一、背景介绍
在信息化社会中,计算机和网络在军事、政治、金融、工业、商业、人们的生活和工作等方面的应用越来越广泛,社会对计算机和网络的依赖越来越大。信息技术的广泛应用,互联网和移动互联网的深入普及,使得有关的信息安全成为信息系统规划、建设、运营时要面对的最重要问题。缺乏信息安全保障的信息系统将会给生产、经营、社会管理服务、个人资产、个人隐私等方面带来严重的损害。更为严重的是,由于信息泄露和信息系统非法入侵,金融安全、国防安全以至国家安全将面临非常严重的危险。
二、信息安全
1、信息安全概念
信息安全强调信息(数据)本身的安全属性,主要包括以下内容:
秘密性(Confidentiality):信息不被未授权者知晓的属性;
完整性(Integrity):信息是正确的、真实的、未被篡改的、完整无缺的属性;
可用性(Availability):信息可以随时正常使用的属性。
2、四个层次
信息必须依赖其存储、传输、处理及应用的载体(媒介)而存在。因此,针对信息系统,安全可以划分为以下四个层次:设备安全、数据安全、内容安全和行为安全,其中数据安全即是传统的信息安全。
(1)设备安全
信息系统设备的安全是信息系统安全的首要问题,是信息系统安全的物质基础。除了硬件设备外,软件系统也是一种设备,也要确保软件设备的安全;
信息系统设备的安全主要包括以下三个方面:
- 设备的稳定性:设备在一定时间内不出故障的概率;
- 设备的可靠性:设备能在一定时间内正常执行任务的概率;
- 设备的可用性:设备随时可以正常使用的概率。
(2)数据安全
数据安全本质上是一种静态的安全,其安全属性包括私密性、完整性和可用性。
(3)内容安全
内容安全是信息安全在政治上是健康的、在法律上符合国家法律法规、在道德层次上符合中华民族优良的道德规范。
(4)行为安全
行为安全本质上是一种动态的安全,其强调的是过程安全,主要体现在组成信息系统的硬件设备、软件设备和应用系统协调工作的程序(执行序列)符合系统设计的预期,这样才能保证信息系统的“安全可控”;
行为安全主要包括:
- 行为的秘密性:行为的过程和结果不能危害数据的秘密性。必要时,行为的过程和结果也应是秘密的;
- 行为的完整性:行为的过程和结果不能危害数据的完整性,行为的过程和结果是预期的;
- 行为的可控性:当行为的过程出现偏离预期时,能够发现、控制或纠正。
3、信息安全技术
保障信息安全的技术包括:硬件系统安全技术、操作系统安全技术、数据库安全技术、软件安全技术、网络安全技术、密码技术、恶意软件防治技术、信息隐藏技术、信息设备可靠性技术等。其中,硬件系统安全和操作系统安全是信息系统安全的基础,密码和网络安全等是关键技术;
网络安全技术主要包括防火墙、VPN、IDS、防病毒、身份认证、数据加密、安全审计、网络隔离等。
4、信息安全法律法规
我国信息安全的法律体系可分为四个层面:
(1)一般性法律规定。如宪法、国家安全法、国家秘密法、治安管理处罚条例等的法律法规并没有专门对信息安全进行规定,但是这些法律法规所规范和约束的对象包括涉及信息安全的行为;
(2)规范和惩罚信息网络犯罪的法律。这类法律包括《中华人民共和国刑法》《全国人大常委会关于维护互联网安全的决定》等;
(3)直接针对信息安全的特别规定。这类法律法规主要有《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国计算机信息网络国际联网管理暂行规定》《计算机信息网络国际联网安全保护管理办法》《中华人民共和国电信条例》等;
(4)具体规范信息安全技术、信息安全管理等方面的规定。这类法律法规主要有《商用密码管理条例》《计算机病毒防治管理办法》《计算机软件保护条例》《计笪机信息系统国际联网保密管理规定》《中华人民共和国电子签名法》《金融机构计算机信息系统安全保护工作暂行规定》等。此外还有一些地方性法规和规章。
5、信息安全等级保护
2007年,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》。根据这个办法,国家信息安全等级保护坚持自主定级、自主保护的原则,根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定为以下五级:
(1)第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护;
(2)第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导;
(3)第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查;
(4)第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查;
(5)第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
GB 17859-1999 标准是计算机信息系统安全等级保护系列标准的核心,是实行计算机信息系统安全等级保护制度建设的重要基础。GB 17859-1999 标准规定了计算机系统安全保护能力的五个等级,即:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。
6、人员管理
(1)加强人员审查;
(2)加强信息安全教育。
转载请注明:IT运维空间 » linux » 信息安全的基本概念和相关知识
发表评论