信息安全保障-信息安全保障基础

信息安全概念

定义

国际化标准组织(ISO):为数据处理系统建立和采取技术、管理的安全防护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而受到破坏、变更、泄露。
美国法典:信息安全,是防止未授权的访问、使用、披露、中断、修改、检查、记录和破坏信息的做法。它是一个可以用于任何形式数据的通用术语。
欧盟定义:在既定的密级条件下,网络和信息系统抵御意外事件或恶意行为的能力,这些事件和行为将威胁所存储或传输的数据以及经由这些网络和系统所提供的服务的可用性、真实性、完整性和机密性。

特征

  1. 系统性:要系统的从技术、管理、工程和标准法规等各层面综合保障安全
  2. 动态性:要以风险管理思想,根据风险变化,在信息系统生命周期中采用相应的安全措施来控制风险。
  3. 开放性和互通性:信息化的的特点,导致信息安全也具备同样特性
  4. 不同于传统安全:传统安全手段无法应对信息安全,必须采用新的信息安全保障手段来维护互联网安全

威胁情报

情报:是为管理人员提供行动和指定策略的依据。
威胁情报:建立在大量的数据搜集和处理的基础上,通过对搜集数据的分析和评估,形成相应的结论。
用途:

  1. 威胁情报有助于应对安全威胁和防御不平等
  2. 威胁情报能降低组织机构信息安全投入
  3. 威胁情报能确保找到优先应对的安全问题
  4. 威胁情报能帮助组织结构适应不断发展的技术和环境变化

态势感知

态势感知:是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、相应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地

信息安全属性

信息安全三元组CIA

信息安全三要素CIA

这里的 C,指的是Confidentiality机密性,是指对信息资源开放范围的控制,确保信息安全不被非授权的个人、组织和计算机程序访问。
这里的 I ,指的是Integrity 完整性,保证信息系统中的数据处于完整的状态,确保信息没有遭受篡改和破坏。
这里的 A ,指的是Availability可用性,确保系统随时可用,系统、访问通道和身份认证机制等都必须正常地工作。
局限性:CIA关注的核心在信息,信息系统的复杂性决定了还存在其他重要因素,CIA可作为规划、实施、量化安全策略的基本原则。

其他安全属性

真实性:能对信息的来源进行判断,能对伪造来源的信息予以鉴别。
可问责性:承认和承担行动、产品、决策和政策的责任,包括在角色或就业岗位范围内的行政、治理和实施以及报告、理解并对所造成的后果负责。
不可否认性:交易乙方不能拒绝已经接收到的交易,也不能拒绝已经发送的交易。
可靠性:信息系统能够在规定条件下、规定时间内完成规定功能的特性。

信息安全视角

国家视角

  • 网络战:一些政府已经将网络战作为整体军事战略的一个组成部分,并且在网络战争方面做了很大投入。
  • 国家关键基础设施保护:公共通信和信息服务、能源、交通、水利、金融、公告服务、电子政务等重要行业和领域,以及一旦遭受破坏,丧失功能或数据泄露,可能严重危害国家安全、国计民生,公共利益的基础设施。
  • 法律建设与标准化:信息安全立法活动必须在立法原则指导下进行,才能把握信息安全发展的客观规律,更好的发挥法律调控功能。

企业视角

  • 业务连续性管理:(Business Continunity Manager,BCM)是一项应对上述问题的综合管理流程,它使企业认识到潜在的危机和相关的影响,制订相应业务连续性的恢复计划,其总体目标是为了提高企业的风险能力,以有效的响应计划外的业务破坏并降低不良影响
  • 资产保护:没有绝对安全,在一个合理成本情况下,需要放弃扫什么成为考核一个组织机构应对业务连续性管理的首要问题
  • 合规性:法律法规的符合;标准的符合;

个人视角

  • 隐私保护:对于隐私问题在我国法律中没有明确的定义。

2020最新民法典增加隐私权和个人信息保护:合法公布他人信息有三个前提:①信源合法,消息源不能是偷、买、骗来的;②要基于公共利益考量,比如打击犯罪、寻找失散儿童等;③要在合法、必要的范围内,如果有个司机逃逸,可公布他的信息,但不能把他家庭成员的信息都公布

  • 社会工程学:实质是一种通过对受害人心里弱点,如本能反应、好奇心、信任、贪婪等进行利用,实现对受害者进行欺骗以获取自身利益的方法。
  • 个人资产安全:互联网技术中如何识别用户身份是构成这些技术实现的基础,而身份本身的构成使得每一个依托互联网平台的人在大数据平台下暴露无遗。

