NISP二级知识点---1.知识子域：信息安全保障基础

tips：法规《中华人民共和国网络安全法》

信息安全保障基础

定义：保护信息系统以及其中的数据，目标是避免信息系统服务数据的完整性、机密性、可用性等受到破坏。

狭义：建立在以IT技术为主的安全范畴（信息系统发生的一些安全事件，包括技术漏洞、病毒攻击、内部泄露。）

广义：跨学科领域的安全问题。

实现投入产出的最优比，要结合业务流程。

信息安全问题的根源：

内因：信息系统复杂性导致漏洞的存在不可避免

外因：环境因素、人为因素

信息安全的特征：

系统性：系统复杂性决定了信息安全问题不能从单一层面看待

动态性：信息安全问题是动态变化的（例如云计算、互联网等高速发展）

无边界：信息安全问题超越了现实地域的限制

非传统：信息安全问题与传统军事安全、政治安全明显不同

威胁情报与态势感知：

威胁情报：

• 为管理人员提供行动和制定决策的依据
• 建立在大量的数据搜集和处理的基础上，通过对搜集数据的分析和评估，从而形成相应的结论
• 威胁情报成为信息安全保障中的关键性能力

威胁情报的作用：

• 有助于应对安全威胁与防御的不平等（攻防不平衡：攻击很容易，而防御却很难）
• 降低组织机构信息安全投入
• 确保找到优先应对的安全问题
• 能帮助组织机构适应不断发展技术和环境变化

态势感知：

• 建立在威胁情报的基础上
• 利用大数据和高性能计算为支撑，综合网络威胁相关的形式化及非形式化数据进行分析，并形成对未来网络威胁状态进行预判以便调整安全策略，实现“御敌于国门之外”的策略。

态势感知的作用：

• 通过态势感知，组织机构能建立安全预警机制，实现完善风险控制、应急响应和整体安全防护水平的提升

信息安全属性：

CIA三元组（基本属性）：

• 保密性Confidentiality（/机密性）：对信息资源开放范围的控制，确保信息不被非授权的个人、组织和计算机程序访问，例如定义保密等级、实施适当的访问控制、对违反保密策略的行为进行处置
• 完整性Integrity:确保数据没有遭到篡改和破坏，例如对数据进行备份，以后可以还原
• 可用性Availability:确保数据和系统随时可用，例如对关键设备使用双机热备

（tips：双机热备是应用于服务器的一种解决方案，其构造思想是主机和从机通过TCP/IP网络连接，正常情况下主机处于工作状态，从机处于监视状态，一旦从机发现主机异常，从机将会在很短的时间之内代替主机，完全实现主机的功能。）

其他属性：真实性、可问责性、不可否认性、可靠性

 国家视角

• 网络战
• 国家关键基础设施保护
• 法律建设与标准化

 企业视角

• 业务连续性
• 资产保护
• 合规性

个人视角

• 隐私保护
• 社会工程学
• 个人资产安全

信息安全发展阶段：通信安全（安全威胁例如搭线窃听、密码分析学）——计算机安全（安全威胁：非法访问、恶意代码、脆弱口令）——信息系统安全/网络安全（安全威胁：网络入侵、病毒破坏、信息对抗等，安全措施：防火墙、防病毒、漏洞扫描、入侵检测、PKL、VPN等）——信息安全保障——网络空间安全

工业控制系统基本架构（是网络空间安全中比较重要的一个领域）

• 数据采集与监控系统（SCADA）
• 分布式控制系统（DCS)
• 可编程逻辑控制器（PLC）

工业控制系统安全威胁

• 缺乏足够安全防护
• 安全可控性不高
• 缺乏安全管理标准和技术

云计算的安全风险

• 数据管理和访问失控的风险
• 数据存储位置对用户失控
• 云计算服务商对数据权限高于用户
• 用户不能有效监管云计算厂商内部人员对数据的非授权访问

数据管理责任风险

• 不适用“谁主管谁负责，谁运营谁负责”

数据保护的风险

• 缺乏统一标准，数据存储格式不同

云计算安全架构

• 云计算安全是个交叉领域，覆盖物理安全到应用安全

云计算安全覆盖角色

• 云用户、云提供者、云承载者、云审计者和云经纪人

云计算安全服务体系三层架构

• 安全云基础设施
• 云安全基础服务
• 云安全应用服务

虚拟化安全

虚拟化是云计算的支撑技术，把硬件资源虚拟化，构成一个资源池从而提供云服务的各项特性

虚拟化安全

• 云计算中核心的安全问题
• 确保虚拟化多租户之间的有效隔离
• 物联网安全威胁及安全架构

感知层安全

• 网关节点被控制，拒绝服务
• 接入节点标识、识别、认证和控制

传输层安全

• 拒绝服务、欺骗

支撑层安全

• 来自终端的虚假数据识别和处理、可用性保护、人为干预

应用层安全

• 隐私保护、知识产权保护、取证、数据销毁

大数据安全

• 大数据的概念：大小超出常规数据库软件工具收集、存储、管理和分析能力的数据集。
• 大数据的价值：趋势分析(例如天气预测、疾病预防、犯罪预防、购物行为等）
• 数据生命周期安全
• 技术平台安全
• 应用场景安全

移动互联网安全问题及策略

• 移动互联网安全问题
• 系统安全问题
• 移动应用安全问题
• 个人隐私泄露问题

安全策略

• 政策规范与引导
• APP应用分发管控
• 加强隐私保护要求