信息安全论述
对网络信息安全的认识和理解
对网络信息安全的认识和理解随着互联网和信息技术的快速发展,网络已经成为我们生活中不可或缺的一部分。
然而,网络的便利性也带来了一系列的安全隐患。
本文将从网络信息安全的概念、重要性、现实挑战以及保护措施等方面进行论述。
一、网络信息安全的概念与重要性网络信息安全是指在网络环境中,对网络系统中的信息资源进行保护,防止被非法获取、使用、传输或破坏的一系列措施和技术。
随着信息社会的到来,个人隐私数据、企业机密信息等都储存在网络中,保障网络信息安全对于个人和社会的稳定发展至关重要。
首先,网络信息安全对于个人而言至关重要。
随着网络购物、网上银行等服务的普及,个人的财产安全直接受到网络攻击的威胁。
如果个人电脑受到病毒攻击,个人隐私信息被盗取,不仅会造成经济损失,还可能导致个人信用受损,甚至遭遇身份盗窃等问题。
其次,网络信息安全对于企业和组织而言也具有巨大的影响。
大量企业的商业活动都离不开网络,而企业的机密技术或商业计划等重要信息往往正储存在网络中。
一旦这些信息被黑客窃取,可能会给企业造成巨大的经济损失,并对企业未来的发展产生严重影响。
另外,网络信息安全对于国家的稳定和发展也具有重要意义。
国家关键信息基础设施,如电力、交通、金融等都依赖于网络,一旦这些重要系统遭到攻击,将对国家经济和社会的正常运行造成严峻威胁。
因此,加强网络信息安全建设,对于国家安全和社会稳定具有重要的保障作用。
二、现实挑战与网络信息安全在网络信息安全保护方面,我们面临着一系列的挑战。
首先是黑客攻击的威胁。
黑客通过入侵系统、病毒攻击、网络钓鱼等手段,来窃取他人的个人隐私信息或企业敏感数据。
黑客攻击手段千变万化,对网络信息安全构成了巨大的威胁。
其次是网络病毒的威胁。
网络病毒通过电子邮件、可移动存储设备等途径传播,造成个人电脑系统的瘫痪甚至数据丢失。
据统计,仅仅在中国,每年因为网络病毒而造成的经济损失高达数十亿人民币。
还有网络诈骗的威胁。
网络诈骗泛指通过网络手段进行的各种诈骗活动,如虚假投资、假冒网站、网络购物诈骗等等。
网络信息安全的重要性
网络信息安全的重要性随着互联网的快速发展和普及,网络已经渗透到了我们生活的方方面面。
网络技术的广泛应用给我们带来了极大的便利,但同时也带来了网络信息安全的威胁。
网络信息安全的重要性不容忽视。
本文将就网络信息安全的重要性进行论述。
一、保护个人隐私和数据安全在网络时代,个人隐私和数据安全面临日益严峻的挑战。
个人隐私如身份证信息、照片、通讯录等,泄露可能导致个人信用受损、财产遭受损失甚至精神上的伤害。
而大量的个人数据如健康档案、社交网络账号等,一旦被黑客获取将会给个人带来极大的伤害。
保护个人隐私和数据安全是网络信息安全的核心任务。
二、保障国家安全和经济安全网络攻击已经成为国家安全和经济安全的重要威胁。
黑客攻击可能导致国家重要机构、关键基础设施甚至军事系统的瘫痪,给国家的安全带来严重危害。
网络攻击还可能窃取国家机密、商业机密和核心技术,对国家的经济安全产生重大威胁。
保障国家安全和经济安全需要加强网络信息安全。
三、防止网络犯罪网络犯罪如网络诈骗、网络盗窃、网络虐待等已成为社会的顽疾。
网络犯罪不仅给个人和企业带来财产上的损失,还给受害人带来了心理上的伤害。
而且,网络犯罪的隐蔽性和跨国性使其难以打击。
为了保护公民的人身财产安全和社会的安定,网络信息安全是必不可少的。
四、保障企业信息安全和商业竞争力对于企业来说,信息是最重要的资产之一。
企业的核心竞争力往往依赖于其技术、管理和市场等方面的信息。
一旦企业的信息遭到泄露或被窃取,将会严重损害企业的利益和商业竞争力。
为了保护企业信息安全和提高商业竞争力,网络信息安全必须得到重视。
五、保护网络民主和自由互联网为人们提供了广泛的言论自由和参与民主的空间。
