信息安全基础概念:信息与数据、信息安全以及信息安全发展、信息安全案例,信息安全风险与管理
文章目录
- 信息
-
- 信息与数据
- 信息安全
-
- 信息安全发展历程
-
- 通信保密阶段
- 信息安全阶段
- 信息保障阶段
- 信息安全案例
-
- 永恒之蓝
- 海莲花组织
- 造成此类攻击的根本原因
- 建设信息安全的意义
- 信息安全风险与管理
-
- 信息安全涉及的风险
-
- 物理风险
- 信息风险
- 系统风险
- 应用风险
- 网络风险
- 管理风险
信息
信息是通过施加于数据上的某些约定而赋予这些数据的特定含义。—《ISO/IEC IT安全管理指南(GMITS)》
信息的概念非常的庞大,一般意义上,信息可以理解为消息、信号、数据、情报或知识。它可以以多种形式存在,可以是信息设施中存储与处理的数据、程序;可以是打印或书写出来的论文、电子邮件、设计图纸、业务方案;也可以是显示在胶片等载体或表达在会话中的消息。
信息与数据
数据和信息之间是相互联系的。数据是反映客观事物属性的记录,是信息的具体表现形式。数据经过加工处理之后,就成为信息;而信息需要经过数字化转变成数据才能存储和传输。
数据和信息是有区别的。从信息论的观点来看,描述信源的数据是信息和数据冗余之和,即:数据=信息+数据冗余。
数据是数据采集时提供的,信息是从采集的数据中获取的有用信息。
由此可见,信息可以简单地理解为数据中包含的有用的内容。不严格的说,“不知道的东西,你知道了,就获得了一个信息”。
信息安全
信息安全是指通过采用计算机软硬件技术 、网络技术、密钥技术等安全技术和各种组织管理措施,来保护信息在其神秘周期内的产生、传输、交换、处理和存储的各个环节中,信息的机密性、完整性和可用性不被破坏
注意:信息安全不是一种结果,而是结果+过程。我们通过各种各样的方式去保证信息的安全,也就是保证信息的三要素不被破坏。
信息的三要素:
- 机密性 Confidentiality:确保信息只能由那些被授权使用的人获取
- 完整性 Integrity :保护信息及其处理方法的准确性和完整性(信息是完整的,没有被篡改的)
- 可用性 Availability :确保被授权使用人在需要时可以获取信息和使用相关的资产
神秘周期:信息从产生(发送者发出)到消费(接收者收到了)的过程中未被泄露的期限。通俗的讲:信息没被窃取的时间长短
**生命管理周期:**一个东西从出生到死亡的时间长短。这个概念在信息安全中比较少见。举例:虚拟机的创建,迁移,备份,删除就是虚拟机的一个生命管理周期。
假设信息资产遭到破坏,将会影响:
- 国家安全
- 组织系统正常运作和持续发展
- 个人隐私和财产
信息安全发展历程
发展历程没有具体的统一的时间线,一是因为每个阶段的时间确实比较模糊;二是因为每个国家每个地区的发展速度不一致。
三个阶段:
- 通信保密阶段
- 信息安全阶段
- 信息保障阶段
通信保密阶段
特点:在通信保密阶段中通信技术还不发达,数据只是零散地位于不同的地点**(孤岛式存储)**,那时候的信息更加安全一些。
保证信息安全措施:
- 加密
- 将信息限制在一定的范围内传播
著名的照片泄露案件
日本情报专家根据下图破解中国大庆油田的“秘密”,由照片上王进喜的衣着判断出油田位于北纬46度至48度的区域内;通过照片油田手柄的架式,推断出油井的直径;根据这些信息,迅速设计出适合大庆油田开采用的石油设备,在中国征求开采大庆油田的设备方案时,一举中标。
信息安全阶段
互联网的飞速发展信息无论是企业内部还是外部都得到了极大的开放,而由此产生的信息安全问题跨越了时间和空间。信息安全的焦点已经从传统的保密性、完整性和可用性三个原则衍生为诸如可控性、不可否认性等其他的原则和目标。
三元素变成了五元素:
- 机密性 Confidentiality:确保信息只能由那些被授权使用的人获取
- 完整性 Integrity :保护信息及其处理方法的准确性和完整性(信息是完整的,没有被篡改的)
- 可用性 Availability :确保被授权使用人在需要时可以获取信息和使用相关的资产
- 可控性 Controllability:对信息和信息系统实施安全监控管理,防止非法利用信息和信息系统(可以监控信息的状态(传播范围、处理速度、处理方式等)
- 不可否认性 Non-Repudiation:防止信息源用户对他发送的信息事后不承认,或者用户接收到信息之后不认帐(做了就是做了,没做就是没做)
