搜索
1第一期《信息安全基本概念介绍》一.什么是信息安全?信息安全本身包括的范围很大。大到国家军事政治等机密安全,小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、信息认证、数据加密等),直至安全系统,其中任何一个安全漏洞便可以威胁全局安全。随着时代的发展带来了各方面信息量的急剧增加,并要求大容量、高效率地传输这些信息。为了适应这一形势,信息技术发生了前所未有的爆炸性发展。目前,除有线通信外,短波、超短波、微波、卫星等无线电通信也正在越来越广泛地应用。与此同时,国外敌对势力为了窃取我国的政治、军事、经济、科学技术等方面的秘密信息,信息安全变成了任何国家、政府、部门、行业都必须十分重视的问题,是一个不容忽视的国家安全战略。总的来说,信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。信息安全主要包括保证信息的保密性、完整性和可用性等。其根本目的就是使内部信息不受外部威胁,因此信息通常要加密。为保障信息安全,要求有信息源认证、访问控制,不能有非法操作。信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。二.什么是信息安全事件?根据国家标准《信息安全技术信息安全事件分类分级指南》GB/Z20986—2007的描述,信息安全事件是指由于自然或人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或对社会造成负面影响的事件。此外,该指南还将信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类,每个基本分类分别包括若干个子类。有害程序事件(MalwareIncidents,MI)是指插入到信息系统中的一段程序,有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性,或影响信息系统的正常运行。有害程序事件是指蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的信息安全事件。2网络攻击事件(NetworkAttacksIncidents,NAI)是指通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。信息破坏事件(InformationDestroyIncidents,IDI)是指通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。信息内容安全事件(InformationContentSecurityIncidents,ICSI)是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。设备设施故障(FacilitiesFaults,FF)是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件,以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。灾害性事件(DisasterIncidents,DI)是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件,包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件。其他事件(OtherIncidents,OI)是指不能归为以上6个基本分类的信息安全事件。《信息安全技术信息安全事件分类分级指南》指出,根据信息系统自身的重要程度、系统损失和社会影响,将信息安全事件划分为四个级别:特别重大事件、重大事件、较大事件和一般事件。三.信息安全主要威胁有哪些?(一)自然灾害及物理环境威胁地震、雷击、洪灾、火灾以及其他不可抗的突发事件,对信息系统的安全有着致命影响。这种不可抗的自然灾难一旦发生,某个信息系统可能会被彻底摧毁,所有数据信息将会彻底丢失。除了各种自然灾害和不可抗的突发事件,信息系统物理环境安全也至关重要。例如机房的防尘、防静电以及通信线路安全等,影响着信息系统的正常运行与工作。为此,对计算机机房的建设应遵循严格要求。例如,机房必须有较高的抗震级别、良好的三防设计、防意外断电与消防措施、防雷击与防静电装置等,尽量避免因自然威胁而导致的数据丢失、泄露和设备损毁等情况发生。(二)信息系统自身脆弱性信息系统自身脆弱性是指信息系统采用的信息技术以及软、硬件设备自身存在的缺陷、漏洞等,是信息系统面临的安全威胁中最为重要的因素之一。例如,存储设备因长时间使用而导致老化,可能会造成存储数据的丢失与破坏;在电磁环境中进行信息传递,因通信技术机制等缺陷,电磁辐射会导致信息泄露,外界电磁干扰可能会破坏信息等等。3随着信息化建设应用的逐步深化,信息系统日益复杂化、巨型化,当面对品种繁多的技术手段、庞杂海量的研发任务、参差不齐的技术人员时,信息系统在设计建造过程中很难做到“完美无缺”。设计建造时技术人员的一个疏忽或失误,都可能成为信息系统的巨大安全隐患,甚至会导致重大错误。即使在设计建造时趋于完美的信息系统,也会因信息技术发展、信息安全形势的变化而产生隐患和漏洞。而这些隐患和漏洞一旦被恶意攻击者发现并利用,会对信息系统安全造成巨大威胁。(三)系统设置或用户操作不当在实际工作中,人们普遍关注信息系统自身脆弱性或外在恶意攻击等安全威胁,往往容易忽略系统设置与用户操作等内部管理行为,其实,恰恰相反,内部管理行为的不当对保障信息系统安全起着至关重要的作用,它往往能公开暴露出信息系统自身脆弱性并吸引外来的恶意攻击,从而引发信息系统安全事件。例如,安装或启用了附带高级访问权限的系统服务、自定义登录用户时设置空口令或简单口令、使用默认配置的防火墙软件、合法用户的误操作、内部人员有意或无意的泄露与破坏等。