信息安全概念
1. 信息安全定义
国际标准化组织( lntemational Organization for Standardization, IS0) 息安全的定义为"为数据处理系统建立和采取技术、管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而受到破坏、更改、泄露美国法典第 3542 条给出的信息安全的定义为"信息安全,是防止未经授权的访问、使用 披露 中断、修改 检查 记录或破坏信息的做法。它是一个可以用于任何形式数据(例如电子 物理)的通用术语欧盟将信息安全定义为"在既定的密级条件下,网络与信息系统抵御意外事件或恶意行为的能力,这些事件和行为将威胁所存储或传输的数据以及经由这些网络和系统所提供的服务的可用性、真实性、完整性和机密性
2. 信息安全问题
信息安全问题随着信息技术的发展而不断地蔓延发展,业务对 化的依赖性催生信息安全问题的复杂化,使得信息安全问题日益严峻 信息安全问题划分为狭义和广义两概念
( 1 )狭义的信息安全概念
对于狭义的信息安全而言,它是建立在 IT 技术基础上的安全范畴,是信息安全应用技术(最常见的是某种形式的计算机系统) ,有时也被称为计算机安全或网络安全。计算机不仅仅意味着家里的计算机终端,而是具有处理器和一些存储器的任何设备,这样的设备可以从简单的无须联网的独立的设备(如计算器)到诸如智能于机、平板电脑等联网移动计算设备等。由于数据的性质和价值,很多大型的组织机构都配置有信息安全专家,他们负责保护组织机构内的所有信息技术系统免受恶意网络攻击的威胁,这些攻击通常试图突破系统以获得关键的隐私信息或内部系统的控制权。 信息安全保障的目标是信息的保密性、完整性和可用性不被破坏。例如,确保在出现如自然灾害、计算机终端/服务器故障、盗窃等问题时数据不会丢失。这些信息安全保障工作通常由信息安全专家处理,对于上述例子中的问题,常见的处理方法是在问题发生前对数据进行异地备份。
(2 )广义上的信息安全概念
广义的信息安全是一个跨学科领域的安全问题。
①安全的根本目的是保证组织业务可持续性运行,保证利益相关者生命、财产安全的延续。构成业务可持续性问题的不仅仅是信息技术,还包括与业务相关联的生产、财务、人力资源、行政以及供应链等一系列的问题。在传统的意识中,不同的环节关注不同的元
素,每个控制都只考虑本领域的控制问题,这使得安全本身被划分在不同的领域,如生产
安全、财务安全、人员安全等,但其本质是相同的。安全应该被相互融合以构成立体化的
安全保障。
②信息安全应该建立在信息系统整个生命周期中所关联的人、事、物的基础上,综合
考虑人、技术、管理和过程控制,使得信息安全不是一个局部,而是一个整体。随着信息
安全事件的泛滥和扩大,组织越来越意识到信息安全问题既不是某个阶段的问题,更不是
纯粹的技术问题。历史事件表明,单纯地从某个层次考虑安全问题往往会带来致命的损害。
③安全要考虑成本因素。财务成本是信息安全必须要考虑的问题,正如我们不会用价
值数十万元的保险箱去保管面值 10 元的货币一样。安全的成本该如何考核呢?首要的问题
应该是作为安全管理人员,必须清晰地了解组织的资产财务成本、价值以及组织利用信息
技术带来的收益情况。随着互联网的普及和发展,信息技术已经开始为组织带来直接的经
济收益,例如腾讯、百度、阿里巴巴等互联网公司,以及 P2P 020 02B 等更多的依托
互联网发展的产业。保护的成本必须和保护的资产价值形成有效的比率,这是财务风险中
至关重要的一个环节。
④随着整个社会对信息化的依赖,信息系统所维系的不仅仅是业务的支撑和辅助,而
且是业务的命脉。 Web2.0 和互联网+的深入落实,整个业务被紧紧绑在信息系统之上,没
有信息安全也就没有业务安全,业务流程本身的缺陷会直接导致信息安全问题的产生,而
大量的业务绕行也为未授权的内部人员以及恶意外部人员所利用,因此,信息安全的管理
者和操作者在实现安全的控制前提下,必须了解业务及流程,保障其最终所应该实现的业务安全。
( 3 )信息安全问题的根源
造成信息安全问题的因素很多,技术故障、黑客攻击、病毒、漏洞等因素都可以造成
信息系统安全问题。从根源来说,信息安全问题可以归因于内困和外因两个方面
内因方面主要是信息系统复杂性导致漏洞的存在不可避免,换句话说,漏洞是一种客
观存在。这些复杂性包括过程复杂性、结构复杂性和应用复杂性等方面。
外因主要包括环境因素和人为因素 从自然环境的角度看,雷击、地震、火灾、洪水
等自然灾害和极端天气容易引发信息安全问题;从人为因素来看,员工的误操作及外部攻
击(黑客、犯罪团伙、恐怖分子 竞争对手甚至网络战部队等)都是信息安全问题的外因
根据掌握的资源和具备的能力来看,针对信息系统的攻击由低到高分别是个人威胁、组织
层面威胁(犯罪团伙、黑客团体、竞争对手等)和国家层面威胁(网络战部队)
3. 信息安全特征
( 1 )信息安全问题是复杂的问题,具有系统性
信息技术的发展以巨大的力量推动人类社会生存方式产生重大变革,这一变革使我们
面对前所未有的复杂环境,这些环境包括以下方面
