資訊系統的威脅可能來自組織或公司內部和外部的各種地方。為了保護系統和資訊的安全,每個公司或組織都應分析將要面臨的威脅的型別以及這些威脅如何影響資訊系統的安全。
資訊系統定義:可以定義為一組相互關聯的元件,這些元件涉及資訊傳播的多個裝置的集合,這些元件可以收集、操作、儲存資料,分發資訊以支援決策制定並提供反饋機制來監視效能,資訊系統通常包括ICT元件,但並不僅僅與ICT有關,
資訊系統型別:資訊系統的型別很多,具體取決於它們要滿足的需求,每種型別具有不同的功能和用途。資訊系統可以分為四種類型:行政資訊系統、決策支援系統、管理資訊系統、交易處理系統。
資訊系統的組成:資訊系統全部包含計算機硬體、軟體、資料、過程和人員的五部分:
威脅是指可能造成傷害的任何事物(人為或自然行為)。威脅也定義為“潛在的違反安全性的情況,存在於可能破壞安全性並造成損害的情況、能力、行為或事件中。也就是說,威脅是可能利用漏洞的潛在危險。”
在資訊系統安全領域,對資訊系統面臨的主要安全威脅的理解是不同的。從安全管理的角度,NIST對資訊系統安全威脅的分析包括:
(1)錯誤和遺漏
錯誤和遺漏是通常被低估的重大安全威脅。如果我們將安全威脅定義為可能導致資訊系統(硬體,軟體,資料軟體,生活軟體)的完整性遭到破壞,那麼錯誤和疏漏就是安全威脅。
(2)欺詐和盜竊
欺詐和盜竊是安全的一種威脅,重要硬體,軟體或資料的丟失會嚴重影響組織的有效性。盜竊可分為三個基本類別:物理盜竊,資料盜竊和身份盜竊,例如可以利用系統特點,用於從財務賬戶中竊取少量資金,並假定小額金融交易將不會被檢查為可疑(並且大量財務金額較小,可能會導致大量盜竊資金)。
(3)破壞
故意損壞硬體,軟體和資料的原因被認為是對資訊系統安全的嚴重威脅。人為破壞威脅在於,組織被暫時拒絕訪問某人的資源。即使對系統的某些部分造成相對較小的破壞,對整個組織產生重大影響。
(4)物理和基礎設施損害
可以透過許多不同的方式實現,例如電力供應中斷,通訊中斷,洪水,火災,地震,罷工等這是資訊系統安全威脅的一種,不能完全由資訊系統的資源所有者控制,並且可能具有重大的威脅。
(6)惡意軟體
這種種安全威脅,其中包括不同型別的計算機病毒、特洛伊木馬、蠕蟲、邏輯炸彈和其他形式的“有害”軟體。
(7)對個人隱私的威脅
隨著網際網路的發展,人們對個人隱私愈發注重,儲存在不同資料庫中的大量個人資料成為資訊系統面臨的主要問題。
根據上述對安全威脅的分類,建立如下圖所示的模型用於不同型別的安全威脅分析。
從技術層面,資訊系統面臨的主要安全威脅來自於物理環境、通訊鏈路、網路系統、作業系統、應用系統以及管理等多個方面。
物理環境所面臨的安全威脅:是指導致資料丟失或損壞或對硬體和/或基礎結構造成物理損壞的任何事物,分別三種情況:
通訊鏈路所面臨的安全威脅:是指在資訊系統中,資料(資訊)的傳輸、處理過程中,對系統通訊鏈路的攻擊、竊聽等資訊機密性和完整性的威脅。
網路系統所面臨的安全威脅:在開放網路環境下,如何應對網路安全威脅,是現今最熱門和最棘手的問題。包括:病毒和蠕蟲、殭屍網路、偷渡式下載攻擊、網路釣魚攻擊、分散式拒絕服務(DDoS)攻擊、勒索軟體、漏洞利用工具甚至是國家級的高階持續威脅(APT)。
作業系統所面臨的安全威脅:是指標對基礎軟體底層系統的威脅,大多數攻擊源於作業系統的固有弱點或漏洞。
應用系統所面臨的安全威脅:是指使用者業務系統自身的漏洞和惡意行為。
管理所面臨的安全威脅:是指使用資訊系統的組織、單位在管理層面的安全管理和執行制度,正所謂“三分靠管理、七分靠技術”。
本質上,標準是一組通用的規則,定義和商定的“規章”,所有各方都可以參考該標準以供共同參考。標準將是為了聲稱符合該標準而必須滿足的一組最低要求,標準提供了一套通用的參考點,使我們能夠評估組織是否已制定了符合議定的最低要求的流程,程式和其他控制措施。針對資訊系統面臨的安全威脅,也有相關的安全標準。
