最新消息: PyCharm vs VSCode,哪个更好?
您现在的位置是:群英 > 网络安全 > 安全技术 >
信息安全目标含义及实现
秩名发表于 2020-08-31 18:38 次浏览
           我们来说说信息安全目标含义及实现。就目前的互联网发展速度而言,信息安全是每个人都在担心的事情,信息泄露带来的损失是不可想象的,那么今天我们一起说说关于信息安全的问题。
          1.信息安全需要实现的目标是什么(AIC)
         2.怎么实现信息安全的目标(管理、技术、物理的控制措施)
         3.如何讨论信息安全这个问题(脆弱性、威胁、风险和控制)


1.背景知识
         数据 data:数据是对客观事物的表述-对客观事物的数量、属性、位置及其相互关系进行抽象表示,以适合在这个领域中用人工或自然的方式进行保存、传递和处理,比如鼻子,脸,眼睛,嘴巴,身高,体重,年龄,腿。
         信息 information:来源于数据并高于数据,具有时效性的有一定含义的,有逻辑的、经过加工处理的、对决策有价值的数据流,比如鼻子,脸,眼睛,嘴巴,身高,体重,年龄,腿,性别,是否能思考将这些数据联系在一起,基本上判定它是一个人类。
         知识 knowledge:信息虽给出了数据中一些有一定意义的东西,但它的价值往往会在时间效用失效后开始衰减,只有通过人们的参与对信息进行归纳,演绎,比较等手段进行挖掘,使其有价值的部分沉淀下来,并于已存在的人类知识体系相结合,这部分有价值的信息就转变成知识。因此,知识就是沉淀并与已有人类知识库进行结构化的有价值信息。
         智慧 wisdom:经常看到一个人满腹经纶,拥有很多知识,但不通世故,被称做书呆子。也会看到有些人只读过很少的书,却能力超群,能够解决棘手的问题。我们会认为后者具有更多的智慧。因此我们认为智慧是人类基于已有的知识,针对物质世界运动过程中产生的问题根据获得的信息进行分析,对比,演绎找出解决方案的能力。这种能力运用的结果是将信息的有价值部分挖掘出来并使之成为已有知识架构的一部分。
         情报 information:是指被传递的知识或事实,是知识的再激活,是运用一定的媒体(载体),越过空间和时间传递给特定用户,解决科研,生产中的具体问题所需要的特定知识和信息。具有特定目标任务的信息
         消息 message:报道事情的概貌而不讲述详细的经过和细节,以简明的文字迅速及时地报道最新事实的短篇新闻宣传文书,也是最常见、最经常采用的新闻体裁。
         信号 signal:信号是表示消息的物理量,如电信号可以通过幅度、频率、相位的变化来表示不同的消息。这种电信号有模拟信号和数字信号两类。信号是运载消息的工具,是消息的载体。从广义上讲,它包含光信号、声信号和电信号等。按照实际用途区分,信号包括电视信号、广播信号、雷达信号,通信信号等;按照所具有的时间特性区分,则有确定性信号和随机性信号等。信号是运载消息的工具,是消息的载体。从广义上讲,它包含光信号、声信号和电信号等。例如,古代人利用点燃烽火台而产生的滚滚狼烟,向远方军队传递敌人入侵的消息,这属于光信号;当我们说话时,声波传递到他人的耳朵,使他人了解我们的意图,这属于声信号;遨游太空的各种无线电波、四通八达的电话网中的电流等,都可以用来向远方表达各种消息,这属电信号。人们通过对光、声、电信号进行接收,才知道对方要表达的消息。

2.信息、信息资产、信息安全、信息的生命周期、信息安全管理
         信息( Information )的定义是:ISO900的说法是有意义的内容,本文对信息的定义为:具有时效性,有一定含义的,有逻辑的、经过加工处理的、对决策有价值的数据流。信息本身是无形的,借助信息媒体以多种形式存在或传播:
1.存储在计算机、磁带、纸张等介质中,记忆在人的大脑里
2.借助网络、打印机、传真机、手机等方式进行传播
         信息资产 Information Asset:对现代企业具有价值的信息
         信息安全 Information Security:具有价值的信息资产面临读作威胁,需要妥善保护
         信息生命周期:获取(Acqusition)->使用(Use)<->存档(Archival)->处置(Disposal)
         信息生命周期(Information Life Cycle)内处理方式:创建(create)->使用(use)->存储(storage)->传递(delivery)->更改(change)->销毁(destroy)
         信息安全的实质:采取安全控制保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏,更改泄露,保证信息系统能够连续、可靠、正常、高效的运行,使安全事件对业务造成影响减到最小,确保组织业务运行的连续性;总结一句话,业务排在安全之前,安全的核心价值和目标也在于保护业务连续性。
         信息安全成败取决于技术和管理
         信息安全技术(Information Security Technology):安全工程,安全评估、安全标准、安全最佳实践~~~
         信息安全管理(Information Security Management):作为组织管理体系的一部分,主要活动不限于:识别信息资产及相关风险、采取恰当的策略和控制措施以消减风险,监督控制措施的有效性,周期性的审计系统,提升人员安全意识等。

