信息安全与网络空间安全 - 保障您的在线安全

数据参考：CISP官方 

目录：

1. 信息与信息安全

2. 信息安全属性

3. 网络安全发展阶段

4. 网络空间安全保障

一、信息与信息安全 

1、什么是信息？

• 定义：信息是通过传递和处理的方式，用于传达知识、事实、数据或观点的内容。
• 形式：信息是无形的，可以以多种形式存在，如在姓名、邮箱、身份证号码、工作单位、驾照号码、家庭成员、家庭地址、手机号码等介质中。
• 传递：信息可以通过通信系统进行传输和处理。
• 价值：信息可以包含有价值的内容，能够改变人们的认识、理解和行为。
• 存储：信息可以存储在不同的介质中，如计算机、磁带、纸张等。
• 记忆：信息也可以存在于人的大脑中，即记忆中。

2、信息的价值:（信息的价值在个人和组织层面上都是存在的）

对个人来说：

        所有信息都具有一定的价值，但最有价值的信息是个人隐私。个人隐私包括个人身份、健康记录、金融信息等敏感数据。保护个人隐私对于保护个人权利、防止身份盗窃以及避免个人信息泄露至关重要。

对组织机构而言：

        借助媒体存在的信息成为组织的重要资产。比如，在银行中，客户资料是其信息资产之一；在办公自动化系统（OA）中，数据信息则是企业最有价值的资产之一。然而，一旦信息资产丢失，会对组织产生严重影响。

• 911事件的发生让聚集在世贸大厦的金融机构所存储的大量数据化为乌有。这个事件导致了许多公司面临信息资产的丢失，进而导致倒闭。

信息资产的丢失可以对个人和组织造成严重的影响，因此保护信息资产的安全至关重要。 

3、什么是信息安全？

• 国际标准化组织对信息安全定义：为数据处理系统建立和采取技术、管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而受到破坏、更改、泄露。

• 信息安全是为了保护计算机系统中的硬件、软件和数据不受到偶然或恶意的破坏、更改和泄露而采取的安全保护措施。这包括建立和采用适当的技术和管理措施，以减少风险并确保信息资产的机密性、完整性和可用性，以及防止未经授权的访问和数据泄露。
• 国际标准化组织（ISO）在ISO/IEC 27000系列标准中对信息安全进行了定义和规范。按照ISO的定义，信息安全涵盖了通过建立和采用技术和管理措施来保护计算机系统中的硬件、软件和数据，使其不受到偶然或恶意原因的破坏、更改或泄露。

4、信息安全问题 

        信息安全问题可以分为狭义和广义两个概念。狭义的信息安全概念建立在以技术为基础的安全范畴，也被称为计算机安全或网络安全。广义的信息安全问题则是一个跨学科领域的安全问题。

狭义的信息安全：

• 建立在以技术为基础的安全范畴，也被称为计算机安全或网络安全。
• 关注保护计算机系统、网络和相关技术的安全，如防止非法访问、恶意攻击和数据泄露等威胁。
• 借助技术措施，如防火墙、加密算法和访问控制等，确保计算机和网络资源的安全性。

广义的信息安全：

• 超越了技术层面，是一个跨学科的安全问题。
• 目标是保证组织业务的可持续性运行。
• 综合考虑人、管理和过程控制等因素，并关注组织内外的人员、业务流程、安全政策和管理机制。
• 考虑到人员的意识和培训、技术实施、管理控制和流程改进等多个方面，以确保信息在整个生命周期中的安全性。

总结起来，狭义的信息安全主要关注技术层面的安全，而广义的信息安全则跨越了技术层面，涵盖了更广泛的因素和考虑因素，以确保组织业务的可持续性运行。

5、信息安全问题的根源

信息安全问题的根源可以分为内在因素和外在因素，其中还包括人为因素和环境因素。下面是对这些因素的具体解释：

内因：信息系统复杂性

• 信息系统的复杂性导致漏洞的存在几乎是不可避免的。复杂的系统架构、复杂的过程和复杂的应用增加了信息系统中存在漏洞的可能性。这些漏洞可能是由于代码错误、设计缺陷或配置错误等问题导致的。

