【安全】浅谈信息安全

最新推荐文章于 2024-07-11 16:37:42 发布
最新推荐文章于 2024-07-11 16:37:42 发布
阅读量1.1k 收藏
点赞数
文章标签: 安全 网络 网络安全 系统安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zgsdlr/article/details/132273351
版权

信息安全

理解信息安全,要从“信息”、“安全”两个角度入手。

信息

信息是对客观世界的反映,表现客观事物的运动状态和变化的实质内容。

信息具有可识别、可传载、可共享、可度量的基本特征。

信息系统

信息系统是获取(收集)、存储、传输和处理信息的载体,是信息的驻留载体,是进行等级确定和等级保护管理的最终对象。

GB 17859-1999提出将**信息系统的安全等级划分为5个等级**以及每个级别的安全功能要求

GB 22239-2019提出等保2.0,充分体现了“一个中心三重防御”的思想,一个中心指“安全管理中心”,三重防御指“安全计算环境、安全区域边界、安全通信网络”。

信息安全问题体现为**信息和信息系统的安全问题**

信息安全的保护对象是信息资产,典型的信息资产包括计算机硬件、软件和数据

安全属性

安全属性分为基本属性和扩展属性。

信息安全的最终目标保证信息资产的三个基本安全属性

基本属性(CIA)

(1)保密性Confidentiality):确保信息在存储、使用、传输过程中不会泄露给非授权的用户或者实体

(2)完整性Integrity):确保信息在存储、使用、传输过程中未经授权不能改变,保证信息的内外一致性。

(3)可用性Availability):确保授权用户或者实体对于信息及资源的正确使用不会被异常拒绝,允许其可能而且及时地访问信息及资源。

扩展属性

不可否认性(抗抵赖性):信息交换双方在信息交换中收发信息的行为不可抵赖

可控性:信息的传播和内容可控

可认证性:通过实体行为可以追溯到实体

信息安全的定义

信息安全强调的是对信息系统的硬件、软件和数据信息实施安全防护,保证信息系统的安全属性,确保在意外事故或恶意攻击情况下系统不会遭到破坏、敏感数据信息不会被篡改和泄露,并保证系统能连续可靠地正常运行,相关服务不中断。

信息安全从其主要内容划分,包括实体安全、网络安全、软件安全、运行安全和信息安全等五个方面;从其结构层次划分,包括物理安全、安全控制和安全服务等三个方面

信息安全的发展

经历了3个阶段:

(1)信息保密阶段:关注的通信内容的保密性属性,保密等同于信息安全。

(2)信息保护阶段:在原来所关注的保密性属性之外,还有其他方面的属性也应当是信息安全所关注的,这其中最主要的是完整性和可用性属性,由此构成了支撑信息安全体系的三要素。

(3)信息保障阶段:在统一安全策略的指导下,安全事件的事先预防(保护),事发处理(检测 Delection 和响应 Restoration)四个主要环节相互配合,构成一个完整的保障体系。

信息安全的实现

安全服务和安全机制

安全服务:通常将加强网络系统信息安全性及对抗安全攻击而采取的一系列措施称为安全服务。

ISO/OSI中定义的 5 种标准的安全服务鉴别、访问控制、数据机密性、数据完整性、不可否认

安全机制:实现安全服务的技术手段

e.g. 加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别机制、业务填充机制、路由控制机制和公正机制

典型的安全机制有:

(1)物理层安全,如视频监控、门禁系统;

(2)网络层安全,如防火墙、IPSecVPN;

(3)系统层安全,如杀毒软件,主机入侵检测系统;

(4)应用层安全,如用户身份认证、应用层加密。

信息安全策略

包括三个不同层次的策略文档:

(1)总体安全策略,阐述了指导性的战略纲领性文件,阐明了企业对于信息安全的看法和立场、信息安全的目标和战略、信息安全所涉及的范围、管理组织构架和责任认定以及对于信息资产的管理办法等内容;

(2)针对特定问题的具体策略,阐述了企业对于特定安全问题的声明、立场、使用办法、强制要求、角色、责任认定等内容,例如,针对 Internet访问操作、计算机和网络病毒防治、口令的使用和管理等特定问题,制定有针对性的安全策略;

(3)针对特定系统的具体策略,更为具体和细化,阐明了特定系统与信息安全有关的使用和维护规则等内容,如防火墙配置策略、电子邮件安全策略等。

安全策略举例:(1)物理安全策略; (2)网络安全策略; (3)数据加密策略; (4)数据备份策略;(5)病毒防护策略; (6)系统安全策略; (7)身份认证及授权策略; (8)灾难恢复策略;(9)事故处理、紧急响应策略; (10)安全教育策略; (11)口令安全策略; (12)补丁管理策略; (13)系统变更控制策略

总之,信息安全的实现不仅靠技术手段,还涉及到管理方面!

