信息安全和网络空间安全

信息安全问题

狭义的信息安全概念

        建立在以IT技术为基础上的安全范畴

        也被称为计算机安全或网络安全

广义的信息安全问题

        一个跨学科领域的安全问题

        安全的根本目的是保证组织业务的可持续性运行

        信息安全应该建立在整个生命周期中所关联的人，事，物的基础上，综合考虑人，技术，管理和过程控制，使得信息安全不是一个局部而是一个整体

信息安全的问题根源

内因：信息系统复杂性导致漏洞存在不可避免

        过程复杂

       结构复杂

        应用复杂

外因：威胁与破坏

        人为因素：员工误操作，外部攻击（个人，团体，网络战部队）

        环境因素：雷击，地震，火灾，洪水等自然灾害和极端天气

信息安全的基本属性

机密性（保密性）

        防止信息遭到有意或无意的非授权泄露

信息的机密性应得到应有的重视

        国家秘密

        商业机密

        个人机密

机密性保护需要考虑到的问题

        信息系统的使用是否有控制，而不是任何人都可以接触到系统

        信息系统中的数据是否都有标识，说明重要程度

        信息系统中的数据访问是否有权限控制

        信息系统中的数据访问是否有记录

完整性

        保证信息系统中的数据处于完整的状态，没有遭到篡改和破坏

完整性保护需要考虑的问题

        什么样的数据可能被篡改

        被篡改的数据可能产生什么样的影响？影响到信息系统运行，影响待到单位声誉，影响到个人.......

        对数据是否划分清了不同的权限

        对数据的操作是否有记录

可用性

        确保数据和系统在需要时可用

可用性需要考虑的问题

        如何确保信息系统随时能提供需要的功能

        如果系统由于某种原因无法使用，如何应对

真实性

        实体是他所声称的属性，也可以理解为能对信息的来源进行判断，能对伪造来源的信息予以鉴别

真实性需要考虑的问题

        信息的来源是否可靠，来源可靠才能确保数据可靠

        是否能对伪造的信息进行鉴别

可问责性

        可问责性也称为可审核性，作为治理的一个方面，问责是承认和承担行动，产品，决策和政策的责任，包括在角色或就业岗位范围内的行政，治理和实施以及报告，解释并对所造成的后果负责。

可问责性需要考虑的问题

        是否明确相关责任

        对数据的操作是否能记录以便于审核责任

不可否认性

        证明要求保护的事件或动作及其发起实体的行为。在法律上，不可否认意味着交易一方不能拒绝已经接收到的交易，另一方面也不能拒绝已经发送的交易

不可否认性需要考虑的问题

        如何证明行为的发生

        如何证明欣慰的发生不可伪造

可靠性

        可靠性是信息系统能够在规定条件下，规定时间内完成规定功能的特性

可靠性需要考虑的问题

        对可靠性要求的程度

信息安全发展阶段

通信安全

20世纪，40年代-70年代

主要关注传输过程中的数据保护

安全威胁：搭线窃听，密码学分析

核心思想：通过密码技术解决通信保密，保证数据的保密性和完整性

安全措施：加密

计算机安全

20世纪 70-90年代

主要关注与数据处理和存储的数据保护

安全威胁：非法访问，恶意代码，脆弱口令等

核心思想：预防，检测和减小计算机系统（软硬件）用户（授权和未授权用户）执行未授权活动所造成的后果

安全措施：通过操作系统的访问控制技术来防止非授权用户的访问

信息系统安全

20世纪90年代后

主要关注系统整体安全

安全威胁：网络入侵，病毒破坏，信息对抗等

核心思想：重点在于保护比数据更精炼的信息

安全措施：防火墙，防病毒，漏洞扫描，入侵检测，PKI，VPN等

网络空间安全

互联网已经将传统的虚拟世界与物理世界互相连接，形成网络空间

新技术领域融合带来新的安全风险

        工业控制系统

        云大移物智

核心思想：强调“威慑”概念

信息华发展已经进入到网络空间阶段

        互联网将传统的虚拟世界与物理世界相互连接，形成网络空间

        网络空间成为继海洋，陆地，太空，外太空之外的第五空间

概念发展

        2008年。美国54号总统对网络空间正式定义

        2009年，网络空间政策评估发布，新技术的出现使得网络空间安全问题更为复杂

网络空间安全上升到国家安全高度

没有网络安全就没有国家安全

        万物互联时代，还有什么是不在线的？

网络空间安全影响每一企业，每一个人个人

业务对信息系统的依赖程度增加

事件

        数据泄露事件频频发生

网络战已经从概念变成现实

        震网病毒

        棱镜门事件

        勒索病毒

网络空间安全战略

2016年12月，我国发布了《国家网络安全空间策略》

目标：实现建设网络强国

国家关键基础设施

关系到国家安，国计民生，一旦数据泄露，遭到破坏或者丧失功能可能严重危害国家安全