摘要:第三阶段互联网的使用世纪年代末,美国出现了第一一个用于军事目的的计算机网络。全球范围内陡然上升的网络攻击威胁导致各国对
参加每年的大学生网络安全精英赛通过初赛就可以嫖一张 nisp(国家信息安全水平考试) 一级证书,nisp 一级本身没啥考的价值,能白嫖自然很香
信息技术(Information Technology,IT),是用于管理和处理信息所采用的各种技术的总称
信息技术主要利用计算机科学和通信技术来设置、开发、安装和实时信息系统及应用软件。其中,信息处理是获取信息并对它进行变换,使之成为有用信息并发布出去的过程,主要包括信息的获取、存储、加工、发布和表示等几个环节。目前,信息收集和处理已经成为人类社会工作的一个重要组成部分
信息技术包括生产和应用两个方面
微电子、通信、计算机和网络是信息系统的核心技术,其发展进程大致可分为以下四个阶段
第一阶段:电讯技术的发明
信息技术的起源可以追溯到19世纪30年代,其标志性事件是随着电
磁技术的发展,出现了电话电报。人类远程通信手段有了飞跃,开
始进入新时代。这一时期的突出成果包括: 1835年, 美国人莫尔斯
(Morse)发明电报; 1837年,莫尔斯电磁式有线电报问世; 1886
年,马可尼发明无线电报机; 1876年, 贝尔(BelI) 发明电话机;
1906年,美国物理学家费森登成功研究出无线电广播; 1912年美 国
Emer son公司制造出世界上第一台收音机; 1925年,约翰●贝德发明
了世界上第一台电视机。这些技术成果统称为电讯技术,它们为信
息技术的进一步发展奠定了基础。
第二阶段:计算机技术的发明
进入20世纪30年代,计算机理论与技术迅速发展,信息技术
进入计算机阶段。
20世纪50年代末,第一代电子管计算机出现,用于军事科研
信息处理;
60年代中期,
第二代晶体管计算机逐渐在民用企业中使用
60年代末,集成电路(Integrated Circuit, IC) 和大规模
集成电路计算机接踵而至,并开始在社会普及应用;
70年代,随着个人计算机的普及,人们开始使用计算机处理
各种业务。计算机技术的发展和应用加快了人类奔向信息时
代的步伐。
第三阶段:互联网的使用
20世纪60年代末,美国出现了第一一个用于军事目的的计算机网
络ARPANET。ARPANET的重要意义在于它使连接到网络上的计算
机能够相互交流信息。
20世纪90年代,计算机网络发展成为全球性网络一一因特网 (
Internet),网络技术和网络应用迅猛发展。此外,这一阶段
电话、计算机等设备也实现了互联互通,信息和数据的传输更
加容易。信息技术在这一-阶段的飞速发展,深刻地影响着人们
的工作和生活方式。
第四阶段:网络社会
20世纪末,以Internet为核心的信息技术进一步发展,人们的工
作、生活和学习越来越离不开网络,国家的经济、社会治理也与
网络密不可分。
高度发展的信息网络,一方面通过现实社会投射,构成了虚拟
“网络社会”;另一方面通过网络信息渗透,融合了各种已存在的
社会实体网络,使“网络社会”成为整个现实社会的结构形态。
至此,信息技术步入一个崭新的阶段一网络社会 阶段。
在这一阶段,云计算、物联网和大数据技术进入人们的生活,信
息和数据的保存、传输更加容易。
设备安全
信息设备的安全是信息系统安全的首要问题
设备包括:软设备和硬设备
数据安全
IBM对于数据安全的定义:采取措施确保数据免受未授权的泄露、篡改和毁坏
内容安全
内容安全是信息安全在法律、政治、道德层次上的要求
行为安全
行为安全是信息安全的终极目的
符合哲学上,实践是检验真理的唯一标准
国家威胁
组织威胁
主要针对企业或组织受保护的财产、专有技术。具体表现为:
个人威胁
内因:系统自身的脆弱性
复杂性导致脆弱性
外因:来自恶意攻击者的攻击,来自自然灾害的破坏
通信安全(COMSEC)
核心思想
安全威胁
安全措施
计算机安全(COMPUSEC)
核心思想
安全威胁
安全措施
信息系统安全(INFOSEC)
核心思想
安全威胁
安全措施
信息安全保障(IA)
核心思想
安全威胁
安全措施
2013年,“棱镜门”事件在全球持续发酵隐藏在互联网背后的国家力量和无所不在的“监控”之手,引起舆论哗然和网络空间的连锁反应。全球范围内陡然上升的网络攻击威胁,导致各国对信息安全的重视程度急剧提高,越来越多的国家将信息安全列为国家核心安全利益。网络安全进一步成为大国竞争的战略基点,较量和博弈逐步深化升级
我国信息安全环境日趋复杂,网络安全问题对互联网的健康发展带来日益严峻的挑战,网络安全事件的影响力和破坏程度不断扩大
