信息安全

理解信息安全，要從“信息”、“安全”兩個角度入手。

信息

信息是對客觀世界的反映，表現客觀事物的運動狀態和變化的實質內容。

信息具有可識別、可傳載、可共享、可度量的基本特征。

信息系統

信息系統是獲取（收集）、存儲、傳輸和處理信息的載體，是信息的駐留載體，是進行等級確定和等級保護管理的最終對象。

GB 17859-1999提出將**信息系統的安全等級劃分為5個等級**以及每個級別的安全功能要求

GB 22239-2019提出等保2.0，充分體現了“一個中心三重防御”的思想，一個中心指“安全管理中心”，三重防御指“安全計算環境、安全區域邊界、安全通信網絡”。

信息安全問題體現為**信息和信息系統的安全問題**

信息安全的保護對象是信息資產，典型的信息資產包括計算機硬件、軟件和數據

安全屬性

安全屬性分為基本屬性和擴展屬性。

信息安全的最終目標是保證信息資產的三個基本安全屬性

基本屬性（CIA）

（1）保密性（Confidentiality）：確保信息在存儲、使用、傳輸過程中不會泄露給非授權的用戶或者實體。

（2）完整性（Integrity）：確保信息在存儲、使用、傳輸過程中未經授權不能改變，保證信息的內外一致性。

（3）可用性（Availability）：確保授權用戶或者實體對于信息及資源的正確使用不會被異常拒絕，允許其可能而且及時地訪問信息及資源。

擴展屬性

不可否認性（抗抵賴性）：信息交換雙方在信息交換中收發信息的行為不可抵賴

可控性：信息的傳播和內容可控

可認證性：通過實體行為可以追溯到實體

信息安全的定義

信息安全強調的是對信息系統的硬件、軟件和數據信息實施安全防護，保證信息系統的安全屬性，確保在意外事故或惡意攻擊情況下系統不會遭到破壞、敏感數據信息不會被篡改和泄露，并保證系統能連續可靠地正常運行，相關服務不中斷。

信息安全從其主要內容劃分，包括實體安全、網絡安全、軟件安全、運行安全和信息安全等五個方面；從其結構層次劃分，包括物理安全、安全控制和安全服務等三個方面。

信息安全的發展

經歷了3個階段：

（1）信息保密階段：關注的通信內容的保密性屬性，保密等同于信息安全。

（2）信息保護階段：在原來所關注的保密性屬性之外，還有其他方面的屬性也應當是信息安全所關注的，這其中最主要的是完整性和可用性屬性，由此構成了支撐信息安全體系的三要素。

（3）信息保障階段：在統一安全策略的指導下，安全事件的事先預防（保護），事發處理（檢測 Delection 和響應 Restoration）四個主要環節相互配合，構成一個完整的保障體系。

信息安全的實現

安全服務和安全機制

安全服務：通常將加強網絡系統信息安全性及對抗安全攻擊而采取的一系列措施稱為安全服務。

ISO/OSI中定義的 5 種標準的安全服務：鑒別、訪問控制、數據機密性、數據完整性、不可否認。

安全機制：實現安全服務的技術手段。

e.g. 加密機制、數字簽名機制、訪問控制機制、數據完整性機制、鑒別機制、業務填充機制、路由控制機制和公正機制

典型的安全機制有：

（1）物理層安全，如視頻監控、門禁系統；

（2）網絡層安全，如防火墻、IPSecVPN；

（3）系統層安全，如殺毒軟件，主機入侵檢測系統；

（4）應用層安全，如用戶身份認證、應用層加密。

信息安全策略

包括三個不同層次的策略文檔：

（1）總體安全策略，闡述了指導性的戰略綱領性文件，闡明了企業對于信息安全的看法和立場、信息安全的目標和戰略、信息安全所涉及的范圍、管理組織構架和責任認定以及對于信息資產的管理辦法等內容；

（2）針對特定問題的具體策略，闡述了企業對于特定安全問題的聲明、立場、使用辦法、強制要求、角色、責任認定等內容，例如，針對 Internet訪問操作、計算機和網絡病毒防治、口令的使用和管理等特定問題，制定有針對性的安全策略；

（3）針對特定系統的具體策略，更為具體和細化，闡明了特定系統與信息安全有關的使用和維護規則等內容，如防火墻配置策略、電子郵件安全策略等。

安全策略舉例：（1）物理安全策略； （2）網絡安全策略； （3）數據加密策略； （4）數據備份策略；（5）病毒防護策略； （6）系統安全策略； （7）身份認證及授權策略； （8）災難恢復策略；（9）事故處理、緊急響應策略； （10）安全教育策略； （11）口令安全策略； （12）補丁管理策略； （13）系統變更控制策略

總之，信息安全的實現不僅靠技術手段，還涉及到管理方面！

信息安全的脆弱性

信息安全的實現涉及到技術和管理兩方面，脆弱性也應從這兩方面分析。

一、技術脆弱性

1、物理安全：物理設備的訪問控制、電力供應等

2、網絡安全：基礎網絡構架、網絡傳輸加密、訪問控制、網絡設備安全漏洞、設備配置安全等

3、系統安全：主機安全、操作系統安全、安全漏洞、軟件安全功能、數據防護等

4、應用安全：應用軟件安全漏洞、軟件安全功能、數據防護等

二、管理脆弱性

安全管理：安全策略、組織安全、資產分類與控制、人員安全、物理與環境安全等

筆者認為，信息安全包含的范圍廣、涉及到信息本身和其各種載體的安全性。從信息安全的脆弱性分析，推出解決方案，是當下“安全”相關專業研究方向的出發點，也是安全廠商努力的方向。