一、信息、信息安全、Syber1、信息（1）定义：指音讯、消息、通讯系统传输和处理的对象，泛指人类社会传播的一切内容就是客观世界中各种事物的变化和特征的最新反映，是客观事物之间联系的表征，也是客观事物状态经过传递后的再现。

（2）信息的特点：a:消息x发生的概率P(x)越大，信息量越小；反之，发生的概率越小，信息量就越大。

可见，信息量（我们用I来表示）和消息发生的概率是相反的关系。

b:当概率为1时，百分百发生的事，地球人都知道，所以信息量为0。

c:当一个消息是由多个独立的小消息组成时，那么这个消息所含信息量应等于各小消息所含信息量的和。

2、信息安全：保护信息系统的硬件软件及其相关数据，使之不因偶然或是恶意侵犯而遭受破坏，更改及泄露，保证信息系统能够连续正常可靠的运行。

(5个基本属性见P1) (1)为了达到信息安全的目标，各种信息安全技术的使用必须遵守一些基本的原则。

最小化原则。

受保护的敏感信息只能在一定范围内被共享，履行工作职责和职能的安全主体，在法律和相关安全策略允许的前提下，为满足工作需要。

仅被授予其访问信息的适当权限，称为最小化原则。

敏感信息的。

知情权”一定要加以限制，是在“满足工作需要”前提下的一种限制性开放。

可以将最小化原则细分为知所必须(need to know)和用所必须(need协峨)的原则。

分权制衡原则。

在信息系统中，对所有权限应该进行适当地划分，使每个授权主体只能拥有其中的一部分权限，使他们之间相互制约、相互监督，共同保证信息系统的安全。

如果—个授权主体分配的权限过大，无人监督和制约，就隐含了“滥用权力”、“一言九鼎”的安全隐患。

安全隔离原则。

隔离和控制是实现信息安全的基本方法，而隔离是进行控制的基础。

信息安全的一个基本策略就是将信息的主体与客体分离，按照一定的安全策略，在可控和安全的前提下实施主体对客体的访问。

在这些基本原则的基础上，人们在生产实践过程中还总结出的一些实施原则，他们是基本原则的具体体现和扩展。

包括：整体保护原则、谁主管谁负责原则、适度保护的等级化原则、分域保护原则、动态保护原则、多级保护原则、深度保护原则和信息流向原则等。

3、CyberSpace(网络空间，赛博空间)（1）赛博空间是指以计算机技术、现代通讯网络技术，甚至还包括虚拟现实技术等信息技术的综合运用为基础，以知识和信息为内容的新型空间，这是人类用知识创造的人工世界，一种用于知识交流的虚拟空间。

网络空间需要计算机基础设施和通信线路来实现。

换句话说，它是在计算机上运行的。

然而计算机内所包含什么样的信息才是其真正的意义所在，并且以此作为网络空间价值的衡量标准。

信息具有如下重要特点：一是信息以电子形式存在；二是计算机能对这些信息进行处理（如存储、搜索、索引、加工等）。

（2）赛博空间对人类知识传播的影响：知识的传播由口述、书面、广播、电视变为赛博媒体，即网络化、虚拟化的媒体，构成了赛博空间中知识传播和交流的基本工具。

（3）网络电磁空间作为人类开辟的第五维空间，其形成经历了计算机网络空间、电磁与网络融合空间、泛在网络电磁空间三个阶段。

（4）站长就是网站的管理员，有着运营整个网站的权限与技术能力。

站长眼中的网络空间其实就是虚拟主机。

虚拟主机是使用特殊的软硬件技术，把一台真实的物理电脑主机分割成多个的逻辑存储单元，每个单元都没有物理实体，但是每一个逻辑存储单元都能像真实的物理主机一样在网络上工作，具有单独的域名、IP地址(或共享的IP地址)以及完整的Internet服务器功能。

虚拟主机与网站空间其实是一个概念，它有两个作用：a.存放网站的各种网页文件；b.搭建网站正常运行的各种服务。

（5）建设“战略清晰”的网络安全保障体系是复杂的系统工程。

其基本构架为：“四个层面、两个支撑、一个确保”。

层面一：要有良好信息基础设施，加强网络安全平台及密码基础设施建设。

建立安全事件应急响应中心、数据备份和灾难恢复设施和安全保密监控平台，具有攻防兼备能力。

层面二：需要自己的过硬技术，强化国家网络安全技术防护体系。

采用先进技术手段，确保网络和电信传输、应用区域边界、应用环境等环节的安全，解决受制于人的问题，能抵御apt攻击。

（6）网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的。

凡将地理位置不同，并具有独立功能的多个计算机系统通过通信设备和线路而连接起来，且以功能完善的网络软件（网络协议、信息交换方式及网络操作系统等）实现网络资源共享的系统，可称为计算机网络。

二、信息系统安全设计的一般原则（1）选择先进的网络安全技术、进行严格的安全管理、遵循完整一致性、坚持动态性、实行最小化授权、实施全面防御、建立控制点、监测薄弱环节、失效保护。

（2）适度安全原则从网络、主机、应用、数据等层面加强防护措施，保障信息系统的机密性、完整性和可用性，同时综合成本，针对信息系统的实际风险，提供对应的保护强度，并按照保护强度进行安全防护系统的设计和建设，从而有效控制成本。

重点保护原则根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。

技术管理并重原则把技术措施和管理措施有效结合起来，加强信息系统的整体安全性。

标准性原则信息安全建设是非常复杂的过程，在规划、设计信息安全系统时，单纯依赖经验是无法对抗未知的威胁和攻击，因此需要遵循相应的安全标准，从更全面的角度进行差异性分析。

