信息安全管理（CISP） —— 信息安全保障（内容扩充）

一、信息安全保障基础

1.信息安全定义

信息安全的定义除了国际标准化组织ISO的定义以外，还有不同组织的不同定义。

美国法典给出的信息安全定义为：“信息安全，是防止未经授权的访问、使用、披露、中断、修改、检查、记录或破坏信息的做法。它是一个可以用于任何形式数据（例如电子、物理）的通用术语”

欧盟将信息安全定义为：“在既定的密级条件下，网络与信息系统低于意外事件或恶意行为的能力，这些事件和行为将威胁所存储或传输的数据以及经由这些网络和系统所提供的服务的可用性、真实性、完整性和机密性”

ps：各个组织对信息安全的定义都各不相同，但又殊途同归，保护计算机软硬件及数据不因偶然或者恶意的原因而受到破坏、更改和泄露！

ps：欧盟定义的标准中有木有看到CIA三元组

2.信息安全问题

信息安全问题随着信息技术的发展而不断的蔓延发展，业务对于信息化的依赖性催生信息安全问题的复杂化，使得信息安全问题日益严峻。信息安全问题划分为狭义和广义两层概念。

信息安全保障的目标是信息的保密性，完整性和可用性不被破坏。

广义上的信息安全概念

广义的信息安全是一个跨学科领域的安全问题

①安全的根本目的是保障组织业务可持续运行，保证利益相关者生命、财产安全的延续

②信息安全不是一个局部而是一个整体，信息安全应该建立在整个生命周期中所关联的人、事、物的基础上，综合考虑人、技术、管理和过程控制。

③安全需要考虑成本因素

④信息系统所维系的不仅仅是业务的支撑和辅助，而是业务的命脉

信息安全问题的根源

内因方面主要是信息系统复杂性（过程复杂性、结构复杂性、应用复杂性）导致漏洞不可避免，漏洞是一种客观存在

外因方面主要包括环境因素（地震、火灾、洪水等）、人为因素（骇客、犯罪团伙、竞争对手等）根据掌握的资源和具备的能力来看，针对信息系统的攻击由低到高分别是个人威胁、组织威胁（犯罪团伙、黑客团体等）和国家威胁（网络战部队）

3.威胁情报

情报是政策制定者做出决策和行动的依据

CISP官方教材案例：

一个JAVA 0day漏洞（已被发现，有可能未被公开，还没有相关补丁的漏洞）的利用被公开在一个安全邮件列表中，一个攻击者组织发布了一个利用此类漏洞的恶意软件。传统的安全分析会将这一威胁通知给客户并给出减缓的建议，这是一个非常有用的信息，但这不是威胁情报而是威胁信息。

一家监控java漏洞的安全厂商注意到该恶意软件在亚太地区的感染率远高于美国，并且发现此恶意软件会在用户计算机设备上安装且控制该计算机加入僵尸网络，并且下载与被控制系统相关联的新变种恶意代码。

于此同时，一家大型的金融机构宣布若干可能导致大量消费者愤怒的政策，使得大量消费者开始讨论针对该金融机构的抗议活动。

一个黑客活动的推特账户上发布了使用上述僵尸网络和控制软件的方法。

将上述信息结合起来可以得到这样一个可能的风险：美国银行极有可能成为被黑客团体利用基于Java漏洞的僵尸网络进行分布式拒绝服务（DDoS）攻击的目标，由于亚洲是最大的僵尸网络感染区域，因此的大量的攻击可能来自亚洲的IP地址。根据这个威胁分析，相关银行就可以采取相应的防御措施以降低可能带来的风险。

ps：DDos——分布式拒绝服务攻击，例如实体店恶意竞争，竞争对手请了100个人每天到我店里不消费就呆着，占着茅坑不拉屎，导致其他真实来消费的顾客没有位置。攻击者（上述提到的愤怒的消费者）利用“肉鸡”（上述提到的僵尸网络），对目标网站（上述提到的银行）短时间发送大量请求（上述提到的控制软件）大规模消耗目标网站资源让他无法正常服务。

这就是威胁情报分析的价值，信息被从分散的来源收集起来，通过人为分析合成，去辨识出针对某一特定目标的特定威胁。

态势感知：在威胁情报的基础上，通过态势感知，组织机构能建立安全预警机制，实现完善风险控制、应急响应和整体安全防护水平提升