信息安全小白必读：基础概念简介

在数据通信的过程中，由于各种不安全因素将会导致信息泄密、信息不完整不可用等问题，因此在通信过程中必须要保证信息安全。

一、信息

信息是通过施加于数据上的某些约定而赋予这些数据的特定含义。

——《ISO/IECIT安全管理指南(GMITS)》

二、信息安全

信息安全是指通过采用计算机软硬件技术网络技术、密钥技术等安全技术和各种组织管理措施来保护信息在其神秘周期内的产生、传输、交换、处理和存储的各个环节中，信息的机密性、完整性和可用性不被破坏。

        假如信息资产遭到损害，将会影响：

信息安全的任务，就是要采取措施(技术手段及有效管理)让这些信息资产免遭威胁。

（1）信息安全发展历程

• 照片泄密案

       中国最著名“照片泄密案日本情报专家根据上图破解中国大庆油田的“秘密”，由照片上王进喜的衣着判断出油田位于北纬46度至48度的区域内;通过照片油田手柄的架式推断出油井的直径;根据这些信息，迅速设计出适合大庆油田开采用的石油设备，在中国征求开采大庆油田的设备方案时，一举中标。

通信保密阶段

       在通信保密阶段中通信技术还不发达，数据只是零散地位于不同的地点，信息系统的安全仅限于保证信息的物理安全以及通过密码(主要是序列密码)解决通信安全的保密问题。把信息安置在相对安全的地点，不容许非授权用户接近，就基本可以保证数据的安全性了。

信息安全阶段

       从二十世纪90年代开始，由于互联网技术的飞速发展，信息无论是企业内部还是外部都得到了极大的开放，而由此产生的信息安全问题跨越了时间和空间，信息安全的焦点已经从传统的保密性、完整性和可用性三个原则衍生为诸如可控性、不可否认性等其他的原则和目标。

信息保障阶段

      进入面向业务的安全保障阶段，从多角度来考虑信息的安全问题。

• 信息安全案例-WannaCry

       2017年不法分子利用的危险漏洞“EternalBlue永恒之蓝)开始传播一种勒索病毒软件WannaCry，超过10万台电脑遭到了勒索病毒攻击、感染，造成损失达80亿美元。

• 信息安全案例- 海莲花组织

        2012年4月起，某境外组织对政府科研院所、海事机构、海运建设航运企业等相关重要领域展开了有计划、有针对性的长期渗透和攻击代号为OceanLotus(海莲花)。意图获取机密资料，截获受害电脑与外界传递的情报，甚至操纵终端自动发送相关情报。

• 造成此类攻击事件的原因是什么?

• 建设信息安全的意义

三、信息安全风险与管理

（1）信息安全涉及的风险

1.物理风险：设备防盗，防毁；链路老化，人为破坏，被动物咬断等；网络设备自身故障； 停电导致网络设备无法工作；机房电磁辐射

2.信息风险：信息存储安全；信息传输安全；信息访问安全

3.系统风险：数据库系统配置安全；安全数据库；系统中运行的服务安全

4.应用风险：网络病毒；操作系统安全；电子邮件应用安全；WEB服务安全；FTP服务安全；DNS服务安全；业务应用软件安全

5.网络风险

6.管理风险

确保信息系统是否存在管理风险，可以从以下几个方面讨论：

（2）信息安全管理的重要性

据统计，企业信息收到损失的70%是由于内部员工的疏忽或有意泄密造成的。

安全技术知识信息安全控制的手段，要让安全技术发挥应有的作用，必然要有适当的管理程序的支持。

（3）信息安全管理发展现状