《信息安全工程师教程》学习笔记01（第一章）

第一章 信息安全基础

信息安全概念、信息安全法律法规、信息安全管理基础、信息安全标准化知识。

1.1 信息安全概念

1.1.1 信息安全是信息时代永恒的需求

超级计算机、量子计算机、DNA计算机

1448量子位计算机可以攻破256椭圆曲线密码、2048量子位的量子计算机可以攻破1024位RSA密码。我国居民二代身份证是256位椭圆曲线密码。

密码破译的量子计算算法主要有：Grover算法和Shor算法。

1.1.2 网络空间安全学科的内涵

Cyberspace：信息空间、网络空间、网电空间、数字世界等。称之为赛博空间。

网络空间安全的核心内涵是信息安全。

信息安全主要包含：信息的秘密性、完整性、可用性。

信息安全科划分为四个层次：设备安全、数据安全、内容安全、行为安全。

网络空间安全学科是研究信息获取、信息存储、信息传输和信息处理领域中信息安全保障问题的一门新兴科学。

1.1.3 网络空间安全学科的主要研究方向和研究内容

1. 密码学：对称密码、公钥密码、摘要函数、密码协议、新型密码、密钥管理、密码应用。
2. 网络安全：网络安全威胁、通信安全、协议安全、网络防护、入侵检测、入侵响应、可信网络。
3. 信息系统安全：信息系统的安全威胁、信息系统的硬件系统安全、信息系统的软件系统安全、访问控制、可信计算、信息系统安全等级保护、信息系统安全测评认证、应用信息系统安全。
4. 信息内容安全：信息内容的获取、信息内容的分析与识别、信息内容的管理和控制、信息内容安全的法律保障。
5. 信息对抗：通信对抗、雷达对抗、光电对抗、计算机网络对抗。

1.1.4 网络空间安全学科的理论基础

1. 数学是一切自然科学的理论基础、也是网络空间安全学科的理论基础。
2. 信息论、控制论和系统论是现代科学的理论基础，因此也是网络空间安全学科的理论基础。
3. 计算机理论也是网络空间安全学科的理论基础。
4. 访问控制理论是网络空间安全学科所特有的理论基础。

1.1.5 网络空间安全学科的方法论基础

核心内容：理论分析、逆向分析、实验验证、技术实现。

1.2 信息安全法律法规

1.2.1 我国立法现状

• 国务院于1994年2月18日颁布《中华人民共和国计算机信息系统安全保护条例》，这是一个标志性、基础性的法规。
• 总体上我国信息安全立法还处于起步阶段：1）没有形成一个完整性、实用性、针对性的完善的法律体系；2）不惧开放性；3）缺乏兼容性；4）难以操作；

1.2.2 计算机和网络安全的法规规章

• 2015年6月，第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法（草案）》。
• 1994年2月18日，中华人民共和国国务院令147号发布了《中华人民共和国计算机信息系统安全保护条例》。
• 1997年5月20日，国务院令第218号发布了修订后的《中华人民共和国计算机信息网络国际联网管理暂行规定》。
• 1998年3月6日，国务院信息办发布了《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》。
• 2000年1月25日，国家保密局颁布了《计算机信息系统国际联网保密管理规定》。
• 1997年6月，公安部颁布了《计算机信息系统安全专用产品检测和销售许可证管理办法》。
• 1999年10月，国务院发布了《商用密码管理条例》。
• 2000年4月26日，公安部第151号令颁布了《计算机病毒防治管理办法》。
• 2005年4月，《中华人民共和国电子签名法》正式施行。
• 2008年5月1日，正式施行的《中华人民共和国政府信息公开条例》。
• 2002年，国务院《计算机软件保护条例》正式施行。
• 2006年5月10日，国务院第468号令通过了《信息网络传播权保护条例》。

1.3 信息安全管理基础

1.3.1 信息安全管理

信息安全定义：保护信息系统的硬件、软件及相关数据，使之不因为偶然或恶意的侵犯而遭受破坏、更改和泄露；保证信息系统中信息的机密性（Confidentiality）、完整性（Integrity）和可用性（Availability）。

密码管理

国家密码管理局2006年1月6日发布，“无线局域网产品须使用的系列密码算法”，包括：对称算法（SMS4）、签名算法（ECDSA）、密钥协商算法（ECDH）、杂凑算法（SHA-256）、随机数生成算法（自行选择）。

