【NISP一级】1.1 信息安全与网络空间安全
[NISP一级] 1.1 信息安全与网络空间安全
1 信息与信息安全
1.1 什么是信息
1.1.1 关于信息的定义
- 有价值的内容——ISO9000
- 通信系统传输和处理的对象,一般指时间或资料数据——现代汉语词典
1.1.2 信息的存在形式
- 信息是无形的
- 借助媒体以多种形式存在
- 存储在计算机、磁带、纸张等介质中
- 记忆在人的大脑里
1.2 信息的价值
- 信息都是有价值的
- 对于个人来说,最有价值的信息就是个人隐私
- 对于组织机构来说,借助媒体存在的信息就是组织的信息资产,例如:银行中的数据、客户资料、OA中的数据……
- 信息资产才是企业最有价值的资产
1.3 什么是信息安全
- 国际标准化组织对信息安全定义
- 为数据处理系统建立和采取技术、管理的安全保护,保护计算机硬件、软件、数据不因偶然或恶意的原因而收到破坏、更改、泄漏。
- 进不来、拿不走、改不了、看不懂、跑不了、可查询
1.4 信息安全问题
- 狭义的信息安全概念
- 建立在以IT技术为基础上的安全范畴
- 也被成为计算机安全或网络安全
- 广义的信息安全问题
- 一个跨学科领域的安全问题
- 安全的根本目的是保证组织业务可持续运行
- 信息安全应该建立在整个生命周期中所关联的人、事、物的基础上,综合考虑人、技术、管理和过程控制,使得信息安全不是一个局部而是一个整体
1.5 信息安全问题的根源
- 内因:信心系统复杂性导致漏洞的存在不可避免:过程复杂、结果复杂和应用复杂。
- 外因:威胁与破坏
- 人为因素:员工误操作、外部攻击(个人、团体、网络战部队)
- 环境因素:雷击、地震、火灾、洪水等自然灾害和极端天气
2. 信息安全属性
2.1 信息安全基本目标
- 信息安全基本属性(CIA三元组):机密性、完整性、可用性
- 信息安全其他属性:真实性、可问责性、不可否认性、可靠性、可控制性
2.2 信息安全基本属性
2.2.1 机密性(也称保密性)
- 机密性的定义:防止信息遭到有意或无意的非授权泄漏
- 信息的机密性应得到应有的重视:国家秘密、商业机密、个人隐私
- 机密保护需要考虑的问题
- 信息系统的使用是否有控制,而不是任何人都可接触到系统?
- 信息系统中的数据是否都有表示,说明重要程度?
- 信息系统中的数据访问是否有权限控制?
- 信息系统中的数据访问是否有记录?
2.2.2 完整性
完整性的定义:保证信息系统中的数据处于完整状态,没有遭受篡改和破坏。三防:防篡改、防删除、防插入
完整性保护需要考虑的问题
- 什么样的数据可能被篡改?
- 被篡改的数据可能产生什么样的影响?影响到信息系统运转、影响到单位名誉、影响到个人……
- 对数据是都划分清了不同的权限?
- 对数据的操作是否有记录?
2.2.3 可用性
- 可用性的定义:确保数据和系统在需要时可用
- 可用性需要考虑的问题
- 如何确保信息系统随时能提供需要的功能
- 如果系统由于某种原因无法使用,如何应对?修复?备份?手工接替?
