信息系統(tǒng)的威脅可能來自組織或公司內(nèi)部和外部的各種地方。為了保護(hù)系統(tǒng)和信息的安全,每個公司或組織都應(yīng)分析將要面臨的威脅的類型以及這些威脅如何影響信息系統(tǒng)的安全。

信息系統(tǒng)定義:可以定義為一組相互關(guān)聯(lián)的組件,這些組件涉及信息傳播的多個設(shè)備的集合,這些組件可以收集、操作、存儲數(shù)據(jù),分發(fā)信息以支持決策制定并提供反饋機(jī)制來監(jiān)視性能,信息系統(tǒng)通常包括ICT組件,但并不僅僅與ICT有關(guān),

信息系統(tǒng)類型:信息系統(tǒng)的類型很多,具體取決于它們要滿足的需求,每種類型具有不同的功能和用途。信息系統(tǒng)可以分為四種類型:行政信息系統(tǒng)、決策支持系統(tǒng)、管理信息系統(tǒng)、交易處理系統(tǒng)。

信息系統(tǒng)的組成:信息系統(tǒng)全部包含計算機(jī)硬件、軟件、數(shù)據(jù)、過程和人員的五部分:

硬件:物理設(shè)備,它由輸入,輸出設(shè)備,操作系統(tǒng),處理器和媒體設(shè)備組成。這也包括計算機(jī)外圍設(shè)備;

軟件:用于控制和協(xié)調(diào)硬件組件的程序/應(yīng)用程序;

數(shù)據(jù):數(shù)據(jù)是程序用來產(chǎn)生有用信息的事實;

過程:過程是控制計算機(jī)系統(tǒng)運(yùn)行的策略;

人員:每個系統(tǒng)都需要人員才能發(fā)揮作用;

信息安全并不僅僅是保護(hù)信息免受未經(jīng)授權(quán)的訪問。信息安全基本上是一種防止未經(jīng)授權(quán)訪問、使用、披露、破壞、修改、檢查、記錄或破壞信息的做法。信息可以是物理的也可以是電子的。信息安全計劃圍繞3個目標(biāo)(通常稱為CIA)構(gòu)建:機(jī)密性、完整性、可用性。

機(jī)密性:意味著信息不會泄露給未經(jīng)授權(quán)的個人、實體和過程;

完整性:意味著保持?jǐn)?shù)據(jù)的準(zhǔn)確性和完整性;

可用性:意味著在需要時信息必須可用;

除此之外,還有另一條原則管理信息安全程序。這是不可否認(rèn)的。

不可抵賴性:一方不能拒絕接收消息或交易,另一方也不能拒絕發(fā)送消息或交易;

問責(zé)制:意味著應(yīng)該有可能對該實體唯一地跟蹤該實體的動作。

威脅是指可能造成傷害的任何事物(人為或自然行為)。威脅也定義為&34;

在信息系統(tǒng)安全領(lǐng)域,對信息系統(tǒng)面臨的主要安全威脅的理解是不同的。從安全管理的角度,NIST對信息系統(tǒng)安全威脅的分析包括:

(1) 錯誤和遺漏

錯誤和遺漏是通常被低估的重大安全威脅。如果我們將安全威脅定義為可能導(dǎo)致信息系統(tǒng)(硬件,軟件,數(shù)據(jù)軟件,生活軟件)的完整性遭到破壞,那么錯誤和疏漏就是安全威脅。

(2) 欺詐和盜竊

欺詐和盜竊是安全的一種威脅,重要硬件,軟件或數(shù)據(jù)的丟失會嚴(yán)重影響組織的有效性。盜竊可分為三個基本類別:物理盜竊,數(shù)據(jù)盜竊和身份盜竊,例如可以利用系統(tǒng)特點,用于從財務(wù)賬戶中竊取少量資金,并假定小額金融交易將不會被檢查為可疑(并且大量財務(wù)金額較小,可能會導(dǎo)致大量盜竊資金)。

(3) 破壞

故意損壞硬件,軟件和數(shù)據(jù)的原因被認(rèn)為是對信息系統(tǒng)安全的嚴(yán)重威脅。人為破壞威脅在于,組織被暫時拒絕訪問某人的資源。即使對系統(tǒng)的某些部分造成相對較小的破壞,對整個組織產(chǎn)生重大影響。

(4) 物理和基礎(chǔ)設(shè)施損害

(5) 未經(jīng)授權(quán)的訪問

(6) 惡意軟件

這種種安全威脅,其中包括不同類型的計算機(jī)病毒、特洛伊木馬、蠕蟲、邏輯炸彈和其他形式的&34;軟件。

(7) 對個人隱私的威脅

隨著互聯(lián)網(wǎng)的發(fā)展,人們對個人隱私愈發(fā)注重,存儲在不同數(shù)據(jù)庫中的大量個人數(shù)據(jù)成為信息系統(tǒng)面臨的主要問題。

根據(jù)上述對安全威脅的分類,建立如下圖所示的模型用于不同類型的安全威脅分析。

從技術(shù)層面,信息系統(tǒng)面臨的主要安全威脅來自于物理環(huán)境、通信鏈路、網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)、應(yīng)用系統(tǒng)以及管理等多個方面。

物理環(huán)境所面臨的安全威脅:是指導(dǎo)致數(shù)據(jù)丟失或損壞或?qū)τ布?或基礎(chǔ)結(jié)構(gòu)造成物理損壞的任何事物,分別三種情況:

