博客

1.1.1 信息与信息安全

1. 信息相关概念

• 信息是通过施加于数据上的某些约定而赋予这些数据的特定含义。
• 信息安全——指通过采用计算机硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施，来保护信息在神秘周期内的产生、传输、交换、处理和存储的各个环节中、信息的机密性、完整性和可用性不被破坏。
• 信息安全的目的——让信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或恶意的原因而遭到破坏、更改、泄露，系统连续可靠的正常运行，信息服务不中断。

2. 信息安全发展历程

（一）20世纪初期通信保密阶段

数据零散的位于不同的地点，安全仅限于保证信息的物理安全以及通过密码解决通信安全的保密问题。

（二）20世纪60年代后信息安全阶段

• 保密性：确保信息只能由那些被授权使用的人获取（对抗对手被动攻击）
• 完整性：保护信息及其处理方法的准确性和完整性（对抗对手主动攻击）
• 可用性：确保被授权使用的人在需要时可以获取信息和使用相关的资产
• 可控性：对信息和信息系统实施安全监控管理，防止非法利用信息和信息系统
• 不可否认性：防止信息源用户对他发送的信息事后不承认，或者用户接收到信息之后不认账

（三）20世纪80年代信息保障阶段

从多角度考虑信息安全问题

• 从业务入手
• 从安全体系入手
• 从管理入手

3. 造成攻击事件的原因

（一）信息系统复杂性

• 过程复杂：从设计者的角度看，在设计时的安全性相对于易用性、执行性程度等因素被放在次要位置，由于人性的弱点和设计方法学的不完善，信息系统总会存在漏洞。
• 结构复杂：信息系统可能存在多种终端和数据服务，在管理网络安全的时候必须要考虑所有终端和数据类型。
• 应用复杂：在设计网络拓扑时优先考虑网络冗余和网络稳定性，可能会加入冗余链路和备份设备，网络的应用复杂也使得安全问题无法快速定位和解决。

（二）人为和环境

主要包括环境威胁和人为破坏。

4. 建设信息安全的意义

• 信息化越重要，信息安全越重要
• 信息安全适用于众多技术领域

1.1.2信息安全风险与管理

1. 信息安全涉及的风险

物理风险

• 色备防盗、防毁
• 链路老化、人为破坏、被动物咬断
• 网络设备自身故障
• 停电导致网络设备无法工作
• 机房电磁辐射

网络风险

• 网络系统中存在不同安全级别，需要将不同安全级别设备放入相应区域，并将不信任域和安全域隔离开

系统风险

• 数据库系统配置安全
• 安全数据库
• 系统中运行的服务安全

信息风险

• 信息储存安全

  包括针对于服务器磁盘的保护、存储信息加密防盗

• 信息传输安全

  在总部和下属机构之间传输业务信息时可能会被攻击者窃取，攻击者窃取信息后篡改成错误消息发送出去

• 信息访问安全

  远程用户访问访问公司内部网络资源时，出现非法用户仿冒合法用户

应用风险

• 网络病毒
• 操作系统安全
• 电子邮件应用安全
• WEB、DNS、FTP服务安全
• 业务应用软件安全

管理风险

• 国家政策
  • 国家是否制定了健全的信息安全法规
  • 国家是否成立了专门的安全机构来管理信息安全
• 企业制度
  • 企业制定安全管理规则、责权分明的机房管理机制
  • 企业可以考虑建立自己的安全管理机构
• 管理体系
  • 明确有效的安全策略、高素质的安全管理人员
  • 行之有效益的监督检查体系，保证规章制度被顺利执行

2. 信息安全管理的重要性

​ 3分技术 7分管理