第一章 信息安全基礎
信息安全概念、信息安全法律法規、信息安全管理基礎、信息安全標準化知識。
1.1 信息安全概念
1.1.1 信息安全是信息時代永恆的需求
超級計算機、量子計算機、DNA計算機
1448量子位計算機可以攻破256橢圓曲線密碼、2048量子位的量子計算機可以攻破1024位RSA密碼。我國居民二代身份證是256位橢圓曲線密碼。
密碼破譯的量子計算算法主要有:Grover算法和Shor算法。
1.1.2 網絡空間安全學科的內涵
Cyberspace:信息空間、網絡空間、網電空間、數字世界等。稱之爲賽博空間。
網絡空間安全的核心內涵是信息安全。
信息安全主要包含:信息的祕密性、完整性、可用性。
信息安全科劃分爲四個層次:設備安全、數據安全、內容安全、行爲安全。
網絡空間安全學科是研究信息獲取、信息存儲、信息傳輸和信息處理領域中信息安全保障問題的一門新興科學。
1.1.3 網絡空間安全學科的主要研究方向和研究內容
- 密碼學:對稱密碼、公鑰密碼、摘要函數、密碼協議、新型密碼、密鑰管理、密碼應用。
- 網絡安全:網絡安全威脅、通信安全、協議安全、網絡防護、入侵檢測、入侵響應、可信網絡。
- 信息系統安全:信息系統的安全威脅、信息系統的硬件系統安全、信息系統的軟件系統安全、訪問控制、可信計算、信息系統安全等級保護、信息系統安全測評認證、應用信息系統安全。
- 信息內容安全:信息內容的獲取、信息內容的分析與識別、信息內容的管理和控制、信息內容安全的法律保障。
- 信息對抗:通信對抗、雷達對抗、光電對抗、計算機網絡對抗。
1.1.4 網絡空間安全學科的理論基礎
- 數學是一切自然科學的理論基礎、也是網絡空間安全學科的理論基礎。
- 信息論、控制論和系統論是現代科學的理論基礎,因此也是網絡空間安全學科的理論基礎。
- 計算機理論也是網絡空間安全學科的理論基礎。
- 訪問控制理論是網絡空間安全學科所特有的理論基礎。
1.1.5 網絡空間安全學科的方法論基礎
核心內容:理論分析、逆向分析、實驗驗證、技術實現。
1.2 信息安全法律法規
1.2.1 我國立法現狀
- 國務院於1994年2月18日頒佈《中華人民共和國計算機信息系統安全保護條例》,這是一個標誌性、基礎性的法規。
- 總體上我國信息安全立法還處於起步階段:1)沒有形成一個完整性、實用性、針對性的完善的法律體系;2)不懼開放性;3)缺乏兼容性;4)難以操作;
1.2.2 計算機和網絡安全的法規規章
- 2015年6月,第十二屆全國人大常委會第十五次會議初次審議了《中華人民共和國網絡安全法(草案)》。
- 1994年2月18日,中華人民共和國國務院令147號發佈了《中華人民共和國計算機信息系統安全保護條例》。
- 1997年5月20日,國務院令第218號發佈了修訂後的《中華人民共和國計算機信息網絡國際聯網管理暫行規定》。
- 1998年3月6日,國務院信息辦發佈了《中華人民共和國計算機信息網絡國際聯網管理暫行規定實施辦法》。
- 2000年1月25日,國家保密局頒佈了《計算機信息系統國際聯網保密管理規定》。
- 1997年6月,公安部頒佈了《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》。
- 1999年10月,國務院發佈了《商用密碼管理條例》。
- 2000年4月26日,公安部第151號令頒佈了《計算機病毒防治管理辦法》。
- 2005年4月,《中華人民共和國電子簽名法》正式施行。
- 2008年5月1日,正式施行的《中華人民共和國政府信息公開條例》。
- 2002年,國務院《計算機軟件保護條例》正式施行。
- 2006年5月10日,國務院第468號令通過了《信息網絡傳播權保護條例》。
1.3 信息安全管理基礎
1.3.1 信息安全管理
信息安全定義:保護信息系統的硬件、軟件及相關數據,使之不因爲偶然或惡意的侵犯而遭受破壞、更改和泄露;保證信息系統中信息的機密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。
密碼管理
國家密碼管理局2006年1月6日發佈,“無線局域網產品須使用的系列密碼算法”,包括:對稱算法(SMS4)、簽名算法(ECDSA)、密鑰協商算法(ECDH)、雜湊算法(SHA-256)、隨機數生成算法(自行選擇)。
網絡管理
功能上劃分爲:配置管理、性能管理、安全管理、故障管理等。
網絡管理多個發展方向:網管系統、應用性能管理、桌面管理、員工行爲管理、安全管理。
設備管理
遵守國家標準:
- GB50173-1993《電子計算機機房設計要求》;
