[NISP一级] 1.1 信息安全与网络空间安全

1 信息与信息安全

1.1 什么是信息

1.1.1 关于信息的定义

• 有价值的内容——ISO9000
• 通信系统传输和处理的对象，一般指时间或资料数据——现代汉语词典

1.1.2 信息的存在形式

• 信息是无形的
• 借助媒体以多种形式存在
• 存储在计算机、磁带、纸张等介质中
• 记忆在人的大脑里

1.2 信息的价值

• 信息都是有价值的
• 对于个人来说，最有价值的信息就是个人隐私
• 对于组织机构来说，借助媒体存在的信息就是组织的信息资产，例如：银行中的数据、客户资料、OA中的数据……
• 信息资产才是企业最有价值的资产

1.3 什么是信息安全

• 国际标准化组织对信息安全定义
• 为数据处理系统建立和采取技术、管理的安全保护，保护计算机硬件、软件、数据不因偶然或恶意的原因而收到破坏、更改、泄漏。
• 进不来、拿不走、改不了、看不懂、跑不了、可查询

1.4 信息安全问题

• 狭义的信息安全概念
• 建立在以IT技术为基础上的安全范畴
• 也被成为计算机安全或网络安全
• 广义的信息安全问题
• 一个跨学科领域的安全问题
• 安全的根本目的是保证组织业务可持续运行
• 信息安全应该建立在整个生命周期中所关联的人、事、物的基础上，综合考虑人、技术、管理和过程控制，使得信息安全不是一个局部而是一个整体

1.5 信息安全问题的根源

• 内因：信心系统复杂性导致漏洞的存在不可避免：过程复杂、结果复杂和应用复杂。
• 外因：威胁与破坏
  • 人为因素：员工误操作、外部攻击（个人、团体、网络战部队）
  • 环境因素：雷击、地震、火灾、洪水等自然灾害和极端天气

2. 信息安全属性

2.1 信息安全基本目标

• 信息安全基本属性（CIA三元组）：机密性、完整性、可用性
• 信息安全其他属性：真实性、可问责性、不可否认性、可靠性、可控制性

2.2 信息安全基本属性

2.2.1 机密性（也称保密性）

• 机密性的定义：防止信息遭到有意或无意的非授权泄漏
• 信息的机密性应得到应有的重视：国家秘密、商业机密、个人隐私
• 机密保护需要考虑的问题
  • 信息系统的使用是否有控制，而不是任何人都可接触到系统？
  • 信息系统中的数据是否都有表示，说明重要程度？
  • 信息系统中的数据访问是否有权限控制？
  • 信息系统中的数据访问是否有记录？

2.2.2 完整性

• 完整性的定义：保证信息系统中的数据处于完整状态，没有遭受篡改和破坏。三防：防篡改、防删除、防插入

• 完整性保护需要考虑的问题

  • 什么样的数据可能被篡改？
  • 被篡改的数据可能产生什么样的影响？影响到信息系统运转、影响到单位名誉、影响到个人……
  • 对数据是都划分清了不同的权限？
  • 对数据的操作是否有记录？

2.2.3 可用性

• 可用性的定义：确保数据和系统在需要时可用
• 可用性需要考虑的问题
  • 如何确保信息系统随时能提供需要的功能
  • 如果系统由于某种原因无法使用，如何应对？修复？备份？手工接替？

2.3 信息安全其他属性

2.3.1 真实性

• 真实性的定义：实体是他所声称的属性，也可以理解为能对信息的来源进行判断，能对伪造来源的信息予以鉴别。
• 真实性需要考虑的问题
  • 信息的来源是否可靠，来源可靠才能确保提供的数据可靠。
  • 是否能对伪造的信息进行鉴别。

2.3.2 可问责性

• 可问责性的定义：可问责性也称为可审核性，作为治理的一个方面，问责是承认和承担行为、产品、决策和政策的责任，包括在角色或就业岗位范围内的行政，治理和实施以及报告、解释并对所造成的后果负责。
• 可问责性需要考虑的问题
  • 是否明确相关责任
  • 对数据的操作是否能记录以便于审核责任

2.3.3 不可否认性

• 不可否认性的定义：证明要求保护的时间或动作以及发起实体的行为。在法律上、不可否认意味这交易的一方不能拒绝已经接收到交易，另一方也不能拒绝已经发送的交易。
• 不可否认性需要考虑的问题
  • 如何证明行为的发生
  • 如何证明行为的发生不可被伪造