但是,在网络空间中,有时也会出现网络封锁、信息审查等限制言论自由和侵害公民权利的现象。
确保网络信息安全可以维护网络民主和自由,保护公民的言论权利和网络参与权利。
六、建立健康的网络环境网络攻击和网络犯罪给网络环境带来了威胁,使得网络空间充满了欺诈、虚假信息和恶意软件等。
什么是网络信息安全
什么是网络信息安全网络信息安全指的是在网络环境中保护数据和网络系统免受未经授权的访问、使用、披露、破坏、修改或中断的能力。
随着互联网的发展和普及,网络信息安全问题越来越受到重视。
本文将从网络信息安全的意义、常见的网络信息安全威胁以及保护网络信息安全的方法三个方面进行论述。
一、网络信息安全的意义网络信息安全是当今数字化时代的重要议题,具有以下几个重要意义。
1.保护个人隐私:在互联网上,个人的隐私往往容易受到侵犯,包括个人身份信息、财务信息等。
网络信息安全的意义之一就是保护个人隐私,防止个人信息被盗用或滥用。
2.保护国家安全:网络攻击已成为现代战争的一种形式,黑客可能通过攻击关键基础设施,破坏国家电力、能源、交通等重要系统,对国家安全构成威胁。
因此,网络信息安全对于国家安全具有重要意义。
3.维护经济稳定:互联网已经成为人们进行经济交流和交易的重要平台。
保护网络信息安全有助于维护经济稳定,防范经济犯罪和黑客攻击,确保商业交易的安全和可靠性。
二、常见的网络信息安全威胁网络信息安全面临着多种威胁和挑战,以下是常见的网络信息安全威胁。
1.病毒和恶意软件:病毒和恶意软件是最常见的网络安全威胁之一。
它们可能通过潜入计算机系统、网络服务器和移动设备,破坏或窃取敏感数据。
2.密码破解:密码是保护个人账户和敏感信息的重要手段,但密码破解工具和技术的不断发展使得密码的安全性受到挑战。
黑客可能通过猜测、暴力破解或使用其他技术手段获取密码,从而入侵用户账户。
3.网络钓鱼:网络钓鱼是一种通过虚假身份或网站诱导用户泄露个人敏感信息的技术手段。
黑客会伪装成可信的机构或个人,通过发送虚假邮件、信息或网站欺骗用户提供账户密码、信用卡信息等。
4.数据泄露:数据泄露可能是由于数据库或服务器的漏洞,或内部人员的失职等原因导致的。
黑客利用这些漏洞获取敏感数据,并可能用于非法牟利或恶意攻击。
三、保护网络信息安全的方法为了应对网络信息安全威胁,需要采取多种方法和技术手段,以确保网络和数据的安全。
网络信息安全
网络信息安全随着互联网的快速发展,网络信息安全问题备受关注。
网络信息安全是指在网络环境下保护和维护个人、组织和国家机密信息的安全,防止网络被不法分子利用和攻击,维护网络的稳定性和持续运行。
本文将从网络信息安全的定义、重要性、威胁、保护措施等方面进行论述,帮助读者更好地了解网络信息安全问题。
一、网络信息安全的定义和重要性网络信息安全是指在网络环境下保护和维护个人、组织和国家机密信息的安全,防止网络被不法分子利用和攻击,维护网络的稳定性和持续运行。
随着互联网的普及,大量的个人和机构信息被数字化存储和传输,网络信息安全的重要性日益凸显。
未加保护的网络信息容易被黑客获取、篡改、滥用,造成个人隐私泄露、财产损失和国家安全威胁。
二、网络信息安全的威胁网络信息安全面临多种威胁,下面列举几种常见的威胁:1. 黑客攻击:黑客通过计算机技术手段侵入他人网络系统,窃取信息、破坏系统或利用系统进行非法活动,给网络安全造成威胁。
2. 病毒和木马:病毒和木马是网络信息安全的常见威胁,它们可以通过文件传播、网络漏洞等方式感染计算机系统,导致系统崩溃、信息泄露等问题。
3. 数据泄露:个人和机构的敏感信息被泄露是网络信息安全的重要问题,黑客通过攻击数据库或窃取个人设备上的信息,导致个人隐私泄露和财产损失。
4. 网络钓鱼:网络钓鱼是指攻击者利用假冒的身份信息和网站诱骗用户输入个人信息,目的是获取用户的敏感信息,从而进行非法活动。
