《信息安全及其重要性》由会员分享,可在线阅读,更多相关《信息安全及其重要性(22页珍藏版)》请在金锄头文库上搜索。
1、 欢迎阅读本文档,希望本文档能对您有所帮助!信息安全及其重要性 信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。信息安全本身包括的范围很大,其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、消息认证、数据加密等),直至安全系统,如uninac、dlp等,只要存在安全漏洞便可以威胁全局安全。信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改
2、、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。 信息安全学科可分为狭义安全与广义安全两个层次,狭义的安全是建立在以密码论为基础的计算机安全领域,早期中国信息安全专业通常以此为基准,辅以计算机技术、通信网络技术与编程等方面的内容;广义的信息安全是一门综合性学科,从传统的计算机安全到信息安全,不但是名称的变更也是对安全发展的延伸,安全不在是单纯的技术问题,而是将管理、技术、法律等问题相结合的产物。 信息安全产品 2021年信息安全产业将步入高速发展阶段,而整个互联网用户对安全产品的要求也转入”主动性安全防御”。随着用户安全防范意识正在增强,主动性安全产品将更受关注,主动的安全
3、防御将成为未来安全应用的主流。终端方案 终端安全解决方案是以终端安全保护系统全方位综合保障终端安全,并以数据安全保护系统重点保护终端敏感数据的安全。终端安全保护系统以”主动防御”理念为基础,采用自主知识产权的基于标识的认证技术,以智能控制和安全执行双重体系结构为基础,将全面安全策略与操作系统有机结合,通过对代码、端口、网络连接、移动存储设备接入、数据文件加密、行为审计分级控制,实现操作系统加固及信息系统的自主、可控、可管理,保障终端系统及数据的安全。安全软件 数据安全保护系统能够实现数据文档的透明加解密保护,可指定类型文件加密、指定程序创建文件加密,杜绝文档泄密。实现数据文档的强制访问控制和统
4、一管理控制、敏感文件及加密密钥的冗余存储备份,包括文件权限管理、用户管理、共享管理、外发管理、备份管理、审计管理等。对政府及企业的各种敏感数据文档,包括设计文档、设计图纸、源代码、营销方案、财务报表及其他各种涉及企业商业秘密的文档,都能实现稳妥有效的保护。 信息安全影响因素 信息安全与技术的关系可以追溯到远古。埃及人在石碑上镌刻了令人费解的象形文字;斯巴达人使用一种称为密码棒的工具传达军事计划,罗马时代的凯撒大帝是加密函的古代将领之一,”凯撒密码”据传是古罗马凯撒大帝用来保护重要军情的加密系统。它是一种替代密码,通过将字母按顺序推后3位起到加密作用,如将字母a换作字母d,将字母b换作字母e。英
5、国计算机科学之父阿兰图灵在英国布莱切利庄园帮助破解了德国海军的enigma密电码,改变了二次世界大战的进程。美国nist将信息安全控制分为3类。 (1)技术,包括产品和过程(例如防火墙、防病毒软件、侵入检测、加密技术)。 (2)操作,主要包括加强机制和方法、纠正运行缺陷、各种威胁造成的运行缺陷、物理进入控制、备份能力、免予环境威胁的保护。(3)管理,包括使用政策、员工培训、业务规划、基于信息安全的非技术领域。信息系统安全涉及政策法规、教育、管理标准、技术等方面,任何单一层次的安全措施都不能提供全方位的安全,安全问题应从系统工程的角度来考虑。图8-1给出了nstissc安全模型。 安全威胁 (1
6、)信息泄露。信息被泄露或透露给某个非授权的实体。 (2)破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到损失。(3)拒绝服务:对信息或其他资源的合法访问被无条件地阻止。 (4)非法使用(非授权访问):某一资源被某个非授权的人,或以非授权的方式使用。(5)窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。 (6)业务流分析。通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从中发现有价值的信息和规律。 (7)假冒。通过欺骗通信
7、系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。 (8)旁路控制。攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如,攻击者通过各种攻击手段发现原本应保密,但是却又暴露出来的一些系统”特性”,利用这些”特性”,攻击者可以绕过防线守卫者侵入系统的内部。 (9)授权侵犯。被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的,也称作”内部攻击”。 (10)特洛伊木马。软件中含有一个觉察不出的有害的程序段,当它被执行时,会破坏用户的安全。这种应用程序称为特洛伊木马(trojanhorse)。 (
8、11)陷阱门。在某个系统或某个部件中设置的”机关”,使得在特定的数据输入时,允许违反安全策略。 (12)抵赖:这是一种来自用户的攻击,比如:否认自己曾经发布过的某条消息、伪造一份对方来信等。 (13)重放:出于非法目的,将所截获的某次合法的通信数据进行拷贝,而重新发送。(14)计算机病毒:一种在计算机系统运行过程中能够实现传染和侵害功能的程序。(15)人员不慎:一个授权的人为了某种利益,或由于粗心,将信息泄露给一个非授权的人。(16)媒体废弃:信息被从废弃的磁碟或打印过的存储介质中获得。(17)物理侵入:侵入者绕过物理控制而获得对系统的访问。(18)窃取:重要的安全物品,如令牌或身份卡被盗。
