跳转至

第 1 章:信息安全概述 —— 你的数字世界需要"防盗门"

场景: 你家的门锁安全吗?窗户关好了吗?贵重物品放在保险箱里吗?信息安全就是给数字世界装上同样的防护——门锁(认证)、围墙(防火墙)、保险箱(加密)、监控(审计)。

1.1 什么是信息安全?

核心比喻:信息安全就是数字世界的"家庭安防"

物理世界:你家有门锁、窗户、保险箱、监控摄像头、报警器。

数字世界:你的数据需要同样的保护——防止陌生人偷看(机密性)、防止被篡改(完整性)、确保随时能访问(可用性)。

信息安全的定义: 保护信息及信息系统免受未授权的访问、使用、披露、破坏、修改和销毁,确保信息的机密性、完整性和可用性。

1.2 CIA 三要素

要素 英文 含义 家庭比喻 破坏案例
机密性 Confidentiality 信息不被未授权者获取 日记本上了锁,只有你能看 黑客窃取用户密码数据库
完整性 Integrity 信息不被未授权篡改 合同上的金额没有被涂改 银行转账金额被中间人篡改
可用性 Availability 授权用户能正常访问 你家大门随时能打开进入 DDoS 攻击导致网站瘫痪

CIA 之外的扩展要素

  • 真实性(Authenticity) :确认信息来自可信来源
  • 不可否认性(Non-repudiation) :发送方不能否认自己发送过信息
  • 可审计性(Accountability) :所有操作都有日志可追溯

1.3 威胁、脆弱性与风险

概念 定义 家庭比喻
威胁(Threat) 可能对系统造成损害的潜在因素 小偷想偷你家东西
脆弱性(Vulnerability) 系统中可被威胁利用的弱点 你家窗户没锁
风险(Risk) 威胁利用脆弱性造成损失的可能性 小偷从没锁的窗户进来偷东西的概率和损失 
风险 = 威胁 × 脆弱性 × 资产价值

降低风险的三种途径:
1. 消除威胁(很难做到)
2. 修补脆弱性(打补丁、加固系统)✅ 最常用
3. 降低资产价值(分散存储、加密保护)

1.4 常见威胁分类

威胁类型 说明 典型案例
恶意代码 病毒、蠕虫、木马、勒索软件 WannaCry 勒索病毒
社会工程学 利用人的心理弱点获取信息 钓鱼邮件、假冒客服电话
网络攻击 DDoS、中间人攻击、端口扫描 GitHub 遭受 1.35Tbps DDoS
内部威胁 员工泄密、误操作、权限滥用 员工离职前拷贝客户数据
物理威胁 设备被盗、自然灾害、断电 数据中心火灾

1.5 纵深防御体系

核心比喻:纵深防御就像城堡的多层防护

中世纪城堡不是只有一道城墙——它有护城河、外城墙、内城墙、塔楼、卫兵巡逻。攻击者突破一层,还有下一层等着。

信息安全同样需要多层防护——这就是"纵深防御"(Defense in Depth)。

┌─────────────────────────────────────────────┐
│  第 5 层:数据安全(加密、备份、DLP)          │
│  ┌───────────────────────────────────────┐  │
│  │ 第 4 层:应用安全(WAF、代码审计、输入验证)│  │
│  │ ┌─────────────────────────────────┐   │  │
│  │ │ 第 3 层:主机安全(杀毒、HIDS、补丁) │   │  │
│  │ │ ┌───────────────────────────┐   │   │  │
│  │ │ │ 第 2 层:网络安全(防火墙、IDS)│   │   │  │
│  │ │ │ ┌─────────────────────┐   │   │   │  │
│  │ │ │ │ 第 1 层:物理安全     │   │   │   │  │
│  │ │ │ │ (门禁、监控、UPS)   │   │   │   │  │
│  │ │ │ └─────────────────────┘   │   │   │  │
│  │ │ └───────────────────────────┘   │   │  │
│  │ └─────────────────────────────────┘   │  │
│  └───────────────────────────────────────┘  │
└─────────────────────────────────────────────┘

1.6 常见考试题型

例题 1: 信息安全的三个基本要素是( )。

A. 机密性、完整性、可用性  B. 加密、认证、授权  C. 防火墙、IDS、VPN  D. 威胁、脆弱性、风险

查看答案

答案:A

CIA 三要素是信息安全的核心:机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。

例题 2: 以下属于社会工程学攻击的是( )。

A. SQL 注入  B. 钓鱼邮件  C. DDoS 攻击  D. 缓冲区溢出

查看答案

答案:B

社会工程学利用人的心理弱点(如好奇心、恐惧、信任)来获取信息。钓鱼邮件是最常见的社会工程学攻击,诱骗用户点击恶意链接或泄露密码。

例题 3: "纵深防御"的核心思想是( )。

查看答案

答案:多层防护,不依赖单一安全措施。

纵深防御(Defense in Depth)在网络的各个层次部署安全措施,即使某一层被突破,其他层仍能提供保护。

要点总结

  • 信息安全保护信息的机密性、完整性、可用性(CIA 三要素)
  • 威胁是潜在危害因素,脆弱性是可被利用的弱点,风险是损失的可能性
  • 常见威胁:恶意代码、社会工程学、网络攻击、内部威胁
  • 纵深防御:在多个层次部署安全措施,不依赖单一防线

课后练习

  1. 概念辨析 :用自己的话解释威胁、脆弱性、风险三者的区别和关系。

  2. 案例分析 :某公司数据库被黑客入侵,10 万用户数据泄露。分析此事件中 CIA 三要素哪些受到了破坏。

  3. 真题演练 :信息安全的基本属性包括机密性、完整性、(  )和不可否认性。

下一章预告: 密码学是信息安全的基石——从凯撒密码到 AES、RSA,从对称加密到数字签名。第 2 章见。

继续第 2 章:密码学基础 →