信息安全的目的:保护企业信息资产- 随着技术的发展,企业的业务流程及信息处理越来越依赖于IT设施,甚至将所有的
业务信息电子化。因此,IT基础设施的正常运行及对电子信息的良好保护,成为企
业业务顺利进行和发展的关键因素之一
- 由于信息在当前企业业务中的重要地位,因此可以认为信息也是一种资产,称之信
息资产
- 信息资产包含了大量的业务数据、客户信息、商业秘密等对企业的业务乃至存亡密
切相关的内容,所以信息资产也面临大量的威胁和风险,包括有意或无意的销毁、
黑客攻击、恶意软件所造成的数据丢失、内部人员的泄漏等。这些威胁和风险中
最有可能发生并造成严重后果的便是保密信息被泄漏。一旦发生数据泄漏事件,企
业不单要承担保密数据本身价值的损失,严重的时候还会影响到企业的声誉和公众
形象,并有可能面临法律上的麻烦
信息安全的核心目标:CIA模型保护
|
机密性(Confidentiality) |
指信息在存储、传输、使用的过程中,不会被泄漏给非授权用户或实体 |
|
完整性(Integrity) |
指信息在存储、传输、使用的过程中,不会被非授权 完整性:防止未经授权的更改,即“防篡改”,可以通过消息摘要技术来保证完整性
 可用性:保证合法用户想用时能用
 信息安全的威胁因素
 |
自然灾害 |
指地震、火灾、水灾、风暴等这些因素将直接地到危害信息系统实体的安全 | |
硬件故障 |
指系统硬件的安全可靠性,包括计算机主体、存储系统、辅助设
备、数据通讯设施以及信息存储介质的安全性 | |
软件缺陷 |
即计算机软件或程序中存在的某种破坏正常运行能力的问题、错
误,或隐藏的功能缺陷 | |
未授权访问 |
没有经过预先同意就使用网络或计算机资源的行为被看作是非授权
访问。如有意避开系统访问控制机制、对网络设备及资源进行非正
常使用、擅自扩大权限、越权访问信息等。它主要有以下几种表现
形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合
法用户以未授权方式进行操作等 | |
拒绝服务 |
拒绝服务(DoS,Denial of Service)是指攻击者向服务器发送大量
垃圾信息或干扰信息,从而使正常用户无法访问服务器 | |
数据泄露 |
不加密的数据库是不安全的,容易造成商业泄密 | |
假冒和欺诈 |
指非法用户通过欺骗通信系统(或用户)冒充合法用户,或者特权小的用户通过冒充成为特权大的用户。黑客大多是采用假冒攻击 | |
线路窃听 |
用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信
息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在
工作过程中产生的电磁泄露截取有用信息等 | |
计算机病毒 |
一种在计算机系统运行过程中能够实现传染和侵害功能的程序 | |
特洛伊木马 |
软件中含有的觉察不出的有害的程序段,当它被执行时,会破坏用
户的安全。这种应用程序被称为特洛伊木马(Trojan Horse) | |
后门和陷阱 |
在某个系统或某个部件中设置的“机关”,使得在特定的数据输入时,允许违反安全策略 | |
电磁辐射 |
计算机系统及其控制的信息和数据传输通道,在工作过程中都会产
生电磁波辐射,在一定地理范围内用无线电接收机很容易检测并接
收到,这就有可能造成信息通过电磁辐射而泄漏。另外,空间电磁
波也可能对系统产生电磁干扰,影响系统正常运行 | |
盗窃 |
重要的安全物品,如令牌或身份卡被盗 |
 信息的保存位置
 信息的来源
 信息安全核心技术
通过信息安全技术来保障信息安全
通过信息安全管理来保障信息安全 - 管理因素
- 技术因素
- 认为因素
- 在信息安全问题上,要综合考虑人员与管理、技术与产品、流程与体系等因素
信息安全管理的内容
 ,
|