体现在以下几个方面:
信息安全保障是指采用技术、管理等综合手段,保护信息和信息系统能够安全运行的防护性行为
通过保证信息和信息系统的可用性、完整性、机密性和不可否认性来保护并防御信息和信息系统的操作,包括通过综合保护、检测和响应等能力为信息系统提供修复
防护行为
信息安全保障与信息安全、信息系统安全的区别
信息安全保障的概念更加广泛
信息安全保障模型能准确描述安全的重要方面与系统行为的关系,提高对成功实现关键安全需求的理解层次,计划-执行-检查-改进(Plan Do Check Act,PDCA)模型和信息保障技术框架是信息安全管理和信息安全保障技术实施过程遵循的方法和思想
除 PDCA 模型外,还有两种模型
防护-检测-响应(Protection Detection Response,PDR)模型
该模型的基本思想是:承认信息系统中存在漏洞,正视系统面临的威胁,通过适度防护并加强检测,落实安全时间响应,建立威胁源威慑,保障系统安全。该模型认为,任何安全防护措施都是基于时间的,超过该时间段,这种防护措施就可能被攻破,PDR 模型直观、使用,但是对于系统的安全隐患和安全措施采取像对固定的家实前提,难以适应网络安全环境的快速变化
策略-防护-检测-响应(Policy Protection Detection Response,P2DR/PPDR)模型
策略是核心
由于网络信息传播的开放性、跨界性、即时性、交互性等特点,互联网在为广大民众提供越来越多有益信息及其他信息服务的同时,也存在着- -些虚假和错误导向的信息,以及直接危害公众利益、民族团结、国家统一、社会稳定和国家安全的违法与有害信息及活动。构建更加安全可靠、更加有用、更加可信的互联网,服务于建设小康社会和构建和谐社会,是我国加强信息安全保障的一个重要任务
对社会的作用
在实施国家信息化发展战略中,要高度重视信息安全保障体系建设,实现信息化与信息安全协调发展
国家基础信息网络、重要信息系统以及政府、企业和公民的信息活动的安全若不能得到切实保障,信息化带来的巨大经济与社会效益就难以有效发挥,信息化发展也会受到严重制约
加强信息安全保障的目的,就是要保障和促进信息化发展,而不是以牺牲信息化发展来换取信息安全
采取不上网、不共享、不互联互通等传统封闭的方式保安全,会严重影响甚至阻碍信息化发展,也不可能从根本.上解决信息安全保障问题
只有继续大力推动信息化建设,全面提高信息化发展水平才能为应对各种信息安全问题提供强有力的物质和技术保障
全面推进信息化,只有高度重视信息安全保障建设,才能形成健康有序、安全稳定的信息网络秩序,才能确保信息化进程稳步、快速地发展
对国家的作用
构建更加安全可靠、更加有用、更加可信的互联网,服务于建设小康社会和构建和谐社会,是我国加强信息安全保障的一个重要任务
由于网络信息传播的开放性、跨界性、即时性、交互性等特点,互联网在为广大民众提供和获取越来越多的有用、有益的新闻信息及其他信息服务的同时,也存在着- -些虚假和错误导向的新闻信息,以及直接危害公众利益、民族团结、国家统一- 、社会稳定和国家安全的违法与有害信息及活动
为有效开展互联网治理工作,我国政府提出了互联网管理的基本原则,即积极促进互联网发展,并依法进行管理,鼓励行业自律和公众监督,旨在形成一个可信和安全的互联网信息空间
信息系统是具有集成性的系统,每一个组织中信息流动的总和构成一个信息系统,信息系统是根据一定的需要进行输入、系统控制、数据处理、数据存储与输出等活动而涉及到的所有因素的综合体
信息系统安全保障是在信息系统的整个生命周期中,从技术、管理、工程和人员等方面提出的安全保障要求,确保信息系统的保密性、完整性和可用性,降低安全风险到可接受的程度,从而保障系统实现组织机构的使命
信息系统的生命周期包括:分析、设计、研发、测试
信息系统的安全保障要求:技术、管理、工程和人员
信息系统的安全保障目的:确保信息系统的保密性、完整性和可用性
密码学、身份认证、访问控制、安全审计
数据加密是指将明文信息采取数学方法进行函数转换成密文,只有特定接收方(有解密密钥)才能将其解密还原成明文的过程
数据加密主要涉及三要素:明文、密钥、密文
加密可以采用密码算法来实现,密码算法从密钥实用角度,可分为对称密码算法和非对称密码算法
对称密码
对称密码算法(也称单钥或私钥密码算法):发送和接受数据的双方使用相同的密钥对铭文进行加密和解密运算,就是说加密和解密使用同一密钥
优点:
缺点:
典型对称密码和非对称密码
对称密码:
非对称密码:
粗体表示算法为国家密码管理局编制的商用算法
