NISP学习笔记：第一章 信息安全概述

第一章 信息安全概述

1.1 信息与信息安全

1.1.1 信息与信息技术

• 信息是事物运动状态或存在方式的不确定性的描述

• 信息奠基人香农认为：信息是用来消除随机不确定性的东西，不确定性越大的东西信息量越大

• 信息来源于物质，又不是物质本身；它从物质的运动中产生出来，又可以脱离源物质而寄生于媒体物质，相对独立地存在

• 信息的功能：反应事物内部属性、状态、结构、相互联系以及与外部环境的互动关系，减少事物的不确定性

• 信息的表达：信息本身是无形的，借助于信息媒体以多种形式存在或传播。它可以存储在计算机、磁带、纸张等介质中，也可以存在人的大脑里，还可以通过网络等方式进行传播

• 信息的基本属性：

  • 普遍性和客观性
  • 实质性和传递性
  • 可扩散性和可扩充性
  • 中介性和共享性
  • 差异性和转换性
  • 时效性和增值性
  • 可压缩性

• 信息不同于消息，消息是信息的外壳，信息是消息的内核。也就是说，消息是信息的笼统概念，信息则是消息的精确概念

• 信息不同于数据，数据是信息的符号表示，或称载体；信息是数据的内涵，是数据的语义解释。数据是信息存在的一种形式，只有通过解释或处理才能成为有用的信息。数据可用不同的形式表示，而信息不会随数据不同的形式而改变

• 信息技术是用于管理和处理信息所采用的各种技术的总称

• 信息技术包括生产和应用两个方面
  信息技术生产主要体现在信息技术产业本身，包括计算机软件、计算机硬件、设备制造、微电子电路等；
  信息技术应用体现在信息技术的扩散上，包括信息服务、信息管理系统等

• 微电子、通信、计算机和网络是信息系统的核心技术，其发展速度大致可分为以下四个阶段：

  1. 电讯技术的发明（电磁技术的发展催生了电话、电报）
  2. 计算机技术的发展（电子管、晶体管、集成电路、超大规模集成电路计算机）
  3. 互联网的使用（ ARPANET 的诞生催生了 Internet ）
  4. 网络社会（云计算、物联网、大数据进入人们的生活）

1.1.2 信息安全

• 所谓信息安全就是关注信息本身的安全，而不管是否应用了计算机作为信息处理的手段

• 信息安全的任务就是保护信息财产，以防止偶然的或未授权者对信息的恶意泄露、修改和破坏，从而导致信息的不可靠或无法处理等。这样可以使得我们在最大限度地利用信息为我们服务的同时而不招致损失或使损失最小

• 信息安全问题目前已经涉及到人们日常生活的方方面面

• 建立在网络基础之上的现代信息系统，信息安全定义较为明确：

  保护信息系统的硬件、软件及相关数据，使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行

• 在商业和经济领域，信息安全主要强调的是消除并控制风险，保持业务操作的连续性，并将风险造成的损失和影响降低到最低程度

• 信息安全的两个部分：

• 信息系统安全的四个层面：

  • 设备安全：

    信息设备的安全是信息系统安全的首要问题，主要关注：

    • 设备的稳定性
    • 设备的可靠性
    • 设备的可用性

  • 数据安全：

    数据安全是指采取措施确保数据免受未授权的泄露、篡改和破坏，主要关注：

    • 数据的真实性
    • 数据的保密性
    • 数据的完整性

  • 内容安全：

    内容安全是指信息安全在法律、政治、道德层次上的要求，主要关注：

    • 政治上健康
    • 符合国家法律法规
    • 符合中华民族道德规范

  • 行为安全：

    行为安全是信息安全的终极目的，主要关注：

    • 行为的秘密性
    • 行为的完整性
    • 行为的可控性

1.2 信息安全威胁

1.2.1 我国面临的信息安全威胁

• 国家威胁：

  • 恐怖组织通过网络渲染暴力活动
  • 邪教组织利用网络宣扬种族歧视与邪教理念
  • 西方势力通过网络传播意识形态，进行文化渗透
  • 其他国家情报机构窃取我国政治、军事、经济等领域的情报