5. 网络诈骗:网络诈骗是指通过虚假信息、欺骗手段获取他人财产的行为,网络信息安全脆弱的环境提供了诈骗分子作案的机会。
三、保护网络信息安全的措施为了保护网络信息安全,个人、组织和国家需要采取一系列的措施,下面介绍几种常见的措施:1. 密码安全:密码安全是保护个人信息的第一道防线,个人在使用网络服务时应注意不使用简单密码,定期更换密码,并不随意将密码泄露给他人。
2. 防火墙和杀毒软件:安装防火墙和杀毒软件可以有效阻止黑客攻击、病毒感染等威胁,及时检测和清除系统中的恶意软件。
安全教育日的信息安全与保密
安全教育日的信息安全与保密安全教育日是我国为了增强公民安全意识、提高安全防范能力而设立的一项重要活动。
信息安全与保密是当代社会面临的重要问题之一,因为信息的泄露可能给个人、企业以及国家带来巨大的危害。
在安全教育日这个特殊的日子里,我们应当重视与关注信息安全与保密的重要性,努力提高我们自身的安全保护意识。
以下将从个人、企业和国家三个层面展开论述。
一、个人层面保护个人的信息安全和保密是每个人应尽的义务。
在日常生活中,我们应该养成良好的信息安全习惯,比如合理设置密码、谨慎对待个人信息的分享、警惕网络诈骗等。
同时,我们也要加强对个人隐私的保密工作,比如不随意透露身份证号码、银行卡信息等重要个人信息,以免造成不必要的损失。
二、企业层面对于企业来说,信息安全和保密是商业竞争力的重要组成部分。
在安全教育日这个特殊时刻,企业应当加强对员工的信息安全教育培训,提高员工信息保护意识。
同时,企业也应当加强对系统和数据的保护措施,比如进行网络安全评估、建立完善的防火墙系统、加强对重要数据的备份等。
只有保护好企业的信息安全和保密,才能确保企业的可持续发展。
三、国家层面信息安全和保密涉及到国家安全和国家利益,在安全教育日这个特殊时刻,国家应当加大对信息安全和保密的宣传力度。
不仅要加强法律法规的制定和执行,还要加强对公众信息保护意识的培养。
国家应当加强对网络空间的监管,建立健全网络安全防护体系,加强对关键信息基础设施的保护,确保国家信息安全和保密。
总结起来,安全教育日提醒我们,信息安全与保密是一个需要我们每个人都重视的问题。
我们应通过加强个人、企业和国家层面的信息安全和保密工作,共同构建一个安全、稳定的网络环境,保障信息的安全传输和存储。
只有这样,我们才能更好地享受信息科技带来的便利,推动社会的发展。
让我们在安全教育日这个特殊日子里,共同关注、重视并行动起来,为信息安全和保密贡献自己的力量!。
信息安全的重要性
信息安全的重要性随着信息技术的快速发展,我们在日常生活中与各种形式的信息交流变得越来越频繁。
然而,随之而来的问题是信息安全风险也逐渐增加。
在这篇文章中,我们将论述信息安全的重要性,并探讨如何保护个人和机构的信息安全。
一、信息安全的定义和意义信息安全是指保护信息的机密性、完整性和可用性,以确保信息不受未经授权的访问、篡改或破坏。
随着信息技术的广泛应用,信息安全成为了保护个人隐私、防范网络犯罪以及维护国家安全的重要手段。
首先,信息安全对个人而言至关重要。
在数字化时代,我们的个人信息大量存储在网络和各种电子设备中,如手机、电脑等。
如果我们的个人信息落入不法分子手中,可能导致身份盗窃、财产损失甚至个人声誉遭受破坏。
因此,确保个人信息安全是每个人的责任和义务。
其次,信息安全对于企业和机构而言也具有重要意义。
企业和机构的机密商业信息、财务数据以及客户资料等,都需要得到妥善的保护,以免受到竞争对手、黑客或其他恶意行为的侵害。
信息泄露不仅会导致商业机密流失,还会对企业形象和声誉造成严重影响,对业务和经济发展带来巨大风险。
二、信息安全的挑战然而,随着信息技术的不断创新和应用,信息安全也面临着一系列挑战。
首先是网络攻击和黑客行为的增多。
黑客通过各种手段入侵系统,窃取财务数据、个人信息甚至涉密信息,给个人和机构带来巨大损失。