2.3.4 可靠性

• 可靠性的定义：可靠性是信息系统能够在规定条件下，规定时间内完成规定功能的特性。
• 可靠性需要考虑的问题
  • 对可靠性要求的程度

2.3.5 可控制性

3. 网络安全发展阶段

3.1 通信安全

• 主要时间：20世纪40年代～70年代
• 主要关注：传输过程中的数据保护
• 安全威胁：搭线窃听、密码学分析
• 核心思想：通过密码技术解决通信保密，保证数据的保密性和完整性
• 安全措施：加密

3.2 计算机安全

• 主要时间：20世纪70～90年代
• 主要关注：数据处理和存储时的数据保护
• 安全威胁：非法访问、恶意代码、脆弱口令等
• 核心思想：防御、检查和减小计算机系统（包括软件和硬件）用户（授权和未授权用户）执行的未授权活动所造成的后果。
• 安全措施：通过操作系统的访问控制技术来防止非授权用户的访问。

3.3 信息系统安全

• 主要时间：20世纪90年代后
• 主要关注：信息系统整体安全
• 安全威胁：网络入侵、病毒破坏、信息对抗等
• 核心思想：重点在于保护比“数据”更精炼的“信息”
• 安全措施：防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等。

3.4 信息安全保障

3.4.1 信息安全保障概念

• 1996年，美国国防部DODD 5-3600.1首次提出信息安全保障概念：关注信息、信息系统对组织业务及使命的保障。如今信息安全概念延伸，实现全面安全

3.4.2 我国信息安全保障工作

• 总体要求：积极防御、综合防范
• 主要原则：技术与管理并重，正确处理安全与发展的关系
• 三个支柱：技术、法律法规、管理

3.4.3 信息系统安全保障

• 生命周期、保障要素、安全特征

把信息系统安全从技术扩展到管理，从静态扩展到动态，通过技术、管理、工程等措施的总和融合至信息化中，形成对信息、信息系统乃至业务使命的保障

4. 网络空间安全保障

4.1 网络空间安全

• 背景
  • 信息化发展已经进入到网络空间阶段
  • 互联网已经将传统的虚拟世界与物理世界相互连接，形成网络空间
  • 网络空间成为继海洋、陆地、天空、外太空之外的第五空间
  • 2008年，美国第54号总统令对网络空间（Cyberspace）正式定义
  • 2009年，网络空间政策评估发布，新技术的出现使得网络空间安全问题更加复杂
  • 2010年，网络空间安全纳入美国国家安全
  • 2011年，网络空间纳入美军作战空间
  • 新技术领域融合带来新的安全风险：工业控制系统、“云大移物智”（云计算、大数据、物联网、移动互联网、人工智能）
  • 核心思想：强调威慑概念

  将防御、威慑和利用结合称三位一体的网络空间安全保障

4.2 网络空间安全上升到国家安全高度

• 没有网络安全就没有国家安全
• 万物互联时代，还有什么是不在线的？
• 攻击者已经无处不在，因为互联网“国家”太容易越过。

4.3 网络空间安全影响每一企业，每一个人

• 业务对信息系统的以来程度增加
• 想象以下没有令信息系统，业务运转如何、我们的生活会变得如何？
• 事件
  • 数据泄漏事件平凡发生
  • 委内瑞拉全国大停电这样的事情也可能发生在中国

4.4 网络站已经从概念变成了现实

• 网络战：一个民族、国家为了造成损害或破坏而渗透另一个国家的计算机或网络的行动。网络战作为国家整体军事战略的一个组成部分已经成为趋势。

4.5 国家网络空间安全战略

• 2016年12越，我国发布了《国家网络空间安全战略》，提出网络空间的发展是机遇也是挑战。
  • 网络渗透危害政治安全
  • 网络攻击威胁经济安全
  • 网络有害信息寝室文化安全
  • 网络恐怖和违法犯罪破坏社会安全
  • 网络空间的国际竞争方兴未艾
  • 网络空间机遇和挑战并存，机遇大于挑战

4.6 网络空间安全战略

• 目标：实现建设网络强国
• 强调：维护网络空间主权、和平利用网络空间、依法治理网络空间、统筹网络安全与发展
• 任务：
  • 捍卫网络空间主权、
  • 坚决维护国家安全、
  • 保护关键信息基础建设、
  • 加强网络文化建设、
  • 打击网络恐怖和违法犯罪、
  • 完善网络治理体系、
  • 夯实网络安全基础、
  • 提升网络空间防护能力、
  • 强化网络空间国际合作

4.7 国家关键基础信息设施

• 什么是关键信息基础设施
  • 其关系国家安全、国计民生，一旦数据泄漏、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的基础设施
• 哪些是关键信息基础设施（关基）
  • 基础信息网络、能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统，重要互联网应用系统

标签：1.1,信息系统,信息安全,信息,安全,网络空间,NISP,数据
来源： https://blog.csdn.net/qq_40785722/article/details/123141483