2第二章信息安全基础

信息安全基础12•什么是信息1•信息安全的CIA2•信息安全目标3•信息安全环节4目录3•信息安全实质5•信息安全事件案例6•信息安全概述7•信息安全管理8目录什么是信息4信息简介信息的概念1928年，哈特莱(L.V.R.Hartley)在《贝尔系统技术杂志》（BSTJ）上发表了一篇题为“信息传输”的论文，把信息理解为选择通信符号的方式，且用选择的自由度来计量信息的大小。1948年，美国数学家仙农(C.E.Shannon)在《贝尔系统技术杂志》上发表了一篇题为“通信的数学理论”的论文，以概率论为基础，在对信息的认识方面取得了很大的突破。与此同时，维纳(N.Wiener)出版了专著《控制论：动物和机器中的通信与控制问题》，创建了控制论。5信息简介信息的概念1975年，意大利学者朗高(G.Longo)在《信息论：新的趋势与未决问题》提出“信息就是差异”。1988年，我国信息论专家钟义信教授在《信息科学原理》一书中提出了信息的定义，并引入约束条件推导了信息的概念体系。信息的定义：事物运动的状态和状态变化的方式。6信息简介信息的概念举例加深对信息概念的理解7信息简介信息的概念举例加深对信息概念的理解8信息简介信息的概念举例加深对信息概念的理解9结论：信息不同于消息，消息是信息的外壳，信息则是消息的内核信息简介信息的概念举例加深对信息概念的理解10信息简介信息的概念举例加深对信息概念的理解11结论：信息不同于信号，信号是信息的载体，信息则是信号所载荷的内容信息简介信息的概念举例加深对信息概念的理解12结论：信息不同于数据，文字或图像等，那是记录信息的形式。当然，在计算机里，文件及信息的传递等都是数据的形式，此时信息等同于数据。信息简介信息的概念举例加深对信息概念的理解13结论：信息不同于情报，所有的情报都是信息，但不能说所有的信息都是情报信息简介信息的特征信息来源于物质，又不是物质本身信息也来源于精神世界信息和能量息息相关信息是具体的，并可以被人(生物、机器等)所感知、提取、识别，可以被传递、储存、变换、处理、显示、检索、复制和共享。、14信息简介信息的性质普遍性无限性相对性传递性变换性有序性动态性转化性15信息简介信息的功能信息的功能在于维持和强化世界的有序性主要的几个方面：信息是一切生物进化的导向资源。信息是知识的来源。信息是控制的灵魂。信息是思维的材料。信息是管理的基础，是一切实现自组织的保证。信息是一种重要的社会资源。16信息简介信息的类型信息的类型由于目的和出发点的不同，分类也不同，常见的以下几类：从信息的性质出发：语法信息、语义信息、语用信息从信息的过程出发：实在信息、先验信息、实得信息从信息的地位出发：客观信息、主观信息从信息的作用出发：有用信息、无用信息、干扰信息从信息的逻辑意义出发：真实信息、虚假信息、不定信息17信息简介信息的类型从信息的传递方向出发：前馈信息、反馈信息从信息的生成领域出发：宇宙信息、自然信息、社会信息、思维信息从信息的应用部门出发：工业信息、农业信息、军事信息、政治信息、科技信息、经济信息、管理信息从信息源的性质出发：语音信息、图像信息、文字信息、数据信息、计算信息从信息的载体性质出发：电子信息、光学信息、生物信息从携带信息的信号的形式出发：连续信息、离散信息、半连续信息18谢谢收看19信息安全的CIA20信息安全概述信息安全的CIACIA在信息安全领域并不是CentralIntelligenceAgency（美国中央情报局）21信息安全概述信息安全的CIACIA是信息安全的基本目标，也是其三个原则Confidenciality隐私性：指只有授权用户可以获取信息。Integrity完整性：指信息在输入和传输的过程中，不被非法授权修改和破坏，保证数据的一致性。Availability可用性：指保证合法用户对信息和资源的使用不会被不正当地拒绝。22信息安全的基本目标23保密性，完整性，可用性CIAonfidentialityntegrityvailabilityCIACIA互联网就像一个虚拟的社会。