CISP学习——信息安全概念

信息安全概念

(一)信息安全定义

     ~~~~      国际化标准组织(Internation Organziation for Standardization，ISO)对信息安全的定义为：“为数据处理系统建立和采取技术、管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而受到破坏、更改、泄漏”。

     ~~~~      美国法典第3542条给出了信息安全的定义为：“信息安全，是防止未经授权的访问、使用、披露、修改、检查、记录获破坏信息的做法”。他是一个可以用于任何形式数据的通用术语。（ps：这里的任何形式数据包括网络数据包，通话数据，纸质版文件报表等一切形式的数据）

     ~~~~      欧盟将信息安全定义为：“在既定的密级条件下，网络与信息系统抵御意外事件或恶意行为的能力，这些事件和行为将威胁所存储或传输的数据以及经由这些网络和系统所提供的服务的可用性、真实性、完整性和机密性” 。

(二)信息安全问题

     ~~~~      信息安全问题随着信息技术的发展而不断的蔓延发展，有业务对于信息化的依赖性催生了信息安全问题的复杂化，使得信息安全问题日益严峻。信息安全问题划分为狭义和广义两层概念。

（1）狭义的信息安全概念

     ~~~~      对于狭义的信息安全而言，它是建立在以IT技术基础上的的安全范畴，是计算机安全应用技术，也被称为网络安全或计算机安全。计算机不仅仅意味着家里的计算机终端，而是具有处理器和一些存储器的任何设备，这样的设备从简单的无需联网的独立设备（如计算器）到诸如手机，智能家居等联网移动计算设备等等。攻击者通常试图突破系统以获的关键的隐私信息或内部系统的控制权。

     ~~~~      信息安全保障的目标是信息的保密性，完整性，可用性不被破坏，这些信息安全保障工作通常由信息安全专家处理。

（2）广义上的信息安全概念

     ~~~~      广义上的信息安全是一个跨学科领域的安全问题，

     ~~~~      首先，安全的根本目的是保证组织业可持续运行，保证利益相关者生命、财产安全的延续。这使得安全本身被划分在不同的领域，如：生产安全、财产安全、人员安全等，但本质是相同的。安全应该被相互融合以构成立体化的安全保障。

     ~~~~      其次，信息安全应该建立在整个生命周期中所关联的人、事、物的基础上，综合考虑人、技术、管理和过程控制，使得信息安全不是一个局部而是一个整体，单纯地从某个层次考虑安全问题往往会带来致命的损害。

     ~~~~      第三，安全要考虑成本因素。财务成本是信息安全必须要考虑的问题，正如我们不会用价值一千元的保险柜去保管面值一百元的货币一样。所以作为安全管理人员，必须清晰地链接组织的资产财务成本、价值以及组织利用信息技术带来的收益情况。

     ~~~~      最后，随着整个社会的对信息化的依赖，信息系统所维系的不仅仅是业务上的支撑和辅助，而是业务的命脉，没有信息安全也就没有业务安全，业务流程本身的缺陷会直接导致信息安全问题的产生，而大量的业务绕行也为未经授权的内部人员以及而已外部人员所利用，因此，信息安全的管理者和操作者在实现安全的控制前提下，必须了解业务及流程，保障其最终所应该实现的业务安全。

（3）信息安全问题的根源

     ~~~~      信息安全问题可以归因于内因和外因两个方面。

     ~~~~      内因方面组钥匙信息系统复杂性导致漏洞的存在不可避免，换句话说，漏洞是一种客观存在。这些复杂性包括过程复杂性，结构复杂性和应用复杂性等方面。

     ~~~~      外因主要包括环境因素和人为因素，从自然环境的角度来看，地震、雷击、等自然灾害也容易因外信息安全问题。从人为因素来看，员工的误操作（rm -rf /*），骇客，恐怖组织等都是信息安全问题的外因。