[NISP一级] 1.1 信息安全与网络空间安全

1 信息与信息安全

1.1 什么是信息

1.1.1 关于信息的定义

• 有价值的内容——ISO9000
• 通信系统传输和处理的对象，一般指时间或资料数据——现代汉语词典

1.1.2 信息的存在形式

• 信息是无形的
• 借助媒体以多种形式存在
• 存储在计算机、磁带、纸张等介质中
• 记忆在人的大脑里

1.2 信息的价值

• 信息都是有价值的
• 对于个人来说，最有价值的信息就是个人隐私
• 对于组织机构来说，借助媒体存在的信息就是组织的信息资产，例如：银行中的数据、客户资料、OA中的数据……
• 信息资产才是企业最有价值的资产

1.3 什么是信息安全

• 国际标准化组织对信息安全定义
• 为数据处理系统建立和采取技术、管理的安全保护，保护计算机硬件、软件、数据不因偶然或恶意的原因而收到破坏、更改、泄漏。
• 进不来、拿不走、改不了、看不懂、跑不了、可查询

1.4 信息安全问题

• 狭义的信息安全概念
• 建立在以IT技术为基础上的安全范畴
• 也被成为计算机安全或网络安全
• 广义的信息安全问题
• 一个跨学科领域的安全问题
• 安全的根本目的是保证组织业务可持续运行
• 信息安全应该建立在整个生命周期中所关联的人、事、物的基础上，综合考虑人、技术、管理和过程控制，使得信息安全不是一个局部而是一个整体

1.5 信息安全问题的根源

• 内因：信心系统复杂性导致漏洞的存在不可避免：过程复杂、结果复杂和应用复杂。
• 外因：威胁与破坏
  • 人为因素：员工误操作、外部攻击（个人、团体、网络战部队）
  • 环境因素：雷击、地震、火灾、洪水等自然灾害和极端天气

2. 信息安全属性

2.1 信息安全基本目标

• 信息安全基本属性（CIA三元组）：机密性、完整性、可用性
• 信息安全其他属性：真实性、可问责性、不可否认性、可靠性、可控制性

2.2 信息安全基本属性

2.2.1 机密性（也称保密性）

• 机密性的定义：防止信息遭到有意或无意的非授权泄漏
• 信息的机密性应得到应有的重视：国家秘密、商业机密、个人隐私
• 机密保护需要考虑的问题
  • 信息系统的使用是否有控制，而不是任何人都可接触到系统？
  • 信息系统中的数据是否都有表示，说明重要程度？
  • 信息系统中的数据访问是否有权限控制？
  • 信息系统中的数据访问是否有记录？

2.2.2 完整性

• 完整性的定义：保证信息系统中的数据处于完整状态，没有遭受篡改和破坏。三防：防篡改、防删除、防插入

• 完整性保护需要考虑的问题

  • 什么样的数据可能被篡改？
  • 被篡改的数据可能产生什么样的影响？影响到信息系统运转、影响到单位名誉、影响到个人……
  • 对数据是都划分清了不同的权限？
  • 对数据的操作是否有记录？

2.2.3 可用性

• 可用性的定义：确保数据和系统在需要时可用
• 可用性需要考虑的问题
  • 如何确保信息系统随时能提供需要的功能
  • 如果系统由于某种原因无法使用，如何应对？修复？备份？手工接替？

2.3 信息安全其他属性

2.3.1 真实性

• 真实性的定义：实体是他所声称的属性，也可以理解为能对信息的来源进行判断，能对伪造来源的信息予以鉴别。
• 真实性需要考虑的问题
  • 信息的来源是否可靠，来源可靠才能确保提供的数据可靠。
  • 是否能对伪造的信息进行鉴别。

2.3.2 可问责性

• 可问责性的定义：可问责性也称为可审核性，作为治理的一个方面，问责是承认和承担行为、产品、决策和政策的责任，包括在角色或就业岗位范围内的行政，治理和实施以及报告、解释并对所造成的后果负责。
• 可问责性需要考虑的问题
  • 是否明确相关责任
  • 对数据的操作是否能记录以便于审核责任

2.3.3 不可否认性

• 不可否认性的定义：证明要求保护的时间或动作以及发起实体的行为。在法律上、不可否认意味这交易的一方不能拒绝已经接收到交易，另一方也不能拒绝已经发送的交易。
• 不可否认性需要考虑的问题
  • 如何证明行为的发生
  • 如何证明行为的发生不可被伪造

2.3.4 可靠性

• 可靠性的定义：可靠性是信息系统能够在规定条件下，规定时间内完成规定功能的特性。
• 可靠性需要考虑的问题
  • 对可靠性要求的程度

2.3.5 可控制性

3. 网络安全发展阶段

3.1 通信安全

• 主要时间：20世纪40年代～70年代
• 主要关注：传输过程中的数据保护
• 安全威胁：搭线窃听、密码学分析
• 核心思想：通过密码技术解决通信保密，保证数据的保密性和完整性
• 安全措施：加密