在它诞生的初期，互联网的应用相对简单，使用互联网的人数较少，人们对安全的设计与考虑都比较少。经过几十年的发展和普及，现在互联网已经深入到我们生活的每个方面。从电子邮件，信息搜索，到IP电话，网上购物，订机票车票，买卖股票，银行和退休账号管理，个人信息管理，博客与社交网。。。互联网已经同现代的社会生活紧密交织在一起，使人们更容易地获得各种信息，跨越地域局限同世界上的人们交往，改变了不少企业的工作方式，创造出无数新的职业，同时也结束了一些传统职业。2425CIA与此同时，社会的复杂性也反映到了互联网上。从最初的以恶作剧为动机的无害病毒，到现在的以谋取金钱为目的的跨国黑客网，就像人类社会的安全问题一样，信息安全的问题已经成为伴随着互联网发展的一个越来越复杂的问题。那么，信息安全都包括什么呢？提起信息安全，人们最容易想到的就是计算机的病毒问题。不错，如今互联网成了感染病毒和间谍软件的最主要的媒介。单单是防毒问题，就足以让一个企业的IT部门忙个不停了。对一般的家庭用户，如何查毒防毒更是他们最经常问的问题。26CIA但是，信息安全不单是防毒查毒的问题。信息安全的中心问题是要能够保障信息的合法持有和使用者能够在任何需要该信息时获得保密的，没有被非法更改过的“原装的”信息。在英文的文献中，信息安全的目的常常用Confidentiality(保密性),Integrity（完整性）,和Availability（可获得性）,三个词概括。简而言之，叫CIA-Triad。（哈哈，跟美国中央情报局是一样的缩写，可是用不着那么紧张啦。）27CIA关于信息的保密性，比较容易理解，就是具有一定保密程度的信息只能让有权读到或更改的人读到和更改。不过，这里提到的保密信息，有比较广泛的外延：它可以是国家机密，是一个企业或研究机构的核心知识产权，是一个银行个人账号的用户信息，或简单到你建立这个博客时输入的个人信息。因此，信息保密的问题是每一个能上网的人都要面对的。28CIA信息的完整性是指在存储或传输信息的过程中，原始的信息不能允许被随意更改。这种更改有可能是无意的错误，如输入错误，软件瑕疵，到有意的人为更改和破坏。在设计数据库以及其他信息存储和传输应用软件时，要考虑对信息完整性的校验和保障。29CIA信息的可获得性是指，对于信息的合法拥有和使用者，在他们需要这些信息的任何时候，都应该保障他们能够及时得到所需要的信息。比如，对重要的数据或服务器在不同地点作多处备份，一旦A处有故障或灾难发生，B处的备用服务器能够马上上线，保证信息服务没有中断。一个很好的例子是：2001年的911摧毁了数家金融机构在世贸中心的办公室，可是多数银行在事件发生后的很短的时间内就能够恢复正常运行。这些应归功于它们的备份，修复，灾难后的恢复工作做得好。30CIA信息安全的核心就是data：要保障没有被破坏过的，原始的data能够及时地，安全地在它的合法拥有者和使用者之间传递或存储，而不能被不该获得它们的人得到或更改。信息安全的工作就是要保障这些数据不被合法拥有和使用者以外的人窃取，篡改或破坏，同时保障这些数据不会由于操作失误，机器故障，天灾人祸等被破坏。31CIA谢谢收看32信息安全目标33某公司信息安全方针和目标34信息安全方针35信息安全管理机制1．公司采用系统的方法，按照ISO/IEC27001:2005建立信息安全管理体系，全面保护本公司的信息安全。36信息安全管理组织2．公司总经理对信息安全工作全面负责，负责批准信息安全方针，确定信息安全要求，提供信息安全资源。3．公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系，保证信息安全管理体系的持续适宜性和有效性。37信息安全管理组织4．在公司内部建立信息安全组织机构，信息安全管理委员会和信息安全协调机构，保证信息安全管理体系的有效运行。5．