信息安全

The name of the pictureThe name of the pictureThe name of the pictureClash Royale CLAN TAG#URR8PPP

















電腦網路入侵





防火牆的視察軟體介面範例,紀錄IP進出情況與對應事件


body.skin-minerva .mw-parser-output table.infobox captiontext-align:center






「信息安全」的各地常用別名
中国大陸
信息安全
臺灣
資訊安全
港澳
資訊保安

信息安全,意为保护信息及信息系统免受未经授权的进入、使用、披露、破坏、修改、检视、记录及销毁。


政府、军队、公司、金融机构、医院、私人企业积累了大量的有关他们的雇员、顾客、产品、研究、金融数据的机密信息。绝大多数此类的信息现在被收集、产生、存储在电子计算机内,并通过网络传送到别的计算机。


万一诸如一家企业的顾客、财政状况、新产品线的机密信息落入了其竞争对手的掌握,这种安全性的丧失可能会导致经济上的损失、法律诉讼甚至该企业的破产。保护机密的信息是商业上的需求,并且在许多情况中也是道德和法律上的需求。


对于个人来说,信息安全对于其个人隐私具有重大的影响,但这在不同的文化中的看法差异相当大。


信息安全的领域在最近这些年经历了巨大的成长和进化。有很多方式进入这一领域,并将之作为一项事业。它提供了许多专门的研究领域,包括:安全的网络和公共基础设施、安全的应用软件和数据库、安全测试、信息系统评估、企业安全规划以及数字取证技术等等。


为保障信息安全,要求有信息源认证、访问控制,不能有非法软件驻留,不能有未授权的操作等行为。




目录





  • 1 名詞區分


  • 2 历史


  • 3 基本原理


  • 4 过程控制

    • 4.1 突发事件控制



  • 5 法律、法规与标准


  • 6 資訊安全專家


  • 7 参考文献


  • 8 参见




名詞區分




資安概念


信息安全这一术语,与计算机安全和信息保障(information assurance)等术语经常被不正确地互相替换使用。这些领域经常相互关联,并且拥有一些共同的目标:保护信息的机密性、完整性、可用性;然而,它们之间仍然有一些微妙的区别。


区别主要存在于达到这些目标所使用的方法及策略,以及所关心的领域。信息安全主要涉及数据的机密性、完整性、可用性,而不管数据的存在形式是电子的、印刷的还是其它的形式。


计算机安全可以指:关注计算机系统的可用性及正确的操作,而并不关心计算机内存储或产生的信息。


为保障信息安全,要求有信息源认证、访问控制,不能有非法软件驻留,不能有未授权的操作等行为。



历史


自从人类有了书写文字之后,国家首脑和军队指挥官就已经明白,使用一些技巧来保证通信的机密以及获知其是否被篡改是非常有必要的。


凯撒被认为在公元前50年发明了凯撒密码,它被用来防止秘密的消息落入错误的人手中时被读取。


第二次世界大战使得信息安全研究取得了许多进展,并且标志着其开始成为一门专业的学问。


20世纪末以及21世纪初见证了通信、计算机硬件和软件以及数据加密领域的巨大发展。小巧、功能强大、价格低廉的计算设备使得对电子数据的加工处理能为小公司和家庭用户所负担和掌握。这些计算机很快被通常称为因特网或者万维网的网络连接起来。


在因特网上快速增长的电子数据处理和电子商务应用,以及不断出现的国际恐怖主义事件,增加了对更好地保护计算机及其存储、加工和传输的信息的需求。计算机安全、信息安全、以及信息保障等学科,是和许多专业的组织一起出现的。他们都持有共同的目标,即确保信息系统的安全和可靠。



基本原理


簡單來講,有關信息安全的內容可以簡化為下列三個基本點:



  • 机密性(Confidentiality)


  • 完整性(Integrity)


  • 可用性(Availability)

基於這個原因,任何有違信息的“可用性”都算是違反信息安全的規定。因此,世上不少國家,不論是美國還是中國都有要求保持信息可以不受規限地流通的運動舉行。


对信息安全的认识经历了的数据安全阶段(强调保密通信)、网络信息安全时代(强调网络环境)和目前的信息保障时代(强调不能被动地保护,需要有保护——检测——反应——恢复四个环节)。


安全技术严格地讲仅包含3类:隐藏、访问控制和密码学。


典型的安全应用有:



  1. 数字水印属于隐藏;

  2. 网络防火墙属于访问控制;


  3. 数字签名属于密码学。


过程控制



突发事件控制


「網路与訊息安全事件」(Network & Information Security Incident)是突发事件的一种,也被称为「訊息安全事件」(Information Security Incident)。網路与訊息安全事件在业界尚未有统一的定义,政府管理、科学研究、企业根据各自的关注点对其的理解也存在一定的差异。至於中华人民共和国国家质量监督检验检疫总局和中国国家标准化管理委员会制定发布的两个现行技术标准中,对该术语的定义如下:


  • 在《讯息技术 安全技术 讯息安全事件管理指南》(GB/Z 20985-2007)中被定义为“由单个或一系列意外或有害的讯息安全事态所组成的,极有可能危害业务运行和威胁讯息安全。”

  • 在《讯息安全技术 讯息安全事件分类分级指南》(GB/Z 20986-2007)中被定义为“由于自然或者人为以及软硬件本身缺陷或故障的原因,对讯息系统造成危害,或对社会造成负面影响的事件。”


法律、法规与标准


目前在中国大陆地区,最重要的信息安全标准体系是“信息安全等级保护体系”。该体系在所有主要行业进行推广,并对信息安全行业的发展产生了重要影响。



資訊安全專家


  • 布魯斯·施奈爾

  • 吉恩·斯帕福德

  • 沈昌祥

  • 苗得雨

  • 陈阳怀


参考文献





  • 信息安全[失效連結]


参见


  • 计算机安全隐患

  • 网络安全

  • 戰術數位資訊鏈路


  • 攜帶自有裝置(BYOD),與原本資訊安全背道而馳的做法

Popular posts from this blog

The Dalles, Oregon

眉山市

清晰法令