在这个阶段,由于互联网的发展,出现大量的网络攻击手段。这个阶段信息安全的防御方法非常匮乏,没有特别有效的防御措施,一般只能被动防御。
信息保障阶段
在这个阶段,我们发现一味的被动防御是不能解决问题的,所以我们开始建立一系列的政策、标准、体系等,来进行主动防御,并从多角度考虑问题:
- 从业务入手:不同业务流量有不同的风险点和防御方式
- 从安全体系入手:通过更多的技术手段把安全管理与技术防护联系起来,主动地防御攻击而不是被动保护
- 从管理入手:培养安全管理人才,建立安全管理制度
信息安全案例
永恒之蓝
永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。(席卷150多个国家,造成80亿美元损失)
攻击原理:
恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
本次黑客使用的是Petya勒索病毒的变种Petwarp,攻击时仍然使用了永恒之蓝勒索漏洞,并会获取系统用户名与密码进行内网传播。
本次爆发使用了已知OFFICE漏洞、永恒之蓝SMB漏洞、局域网感染等网络自我复制技术,使得病毒可以在短时间内呈爆发态势。同时,该病毒与普通勒索病毒不同,其不会对电脑中的每个文件都进行加密,而是通过加密硬盘驱动器主文件表(MFT),使主引导记录(MBR)不可操作,通过占用物理磁盘上的文件名,大小和位置的信息来限制对完整系统的访问,从而让电脑无法启动,相较普通勒索病毒对系统更具破坏性。
海莲花组织
中国网络安全公司360旗下“天眼实验室”发布报告,首次披露一起针对中国的国家级黑客攻击细节。该境外黑客组织被命名为“海莲花(OceanLotus)”。
海莲花(OceanLotus)是高度组织化的、专业化的境外国家级黑客组织。自2012年4月起针对中国政府的海事机构、海域建设部门、科研院所和航运企业,展开了精密组织的网络攻击,很明显是一个有国外政府支持的APT(高级持续性威胁)行动。
攻击手段:
该组织主要通过鱼叉攻击和水坑攻击等方法,配合多种社会工程学手段进行渗透,向境内特定目标人群传播特种木马程序,秘密控制部分政府人员、外包商和行业专家的电脑系统,窃取系统中相关领域的机密资料。 为了隐蔽行踪,该组织还至少先后在6个国家注册了C2(也称C&C,是Command and Control的缩写)服务器域名35个,相关服务器IP地址19个,服务器分布在全球13个以上的不同国家。
- 鱼叉攻击:也叫钓鱼攻击,将木马程序作为电子邮件的附件,并起上一个极具诱惑力的名称,例如公务员收入改革方案,某暴力事件最新通报等,发送给目标电脑,诱使受害者打开附件,从而感染木马。
- 水坑攻击:黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。
造成此类攻击的根本原因
- 信息系统复杂性:在信息系统的设计和工作过程中可能会因为自身漏洞和缺陷导致被攻击
- 人为和环境
建设信息安全的意义
- 信息化越重要,信息安全就越重要
- 信息安全适用于众多技术领域。(几乎所有领域都离不开信息安全)
信息安全风险与管理
信息安全涉及的风险
- 物理风险
- 网络风险
- 系统风险
- 信息风险
- 应用风险
- 管理风险
- 其他风险
物理风险
- 设备防盗,防毁
- 链路老化,人为破坏,被动物咬断等
- 网络设备自身故障
- 停电导致网络设备无法工作
- 机房电磁辐射
- 自然灾害等
信息风险
- 信息存储安全
- 信息传输安全
- 信息访问安全
措施:
- 加密,备份等
- 隧道,VPN等
- 做认证(如AAA)
系统风险
- 数据库系统配置安全
- 安全数据库
- 系统中运行的服务安全
措施:
- 涉及数据库的一定要做信息安全,如:防火墙,加密,认证等
- 服务最小化原则:在给用户提供服务的时候,尽可能少的对系统做出改变
应用风险
- 网络病毒
- 操作系统安全
- 电子邮件应用安全
- WEB服务安全
- FTP服务安全
- DNS服务安全
- 业务应用软件安全
网络风险
网络风险一般做防火墙来防御。防火墙通过划分安全区域,流量过滤等措施来进行防御。
管理风险
安全技术手段固然重要,但是人员管理,管理制度也非常的重要,据统计,企业信息收到损失的70%是由于内部员工的疏忽或有意泄密造成的。