其次是网络钓鱼和网络欺诈的普遍存在。
不法分子经常利用虚假的网页、电子邮件或信息,骗取人们的个人信息、账号密码等敏感信息,用于非法用途。
此外,恶意软件、病毒和勒索软件的威胁也无处不在。
这些恶意软件可以通过网络传播,破坏系统正常运行,盗取信息或要求赎金,给个人和机构带来极大的损失。
三、保护信息安全的措施针对信息安全挑战,我们需要采取一系列措施来保护个人和机构的信息安全。
首先,加强信息安全意识教育是关键。
个人和机构都应该意识到信息安全的重要性,并提高对信息安全风险的认识。
这包括了解网络安全威胁、学习防范黑客攻击的方法以及培养良好的网络使用习惯。
从技术和管理方面论述对信息安全的认识
从技术和管理方面论述对信息安全的认识信息安全,这个词听着就让人觉得高大上,好像跟黑客、病毒、木马什么的有关系。
其实,信息安全就是让我们的电脑、手机、平板等设备上的信息不被别人偷看、篡改或者破坏。
这对我们每个人都很重要,因为我们的个人信息、银行账户、密码等等都存储在这些设备上。
那么,怎么才能保证我们的信息安全呢?下面我就从技术和管理两个方面来谈谈我的看法。
从技术方面来说,信息安全就像是我们的房子一样,需要有坚固的门、窗和防盗系统。
我们的电脑、手机等设备就像是房子里的家具,而操作系统、应用程序等就像是门、窗。
一个好的操作系统和应用程序可以让我们的信息更安全。
比如,苹果公司的iOS系统就被认为是比较安全的,因为它有很多防护措施,而且不容易被黑客攻破。
但是,即使是最安全的系统也不能保证100%的安全,因为黑客们总是在不断地研究新的攻击手段。
所以,我们还需要定期更新系统和应用程序,以防止被最新的漏洞攻击。
除了操作系统和应用程序,我们还需要安装一些杀毒软件和防火墙来保护我们的设备。
杀毒软件可以检测和清除病毒、木马等恶意程序,而防火墙则可以阻止未经授权的访问。
选择一个好的杀毒软件和防火墙也很重要。
市面上有很多杀毒软件和防火墙,有些是免费的,有些是收费的。
我个人比较喜欢360安全卫士,因为它的杀毒功能很强大,而且还有很多实用的功能,比如清理垃圾文件、优化系统等。
从管理方面来说,信息安全就像是我们的生活一样,需要有规律、有节制。
我们不能随意地把个人信息泄露给别人,也不能随便点击不明链接。
比如,有些人在网上购物时,会把自己的银行卡号、密码等信息告诉卖家,这样就很容易被骗子盗取钱财。
还有一些人在网上看到一些诱人的广告,就会忍不住点击,结果下载了一个病毒软件,导致自己的电脑中毒。
所以,我们在使用网络时一定要提高警惕,不要轻信陌生人的话,也不要随意点击不明链接。
我们还需要注意保护自己的账号和密码。
一个好的账号和密码可以让我们的信息更加安全。
从技术和管理方面论述对信息安全的认识
从技术和管理方面论述对信息安全的认识信息安全,这个词儿听着就很高大上,好像跟什么黑客、病毒、木马之类的神秘东西有关。
其实,信息安全就是咱们日常生活中的一种保护措施,它关系到我们的隐私、财产安全以及国家的安全。
今天,我就从技术和管理两个方面来谈谈我对信息安全的认识。
从技术方面来说,信息安全就像是咱们家里的防盗门一样,它需要一定的技术和手段来保障。
现在,网络安全技术已经非常发达,有很多专业的公司和团队在研究和开发各种安全产品。
比如,我们常用的杀毒软件、防火墙等,它们都是为了保护我们的电脑和手机不受病毒、木马等恶意程序的侵害。
这些技术手段并不是万能的,有时候我们还是要靠自己的意识来防范。
比如,不要随便点击不明链接,不要下载来路不明的软件,这些都可能导致我们的设备被黑客入侵。
所以,技术手段只是信息安全的一部分,我们自己也要时刻保持警惕。
从管理方面来说,信息安全就像是咱们公司的人事部门一样,需要有一套完善的管理制度来保障。
我们要明确信息安全的重要性,让大家都认识到这个问题的严重性。
