NISP一级学习笔记
- 信息安全概述
1.1信息与信息安全
信息奠基人香农认为:信息是用来消除随机不确定性的东西。
信息是事物运动状态或存在方式的不确定性的描述。
信息是具体的,并且可以被人(生物、机器)所感知、提取、识别,可以被传递、储存、变换、处理、显示检索和利用的。
信息来源于物质,又不是物质本身;它从物质的运动中产生出来,又可以脱离源物质而寄生于媒体物质,相对独立的存在。
信息的定义:
信息是有意义的数据,它具有一定的价值,是一种需要适当保护的资产。数据是反映客观事物属性的记录,是信息的具体表现形式。数据经过加工处理之后,就成为信息;而信息需要经过数字化处理转变成数据才能存储和传输。
信息的功能:
反映事物内部属性、状态、结构、相互联系以及与外部环境的互动关系,减少事物的不确定性。
信息的表达:
信息本身是无形的,借助于信息媒体以多种形式存在或传播。它可以存储在计算机、磁带、纸张等介质中,也可以记忆在人的大脑里,还可以通过网络等方式进行传播。
信息与消息:
信息不同于消息,消息是信息的外壳,信息则是消息的内核,也可以说:消息是信息的笼统概念,信息则是消息的精确概念。
信息与数据:
信息不同于数据,数据是信息的符号表示,或称载体;信息是数据的内涵,是数据的语义解释。数据是信息存在的一种形式,只有通过解释或处理才能成为有用的信息。数据可用不同形式表示,而信息不会随数据不同的形式而改变。
1.2信息技术
信息技术(Information Technology,IT)是用于管理和处理信息所采用的的各种技术的总称。
主要是利用计算机科学和通信技术来设计、开发、安装和实施信息系统及应用软件。
信息处理是获取信息并对它进行变换,使之成为有用信息并发布出去的过程,主要包括信息的获取、储存、加工、发布和表示等环节。
目前,信息收集和处理已经成为人们社会工作的一个重要组成部分了。
信息技术包括生成和应用两个方面
信息技术生产主要体现在信息技术产业本身,包括计算机软件、计算机硬件、设备制造、微电子电路等。
信息技术应用体现在信息技术的扩散上,包括信息服务、信息管理系统等。
信息技术的发展阶段
微电子、通信、计算机和网络是信息系统的核心技术,其发展进程大致可分为以下四个阶段
第一阶段:电讯(电子通讯)技术的发明
信息技术的起源可追溯到19世纪30年代,其标志性事件是电话电报的出现。
电讯技术新时代
1835年,美国人莫尔斯发明电报
1837年,莫尔斯电磁式有线电报问世
1886年,马可尼发明无线电报机
1876年,贝尔发明电话机
1906年,美国物理学家费森登成功研究出无线电广播
1912年,美国Emerson公司制造出世界上第一台收音机
1925年,约翰贝德发明世界上第一台电视机
第二阶段:计算机技术的发展
进入20世界30年代,计算机理论与技术迅速发展,信息技术进入计算机阶段
20世纪50年代末,第一代电子管计算机出现,用于军事科研信息处理
60年代中期,第二代晶体管计算机逐渐在民用企业中使用
60年代末,集成电路(Integrated Circuit,IC)和大规模集成电路计算机接踵而至,并开始在社会普及应用。
第三阶段:互联网的使用
20世纪60年代末。美国出现了第一个用于军事目的的计算机网络ARPANET。ARPANET的重要意义在于它使连接到网络上的计算机能够相互交流信息
20世纪90年代,计算机网络发展成全球性网络—因特网,网络技术和网络应用迅猛发展。此外,这一阶段电话、计算机等设备也实现了互联互通,信息和数据的传输更加容易。信息技术在这一阶段的飞速发展,深刻的影响着人民的工作和生活方式。
第四阶段:网络社会
20世纪末,以Internet为核心的信息技术进一步发展,人们的工作、生活和学习越来越离不开网络,国家的经济、社会治理也与网络密不可分。
高度发展的信息网络,一方面通过现实社会投射,构成了虚拟“网络社会”;另一方面通过网络信息渗透,融合了各种已经存在的社会实体网络,使“网络社会”成为整个现实社会的结构形态。至此,信息技术步入一个崭新的阶段—网络社会阶段
在这一阶段,云计算、物联网和大数据技术进入人们的生活,信息和数据的保存、传输更加容易。
1.3信息安全
信息安全一般指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)收到保护,不受偶然的或者恶意原因的影响而遭到破坏、更改、泄露,系统连续可靠正常的运行,信息服务不中断,最终实现业务连续性。信息安全的根本目的是使信息不受内部、外部、自然等因素的威胁。所谓信息安全就是关注信息本身的安全,而不管是否应用了计算机作为信息处理的手段。
在我国信息安全标准化委员会发布的GB/T 25069-2010《信息安全技术术语》中,信息安全是指保持、维持信息的保密性、完整性和可用性,也包括真实性、可核查性、抗抵赖性和可靠性等性质。
信息安全的目标:
保证信息上述安全属性得到保持,不被破坏,从而对组织业务运行能力提供支撑。
信息安全的任务:
保护信息资产(信息及信息系统)免受未授权的访问使用、披露、破坏、修改、查看、记录及销毁。
从消息的层次来看,信息安全的属性有:
机密性:机密性也称为保密性,控制信息资源的开放范围,确保信息在存储、使用、传输过程中不会泄露给非授权用户、实体和进程,或被其利用。
完整性:确保信息在存储、使用、传输过程中保持未经授权不能改变的特性,即对抗主动攻击,保持数据一致,防止数据被非法用户修改和破坏。
不可否认性:又称抗抵赖性,即建立有效的责任机制,防止用户否认其发送信息的行为和信息的内容。
从网络的层次来看,信息安全的属性有:
可用性:确保授权用户、实体和进程对信息及资源的正常使用不会被不合理拒绝,允许其可靠而及时的访问信息及资源。
可控性:对信息的传播范围及内容具有控制能力,防止非法利用信息和信息系统。
相对性:安全是相对的、动态的,没有绝对安全的系统。所以需要及时对系统安全问题进行跟踪处理,定期进行整体安全评估,及时发现问题并加以解决。
时效性:安全不能一劳永逸,需要根据安全风险,及时制定应对策略。
相关性:在更改配置等操作时,需要对系统重新进行评估和同步更新安全措施。
不确定性:攻击发起的时间、地点、攻击者和攻击目标都具有不确定性,在制定安全应对措施时,要尽可能考量所有潜在的安全威胁。
复杂性:信息安全是一项系统工程,涉及到安全管理、教育、培训、立法、国际合作等领域。
与传统安全相比,信息安全具有4个鲜明的特征:
系统性:系统地从技术、管理、工程和标准法规等各层面综合保障信息安全。
动态性:对信息安全不能抱有一劳永逸的思想,应该根据风险的变化,在信息系统的整个生命周期中采取相应的安全措施来控制风险。
无边界性:信息系统安全威胁超越了现实地域和现实行业的限制。
非传统性:与军事安全、政治安全等传统安全相比,信息安全涉及的领域和影响范围十分广泛。