与上级部门、地方政府、相关专业部门建立定期经常性的联系，了解安全要求和发展动态，获得对信息安全管理的支持。38人员安全6．信息安全需要全体员工的参与和支持，全体员工都有保护信息安全的职责，在劳动合同、岗位职责中应包含对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员，应及时调整安全职责和权限。7．对本公司的相关方，要明确安全要求和安全职责。39人员安全8．定期对全体员工进行信息安全相关教育，包括：技能、职责和意识。以提高安全意识。9．全体员工及相关方人员必须履行安全职责，执行安全方针、程序和安全措施。40识别法律、法规、合同中的安全10．及时识别顾客、合作方、相关方、法律法规对信息安全的要求，采取措施，保证满足安全要求。41风险评估11．根据本公司业务信息安全的特点、法律法规要求，建立风险评估程序，确定风险接受准则。12．采用先进的风险评估技术和软件，定期进行风险评估，以识别本公司风险的变化。本公司或环境发生重大变化时，随时评估。13．应根据风险评估的结果，采取相应措施，降低风险。42报告安全事件14．公司建立报告信息安全事件的渠道和相应的主管部门。15．全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任，一旦发现信息安全事件，应立即按照规定的途径进行报告。16．接受信息安全事件报告的主管部门应记录所有报告，及时做出相应的处理，并向报告人员反馈处理结果43监督检查17．定期对信息安全进行监督检查，包括：日常检查、专项检查、技术性检查、内部审核等。44业务持续性18．公司根据风险评估的结果，建立业务持续性计划，抵消信息系统的中断造成的影响，防止关键业务过程受严重的信息系统故障或者灾难的影响，并确保能够及时恢复。19．定期对业务持续性计划进行测试和更新。45违反信息安全要求的惩罚20．对违反信息安全方针、职责、程序和措施的人员，按规定进行处理。46信息安全目标：1.不可接受风险处理率：100%（所有不可接受风险应降低到可接受的程度）。2.重大顾客因信息安全事件投诉为0次47信息安全的目标所有的信息安全技术都是为了达到一定的安全目标，其核心包括保密性、完整性、可用性、可控性和不可否认性五个安全目标。保密性(Confidentiality)是指阻止非授权的主体阅读信息。它是信息安全一诞生就具有的特性，也是信息安全主要的研究内容之一。更通俗地讲，就是说未授权的用户不能够获取敏感信息。对纸质文档信息，我们只需要保护好文件，不被非授权者接触即可。而对计算机及网络环境中的信息，不仅要制止非授权者对信息的阅读。也要阻止授权者将其访问的信息传递给非授权者，以致信息被泄漏。48完整性(Integrity)是指防止信息被未经授权的篡改。它是保护信息保持原始的状态，使信息保持其真实性。如果这些信息被蓄意地修改、插入、删除等，形成虚假信息将带来严重的后果。可用性(Usability)是指授权主体在需要信息时能及时得到服务的能力。可用性是在信息安全保护阶段对信息安全提出的新要求，也是在网络化空间中必须满足的一项信息安全要求。可控性(Controlability)是指对信息和信息系统实施安全监控管理，防止非法利用信息和信息系统。49不可否认性(Non-repudiation)是指在网络环境中，信息交换的双方不能否认其在交换过程中发送信息或接收信息的行为。信息安全的保密性、完整性和可用性主要强调对非授权主体的控制。而对授权主体的不正当行为如何控制呢?信息安全的可控性和不可否认性恰恰是通过对授权主体的控制，实现对保密性、完整性和可用性的有效补充，主要强调授权用户只能在授权范围内进行合法的访问，并对其行为进行监督和审查。50除了上述的信息安全五性外，还有信息安全的可审计性(Audiability)、可鉴别性(Authenticity)等。信息安全的可审计性是指信息系统的行为人不能否认自己的信息处理行为。与不