『壹』 什麼是信息安全,涉及那幾個方面
信息安全(Information Security)是指系統的硬體、軟體及其信息受到保護,並持續正常地運行和服務。信息安全的實質是保護信息系統和信息資源免受各種威脅、干擾和破壞,即保證信息的安全性。主要目標是防止信息被非授權泄露、更改、破壞或被非法的系統辨識與控制,確保信息的保密性、完整性、可用性、可控性和可審查性(信息安全5大特徵(方面))。視頻
在《計算機信息系統安全保護條例》中指出,計算機信息系統的安全保護,應當保障計算機及其相關的配套設備、設施(含網路)的安全,運行環境的安全,保障信息的安全,保障計算機功能的正常發揮,以維護計算機信息系統安全運行。
國際標准化組織(ISO)對於信息安全給出的定義是:為數據處理系統建立和採取的技術及管理保護,保護計算機硬體、軟體、數據不因偶然及惡意的原因而遭到破壞、更改和泄漏。
『貳』 什麼是信息安全,包含哪些方面
信息系統安全保障是在信息系統的整個生命周期中,從技術、管理、工程和人員等方面提出安全保障要求,確保信息系統的保密性、完整性和可用性,降低安全風險到可接受的程度,從而保障系統實現組織機構的使命。所有信息處理調用的指令,包括指示和控制計算機硬體的操作性指令(程序)和信息處理中使用的過程指令。程序包括操作系統程序、電子表格程序、文字處理程序等。過程包括數據輸入流程、錯誤改正流程、數據傳送流程等。
數據資源包括:由數字、字母以及其他字元組成,描述組織活動和其他事情的字母數字型數據;句子與段落組成的文本數據;圖形和圖表形式的圖像數據;記錄人與其他聲音的音頻數據。
滿足不同需求的、具有各種功能的信息系統構成了信息化社會的基礎,它提高了社會各個行業和部門的生產和管理效率,方便了人類的日常生活,推動了社會的發展前進。
(1)風險
信息安全風險產生的因素主要有信息系統自身存在的漏洞和來自系統外部的威脅。信息系統運行環境中存在具有特定威脅動機的威脅源,通過使用各種攻擊方法,利用信息系統的各種脆弱性,對信息系統造成一定的不良影響,由此引發信息安全問題和事件。
(2)保障
信息安全保障就是針對信息系統在運行環境中所面臨的各種風險,制定信息安全保障策略,在策略指導下,設計並實現信息安全保障架構或模型,採取技術、管理等安全保障措施,將風險控制到可接受的范圍和程度,從而實現其業務使命。
(3)使命
描述了信息系統在設計、執行、測試、運行、維護、廢棄整個生命周期中運行的需求和目標。信息系統的使命與其安全保障密不可分,需要通過信息系統安全措施來保障目標的正確執行。隨著信息系統面臨的威脅及運行環境的變化,安全保障也需要提供相應的保障措施,從而保障信息系統的正確運行。
風險管理是信息安全保障工作的基本方法。信息安全保障應當以風險管理為基礎,針對可能存在的各種威脅和自身弱點,採取有針對性的防範措施。信息安全不是追求絕對的安全,追求的是可管控的安全風險。最適宜的信息安全策略就是最優的風險管理對策,這是一個在有限資源前提下的最優選擇問題。信息系統防範措施不足會造成直接損失,會影響業務系統的正常運行,也會造成不良影響和損失。也就是說,信息安全保障的問題就是安全的效用問題,要從經濟、技術、管理的可行性和有效性上做出權衡和取捨。
『叄』 信息安全包括哪些方面的內容
(1)物理安全。物理安全主要包括環境安全、設備安全、媒體安全等方面。處理秘密信息的系統中心機房應採用有效的技術防範措施,重要的系統還應配備警衛人員進行區域保護。
(2)運行安全。運行安全主要包括備份與恢復、病毒的檢測與消除、電磁兼容等。涉密系統的主要設備、軟體、數據、電源等應有備份,並具有在較短時間內恢復系統運行的能力。應採用國家有關主管部門批準的查毒殺毒軟體適時查毒殺毒,包括伺服器和客戶端的查毒殺毒。
(3)信息安全。確保信息的保密性、完整性、可用性和抗抵賴性是信息安全保密的中心任務。
(4)安全保密管理。涉密計算機信息系統的安全保密管理包括各級管理組織機構、管理制度和管理技術三個方面。要通過組建完整的安全管理組織機構,設置安全保密管理人員,制定嚴格的安全保密管理制度,利用先進的安全保密管理技術對整個涉密計算機信息系統進行管理。
『肆』 信息安全是什麼含義
信息安全是指信息網絡的硬體、軟體及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,信息服務不中斷。
信息安全是一門涉及計算機科學、網路技術、通信技術、密碼技術、信息安全技術、應用數學、數論、資訊理論等多種學科的綜合性學科。
從廣義來說,凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網路安全的研究領域。
信息安全的實現目標
◆ 真實性:對信息的來源進行判斷,能對偽造來源的信息予以鑒別。
◆ 保密性:保證機密信息不被竊聽,或竊聽者不能了解信息的真實含義。
◆ 完整性:保證數據的一致性,防止數據被非法用戶篡改。
◆ 可用性:保證合法用戶對信息和資源的使用不會被不正當地拒絕。
◆ 不可抵賴性:建立有效的責任機制,防止用戶否認其行為,這一點在電子商務中是極其重要的。