许多信息安全事件的发生,分析其原因时发现并非信息系统采用的信息技术不够安全、信息安全设备不够齐备,而是系统设置与用户使用习惯存在很大问题。一些信息安全产品功能性能十分强大,但由于用户设置规则不合理,使得安全产品形同虚设,未能发挥对信息系统的安全保护作用。(四)恶意程序与网络攻击泛滥恶意程序与网络攻击是信息系统外部安全威胁的主要表现形式。根据这些威胁的性质,基本上可以归结为以下几个方面:(1)信息泄露:保护的信息被泄露或透露给某个非授权的实体。(2)破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到损失。(3)拒绝服务:信息使用者对信息或其他资源的合法访问被不正常的阻止。(4)非法使用(非授权访问):某一资源被某个非授权的人,或以非授权的方式使用。(5)窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。(6)业务流分析:通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从中发现有价值的信息和规律。4(7)假冒:通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。我们平常所说的黑客大多采用的就是假冒攻击。(8)旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如,攻击者通过各种攻击手段发现原本应保密,但是却又暴露出来的一些系统“特性”,利用这些“特性”,攻击者可以绕过防线守卫者侵入系统的内部。(9)授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的,也称作“内部攻击”。(10)抵赖:这是一种来自用户的攻击,涵盖范围比较广泛,比如:否认自己曾经发布过的某条消息、伪造一份对方来信等。(11)计算机病毒:这是一种在计算机系统运行过程中能够实现传染和侵害功能的程序,行为类似病毒,故称作计算机病毒。(12)信息安全法律法规不完善:由于当前约束操作信息行为的法律法规还很不完善,存在很多漏洞,很多人打法律的擦边球,这就给信息窃取、信息破坏者以可趁之机。四.什么是信息安全等级保护?为有效抵御网络与信息系统面临的安全威胁,国内外信息安全领域一直进行探索和研究,制定了一系列网络与信息安全政策与标准,其中重要的一项内容就是按照信息安全保护强度划分为不同安全等级,从而指导不同领域不同重要程度信息系统的安全保障工作。信息安全等级保护是信息系统安全管理中一种基本的工作制度和管理方法,是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本管理制度。信息安全等级保护的主要内容是对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。依据《信息安全等级保护管理办法》(公通字〔2007〕43号,简称为《管理办法》),信息安全等级保护工作主要分为定级备案、安全建设整改、等级测评、监督检查等环节。信息系统安全保护定级工作按照自主定级、专家评审、主管部门审批、公安机关监督的流程进行。信息系统运营使用单位按照《管理办法》和《信息系统安全等级保护定级指南》(GB/T22240-2008),自主确定信息系统的安全保护等级。在具体确定安全保护等级时,主要从信息系统遭到破坏后侵害的客体及对客体的侵害程度综合进行确定。信息系统安全保护等级分为五级:5第一级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。该级信息系统运营、使用单位依据国家有关管理规范和技术标准进行自我保护。第二级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。该级信息系统信息安全等级保护工作,由国家信息安全监管部门进行指导。第三级:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。该级信息系统信息安全等级保护工作,由国家信息安全监管部门进行监督、检查。第四级:信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。该级信息系统信息安全等级保护工作,由国家信息安全监管部门进行强制监督、检查。第五级:信息系统受到破坏后,会对国家安全造成特别严重损害。该级信息系统信息安全等级保护工作,由国家指定专门部门进行专门监督、检查。为保证信息系统定级准确,信息系统运营使用单位应组织相关专家进行评审。有上级主管部门的,应当经上级主管部门审批,跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。公安机关负责对整个定级工作进行监督,确保定级工作顺利进行和定级准确性。五.什么是信息安全风险评估?信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的一系列过程。通过评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。信息安全风险评估工作按照“严密组织、规范操作、讲求科学、注重实效”的原则开展。重视和加强对信息安全风险评估工作的组织领导,完善相应的评估制度,形成预防为主、持续改进的信息安全风险评估机制。保证信息安全风险评估工作的科学性、规范性和客观性。风险评估分为自评估和检查评估两种形式。自评估是指,信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估。自评估是由组织自身发起,依据国家有关法规与标准,对信息系统及其管理进行的风险评估活动。信息系统的建设、运营或者使用单位可以依托本单位技术力量,或者委托符合条件的风险评估服务机构进行自评估。6检查评估是指,信息系统上级管理部门组织或国家有关职能部门依法开展,依据国家有关法规与标准,对信息系统及其管理进行具有强制性的检查活动