只有大家都重视了,才能真正做到防范于未然。
我们要加强对员工的培训,让他们了解如何保护自己的信息安全。
比如,不要把密码告诉别人,不要在公共场合登录敏感账户等。
我们还要定期进行信息安全检查,发现问题及时整改。
这样,才能确保我们的信息安全得到有效的保障。
总的来说,信息安全是一个涉及技术和管理的复杂问题。
我们既要关注技术的进步,不断提高自己的防护能力;又要重视管理制度的建设,让每个人都能在一个安全的环境中工作和生活。
只有这样,我们才能真正做到信息安全无虞。
好了,今天的话题就聊到这里。
希望大家都能重视信息安全,让我们的生活更加美好。
下次再见啦!。
信息安全信息素养论述800字
信息安全信息素养论述800字在当今信息化社会,信息安全与信息素养已经成为人们必备的两大能力。
这两者相互关联,相互影响,共同构成了现代人应对信息时代挑战的关键素质。
信息安全主要指保护个人或组织的信息不被未经授权的访问、使用、泄露、破坏、修改,以及信息系统不受威胁和破坏。
信息素养则是指人们获取、评估、使用和创造信息的能力,这不仅包括技术层面的技能,更涵盖了批判性思维、解决问题、创新思考等多方面的能力。
信息安全的重要性不言而喻。
在数字化的今天,无论是个人隐私还是企业机密,一旦失去保护,就可能遭受重大的损失。
从个人层面看,信息安全关乎每个人的隐私权。
随着社交媒体的普及,个人信息在网络上大量流动,如果没有足够的安全意识,很容易被不法分子利用。
对于企业而言,信息安全更是其核心竞争力的重要组成部分。
商业机密、客户数据等都是企业的核心资产,一旦泄露或被窃取,可能会造成无法估量的损失。
信息素养则是在信息安全的基础上,进一步发挥人的主观能动性。
具备信息素养的人能够在海量信息中快速准确地找到所需内容,同时能够对其进行客观的评估和有效的利用。
这样的人不仅能够更好地应对日常工作和生活中的问题,更能够在信息安全方面做到防患于未然。
例如,定期更换复杂的密码、不随意点击来源不明的链接等,这些看似简单的措施实际上都是提升信息安全的重要手段。
提升信息安全和信息素养并非一蹴而就的过程,需要个人、学校、企业和政府等多方面的共同努力。
个人应养成良好的上网习惯,提高自我保护意识;学校应将信息安全与信息素养教育纳入课程体系,培养下一代的数字公民;企业应加强内部培训,提高员工的信息安全意识;政府则应出台相关政策和法规,为信息安全提供法律保障。
总的来说,信息安全与信息素养已经成为现代人不可或缺的两大能力。
只有在这两方面都得到足够的重视和培养,我们才能在信息时代中稳步前行,享受数字化带来的便利而无需担忧安全问题。
这是一个复杂而又现实的挑战,需要我们每个人共同努力去应对。
从技术和管理方面论述对信息安全的认识
从技术和管理方面论述对信息安全的认识信息安全,这个词听着就很高大上,让人感觉像是一群神秘的特工在暗地里保护着我们的电脑、手机和其他各种电子设备。
其实,信息安全就是让我们的数字生活更安全、更无忧无虑。
那么,我们应该如何从技术和管理方面来认识和保护信息安全呢?我们要明白信息安全的重要性。
就像我们的家一样,如果没有保安守护,别人可能会闯进来偷东西。
同样,我们的电子设备也是我们的“家”,如果没有信息安全措施,别人可能会通过各种手段来窃取我们的个人信息,比如银行卡密码、身份证号等。
这可真是让人头疼啊!所以,我们要重视信息安全,让我们的数字生活更美好。
接下来,我们来看看技术方面是如何保障信息安全的。
技术手段有很多种,比如加密、防火墙、杀毒软件等。
这些技术手段就像是我们家的防盗门、窗户和监控摄像头一样,可以有效地防止别人闯进来。
加密技术就像是我们给重要的文件加了一把锁。
这把锁只有知道密码的人才能打开,其他人即使拿到了文件也无法阅读。
这样一来,我们的隐私就不会被别人轻易泄露了。
