软考信息安全工程师笔记(第一章--信息安全基础)

1. 信息安全概念

2. 信息安全法律法规

3 信息安全管理基础

1. 信息安全概念

Cyberspace：指由计算机创建的虚拟信息空间，是信息环境中的一个全球域，由独立且互相依存的IT基础设施和网络组成，包括互联网、电信网、计算机系统、嵌入式处理器和控制器。

传统的信息安全强调信息（数据）本身的安全属性，认为信息安全主要包括：

信息的秘密性：不被未授权者知晓；
信息的完整性：信息是正确的、真实的、未被篡改的、完整无缺的；
信息的可用性：信息可以随时正常使用

由此看来信息系统安全科划分四个层次：设备、数据、内容、行为安全。数据安全即为传统的信息安全。

1.1 设备安全

设备的稳定性：设备在一定时间不出故障的概率
设备的可靠性：设备能在一定时间内正常执行任务的概率
设备的可用性：设备随时可以正常使用的概率

1.2 数据安全

数据的秘密性：数据不被未授权者知晓；
数据的完整性：数据是正确的、真实的、未被篡改的、完整无缺的；
数据的可用性：数据可以随时正常使用

1.3 内容安全

信息内容在政治上是健康的
信息内容符合国家法律法规
信息内容符合中华民族优良的道德规范
内容保密、知识产权保护、信息隐藏、隐私保护

1.4 行为安全

行为的秘密性：行为的过程和结果不能危害数据的秘密性
行为的完整性：行为的过程和结果不能危害数据的完整性
行为的可控性：当行为的过程出现偏离预期是，能够发现、控制和纠正

网络空间安全

1 密码学

对称密码
公钥密码
Hash函数
密码协议
新型密码：生物密码、量子密码
密钥管理
密码应用

2 网络安全

网络安全威胁
通信安全
协议安全
网络防护
入侵检测
入侵响应
可信网络

3 信息系统安全

信息系统的安全威胁
信息系统的硬件系统安全
信息系统的软件系统安全
访问控制
可信计算
信息系统的安全等级保护
信息系统的安全测评认证
应用信息系统安全

4 信息内容安全

信息内容的获取
信息内容的分析与识别
信息内容的管理和控制
信息内容安全的法律保障

5 信息对抗

通信对抗
雷达对抗
光电对抗
网络对抗

数学是密码学的基础

协议是网络的核心，协议安全是网络安全的核心

本质上，密码破译就是求解数学难题，如果该题理论不可计算则该密码是理论上安全的。如果该题虽然理论可计算，但由于计算复杂性太大而实际不可计算则该密码是实际安全的（计算上安全的）

2. 信息安全法律法规

1 我国立法现状

我国信息安全法律体系可分为以下4个层面
一般性法律规定：《宪法》、《国家安全法》、《国家秘密法》
规范和惩罚信息网络犯罪的法律：《中华人民共和国刑法》、《全国人大常委会关于维护互联网安全的决定》
直接针对信息安全的特别规定：《中华人民共和国计算机信息系统安全保护条例》
具体规范信息安全技术、信息安全管理等方面的法律：《商用秘密管理条例》、《计算机病毒防治管理办法》、《计算机软件保护条例》

总体上我国信息安全立法还处在起步阶段

没有形成完整性、实用性、针对性的完善的法律体系
不具备开放性
缺乏兼容性
难以操作

计算机犯罪

窃取和破坏计算机资产
未经批准使用计算机信息系统资源
批准或超越权限接受计算机服务
篡改或窃取计算机中保存的信息或文件
计算机信息系统装入欺骗性数据和记录
窃取或诈骗系统中的电子钱财

2 互联网安全的刑事责任

威胁互联网运行安全的行为

侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统
故意制作、传播计算机病毒等破坏性程序攻击计算机系统及通信网络，只是计算机系统及通信网络遭受损害
违反国家规定，擅自中断计算机网络或通信服务，造成计算机网络或通信系统不能正常运行