信息安全的脆弱性

信息安全的实现涉及到技术和管理两方面,脆弱性也应从这两方面分析。

一、技术脆弱性

1、物理安全:物理设备的访问控制、电力供应等

2、网络安全:基础网络构架、网络传输加密、访问控制、网络设备安全漏洞、设备配置安全等

3、系统安全:主机安全、操作系统安全、安全漏洞、软件安全功能、数据防护等

4、应用安全:应用软件安全漏洞、软件安全功能、数据防护等

二、管理脆弱性

安全管理:安全策略、组织安全、资产分类与控制、人员安全、物理与环境安全等

笔者认为,信息安全包含的范围广、涉及到信息本身和其各种载体的安全性。从信息安全的脆弱性分析,推出解决方案,是当下“安全”相关专业研究方向的出发点,也是安全厂商努力的方向。

rliu2002
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
交换安全浅谈
weixin_43801718的博客
07-22 1702
交换安全 一、mac地址攻击 攻击者不断修改自己的mac地址,发送大量报文,让交换机学习,直至交换机mac地址表缓存溢出,此时交换机则成为一个HUB,不能再学习任何mac地址条目,所有其他设备通信mac地址均为未知单播地址,全部洪泛。 ------这样攻击者就可以接收到别的设备发出的信息。 解决办法: 1、端口安全(基于mac地址允许) 2、针对某个mac地址进行过滤(基于mac过滤) **...
浅说信息安全
PingPlus软件工作室
07-04 1151
浅说信息安全 一、      前言 目前,信息安全事件频频发生,支付宝、携程先后中招,更有恐怖的,波兰航空的地面操作系统都被黑了。信息安全问题已经越来越严重,毫不夸张滴说,信息安全的威力绝不下于核武器,可以轻而易举地摧毁一个国家。试想一下,哪一天我们到银行发现里面的钱没了、飞机起飞不了、火车发不了班了、电网无法供电了、通信中断了等等,我们的生活会变成怎样?因此,信息安全已经是一个事关国家生死存
浅谈安全漏洞
kaydenlsr
09-10 2553
一个系统从发布的那一天起,随着用户的深入使用,系统中存在的漏洞会被不断暴露出来,这些早先被发现的漏洞也会不断被系统供应商发布的补丁软件修补,或在以后发布的新版系统中得以纠正。在CWE站点上列有800多个编程、设计和架构上的错误,CWE文档首先列举的是针对程序员最重要的25项(Top 25),同时也是软件最容易受到攻击的点,从而帮助他们编写更安全的代码。在不同种类的软、硬件设备,同种设备的不同版本之间,由不同设备构成的不同系统之间,以及同种系统在不同的设置条件下,都会存在各自不同的安全漏洞问题。
浅谈物联网中的信息安全
Arropyon的博客
04-19 9493
我是一名物联网专业的大三学生。近段时间我们刚刚开始了物联网信息安全的学习,算是稍微对这方面有了一点点认识。下面简单分享一下。 信息安全,意为保护信息及信息系统免受未经授权的进入、使用、披露、破坏、修改、检视、记录及销毁,需保证信息的保密性、真实性、完整性等等。信息安全本身包括的范围非常大,一两句话是根本无法概括的。实现信息的安全保护,其核心是密码学。提到密码学,大家都能联想到的无非就是加解密、公钥...
信息安全意识-密码安全
anquanniu的博客
08-16 3106
密码安全,顾名思义,它指的是对于我们密码的安全。 密码是我们生活中最常见的进行身份验证的一个因素,一般我们在登录系统或者是其他应用程序的时候,最先需要利用用户名和密码来验证我们的身份,这称为单因素身份验证。除了密码之外,我们还可以再进一步利用数字令牌、利用生物特征,比如虹膜扫描,视网膜扫描等来对你进行身份验证,但密码永远是最常见的身份验证的第一个因素。密码作为最基本的一个身份验证的因素,如果没有被...
浅谈Web应用系统的安全
01-19
另外通过FORM的形式可以从服务器方获得动态的信息.用户通过填写FORM可以向服务器提交请求,服务器可以根据用户的请求返回相应信息.  当你想进入万维网上一个网页, 或者其他网络资源的时候,通常你要首先在你的浏览器...