防火墙就像是我们家的大门,它可以阻止陌生人的到来。
当我们上网时,防火墙会检查每一个连接请求,如果是来自我们认识的人或者可信的网站,就会放行;如果是陌生人或者可疑的网站,就会拒绝连接。
这样一来,我们就可以在家中安心上网了。
杀毒软件就像是我们家的保姆,它可以保护我们的电脑不被病毒和恶意软件侵害。
当我们的电脑遇到病毒或者恶意软件时,杀毒软件会立刻发现并进行清除。
这样一来,我们的电脑就能保持健康了。
除了技术手段之外,管理方面也非常重要。
管理手段有很多种,比如制定规章制度、加强员工培训等。
这些管理手段就像是我们家的家长一样,可以引导我们正确使用电子设备,避免触犯法律和道德底线。
制定规章制度就像是我们家的家庭守则,告诉我们什么可以做,什么不可以做。
比如,我们家规定不允许随意翻看他人的物品,不允许在家中大声喧哗等。
这样一来,我们就能在一个和谐的家庭环境中生活了。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
摘要:本文首先将国内外对信息安全概念的各种理解归纳为两种描述,一种是对信息安全所涉及层面的描述;一种是对信息安全所涉及的安全属性的描述。
然后提出了以经纬线的方式将两种描述风格融为一体的方法,即基于层次型描述方式。
同时,在传统的实体安全、运行安全、数据安全这三个层面的基础之上,扩充了内容安全层面与信息对抗层面,并将其归类为信息系统、信息、信息利用等三个层次。
另外还针对国外流行的信息安全金三角的描述不足,扩充为信息安全四要素,从而完备了对信息安全概念框架的描述。
最后,给出了关于信息安全的完整定义。
一、背景“信息安全”曾经仅是学术界所关心的术语,就像是五、六十年前“计算机”被称为“电算机”那样仅被学术界所了解一样。
现在,“信息安全”因各种原因已经像公众词汇那样被广大公众所熟知,尽管尚不能与“计算机”这个词汇的知名度所比拟,但也已经具有广泛的普及性。
问题的关键在于人们对“计算机”的理解不会有什么太大的偏差,而对“信息安全”的理解则往往各式各样。
种种偏差主要来自于从不同的角度来看信息安全,因此出现了“计算机安全”、“网络安全”、“信息内容安全”之类的提法,也出现了“机密性”、“真实性”、“完整性”、“可用性”、“不可否认性”等描述方式。
关于信息安全的定义,以下是一些有代表性的定义方式:国内学者给出的定义是:“信息安全保密内容分为:实体安全、运行安全、数据安全和管理安全四个方面。
”我国计算机信息系统安全专用产品分类原则给出的定义是:“涉及实体安全、运行安全和信息安全三个方面。
”我国相关立法给出的定义是:“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。
这里面涉及了物理安全、运行安全与信息安全三个层面。
国家信息安全重点实验室给出的定义是:“信息安全涉及到信息的机密性、完整性、可用性、可控性。
综合起来说,就是要保障电子信息的有效性。
”英国BS7799信息安全管理标准给出的定义是:“信息安全是使信息避免一系列威胁,保障商务的连续性,最大限度地减少商务的损失,最大限度地获取投资和商务的回报,涉及的是机密性、完整性、可用性。
”美国国家安全局信息保障主任给出的定义是:“因为术语‘信息安全’一直仅表示信息的机密性,在国防部我们用‘信息保障’来描述信息安全,也叫‘IA’。
它包含5种安全服务,包括机密性、完整性、可用性、真实性和不可抵赖性。
”国际标准化委员会给出的定义是:“为数据处理系统而采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露”。
这里面既包含了层面的概念,其中计算机硬件可以看作是物理层面,软件可以看作是运行层面,再就是数据层面;又包含了属性的概念,其中破坏涉及的是可用性,更改涉及的是完整性,显露涉及的是机密性。
