NISP-信息安全概述

信息与信息安全

1.1信息与信息技术

信息

信息奠基人香农（C.E.Shannon）认为：信息是用来消除随机不确定性的东西。

信息是事务运动状态或存在方式的不确定性的描述。

信息是具体的，并且可以被传递、储存、变换、处理、显示检索和利用。

信息来源于物质，又不是物质本身；它从物质的运动中生出，又可以脱离源物质而寄生于媒体物质，相对独立地存在。

信息的定义：信息是有意义的数据，它具有一定价值，是一种需要适当保护的资产。数据是反映客观事物属性的记录，是信息的具体表现形式。数据经过加工处理之后，就成为信息；而信息需要经过数字化处理转变成数据才能存储和传输。

信息的功能：反映事物内部属性、状态、结构、相互联系以及于外部环境的互动关系，减少事物的不确定性。

信息的表达：信息本身是无形的，借助于信息媒体以多种形式存在或传播。他可以存储在计算机、磁带、纸张等介质中，也可以记忆在人的大脑里，还可以通过网络等方式进行传播。

信息与消息：信息不同于消息，消息是信息的外壳，信息是消息的内核，也可以说：信息是消息的笼统的概念，信息则是消息的精确概念。

信息与数据：信息不同于数据，数据是信息的符号表示，或称载体；信息是数据的内涵。是数据的语义解释。数据是信息存在的一种形式，只有通过解释或处理才能成为有用信息。数据可用不同的形式表示，而信息不会随着数据的不同而改变。

信息技术

信息技术（Information Technology,IT）,是用于管理和处理信息所采用的各种技术的总称。

主要是利用计算机科学和通信技术来设计、开发、安装和实施信息系统及应用软件。

信息处理是获取信息并对它进行变换，使之成为有用信息并发布出去的过程，主要包括信息的获取、加工、发布和表示等环节。

目前，信息收集和处理已经成为人们社会工作的一个重要组成部分。

信息技术包括生产和应用两个方面

信息技术生产主要体现在信息技术产业本身，包括计算机软件，计算机硬件、设备制造、微电子电路等；

       信息技术应用体现在信息技术的扩散上，包括信息服务、信息管理系统等。

微电子、通信、计算机和网络是信息系统的核心技术，其发展进程大致可以分为四个阶段：第一阶段，电讯技术的发明；第二阶段，计算机技术的发展；第三阶段，互联网的使用；第四阶段，网络社会。

信息技术发展阶段

第一阶段：电讯技术的发明

信息技术的起源可追溯到19世纪20年代，其标志事件是电话电报的出现。

电讯技术新时代

*1835年，美国人莫尔斯（Morse）发明电报

*1837年，莫尔斯电磁式有线电报问世

*1886年，马可尼发明无线电报机

*1876年，贝尔（Bell）发明电话机

*1906年，美国物理学家费森成功研究出无线电广播

*1912年，美国Emerson公司制造出世界上第一台收音机

*1925年，约翰.贝德发明世界上第一台电视机

第二阶段：计算机技术的发展

进入20世纪30年代，计算机理论与技术迅速发展，信息技术进入计算机阶段

20世纪50年代末，第一代电子管计算机出现，用于军事科研信息处理

60年代中期，第二代晶体管计算机逐渐在民用企业中使用

60年代末，集成电路（Integrated Circuit，IC）和大规模集成电路计算机接踵而至，并开始在社会普及

第三阶段：互联网的使用

20世纪60年代末，美国出现了第一个用于军事目的的计算机网络ARPANET。ARPANET的重要意义在于它使连接到网络上的计算机能够互相交流信息。

20世纪90年代，计算机网络发展成为全球性网络-因特网（Internet），网络技术和网络应用迅猛发展。此外，这一阶段电话、计算机等设备也实现了互联互通，信息和数据的传输更加容易。信息技术在这一阶段的飞速发展，深刻地影响着人们的工作和生活方式。

