在数据通信的过程中,由于各种不安全因素将会导致信息泄密、信息不完整不可用等问题,因此在通信过程中必须要保证信息安全。
1.信息
信息是通过施加于数据上的某些约定而赋予这些数据的特定含义。
一般意义上,信息可以理解为消息、信号、数据、情报或知识。它可以以多种形式存在,可以是信息设施中存储与处理的数据、程序;可以是打印或书写出来的论文、电子邮件、设计图纸、业务方案;也可以是显示在胶片等载体或表达在会话中的消息。
2.信息安全
信息安全是指通过采用计算机软硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施,来保护信息在其神秘周期内的产生、传输、交换、处理和存储的各个环节中,信息的机密性、完整性和可用性不被破坏。
假如信息资产遭到损害,将会影响:国家安全、组织系统正常运作和持续发展、个人隐私和财产
信息安全的任务,就是要采取措施(技术手段及有效管理)让这些信息资产免遭威胁。
信息安全的目的是让信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。
3.通信保密阶段
在通信保密阶段中通信技术还不发达,数据只是零散地位于不同的地点,信息系统的安全仅限于保证信息的物理安全以及通过密码(主要是序列密码)解决通信安全的保密问题。把信息安置在相对安全的地点,不容许非授权用户接近,就基本可以保证数据的安全性了。
4.信息安全阶段
从二十世纪90年代开始,由于互联网技术的飞速发展,信息无论是企业内部还是外部都得到了极大的开放,而由此产生的信息安全问题跨越了时间和空间,信息安全的焦点已经从传统的保密性、完整性和可用性三个原则衍生为诸如可控性、不可否认性等其他的原则和目标。
保密性:Confidentiality:确保信息只能由那些被授权使用的人获取
完整性:Integrity:保护信息及其处理方法的准确性和完整性
可用性:Availability:确保被授权使用人在需要时可以获取信息和使用相关的资产
可控性:Controllability:对信息和信息系统实施安全监控管理,防止非法利用信息和信息系统
可审查性:Non-Repudiation:防止信息源用户对他发送的信息事后不承认,或用户接收到信息后可审查
要保障电子信息的有效性。保密性就是对抗对手的被动攻击,保证信息不泄漏给未经授权的人。完整性就是对抗对手主动攻击,防止信息被未经授权的人篡改。可用性就是保证信息及信息系统确实为授权使用者所用。可控性就是对信息及信息系统实施安全监控。
5.信息保障阶段
进入面向业务的安全保障阶段,从多角度来考虑信息的安全问题。
6.信息安全案例1-Wannacry
2017年不法分子利用的危险漏洞“EternalBlue"(永恒之蓝)开始传播一种勒索病毒软件
WannaCry,超过10万台电脑遭到了勒索病毒攻击、感染,造成损失达80亿美元。
WannaCry勒索病毒利用Windows操作系统445端口存在的漏洞进行传播,并具有自我复制、主动传播的特性,中国部分Windows操作系统用户遭受感染,校园网用户首当其冲,受害严重,大量实验室数据和毕业设计被锁定加密。部分大型企业的应用系统和数据库文件被加密后,无法正常工作,影响巨大。
7.信息安全案列2-海莲花组织
2012年4月起,某境外组织对政府、科研院所、海事机构、海运建设、航运企业等相关重要领域展开了有计划、有针对性的长期渗透和攻击,代号为OceanLotus(海莲花)。意图获取机密资料,截获受害电脑与外界传递的情报,甚至操纵终端自动发送相关情报。
海莲花组织中主要使用的攻击手段包括两种:
(1)鱼叉攻击:将木马程序作为电子邮件的附件,并起上一个极具诱惑力的名称,例如公务员收入改革方案,某暴力事件最新通报等,发送给目标电脑,诱使受害者打开附件,从而感染木马。
(2)水坑攻击:黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。例如在员工经常访问的公司内网web服务器上,将公司内部共享资料替换成木马程序,所有按要求下载资料的人都会被植入木马程序,向黑客发送涉密资料。
8.造成诸多安全案例的原因
信息系统复杂性:在信息系统的设计和工作过程中可能会因为自身漏洞和缺陷导致被攻击,主要包括以下三类问题:
口过程复杂:从设计的角度看,在设计时考虑的优先级中安全性相对于易用性、执行程度等因素被放在次要的位置,由于人性的弱点和设计方法学的不完善,信息系统总会存在漏洞。
口结构复杂:信息系统可能会多种终端和数据服务,在一个网络中可能存在多种终端,如员工终端,远程用户,移动终端,路由设备,服务器等等,同时在一个网络也可能存在多种类型的数据,如业务数据,管理数据,语音数据等等,在管理网络安全的时候必须要考虑所有终端和数据类型。
口应用复杂:在设计网络拓扑时优先考虑网络冗余和网络稳定性,可能会加入冗余链路和备份设备,网络的应用复杂也使得安全问题无法快速定位和解决。
人为和环境:主要包括环境威胁和人为破坏。
9.建设信息安全的意义
信息安全的分类从大的层面上定义了数据的保密性,完整性,可用性,可控性和不可抵赖性。针对于网络安全的层面,考虑的需求分类不一样,还包括一些具体层次的要求,比如物理的安全性,身份鉴别,审计与检测等的要求。
C41系统是指指挥、控制、通讯、电脑和情报的集成,多被应用在军事领域。