- GB2887-89《計算站場地技術條件》;
- GB9361-1988《計算站場地安全要求》;
人員管理
所有信息系統相關人員都應當接受信息安全意識教育。主要包括:
- 組織信息安全方針與控制目標;
- 安全職責、安全程序及安全管理規章制度;
- 適用的法律法規;
- 防範惡意軟件以及其他與安全有關的內容;
1.3.2 信息安全政策
等級保護
2007年6月聯合發佈《信息安全等級保護管理辦法》,劃分爲五級:
- 第一級,會對公民、法人和其他組織的合法權益造成損傷,不損害國家安全、社會秩序和公共利益。
- 第二級,會對公民、法人和其他組織合法權益嚴重損傷,對社會秩序和公共利益造成損害,不損害國家安全。
- 第三級,會對社會秩序和公共利益造成嚴重損害,對國家安全造成損害。
- 第四級,會對社會秩序和公共利益造成特別嚴重損害,對國家安全造成嚴重損害。
- 第五級,會對國家安全造成特別嚴重損害。
GB17859—1999《計算機信息系統安全保護等級劃分準則》:
- 第一級 用戶自主保護級;
- 第二級 系統審計保護級;
- 第三級 安全標記保護級;
- 第四級 結構化保護級;
- 第五級 訪問驗證保護級;
分級保護
- 祕密級,防護水平>=信息安全等級保護三級
- 機密級,防護水平>=信息安全等級保護四級
- 絕密級,防護水平>=信息安全等級保護五級
涉密信息系統分級保護管理過程分爲八個階段:
- 系統定級階段;
- 安全規劃方案設計階段;
- 安全工程實施階段;
- 信息系統測評階段;
- 系統審批階段;
- 安全運行及維護階段;
- 定期評測與檢查階段;
- 系統隱退終止階段;
實際工作中,涉密信息系統的定級、安全規劃方案設計的實施與調整、安全運行及維護三個階段,尤其重視。
網絡隔離
網絡隔離技術的安全要點如下幾點:
- 要具有高度的自身安全性;
- 要確保網絡之間是隔離的;
- 要保證網間交換的只是應用數據;
- 要對網間的訪問進行嚴格的控制和檢查;
- 要在堅持隔離的前提下保證網絡暢通和應用透明;
安全監控
分爲網絡安全監控和主機安全監控。
1.3.3 信息安全風險評估與管理
信息系統的安全風險:由於系統存在的脆弱性,人爲或自然的威脅導致安全事件發生的可能性及其造成的影響。
信息安全評估:依據有關信息安全技術標準,對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價的過程。
風險評估
風險評估的具體過程:
- 確定資產;
- 脆弱性和威脅分析;
- 制定及評估控制措施;
- 決策;
- 溝通與交流;
- 監督實施;
評估方法概括有三大類:
- 定量評估方法;
- 定性評估方法;
- 定性與定量相結合的綜合評估方法;
風險管理
確立風險意識的文化、對風險進行現實的評估、確立風險承擔制、風險管理納入信息化建設的日常工作中。
1.4 信息安全標準化知識
1.4.1 技術標準的基本知識
在我國,將標準級別依據《中華人民共和國標準化法》劃分爲國家標準、行業標準、地方標準、企業標準等4個層次。
GB/Z——“國家標準化指導性技術文件”
GB/T——推薦性國家標準
GB——強制性國家標準
1.4.2 標準化組織
- 國際標準化組織(ISO)、國際電工委員會(IEC)
- 美國國家標準化協會(ANSI)、美國國家標準技術研究所(NIST)、美國電器電工工程師協會(IEEE)
- 2002年成立全國信息安全標準化技術委員會(信安標委,TC260)
1.4.3 信息安全標準
信息安全管理體系標準
BS7799—2001年2月被國際標準化組織採納爲國際標準ISO/IEC 17799。
BS7799作爲信息安全管理領域的一個權威標準,是全球業界一致公認的輔助信息安全治理手段,該標準最大的意義在於可以爲管理層提供一套可量體裁衣的信息安全管理要項、一套與技術負責人或組織高層進行溝通的共同語言,以及保護信息資產的制度框架。
技術與工程標準
ISO/IEC 15408—1999《信息技術、安全技術、信息技術安全性評估準則》(簡稱CC)
CC分爲三個部分:
- 第一部分“簡介和一般模型”
- 第二部分“安全功能要求”
- 第三部分“安全保障要求”
2001年參照國際標準制定了國家標準GB/T 18336《信息技術安全性評估準則》,作爲評估信息技術產品與信息安全特性的基礎準則。
- WG1——信息安全標準體系與協調工作組
- WG2——涉密信息系統安全保密工作組
- WG3——密碼工作組
- WG4——鑑別與授權工作組
- WG5——信息安全評估工作組
- WG7——信息健全管理工作組