NISP第一讲信息安全和网络空间安全

当今世界，随着互联网技术的不断发展，网络安全也受到了人们的重视。近年来，中国的许多大学校园里都在普及网络安全的知识，让大学生拥有一个良好的上网规范。从今天起，小编准备带大家好好学习一下有关于网络安全的知识，也算是一个普法吧！维护网络空间安全是我们每一位中华人民共和国公民应尽的义务。
其实网络安全从个人的角度在于个人的隐私泄露，在于个人的一些银行卡密码、手机支付密码等等的经济财产损失；而对于国家来说，如果国家机关的一些重要部门的内网泄露出去将带来你无法想象的后果，所以维护国家的网络安全我们每个人都要贡献出自己的一份力量。
第一节我将为大家呈现一些关于信息安全和网络空间安全的一些定义，没有任何操作方便新手、小白、门外汉驻足。

1、关于信息的定义

1.有价值的内容——ISO9000

2.通信系统传输和处理的对象一般指事件或资料数据——现代汉语词典

2、信息的存在形式

1.信息是无形的

2.借助媒体一多种形式存在

3.存储在计算机、磁带、纸张等多种介质中

4.记忆在人的大脑里

3、信息都是有价值的

1.对个人来说，最有价值的信息就是个人隐私

2.对组织机构来说，借助媒体存在的信息就是组织的信息资产（银行的数据、客户资、OA的数据）

3.信息资产才是企业最有价值的资产——911事件使许多金融机构大量数据丢失而倒闭

2、什么是信息安全

1.国际标准化组织定义：为数据处理系统建立和采取技术、管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而受到破坏、更改、泄露。

总结一下就是六个词：
进不来：黑客攻不来，介入不了公司的内网——人员权限的认证
拿不走 
改不了
看不懂：加密
跑不了：进入服务器的操作可溯源——定位IP、工号 
可查询：可查询记录，打印出日志报表

2.狭义的信息安全

A.建立在以IT技术为基础上的安全范畴

B.也被称为计算机安全或网络安全

3.广义的信息安全问题

A.一个跨学科领域的安全问题

B.安全的根本目的是保证组织业务可持续进行

C.信息安全应建立在整个生命周期所关联的人、事、物的基础上，综合考虑人、技术、管理和过程控制，使得信息安全不是一个局部，而是一个整体

4.信息安全问题的根源

A.内因：信息系统的复杂性导致漏洞的存在不可避免

过程复杂

结构复杂

应用复杂

B.外因：威胁与破坏

认为因素：员工误操作、外部攻击（个人、团体、网络战部队）

环境因素（洪水、地震…）、

3、信息安全的基本目标

1、信息安全基本属性（CIA三元组）

1.机密性（Confidentiality）

2.完整性（Integrity）

3.可用性（Availability）

2、信息安全其他属性

1.真实性

2.可问责性

3.不可否认性

4.可靠性

3、机密性（保密性）——防止信息遭到有意或无意的非授权泄露

1.机密性保护应该考虑的问题

A.信息系统的使用是否有控制，而不是任何人都可以接触到系统

B.信息系统中的数据是否都有标识，说明重要程度

C.信息系统中的数据访问是否有权限控制

D.信息系统中的数据访问是否有记录

4、完整性——保证信息系统中的数据处于完整的状态，没有遭受篡改和破坏

完整性保护需要注意的问题

A.什么样的数据可以被篡改

B.被篡改的数据可能会产生什么样的影响？影响信息系统的运转、影响到单位的声誉、影响到个人

C.对数据是否划分清了权限

D.对数据的操作是否产生了影响

5、真实性——实体是他所称的属性，也可以理解为能对信息的来源进行判断，能对伪造来源的信息得以鉴别

真实性考虑的问题

A.信息的来源式否可靠，来源可靠才能确保提供数据可靠

B.是否能对伪造的信息进行鉴别

6、其他属性

1.可问责性：又称可审核性，做为智利的一个方面，问责就是承认和承担行动、产品、决策和政策的责任，包括在角色或就业岗位范围内的行政、治理和实施以及报告、解释并对所造成的后果负责