外因：威胁与破坏

• 外在因素包括各种威胁和破坏行为，可能来自个人、团体或国家等各种来源。这些威胁和破坏可以包括恶意软件、网络攻击、社会工程等，旨在获取敏感信息、破坏系统或盗窃财产。

人为因素：员工误操作、外部攻击

• 人为因素是信息安全问题的重要因素之一。员工的误操作、疏忽或不当行为可能导致数据泄露、系统被入侵或敏感信息遭受损害。此外，外部攻击者也可以通过社交工程、钓鱼等手段利用员工的弱点进行攻击。

环境因素：自然灾害和极端天气

• 环境因素也可能对信息安全造成影响。自然灾害如雷击、地震、火灾、洪水等可能导致信息系统的瘫痪、数据损坏或设备毁坏。极端天气条件也可能导致供电中断、网络中断或设备故障，从而影响信息安全。

综上所述，信息安全问题的根源可以归结为：内在因素和外在因素，包括信息系统的复杂性、各种威胁和破坏行为、人为因素以及环境因素。了解这些根源可以帮助我们更好地识别和解决信息安全问题。

二、信息安全属性

1、信息安全基本目标

【信息安全基本属性（CIA三元组）】

• 机密性：保护信息不被未经授权的个人、团体或系统访问。
• 完整性：确保信息在传输、存储和处理过程中不被意外或恶意篡改、损坏或修改。
• 可用性：信息和系统在需要时可正常使用和访问。

  

机密性

机密性（也称为保密性）是防止信息遭到有意或无意的非授权泄漏的重要属性。

• 保护机密性需要得到应有的重视，尤其是对于国家秘密、商业机密和个人隐私等敏感信息。

以下是保护机密性时需要考虑的问题：

1. 信息系统的使用是否受控制，而不是任何人都可接触到系统
2. 信息系统中的数据是否都有标识，以说明其重要程度
3. 信息系统中的数据访问是否有权限控制，即只允许授权用户访问敏感信息
4. 信息系统中的数据访问是否有记录，以便追踪和审计数据的访问活动

通过对这些问题进行考虑和解决，可以加强对机密性的保护。

完整性

完整性保护是确保信息系统中的数据处于未被篡改或破坏的完整状态。  

以下是完整性保护时需要考虑的问题：

1. 数据篡改：哪些数据可能受到篡改的威胁？这可能包括敏感数据、交易记录、配置文件等等。需要明确哪些数据是最重要且需要特别保护的。

2. 数据篡改的影响：如果数据被篡改，可能会导致的影响是什么？这可能包括信息系统运转的故障或停止、单位声誉的损害、对个人或组织造成经济损失的风险等。

3. 数据操作的权限：对于不同的数据，是否划分了不同的权限级别？确保只有经过授权的人员或角色才能进行敏感数据的修改、删除或更新操作。

4. 数据操作的记录：是否对数据的操作进行了记录？记录包括谁进行了操作、在何时进行的、对数据做了什么样的修改等。这样可以提供审计追踪的能力，以便在需要时进行调查和追责。

通过解决这些问题，您可以增强信息系统中数据的完整性保护。

信息被篡改示例

可用性 

确保可用性是确保数据和系统在需要时可正常使用的重要方面。

以下是在考虑可用性时需要考虑的问题：

1. 系统功能的可靠性：如何确保信息系统能随时提供所需的功能？这包括持续监控系统的运行状态、使用可靠的硬件和软件组件、进行系统维护和更新等。

2. 系统故障应对：如果系统由于某种原因无法使用，如何应对？备份是一种常见的方法，将数据和系统配置信息定期备份到另一个安全的位置，以便在系统故障时进行恢复。此外，如果有可能，还应考虑使用冗余和容错技术，以确保在单个组件或节点故障时仍能维持系统的可用性。

