信息安全的目的:保護企業信息資產
- 隨著技術的發展,企業的業務流程及信息處理越來越依賴於IT設施,甚至將所有的
業務信息電子化。因此,IT基礎設施的正常運行及對電子信息的良好保護,成為企
業業務順利進行和發展的關鍵因素之一
- 由於信息在當前企業業務中的重要地位,因此可以認為信息也是一種資產,稱之信
息資產
- 信息資產包含了大量的業務數據、客戶信息、商業秘密等對企業的業務乃至存亡密
切相關的內容,所以信息資產也面臨大量的威脅和風險,包括有意或無意的銷毀、
黑客攻擊、惡意軟體所造成的數據丟失、內部人員的泄漏等。這些威脅和風險中
最有可能發生並造成嚴重後果的便是保密信息被泄漏。一旦發生數據泄漏事件,企
業不單要承擔保密數據本身價值的損失,嚴重的時候還會影響到企業的聲譽和公眾
形象,並有可能面臨法律上的麻煩
信息安全的核心目標:CIA模型保護
|
機密性(Confidentiality) |
指信息在存儲、傳輸、使用的過程中,不會被泄漏給非授權用戶或實體 |
|
完整性(Integrity) |
指信息在存儲、傳輸、使用的過程中,不會被非授權 用戶篡改或防止授權用戶對信息進行不恰當的篡改 |
|
可用性(Availability) |
指確保授權用戶或實體對信息資源的正常使用不會被 異常拒絕,允許其可靠而及時地訪問信息資源 |
機密性:防止泄漏或竊聽,可以通過加密技術保障機密性
完整性:防止未經授權的更改,即「防篡改」,可以通過消息摘要技術來保證完整性
可用性:保證合法用戶想用時能用
信息安全的威脅因素
|
自然災害 |
指地震、火災、水災、風暴等這些因素將直接地到危害信息系統實體的安全 |
|
硬體故障 |
指系統硬體的安全可靠性,包括計算機主體、存儲系統、輔助設 備、數據通訊設施以及信息存儲介質的安全性 |
|
軟體缺陷 |
即計算機軟體或程序中存在的某種破壞正常運行能力的問題、錯 誤,或隱藏的功能缺陷 |
|
未授權訪問 |
沒有經過預先同意就使用網絡或計算機資源的行為被看作是非授權 訪問。如有意避開系統訪問控制機制、對網絡設備及資源進行非正 常使用、擅自擴大權限、越權訪問信息等。它主要有以下幾種表現 形式:假冒、身份攻擊、非法用戶進入網絡系統進行違法操作、合 法用戶以未授權方式進行操作等 |
|
拒絕服務 |
拒絕服務(DoS,Denial of Service)是指攻擊者向伺服器發送大量 垃圾信息或干擾信息,從而使正常用戶無法訪問伺服器 |
|
數據泄露 |
不加密的資料庫是不安全的,容易造成商業泄密 |
|
假冒和欺詐 |
指非法用戶通過欺騙通信系統(或用戶)冒充合法用戶,或者特權小的用戶通過冒充成為特權大的用戶。黑客大多是採用假冒攻擊 |
|
線路竊聽 |
用各種可能的合法或非法的手段竊取系統中的信息資源和敏感信 息。例如對通信線路中傳輸的信號搭線監聽,或者利用通信設備在 工作過程中產生的電磁泄露截取有用信息等 |
|
計算機病毒 |
一種在計算機系統運行過程中能夠實現傳染和侵害功能的程序 |
|
特洛伊木馬 |
軟體中含有的覺察不出的有害的程序段,當它被執行時,會破壞用 戶的安全。這種應用程式被稱為特洛伊木馬(Trojan Horse) |
|
後門和陷阱 |
在某個系統或某個部件中設置的「機關」,使得在特定的數據輸入時,允許違反安全策略 |
|
電磁輻射 |
計算機系統及其控制的信息和數據傳輸通道,在工作過程中都會產 生電磁波輻射,在一定地理範圍內用無線電接收機很容易檢測並接 收到,這就有可能造成信息通過電磁輻射而泄漏。另外,空間電磁 波也可能對系統產生電磁干擾,影響系統正常運行 |
|
盜竊 |
重要的安全物品,如令牌或身份卡被盜 |
信息的保存位置
信息的來源
信息安全核心技術
通過信息安全技術來保障信息安全
- 技術措施需要配合正確的使用方法才能發揮作用
通過信息安全管理來保障信息安全
- 管理因素
- 技術因素
- 認為因素
- 在信息安全問題上,要綜合考慮人員與管理、技術與產品、流程與體系等因素