信息系统的威胁可能来自组织或公司内部和外部的各种地方。为了保护系统和信息的安全,每个公司或组织都应分析将要面临的威胁的类型以及这些威胁如何影响信息系统的安全。
什么是信息系统?信息系统定义:可以定义为一组相互关联的组件,这些组件涉及信息传播的多个设备的集合,这些组件可以收集、操作、存储数据,分发信息以支持决策制定并提供反馈机制来监视性能,信息系统通常包括ICT组件,但并不仅仅与ICT有关,
信息系统类型:信息系统的类型很多,具体取决于它们要满足的需求,每种类型具有不同的功能和用途。信息系统可以分为四种类型:行政信息系统、决策支持系统、管理信息系统、交易处理系统。
信息系统的组成:信息系统全部包含计算机硬件、软件、数据、过程和人员的五部分:
硬件:物理设备,它由输入,输出设备,操作系统,处理器和媒体设备组成。这也包括计算机外围设备;
软件:用于控制和协调硬件组件的程序/应用程序;
数据:数据是程序用来产生有用信息的事实;
过程:过程是控制计算机系统运行的策略;
人员:每个系统都需要人员才能发挥作用;
什么是信息安全?信息安全并不仅仅是保护信息免受未经授权的访问。信息安全基本上是一种防止未经授权访问、使用、披露、破坏、修改、检查、记录或破坏信息的做法。信息可以是物理的也可以是电子的。信息安全计划围绕3个目标(通常称为CIA)构建:机密性、完整性、可用性。
机密性:意味着信息不会泄露给未经授权的个人、实体和过程;
完整性:意味着保持数据的准确性和完整性;
可用性:意味着在需要时信息必须可用;
除此之外,还有另一条原则管理信息安全程序。这是不可否认的。
不可抵赖性:一方不能拒绝接收消息或交易,另一方也不能拒绝发送消息或交易;
真实性:表示验证用户的身份,并确保到达目的地的每个输入均来自受信任的来源;
问责制:意味着应该有可能对该实体唯一地跟踪该实体的动作。
信息系统面临的主要安全威胁威胁是指可能造成伤害的任何事物(人为或自然行为)。威胁也定义为"潜在的违反安全性的情况,存在于可能破坏安全性并造成损害的情况、能力、行为或事件中。也就是说,威胁是可能利用漏洞的潜在危险。"
在信息系统安全领域,对信息系统面临的主要安全威胁的理解是不同的。从安全管理的角度,NIST对信息系统安全威胁的分析包括:
(1) 错误和遗漏
错误和遗漏是通常被低估的重大安全威胁。如果我们将安全威胁定义为可能导致信息系统(硬件,软件,数据软件,生活软件)的完整性遭到破坏,那么错误和疏漏就是安全威胁。
(2) 欺诈和盗窃
欺诈和盗窃是安全的一种威胁,重要硬件,软件或数据的丢失会严重影响组织的有效性。盗窃可分为三个基本类别:物理盗窃,数据盗窃和身份盗窃,例如可以利用系统特点,用于从财务账户中窃取少量资金,并假定小额金融交易将不会被检查为可疑(并且大量财务金额较小,可能会导致大量盗窃资金)。
(3) 破坏
故意损坏硬件,软件和数据的原因被认为是对信息系统安全的严重威胁。人为破坏威胁在于,组织被暂时拒绝访问某人的资源。即使对系统的某些部分造成相对较小的破坏,对整个组织产生重大影响。
(4) 物理和基础设施损害
可以通过许多不同的方式实现,例如电力供应中断,通讯中断,洪水,火灾,地震,罢工等这是信息系统安全威胁的一种,不能完全由信息系统的资源所有者控制,并且可能具有重大的威胁。
(5) 未经授权的访问
与计算机信息系统有关的最常见的安全风险之一是未经授权访问机密数据的危险。主要关注的问题是不需要的入侵者或黑客,内部用户的未授权访问也是一种重要的威胁。
(6) 恶意软件
这种种安全威胁,其中包括不同类型的计算机病毒、特洛伊木马、蠕虫、逻辑炸弹和其他形式的"有害"软件。
(7) 对个人隐私的威胁
随着互联网的发展,人们对个人隐私愈发注重,存储在不同数据库中的大量个人数据成为信息系统面临的主要问题。
根据上述对安全威胁的分类,建立如下图所示的模型用于不同类型的安全威胁分析。