威胁国家安全和社会稳定的行为

利用互联网造谣、诽谤或者发表、传播其他有害信息，煽动颠覆国家政权、推翻社会主义制度，或者煽动分裂国家、破坏国家统一
通过互联网窃取、泄露国家秘密、情报或者军事秘密
利用互联网煽动民族仇恨、民族歧视，破坏民族团结
利用互联网组织邪教组织、联络邪教组织成员，破坏国家法律、行政法规实施

威胁社会主义市场经济秩序和社会管理秩序的行为

利用互联网销售伪劣产品或者对商品、服务作虚假宣传
利用互联网损坏他人商业信誉和商品声誉
利用互联网侵犯他人知识产权
利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息
在互联网上建立淫秽网站、网页，提供淫秽站点链接服务，或者传播淫秽书刊、影片、音像、图片。

威胁个人、法人和其他组织的人身、财产等合法权利的行为

利用互联网侮辱他人或者捏造事实诽谤他人
非法截获、篡改、删除他人电子邮件或者其他数据资料，侵犯公民通信自由和通信秘密
利用互联网进行盗窃、诈骗、敲诈勒索

1994年2月18日中华人民共和国国务院令147号发布了《中华人民共和国计算机信息系统安全保护条例》。该条例是我国在信息系统安全保护方而最早制定的一部法规

条例适用于组织和个人
中华人民共和国境内的计算机信息系统的安全保护适用本条例
未联网的微型计算机的安全保护不适用本条例
军队的计算机信息系统安全保护工作，按照军队的有关法规执行

1995 年颁布实施《政务信息工作暂行办法》

1997年5月20日国务院令第218号发布了修订后《中华人民共和国计算机信息网络国际联网管理暂行规定》

1999 年10月国务院发布了《商用密码管理条例》

1990 年制定，2001 年修正《中华人民共和国著作权法》

公安部第151号令于2000年4月26日颁布了《计算机病毒防治管理办法》

2005年4月《中华人民共和国电子签名法》

2008 年5月1日正式施行的《中华人民共和国政府信息公开条例》

3 信息安全管理基础

管理商用密码实行“统一领导，集中管理，定点研制，专控经营，满足使用”

网络管理体系结构应该包括以下四个方面

协议：以SNMP为主。因为SNMP属于应用层，因而可方便地支持全网性远程管理，前提是物理上的可达性。
表示：适用面向对象式的表示方法，例如SNMP所使用的ASN.1 定义方法，用于定义管理对象库(MIB)，并需针对新的管理需求( 如业务管理)定义新的MIB库。
安全：管理者和被管理者之间要有认证和加密协议。管理和被管理对象之间一定要建立安全联系，保证管理动作万无一失。
对象：包括设备、各种协议、业务和交易过程。这将是管理的目标所在。网管的目的不仅在于提供网络单元和网络功能的透明性，更重要的是，使得网络各组成部分协调统- -地支持用户需求和各种业务。这部分工作有两方面:其-是定义被管对象的属性及其操作方法，其二是对其进行表示化工作。这很像是对网络进行面向对象的分析和设计

《信息安全等级保护管理办法》将信息系统的安全保护等级分为以下五级

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。

GB17859- -1999 标准规定了计算机系统安全保护能力的五个等级，即;用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级

涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级，可以划分为秘密级、机密级和机密级(增强)、绝密级三个等级

秘密级，信息系统中包含有最高为秘密级的国家秘密，具防护水平不低于国家信息安全等级保护三级的要求，并且还必须符合分级保护的保密技术要求。
机密级，信息系统中包含有最高为机密级的国家秘密，其防护水平不低于国家信息安全等级保护四级的要求，还必须符合分级保护的保密技术要求。属于下列情况之一的机密级信息系统应选择机密级(增强)的要求:信息系统的使用单位为副省级以上的党政首脑机关，以及国防、外交、国家安全、军工等要害部门、信息系统中的机密级信息含量较高或数量较多、信息系统使用单位对信息系统的依赖程度较高。
绝密级，信息系统中包含有最高为绝密级的国家秘密，其防护水平不低于国家信息安全等级保护五级的要求，还必须符合分级保护的保密技术要求，绝密级信息系统应限定在封闭的安全可控的独立建筑内，不能与城域网或广域网相连。