安全標準類似於任何其他行業中的標準。標準是“已釋出的規範,建立了一種通用語言,並且包含技術規範或其他精確的標準,並且被設計為作為規則,準則或定義被一致地使用”。例如ISO 27000系列是供應商和技術中立的國際公認標準,它提供了一種基於風險的方法來保護其資訊。它為組織提供了獨立的第三方驗證,以證明其資訊保安管理系統符合國際認可的標準。包括以下幾個方面,涵蓋了資訊系統面臨的安全威脅的所有方面:
國際上還有IEC 62443系列、NIST框架等;國內有GB/T 36618-2018 《資訊保安技術 金融資訊服務安全規範》、GB/T 36627-2018 《資訊保安技術 網路安全等級保護測試評估技術指南》、GB/T 36630《資訊保安技術 資訊科技產品安全可控評價指標》等標準。
資訊保安的核心是資訊保障,這意味著維護資訊保安的行為,以確保在出現關鍵問題時不會以任何方式破壞資訊。這些問題不僅限於自然災害、計算機/伺服器故障等。因此,近年來,資訊保安領域已經顯著增長和發展。它提供了許多專業領域,包括保護網路和相關基礎設施,保護應用程式和資料庫,安全測試,資訊系統稽核,業務連續性計劃等。
資訊保安威脅已經成為當今地球上個人和企業的最大威脅,並可能導致可預見的衝突和不確定性。因此,各種規模的組織都必須為晦澀難懂的事物做好準備,以便它們具有承受不可預見和高效的安全問題的適應性。威脅是可能故意或意外利用導致資訊系統安全事件的漏洞的行為者或情況。不能否認,我們每個人,個人,組織或公司都受到威脅,並且可能容易受到威脅。
總而言之,意識和控制是最好的防禦。透過意識和控制,我們可以保護個人資訊和合作資訊,同時保持資訊科技的優勢。
資訊系統的威脅可能來自組織或公司內部和外部的各種地方。為了保護系統和資訊的安全,每個公司或組織都應分析將要面臨的威脅的型別以及這些威脅如何影響資訊系統的安全。
什麼是資訊系統?資訊系統定義:可以定義為一組相互關聯的元件,這些元件涉及資訊傳播的多個裝置的集合,這些元件可以收集、操作、儲存資料,分發資訊以支援決策制定並提供反饋機制來監視效能,資訊系統通常包括ICT元件,但並不僅僅與ICT有關,
資訊系統型別:資訊系統的型別很多,具體取決於它們要滿足的需求,每種型別具有不同的功能和用途。資訊系統可以分為四種類型:行政資訊系統、決策支援系統、管理資訊系統、交易處理系統。
資訊系統的組成:資訊系統全部包含計算機硬體、軟體、資料、過程和人員的五部分:
不可抵賴性:一方不能拒絕接收訊息或交易,另一方也不能拒絕傳送訊息或交易;真實性:表示驗證使用者的身份,並確保到達目的地的每個輸入均來自受信任的來源;問責制:意味著應該有可能對該實體唯一地跟蹤該實體的動作。資訊系統面臨的主要安全威脅威脅是指可能造成傷害的任何事物(人為或自然行為)。威脅也定義為“潛在的違反安全性的情況,存在於可能破壞安全性並造成損害的情況、能力、行為或事件中。也就是說,威脅是可能利用漏洞的潛在危險。”
在資訊系統安全領域,對資訊系統面臨的主要安全威脅的理解是不同的。從安全管理的角度,NIST對資訊系統安全威脅的分析包括:
(1)錯誤和遺漏
錯誤和遺漏是通常被低估的重大安全威脅。如果我們將安全威脅定義為可能導致資訊系統(硬體,軟體,資料軟體,生活軟體)的完整性遭到破壞,那麼錯誤和疏漏就是安全威脅。
(2)欺詐和盜竊
欺詐和盜竊是安全的一種威脅,重要硬體,軟體或資料的丟失會嚴重影響組織的有效性。盜竊可分為三個基本類別:物理盜竊,資料盜竊和身份盜竊,例如可以利用系統特點,用於從財務賬戶中竊取少量資金,並假定小額金融交易將不會被檢查為可疑(並且大量財務金額較小,可能會導致大量盜竊資金)。
(3)破壞
故意損壞硬體,軟體和資料的原因被認為是對資訊系統安全的嚴重威脅。人為破壞威脅在於,組織被暫時拒絕訪問某人的資源。即使對系統的某些部分造成相對較小的破壞,對整個組織產生重大影響。
(4)物理和基礎設施損害
可以透過許多不同的方式實現,例如電力供應中斷,通訊中斷,洪水,火災,地震,罷工等這是資訊系統安全威脅的一種,不能完全由資訊系統的資源所有者控制,並且可能具有重大的威脅。
(6)惡意軟體
這種種安全威脅,其中包括不同型別的計算機病毒、特洛伊木馬、蠕蟲、邏輯炸彈和其他形式的“有害”軟體。
