信息系統(tǒng)的威脅可能來(lái)自組織或公司內(nèi)部和外部的各種地方。為了保護(hù)系統(tǒng)和信息的安全,每個(gè)公司或組織都應(yīng)分析將要面臨的威脅的類(lèi)型以及這些威脅如何影響信息系統(tǒng)的安全。
信息系統(tǒng)定義:可以定義為一組相互關(guān)聯(lián)的組件,這些組件涉及信息傳播的多個(gè)設(shè)備的集合,這些組件可以收集、操作、存儲(chǔ)數(shù)據(jù),分發(fā)信息以支持決策制定并提供反饋機(jī)制來(lái)監(jiān)視性能,信息系統(tǒng)通常包括ICT組件,但并不僅僅與ICT有關(guān),
信息系統(tǒng)類(lèi)型:信息系統(tǒng)的類(lèi)型很多,具體取決于它們要滿足的需求,每種類(lèi)型具有不同的功能和用途。信息系統(tǒng)可以分為四種類(lèi)型:行政信息系統(tǒng)、決策支持系統(tǒng)、管理信息系統(tǒng)、交易處理系統(tǒng)。
信息系統(tǒng)的組成:信息系統(tǒng)全部包含計(jì)算機(jī)硬件、軟件、數(shù)據(jù)、過(guò)程和人員的五部分:
硬件:物理設(shè)備,它由輸入,輸出設(shè)備,操作系統(tǒng),處理器和媒體設(shè)備組成。這也包括計(jì)算機(jī)外圍設(shè)備;
軟件:用于控制和協(xié)調(diào)硬件組件的程序/應(yīng)用程序;
數(shù)據(jù):數(shù)據(jù)是程序用來(lái)產(chǎn)生有用信息的事實(shí);
過(guò)程:過(guò)程是控制計(jì)算機(jī)系統(tǒng)運(yùn)行的策略;
人員:每個(gè)系統(tǒng)都需要人員才能發(fā)揮作用;
信息安全并不僅僅是保護(hù)信息免受未經(jīng)授權(quán)的訪問(wèn)。信息安全基本上是一種防止未經(jīng)授權(quán)訪問(wèn)、使用、披露、破壞、修改、檢查、記錄或破壞信息的做法。信息可以是物理的也可以是電子的。信息安全計(jì)劃圍繞3個(gè)目標(biāo)(通常稱(chēng)為CIA)構(gòu)建:機(jī)密性、完整性、可用性。
機(jī)密性:意味著信息不會(huì)泄露給未經(jīng)授權(quán)的個(gè)人、實(shí)體和過(guò)程;
完整性:意味著保持?jǐn)?shù)據(jù)的準(zhǔn)確性和完整性;
可用性:意味著在需要時(shí)信息必須可用;
除此之外,還有另一條原則管理信息安全程序。這是不可否認(rèn)的。
不可抵賴性:一方不能拒絕接收消息或交易,另一方也不能拒絕發(fā)送消息或交易;
問(wèn)責(zé)制:意味著應(yīng)該有可能對(duì)該實(shí)體唯一地跟蹤該實(shí)體的動(dòng)作。
威脅是指可能造成傷害的任何事物(人為或自然行為)。威脅也定義為&34;
在信息系統(tǒng)安全領(lǐng)域,對(duì)信息系統(tǒng)面臨的主要安全威脅的理解是不同的。從安全管理的角度,NIST對(duì)信息系統(tǒng)安全威脅的分析包括:
(1) 錯(cuò)誤和遺漏
錯(cuò)誤和遺漏是通常被低估的重大安全威脅。如果我們將安全威脅定義為可能導(dǎo)致信息系統(tǒng)(硬件,軟件,數(shù)據(jù)軟件,生活軟件)的完整性遭到破壞,那么錯(cuò)誤和疏漏就是安全威脅。
(2) 欺詐和盜竊
欺詐和盜竊是安全的一種威脅,重要硬件,軟件或數(shù)據(jù)的丟失會(huì)嚴(yán)重影響組織的有效性。盜竊可分為三個(gè)基本類(lèi)別:物理盜竊,數(shù)據(jù)盜竊和身份盜竊,例如可以利用系統(tǒng)特點(diǎn),用于從財(cái)務(wù)賬戶中竊取少量資金,并假定小額金融交易將不會(huì)被檢查為可疑(并且大量財(cái)務(wù)金額較小,可能會(huì)導(dǎo)致大量盜竊資金)。
