信息安全概念

定義

國際化標準組織（ISO）：為數據處理系統建立和采取技術、管理的安全防護，保護計算機硬件、軟件、數據不因偶然的或惡意的原因而受到破壞、變更、泄露。
美國法典：信息安全，是防止未授權的訪問、使用、披露、中斷、修改、檢查、記錄和破壞信息的做法。它是一個可以用于任何形式數據的通用術語。
歐盟定義：在既定的密級條件下，網絡和信息系統抵御意外事件或惡意行為的能力，這些事件和行為將威脅所存儲或傳輸的數據以及經由這些網絡和系統所提供的服務的可用性、真實性、完整性和機密性。

特征

1. 系統性：要系統的從技術、管理、工程和標準法規等各層面綜合保障安全
2. 動態性：要以風險管理思想，根據風險變化，在信息系統生命周期中采用相應的安全措施來控制風險。
3. 開放性和互通性：信息化的的特點，導致信息安全也具備同樣特性
4. 不同于傳統安全：傳統安全手段無法應對信息安全，必須采用新的信息安全保障手段來維護互聯網安全

威脅情報

情報：是為管理人員提供行動和指定策略的依據。
威脅情報：建立在大量的數據搜集和處理的基礎上，通過對搜集數據的分析和評估，形成相應的結論。
用途：

1. 威脅情報有助于應對安全威脅和防御不平等
2. 威脅情報能降低組織機構信息安全投入
3. 威脅情報能確保找到優先應對的安全問題
4. 威脅情報能幫助組織結構適應不斷發展的技術和環境變化

態勢感知

態勢感知：是一種基于環境的、動態、整體地洞悉安全風險的能力，是以安全大數據為基礎，從全局視角提升對安全威脅的發現識別、理解分析、相應處置能力的一種方式，最終是為了決策與行動，是安全能力的落地

信息安全屬性

信息安全三元組CIA

信息安全三要素CIA

這里的 C，指的是Confidentiality機密性，是指對信息資源開放范圍的控制，確保信息安全不被非授權的個人、組織和計算機程序訪問。
這里的 I ，指的是Integrity 完整性，保證信息系統中的數據處于完整的狀態，確保信息沒有遭受篡改和破壞。
這里的 A ，指的是Availability可用性，確保系統隨時可用，系統、訪問通道和身份認證機制等都必須正常地工作。
局限性：CIA關注的核心在信息，信息系統的復雜性決定了還存在其他重要因素，CIA可作為規劃、實施、量化安全策略的基本原則。

其他安全屬性

真實性：能對信息的來源進行判斷，能對偽造來源的信息予以鑒別。
可問責性：承認和承擔行動、產品、決策和政策的責任，包括在角色或就業崗位范圍內的行政、治理和實施以及報告、理解并對所造成的后果負責。
不可否認性：交易乙方不能拒絕已經接收到的交易，也不能拒絕已經發送的交易。
可靠性：信息系統能夠在規定條件下、規定時間內完成規定功能的特性。

信息安全視角

國家視角

• 網絡戰：一些政府已經將網絡戰作為整體軍事戰略的一個組成部分，并且在網絡戰爭方面做了很大投入。
• 國家關鍵基礎設施保護：公共通信和信息服務、能源、交通、水利、金融、公告服務、電子政務等重要行業和領域，以及一旦遭受破壞，喪失功能或數據泄露，可能嚴重危害國家安全、國計民生，公共利益的基礎設施。
• 法律建設與標準化：信息安全立法活動必須在立法原則指導下進行，才能把握信息安全發展的客觀規律，更好的發揮法律調控功能。

企業視角

• 業務連續性管理：（Business Continunity Manager,BCM）是一項應對上述問題的綜合管理流程，它使企業認識到潛在的危機和相關的影響，制訂相應業務連續性的恢復計劃，其總體目標是為了提高企業的風險能力，以有效的響應計劃外的業務破壞并降低不良影響
• 資產保護：沒有絕對安全，在一個合理成本情況下，需要放棄掃什么成為考核一個組織機構應對業務連續性管理的首要問題
• 合規性：法律法規的符合;標準的符合；

個人視角

• 隱私保護：對于隱私問題在我國法律中沒有明確的定義。

2020最新民法典增加隱私權和個人信息保護：合法公布他人信息有三個前提：①信源合法，消息源不能是偷、買、騙來的；②要基于公共利益考量，比如打擊犯罪、尋找失散兒童等；③要在合法、必要的范圍內，如果有個司機逃逸，可公布他的信息，但不能把他家庭成員的信息都公布