纵观从不同的角度对信息安全的不同描述,可以看出两种描述风格。
一种是从信息安全所涉及层面的角度进行描述,大体上涉及了实体(物理)安全、运行安全、数据(信息)安全;一种是从信息安全所涉及的安全属性的角度进行描述,大体上涉及了机密性、完整性、可用性。
二、信息安全多种理解的缘由信息安全出现多种不同说法,存在着多种观察视角,并不是偶然的现象。
信息安全的发展历史、信息安全的作用层面、信息安全的基本属性,都决定了信息安全的不同内涵。
从信息安全的发展历史来看,早在上世纪四、五十年代,人们认为信息安全就是通信保密,采用的保障措施就是加密和基于计算机规则的访问控制,这个时期被称为“通信保密(COMSEC)”时代,其时代标志是1949年Shannon发表的《保密通信的信息理论》;在七十年代,人们关心的是计算机系统不被他人所非授权使用,这时学术界称之为“计算机安全(INFOSEC)”时代,其时代特色是美国八十年代初发布的橘皮书——可信计算机评估准则(TCSEC);九十年代,人们关心的是如何防止通过网络对联网计算机进行攻击,这时学术界称之为“网络安全(NETSEC)”,其时代特征是美国八十年代末出现的“莫里斯”蠕虫事件;进入了二十一世纪,人们关心的是信息及信息系统的保障,如何建立完整的保障体系,以便保障信息及信息系统的正常运行,这时学术界称之为“信息保障(IA)”。
从信息安全的作用层面来看,人们首先关心的是计算机与网络的设备硬件自身的安全,就是信息系统硬件的稳定性运行状态,因而称之为“物理安全”;其次人们关心的是计算机与网络设备运行过程中的系统安全,就是信息系统软件的稳定性运行状态,因而称之为“运行安全”;当讨论信息自身的安全问题时,涉及的就是狭义的“信息安全”问题,包括对信息系统中所加工存储、网络中所传递的数据的泄漏、仿冒、篡改以及抵赖过程所涉及的安全问题,称之为“数据安全”。
因此,就信息安全作用点来看问题,可以称之为信息安全的层次模型,这也是国内学者普遍认同的定义方式,如图1所示。
数据(信息)安全运行(系统)安全物理(实体)安全图1、一种信息安全的层次模型从信息安全的基本属性来看,机密性就是对抗对手的被动攻击,保证信息不泄漏给未经授权的人,或者即便数据被截获,其所表达的信息也不被非授权者所理解。
完整性就是对抗对手主动攻击,防止信息被未经授权的篡改。
可用性就是确保信息及信息系统能够为授权使用者所正常使用。
这三个重要的基本属性被国外学者称为信息安全金三角(CIA),如图2所示。
机密性(C)完整性(I)可用性(A)图2、信息安全金三角模型三、信息安全概念经纬线:从层次到属性,两种描述的融合从信息安全的作用层次来看,前面已经介绍了人们所关注的三个层面,即物理安全层、运行安全层、及数据安全层。
但是,还有两个层面尚没有人在同一个框架之下给出清晰地描述。
一个是关于信息内容的安全问题,一个是关于信息对抗的问题,而这两个层面的安全问题也是业界普遍关心的问题。
所不同的是,内容安全更被文化、宣传界人士所关注;而信息对抗则更被电子对抗研究领域的人士所关注。
信息内容安全的问题已经深刻地展现在现实社会的面前,主要表现在有害信息利用互联网所提供的自由流动的环境肆意扩散,其信息内容或者像脚本病毒那样给接收的信息系统带来破坏性的后果,或者像垃圾邮件那样给人们带来烦恼,或者像谣言那样给社会大众带来困惑,从而成为社会不稳定因素。
但是,就技术层面而言,信息内容安全技术的表现形式是对信息流动的选择控制能力,换句话说,表现出来的是对数据流动的攻击特性。
信息对抗严格上说是信息谋略范畴的内容,是讨论如何从多个角度或侧面来获得信息并分析信息,或者在信息无法隐藏的前提下,通过增加更多的无用信息来扰乱获取者的视线,以掩藏真实信息所反映的含义。
从本质上来看,信息对抗是在信息熵的保护或打击层面上讨论问题,也就是围绕着信息的利用来进行对抗。