混合加密算法
为了更好利用对称密码、非对称密码算法两者的优点,尽可能消除两者自身存在的缺陷,实际多采用混合加密算法。数据使用对称加密算法加密,产生的密钥通过非对称加密算法加密传输
哈希函数,确保消息完整性,防止消息被篡改
密码学技术可以解决信息的可鉴别性(真实性或认证性)和不可否认性,简单地说,前者确认对方是否是本人的认证,后者防止对方否认自己曾经的行为
简单的说数字签名具有防止伪造、否认的功能
工作原理
身份认证是在计算机网络中确认操作者身份的过程
在分布式系统中有两类主要认证;
身份认证技术不可避免的会用到加密技术,可以分为
数字证书
数字证书(又称电子证书、公钥证书或证书)是一段经认证权威机构(Certification Authority,CA)签名的,包含拥有着身份信息和公开密钥的数据体
公钥基础设施
公钥基础设施(Public Key Infrastructure,PKI)是一种遵循既定标准的公钥管理平台,它能够为所有的网络应用提供加密和数字签名等密码服务所必须的密钥和证书管理体系
认证权威机构
认证权威机构(又称认证中心或认证机构,Certification Authoriy,CA),专门复杂数字证书的产生、发放和管理,以保证数字证书真实可靠
数字证书定义
数字证书就是互联网通讯中标志通讯各方身份信息的一串数字提供了一种在Internet上验证通信实体身份的方式,其作用似于司机的驾驶执照或日常生活中的身份证
它是由一个由权威机构-CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身份
数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥名称以及证书授权中心的数字签名,此外,数字证书只在特定时间段内有效
数字证书内容
数字证书功能
数字证书通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统,从而保证:
数字证书可用于:发送安全电子邮件、访问安全站点、网上证券交易、网上招标采购、网上办公、网上保险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动
PKI 公钥基础设施
PKI|(Public Key Infrastructure )即“公钥基础设施”,是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立
的提供安全服务的基础设施
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/121037.html
摘要:注册信息安全专业人员应急响应工程师考证费用信息安全相关专业高校生有意向从事应急响应工作的人员正在从事应急响应工作者无学历和工作经验的强制要求,通过考试即可获得中国信息安全测评中心颁发的注册应急响应工程师证书。 ...
摘要:近期,我写了很多计算机网络系列文章,适合备考人员查阅,先将各文章整理如下衷心建议您收藏,慢慢查阅一基础入门知识计算机网络基础计算机网络误区源目和源目变化问题计算机网络误区中和原理详解计算机网络误区为什么我的包发不出去计 ...
摘要:免费领取验证码内容安全短信发送直播点播体验包及云服务器等套餐更多网易技术产品运营经验分享请访问网易云社区。文章来源网易云社区 本文由作者余宝虹授权网易云社区发布。 使用户ndp部署一个Java应用大家都非常熟悉的,但是看到某些同学用非常繁琐的方式部署storm应用的时候,我觉得很有必要整一个帮助教程,ndp帮助文档里面没有,ks论坛上也没有找到,借这个契机对这个问题做一个简短的使用说明...
摘要:工作方法网络安全等级保护测评主要工作方法包括访谈文档审查配置检查工具测试和实地察看。确定测评指标及测评内容。安全技术的个层面具体为安全物理环境安全通信网络安全区域边界安全计算环境安全管理中心安全管理的方面具体为安全管理制度安全管理机 一、网络安全等级保护测评过程概述 网络安全等级保护测评工作...
阅读 1759·2021-11-15 18:09
阅读 3560·2021-09-26 09:46
阅读 650·2021-09-06 15:13
阅读 2529·2021-08-23 09:43
阅读 1874·2019-08-30 15:54
阅读 2112·2019-08-30 13:56
阅读 2377·2019-08-26 11:31
阅读 2934·2019-08-26 10:56