网络管理

功能上划分为：配置管理、性能管理、安全管理、故障管理等。

网络管理多个发展方向：网管系统、应用性能管理、桌面管理、员工行为管理、安全管理。

设备管理

遵守国家标准：

• GB50173-1993《电子计算机机房设计要求》；
• GB2887-89《计算站场地技术条件》；
• GB9361-1988《计算站场地安全要求》；

人员管理

所有信息系统相关人员都应当接受信息安全意识教育。主要包括：

• 组织信息安全方针与控制目标；
• 安全职责、安全程序及安全管理规章制度；
• 适用的法律法规；
• 防范恶意软件以及其他与安全有关的内容；

1.3.2 信息安全政策

等级保护

2007年6月联合发布《信息安全等级保护管理办法》，划分为五级：

1. 第一级，会对公民、法人和其他组织的合法权益造成损伤，不损害国家安全、社会秩序和公共利益。
2. 第二级，会对公民、法人和其他组织合法权益严重损伤，对社会秩序和公共利益造成损害，不损害国家安全。
3. 第三级，会对社会秩序和公共利益造成严重损害，对国家安全造成损害。
4. 第四级，会对社会秩序和公共利益造成特别严重损害，对国家安全造成严重损害。
5. 第五级，会对国家安全造成特别严重损害。

GB17859—1999《计算机信息系统安全保护等级划分准则》：

1. 第一级 用户自主保护级；
2. 第二级 系统审计保护级；
3. 第三级 安全标记保护级；
4. 第四级 结构化保护级；
5. 第五级 访问验证保护级；

分级保护

1. 秘密级，防护水平>=信息安全等级保护三级
2. 机密级，防护水平>=信息安全等级保护四级
3. 绝密级，防护水平>=信息安全等级保护五级

涉密信息系统分级保护管理过程分为八个阶段：

1. 系统定级阶段；
2. 安全规划方案设计阶段；
3. 安全工程实施阶段；
4. 信息系统测评阶段；
5. 系统审批阶段；
6. 安全运行及维护阶段；
7. 定期评测与检查阶段；
8. 系统隐退终止阶段；

实际工作中，涉密信息系统的定级、安全规划方案设计的实施与调整、安全运行及维护三个阶段，尤其重视。

网络隔离

网络隔离技术的安全要点如下几点：

1. 要具有高度的自身安全性；
2. 要确保网络之间是隔离的；
3. 要保证网间交换的只是应用数据；
4. 要对网间的访问进行严格的控制和检查；
5. 要在坚持隔离的前提下保证网络畅通和应用透明；

安全监控

分为网络安全监控和主机安全监控。

1.3.3 信息安全风险评估与管理

信息系统的安全风险：由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。

信息安全评估：依据有关信息安全技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。

风险评估

风险评估的具体过程：

1. 确定资产；
2. 脆弱性和威胁分析；
3. 制定及评估控制措施；
4. 决策；
5. 沟通与交流；
6. 监督实施；

评估方法概括有三大类：

1. 定量评估方法；
2. 定性评估方法；
3. 定性与定量相结合的综合评估方法；

风险管理

确立风险意识的文化、对风险进行现实的评估、确立风险承担制、风险管理纳入信息化建设的日常工作中。

1.4 信息安全标准化知识

1.4.1 技术标准的基本知识

在我国，将标准级别依据《中华人民共和国标准化法》划分为国家标准、行业标准、地方标准、企业标准等4个层次。

GB/Z——“国家标准化指导性技术文件”

GB/T——推荐性国家标准

GB——强制性国家标准

1.4.2 标准化组织

• 国际标准化组织（ISO）、国际电工委员会（IEC）
• 美国国家标准化协会（ANSI）、美国国家标准技术研究所（NIST）、美国电器电工工程师协会（IEEE）
• 2002年成立全国信息安全标准化技术委员会（信安标委，TC260）

1.4.3 信息安全标准

信息安全管理体系标准 

BS7799—2001年2月被国际标准化组织采纳为国际标准ISO/IEC 17799。

BS7799作为信息安全管理领域的一个权威标准，是全球业界一致公认的辅助信息安全治理手段，该标准最大的意义在于可以为管理层提供一套可量体裁衣的信息安全管理要项、一套与技术负责人或组织高层进行沟通的共同语言，以及保护信息资产的制度框架。

技术与工程标准

ISO/IEC 15408—1999《信息技术、安全技术、信息技术安全性评估准则》（简称CC）

CC分为三个部分：

1. 第一部分“简介和一般模型”
2. 第二部分“安全功能要求”
3. 第三部分“安全保障要求”

2001年参照国际标准制定了国家标准GB/T 18336《信息技术安全性评估准则》，作为评估信息技术产品与信息安全特性的基础准则。

• WG1——信息安全标准体系与协调工作组
• WG2——涉密信息系统安全保密工作组
• WG3——密码工作组
• WG4——鉴别与授权工作组
• WG5——信息安全评估工作组
• WG7——信息健全管理工作组