一、信息、信息化、信息安全概念
信息:任何能够传达有价值内容的料。信息化:信息化就是将有价值内容的资料数字化,能够在计算机网络中进行共享,使用和挖掘的过程。
信息安全:防止网络自身及其采集、加工、存储、传输的信息数据被故意或偶然的非授权泄露、更改、破坏或使信息被非法辨认、控制,确保经过网络传输的信息不被截获、不被破译,也不被篡改,并且能被控制和合法使用。
二、信息安全的内容: 信息安全应该包括了 包括物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全与公共、国家信息安全等方面。
涉及到个人权益、企业生存、金融风险防范、社会稳定和国家的安全。三、网络与信息安全的主要威胁
表现 信息网络自身的脆弱性
操作系统、数据库以及通信协议等方面存在安全漏洞
和隐蔽通道等不安全因素
软硬件故障和工作人员误操作等人为或偶然事故构成的威胁
利用计算机实施盗窃、诈骗等违法犯罪活动的威胁
网络攻击和计算机病毒构成的威胁
信息战的威胁
四、信息安全的基本特征
1、机密性:确保信息不被非授权者获得与使用。2、完整性:信息是真实可信的,其发布者不被冒充,来源不被伪造,内容不被篡改。
3、可用性:保证信息可被授权人在需要时立即获得并正常使用。
4、可控性:信息能被信息的所有者或被授权人所控制,防止被非法利用。
5、抗抵赖性:通信双方不能否认己方曾经签发的信息。
五、需要保护的资源
1、物理资源物理资源指企业的工作站、服务器、终端、笔记本电脑、路由器、防火墙及其它外围和网络设备。
2、智力资源
智力资源指信息系统的应用程序、数据信息(包括客户信息、认证信息等)、系统软件等等。
3、时间资源
时间资源是指信息系统如果不能正常工作,甚至停止 工作的情况下,因恢复时间而给企业所造成的损失。
六、安全认识的误区
安全高深莫测安全问题是纯技术问题
安全只是网络的问题,与应用没有关系
七、1999年,中国颁布,由低到高划分为5个等级。
第一级:用户自主保护级 由用户来决定如何对资源进行保护,以及采用何种方式进行保护。
它的安全保护机制使用户具备自主安全保护的能力,保护用户的信息免受非法的读写破坏。
第二级:系统审计保护级
本级的安全保护机制支持用户具有更强的自主保护能力。
特别是具有访问审记能力。
第三级:安全标记保护级
具有第二级系统审计保护级的所有功能,并对访问者及其访问对象实施强制访问控制。
通过对访问者和访问对象指定不同安全标记,限制访问者的权限。
第四级:结构化保护级
将前三级的安全保护能力扩展到所有访问者和访问对象,支持形式化的安全保护策略。
本身构造也是结构化的,以使之具有相当的抗渗透能力。
本级的安全保护机制能够使信息系统实施一种系统化的安全保护。
第五级:访问验证保护级
具备第四级的所有功能,还具有仲裁访问者能否访问某些对象的能力。
本级的安全保护机制不能被攻击、被篡改,具有极强的抗渗透能力。