第四阶段：网络社会

20世纪末，以Internet为核心的信息技术进一步发展，人们的工作、生活和学习越来越离不开网络，国家的经济、社会治理也与网络密不可分。

高度发展的信息网络，一方面通过现实社会投影，构成了虚拟“网络社会”；另一方面通过网络信息渗透，融合了各种已存在的社会实体网络，使“网络社会”成为整个现实社会的结构形态。至此，信息技术步入一个崭新的阶段—网络社会阶段

在这一阶段，云计算、物联网和大数据技术进入人们的生活，信息和数据的保存、传输更加容易。

1.2信息安全

信息安全一般指信息系统（包括硬件、软件、数据、人、物理环境及其基础设施）受到保护，不受偶然或者恶意原因的影响而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断，最终实现业务连续性。信息安全的根本目的是使信息不受到内部、外部、自然等因素的威胁。所谓信息安全就是关注信息本身的安全，而不管是否应用了计算机作为信息处理的手段。

在我国信息安全标准化委员会发布的GB/T 25069-2010《信息安全技术术语》中，信息安全是指保持、维持信息的保密性、完整性和可用性，也可包括真实性、可核查性、抗抵赖性和可靠性等性质。

信息安全的目标

保证信息上述安全属性得到保持，不被破坏，从而对组织业务运行能力提供支撑。

信息安全的任务

保护信息资产（信息及信息系统）免受未经授权的访问使用、披露、破坏、修改、查看、记录及销毁。

信息安全的属性

从消息的层次来看，信息安全的属性有：

机密性：机密性也称保密性，控制信息资源的开放范围，确保信息在存储、使用、传输过程中不会泄露给非授权用户、实体和进程，或被其利用；

完整性：确保信息在存储、使用、传输过程中国保持未经授权不能改变的特性，即对抗主动攻击，保持数据一致，防止数据被非法用户修改和破坏；

不可否认性：又称抗抵赖性，即建立有效的责任机制，防止用户否认其发送信息的行为和信息的内容。

从网络的层次来看，信息安全的属性有：

可用性：确保授权用户、实体和进程对信息及资源的正常使用不会被不合理拒绝，允许其可靠而及时地访问信息及资源。

       可控性：对信息地传播范围及内容具有控制能力防止非法利用信息和信息系统。

信息安全的特征

       相对性：安全是相对的、动态的，没有绝对安全的系统。所以需要及时对系统安全问题进行跟踪处理，定期进行整体安全评估，及时发现问题并加以解决

       时效性：安全不能一劳永逸，需要根据安全风险，及时制定应对策略

       相关性：在更改配置等操作时，需要对系统重新进行评估和同步更行安全措施

       不确定性：攻击发起的时间、地点、攻击者和攻击目标都具有不确定性，在制定安全应对措施时，要尽可能考量所有潜在的安全威胁

       复杂性：信息安全是一项系统工程，涉及到安全管理、教育、培训、立法、国际合作等领域。

与传统安全相比，信息安全具有4个鲜明特征

       系统性：系统的从技术、管理、工程和标准法规等各层面综合保障的信息安全。

       动态性：对信息安全不能抱有一劳永逸的思想，应该根据风险的变化，在信息系统的整个生命周期中采取相应的安全措施来控制风险

       无边界性：信息系统安全威胁超越了现实地域和现实行业的限制

       非传统性：与军事安全、政治安全等传统安全相比，信息安全涉及的领域和影响范围十分广泛。

信息安全

信息设备的安全是信息系统安全的首要问题。

       设备的稳定性

       设备的可靠性

       设备的可用性

设备：硬设备，软设备。

数据安全

       数据的秘密性（Secrecy）

       数据的真实性（Authenticity）

       数据的完整性（Intergrity）

IBM公司的定义：采取措施确保数据免受未授权的泄露、篡改和会毁坏。

内容安全是信息安全在法律、政治、道德层次上的要求：

       政治上健康

       符合国家法律法规

       符合中华民族道德规范

行为安全是信息安全的终极目的：

       行为的秘密性

       行为的完整性

       行为的可控性

符合哲学上，实践是检验真理的唯一标准的原理