【愚公系列】软考高级-架构设计师 063-信息安全基础

🏆 作者简介，愚公搬代码 🏆《头衔》：华为云特约编辑，华为云云享专家，华为开发者专家，华为产品云测专家，CSDN博客专家，CSDN商业化专家，阿里云专家博主，阿里云签约作者，腾讯云优秀博主，腾讯云内容共创官，掘金优秀博主，亚马逊技领云博主，51CTO博客专家等。 🏆《近期荣誉》：2022年度博客之星TOP2，2023年度博客之星TOP2，2022年华为云十佳博主，2023年华为云十佳博主等。

🏆《博客内容》：.NET、Java、Python、Go、Node、前端、IOS、Android、鸿蒙、Linux、物联网、网络安全、大数据、人工智能、U3D游戏、小程序等相关领域知识。

🏆🎉欢迎 👍点赞✍评论⭐收藏

🚀前言

信息安全基础是保护信息系统和数据免受未经授权的访问、使用、泄露、破坏或干扰的一系列基本措施和实践。它涵盖了一系列安全原则、技术、方法和流程，旨在确保信息资产的机密性、完整性和可用性。

🚀一、信息安全基础

🔎1.系统安全防范体系

根据系统安全防范体系的不同层次，可以将安全防范划分为以下五个层次：

1. 物理层安全：
   • 涉及物理环境的安全性，包括通信线路、物理设备和机房的安全等。
2. 系统层安全：
   • 涉及操作系统的安全性，主要问题包括操作系统本身的缺陷、安全配置问题以及病毒对操作系统的威胁。
3. 网络层安全：
   • 涉及计算机网络的安全性，主要问题包括网络层身份认证、访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测手段和网络设施防病毒等。
4. 应用层安全：
   • 涉及提供服务所采用的应用软件和数据的安全性，包括Web服务、电子邮件系统、DNS等，以及病毒对系统的威胁。
5. 安全管理：
   • 涉及安全技术和设备的管理、安全管理制度、部门与人员的组织规则等，对整个安全体系进行管理和监督。

这些层次反映了系统安全防范体系中不同的安全问题，通过在每个层次上实施相应的安全措施，可以综合提升系统的整体安全性。

🔎2.信息安全基本要素

以下是关于信息安全的五个基本要素：

1. 机密性：
   • 确保信息不会被未经授权的实体或进程获取。这意味着只有授权的用户可以访问敏感信息，防止信息泄露。
2. 完整性：
   • 确保只有经授权的用户可以修改数据，并且可以检测到数据是否被篡改。这意味着数据在传输、存储和处理过程中不会被意外或恶意地改变。
3. 可用性：
   • 确保授权用户在需要时可以访问数据，而不受到拒绝服务攻击或其他威胁的影响。这意味着信息系统应该保持稳定运行，不受到意外事件的影响。
4. 可控性：
   • 确保可以控制授权用户信息的流向和行为方式。这意味着可以对用户的访问权限进行精确的控制，并监控其活动以防止滥用权限。
5. 可审查性：
   • 提供调查信息安全问题的依据和手段。这意味着有适当的日志记录和审计机制，可以追溯和分析安全事件，并对安全违规行为进行调查和处理。

这些基本要素共同构成了一个综合的信息安全框架，帮助组织保护其关键信息资产免受各种威胁和攻击。

🔎3.信息安全范围

以下是关于信息安全范围的：

1. 设备安全：
   • 设备的安全是信息系统安全的首要问题，是其物质基础。包括设备的稳定性、可靠性和可用性。确保信息系统设备不受到破坏、损坏或未经授权的访问，以维护系统的正常运行。
2. 数据安全：
   • 数据安全涉及采取措施确保数据免受未授权的泄露、篡改和毁坏。包括数据的秘密性（保护数据不被未经授权的人访问）、完整性（保护数据不被未经授权的修改）和可用性（保证数据在需要时可用）。
3. 内容安全：
   • 内容安全是信息安全在政治、法律和道德层面上的要求。包括信息内容的政治上健康（符合政治要求）、符合国家法律法规（遵守法律规定）和符合道德规范（遵循道德行为准则）。
4. 行为安全：
   • 信息系统的服务功能通过行为提供给用户，因此确保信息系统的行为安全至关重要。行为安全的特性包括行为的秘密性（保护行为不被未经授权的人知晓）、完整性（保护行为不被未经授权的修改）和可控性（确保行为受到合适的控制和管理）。