从信息安全的属性来看,除了前面所介绍的机密性、完整性、可用性等三个基本属性之外,还有更多的一些属性也用于描述信息安全的不同的特性,如真实性、可控性、合法性、实用性、占有性、唯一性、不可否认性、可追溯性、生存性、稳定性、可靠性、特殊性等。
其中:真实性反映的是主体身份、行为及相关信息的真实有效;可控性反映的是信息系统不会被非授权使用,信息的流动可以被选择性阻断;合法性反映的是信息或信息系统的行为获得了授权;实用性反映的是信息加密密钥与信息的强关联性及密钥不可丢失的特性;占有性反映的是信息载体不可被盗用,确保由合法信息所占有;唯一性反映的是各信息以及信息系统行为主体之间不会出现混淆;不可否认性反映的是所生成的信息或信息系统的合法行为不会被抵赖;可追溯性反映的是信息系统的行为具有被审计的能力;生存性反映的是信息系统在受到攻击时可以通过采取降级等措施以保持最低限度的核心服务能力;稳定性反映的是信息系统不会出现异常情况;可靠性反映的是信息系统能够保持正常运行而不受外界影响的能力;特殊性反映的是信息所需要表现的特定的内涵。
在此,基于信息安全的作用点,从信息系统、信息、及信息熵的角度,可以将信息安全看作是由三个层次、五个层面所构成的层次框架体系,并且在每个层面中各自反映了在该层面中所涉及的信息安全的属性。
如图3所示:层次层面作用点安全属性信息对抗信息熵对抗信息利用机密性、完整性、特殊性信息安全内容安全攻击信息机密性、真实性、可控性、可用性、完整性、可靠性数据安全保护信息机密性、真实性、实用性、完整性、唯一性、不可否认性、生存性系统安全运行安全软件真实性、可控性、可用性、合法性、唯一性、可追溯性、占有性、生存性、稳定性、可靠性物理安全硬件机密性、可用性、完整性、生存性、稳定性、可靠性图3、信息安全的层次框架体系在此,系统安全反映的是信息系统所面临的安全问题。
其中,物理安全涉及的是硬件设施方面的安全问题;运行安全涉及的是操作系统、数据库、应用系统等软件方面的安全问题。
狭义的信息安全所反映的是信息自身所面临的安全问题。
其中,数据安全是以保护数据不受外界的侵扰为目的,包括与泄密、伪造、篡改、抵赖等有关的行为;内容安全则是反过来对流动的数据进行限制,包括可以对指定的数据进行选择性的阻断、修改、转发等特定的行为。
信息对抗则是针对信息中的信息熵而进行的隐藏、掩盖,或发现、分析的行为。
从信息安全属性的角度来看,每个层面所涉及的信息安全的属性,对应于该层面信息安全的外部特征,也具有相应的处置方法。
1、物理安全:是指对网络与信息系统的物理装备的保护。
主要涉及网络与信息系统的机密性、可用性、完整性、生存性、稳定性、可靠性等基本属性。
所面对的威胁主要包括电磁泄露、通信干扰、信号注入、人为破坏、自然灾害、设备故障等;主要的保护方式有加扰处理、电磁屏蔽、数据校验、容错、冗余、系统备份等。
2、运行安全:是指对网络与信息系统的运行过程和运行状态的保护。
主要涉及网络与信息系统的真实性、可控性、可用性、合法性、唯一性、可追溯性、占有性、生存性、稳定性、可靠性等;所面对的威胁包括非法使用资源、系统安全漏洞利用、网络阻塞、网络病毒、越权访问、非法控制系统、黑客攻击、拒绝服务攻击、软件质量差、系统崩溃等;主要的保护方式有防火墙与物理隔离、风险分析与漏洞扫描、应急响应、病毒防治、访问控制、安全审计、入侵检测、源路由过滤、降级使用、数据备份等。
3、数据安全:是指对信息在数据收集、处理、存储、检索、传输、交换、显示、扩散等过程中的保护,使得在数据处理层面保障信息依据授权使用,不被非法冒充、窃取、篡改、抵赖。
主要涉及信息的机密性、真实性、实用性、完整性、唯一性、不可否认性、生存性等;所面对的威胁包括窃取、伪造、密钥截获、篡改、冒充、抵赖、攻击密钥等;主要的保护方式有加密、认证、非对称密钥、完整性验证、鉴别、数字签名、秘密共享等。