◆ 可控制性:對信息的傳播及內容具有控制能力。
◆ 可審查性:對出現的網路安全問題提供調查的依據和手段
主要的信息安全威脅
◆ 竊取:非法用戶通過數據竊聽的手段獲得敏感信息。
◆ 截取:非法用戶首先獲得信息,再將此信息發送給真實接收者。
◆ 偽造:將偽造的信息發送給接收者。
◆ 篡改:非法用戶對合法用戶之間的通訊信息進行修改,再發送給接收者。
◆ 拒絕服務攻擊:攻擊服務系統,造成系統癱瘓,阻止合法用戶獲得服務。
◆ 行為否認:合法用戶否認已經發生的行為。
◆ 非授權訪問:未經系統授權而使用網路或計算機資源。
◆ 傳播病毒:通過網路傳播計算機病毒,其破壞性非常高,而且用戶很難防範。
信息安全威脅的主要來源
◆ 自然災害、意外事故;
◆ 計算機犯罪;
◆ 人為錯誤,比如使用不當,安全意識差等;
◆ "黑客" 行為;
◆ 內部泄密;
◆ 外部泄密;
◆ 信息丟失;
◆ 電子諜報,比如信息流量分析、信息竊取等;
◆ 信息戰;
◆ 網路協議自身缺陷缺陷,例如TCP/IP協議的安全問題等等。
信息安全策略
信息安全策略是指為保證提供一定級別的安全保護所必須遵守的規則。實現信息安全,不但靠先進的技術,而且也得靠嚴格的安全管理,法律約束和安全教育:
◆ 先進的信息安全技術是網路安全的根本保證。用戶對自身面臨的威脅進行風險評估,決定其所需要的安全服務種類,選擇相應的安全機制,然後集成先進的安全技術,形成一個全方位的安全系統;
◆ 嚴格的安全管理。各計算機網路使用機構,企業和單位應建立相應的網路安全管理辦法,加強內部管理,建立合適的網路安全管理系統,加強用戶管理和授權管理,建立安全審計和跟蹤體系,提高整體網路安全意識;
◆ 制訂嚴格的法律、法規。計算機網路是一種新生事物。它的許多行為無法可依,無章可循,導致網路上計算機犯罪處於無序狀態。面對日趨嚴重的網路上犯罪,必須建立與網路安全相關的法律、法規,使非法分子懾於法律,不敢輕舉妄動。
信息安全涉及的主要問題
◆ 網路攻擊與攻擊檢測、防範問題
◆ 安全漏洞與安全對策問題
◆ 信息安全保密問題
◆ 系統內部安全防範問題
◆ 防病毒問題
◆ 數據備份與恢復問題、災難恢復問題
信息安全技術簡介
目前,在市場上比較流行,而又能夠代表未來發展方向的安全產品大致有以下幾類:
◆ 防火牆:防火牆在某種意義上可以說是一種訪問控制產品。它在內部網路與不安全的外部網路之間設置障礙,阻止外界對內部資源的非法訪問,防止內部對外部的不安全訪問。主要技術有:包過濾技術,應用網關技術,代理服務技術。防火牆能夠較為有效地防止黑客利用不安全的服務對內部網路的攻擊,並且能夠實現數據流的監控、過濾、記錄和報告功能,較好地隔斷內部網路與外部網路的連接。但它其本身可能存在安全問題,也可能會是一個潛在的瓶頸。
◆ 安全路由器:由於WAN連接需要專用的路由器設備,因而可通過路由器來控制網路傳輸。通常採用訪問控制列表技術來控制網路信息流。
◆ 虛擬專用網(VPN):虛擬專用網(VPN)是在公共數據網路上,通過採用數據加密技術和訪問控制技術,實現兩個或多個可信內部網之間的互聯。VPN的構築通常都要求採用具有加密功能的路由器或防火牆,以實現數據在公共信道上的可信傳遞。
◆ 安全伺服器:安全伺服器主要針對一個區域網內部信息存儲、傳輸的安全保密問題,其實現功能包括對區域網資源的管理和控制,對區域網內用戶的管理,以及區域網中所有安全相關事件的審計和跟蹤。
◆ 電子簽證機構--CA和PKI產品:電子簽證機構(CA)作為通信的第三方,為各種服務提供可信任的認證服務。CA可向用戶發行電子簽證證書,為用戶提供成員身份驗證和密鑰管理等功能。PKI產品可以提供更多的功能和更好的服務,將成為所有應用的計算基礎結構的核心部件。
◆ 用戶認證產品:由於IC卡技術的日益成熟和完善,IC卡被更為廣泛地用於用戶認證產品中,用來存儲用戶的個人私鑰,並與其它技術如動態口令相結合,對用戶身份進行有效的識別。同時,還可利用IC卡上的個人私鑰與數字簽名技術結合,實現數字簽名機制。隨著模式識別技術的發展,諸如指紋、視網膜、臉部特徵等高級的身份識別技術也將投入應用,並與數字簽名等現有技術結合,必將使得對於用戶身份的認證和識別更趨完善。
◆ 安全管理中心:由於網上的安全產品較多,且分布在不同的位置,這就需要建立一套集中管理的機制和設備,即安全管理中心。它用來給各網路安全設備分發密鑰,監控網路安全設備的運行狀態,負責收集網路安全設備的審計信息等。
◆ 入侵檢測系統(IDS):入侵檢測,作為傳統保護機制(比如訪問控制,身份識別等)的有效補充,形成了信息系統中不可或缺的反饋鏈。
◆ 安全資料庫:由於大量的信息存儲在計算機資料庫內,有些信息是有價值的,也是敏感的,需要保護。安全資料庫可以確保資料庫的完整性、可靠性、有效性、機密性、可審計性及存取控制與用戶身份識別等。
◆ 安全操作系統:給系統中的關鍵伺服器提供安全運行平台,構成安全WWW服務,安全FTP服務,安全SMTP服務等,並作為各類網路安全產品的堅實底座,確保這些安全產品的自身安全。