3.2 计算机安全

• 主要时间：20世纪70～90年代
• 主要关注：数据处理和存储时的数据保护
• 安全威胁：非法访问、恶意代码、脆弱口令等
• 核心思想：防御、检查和减小计算机系统（包括软件和硬件）用户（授权和未授权用户）执行的未授权活动所造成的后果。
• 安全措施：通过操作系统的访问控制技术来防止非授权用户的访问。

3.3 信息系统安全

• 主要时间：20世纪90年代后
• 主要关注：信息系统整体安全
• 安全威胁：网络入侵、病毒破坏、信息对抗等
• 核心思想：重点在于保护比“数据”更精炼的“信息”
• 安全措施：防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等。

3.4 信息安全保障

3.4.1 信息安全保障概念

• 1996年，美国国防部DODD 5-3600.1首次提出信息安全保障概念：关注信息、信息系统对组织业务及使命的保障。如今信息安全概念延伸，实现全面安全

3.4.2 我国信息安全保障工作

• 总体要求：积极防御、综合防范
• 主要原则：技术与管理并重，正确处理安全与发展的关系
• 三个支柱：技术、法律法规、管理

3.4.3 信息系统安全保障

• 生命周期、保障要素、安全特征

把信息系统安全从技术扩展到管理，从静态扩展到动态，通过技术、管理、工程等措施的总和融合至信息化中，形成对信息、信息系统乃至业务使命的保障

4. 网络空间安全保障

4.1 网络空间安全

• 背景
  • 信息化发展已经进入到网络空间阶段
  • 互联网已经将传统的虚拟世界与物理世界相互连接，形成网络空间
  • 网络空间成为继海洋、陆地、天空、外太空之外的第五空间
  • 2008年，美国第54号总统令对网络空间（Cyberspace）正式定义
  • 2009年，网络空间政策评估发布，新技术的出现使得网络空间安全问题更加复杂
  • 2010年，网络空间安全纳入美国国家安全
  • 2011年，网络空间纳入美军作战空间
  • 新技术领域融合带来新的安全风险：工业控制系统、“云大移物智”（云计算、大数据、物联网、移动互联网、人工智能）
  • 核心思想：强调威慑概念

  将防御、威慑和利用结合称三位一体的网络空间安全保障

4.2 网络空间安全上升到国家安全高度

• 没有网络安全就没有国家安全
• 万物互联时代，还有什么是不在线的？
• 攻击者已经无处不在，因为互联网“国家”太容易越过。

4.3 网络空间安全影响每一企业，每一个人

• 业务对信息系统的以来程度增加
• 想象以下没有令信息系统，业务运转如何、我们的生活会变得如何？
• 事件
  • 数据泄漏事件平凡发生
  • 委内瑞拉全国大停电这样的事情也可能发生在中国

4.4 网络站已经从概念变成了现实

• 网络战：一个民族、国家为了造成损害或破坏而渗透另一个国家的计算机或网络的行动。网络战作为国家整体军事战略的一个组成部分已经成为趋势。

4.5 国家网络空间安全战略

• 2016年12越，我国发布了《国家网络空间安全战略》，提出网络空间的发展是机遇也是挑战。
  • 网络渗透危害政治安全
  • 网络攻击威胁经济安全
  • 网络有害信息寝室文化安全
  • 网络恐怖和违法犯罪破坏社会安全
  • 网络空间的国际竞争方兴未艾
  • 网络空间机遇和挑战并存，机遇大于挑战

4.6 网络空间安全战略

• 目标：实现建设网络强国
• 强调：维护网络空间主权、和平利用网络空间、依法治理网络空间、统筹网络安全与发展
• 任务：
  • 捍卫网络空间主权、
  • 坚决维护国家安全、
  • 保护关键信息基础建设、
  • 加强网络文化建设、
  • 打击网络恐怖和违法犯罪、
  • 完善网络治理体系、
  • 夯实网络安全基础、
  • 提升网络空间防护能力、
  • 强化网络空间国际合作

4.7 国家关键基础信息设施

• 什么是关键信息基础设施
  • 其关系国家安全、国计民生，一旦数据泄漏、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的基础设施
• 哪些是关键信息基础设施（关基）
  • 基础信息网络、能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统，重要互联网应用系统

【NISP一级】1.1 信息安全与网络空间安全相关推荐

1. nisp学习-1.1信息安全与网络空间安全

   信息与信息安全 信息安全 信息安全,ISO(国际标准化组织)的定义为:为数据处理系统建立和采用的技术.管理上的安全保护,为的是保护计算机硬件.软件.数据不因偶然和恶意的原因而遭到破坏.更改和泄露. 进 ...

2. 桂林电子计算机与信息安全学院,桂林电子科技大学计算机与信息安全学院网络空间安全保研...

