信息安全基础概念

1. 信息与信息安全
2. 信息安全风险与管理

一、信息与信息安全

信息

信息是通过施加于数据上的某些约定而赋予这些数据的特定含义。

信息安全

定义

信息安全是指通过采用计算机软硬件技术 、网络技术、**技术等安全技术和各种组织管理措施，来保护信息在其神秘周期内的产生、传输、交换、处理和存储的各个环节中，信息的机密性、完整性和可用性不被破坏。

目的

信息安全的目的是让信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断，即采取措施（技术手段及有效管理）让这些信息资产免遭威胁。

影响

假如信息资产遭到损害，将会影响：
国家安全
组织系统正常运作和持续发展
个人隐私和财产

信息安全发展历程

通信保密阶段

在通信保密阶段中通信技术还不发达，数据只是零散地位于不同的地点，信息系统的安全仅限于保证信息的物理安全以及通过密码（主要是序列密码）解决通信安全的保密问题。

信息安全阶段

信息安全的焦点已经从传统的保密性、完整性和可用性三个原则衍生为诸如可控性、不可否认性等其他的原则和目标。

综合起来说,就是要保障电子信息的有效性。

保密性就是对抗对手的被动攻击,保证信息不泄漏给未经授权的人。
完整性就是对抗对手主动攻击,防止信息被未经授权的人篡改。
可用性就是保证信息及信息系统确实为授权使用者所用。
可控性就是对信息及信息系统实施安全监控。
不可否认性就是防止信息源用户对他发送的信息事后不承认，或者用户接收到信息之后不认帐

信息保障阶段

进入面向业务的安全保障阶段，从多角度来考虑信息的安全问题。

二、信息安全风险与管理

物理风险

设备防盗，防毁
链路老化，人为破坏，被动物咬断等
网络设备自身故障
停电导致网络设备无法工作
机房电磁辐射

信息风险

信息风险—信息存储安全

信息存储安全包括针对于服务器磁盘的保护，存储信息加密防盗等。

信息风险—信息传输安全

信息风险—信息访问安全

系统风险

数据库系统配置安全
安全数据库
系统中运行的服务安全

应用风险

网络病毒
操作系统安全
电子邮件应用安全
WEB服务安全
FTP服务安全
DNS服务安全
业务应用软件安全

网络风险

管理风险

信息安全管理的重要性

安全技术知识是信息安全控制的手段，要让安全技术发挥应有的作用，必然要有适当的管理程序的支持。

信息安全管理发展现状

—————————————————————
要求：
理论偏多，虽然笔记多为课件内容，但要求能够复述，熟悉大体知识框架，理解名词含义。
往后课程笔记将多为课程补充内容。

自测题：
①信息安全涉及的风险有哪些？
②信息安全的基本属性
③信息安全的发展过程

持续更新…