3. 故障修复：当出现故障时，如何快速修复系统以恢复正常运行？制定合适的紧急修复计划并确保团队有足够的资源和技能来进行故障排除和修复。

4. 手工接替：如果主要系统无法正常工作，是否准备了手工接替的备用方案？这可能包括备用设备或过渡流程，以确保业务的持续运营。

通过定期备份、故障修复计划和备用方案的准备，您可以增强信息系统的可用性。

 

【信息安全其他属性】

• 真实性：确保信息的真实性和准确性，防止信息被伪造或篡改。
• 可问责性：对未经授权的行为进行追踪和追责。
• 不可否认性：确保信息交互中的行为不被发起方否认。
• 可靠性：信息系统和网络的可靠性和稳定性，以确保其持续运行和抵御故障、攻击等威胁。

真实性 

确保信息的真实性是判断实体所声称属性的准确性，并对信息的来源进行鉴别。

以下是在考虑真实性时需要考虑的问题：

1. 信息来源的可靠性：评估信息的来源是否可靠和可信。这可能包括评估数据提供者的可信度和信誉，他们的背景和权威性等。可靠的信息来源有助于确保所提供的数据的真实性。

2. 数据验证和验证机制：引入适当的数据验证和验证机制，以检查和鉴别信息的真实性。这可能包括数字签名、加密技术、数字证书等。这些机制有助于防止伪造来源的信息。

3. 审查和调查：在出现可疑信息或来源时，进行适当的审查和调查。这可以包括验证信息的多个来源，与其他权威来源进行核实，以确保信息的真实性。

4. 教育和意识提高：培养组织内部员工和系统用户对真实性的重视和意识，教育他们如何辨别可信的来源和信息。

通过关注这些问题，可以加强对信息真实性的保护，减少伪造来源信息的风险。

可问责性 

        可问责性，也称为可审核性，是治理的一个重要方面。问责是承认和承担行动、产品、决策和政策的责任，包括在角色或就业岗位范围内的行政、协商和执行以及报告、解释并对所造成的后果负责。

确保问责性时，需要考虑以下问题：

1. 相关责任的明确性：明确定义和分配相关责任，确保每个人都明确自己的角色和职责。这有助于建立透明的工作环境，并使各方知道自己的行为和决策将要负责任。

2. 数据操作的记录：确保数据操作能够被记录下来，以便进行后续的审核和追踪责任。这可以通过日志记录、审计和跟踪数据操作的方式来实现。

通过明确责任并记录数据操作，可以提高问责性，并使组织或个人能够对其行为负责。

不可否认性

        不可否认性是指无法否认事件或行为的发生。在法律上，不可否认意味着参与交易的各方不能否认他们已经接收或发送了交易。

确保不可否认性时，需要考虑以下问题：

1. 行为发生的证明：在涉及不可否认的事务中，确保有可靠的证据来证明行为的发生。这可能包括电子记录、合同、存档、时戳等。

2. 防止伪造行为的发生证据：采取措施来防止行为发生证据的伪造。这可以包括使用数字签名或加密技术来确保行为的真实性和完整性。

通过确保有可靠的证据和采取防伪措施，可以保护不可否认性并确保参与者无法否认他们的行为。

可靠性 

        可靠性是指信息系统在规定的条件下能够按时完成所要求的功能。

确保可靠性时，需要考虑以下问题：

1. 系统的稳定性：系统应该能够长时间稳定地运行，不容易崩溃或出现故障。

2. 错误处理能力：系统应该能够及时识别并处理错误，避免错误的传播或对系统功能的影响。

3. 容错性：系统应该具备容错机制，能够在面对错误或故障时继续提供基本的功能和服务。

4. 可恢复性：系统应该能够在发生故障或数据损坏时迅速恢复正常运行，并能够恢复丢失的数据。

        对于可靠性的要求程度可以根据具体情况而异。某些关键性的系统，如金融交易系统或医疗设备，对可靠性的要求会更高，因为系统故障可能导致重大损失或危害。而对于其他非关键性的系统，可靠性要求可以相对较低。