   微信搜索公众号"考研派之家",关注[考研派之家]微信公众号,在考研派之家微信号输入[桂林电子科技大学考研分数线.桂林电子科技大学报录比.桂林电子科技大学考研群.桂林电子科技大学学姐 ...

3. 信息安全与网络空间安全

   信息与信息安全 国际标准化组织对信息安全定义:为数据处理系统建立和采取技术.管理的安全保护,保护计算机硬件.软件.数据不因偶然的或恶意的原因而受到破坏.更改.泄露 信息安全问题的根源 内因:信息系统复 ...

4. 【NISP一级】1.3 网络空间安全政策与标准

   [NISP一级]1.3 网络空间安全政策与标准 1. 网络安全国家战略 1.1 国家指导政策 <中华人民共和国网络安全法>于2016 年出台,2017 年6月1日正式生效 <信息安全 ...

5. 国家信息安全水平考试NISP一级模拟题（04）

   试题总分:100分,时间:100分钟 100分 NISP一级单选题(最新) (每小题2分,本题共50个小题,共100分,60分及格) 1 2分 以下不属于Session攻击常用防护措施的是( ) A. ...

6. NISP一级备考知识总结之信息安全概述、信息安全基础

   参加每年的大学生网络安全精英赛通过初赛就可以嫖一张 nisp(国家信息安全水平考试) 一级证书,nisp 一级本身没啥考的价值,能白嫖自然很香 1.信息安全概述 信息与信息技术 信息概述 信息奠基人香 ...

7. 国家信息安全水平考试NISP一级模拟题（02）

   试题总分:100分,时间:100分钟 100分 NISP一级单选题(最新) (每小题2分,本题共50个小题,共100分,60分及格) 1 2分 OSI模型中位于最顶层并向应用程序提供服务的是( ) A ...

8. 国家信息安全水平考试（NISP一级）考试题库①

   希望各位一次过! 1. 信息有非常多的定义和说法,归结起来可以认为信息就是数据或事件.关于信息,下列说法错误的是(). (单选题,2分) A. 在一定程度上,人类社会的发展速度取决于人们感知信息.利用 ...

9. 按图索骥｜到底网络空间安全、网络安全、信息安全之间有啥区别？

   更多精彩原创文章,请持续关注麟学堂公众号. B站"麟学堂-张妤"有专门针对性视频讲解及历次干货分享活动,欢迎关注. 每次给学员上课,还有给客户做咨询项目,或者对外演讲的时候,很多人 ...

10. 读书笔记|信息安全，网络安全，网络空间安全之间的区别

    信息:信息是事物属性的标识:信息是经过加工并对客观世界和生产活动产生影响的数据,是数据的内涵: 信息安全:即为保护信息及信息系统免受未授权的进入.使用.披露.破坏.修改.检视.记录及销毁. 网络安全: ...

最新文章

1. Linux日常运维--6
2. [Rtsp]RTSP对实时摄像头视频流进行转换（FFmpeg+FFserver)
3. 提高mysql查询速度_如何提高数据库查询速度
4. java掩码校验_Java 检查Ip掩码
5. php 中文截断,PHP中实现中文字串截取无乱码的解决方法
6. 海量数据下的存储技术，哪些模式靠得住？
7. 排除jar_通过IDEA快速定位和排除依赖冲突
8. 国内国外最好的java开发论坛及站点 [转]
9. linux 连接到阿里云服务器
10. 使用tcpdump抓Android网络包
11. VS2008配置directx8
12. 浏览器主页劫持查杀，查杀主页劫持木马方法
13. 毕业论文查重不合格会怎么样？
14. 计算机如何使用键盘复制粘贴,电脑复制粘贴快捷键,小编教你电脑怎么用键盘复制粘贴...
15. 面转栅格之ERROR 999999:执行函数时出错
16. 三十岁以后，我一定能阔起来！
17. 页面提示“百度未授权使用地图API，可能是因为您提供的密钥不是有效的百度LBS开放平台密钥，或此密钥未对本应用的百度地图JavaScriptAPI授权。您可以访问如下网址了解如何获取有效的密钥：ht”
18. Externally added files can be added to Git
19. ADODB.Stream 错误 '800a0bb9' 参数类型不正确，或不在可以接受的范围之内，或与其他参数冲突
20. 企业为什么要构建双活数据中心？F5怎么样？

热门文章

1. Ubuntu连接网线却连不上网的解决方法
2. 部署java环境变量_配置java环境变量
3. android service 构造函数,Android学习笔记五之Service
4. 自媒体爆文采集平台，让你的文章爆红
5. 彻底解决 windows10 总是反复自动打开手动设置代理的问题
6. 乙腈和水共沸_几种常用的共沸物及共沸温度
7. 入侵基于java Struts的JSP网站
8. Caj格式——编程中的文件格式
9. 一段代码演示koa的洋葱模型
10. 「深度」无人机实名制政策特稿|市场看好、资本关注，“反黑飞”正在崛起