浅谈云计算安全性能分析方案
01-20
"云安全(Cloud Security)"计划是网络时代信息安全的体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的信息,...
菜鸟浅谈——web安全测试
01-27
不要对上线网站造成破坏,不要去获取网站的数据库信息等。否则等待的不是money,而是牢狱啦~~ 1)worldwideweb万维网,也被叫做www(3w),非常普遍的互联网应用,每天都有数以亿万计的web资源传输。有html,图片,...
浅谈计算机系统的安全防范.doc
11-24
物理安全问题是指在物理介质层次上对存贮和传输的信息安全保护。物理安全问题包括自然灾害、物理损坏、设备故障、电磁泄漏、操作失误、意外事故等。 (二)操作系统及应用服务的安全问题 操作系统的安全问题是...
浅谈IIS安全配置
09-30
确保IIS的安全配置至关重要,因为它可以防止恶意攻击者利用漏洞入侵系统。以下是一些基于个人经验的IIS安全配置建议: 1. **文件系统权限**: - 使用NTFS文件系统是必要的,因为NTFS提供了更细粒度的权限控制,...
网络设备安全
weixin_48579910的博客
07-11 609
交换机作为网络核心设备,其安全性直接影响到整个网络的稳定和安全。通过实施身份验证和访问控制、设备配置安全、VLAN安全、ARP欺骗防护、MAC地址安全、DHCP欺骗防护、STP安全、拒绝服务防护以及固件和软件更新等措施,可以有效防范各种安全威胁。结合使用适当的安全工具和技术,组织可以大幅提高其交换机的安全防护能力,保护网络基础设施和数据的安全。定期进行安全审计和更新,确保交换机和网络始终处于最佳安全状态。确保路由器的安全是保护整个网络基础设施和数据传输安全的关键。
[终端安全]-5 移动终端之操作系统安全
wendywm0496的博客
07-08 966
每个应用程序运行在一个独立的进程中,通过操作系统的内存管理单元(MMU)实现自己独立的虚拟地址空间,通常从0开始到某个最大值(例如,32位系统上为4GB),这个空间是进程私有的,MMU负责将虚拟地址转换为物理地址。当操作系统在不同进程之间切换时,会切换当前的页表,通过改变MMU中存储的页表基地址(通常存储在寄存器中)来实现,这样进程A和进程B即使使用相同的虚拟地址,也会映射到不同的物理地址。当用户启动应用A时,操作系统会为其创建一个新的进程,该进程由应用A的UID 10001运行;
Foxit Reader:高效、安全、多功能的PDF阅读器技术解析
运维人生
07-10 384
由福建福昕软件开发股份有限公司开发,是一款轻量级、高效且功能丰富的PDF阅读器。它不仅拥有比同类产品更小的安装包体积和更快的打开速度,还全面支持最新的PDF文档属性,并提供了丰富的插件和自定义选项,极大地提升了用户体验。
如何通过文件分发系统,实现能源电力企业文件的安全分发流转?
文件数据安全交换
07-09 448
飞驰云联是中国领先的数据安全传输解决方案提供商,长期专注于安全可控、性能卓越的数据传输技术和解决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。大文件虚拟分块、海量文件虚拟拼接技术,保障大文件、海量文件的可靠传输;针对不同的⽂件类型(如业务数据、运维⽂件等)、分⽀机构、⼈员⻆⾊、及⽂件交换⽅向,可灵活配置不同的管控策略,进⽽控制⽂件流转的内容和范围,实现精细管控。
富格林:曝光纠正安全交易误区
fgl100的博客
07-11 430