同时，在规划、设计信息安全保护体系时应考虑与其他标准的符合性，在方案中的技术部分将参考IATF安全体系框架进行设计，在管理方面同时参考27001安全管理指南，使建成后的等级保护体系更具有广泛的实用性。

动态调整原则信息安全问题不是静态的，它总是随着安全组织策略、组织架构、信息系统和操作流程的改变而改变，因此必须要跟踪信息系统的变化情况，调整安全保护措施。

成熟性原则本方案设计采取的安全措施和产品，在技术上是成熟的，是被检验确实能够解决安全问题并在很多项目中有成功应用的。

科学性原则在对信息系统进行安全评估的基础上，对其面临的威胁、弱点和风险进行了客观评价，因此规划方案设计的措施和策略一方面能够符合国家等级保护的相关要求，另一方面也能够很好地解决信息网络中存在的安全问题，满足特性需求三、国际信息安全发展态势、各国应对策略1、国际信息安全发展态势：（1）信息安全技术发展的关联性、主动性显著加强；（2）信息安全产品呈现高效化、系统化、集成化趋势；（3）信息安全产业形态向服务化方向发展；（4）信息安全技术和产品的应用的领域不断拓展；（5）互联网空间成为信息安全主战场；其他国家应对策略：（1）当前，随着信息化的不断深入，各国纷纷重视信息安全保障工作，从战略、组织结构、军事、外交、科技等各个方面加强信息安全保障工作力度。

在战略方面，发布网络安全战略、政策评估报告、推进计划等文件；在组织方面，通过设立网络安全协调机构、设立协调官，强化集中领导和综合协调；在军事方面，陆续成立网络战司令部，开展大规模攻防演练，招募网络战精英人才，加快军事网络和通信系统的升级改造，网络战成为热门话题；在外交方面，信息安全问题的国际交流与对话增多，美欧盟友之间网络协同攻防倾向愈加明显，信息安全成为国际多边或双边谈判的实质性内容；在科技方面，各国寻求走突破性跨越式发展路线推进技术创新，力求在科技发展上保持和占据优势地位。

（2）将信息安全视为国家安全的重要组成部分；积极推动信息安全立法和标准规范建设；重视对基础网络和重要信息系统的监管和安全测评；普遍重视信息安全事件应急响应；普遍认识到公共私营合作伙伴关系的重要性，一方面政府加强管理力度，一方面充分利用社会资源。

2、我国信息安全面临的形势和存在的问题第一，世界各国不断加大在网络空间的部署，爆发国家级网络冲突的风险不断增加。

第二，贸易保护“安全壁垒”被广泛使用，将波及整个信息技术产业。

第三，西方国家将我国树为网络公敌，将进一步加强针对我国的网络遏制行为。

第四，有针对性的网络安全事件增多，造成的经济和社会影响将进一步加深。

第五，云计算、移动互联网等新兴技术应用日趋深入，信息安全问题威胁将更加突出。

我国信息安全的应对之策（1）明确我国信息安全发展战略定位。

明确我国在网络空间的核心利益，将定位到国家安全角度;认清我国信息安全问题的根源，明确独立自主的信息安全技术产业体系在保障国家信息安全中的重要性;充分考虑到我国的发展现状，承认在技术产业上的巨大差距，循序渐进地发展技术产业，有选择地学习和吸收西方技术，充分保持自主性。

（2）全面构建信息安全积极防御体系。

采取以防为主的积极防御策略，强化对安全风险、威胁和安全事件的预防和发现能力，构建以可信计算、访问控制等为基础的主动防御技术体系;整合现有技术手段和信息资源，形成国家网络空间积极防御协作机制，建设国家网络空间战略预警平台;建立跨部门、跨行业的应急处置体系，提高国家对信息安全事件的处置能力;研究各种网络攻防对抗技术，提升网络攻防能力;加强有关信息安全漏洞、恶意代码等核心信息的共享，提升对漏洞分析验证、恶意代码检测等核心技术能力。

（3）打造自主信息安全产业生态体系。

加强顶层设计，明确信息安全技术重点发展方向，扶持信息安全“国家队”;在当前我国信息技术产品高度依赖国外的情况下，加快推进可信计算产业化，并有序推进国产化替代;充分发挥举国体制优势，支持安全芯片、操作系统、应用软件、安全终端产品等核心技术和关键产品研发，实现关键技术和产品的技术突破;联合产业上下游企业，整合自主信息安全产业链;坚持以应用促发展，支持政府部门和重要领域率先采用具有自主信息安全技术产品，带动从基础产品到应用产品和服务的具有完全自主知识产权产业发展。

四、信息安全管理条例、法律、法规法律法规体系,具体条款解释，地方法律法规（1）法律有几个层次:国家、地区、部门、相关条文解释见法律法规；（2）1984年美国国防部发布的《可信计算机系统评估准则》（Trusted Computer System Evaluation Criteria）即桔皮书。

目的：为制造商提供一个安全标准；为国防部各部门提供一个度量标准，用来评估计算机系统或其他敏感信息的可信度；在分析、研究规范时，为指定安全需求提供基础。

计算机系统安全评价标准TCSEC：4等7级（内容要知道）无保护级D类安全等级D类安全等级只包括D1一个级别。

D1的安全等级最低。

D1系统只为文件和用户提供安全保护。

D1系统最普通的形式是本地操作系统，或者是一个完全没有保护的网络。

自主保护级C类安全等级该类安全等级能够提供审记的保护，并为用户的行动和责任提供审计能力。