nisp学习-1.1信息安全与网络空间安全
信息与信息安全
信息安全
信息安全,ISO(国际标准化组织)的定义为:为数据处理系统建立和采用的技术、管理上的安全保护,为的是保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露。
进不来 拿不走 改不了 看不懂 跑不了 可查询
狭义的信息安全
建立在以IT技术基础上的的安全范畴,是计算机安全应用技术,也被称为网络安全或计算机安全
广义上的信息安全
一个跨学科领域的安全问题
安全的根本目的是保证组织业可持续运行
信息安全应该建立在整个生命周期中所关联的人、事、物的基础上,综合考虑人、技术、管理和过程控制,使得信息安全不是一个局部而是一个整体
信息安全问题产生
内因方面主要是信息系统复杂性导致漏洞的存在不可避免
过程复杂性
结构复杂
应用复杂
外因主要包括环境因素和人为因素
从自然环境的角度看,雷击、地震、火灾、洪水等自然灾害和极端天气也容易引发信息安全问题
从人为因素来看,有骇客、犯罪团伙、恐怖分子等多种,我们可以分为个人层面威胁、组织层面威胁和国家层面威胁三个层面
信息安全属性
信息安全的三大基本属性(CIA三元组):
1、保密性,是指信息不泄漏给非授权的个人和实体,或供其使用的特性;
信息的机密性应得到应有的重视
国家秘密
商业机密
个人隐私
机密性保护需要考虑的问题
信息系统的使用是否有控制,而不是任何人都可以接触到系统
信息系统中的数据是否都有标识,说明重要程度
信息系统中的数据访问是否有权限控制
信息系统中的数据访问是否有记录
2、完整性,是指信息在存储、传输和提取的过程中保持不被修改延迟、不乱序和不丢失的特性;
完整性保护需要注意的问题
什么样的数据可以被篡改
被篡改的数据可能会产生什么样的影响?影响信息系统的运转、影响到单位的声誉、影响到个人
对数据是否划分清了权限
对数据的操作是否产生了影响
3、可用性,是指信息可被合法用户访问并能按要求顺序使用的特性。
可用性需要考虑的问题
如何确保信息系统随时能提供需要的功能
如果系统由于某种原因无法使用,如何应对
备份
修复
手工接替
其他安全属性:
1、真实性,是指网络空间信息与实际物理空间、社会空间的客观事实保持一致性。如,网络谣言信息不符合真实情况,违背了客观事实。
真实性需要考虑的问题
信息的来源式否可靠,来源可靠才能确保提供数据可靠
是否能对伪造的信息进行鉴别
2.不可否认性,也称不可抵赖性,是指防止网络信息系统相关用户否认其活动行为的特性。在信息交换过程中,确信参与方的真实同一性,即所有参与者都不能否认和抵赖曾经完成的操作和承诺。简单地说,就是发送信息方不能否认发送过信息,信息的接收方不能否认接收过信息。利用信息源证据可以防止发信方否认已发送过信息,利用接收证据可以防止接收方事后否认已经接收到信息。数据签名技术是解决不可否认性的重要手段之一。
不可否认性考虑的问题
如何证明行为的发生
如何证明行为的发生不可被伪造
3.可靠性,是指网络信息系统在规定条件及时间下,能够有效完成预定的系统功能的特性。
可靠性考虑的问题
对可靠性要求的程度
4.可问责性:又称可审核性,做为智利的一个方面,问责就是承认和承担行动、产品、决策和政策的责任,包括在角色或就业岗位范围内的行政、治理和实施以及报告、解释并对所造成的后果负责
可问责性需要考虑的问题
是否明确相关责任
对数据的操作是否能记录以便于审核责任
信息安全的发展阶段
通信安全(20世纪40年代-70年代)
1.那个时候主要关注传输过程中的数据保护
2.安全威胁:搭线窃听、密码学威胁
3.核心思想:通过密码技术解决通信保密,保证数据的保密性和完整性
4.安全措施:加密
计算机安全(20世纪70-90年代)
1.主要关注于数据处理和存储时的数据保护
2.安全威胁:非法访问、恶意访问、脆弱口令等
3.核心思想:预防、检测和减小计算机系统(包括软硬件)用户(授权和未授权用户)执行的未授权活动所造成的后果
4.安全措施:通过操作系统的访问控制技术来防止非授权用户的访问
(此时PC端还没有连入互联网)
信息系统安全(20世纪90年代后)
1.主要关注信息系统的整体安全
2,安全威胁:网络入侵、病毒破坏、信息对抗
3.核心思想:重点在于保护比“数据”更精炼的"信息"
4.安全措施:防火墙、VPN、PKI、防病毒、漏洞扫描、入侵检测
信息安全保障(1996年,美国国防部Dodd 5-3600.1首次提出信息安全保障的概念)
1.关注信息、信息系统对组织业务及使命的保障
2.信息安全概念的延伸,实现全面安全
3.我国信息安全保障工作
A.总体要求:积极防御,综合防范
B.主要原则:技术与管理并重,正确处理安全与发展之间的关系
网络空间安全(近年来)
1.互联网已经将传统的虚拟世界与物理世界相互连接,形成网络空间
2.新技术领域融合带来新的安全风险
工业控制系统
云计算
大数据
移动互联
物联网
人工智能
3.核心思想:强调“威慑”概念
4.将防御、威慑和利用结合成三位一体的网络空间安全保障
5.信息发展已经进入到网络空间阶段
互联网将传统的虚拟世界与物理世界相互联系,形成网络空间
网络空间成为继海洋、陆地、天空、外太空之外的第五空间
6.概念发展:
2008年,美国第54号总统令对网络空间正式定义
2009年,网络空间政策评估发布,新技术的出现使得网络空间问题更为复杂
2010年,网络空间安全纳入美国国家安全
2011年,网络空间纳入美军作战空间
国家网络空间安全战略
2016年12月,我国颁布了《国家网路空间安全战略》提出网络空间的发展是机遇也是挑战。
网络渗透威胁政治安全
网络攻击威胁经济安全
网络有害信息侵蚀文化安全
网络恐怖和违法犯罪破坏社会安全
网络空间的国际竞争方兴未艾
网络空间机遇和挑战并存,机遇大于挑战
目标:实现建设网络空间强国
强调:维护网络空间主权、和平利用网络空间、依法治理网络空间、统筹网络安全与发展
任务:捍卫网络空间主权、坚决维护国家安全、保护关键信息基础设施、加强网络文化建设、打击网络恐怖和网络犯罪、完善网络治理体系、夯实网络安全基础、提升网络空间安全防护能力、强化网络空间国际合作
国家关键信息基础设施
什么是关键信息基础设施
关系国家安全、国计民生、一旦数据泄露、遭到破坏、后者丧失功能可能严重危害国家安全、公共利益的信息设施
哪些是关键信息基础设施
公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
nisp学习-1.1信息安全与网络空间安全相关推荐
- 桂林电子计算机与信息安全学院,桂林电子科技大学计算机与信息安全学院网络空间安全保研...
