信息安全– An Overview of General Concepts

信息安全–保护信息和信息系统免受未经授权的访问,使用,披露,中断,修改或破坏,以便提供机密性,完整性和可用性。

– Definition of 信息安全from the glossary of the 美国计算机安全资源中心

为什么我们需要保护信息

信息和信息系统帮助我们在合适的时间存储和处理信息并将正确类型的信息分发到正确类型的用户。这种保护有助于保护信息免受未经授权的访问,分发和修改。因此,很明显,信息是资产,需要保护免于内部和外部资源。

CIA三角形

CIA三合会是一个常用的信息安全要求模型。  CIA代表 c 上 fidentiality, integrity,和 a便携性。这些原则有助于以安全的方式保护信息,从而通过保护未经授权的用户(机密性),不正确的修改(Integrity)和无需访问时,保护组织的关键资产(可用性)(可用性)。

在这里,我们将更详细地查看这些概念。

保密

机密性有助于确定是否通过采用加密等机制来保密或私有的信息,例如,如果以未经授权的方式访问,则会使数据无用。强制执行必要的保密程度,防止未经授权的披露。

正直

完整性涉及提供信息和系统的准确性和可靠性。通过提供必要的安全措施来及时检测未经授权的变化,应以未经授权的方式防止更改的信息。

可用性

可用性可确保在需要时可用信息。向授权人提供可靠和及时的数据和资源访问数据和资源。这可以通过实现从数据中心的电池备份到云中的内容分发网络的工具来实现。

平衡的安全

无法获得完美的信息安全性是不可能的。信息安全是一个过程,而不是目标。可以通过任何方式随时随地为任何人提供系统。但是,这种不受限制的访问权限可能对信息的安全性具有危险。

另一方面,完全安全的信息系统不允许任何人访问信息。为了实现余额,操作满足用户和安全专业人员的信息系统 - 安全级别必须允许合理访问,但防止威胁。

安全概念

漏洞,威胁和风险。 安全性通常在漏洞,威胁和风险方面讨论。

漏洞

漏洞是一种安全弱点,例如未划分的应用程序或操作系统,一个不受限制的无线接入点,防火墙上的一个打开端口,允许任何人在服务器和工作站上输入服务器房间的LAX物理安全性,或者在服务器和工作站上未加工的密码管理。

威胁

威胁   发生在某人识别特定漏洞并对公司或个人使用它时,从而利用漏洞。一个 威胁代理人 可以是通过防火墙上的端口访问网络的入侵者,以违反安全策略的方式访问数据,或者员工绕过控件,以便将文件复制到可能暴露机密信息的介质。

风险

风险是威胁代理利用漏洞和相应的业务影响的可能性。

如果防火墙有多个端口打开,则入侵者将使用更高的风险,以便使用一个以未经授权的方法访问网络。

如果用户未经教育的流程和程序,则存在员工将产生可能销毁数据的无意识别的风险。

如果在网络上没有实施入侵检测系统(IDS),则攻击将会冒险较高,直到太晚了。

接触

曝光是被暴露的数据的实例。如果用户的密码暴露,则可以以未经授权的方式访问和使用它们。

对策

对策以减轻潜在风险的影响。对策可以是软件配置,硬件设备或消除漏洞或减少威胁代理能够利用漏洞的机会的过程。对策的例子是强密码管理,防火墙,保安,访问控制机制,加密和安全意识培训。

安全治理

信息安全治理是与支持,定义和指导组织安全工作相关的实践的集合。安全治理与企业和IT治理密切相关,经常与企业和IT治理交织在一起。

 

本文是由 凯瑟琳S. 

参考

//csrc.nist.gov/glossary/term/information_security

Devopedia. 2020. “信息安全Principles.” Version 4, July 21. Accessed 2021-03-28. //devopedia.org/information-security-principles

Maymi,F.,& Harris, S. (2018). CISSP All-In-One考试指南,第八版。麦格劳山教育。

Vi Minh Toi. (2016, September 10). Security Risk Management, Tough Path to Success. Retrieved from //www.slideshare.net/sbc-vn/vi-minh-toi-security-risk-management-tough-path-to-success