        在设计和建设信息系统时，需要根据实际需求和业务需求来确定可靠性的要求，并采取相应的措施来实现和维护系统的可靠性。

三、网络安全发展阶段

1、通信安全

        在20世纪40年代至70年代，通信安全主要关注传输过程中数据的保护。这个时期，主要存在两种安全威胁：搭线窃听和密码学分析。

核心思想是通过密码技术解决通信的保密性，确保数据的保密性和完整性。

为了达到这个目的，采取了以下安全措施：

• 加密：使用密码算法对通信数据进行加密，使得只有授权的接收方能够解密和阅读数据。加密可以提供保密性，防止第三方窃取和窃听数据。

这种时期的通信安全主要通过加密技术来实现数据的保护。不同的加密算法和协议被开发出来以应对不同的安全需求。

2、计算机安全

        在20世纪70年代至90年代，计算机安全主要关注数据在处理和存储过程中的保护。这个时期，主要存在以下安全威胁：非法访问、恶意代码、脆弱口令等。

核心思想是预防、检测和减小计算机系统（包括软件和硬件）用户（授权和未授权用户）执行未授权活动所造成的后果。

为了达到这个目的，采取了以下安全措施：

• 访问控制：通过操作系统提供的访问控制技术，限制和管理用户对计算机系统的访问权限，防止非授权用户的访问。这可以通过用户身份验证、密码策略、访问权限配置等实施。

这个时期的计算机安全重点关注防止非法访问和未授权用户的活动，通过访问控制技术来保护计算机系统和用户的数据安全。

3、信息系统安全

        在20世纪90年代后，信息系统安全的关注重点转向了信息系统的整体安全。在这个时期，主要存在以下安全威胁：网络入侵、病毒破坏、信息对抗等。

核心思想是将安全的重点放在保护比"数据"更精炼的"信息"上。不仅要保护数据的机密性、完整性和可用性，还要保护信息的价值和整体安全。

为了达到这个目的，采取了以下安全措施：

1. 防火墙：建立防火墙来监控和控制网络流量，阻止未经授权的访问和恶意攻击。

2. 防病毒：使用防病毒软件来检测和消除计算机系统中的病毒和恶意软件。

3. 漏洞扫描：对系统进行漏洞扫描，及时发现系统中的弱点和安全漏洞，并采取措施进行修复。

4. 入侵检测：使用入侵检测系统来监视网络和系统活动，及时发现和阻止未经授权的入侵行为。

5. PKI（公钥基础设施）：使用公钥基础设施来提供加密、身份验证和数字签名等安全服务。

        这个时期的信息系统安全从技术扩展到管理层面，从静态的安全措施扩展到动态的安全防护。通过综合融合技术、管理和工程等措施，将信息系统安全作为信息化中的重要保障，不仅保护信息和信息系统，还助力支持业务使命的顺利进行。

4、信息安全保障

        在1996年，美国国防部首次提出了信息安全保障的概念，强调了对信息和信息系统对组织业务和使命的保障。这为信息安全的发展奠定了基础。

        随后，信息安全的概念在全球范围内得到延伸，也在我国得到了广泛应用。为了实现全面的信息安全保障，制定了一系列的总体要求和主要原则。

总体要求包括：

• 积极防御，综合防范（我国）：采取主动防御的态势，通过对威胁的预防、检测和应对来保护信息和信息系统的安全。

主要原则包括：

1. 技术与管理并重：既要注重技术手段的运用，如加密、防火墙等，也要加强管理措施，如访问控制、安全审计等，以实现全面的信息安全。

2. 正确处理安全与发展的关系：信息安全与组织的业务发展密切相关，需要在安全和发展之间找到平衡点，防范风险的同时促进业务的创新和发展。

        这些要求和原则强调了技术与管理的综合运用，以及在信息安全与组织业务发展之间的协调。通过综合的安全措施和策略，能够保障信息系统的安全性，并为组织的业务和使命提供稳定的支持。

