信息安全的目的:保护企业信息资产
- 随着技术的发展,企业的业务流程及信息处理越来越依赖于IT设施,甚至将所有的
业务信息电子化。因此,IT基础设施的正常运行及对电子信息的良好保护,成为企
业业务顺利进行和发展的关键因素之一
- 由于信息在当前企业业务中的重要地位,因此可以认为信息也是一种资产,称之信
息资产
- 信息资产包含了大量的业务数据、客户信息、商业秘密等对企业的业务乃至存亡密
切相关的内容,所以信息资产也面临大量的威胁和风险,包括有意或无意的销毁、
黑客攻击、恶意软件所造成的数据丢失、内部人员的泄漏等。这些威胁和风险中
最有可能发生并造成严重后果的便是保密信息被泄漏。一旦发生数据泄漏事件,企
业不单要承担保密数据本身价值的损失,严重的时候还会影响到企业的声誉和公众
形象,并有可能面临法律上的麻烦
信息安全的核心目标:CIA模型保护
机密性(Confidentiality) |
指信息在存储、传输、使用的过程中,不会被泄漏给非授权用户或实体 |
完整性(Integrity) |
指信息在存储、传输、使用的过程中,不会被非授权 用户篡改或防止授权用户对信息进行不恰当的篡改 |
可用性(Availability) |
指确保授权用户或实体对信息资源的正常使用不会被 异常拒绝,允许其可靠而及时地访问信息资源 |
机密性:防止泄漏或窃听,可以通过加密技术保障机密性
完整性:防止未经授权的更改,即“防篡改”,可以通过消息摘要技术来保证完整性
可用性:保证合法用户想用时能用
信息安全的威胁因素
自然灾害 |
指地震、火灾、水灾、风暴等这些因素将直接地到危害信息系统实体的安全 |
硬件故障 |
指系统硬件的安全可靠性,包括计算机主体、存储系统、辅助设 备、数据通讯设施以及信息存储介质的安全性 |
软件缺陷 |
即计算机软件或程序中存在的某种破坏正常运行能力的问题、错 误,或隐藏的功能缺陷 |
未授权访问 |
没有经过预先同意就使用网络或计算机资源的行为被看作是非授权 访问。如有意避开系统访问控制机制、对网络设备及资源进行非正 常使用、擅自扩大权限、越权访问信息等。它主要有以下几种表现 形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合 法用户以未授权方式进行操作等 |
拒绝服务 |
拒绝服务(DoS,Denial of Service)是指攻击者向服务器发送大量 垃圾信息或干扰信息,从而使正常用户无法访问服务器 |
数据泄露 |
不加密的数据库是不安全的,容易造成商业泄密 |
假冒和欺诈 |
指非法用户通过欺骗通信系统(或用户)冒充合法用户,或者特权小的用户通过冒充成为特权大的用户。黑客大多是采用假冒攻击 |
线路窃听 |
用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信 息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在 工作过程中产生的电磁泄露截取有用信息等 |
计算机病毒 |
一种在计算机系统运行过程中能够实现传染和侵害功能的程序 |
特洛伊木马 |
软件中含有的觉察不出的有害的程序段,当它被执行时,会破坏用 户的安全。这种应用程序被称为特洛伊木马(Trojan Horse) |
后门和陷阱 |
在某个系统或某个部件中设置的“机关”,使得在特定的数据输入时,允许违反安全策略 |
电磁辐射 |
计算机系统及其控制的信息和数据传输通道,在工作过程中都会产 生电磁波辐射,在一定地理范围内用无线电接收机很容易检测并接 收到,这就有可能造成信息通过电磁辐射而泄漏。另外,空间电磁 波也可能对系统产生电磁干扰,影响系统正常运行 |
盗窃 |
重要的安全物品,如令牌或身份卡被盗 |
信息的保存位置
信息的来源
信息安全核心技术
通过信息安全技术来保障信息安全
- 技术措施需要配合正确的使用方法才能发挥作用
通过信息安全管理来保障信息安全
- 管理因素
- 技术因素
- 认为因素
- 在信息安全问题上,要综合考虑人员与管理、技术与产品、流程与体系等因素