(7)對個人隱私的威脅
隨著網際網路的發展,人們對個人隱私愈發注重,儲存在不同資料庫中的大量個人資料成為資訊系統面臨的主要問題。
根據上述對安全威脅的分類,建立如下圖所示的模型用於不同型別的安全威脅分析。
從技術層面,資訊系統面臨的主要安全威脅來自於物理環境、通訊鏈路、網路系統、作業系統、應用系統以及管理等多個方面。
物理環境所面臨的安全威脅:是指導致資料丟失或損壞或對硬體和/或基礎結構造成物理損壞的任何事物,分別三種情況:
l 內部:威脅包括火災,電源不穩定,硬體存放房間的溼度等。l 外部:這些威脅包括閃電,洪水,地震等。l 人為:這些威脅包括盜竊,基礎設施和/或硬體的破壞,破壞,意外或故意的錯誤。通訊鏈路所面臨的安全威脅:是指在資訊系統中,資料(資訊)的傳輸、處理過程中,對系統通訊鏈路的攻擊、竊聽等資訊機密性和完整性的威脅。
網路系統所面臨的安全威脅:在開放網路環境下,如何應對網路安全威脅,是現今最熱門和最棘手的問題。包括:病毒和蠕蟲、殭屍網路、偷渡式下載攻擊、網路釣魚攻擊、分散式拒絕服務(DDoS)攻擊、勒索軟體、漏洞利用工具甚至是國家級的高階持續威脅(APT)。
作業系統所面臨的安全威脅:是指標對基礎軟體底層系統的威脅,大多數攻擊源於作業系統的固有弱點或漏洞。
應用系統所面臨的安全威脅:是指使用者業務系統自身的漏洞和惡意行為。
管理所面臨的安全威脅:是指使用資訊系統的組織、單位在管理層面的安全管理和執行制度,正所謂“三分靠管理、七分靠技術”。
資訊系統安全標準本質上,標準是一組通用的規則,定義和商定的“規章”,所有各方都可以參考該標準以供共同參考。標準將是為了聲稱符合該標準而必須滿足的一組最低要求,標準提供了一套通用的參考點,使我們能夠評估組織是否已制定了符合議定的最低要求的流程,程式和其他控制措施。針對資訊系統面臨的安全威脅,也有相關的安全標準。
安全標準類似於任何其他行業中的標準。標準是“已釋出的規範,建立了一種通用語言,並且包含技術規範或其他精確的標準,並且被設計為作為規則,準則或定義被一致地使用”。例如ISO 27000系列是供應商和技術中立的國際公認標準,它提供了一種基於風險的方法來保護其資訊。它為組織提供了獨立的第三方驗證,以證明其資訊保安管理系統符合國際認可的標準。包括以下幾個方面,涵蓋了資訊系統面臨的安全威脅的所有方面:
l 資訊保安政策l 資訊保安組織l 人力資源安全l 資產管理l 訪問控制l 密碼學l 物理和環境安全l 操作安全性l 通訊安全l 系統獲取、開發和維護的安全性要求l 供應商關係-供應商關係和供應商服務交付管理中的資訊保安l 資訊保安事件管理-資訊保安事件的管理和改進l 業務連續性管理的資訊保安方面-資訊保安連續性和冗餘l 合規性-符合法律和合同要求以及資訊保安審查國際上還有IEC 62443系列、NIST框架等;國內有GB/T 36618-2018 《資訊保安技術 金融資訊服務安全規範》、GB/T 36627-2018 《資訊保安技術 網路安全等級保護測試評估技術指南》、GB/T 36630《資訊保安技術 資訊科技產品安全可控評價指標》等標準。
寫在最後資訊保安的核心是資訊保障,這意味著維護資訊保安的行為,以確保在出現關鍵問題時不會以任何方式破壞資訊。這些問題不僅限於自然災害、計算機/伺服器故障等。因此,近年來,資訊保安領域已經顯著增長和發展。它提供了許多專業領域,包括保護網路和相關基礎設施,保護應用程式和資料庫,安全測試,資訊系統稽核,業務連續性計劃等。
資訊保安威脅已經成為當今地球上個人和企業的最大威脅,並可能導致可預見的衝突和不確定性。因此,各種規模的組織都必須為晦澀難懂的事物做好準備,以便它們具有承受不可預見和高效的安全問題的適應性。威脅是可能故意或意外利用導致資訊系統安全事件的漏洞的行為者或情況。不能否認,我們每個人,個人,組織或公司都受到威脅,並且可能容易受到威脅。
總而言之,意識和控制是最好的防禦。透過意識和控制,我們可以保護個人資訊和合作資訊,同時保持資訊科技的優勢。