这些方面共同构成了一个综合的信息安全范围，涵盖了从物理设备到数据、内容和系统行为的各个方面，以确保信息系统和数据的安全性和可靠性。

🔎4.信息存储安全

以下是关于信息存储安全：

1. 信息使用的安全：
   • 包括确保用户的身份验证和标识，以及限制用户的存取权限。这意味着只有经过验证的用户才能访问系统，并且他们只能访问其具有权限的信息和功能。
2. 系统安全监控：
   • 系统必须建立一套安全监控系统，全面监控系统的活动，并随时检查系统的使用情况。一旦有非法入侵者进入系统，应能及时发现并采取相应措施，填补安全和保密的漏洞。此外，应建立完善的审计系统和日志管理系统，利用日志和审计功能对系统进行安全监控。
3. 计算机病毒防治：
   • 计算机网络服务器必须加装网络病毒自动检测系统，以保护网络系统的安全，并防范计算机病毒的侵袭。必须定期更新网络病毒检测系统，以应对不断演变的威胁和新型病毒的出现。

这些措施涵盖了信息存储安全的多个方面，包括对用户身份的验证和权限控制、对系统活动的监控和审计、以及对计算机病毒的防治措施。通过综合实施这些安全措施，可以提高信息存储系统的安全性，保护敏感信息免受未经授权的访问和恶意攻击。

🔎5.网络安全

以下是关于网络安全：

网络安全隐患（漏洞）：

1. 物理安全性：涉及网络设备和基础设施的物理安全，包括防止未经授权的物理访问或破坏。
2. 软件安全漏洞：指软件中存在的漏洞或错误，可能被黑客利用来入侵系统或获取未授权的访问权限。
3. 不兼容使用安全漏洞：当不同系统或软件之间的兼容性存在问题时，可能会导致安全漏洞，被黑客利用来攻击系统。
4. 选择合适的安全哲学：包括确定适当的安全策略、标准和控制措施，以适应组织的特定需求和威胁环境。

网络安全威胁：

1. 非授权的访问：未经授权的用户或实体访问系统或数据，可能导致信息泄露或不当使用。
2. 信息泄露或丢失：机密信息被泄露或意外丢失，可能对组织造成严重影响，如商业机密泄露或个人隐私泄露。
3. 破坏数据完整性：指数据被篡改或损坏，可能导致信息不准确或失效。
4. 拒绝服务攻击：黑客通过各种手段使系统无法提供正常服务，导致服务不可用，影响业务运作。
5. 利用网络传播病毒：恶意软件通过网络传播，感染和破坏系统，盗取敏感信息或控制受感染的设备。

安全措施的目标：

1. 访问控制：确保只有授权的用户可以访问系统或数据，并限制其权限。
2. 认证：确认用户或实体的身份，以确保只有合法用户可以访问系统或资源。
3. 完整性：保护数据免受未经授权的修改或篡改，确保数据的准确性和一致性。
4. 审计：记录和监视系统和网络活动，以便追溯安全事件和违规行为。
5. 保密：确保敏感信息只能被授权的用户访问，并防止信息泄露给未经授权的用户。

通过实施这些安全措施，组织可以有效应对网络安全隐患和威胁，保护其信息资产免受各种安全风险的影响。

🔎6.信息安全系统组成框架

以下是关于信息安全系统技术体系：

1. 基础安全设备：
   • 包括密码芯片、加密卡、身份识别卡等。此外，还涉及物理环境保障技术，如建筑物、机房条件和硬件设备条件的保障，以确保信息系统的机械防护安全。同时，选择抗电磁干扰和电磁泄漏性能良好的电力供应设备和信息系统组件，以实现相应的安全目标。
2. 计算机网络安全：
   • 涉及信息在网络传输过程中的安全防范，包括防止和监控未经授权破坏、更改和盗取数据的行为。常见技术包括物理隔离、防火墙、访问控制、加密传输、认证、数字签名、摘要、隧道和VPN技术、病毒防范、上网行为管理以及安全审计等。
3. 操作系统安全：
   • 指操作系统的无错误配置、无漏洞、无后门、无特洛伊木马等，能防止非法用户对计算机资源的非法访问。操作系统的安全机制包括标识与鉴别机制、访问控制机制、最小特权管理、可信通路机制、运行保障机制、存储保护机制、文件保护机制、安全审计机制等。
4. 数据库安全：
   • 可粗略划分为数据库管理系统安全和数据库应用系统安全两个部分。主要涉及物理数据库和逻辑数据库的完整性、元素安全性、可审计性、访问控制、身份认证、可用性、推理控制、多级保护以及消除隐通道等相关技术。
5. 终端安全设备：
   • 从电信网终端设备的角度分为电话密码机、传真密码机、异步数据密码机等，用于保障终端设备的安全。