3.信息安全的核心目标-AIC
(1)AIC(Availability、Integrity、Confidentiality)
         可用性 Availability:ensure reliablity and timely access to data and resource to authorized individuals.确保授权按用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。
         完整性 Integrity:Integrity is upheld when the assurance of the accuray and reliability of information and systems is provided and any unauthorized motification is prevented.确保信息在在使用、存储、传输的过程中不会被非授权篡改,防止授权用户或实体不恰当地修改信息,保持信息内部和外部的一致性。
         机密性 Confidentiality:Confidentiality ensure that the necessary level of secrecy is enfored at each junction of data processing and prevent unauthorized disclosure .确保信息在使用、存储、传输的过程中不会泄漏给非授权用户或实体。
(2)AIC Implement Technology
可用性 Availability:
独立磁盘冗余阵列 Redundant array of independent disks (RAID)
集群 Clusteting
负载均衡 Load balancing
数据冗余和电源备用线 Redundant data and power line
软件和数据备份 Software and data backup
硬盘镜像 Disk shadowing
协同定位和异地备份设施 Co-location and offsite facilities
回滚功能 Rollback functions
故障切换配置 Failover configuration
完整性 Integrity:
散列 Hashing(data integrity)
配置管理 Configuation management(system integrity)
变更控制 Change controls(process integrity)
访问控制 Access controls(physical and technical)
软件签名 Software digital signing
传输循环冗余校验 Transmission cyclic redundancy check (CRC)functions(Link Layer Integrity)
机密性 Confidentiality:
静止数据加密 Encryption for data at rest(whole disk,database encryption)
传输中的数据加密 Encryption for data in transit(IPSec、TLS、PPTP、SSH)
访问控制 Access controls
(2)安全控制 Security Control
安全控制基础 Security Control Basic
密码学 Crypto
风险管理 Risk Managment


安全控制类型 Security ControlType
1.按方式方法分类 Ways and Means:
管理性控制  (administrative)
技术性控制(逻辑性控制)(technical )
物理性控制(physical )
深度防御 (Defense in depth Model )= administrative + technical + physical
零信任
自适应

2.按安全控制功能分类(Security Control Funcitionalities):
预防性 Preventive:Intended to avoid an incident from occuring 避免意外事件的发生
检测性 Detective:Helps identify an incident‘s activities and potentially an intruder帮助识别意外活动和潜在入侵者
纠正性 Corrective:Fixes component or systems after an incident has occured意外事件发生后修补组件或系统
威慑性 Deterrent:Intended to discourage a potential attacker 威慑潜在的攻击者
恢复性 Recovery:Intended to bring the environment back to regular operations 使环境恢复到正常的操作状态
补偿性 Compensating:Controls that provide an alternative  measure of control 能提供可替代的控制方法
Attention:ways and means + control function type ? 方式方法类型+控制功能类型的分类的组合,例子,警卫属于物理性控制,也属于预防性控制吗?答案是


(3)其他相关安全概念(Security Definitions)
私密性 Privacy:个人和组织控制私用信息采集、存储和分发的权利
身份识别 Identificaiton:用户向系统声称其真实身份的方式
身份认证 Authentication:测试并认证用户的身份
授权 Authorization:为用户分配并校验资源访问权限的过程
可追溯性 Accountability:确认系统中个人行为和活动的能力
审计 Aduit:对系统记录和活动进行独立复查和审核,确保符合性
抗抵赖性 Non-repudiation:确保信息发送者即创建者的能力
4.风险管理(Risk Managment)
风险管理相关概念
脆弱性 Volnerability(inside): A volnerability is a weekness that a threat source to compromise its security.系统中存在威胁破坏其安全的缺陷
威胁 Threat(outside):A threat is any protential danger that is associated with the exploitation of a volnerability. 利用脆弱性而带来的任何潜在的危险
风险 Risk:A risk is likehood of a threat source exploiting a volnerability and corresponding bussness impact.信息资产遭受损坏并给企业带来负面影响的潜在可能性
  暴露 Exposure:Exposure is an instance of  being expose to loss.造成损失的实例
  控制 Control = 对策(Countermeasure) = 防护措施 (Safeguard):It is put into place to mitigate (reduce)the protential risk.能够消除或降低琪潜在的风险
 风险管理 Risk Management:识别风险,评估风险,采取措施将风险减少到可接受水平



免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:mmqy2019@163.com进行举报,并提供相关证据,查实之后,将立刻删除涉嫌侵权内容。
相关信息推荐