微信搜索公众号"考研派之家",关注[考研派之家]微信公众号,在考研派之家微信号输入[桂林电子科技大学考研分数线.桂林电子科技大学报录比.桂林电子科技大学考研群.桂林电子科技大学学姐 ...
- 信息安全与网络空间安全
信息与信息安全 国际标准化组织对信息安全定义:为数据处理系统建立和采取技术.管理的安全保护,保护计算机硬件.软件.数据不因偶然的或恶意的原因而受到破坏.更改.泄露 信息安全问题的根源 内因:信息系统复 ...
- 网络空间安全基础(待续)
网络空间安全概述 基本概念 1)计算机安全:通常采取适当行动保护数据和资源,使它们免受偶然或恶意动作的伤害: 2)数据的完整性:数据所具有的特性,即无论数据形式做何变化,数据的准确性和一致性均保持不变 ...
- 网络空间安全专业大学排名 网络空间安全专业就业前景
我们都知道这几年互联网的发展可谓是日新月异,所以很多的大学都开设了网络空间安全这个专业,同时,市场上对于这类专业人员的需求也是很稀缺的,如果有兴趣报考这个专业的可以看看下面的学校. 网络空间安全专业大 ...
- 【NISP一级】1.3 网络空间安全政策与标准
[NISP一级]1.3 网络空间安全政策与标准 1. 网络安全国家战略 1.1 国家指导政策 <中华人民共和国网络安全法>于2016 年出台,2017 年6月1日正式生效 <信息安全 ...
- 按图索骥|到底网络空间安全、网络安全、信息安全之间有啥区别?
更多精彩原创文章,请持续关注麟学堂公众号. B站"麟学堂-张妤"有专门针对性视频讲解及历次干货分享活动,欢迎关注. 每次给学员上课,还有给客户做咨询项目,或者对外演讲的时候,很多人 ...
- 计算机网络空间安全大赛报道,网络空间安全学院成功举办第十三届全国大学生信息安全竞赛线上宣讲会...
3月28日晚,网络空间安全学院召开2020年第十三届全国大学生信息安全竞赛宣讲会.本次线上宣讲会由学院副院长刘志强指导,张慧翔和邰瑜组织.网络空间安全学院.自动化学院.计算机学院.软件学院等约70名本 ...
- 读书笔记|信息安全,网络安全,网络空间安全之间的区别
信息:信息是事物属性的标识:信息是经过加工并对客观世界和生产活动产生影响的数据,是数据的内涵: 信息安全:即为保护信息及信息系统免受未授权的进入.使用.披露.破坏.修改.检视.记录及销毁. 网络安全: ...
- 信息安全学习笔记(四)------网络后门与网络隐身
信息安全学习笔记(四)------网络后门与网络隐身 前言: 本节主要介绍木马,后门和清楚攻击痕迹等,这些技术和方法都是黑客攻击常用的技术. 一.木马 概述:比喻埋伏在别人计算机里,偷取对方机密文件的 ...
最新文章
- uni-app 请求封装
- Pair Project: API设计 by Xiao Li and Yishi Xing
- vim编辑器的使用--转自MJ学长
- linux mysql 运行状态_Linux中使用mysqladmin extended-status配合Linux命令查看MySQL运行状态...
- Win8 HTML5与JS编程学习笔记(二)
- C#基础系列 - 抽象类及其方法的学习
- 深度学习 相机标定_基于深度学习的多传感器标定
- linux中波浪号代表什么_建筑电气施工图纸中BV、ZRBLV和TC、SC符号代表什么?
- java 静态导入_Java中静态导入的使用
- 人在低谷是最应该看的六句话!(深度好文)
- php element 插件_为phpstorm安装vue插件
- Maven 本地仓库明明有jar包,pom文件还是报错解决办法(Missing artifact...jar)
- 数字电路技术可能出现的简答题_数字电子技术基础期末考试题
- ssm项目从零到精通的超全解析(含项目源码)
- 年终总结系列1:基于IFRS9的预期损失准备金
- WIN10系统安装金蝶K3 WISE14.0以下客户端版本
- html在w3c很多错误,在w3c中验证时发生CSS解析错误
- 建立了一个博客园创业者QQ群
- SSH框架之理解Spring的IOC反转控制DI依赖注入--入门小实例
- 深夜切题——Doubles