这些技术构成了信息安全系统的技术体系，通过它们的合理应用和整合，可以提高信息系统的安全性，并有效保护信息资产免受各种威胁和攻击。

🚀二、练习

🔎1.题目一

网络安全体系设计可从物理线路安全、网络安全、系统安全、应用安全等方面来进行。 其中，数据库容灾属于（）。

A. 物理线路安全和网络安全

B. 应用安全和网络安全

C. 系统安全和网络安全

D. 系统安全和应用安全

这道题目涉及到网络安全体系设计中的不同方面以及数据库容灾的归属。让我们逐步分析：

1. 物理线路安全：指保护网络基础设施，如网络线路、交换机、路由器等，免受物理攻击或破坏。
2. 网络安全：涉及防范和监控网络中的各种威胁和攻击，包括未经授权的访问、数据泄露、病毒攻击等。
3. 系统安全：指保护操作系统和相关软件免受未经授权的访问或攻击，确保系统的稳定运行和数据的安全性。
4. 应用安全：关注于保护应用程序免受各种威胁和攻击，如SQL注入、跨站脚本攻击等，以确保应用程序的安全性和可靠性。

数据库容灾通常涉及到数据的备份、恢复和灾难恢复计划，以确保在发生灾难时能够快速恢复数据库功能，并保护数据的完整性和可用性。

综上所述，数据库容灾更加紧密地关联于系统安全，因为它主要涉及到数据库系统的稳定运行、数据完整性和可用性。因此，答案为：

D. 系统安全和应用安全

🔎2.题目二

在进行软件系统安全性分析时，（）保证信息不泄露给未授权的用户、实体或过程；完整性保证信息的完

整和准确，防止信息被非法修改；（）保证对信息的传播及内容具有控制的能力，防止为非法者所用。

A.完整性 B.不可否认性 C.可控性 D.机密性

A.完整性 B.安全审计 C.加密性 D.可控性

让我们逐一分析并填入空格：

1. 保证信息不泄露给未授权的用户、实体或过程：这描述了确保信息的保密性，防止未经授权的用户、实体或过程获取敏感信息。因此，这个空格应填入 D. 机密性。
2. 保证对信息的传播及内容具有控制的能力，防止为非法者所用：这是关于对信息传播和内容控制的概念，即可控性，确保合法的授权用户可以对信息进行访问和控制，同时防止非法者滥用信息。因此，这个空格应填入 D. 可控性。

综上所述，正确答案是：

• 第一个空格：D. 机密性
• 第二个空格：D. 可控性

这两个概念都是关于软件系统安全性分析中的重要考虑因素，确保系统在处理和存储敏感信息时能够保持机密性和可控性，以防止信息泄露和滥用。

🔎3.题目三

完整的信息安全系统至少包含三类措施， 即技术方面的安全措施、管理方面的安全措施和相应的( ) 。其

中，信息安全的技术措施主要有 ：信息加密 、数字签名、身份鉴别、访问控制 、网络控制技术、反病毒

技术 、( ) 。

A.用户需求 B.政策法律 C.市场需求 D.领域需求

A.数据备份和数据测试 B.数据迁移和数据备份 C.数据备份和灾难恢复 D.数据迁移和数据测试

让我们逐一分析并填入空格：

1. 完整的信息安全系统至少包含三类措施，即技术方面的安全措施、管理方面的安全措施和相应的( )：在信息安全系统中，除了技术方面的安全措施和管理方面的安全措施外，还需要考虑相关的政策、法律和规定。这些政策和法律起到指导、监督和规范信息安全管理的作用。因此，这个空格应填入 B. 政策法律。
2. 其中，信息安全的技术措施主要有：信息加密、数字签名、身份鉴别、访问控制、网络控制技术、反病毒技术、( )：在信息安全的技术措施中，除了常见的技术手段外，还需要考虑数据备份和灾难恢复技术。这些技术用于确保数据的安全备份和在灾难情况下能够快速恢复数据，以保证业务的连续性和可用性。因此，这个空格应填入 C. 数据备份和灾难恢复。

综上所述，正确答案是：

• 第一个空格：B. 政策法律
• 第二个空格：C. 数据备份和灾难恢复

这两个方面都是构建完整的信息安全系统所必需的，它们共同保障了系统在技术、管理和政策法律层面的安全性。

我正在参与2024腾讯技术创作特训营最新征文，快来和我瓜分大奖！