不同的人,不同的组织对安全的理解有所不同。ISO/IEC认为信息安全是为数据处理系统建立和采取技术、管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而受到破坏、更改、泄露。
美国法典3542条给出的信息安全的定义,是防止未经授权的访问、使用、披露、中断、修改、检查、记录或破坏信息的做法。它是一个可以用于任何形式数据(例如电子、物理)的通用术语。
欧盟也有不同的说法:在既定的密级条件下,网络与信息系统抵御意外事件或恶意行为的能力,这些事件和行为将威胁所存储或传输的数据以及经由这些网络和系统所提供的服务的可用性、真实性、完整性和机密性。
再看看《中华人民共和国网络安全法》第七十六条,对网络安全有明确的阐述:网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
信息安全的基本属性有三点:保密性、完整性和可用性,简称CIA。
信息安全问题的根源来自信息系统自身存在的脆弱性,以及外部环境带来的人为因素和非人为因素。
自身存在的脆弱性是一个客观存在,这是由系统的复杂性所导致的。一台服务器平均无失效间隔时间MTBF至少可以达到50000小时以上,也就说将近6年的时间。没有人敢保证一台服务能够稳定的运行6年不出故障。怎么办?冗余!通过两台或者多台服务器进行冗余,其中任何一台服务器出现故障后,不影响系统的正常运行。在云计算遍地开花的今天,虽说云平台为虚机提供了各种形式的快照,但依旧不能完全解决不可用的问题。操作系统可以通过快照进行回复,但是数据呢?如果将数据仅仅备份在本地服务器上的话,相当于没有做备份。
信息安全保障应该怎么做呢?那个251天的前华为员工的做法值得借鉴,将录音数据,这对他来讲是非常重要的数据。如果这个数据被销毁的话,他可能就不是251天了,10年都是有可能的。据说他把录音数据保存了N多份,电脑上、U盘上,能存的地方都存了。这叫多份拷贝,全部丢失或损毁的机会比较小。
信息安全保障的四个要素是工程、技术、人员和管理。对任何一个组织来讲,这四个要素同等重要。而人永远是最薄弱的环节!管理制度再完善,工程质量再高,技术再先进,都抵不过工作人员给系统设置个弱口令。
信息安全保障,是将发现和策略作为信息系统安全保障的基础和核心。首先强调信息系统安全保障持续发展的动态安全,即息系统安全保障应该贯穿于整个信息系统生命周期的全过程;其次,要强调综合保障的观念,信息系统的安全保障是通过综合技术、管理、工程与人员的评估,提供对信息系统安全保障的信心;第三,以风险和策略为基础,在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素,从而使信息系统安全保障实现信息安全的安全特征,达到保障组织机构执行其使命的根本目的。
信息安全保障工作的基本方法是风险管理。
信息安全保障的目的是让机构能够执行其使命。