5、网络空间安全 

        随着互联网的发展，网络空间安全成为一个重要的话题。互联网已将传统的虚拟世界和物理世界相互连接，形成了一个新的技术领域，同时也带来了新的安全风险。

        在工业控制系统、云计算、大数据、物联网和人工智能等领域，我们可以看到网络空间安全的重要性。

        网络空间安全的核心思想是强调"威慑"概念，将防御、威慑和利用结合成一个整体。这意味着不仅要采取防御措施来保护网络和系统免受攻击，还要通过威慑力量来预防潜在的威胁，同时充分利用网络空间的优势。

        通过综合运用技术手段、制定合适的安全策略和加强国际合作，可以实现网络空间安全的保障。这需要政府、企业、组织和个人共同努力，构建一个安全、稳定和可信赖的网络空间环境。

        网络空间安全的保障应该是一个三位一体的过程，包括防御潜在威胁的攻击，通过威慑力量来预防未来的威胁，并充分利用网络空间提供的机遇与优势。

四、网络空间安全保障

网络空间安全

1、信息化发展已经进入到网络空间阶段

• 网络空间安全是随着信息化发展而进入的一个重要领域。互联网将传统的虚拟世界与物理世界相互连接，形成了一个新的网络空间。
• 网络空间成为继海洋、陆地、天空、外太空之外的第五个空间概念的发展。

2、概念发展

• 在2008年，美国第54号总统令正式对网络空间（Cyberspace）进行了定义。
• 随后在2009年，网络空间政策评估发布，新技术的出现使得网络空间安全问题变得更加复杂。
• 在2010年，网络空间安全被纳入美国国家安全的范畴。
• 接着在2011年，网络空间也被纳入美军作战空间的考虑范围。

        这些事件的发生表明了网络空间安全的重要性，并且对其进行了正式的定义和政策规划。面对不断演变和发展的新技术，我们需要加强对网络空间安全的认识和保护，以应对日益复杂的网络安全威胁。

3、网络空间安全上升到国家安全的高度

• 网络空间安全已经成为国家安全的重要组成部分。在万物互联的时代，几乎所有事物都在线上进行，而几乎所有领域都面临网络攻击的风险。因此，保护网络空间安全对于国家安全至关重要。
• 网络攻击者可以轻易地突破互联网上的"国界"，他们无处不在，无法被地理国界所限制。
• 一旦网络安全受到侵害，个人隐私可能被泄露，财务安全可能受到威胁，关键基础设施可能瘫痪，甚至国家安全也可能受到严重影响。

 

4、网络空间安全影响每一企业、每一个人个人

        随着企业和个人对信息系统的依赖程度增加，没有了信息系统将会对业务运转和我们的生活产生巨大影响。

        如果没有了信息系统，企业将面临无法进行日常业务操作和数据管理的困境。传统的手工处理将变得低效且容易出错，导致生产效率下降和商业竞争力的减弱。企业无法正常进行供应链管理、销售和营销，甚至无法及时响应客户需求。

        对个人来说，没有了信息系统将使得我们的日常生活受到很大影响。无法使用电子邮件、社交媒体、在线购物和在线银行等服务，人们将难以进行日常沟通、获取信息和解决问题。此外，许多传统事务，如办理银行业务、购票、注册活动等，也将受到限制，需要耗费更多时间和资源。

        同时，网络空间安全事件如数据泄露也经常发生。这可能导致个人敏感信息被泄露、财务损失和信任危机。这不仅会对个人造成困扰，还可能对企业和整个社会造成重大影响。

        确实，像委内瑞拉全国大停电这样的事件也可能发生在任何国家，包括中国。网络空间安全威胁不受国家边界限制，因此所有国家都需要高度重视保护自身的网络和信息基础设施。

 

