文档介绍:信息安全工程与管理1参考资料2013金融信息安全工程李改成***出版社2009信息安全工程与管理(信息安全保障体系和测评认证(培训) ITSEC)2 信息安全保障与信息安全工程本章小结1948年,美国贝尔实验室数学研究员、信息论的奠基人克劳德·香农(ClaudeElwoodShannon,1916—2001),在题为《通信的数学理论》的一篇论文中,给出了信息的数学定义,认为“信息是能够用来消除随机不确定性的东西”。同年,美国著名数学家、控制论的创始人诺伯特·维纳(NorbertWiener,1894—1964)在《控制论》一书中指出,“信息就是信息,既非物质,也非能量”。 信息安全的概念信息的实质是通过信号、指令等实现对物质和能量的调节与控制。� 在当今社会,信息已成为与物质、能源同样重要的国家主要财富和重要战略资源,对信息优势的夺取,是衡量一个国家综合实力的重要参数,对信息的开发、利用和控制也已经成为国家利益争夺的重要目标。而对信息优势的夺取,直接表现为信息安全与对抗。能否有效地保护好已有的信息资源并争夺更优势的信息资源,保证信息化进程健康、有序、可持续发展,直接关乎国家安危、民族兴亡。因此,信息安全已成为国家安全、社会安全和人民生活安全的重要组成部分。 信息安全的基本范畴� 信息安全的基本范畴,包括信息资源、信息价值、信息作用、信息损失、信息载体、信息环境等。� 信息资源,即信息的资源化或资源化的信息,是经过主观处理或加工,能够传输或传播,可对社会生活发挥作用的信息总和。按照该作用的促进方向,信息资源可分为有价值信息和中性信息。� 信息价值,是信息资源优势的反映,可分为积极价值和消极价值。信息安全的基本范畴是建立在信息资源优势改变或信息价值损失的基础上的,即信息作用以对信息价值的影响来衡量,信息损失以信息价值的损失为量度。信息作用,是指信息资源在实现信息价值过程中,所发生的对周围环境或自身的影响或改变。这些影响或改变,与人的主观意愿无关,但可以为人的主观意愿服务,可以被敌我双方利用,实现积极作用或消极作用。� 信息损失,是指信息价值的损失,是在消极信息作用影响下的信息资源的价值降低的量度。信息损失是信息安全范畴里的重要负面计算指标,以定量、定性或概率的方式来评估主体活动与信息安全的影响与程度。信息载体,是指信息在传输或传播中携带信息的媒介,即用于记录、传输和保存信息的软、硬件实体,包括以能源和介质为特征,运用声、光、电等传递信息的无形载体和以实物形态记录为特征,运用纸张、胶片、磁带或磁盘等传递和贮存信息的有形载体。� 信息环境,是与信息活动有关的外部环境的集合,包括机房、电力、温度、湿度、防火、防水、防震、防辐射等硬环境,也包括国家法律法规、部门规章、政治经济、社会文化、教育培训、人员素质、监督管理等软环境。 信息安全工程的概念� 信息安全工程研究如何建立能够面对错误、攻击和灾难的可靠信息系统。� 许多信息系统都有严格的安全保障要求,否则,一旦发生安全问题和处理不当,会产生严重的甚至灾难性的后果。例如,核安全控制系统失败,会危及人类生存和环境;航空安全系统失败,会严重影响机组安全;ATM银行系统失败,会破坏经济生活秩序;股票交易系统失败,会损害用户权利;网上支付系统失败,会阻碍网络经济的发展;财务报账系统失败,会扰乱经费管理体系。一般认为,软件工程是要保证某些事情能够发生(如“能提供pdf格式文档的报表输出功能”),而安全工程是要确保某些事情不能发生(如“要提供pdf格式文档的防拷贝功能”)。不同的系统工程建设与不同的设计目标和要求有关,而其中安全工程的建设尤其复杂。对于信息安全工程,需要考虑到特定信息系统的安全保护需求、可能存在的安全隐患以及相应的解决方法等。� 为了更好地理解信息系统安全工程的需求、隐患、方法,及其工程化概念,首先来了解以下三个领域的信息系统实例:银行、机场、家庭。例一:银行� 因为业务的需要,银行需要运行大量的对安全要求很苛刻的计算机系统。� 银行信息系统包括银行综合业务系统、银行渠道系统、网上银行系统、跨行支持系统、中国银联支持系统等。在中国,FN,work)将中央银行、各商业银行和其他金融机构连接在一起,构成全国性的金融专用网络系统。