2.3 信息安全其他属性
2.3.1 真实性
- 真实性的定义:实体是他所声称的属性,也可以理解为能对信息的来源进行判断,能对伪造来源的信息予以鉴别。
- 真实性需要考虑的问题
- 信息的来源是否可靠,来源可靠才能确保提供的数据可靠。
- 是否能对伪造的信息进行鉴别。
2.3.2 可问责性
- 可问责性的定义:可问责性也称为可审核性,作为治理的一个方面,问责是承认和承担行为、产品、决策和政策的责任,包括在角色或就业岗位范围内的行政,治理和实施以及报告、解释并对所造成的后果负责。
- 可问责性需要考虑的问题
- 是否明确相关责任
- 对数据的操作是否能记录以便于审核责任
2.3.3 不可否认性
- 不可否认性的定义:证明要求保护的时间或动作以及发起实体的行为。在法律上、不可否认意味这交易的一方不能拒绝已经接收到交易,另一方也不能拒绝已经发送的交易。
- 不可否认性需要考虑的问题
- 如何证明行为的发生
- 如何证明行为的发生不可被伪造
2.3.4 可靠性
- 可靠性的定义:可靠性是信息系统能够在规定条件下,规定时间内完成规定功能的特性。
- 可靠性需要考虑的问题
- 对可靠性要求的程度
2.3.5 可控制性
3. 网络安全发展阶段
3.1 通信安全
- 主要时间:20世纪40年代~70年代
- 主要关注:传输过程中的数据保护
- 安全威胁:搭线窃听、密码学分析
- 核心思想:通过密码技术解决通信保密,保证数据的保密性和完整性
- 安全措施:加密
3.2 计算机安全
- 主要时间:20世纪70~90年代
- 主要关注:数据处理和存储时的数据保护
- 安全威胁:非法访问、恶意代码、脆弱口令等
- 核心思想:防御、检查和减小计算机系统(包括软件和硬件)用户(授权和未授权用户)执行的未授权活动所造成的后果。
- 安全措施:通过操作系统的访问控制技术来防止非授权用户的访问。
3.3 信息系统安全
- 主要时间:20世纪90年代后
- 主要关注:信息系统整体安全
- 安全威胁:网络入侵、病毒破坏、信息对抗等
- 核心思想:重点在于保护比“数据”更精炼的“信息”
- 安全措施:防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等。
3.4 信息安全保障
3.4.1 信息安全保障概念
- 1996年,美国国防部DODD 5-3600.1首次提出信息安全保障概念:关注信息、信息系统对组织业务及使命的保障。如今信息安全概念延伸,实现全面安全
3.4.2 我国信息安全保障工作
- 总体要求:积极防御、综合防范
- 主要原则:技术与管理并重,正确处理安全与发展的关系
- 三个支柱:技术、法律法规、管理
3.4.3 信息系统安全保障
- 生命周期、保障要素、安全特征
把信息系统安全从技术扩展到管理,从静态扩展到动态,通过技术、管理、工程等措施的总和融合至信息化中,形成对信息、信息系统乃至业务使命的保障
4. 网络空间安全保障
4.1 网络空间安全
- 背景
- 信息化发展已经进入到网络空间阶段
- 互联网已经将传统的虚拟世界与物理世界相互连接,形成网络空间
- 网络空间成为继海洋、陆地、天空、外太空之外的第五空间
- 2008年,美国第54号总统令对网络空间(Cyberspace)正式定义
- 2009年,网络空间政策评估发布,新技术的出现使得网络空间安全问题更加复杂
- 2010年,网络空间安全纳入美国国家安全
- 2011年,网络空间纳入美军作战空间
- 新技术领域融合带来新的安全风险:工业控制系统、“云大移物智”(云计算、大数据、物联网、移动互联网、人工智能)
- 核心思想:强调威慑概念
将防御、威慑和利用结合称三位一体的网络空间安全保障
4.2 网络空间安全上升到国家安全高度
- 没有网络安全就没有国家安全
- 万物互联时代,还有什么是不在线的?
- 攻击者已经无处不在,因为互联网“国家”太容易越过。
4.3 网络空间安全影响每一企业,每一个人
- 业务对信息系统的以来程度增加
- 想象以下没有令信息系统,业务运转如何、我们的生活会变得如何?
- 事件
- 数据泄漏事件平凡发生
- 委内瑞拉全国大停电这样的事情也可能发生在中国
4.4 网络站已经从概念变成了现实
- 网络战:一个民族、国家为了造成损害或破坏而渗透另一个国家的计算机或网络的行动。网络战作为国家整体军事战略的一个组成部分已经成为趋势。
4.5 国家网络空间安全战略
- 2016年12越,我国发布了《国家网络空间安全战略》,提出网络空间的发展是机遇也是挑战。
- 网络渗透危害政治安全
- 网络攻击威胁经济安全
- 网络有害信息寝室文化安全
- 网络恐怖和违法犯罪破坏社会安全
- 网络空间的国际竞争方兴未艾
- 网络空间机遇和挑战并存,机遇大于挑战
4.6 网络空间安全战略
- 目标:实现建设网络强国
- 强调:维护网络空间主权、和平利用网络空间、依法治理网络空间、统筹网络安全与发展
- 任务:
- 捍卫网络空间主权、
- 坚决维护国家安全、
- 保护关键信息基础建设、
- 加强网络文化建设、
- 打击网络恐怖和违法犯罪、
- 完善网络治理体系、
- 夯实网络安全基础、
- 提升网络空间防护能力、
- 强化网络空间国际合作
4.7 国家关键基础信息设施
- 什么是关键信息基础设施
- 其关系国家安全、国计民生,一旦数据泄漏、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的基础设施
- 哪些是关键信息基础设施(关基)
- 基础信息网络、能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统,重要互联网应用系统
【NISP一级】1.1 信息安全与网络空间安全相关推荐
- nisp学习-1.1信息安全与网络空间安全
信息与信息安全 信息安全 信息安全,ISO(国际标准化组织)的定义为:为数据处理系统建立和采用的技术.管理上的安全保护,为的是保护计算机硬件.软件.数据不因偶然和恶意的原因而遭到破坏.更改和泄露. 进 ...