• 组织威胁：

  主要针对企业或组织受保护的财产、专有技术

  • 网络恐怖分子破坏公共秩序，制造社会混乱
  • 通过工业间谍掠夺竞争优势、打击竞争对手，使企业或组织蒙受经济或声誉损失

• 个人威胁：

  • 对知识产权的威胁
  • 侵犯、破坏个人计算机系统中的信息，通过互联网对财产权进行侵犯，对E-mail系统进行破坏，影响人们正常的工作、学习和生活

1.2.2 信息安全问题产生的根源

• 信息系统安全问题产生的根本原因：
  • 内因：系统自身的脆弱性（复杂性导致脆弱性，凡是人做的东西总会存在问题）
  • 外因：来自恶意攻击者（信息战士、情报机构、恐怖分子、商业间谍、犯罪团伙、社会型黑客、娱乐型黑客）的攻击和来自自然灾害的破坏（火灾、洪水、雷击、地震、电磁脉冲等）

1.3 信息安全发展阶段与形势

1.3.1 信息安全的发展阶段

• 通信安全
  • 英文名称：Communication Security，简称COMSEC
  • 主要时期：20世纪，40-70年代
  • 核心思想：
    • 通过密码技术解决通信保密，保证数据的保密性和完整性
    • 主要关注传输过程中的数据保护
  • 面临的安全威胁：搭线窃听、密码学分析
  • 安全措施：加密
• 计算机安全
  • 英文名称：Computer Security，简称COMPUSEC
  • 主要时期：20世纪，70-90年代
  • 核心思想：确保信息系统的保密性、完整性和可用性
  • 安全威胁：非法访问、恶意代码、脆弱口令等
  • 安全措施：安全操作系统设计技术（TCB，如可信计算技术等）
• 信息系统安全
  • 英文名称：Information Systems Security，简称INFOSEC
  • 主要时期：20世纪，90年代以后
  • 核心思想：确保信息在存储、处理和传输过程中免受偶然或恶意的泄密、非法访问或破坏
  • 安全威胁：网络入侵、病毒破坏、信息对抗等
  • 安全措施：防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等
• 信息安全保障
  • 英文名称：Information Assurance
  • 主要时期：当下
  • 核心思想：
    • 动态安全，保障信息系统的夜晚正常、稳定地运行
    • 综合技术、管理、过程、人员等多个方面
  • 安全威胁：黑客、恐怖分子、信息战、自然灾难、电力中断等
  • 安全措施：技术安全保障体系、安全管理体系、人员意识/培训/教育

1.3.2 我国信息安全形势

我国信息安全环境日趋复杂，网络安全问题对互联网的健康发展带来日益严峻的挑战，网络安全事件的影响力和破坏程度不断扩大，主要体现在以下几个方面：

• 针对网络信息的破坏活动日益严重，利用网络进行违法犯罪案件逐年上升
• 安全漏洞和安全隐患增多，对信息安全构成严重威胁
• 黑客攻击、恶意代码对重要信息系统安全造成严重影响

1.4 信息安全保障

1.4 1 信息安全保障的含义

• 信息安全保障是指采用技术、管理等综合手段，保护信息和信息系统能够安全运行的防护性行为。它通过保证信息和信息系统的可用性、完整性、机密性和不可否认性来保护并防御信息和信息系统的操作，包括通过综合保护、检测和响应能力为信息系统提供修复。

• 可采取的防护行为包括：

  • 防止信息泄露、修改和破坏
  • 检测入侵行为，计划和部署针对入侵行为的防御措施
  • 采用安全措施和容错机制在遭受攻击的情况下保证机密性、私密性、完整性、抗抵赖性、真实性、可用性和可靠性
  • 修复信息和信息系统所遭受的破坏

