2024年9月9日 14:26:53
This commit is contained in:
parent
073213dcb3
commit
442ab75762
@ -25,6 +25,11 @@
|
||||
3. 信息安全管理是一个整体管理过程,任何一个网络行为的参与者都是一个安全的主体,而任何一个安全主体的失败都将导致安全的整体失败;
|
||||
4. 信息安全管理要遵循成本效益原则;
|
||||
5. 信息安全管理没有绝对安全,只有相对安全;
|
||||
6. 信息安全管理是分级/分层来实现的;
|
||||
7. 信息安全管理要遵循适度安全原则,过分的安全性和没有安全性一样是有害的,安全就是一种平衡,平衡点;
|
||||
8. 信息安全管理是一个动态的管理过程;
|
||||
9.
|
||||
10.
|
||||
|
||||
#### 5、信息安全问题的根源
|
||||
|
||||
@ -69,6 +74,85 @@
|
||||
|
||||
### 三、信息安全视角
|
||||
|
||||
- 了解==国家视角==对信息安全的关注点(网络战、关键基础设施保护、法律建设与标准化)及相关概念;
|
||||
- 了解==企业视角==对信息安全的关注点(业务连续性管理、资产保护、合规性)及相关概念;
|
||||
- 了解==个人视角==对信息安全的关注点(隐私保护、个人资产保护、社会工程学)及相关概念。
|
||||
- 了解==国家视角==对信息安全的关注点(网络战、关键基础设施保护、法律建设与标准化)及相关概念
|
||||
- 2016年11月通过的==《网络安全法》==第三章第二节第三十一条==定义了我国关键基础设施==,“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧尸功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的基础设施”为关键基础设施。
|
||||
- 法律建设与标准化
|
||||
- 由于互联网的开放、自由和共有的脆弱性,使国家安全、社会公共利益以及个人权利在网络活动中面临着来自各方面的威胁,国家需要在技术允许的范围内保持==适当的安全要求==。
|
||||
- 所谓==适度安全==是指安全保护的立法的范围要和应用的重要性相一致,不要花费过多的成本,限制信息系统的可用性。
|
||||
- 信息安全风险具有“不可逆”的特点,需要信息安全法律采取以==预防为主==的法律原则。但是由于信息安全威胁的全局性特点,其法律原则更应当采取==积极主动==的预防原则。
|
||||
- 了解==企业视角==对信息安全的关注点(业务连续性管理、资产保护、合规性)及相关概念
|
||||
- 业务连续性
|
||||
- 业务数据对组织的重要性使得组织必须关注==业务连续性==
|
||||
- 资产保护
|
||||
- 有什么
|
||||
- 用来做什么
|
||||
- 需要保护他们吗
|
||||
- 合规性
|
||||
- 法律法规的合规
|
||||
- 标准的合规性
|
||||
- 了解==个人视角==对信息安全的关注点(隐私保护、个人资产保护、社会工程学)及相关概念
|
||||
- 从个人角度而言,这不仅仅是一个==技术==问题,还是一个==社会==问题、==法律==问题以及==道德==问题。
|
||||
- 隐私保护
|
||||
- 社会工程学
|
||||
- 个人资产安全
|
||||
- 个人信息资产问题思考
|
||||
- 哪些信息资产被恶意利用后会形成人参的损害?
|
||||
- 哪些信息资产被恶意利用后会形成财务的损失?
|
||||
- 哪些信息资产被恶意利用后会形成法律的责任?
|
||||
|
||||
### 四、信息安全发展阶段
|
||||
|
||||
- 了解==通信安全阶段==的核心安全需求、主要技术措施;
|
||||
- 了解==计算机安全阶段==信息安全需求、主要技术措施及阶段的标志;
|
||||
- 了解==信息系统安全阶段==的安全需求、主要技术措施及阶段的标志;
|
||||
- 了解==信息系统安全阶段==与==系统安全阶段==的区别,信息安全保障的概念及我国信息安全保障工作的总体要求、主要原则;
|
||||
- 了解==网络空间==的概念,理解网络空间安全对国家安全的重要性。
|
||||
|
||||
#### 1、通信安全阶段
|
||||
|
||||
- 20世纪,40年代 - 70年代
|
||||
- 主要关注==传输过程中==的数据保护
|
||||
- 安全威胁:搭线窃听、密码学分析
|
||||
- 核心思想:通过==密码技术==解决通信保密,保证数据的保密性和完整性
|
||||
- 安全措施:加密
|
||||
|
||||
> 影响现代通信安全因素越来越多,针对移动通讯的伪基站、对通信链路的破坏、干扰等因素
|
||||
|
||||
#### 2、计算机安全阶段
|
||||
|
||||
- 20世纪,70年代 - 90年代
|
||||
- 主要关注于==数据处理==和==存储==时的数据保护
|
||||
- 安全威胁:非法访问、恶意代码、脆弱口令等
|
||||
- 核心思想:预防、检测和减小计算机系统(包括软件和硬件)用户(授权和未授权用户)执行的未授权活动所造成的后果。
|
||||
- 安全措施:通过操作系统的访问控制技术来防止非授权用户的访问
|
||||
|
||||
#### ==3、信息系统安全阶段==
|
||||
|
||||
- 20世纪,90年代后
|
||||
- 主要关注==信息系统整体安全==
|
||||
- 安全威胁:网络入侵、病毒破坏、信息对抗等
|
||||
- 核心思想:重点在于保护比“数据”更精炼的“信息”
|
||||
- ==安全措施==:防火墙、防病毒、漏洞扫描、入侵检测、PKI、VPN等
|
||||
|
||||
> 把信息系统安全从技术扩展到管理,从静态扩展到动态,通过技术、管理、工程等措施的综合融合至信息化中,形成对信息、信息系统乃至业务使命的保障
|
||||
|
||||
**DIKW模型**:Data(数据) → Information(信息) → Knowledge(知识) → Wisdom(智慧)
|
||||
|
||||
#### 4、信息安全保障阶段
|
||||
|
||||
- 1996年,DoDD 5-3600.1首次提出了信息安全保障
|
||||
- 关注信息、信息系统对组织业务及使命的保障
|
||||
- 信息安全概念延伸,实现==全面安全==
|
||||
- 我国信息安全保障工作
|
||||
- ==总体要求==:积极防御,综合防范
|
||||
- ==主要原则==:技术与管理并重,正确处理安全与发展的关系
|
||||
|
||||
#### 5、网络空间安全阶段
|
||||
|
||||
- 互联网已经将传统的虚拟世界与物理世界相互连接,形成网络空间
|
||||
- 新技术领域融合带来新的安全风险
|
||||
- 工业控制系统
|
||||
- “==云大移物智==”
|
||||
- 核心思想:强调“威慑”概念
|
||||
|
||||
> 将==防御==、==威慑==和==利用==结合成三位一体的网络空间安全保障
|
||||
|
||||
Loading…
Reference in New Issue
Block a user