1名词解释
信息information:广义:事物运动的状态与方式。狭义:信息是通过施加于数据上的某些约定而赋予这些数据特定的含义。
信息系统:信息系统是由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。
信息安全:在技术上和管理上为数据处理系统建立的安全保护,保护信息系统的硬件、软件及相关数据不因偶然或者恶意的原因遭到破坏、更改及泄露。
机密性confidentiality:指信息只能为授权者使用而不泄露给未经授权者的特性。
完整性integrity:指保证信息在存储和传输过程中未经授权不能被改变的特征。
可用性availability:指保证信息和信息系统随时为授权者提供服务的有效特性。
不可否认性non-repudiation:指任何实体均无法否认其实施过的信息行为的特征也成为抗抵赖性。
2简答题
(1)信息安全的发展过程主要经历了哪些阶段?
信息安全的发展大致分为通信安全COMSE,信息安全INFOSE,和信息保障IA三个阶段,即保密、保护和保障发展阶段。
通信安全的主要目的是保障传递的信息安全,防止信源、信宿以外的对象查看信息。
信息安全主要保证信息的机密性、完整性、可用性、可控性和不可否认性。
信息保障是对信息和信息系统的安全属性及功能、效率进行保障的动态行为过程。
(2)信息安全的意义是什么?
人类的一切活动可以归纳为认识世界和改造世界。从信息的观点来看,人类认识世界和改造世界的过程就是一个不断从外部世界的客观事物中获取信息,并对它们进行识别、分析、判断、传递等处理,最终在大脑形成决策,并反作用于外部世界的过程。可以说,信息和物质、能量一样,是当今人类生存和发展中必不可少的宝贵资源。因此,信息的安全问题十分重要。
(3)信息保障的内容是什么?
人是信息保障的基础,信息系统是人建立的,同时也是为人服务的,受人的行为影响。因此,信息保障依靠专业知识强、安全意识高的专业人员。技术是信息保障的核心,任何信息系统都势必存在一些安全隐患,因此,必须正视威胁和攻击,依靠先进的信息安全技术,综合分析安全风险,实施适当的安全防护措施达到保护信息系统的目的。管理是信息保障的关键,没有完善的信息安全管理规章制度及法律法规,就无法保证信息安全每个信息安全专业人员都应该遵守相关制度及法律法规,保证信息系统的安全。
(4)该如何理解信息安全的体系结构?
体系结构的建立需要在特定的视觉角度下进行分析归纳,而不同的视觉角度会形成不同的体系结构。
面向目标的知识体系结构:以密码学为基础强调所谓CIA三元组:实际上是信息安全的三个最基础的目标即,机密性、完整性和可用性。需求不同,侧重点可以不同。
面向应用的层次型技术体系架构:信息系统的基本要素为人员、信息、系统,也可以看作三个组成部分。针对三个不同部分存在五个安全层次与之对应,分别为系统部分对应物理安全和运行安全,信息部分对应数据安全和内容安全,而人员部分的安全需要通过安全管理来保证。
面向过程的信息安全保障体系:四部分内容,保护、检测、反应、恢复。保护是被动的,如果被突围,那就主动检测,检测成功就开始反应,隔离修补异常,检测失败直接开始恢复,反应失败也开始恢复。
OSI开放系统互连安全体系结构:七层协议之上的信息安全体系结构,为了保证异构计算机进程与进程之间远距离交换信息的安全,它定义了五大类服务和对应这五大类安全服务提供支持的八类安全机制,以及相应的开放式系统互连的安全管理。
(5)数据安全和内容安全有什么区别?
数据安全指对数据收集、处理、存储、检索、传输、交换、显示、扩散等过程中的保护,保障数据在上述过程中依据授权使用,不被非法冒充、窃取、篡改、抵赖。
内容安全指依据信息的具体内涵判断其是否违反特定安全策略,并采取相应的安全措施,对信息的机密性、真实性、可控性、可用性进行保护。
3辨析题
(1)有人说“信息安全就是网络安全”,你认为正缺与否,为什么?
不正确,信息安全的概念具有广泛的外延和丰富的内涵,不同领域对他的理解和阐述都有所不同。在商业和经济领域,信息安全主要强调的是削减并控制风险,保持业务操作的连续性,并将风险造成的损失和影响降到最低程度。建立在网络基础之上的网络安全,只是信息安全的一个分支。
(2)有人说“信息安全问题使用安全技术就可以完美解决”你认为正确与否,为什么?
要保证信息的安全就必须想办法在最大程度上客服种种威胁,但是无论采取何种防范措施都不能保证信息的绝对安全,安全是相对的。