9、(19)业务欺骗。某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息等等。 2021年信息安全大事件 1月,中国互联网出现大面积dns解析故障2月,维护网络安全首次被列入政府工作报告3月,携程”安全门”敲响网络消费安全警钟4月,微软停止xp支持,影响两亿国内用户5月,山寨网银及山寨微信大量窃取网银信息6月,免费wi-fi存陷阱,窃取用户手机敏感信息7月,苹果承认iphone存在”安全漏洞”8月,”xx神器”安卓系统手机病毒在全国蔓延9月,2021年中国互联网安全大会(ics)召开10月,2021中国网络安全大会(nsc2021)召开11月,首届国家网络安全宣传周活动举办 12月,86万
10、条简历数据因某招聘网站漏洞而被泄露 信息安全的重要性 信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。根据国际标准化组织的定义,信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何国家、政府、部门、行业都必须十分重视的问题,是一个不容忽视的国家安全战略。但是,对于不同的部门和行业来说,其对信息安全的要求和重点却是有区别的。 中国的改革开放带来了各方面信息量的急剧增加,并要求大容量、高效率地传输这些信息。为了适应这一形
11、势,通信技术发生了前所未有的爆炸性发展。除有线通信外,短波、超短波、微波、卫星等无线电通信也正在越来越广泛地应用。与此同时,国外敌对势力为了窃取中国的政治、军事、经济、科学技术等方面的秘密信息,运用侦察台、侦察船、侦察机、卫星等手段,形成固定与移动、远距离与近距离、空中与地面相结合的立体侦察网,截取中国通信传输中的信息。 从文献中了解一个社会的内幕,早已是司空见惯的事情。在20世纪后50年中,从社会所属计算机中了解一个社会的内幕,正变得越来越容易。不管是机构还是个人,正把日益繁多的事情托付给计算机来完成,敏感信息正经过脆弱的通信线路在计算机系统之间传送,专用信息在计算机内存储或在计算机之间传送
12、,电子银行业务使财务账目可通过通信线路查阅,执法部门从计算机中了解罪犯的前科,医生们用计算机管理病历,最重要的问题是不能在对非法(非授权)获取(访问)不加防范的条件下传输信息。 传输信息的方式很多,有局域计算机网、互联网和分布式数据库,有蜂窝式无线、分组交换式无线、卫星电视会议、电子邮件及其它各种传输技术。信息在存储、处理和交换过程中,都存在泄密或被截收、窃听、窜改和伪造的可能性。不难看出,单一的保密措施已很难保证通信和信息的安全,必须综合应用各种保密措施,即通过技术的、管理的、行政的手段,实现信源、信号、信息三个环节的保护,藉以达到秘密信息安全的目的。 1.风险评估包括哪几个方面。(1)生物
13、因子致病力、毒力、毒素感染剂量、浓度v 感染途径;自然界和实验室v敏感宿主(人、动物、植物等)已知的实验室获得性感染,疾病的严重性危险等级分类治疗和预防 病原体稳定性,在环境中的存活能力和传播能力(2)人员1)宿主:疾病严重性 地方流行情况;易感性既往实验室感染情况2)操作人员 是否经过培训,持证上岗是否已免疫 健康状况(怀孕,免疫力低下体质等)开展潜伏期医学监测 对病原体和工作程序有充分了解涉及个体数量(3)实验活动是否有活动资质数量、浓度生长状态 气溶胶产生(振荡、超声、移液)加压过程锐器离心研究和诊断大量样本操作实验动物仪器状态 2.如何理解风险评估在实验室生物安全管理中的重要性。 近年
14、来,国内外都有生物安全事故的报导,尤以今年的东北林业大学布鲁菌感染事件最为轰动,生物安全问题亦浮出水面。如果不认真进行风险评估,有毒有害微生物就有可能散播到人群,对公共卫生安全造成巨大威胁。科学研究的本质是造福于人类,但科学也是一把双刃剑,如果不重视基本安全规范,就有可能为人类造成灾难。小至一个人,大到全人类,甚至地球上所有生物。这些“灾难”本可以避免,但免不了会有不重视的人。因此,出台具法律意义的细则就十分重要。风险评估正是在此背景下诞生的新概念,并很快付诸施行,实在是利国利民的大事。 进行各种实验室检测,要做好实验室生物安全工作,首先要做好各种临床标本所涉及的微生物的危害度评估,在实验室生
15、物安全管理中,微生物的危害度评估是生物安全的核心工作,对于保证生物安全具有非常重要的意义。在实际工作中,风险评估对确定生物安全防护水平、制定实验室操作规程、编写仪器设备操作程序和管理规定,都具有重要的指导作用。在实验室检验中,许多标本的感染性是未知的,危险因素的信息是不全的,在这种情况下,进行实验室标本处理时,做好危害度评估,其意义不言而喻。 我国正处于生物安全实验室快速建设和发展阶段,随着国家对传染病研究和预防控制工作的更加重视,全国各地大量的生物安全实验室陆续建成并将投入使用,大量的病原微生物研究工作和疾病控制工作将在生物安全实验室内进行,如果没有系统、全面的实验室生物安全风险评估理论和方法,生物安全实验室生物安全管理工作中将缺少客观、科学的评估方法和评判依据。同时,如果缺少实验室建设前、实验活动前、实验活动后等动态的全程、持续有效的评估,将难以从根本上确保实验室生物安全。因此,我们应该积极借鉴其他安全领域的做法和经验,研究并建立具有实验室生物安全自身特点的我国实验室生物安全风险评估方法和体系,制定评估原则、阶段、步骤、形式、风险计算方法等内容,为实验室生物安全管理工作提供相对统一的尺度和标准,为我国卫生事业,特别是重大严重危害人民身体健康的传染病疾病防治工作健康、可持续发展提供强大技术支撑和保障,为