因此,贵金属并非完全无风险,投资者仍需注意市场风险。投资者应该理解贵金属市场的复杂性,并将其视为投资组合的一部分,而不是绝对安全的避险资产。同时,通过合理的资产配置和风险管理策略,可以降低贵金属投资的风险。尽管黄金是最受欢迎的贵金属之一,但其他贵金属,如白银、铂金和钯金,同样具有投资潜力。忽视了其他贵金属的投资机会会导致投资组合的单一化,增加了风险。投资者应该考虑将不同类型的贵金属组合在其投资组合中,以实现更好的风险分散和收益潜力。通过选择不同贵金属之间的相关性较低的品种,可以降低整体投资组合的风险。
RFID智能锁控系统在物流安全运输中的应用与效益分析
07-09 734
RFID(Radio Frequency Identification)技术是一种无线通信技术,通过无线电波识别和追踪带有RFID标签的物体。RFID技术在物流锁控系统中的应用,可以有效地解决传统锁控系统的局限性。
确保智慧校园安全,充分利用操作日志功能
07-10 449
​ 智慧校园基础平台系统的操作日志功能是确保整个平台运行透明、安全及可追溯的核心组件。它自动且详尽地记录下系统内的每一次关键操作细节,涵盖操作的具体时间、执行操作的用户账号、涉及的数据对象(例如学生信息更新、课程调度变动等)、操作的性质(新增、编辑、删除)以及操作执行前后数据的状态变化。这一过程不仅强化了系统的内部控制,还为满足学校管理规范及遵守数据保护法律提供了坚实的支撑。
Zkeys三方登录模块支持QQ、支付宝登录
爱分享的小可爱
07-07 425
1,覆盖到根目录,并导入update.sql数据库文件到Zkeys数据库里 2. 后台系统权限管理,配置管理员权限-系统类别-找到云外科技,全部打勾 3,后台系统设置找到云外快捷登录模块填写相应的插件授权配置和登录权限配置!【授权ID和密钥在-根目录/framework/Library/Vendor/YwkjTool/YWloginconfig.php文件中】 4,填写相应的配置以后,删除上传的插件压缩包! 5,后台系统处清除缓存 下载地址https://download.csdn.net...
水库大坝安全监测险情应对措施
最新发布
weixin_48039531的博客
07-11 233
水库特征检查包括大坝高度、水库上游雨水情测报点是否 齐备有效、水库是否能有效运行、水库库区有无浸没、塌方、滑坡以及库边冲刷等现象,坝址附近地形地貌有无变化,坝区和上坝公路附近有无可能塌方、滑坡、山洪泥石流等影响道路通行安全的问题。根据气象部门发布的降雨预报,收集雨量、雨强、历时、降雨笼罩面积等基础信息,结合水文测报,可演算库区降水及上游来水等有关情况。▶根据险情类型(如坝顶漫溢、土坝渗漏、土坝裂缝等),制定相应的抢险原则和措施。▶对于发现的隐患和问题,及时采取修复和加固措施,提高大坝的整体安全性能。
浅谈内网信息安全存在的隐患及整改措施
03-31
随着企业数字化进程的推进,内网信息安全已成为企业发展的重要组成部分。但是,内网信息安全仍然存在许多隐患,如以下几点: 1. 人为因素:员工的安全意识不足、对安全政策的不理解和不遵守,以及恶意攻击等因素都可能导致内网信息安全问题。 2. 系统漏洞:由于系统配置不当、补丁未及时更新等原因,导致系统存在漏洞,被黑客攻击后会导致内网信息泄露或数据被篡改。 3. 弱口令:内网系统的账号密码过于简单或者默认密码未及时更改,容易被入侵者破解,进而入侵企业内网。 针对上述隐患,企业应采取以下整改措施: 1. 增强员工安全意识:加强员工的安全教育培训,提高其对内网信息安全的认识,加强对安全政策的遵守。 2. 加强系统安全:对内网系统进行安全评估和漏洞扫描,及时更新补丁,防止黑客入侵。 3. 加强密码管理:限制用户密码长度、复杂度、有效期等,防止弱口令被破解。 4. 强化网络监控:采用网络监控和安全审计技术,及时发现和防止内网信息泄露和入侵。 5. 加强访问控制:根据不同的角色和权限,对用户进行合理的访问控制,防止未授权的人员访问企业内网。 综上所述,企业应全方位、多角度地加强内网信息安全工作,以确保企业信息安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值