设,全面提高信息化发展水平,才能为应对各种信息安全问题提供强有力的物质和技术保障。
◆全面推进信息化,只有高度重视信息安全保障建设,才能形成健康有序、安全稳定的信息网络秩序,才能确保信息化进程稳步、快速地发展。
信息安全保障对国家的重要作用
◆构建更加安全可靠、更加有用、更加可信的互联网,服务于建设小康社会和构建和谐社会,是我国加强信息安全保障的一个重要任务。
◆由于网络信息传播的开放性、跨界性、即时性、交互性等特点,互联网在为广大民众提供和获取越来越多的有用
有益的新闻信息及其他信息服务的同时,也存在着一些虚假和错误导向的新闻信息,以及直接危害公众利益、民族
团结、国家统一、社会稳定和国家安全的违法与有害信息及活动。
◆为有效开展互联网治理工作,我国政府提出了互联网管理的基本原则,即积极促进互联网发展,并依法进行管理,鼓励行业自律和公众监督,旨在形成一个可信和安全的互联网信息空间。
五、信息系统安全保障
1、信息系统
◆信息系统是具有集成性的系统,每一个组织中信息流动的总和构成一个信息系统。信息系统是根据一定的需要进行输入、系统控制、数据处理、数据存储与输出等活动而涉及到的所有因素的综合体。
2、信息系统安全保障的含义
◆信息系统安全保障是在信息系统的整个生命周期中,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可用性,降低安全风险到可接受的程度,从而保障系统实现组织机构的使命。
信息系统安全保障相关概念和关系
3、信息系统安全模型
浙公网安备 33010602011771号