信息安全基础_信安基础-优快云博客

本文介绍了信息安全的核心——可用性、完整性和机密性（AIC三元组），并详细阐述了保障这些特性的各种控制措施。同时，列举了信息安全的十大领域，包括访问控制、通信与网络安全、信息安全治理与风险管理等，每个领域都涵盖了相关技术和威胁。此外，还提及了业务连续性计划和灾难恢复计划的重要性，为全面理解信息安全提供了基础框架。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

安全基本原则

安全的核心目标就是为关键资产提供可用性、完整性和机密性（AIC三元组）的保护

可用性（availability）

确保授权的用户对数据和资源进行及时和可靠的访问。网络由众多长时间不间断运行的硬件设备和软件组成，硬件设备像路由器、交换机、DNS服务器、DHCP服务器、代理和防火墙等，而软件则包含操作系统、应用程序和反病毒软件等。我们要在保证这些硬件及软件正常运行的同时还有很多物理因素可能影响资源的可用性如环境因素（大火、洪水、通风、电力等问题）、潜在的自然灾害和物理偷窃或攻击等，由此可见要保证数据和资源的可用性也不是件容易的事保证可用性的一些控制措施如下：

RAID（磁盘阵列， Redundant Arrays of Independent Disks）
集群
负载均衡
冗余电源
数据备份
磁盘镜像
异地备份
快照功能
故障切换

完整性（integrity）

保证信息和系统的准确性和可靠性，并禁止对数据的非授权更改造成完整性破坏的因素有攻击者的入侵、内部用户的错误操作等，为了避免这类问题的出现，我们可以精简用户的操作权限，限制用户对系统关键文件的访问和修改，应用程序应当严格检查用户输入的任何数据。对于数据库只允许授权用户修改，而在传输数据时对数据内容进行加密等。保证完整性的一些控制措施如下：

哈希（数据完整性）
配置管理（系统完整性）
变更控制（进程完整性）
访问控制（物理和技术）
数字签名
传输CRC校验(Cyclic Redundancy Check, CRC)

机密性（confidentiality）

确保在数据处理的每一个步骤都实施了必要的安全保护并阻止信息的未授权访问威胁机密性的方式包括攻击者通过网络监控、肩窥（越过别人肩膀浏览未授权的信息）、盗取密码以及社会工程（欺骗他人共享敏感信息以获取敏感信息的访问）等方法获取敏感数据。对于机密性的防护我们可以通过在存储和传输过程中加密数据，使用严格的访问控制和数据分类以及对职工进行适当的数据保护措施的培训。保证可用性的一些控制措施如下：

加密磁盘上存储的数据
加密传输过程中的数据（IPSEC、SSL、PPTP、SSH）
严格的访问控制（物理和技术）

十大安全领域

访问控制

主要研究管理员与经营者的访问控制的机制和方法。需要控制管理员与经营者经过授权身份验证后的用户权限，被访问内容的权限以及对访问活动的审计和监控。

访问控制威胁
标识和身份验证技术和技巧
访问控制管理
单点登入技术
攻击方法

通信与网络安全

该领域主要研究内部、外部、公共以及私有的通信系统、互联结构、设备、协议以及远程访问和管理。

OSI模型与分层
局域网（Local Area Network, LAN）、城域网（Metropolitan Area Network, MAN）和广域网（Wide Area Network, WAN）技术
互联网、内联网和外联网问题
虚拟专用网（Virtual Private Network, VPN）、防火墙、路由器、网桥和中继器
网络拓扑和布线
攻击方法

信息安全治理与风险管理

该领域主要研究公司资产的标识，确定必要的安全保护级别的方式，采用何种类型的预算来降低风险和减少资金损失的安全实现

数据分类
策略、措施、标准和指南
风险评估和管理
认识安全、培训和意识

软件开发安全

该领域主要研究安全软件开发方法，应用程序安全和软件缺陷。

数据仓库和数据挖掘
不同的开发方法及其风险
软件组件和脆弱性
恶意代码

密码学

该领域研究密码学的技巧方法和技术

对称和非对称算法及其使用
公钥基础设施（Public Key Infrastructure）与三列函数
加密协议及其实现
攻击方法

安全架构与设计

该领域研究软件安全设计的方式方法。

操作状态、内核功能与内存映射
安全模型。架构和评估
评估标准：可信计算机评估标准（Trusted Computer Security Evaluation Criteria, TCSEC）、信息技术安全评估标准（Information Technology Security Evaluation Criteria, ITSEC）和通用准则
应用程序与系统的常见缺陷
认证和认可