(3) 破壞
故意損壞硬件,軟件和數(shù)據(jù)的原因被認(rèn)為是對(duì)信息系統(tǒng)安全的嚴(yán)重威脅。人為破壞威脅在于,組織被暫時(shí)拒絕訪問(wèn)某人的資源。即使對(duì)系統(tǒng)的某些部分造成相對(duì)較小的破壞,對(duì)整個(gè)組織產(chǎn)生重大影響。
(4) 物理和基礎(chǔ)設(shè)施損害
(5) 未經(jīng)授權(quán)的訪問(wèn)
(6) 惡意軟件
這種種安全威脅,其中包括不同類(lèi)型的計(jì)算機(jī)病毒、特洛伊木馬、蠕蟲(chóng)、邏輯炸彈和其他形式的&34;軟件。
(7) 對(duì)個(gè)人隱私的威脅
隨著互聯(lián)網(wǎng)的發(fā)展,人們對(duì)個(gè)人隱私愈發(fā)注重,存儲(chǔ)在不同數(shù)據(jù)庫(kù)中的大量個(gè)人數(shù)據(jù)成為信息系統(tǒng)面臨的主要問(wèn)題。
根據(jù)上述對(duì)安全威脅的分類(lèi),建立如下圖所示的模型用于不同類(lèi)型的安全威脅分析。
從技術(shù)層面,信息系統(tǒng)面臨的主要安全威脅來(lái)自于物理環(huán)境、通信鏈路、網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)、應(yīng)用系統(tǒng)以及管理等多個(gè)方面。
物理環(huán)境所面臨的安全威脅:是指導(dǎo)致數(shù)據(jù)丟失或損壞或?qū)τ布?或基礎(chǔ)結(jié)構(gòu)造成物理?yè)p壞的任何事物,分別三種情況:
· 內(nèi)部:威脅包括火災(zāi),電源不穩(wěn)定,硬件存放房間的濕度等。
· 外部:這些威脅包括閃電,洪水,地震等。
· 認(rèn)為:這些威脅包括盜竊,基礎(chǔ)設(shè)施和/或硬件的破壞,破壞,意外或故意的錯(cuò)誤。
通信鏈路所面臨的安全威脅:是指在信息系統(tǒng)中,數(shù)據(jù)(信息)的傳輸、處理過(guò)程中,對(duì)系統(tǒng)通信鏈路的攻擊、竊聽(tīng)等信息機(jī)密性和完整性的威脅。
網(wǎng)絡(luò)系統(tǒng)所面臨的安全威脅:在開(kāi)放網(wǎng)絡(luò)環(huán)境下,如何應(yīng)對(duì)網(wǎng)絡(luò)安全威脅,是現(xiàn)今最熱門(mén)和最棘手的問(wèn)題。包括:病毒和蠕蟲(chóng)、僵尸網(wǎng)絡(luò)、偷渡式下載攻擊、網(wǎng)絡(luò)釣魚(yú)攻擊、分布式拒絕服務(wù)(DDoS)攻擊、勒索軟件、漏洞利用工具甚至是國(guó)家級(jí)的高級(jí)持續(xù)威脅(APT)。
操作系統(tǒng)所面臨的安全威脅:是指針對(duì)基礎(chǔ)軟件底層系統(tǒng)的威脅,大多數(shù)攻擊源于操作系統(tǒng)的固有弱點(diǎn)或漏洞。
應(yīng)用系統(tǒng)所面臨的安全威脅:是指用戶業(yè)務(wù)系統(tǒng)自身的漏洞和惡意行為。
管理所面臨的安全威脅:是指使用信息系統(tǒng)的組織、單位在管理層面的安全管理和執(zhí)行制度,正所謂&34;。
本質(zhì)上,標(biāo)準(zhǔn)是一組通用的規(guī)則,定義和商定的&34;,所有各方都可以參考該標(biāo)準(zhǔn)以供共同參考。標(biāo)準(zhǔn)將是為了聲稱(chēng)符合該標(biāo)準(zhǔn)而必須滿足的一組最低要求,標(biāo)準(zhǔn)提供了一套通用的參考點(diǎn),使我們能夠評(píng)估組織是否已制定了符合議定的最低要求的流程,程序和其他控制措施。針對(duì)信息系統(tǒng)面臨的安全威脅,也有相關(guān)的安全標(biāo)準(zhǔn)。