可问责性需要考虑的问题

A.是否明确相关责任

B.对数据的操作是否能记录以便于审核责任

2.不可否认性：证明要求保护的事件或动作及其发起实体的行为。在法律上，不可否认意味着交易的一方不能拒绝已经收到的交易，另一方也不能拒绝已经发从的交易

不可否认性考虑的问题

A.如何证明行为的发生

B.如何证明行为的发生不可被伪造

3.可靠性：信息系统能够在规定 条件下，规定时间里完成规定功能的特性。

可靠性考虑的问题

A.对可靠性要求的程度

4、信息安全的发展阶段

1.通信安全（20世纪40年代-70年代）

1.那个时候主要关注传输过程中的数据保护

2.安全威胁：搭线窃听、密码学威胁

3.核心思想：通过密码技术解决通信保密，保证数据的保密性和完整性

4.安全措施：加密

2.计算机安全（20世纪70-90年代）

1.主要关注于数据处理和存储时的数据保护

2.安全威胁：非法访问、恶意访问、脆弱口令等

3.核心思想：预防、检测和减小计算机系统(包括软硬件)用户（授权和未授权用户）执行的未授权活动所造成的后果

4.安全措施：通过操作系统的访问控制技术来防止非授权用户的访问

（此时PC端还没有连入互联网）

3.信息系统安全（20世纪90年代后）

1.主要关注信息系统的整体安全

2，安全威胁：网络入侵、病毒破坏、信息对抗

3.核心思想：重点在于保护比“数据”更精炼的"信息"

4.安全措施：防火墙、VPN、PKI、防病毒、漏洞扫描、入侵检测

4.信息安全保障（1996年，美国国防部Dodd 5-3600.1首次提出信息安全保障的概念）

1.关注信息、信息系统对组织业务及使命的保障

2.信息安全概念的延伸，实现全面安全

3.我国信息安全保障工作

A.总体要求：积极防御，综合防范

B.主要原则：技术与管理并重，正确处理安全与发展之间的关系

5.网络空间安全（近年来）

1.互联网已经将传统的虚拟世界与物理世界相互连接，形成网络空间

2.核心思想：强调“威慑”概念

3.将防御、威慑和利用结合成三位一体的网络空间安全保障

4.信息发展已经进入到网络空间阶段

A.互联网将传统的虚拟世界与物理世界相互联系，形成网络空间

B.网络空间成为继海洋、陆地、天空、外太空之外的第五空间

概念发展：
2008年，美国第54号总统令对网络空间正式定义
2009年，网络空间政策评估发布，新技术的出现使得网络空间问题更为复杂
2010年，网络空间安全纳入美国国家安全
2011年，网络空间纳入美军作战空间

5.网络空间安全影响每一个企业、每一个个人

6.网络战已经从概念变为现实

5、国家网络空间安全战略

1、2016年12月，我国颁布了《国家网路空间安全战略》提出网络空间的发展是机遇也是挑战。

A.网络渗透威胁政治安全

B.网络攻击威胁经济安全

C.网络有害信息侵蚀文化安全

D.网络恐怖和违法犯罪破坏社会安全

E.网络空间的国际竞争方兴未艾

F.网络空间机遇和挑战并存，机遇大于挑战

2、目标：实现建设网络空间强国

3、强调：维护网络空间主权、和平利用网络空间、依法治理网络空间、统筹网络安全与发展

4、任务：捍卫网络空间主权、坚决维护国家安全、保护关键信息基础设施、加强网络文化建设、打击网络恐怖和网络犯罪、完善网络治理体系、夯实网络安全基础、提升网络空间安全防护能力、强化网络空间国际合作