· 內(nèi)部:威脅包括火災(zāi),電源不穩(wěn)定,硬件存放房間的濕度等。

· 外部:這些威脅包括閃電,洪水,地震等。

· 認(rèn)為:這些威脅包括盜竊,基礎(chǔ)設(shè)施和/或硬件的破壞,破壞,意外或故意的錯誤。

通信鏈路所面臨的安全威脅:是指在信息系統(tǒng)中,數(shù)據(jù)(信息)的傳輸、處理過程中,對系統(tǒng)通信鏈路的攻擊、竊聽等信息機(jī)密性和完整性的威脅。

網(wǎng)絡(luò)系統(tǒng)所面臨的安全威脅:在開放網(wǎng)絡(luò)環(huán)境下,如何應(yīng)對網(wǎng)絡(luò)安全威脅,是現(xiàn)今最熱門和最棘手的問題。包括:病毒和蠕蟲、僵尸網(wǎng)絡(luò)、偷渡式下載攻擊、網(wǎng)絡(luò)釣魚攻擊、分布式拒絕服務(wù)(DDoS)攻擊、勒索軟件、漏洞利用工具甚至是國家級的高級持續(xù)威脅(APT)。

操作系統(tǒng)所面臨的安全威脅:是指針對基礎(chǔ)軟件底層系統(tǒng)的威脅,大多數(shù)攻擊源于操作系統(tǒng)的固有弱點或漏洞。

應(yīng)用系統(tǒng)所面臨的安全威脅:是指用戶業(yè)務(wù)系統(tǒng)自身的漏洞和惡意行為。

管理所面臨的安全威脅:是指使用信息系統(tǒng)的組織、單位在管理層面的安全管理和執(zhí)行制度,正所謂&34;。

本質(zhì)上,標(biāo)準(zhǔn)是一組通用的規(guī)則,定義和商定的&34;,所有各方都可以參考該標(biāo)準(zhǔn)以供共同參考。標(biāo)準(zhǔn)將是為了聲稱符合該標(biāo)準(zhǔn)而必須滿足的一組最低要求,標(biāo)準(zhǔn)提供了一套通用的參考點,使我們能夠評估組織是否已制定了符合議定的最低要求的流程,程序和其他控制措施。針對信息系統(tǒng)面臨的安全威脅,也有相關(guān)的安全標(biāo)準(zhǔn)。

安全標(biāo)準(zhǔn)類似于任何其他行業(yè)中的標(biāo)準(zhǔn)。標(biāo)準(zhǔn)是&34;。例如ISO 27000系列是供應(yīng)商和技術(shù)中立的國際公認(rèn)標(biāo)準(zhǔn),它提供了一種基于風(fēng)險的方法來保護(hù)其信息。它為組織提供了獨(dú)立的第三方驗證,以證明其信息安全管理系統(tǒng)符合國際認(rèn)可的標(biāo)準(zhǔn)。包括以下幾個方面,涵蓋了信息系統(tǒng)面臨的安全威脅的所有方面:

· 信息安全政策

· 信息安全組織

· 人力資源安全

· 資產(chǎn)管理

· 訪問控制

· 密碼學(xué)

· 物理和環(huán)境安全

· 操作安全性

· 通信安全

· 系統(tǒng)獲取、開發(fā)和維護(hù)的安全性要求

· 供應(yīng)商關(guān)系-供應(yīng)商關(guān)系和供應(yīng)商服務(wù)交付管理中的信息安全

· 信息安全事件管理-信息安全事件的管理和改進(jìn)

· 業(yè)務(wù)連續(xù)性管理的信息安全方面-信息安全連續(xù)性和冗余

· 合規(guī)性-符合法律和合同要求以及信息安全審查

國際上還有IEC 62443系列、NIST框架等;國內(nèi)有GB/T 36618-2018 《信息安全技術(shù) 金融信息服務(wù)安全規(guī)范》、GB/T 36627-2018 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測試評估技術(shù)指南》、GB/T 36630《信息安全技術(shù) 信息技術(shù)產(chǎn)品安全可控評價指標(biāo)》等標(biāo)準(zhǔn)。

信息安全的核心是信息保障,這意味著維護(hù)信息安全的行為,以確保在出現(xiàn)關(guān)鍵問題時不會以任何方式破壞信息。這些問題不僅限于自然災(zāi)害、計算機(jī)/服務(wù)器故障等。因此,近年來,信息安全領(lǐng)域已經(jīng)顯著增長和發(fā)展。它提供了許多專業(yè)領(lǐng)域,包括保護(hù)網(wǎng)絡(luò)和相關(guān)基礎(chǔ)設(shè)施,保護(hù)應(yīng)用程序和數(shù)據(jù)庫,安全測試,信息系統(tǒng)審核,業(yè)務(wù)連續(xù)性計劃等。

信息安全威脅已經(jīng)成為當(dāng)今地球上個人和企業(yè)的最大威脅,并可能導(dǎo)致可預(yù)見的沖突和不確定性。因此,各種規(guī)模的組織都必須為晦澀難懂的事物做好準(zhǔn)備,以便它們具有承受不可預(yù)見和高效的安全問題的適應(yīng)性。威脅是可能故意或意外利用導(dǎo)致信息系統(tǒng)安全事件的漏洞的行為者或情況。不能否認(rèn),我們每個人,個人,組織或公司都受到威脅,并且可能容易受到威脅。

總而言之,意識和控制是最好的防御。通過意識和控制,我們可以保護(hù)個人信息和合作信息,同時保持信息技術(shù)的優(yōu)勢。