从技术层面,信息系统面临的主要安全威胁来自于物理环境、通信链路、网络系统、操作系统、应用系统以及管理等多个方面。
物理环境所面临的安全威胁:是指导致数据丢失或损坏或对硬件和/或基础结构造成物理损坏的任何事物,分别三种情况:
· 内部:威胁包括火灾,电源不稳定,硬件存放房间的湿度等。
· 外部:这些威胁包括闪电,洪水,地震等。
· 认为:这些威胁包括盗窃,基础设施和/或硬件的破坏,破坏,意外或故意的错误。
通信链路所面临的安全威胁:是指在信息系统中,数据(信息)的传输、处理过程中,对系统通信链路的攻击、窃听等信息机密性和完整性的威胁。
网络系统所面临的安全威胁:在开放网络环境下,如何应对网络安全威胁,是现今最热门和最棘手的问题。包括:病毒和蠕虫、僵尸网络、偷渡式下载攻击、网络钓鱼攻击、分布式拒绝服务(DDoS)攻击、勒索软件、漏洞利用工具甚至是国家级的高级持续威胁(APT)。
操作系统所面临的安全威胁:是指针对基础软件底层系统的威胁,大多数攻击源于操作系统的固有弱点或漏洞。
应用系统所面临的安全威胁:是指用户业务系统自身的漏洞和恶意行为。
管理所面临的安全威胁:是指使用信息系统的组织、单位在管理层面的安全管理和执行制度,正所谓"三分靠管理、七分靠技术"。
信息系统安全标准本质上,标准是一组通用的规则,定义和商定的"规章",所有各方都可以参考该标准以供共同参考。标准将是为了声称符合该标准而必须满足的一组最低要求,标准提供了一套通用的参考点,使我们能够评估组织是否已制定了符合议定的最低要求的流程,程序和其他控制措施。针对信息系统面临的安全威胁,也有相关的安全标准。
安全标准类似于任何其他行业中的标准。标准是"已发布的规范,建立了一种通用语言,并且包含技术规范或其他精确的标准,并且被设计为作为规则,准则或定义被一致地使用"。例如ISO 27000系列是供应商和技术中立的国际公认标准,它提供了一种基于风险的方法来保护其信息。它为组织提供了独立的第三方验证,以证明其信息安全管理系统符合国际认可的标准。包括以下几个方面,涵盖了信息系统面临的安全威胁的所有方面:
· 信息安全政策
· 信息安全组织
· 人力资源安全
· 资产管理
· 访问控制
· 密码学
· 物理和环境安全
· 操作安全性
· 通信安全
· 系统获取、开发和维护的安全性要求
· 供应商关系-供应商关系和供应商服务交付管理中的信息安全
· 信息安全事件管理-信息安全事件的管理和改进
· 业务连续性管理的信息安全方面-信息安全连续性和冗余
· 合规性-符合法律和合同要求以及信息安全审查
国际上还有IEC 62443系列、NIST框架等;国内有GB/T 36618-2018 《信息安全技术 金融信息服务安全规范》、GB/T 36627-2018 《信息安全技术 网络安全等级保护测试评估技术指南》、GB/T 36630《信息安全技术 信息技术产品安全可控评价指标》等标准。
写在最后信息安全的核心是信息保障,这意味着维护信息安全的行为,以确保在出现关键问题时不会以任何方式破坏信息。这些问题不仅限于自然灾害、计算机/服务器故障等。因此,近年来,信息安全领域已经显着增长和发展。它提供了许多专业领域,包括保护网络和相关基础设施,保护应用程序和数据库,安全测试,信息系统审核,业务连续性计划等。
信息安全威胁已经成为当今地球上个人和企业的最大威胁,并可能导致可预见的冲突和不确定性。因此,各种规模的组织都必须为晦涩难懂的事物做好准备,以便它们具有承受不可预见和高效的安全问题的适应性。威胁是可能故意或意外利用导致信息系统安全事件的漏洞的行为者或情况。不能否认,我们每个人,个人,组织或公司都受到威胁,并且可能容易受到威胁。
总而言之,意识和控制是最好的防御。通过意识和控制,我们可以保护个人信息和合作信息,同时保持信息技术的优势。
,