        为了应对这些风险，企业和个人应加强网络安全意识，采取必要的防护措施，包括使用强密码、定期更新软件、进行数据备份，并定期接受网络安全培训。国家层面也需要加强网络安全法规和政策的制定与执行，并加强国际合作来共同应对网络空间安全挑战。

5、网络战已经概念逐变成现实 

网络战是指一个国家或民族对另一个国家的计算机系统或网络进行渗透和攻击，以造成损害或破坏。随着信息技术的发展，网络战作为国家整体军事战略的一部分越来越重要。

通过网络攻击，国家可以实施以下行动：

• 信息战
• 网络侦察
• 网络破坏

以达到军事、政治和经济目的。网络战威胁不仅限于军事领域，还涉及经济、政治、社会和国际关系等各个领域。

为了应对这一威胁，各国加强网络战能力建设和防御，同时加强国际合作。具体措施包括：

• 招募和培训网络安全专家
• 制定网络安全政策和法规
• 加强网络监控和攻击源追踪
• 建设网络防御体系

通过加强网络安全和合作，可以减少网络战风险，保护网络空间的安全和稳定。

 

 6、国家网络空间安全战略

2016年12月，我国发布了《国家网络空间安全战略》，提出网络空间的发展是机遇，也是挑战。其中包括以下几个方面：

1. 网络渗透危害政治安全：网络攻击可能威胁国家的政治安全。

2. 网络攻击威胁经济安全：网络攻击可能对国家的经济安全造成威胁。

3. 网络有害信息侵蚀文化安全：网络上的有害信息可能对国家的文化安全造成侵蚀。

4. 网络恐怖和违法犯罪破坏社会安全：网络恐怖主义和网络犯罪可能破坏社会的安全。

5. 网络空间的国际竞争方兴未艾：不同国家在网络空间的竞争日益激烈。

6. 网络空间机遇和挑战并存：网络空间既有机遇，也有挑战。

总体而言，尽管网络空间存在各种挑战，但其中的机遇远大于挑战。 

 

7、网络空间安全战略

网络空间安全战略目标:

• 实现建设网络强国

强调:

• 维护网络空间主权
• 和平利用网络空间
• 依法理网络空间
• 统筹网络安全与发展

任务:

• 捍卫网络空间主权
• 坚决维护国家安全
• 保护关键信息基础设施
• 加强网络文化建设
• 打击网络恐怖和违法犯罪
• 完善网络治理体系
• 夯实网络安全基础
• 提升网络空间防护能力
• 强化网络空间国际合作

8、国家关键信息基础设施

        国家关键信息基础设施（Critical Information Infrastructure）是指与国家安全和公共利益密切相关，一旦数据泄露、遭到破坏或丧失功能，可能严重危害国家安全和公共利益的信息设施。

以下是一些属于关键信息基础设施的例子：

• 基础信息网络（包括互联网骨干网）
• 能源系统（如发电、输送、储存系统）
• 金融系统（包括银行、证券、支付系统）
• 交通系统（如航空、铁路、航运、道路交通）
• 教育系统（包括学校、大学网络）
• 科研系统（如科研机构、实验室）
• 水利系统（如水资源、水利设施）
• 工业制造系统（如重要工业流程和设施）
• 医疗卫生系统（包括医院、卫生信息交换）
• 社会保障系统（如社保、医保、养老保险）
• 公用事业系统（如供水、供气、供热）
• 国家机关的重要信息系统（如政务信息、国防系统）
• 重要互联网应用系统（如电子商务平台、电子政务系统）

保护这些关键信息基础设施的安全性对于国家安全和国计民生至关重要。国家需要采取措施来加强这些设施的防护，包括加密通信、网络监测、灾备备份、安全审计等，以确保其正常运行和应对潜在的威胁。