安全標(biāo)準(zhǔn)類(lèi)似于任何其他行業(yè)中的標(biāo)準(zhǔn)。標(biāo)準(zhǔn)是&34;。例如ISO 27000系列是供應(yīng)商和技術(shù)中立的國(guó)際公認(rèn)標(biāo)準(zhǔn),它提供了一種基于風(fēng)險(xiǎn)的方法來(lái)保護(hù)其信息。它為組織提供了獨(dú)立的第三方驗(yàn)證,以證明其信息安全管理系統(tǒng)符合國(guó)際認(rèn)可的標(biāo)準(zhǔn)。包括以下幾個(gè)方面,涵蓋了信息系統(tǒng)面臨的安全威脅的所有方面:
· 信息安全政策
· 信息安全組織
· 人力資源安全
· 資產(chǎn)管理
· 訪問(wèn)控制
· 密碼學(xué)
· 物理和環(huán)境安全
· 操作安全性
· 通信安全
· 系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)的安全性要求
· 供應(yīng)商關(guān)系-供應(yīng)商關(guān)系和供應(yīng)商服務(wù)交付管理中的信息安全
· 信息安全事件管理-信息安全事件的管理和改進(jìn)
· 業(yè)務(wù)連續(xù)性管理的信息安全方面-信息安全連續(xù)性和冗余
· 合規(guī)性-符合法律和合同要求以及信息安全審查
國(guó)際上還有IEC 62443系列、NIST框架等;國(guó)內(nèi)有GB/T 36618-2018 《信息安全技術(shù) 金融信息服務(wù)安全規(guī)范》、GB/T 36627-2018 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)試評(píng)估技術(shù)指南》、GB/T 36630《信息安全技術(shù) 信息技術(shù)產(chǎn)品安全可控評(píng)價(jià)指標(biāo)》等標(biāo)準(zhǔn)。
信息安全的核心是信息保障,這意味著維護(hù)信息安全的行為,以確保在出現(xiàn)關(guān)鍵問(wèn)題時(shí)不會(huì)以任何方式破壞信息。這些問(wèn)題不僅限于自然災(zāi)害、計(jì)算機(jī)/服務(wù)器故障等。因此,近年來(lái),信息安全領(lǐng)域已經(jīng)顯著增長(zhǎng)和發(fā)展。它提供了許多專(zhuān)業(yè)領(lǐng)域,包括保護(hù)網(wǎng)絡(luò)和相關(guān)基礎(chǔ)設(shè)施,保護(hù)應(yīng)用程序和數(shù)據(jù)庫(kù),安全測(cè)試,信息系統(tǒng)審核,業(yè)務(wù)連續(xù)性計(jì)劃等。
信息安全威脅已經(jīng)成為當(dāng)今地球上個(gè)人和企業(yè)的最大威脅,并可能導(dǎo)致可預(yù)見(jiàn)的沖突和不確定性。因此,各種規(guī)模的組織都必須為晦澀難懂的事物做好準(zhǔn)備,以便它們具有承受不可預(yù)見(jiàn)和高效的安全問(wèn)題的適應(yīng)性。威脅是可能故意或意外利用導(dǎo)致信息系統(tǒng)安全事件的漏洞的行為者或情況。不能否認(rèn),我們每個(gè)人,個(gè)人,組織或公司都受到威脅,并且可能容易受到威脅。
總而言之,意識(shí)和控制是最好的防御。通過(guò)意識(shí)和控制,我們可以保護(hù)個(gè)人信息和合作信息,同時(shí)保持信息技術(shù)的優(yōu)勢(shì)。