信息安全
名词区分
信安概念
信息安全这一术语,与计算机安全和信息保障(information assurance)等术语经常被不正确地互相替换使用。这些领域经常相互关联,并且拥有一些共同的目标:保护信息的机密性、完整性、可用性;然而,它们之间仍然有一些微妙的区别。
区别主要存在于达到这些目标所使用的方法及策略,以及所关心的领域。信息安全主要涉及数据的机密性、完整性、可用性,而不管数据的存在形式是电子的、印刷的还是其它的形式。
计算机安全可以指:关注计算机系统的可用性及正确的操作,而并不关心计算机内存储或产生的信息。
为保障信息安全,要求有信息源认证、访问控制,不能有非法软件驻留,不能有未授权的操作等行为。
历史
自从人类有了书写文字之后,国家首脑和军队指挥官就已经明白,使用一些技巧来保证通信的机密以及获知其是否被篡改是非常有必要的。
凯撒被认为在公元前50年发明了凯撒密码,它被用来防止秘密的消息落入错误的人手中时被读取。
第二次世界大战使得信息安全研究获取了许多进展,并且标志着其开始成为一门专业的学问。
20世纪末以及21世纪初见证了通信、计算机硬件和软件以及数据加密领域的巨大发展。小巧、功能强大、价格低廉的计算设备使得对电子数据的加工处理能为小公司和家庭用户所负担和掌握。这些计算机很快被通常称为因特网或者万维网的网络连接起来。
在因特网上快速增长的电子数据处理和电子商务应用,以及不断出现的国际恐怖主义事件,增加了对更好地保护计算机及其存储、加工和传输的信息的需求。计算机安全、信息安全、以及信息保障等学科,是和许多专业的组织一起出现的。他们都持有共同的目标,即确保信息系统的安全和可靠。
基本原理
简单来讲,有关信息安全的内容可以简化为下列三个基本点:
机密性(Confidentiality)
完整性(Integrity)
可用性(Availability)
基于这个原因,任何有违信息的“可用性”都算是违反信息安全的规定。因此,世上不少国家,不论是美国还是中国都有要求保持信息可以不受规限地流通的运动举行。
对信息安全的认识经历了的数据安全阶段(强调保密通信)、网络信息安全时代(强调网络环境)和目前的信息保障时代(强调不能被动地保护,需要有保护——检测——反应——恢复四个环节)。
安全技术严格地讲仅包含3类:隐藏、访问控制和密码学。
典型的安全应用有:
数字水印属于隐藏;
网络防火墙属于访问控制;
数字签名属于密码学。
过程控制
突发事件控制
“网络与信息安全事件”(Network & Information Security Incident)是突发事件的一种,也被称为“信息安全事件”(Information Security Incident)。网络与信息安全事件在业界尚未有统一的定义,政府管理、科学研究、企业根据各自的关注点对其的理解也存在一定的差异。至于中华人民共和国国家质量监督检验检疫总局和中国国家标准化管理委员会制定发布的两个现行技术标准中,对该术语的定义如下:
在《信息技术 安全技术 信息安全事件管理指南》(GB/Z 20985-2007)中被定义为“由单个或一系列意外或有害的信息安全事态所组成的,极有可能危害业务运行和威胁信息安全。”
在《信息安全技术 信息安全事件分类分级指南》(GB/Z 20986-2007)中被定义为“由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或对社会造成负面影响的事件。”
法律、法规与标准
目前在地区,最重要的信息安全标准体系是“信息安全等级保护体系”。该体系在所有主要行业进行推广,并对信息安全行业的发展产生了重要影响。
信息安全专家
布鲁斯·施奈尔
吉恩·斯帕福德
沈昌祥
苗得雨
陈阳怀
参考文献
信息安全
参见
计算机安全隐患
网络安全
战术数字信息链路
携带自有设备(BYOD),与原本信息安全背道而驰的做法
免责声明:以上内容版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。感谢每一位辛勤著写的作者,感谢每一位的分享。
- 有价值
- 一般般
- 没价值