• 社會工程學：實質是一種通過對受害人心里弱點，如本能反應、好奇心、信任、貪婪等進行利用，實現對受害者進行欺騙以獲取自身利益的方法。
• 個人資產安全：互聯網技術中如何識別用戶身份是構成這些技術實現的基礎，而身份本身的構成使得每一個依托互聯網平臺的人在大數據平臺下暴露無遺。

信息安全發展階段

• 通信安全階段：在通信階段，信息安全面臨的主要威脅是攻擊者對通信內容的竊取物理搭線、電磁波監聽。保密成為通信安全階段的核心安全需求。
• 計算機安全階段：主要威脅來自于非授權用戶對計算機資源的非法使用、對信息的修改和破壞
• 信息系統安全階段：主要是保護信息在存儲、處理和傳輸過程中免受非授權的訪問，防止授權用戶的拒絕服務，同時檢測、記錄和對抗此類威脅。
• 信息系統保障階段：總體要求，堅持積極防御、綜合防范的方針，全面提高信息安全防護能力，重點保障基礎信息網和重要信息系統安全，創建安全健康的網絡環境，保障和促進信息化的發展，保護公共利益，維護國家安全。
• 網絡空間安全階段：網絡空間作為新興的第五空間其他四個空間陸、海、空、太空，已經成為新的國家競爭領域，威脅來源從個人上升到犯罪組織，甚至上升到國家力量的層面

信息安全保障新領域

工業控制系統（Industrial Control System,ICS）安全

• 工業控制系統的基礎結構

1. 數據采集和監控系統（Supervisory Control And Data Acquisition，SCADA）
2. 分布式控制系統（Distributed Control System,DCS）
3. 可編程邏輯控制（Programmable Logic Controller ,PLC）

• 工業控制系統的主要威脅

1. 缺乏安全防護，工業領域技術人才缺少信息相關安全知識。
2. 系統安全可控性不高，設備和技術主要是國外廠商。
3. 缺乏安全管理標準和技術，目前我國的工業控制系統安全相關的技術、標準、管理體系都不成熟。

• 工業控制系統安全防護

1. 管理控制
2. 操作控制
3. 技術控制

云計算安全與虛擬化

• 云計算所面臨的風險

1. 數據管理和訪問失控的風險，數據的實際存儲不受用戶控制。
2. 數據管理責任風險，誰管理，誰負責、誰運營，誰負責的原則不受用。
3. 數據保護的風險，數據不由用戶自主控制。

• 云計算安全框架
  云計算安全是一個交叉領域，涵蓋物理安全到應用安全。
• 虛擬化安全
  虛擬化安全是云計算的支撐技術，通過把硬件資源虛擬化，構成一個資源池，實現隔離性、可擴展性、安全性、資源可充分利用等特點。
  虛擬化安全是云計算中核心的安全問題。

物聯網安全

物聯網技術體系模型

• 感知層
  安全問題主要包括網關節點被控制，拒絕服務及接入的節點的標識、識別、認證和控制問題。
• 傳輸層
  物聯網是依托互聯網構建的應用，拒絕服務攻擊、欺騙等安全問題都會直接影響物聯網的傳輸安全
• 支撐層
  支撐層的安全問題包括來自終端的虛假數據識別和處理、可用性保護、人為干預等
• 應用層
  是具體的應用業務，所涉及的安全問題與業務特性相關。

大數據安全

• 數據應用安全

1. 數據收集階段
2. 數據存儲階段
3. 數據使用階段
4. 數據分發階段
5. 數據刪除階段

• 技術平臺安全

1. 由于大數據的多源、海量、異構、動態等特征導致其與傳統的數據應用安全環境有很大區別，傳統基于邊界的安全防護措施不在有效
2. 大數據平臺自身也會存在漏洞和惡意后門
3. 由于大數據應用廣泛，并且應用場景中存在大量未知的用戶和數據，這使得傳統的訪問控制措施難以實施

移動互聯網安全

• 移動互聯網安全問題

1. 系統安全問題
2. 移動應用安全問題
3. 個人隱私泄露問題

• 移動互聯網安全策略

1. 政策規范和引導
2. APP分發管控
3. 加強隱私保護要求

智慧的世界

智慧世界在目前廣泛被接受的概念是智慧城市，而構成智慧世界中所形成的綜合技術問題和管理問題成為一個泛在的安全風險。