- 桂林电子计算机与信息安全学院,桂林电子科技大学计算机与信息安全学院网络空间安全保研...
微信搜索公众号"考研派之家",关注[考研派之家]微信公众号,在考研派之家微信号输入[桂林电子科技大学考研分数线.桂林电子科技大学报录比.桂林电子科技大学考研群.桂林电子科技大学学姐 ...
- 信息安全与网络空间安全
信息与信息安全 国际标准化组织对信息安全定义:为数据处理系统建立和采取技术.管理的安全保护,保护计算机硬件.软件.数据不因偶然的或恶意的原因而受到破坏.更改.泄露 信息安全问题的根源 内因:信息系统复 ...
- 【NISP一级】1.3 网络空间安全政策与标准
[NISP一级]1.3 网络空间安全政策与标准 1. 网络安全国家战略 1.1 国家指导政策 <中华人民共和国网络安全法>于2016 年出台,2017 年6月1日正式生效 <信息安全 ...
- 国家信息安全水平考试NISP一级模拟题(04)
试题总分:100分,时间:100分钟 100分 NISP一级单选题(最新) (每小题2分,本题共50个小题,共100分,60分及格) 1 2分 以下不属于Session攻击常用防护措施的是( ) A. ...
- NISP一级备考知识总结之信息安全概述、信息安全基础
参加每年的大学生网络安全精英赛通过初赛就可以嫖一张 nisp(国家信息安全水平考试) 一级证书,nisp 一级本身没啥考的价值,能白嫖自然很香 1.信息安全概述 信息与信息技术 信息概述 信息奠基人香 ...
- 国家信息安全水平考试NISP一级模拟题(02)
试题总分:100分,时间:100分钟 100分 NISP一级单选题(最新) (每小题2分,本题共50个小题,共100分,60分及格) 1 2分 OSI模型中位于最顶层并向应用程序提供服务的是( ) A ...
- 国家信息安全水平考试(NISP一级)考试题库①
希望各位一次过! 1. 信息有非常多的定义和说法,归结起来可以认为信息就是数据或事件.关于信息,下列说法错误的是(). (单选题,2分) A. 在一定程度上,人类社会的发展速度取决于人们感知信息.利用 ...
- 按图索骥|到底网络空间安全、网络安全、信息安全之间有啥区别?
更多精彩原创文章,请持续关注麟学堂公众号. B站"麟学堂-张妤"有专门针对性视频讲解及历次干货分享活动,欢迎关注. 每次给学员上课,还有给客户做咨询项目,或者对外演讲的时候,很多人 ...
- 读书笔记|信息安全,网络安全,网络空间安全之间的区别
信息:信息是事物属性的标识:信息是经过加工并对客观世界和生产活动产生影响的数据,是数据的内涵: 信息安全:即为保护信息及信息系统免受未授权的进入.使用.披露.破坏.修改.检视.记录及销毁. 网络安全: ...
最新文章
- Linux日常运维--6
- [Rtsp]RTSP对实时摄像头视频流进行转换(FFmpeg+FFserver)
- 提高mysql查询速度_如何提高数据库查询速度
- java掩码校验_Java 检查Ip掩码
- php 中文截断,PHP中实现中文字串截取无乱码的解决方法
- 海量数据下的存储技术,哪些模式靠得住?
- 排除jar_通过IDEA快速定位和排除依赖冲突
- 国内国外最好的java开发论坛及站点 [转]
- linux 连接到阿里云服务器
- 使用tcpdump抓Android网络包
- VS2008配置directx8
- 浏览器主页劫持查杀,查杀主页劫持木马方法
- 毕业论文查重不合格会怎么样?
- 计算机如何使用键盘复制粘贴,电脑复制粘贴快捷键,小编教你电脑怎么用键盘复制粘贴...
- 面转栅格之ERROR 999999:执行函数时出错
- 三十岁以后,我一定能阔起来!
- 页面提示“百度未授权使用地图API,可能是因为您提供的密钥不是有效的百度LBS开放平台密钥,或此密钥未对本应用的百度地图JavaScriptAPI授权。您可以访问如下网址了解如何获取有效的密钥:ht”
- Externally added files can be added to Git
- ADODB.Stream 错误 '800a0bb9' 参数类型不正确,或不在可以接受的范围之内,或与其他参数冲突
- 企业为什么要构建双活数据中心?F5怎么样?