第五部分 信息法规与信息安全
一.信息法规:信息化法律概念,信息传输与网络相关法律,知识产权相关法律法规,政府信息公开的规定。
二.信息安全:信息化的安全威胁,信息安全的措施,信息安全保密基础知识。
三.信息安全管理:信息安全管理的内容,信息安全管理的实施,信息安全的风险与评估,信息系统安全测评,信息安全产品的选择,网络与信息安全事件应急预案,信息系统安全等级保护。
信息本身应具有的安全属性主要有3个方面。
保密性:信息不泄露给未授权的访问者、实体和进程,或被其利用。
完整性:信息在存储或者传输过程中保持未经授权不能改变的特性,即对抗主动攻击,保持数据一致,防止数据被非法用户修改和破坏。
可用性:信息可被授权者访问并按需求使用的特性,即保证合法用户对信息和资源的使用不会被不合理地拒绝。
信息的以上3个基本安全属性习惯上简称为CIA(Confidentiality-Integrity-Availability)。
技术故障、黑客攻击、病毒和漏洞等原因都可以引发信息安全问题,信息安全问题产生的根源可以从内因和外因两个方面加以分析。
内因是信息系统自身存在脆弱性。信息系统过程、结构和应用环境的复杂性导致系统本身不可避免地存在脆弱性。换句话说,信息系统的脆弱性是一种客观存在。信息系统生命周期的各个阶段都可能引入安全缺陷。在需求分析和设计阶段,由于用户对安全重视不足,安全需求不明确,开发人员在设计过程中会优先考虑系统功能、易用性、代码大小和执行效率等因素,将安全放在次要位置。在实现阶段,尚未普遍使用软件安全开发工程,开发的软件存在安全缺陷。在使用和运行阶段,安全管理不到位,运维人员意识薄弱或能力不足,容易导致系统操作失误,或被恶意攻击。
外因是信息系统面临着众多威胁。这些威胁包括人为因素和非人为因素(也称为环境因素)两大类。人为因素可以分为个人威胁、组织威胁和国家威胁3个层面,根据掌握的资源,这3个层面所具备的威胁能力依次递增,如表1-1所示。非人为因素(如雷击、地震、火灾和洪水等自然灾害及极端天气)也容易引发信息安全问题。