• 信息安全保障概览图：

• 信息安全保障与信息安全、信息系统安全的区别：

  • 信息安全的重点是保护和防御，而信息安全保障的重点是保护、检测和响应的综合
  • 信息安全不太关注检测和响应，但是信息安全保障非常关注这两点
  • 攻击后的修复不在传统信息安全概念的范围之内，但是它是信息安全保障的重要组成部分
  • 信息安全的目的是为了防止攻击的发生，而信息安全保障的目的是为了保证信息系统始终能保证维持特定水平的可用性、完整性、真实性、机密性和抗抵赖性

1.4.2 信息安全保障模型

• 信息安全保障模型能够准确描述安全的重要方面与系统行为的关系，提高对成功实现关键安全需求的理解层次，计划 - 执行 - 检查 - 改进（Plan Do Check Act，PDCA）模型和信息保障技术框架是信息安全管理和信息安全保障技术实施过程遵循的方法和思想

• 防护 - 检测 - 响应（Protection Detection Response，PDR）模型
  PDR模型的基本思想是承认信息系统中存在漏洞，正视系统面临的威胁，通过适度防护并加强检测，落实安全事件响应，建立威胁源威慑，保障系统安全。

  该模型认为，任何安全防护措施都是基于时间的，超过该时间段这种防护措施就可能本攻破。

  PDR模型直观、实用，但对系统的安全隐患和安全措施采取相对固定的假设前提，难以适应网络安全环境的快速变化。

• 策略 - 防护 - 检测 - 响应（Policy Protection Detection Response，P2DR/PPDR）模型
  该模型的核心是信息系统所有防护、检测和响应都是依据安全策略实施的，策略居于核心位置

1.4.3 信息安全保障的作用

信息安全保障对社会的重要作用：

• 在实施国家信息化发展战略中，要高度重视信息安全保障体系建设，实现信息化与信息安全协调发展
• 国家基础信息网络、重要信息系统以及政府、企业和公民的信息活动的安全若不能得到切实保障，信息化带来的巨大经济与社会效益就难以有效发挥，信息化发展也会受到严重制约
• 加强信息安全保障的目的，就是要保障和促进信息化发展，而不是以牺牲信息化发展来换取信息安全
• 采取不上网、不共享、不互联互通等传统封闭的方式保安全，会严重影响甚至阻碍信息化发展，也不可能从根本上解决信息安全保障问题
• 只有继续大力推动信息化建设，全面提高信息化发展水平，才能为应对各种信息安全问题提供强有力的物质和技术保障
• 全面推进信息化，只有高度重视信息安全保障建设，才能形成健康有序、安全稳定的信息网络秩序，才能确保信息化进程稳步、快速地发展

信息安全保障对国家的重要作用：

• 由于网络信息传播的开放性、跨界性、即时性、交互性等特点，互联网在为广大民众提供越来越多有益信息及其他信息服务的同时，也存在着一些虚假和错误导向的信息，以及直接危害公众利益、民族团结、国家统一、社会稳定和国家安全的违法与有害信息及活动。构建更加安全可靠、更加有用、更加可信的互联网，服务于建设小康社会和构建和谐社会，是我国加强信息安全保障的一个重要任务
• 为有效开展互联网治理工作，我国政府提出了互联网管理的基本原则，即积极促进互联网发展，并依法进行管理，鼓励行业自律和公众监督，旨在形成一个可信和安全的互联网信息空间

1.5 信息系统安全保障

1.5.1 信息系统

信息系统是具有集成性的系统，每一个组织中信息流动的综合构成一个信息系统。信息系统是根据一定的需要进行输入、系统控制、数据处理、数据存储与输出等活动而涉及到的所有因素的综合体

1.5.2 信息系统安全保障的含义

信息系统安全保障是在信息系统的整个生命周期中，从技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性，降低安全风险到可接受的程度，从而保障系统实现组织机构的使命

1.5.3 信息系统安全模型

国家标准：《GB/T 20274.1-2006 信息安全技术 信息系统安全保障评估框架》，包括三个维度：