信息安全发展阶段

  • 通信安全阶段:在通信阶段,信息安全面临的主要威胁是攻击者对通信内容的窃取物理搭线、电磁波监听。保密成为通信安全阶段的核心安全需求。
  • 计算机安全阶段:主要威胁来自于非授权用户对计算机资源的非法使用、对信息的修改和破坏
  • 信息系统安全阶段:主要是保护信息在存储、处理和传输过程中免受非授权的访问,防止授权用户的拒绝服务,同时检测、记录和对抗此类威胁。
  • 信息系统保障阶段:总体要求,坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化的发展,保护公共利益,维护国家安全。
  • 网络空间安全阶段:网络空间作为新兴的第五空间其他四个空间陆、海、空、太空,已经成为新的国家竞争领域,威胁来源从个人上升到犯罪组织,甚至上升到国家力量的层面

信息安全保障新领域

工业控制系统(Industrial Control System,ICS)安全

  • 工业控制系统的基础结构
  1. 数据采集和监控系统(Supervisory Control And Data Acquisition,SCADA)
  2. 分布式控制系统(Distributed Control System,DCS)
  3. 可编程逻辑控制(Programmable Logic Controller ,PLC)
  • 工业控制系统的主要威胁
  1. 缺乏安全防护,工业领域技术人才缺少信息相关安全知识。
  2. 系统安全可控性不高,设备和技术主要是国外厂商。
  3. 缺乏安全管理标准和技术,目前我国的工业控制系统安全相关的技术、标准、管理体系都不成熟。
  • 工业控制系统安全防护
  1. 管理控制
  2. 操作控制
  3. 技术控制

云计算安全与虚拟化

  • 云计算所面临的风险
  1. 数据管理和访问失控的风险,数据的实际存储不受用户控制。
  2. 数据管理责任风险,谁管理,谁负责、谁运营,谁负责的原则不受用。
  3. 数据保护的风险,数据不由用户自主控制。
  • 云计算安全框架
    云计算安全是一个交叉领域,涵盖物理安全到应用安全。
  • 虚拟化安全
    虚拟化安全是云计算的支撑技术,通过把硬件资源虚拟化,构成一个资源池,实现隔离性、可扩展性、安全性、资源可充分利用等特点。
    虚拟化安全是云计算中核心的安全问题。

物联网安全

物联网技术体系模型
  • 感知层
    安全问题主要包括网关节点被控制,拒绝服务及接入的节点的标识、识别、认证和控制问题。
  • 传输层
    物联网是依托互联网构建的应用,拒绝服务攻击、欺骗等安全问题都会直接影响物联网的传输安全
  • 支撑层
    支撑层的安全问题包括来自终端的虚假数据识别和处理、可用性保护、人为干预等
  • 应用层
    是具体的应用业务,所涉及的安全问题与业务特性相关。

大数据安全

  • 数据应用安全
  1. 数据收集阶段
  2. 数据存储阶段
  3. 数据使用阶段
  4. 数据分发阶段
  5. 数据删除阶段
  • 技术平台安全
  1. 由于大数据的多源、海量、异构、动态等特征导致其与传统的数据应用安全环境有很大区别,传统基于边界的安全防护措施不在有效
  2. 大数据平台自身也会存在漏洞和恶意后门
  3. 由于大数据应用广泛,并且应用场景中存在大量未知的用户和数据,这使得传统的访问控制措施难以实施

移动互联网安全

  • 移动互联网安全问题
  1. 系统安全问题
  2. 移动应用安全问题
  3. 个人隐私泄露问题
  • 移动互联网安全策略
  1. 政策规范和引导
  2. APP分发管控
  3. 加强隐私保护要求

智慧的世界

智慧世界在目前广泛被接受的概念是智慧城市,而构成智慧世界中所形成的综合技术问题和管理问题成为一个泛在的安全风险。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,547评论 6 477
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,399评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,428评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,599评论 1 274
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,612评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,577评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,941评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,603评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,852评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,605评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,693评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,375评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,955评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,936评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,172评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 43,970评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,414评论 2 342

推荐阅读更多精彩内容

  • 不同的人,不同的组织对安全的理解有所不同。ISO/IEC认为信息安全是为数据处理系统建立和采取技术、管理的安全保护...
    我的职业生涯阅读 551评论 0 1
  • 信息安全遵循的木桶原则 信息安全遵从“木桶原理”。这“木桶原理”正是系统论的思想在信息安全领域的体现。 对信息进行...
    iisincere阅读 1,109评论 0 0
  • 5月以来,哪怕对市场风向再不敏感的人,也感觉到阵阵凉意。二级市场连续下挫,一级市场融资环境恶化,不论企业融资数量还...
    钱皓频道阅读 6,018评论 1 6
  • 推荐指数: 6.0 书籍主旨关键词:特权、焦点、注意力、语言联想、情景联想 观点: 1.统计学现在叫数据分析,社会...
    Jenaral阅读 5,700评论 0 5
  • 昨天,在回家的路上,坐在车里悠哉悠哉地看着三毛的《撒哈拉沙漠的故事》,我被里面的内容深深吸引住了,尽管上学时...
    夜阑晓语阅读 3,777评论 2 9