个无所不在 全球互联互通的国际化网络空间
②无数广域覆盖的、规模庞大而复杂的网络信息系统
③品种多样的海量计算设备与信息处理终端
在这个"人·机"
"人·网"紧密结合的复杂系统中,某一分支或某一要害环节受到损
害,均可能引发全局性的系统危机,从这个角度而言,我们不能孤立地从单一维度或单个
安全因素来看待信息安全,将之视为单纯的技术问题或者管理问题 而是要系统地从技术、
管理、工程和标准法规等各层面综合保障安全
(2 )信息安全是动态的安全,具有动态性
信息系统始于需求分析,终止于废弃或者退役,具有"生命周期"的概念 在整个生
命周期中,信息安全需求和所面临的问题都是不一样的,因此,不能用固化的视角看待
风险是动态变化的,新的漏洞被发现,新的攻击手段出现,都会对系统的安全状况产生影
新的信息技术不断出现,例如云计算、物联网、 网融合等新技术和新应用在带给人
们便利的同时,也产生了各种新的安全风险和威胁 这都反映信息安全不能抱有 劳永逸
的思想,而是要以风险管理的思想,根据风险的变化,在信息系统的整个生命周期中采取
相应的安全措施来控制风险 信息安全的动态特性决定了信息安全问题 实践密切相关 信息安全已经从病毒传播、 黑客人侵、 技术故障 局部性、个别性和偶发性的问题,逐步转变为网络犯罪、网络恐怖 主义、网络战等全 性问题,成为攻守双 在高新技术领域内展开的一场激烈较量 安全的动态性还需要关注组织业务的动态,组织的业务是在动态中发展,而由此产生 的安全问题亦在改变 同时人的动态性也加剧了安全的复杂性,内部威胁带来的危害往往甚于外部的攻击。"斯诺登事件"
"维基解密"等都充分地暴露了组织内部威胁的重要影响。
( 3 )信息安全是无边界的安全,具有开放性和互通性
信息化的重要特点是开放性和互通性,信息关键基础设施都是广域覆盖的、大规模、
复杂的信息系统,往往与互联网通过各种方式连接,例如金融、税务、电子政务系统等,
同时各系统之间也日益互联互通,这使得信息安全威胁超越了现实地域的限制。
互联网具有传播速度快、覆盖面广、隐蔽性强和无国界等特点,违法犯罪活动逐步向
互联网渗透,利用网络进行各种破坏活动,造成信息安全问题的跨边界特点,这对安全保
障提出了更高的要求。
(4 )信息安全是非传统的安全,与传统的安全相比显著不同
信息技术是 20 世纪最为重要的技术变革,其安全问题与军事安全、政治安全等传统安
全相比,有显著不同。国家没有受到武力进攻,国家领土和主权是完整的,但人们却感受
到不安全;没有明确的敌对国家,人们却感受到威胁的存在。传统的维护安全的军事和治安
手段,无法应对信息安全这种新事物,必须采用新的信息安全保障手段来维护互联网安全。
4. 威胁情报
情报的主要作用是为管理人员提供行动和制定决策的依据。威胁情报是建立在大量的
数据搜集和处理的基础上,通过对搜集数据的分析和评估,形成相应的结论。与传统信息
处理不同,威胁情报需要长时间关注各类与信息安全相关的数据,这些数据分散在不同的
来源中,通过建立威胁模型对不同来源的数据进行分析,以识别出针对防护目标的特定威
胁,并给出相应的对策建议,为管理者提供决策支持。以下案例较好地说明了威胁情报在
信息安全保障中的作用。
案例:传统的安全信息处理中,安全服务商会从不同渠道收集威胁信息并通告给用户,
同时给出相应的处理建议。例如安全服务商从不同的渠道收集到以下信息。
一个 Java 开发语言的 Oday 漏洞被公开在一个安全邮件列表中。
某攻击者组织发布了一个利用此漏洞的攻击工具。
这些信息对用户是非常有用的信息,但这仅仅是威胁信息,威胁情报需要搜集和分析
的数据更多。
根据安全厂商发布的数据,利用此漏洞的恶意软件在亚太地区感染率远高于美国。
被感染了恶意软件的计算机终端会被加入一个僵尸网络,并且会持续下载新的变
种恶意代码。
某金融机构发布了一个新的政策,这个政策导致了大量的消费者不满,相关论坛
上出现了大量针对该金融机构的抗议活动的讨论。
一个黑客组织发布了该僵尸网络的利用方法和相关软件。
这些信息汇总起来,就能分析出可能存在的安全风险:某金融机构很可能被攻击者利
用这个僵尸网络进行分布式拒绝服务攻击,而亚太地区是感染率最高的地区,因此是攻击
来源最多的区域。根据这个威胁情报,就能采取相应的技术措施,以降低可能带来的安全
风险。章知识吼:借!.委会保障
在信息安全保障中,威胁情报的重要性已经越来越高,甚至成为信息安全保障中的关键。
( 1 )威胁情报有助于应对安全威胁与防御的不平等
信息化的发展使得组织机构需要应对的安全威胁已经发生根本性的改变,很多攻击已
经不仅仅是技术表面所展现出来的那么简单,而导致威胁的人员已经不仅仅局限于热衷网
络攻击的个人或团体。网络战部队、专业化组织的攻击团队由于掌握资源丰富,具有很好
的技术支持,也有足够的时间去寻找目标对象的信息系统漏洞,只需要找到一个可利用的
薄弱点就能对组织机构产生极大的安全威胁。与之相对应的情况是 大量的组织机构只能
技人有限的资源去构建防御体系,并且防御体系需要覆盖所有可能的攻击,这种不平等的
状况使得组织机构更需要威胁情报,以有效应对各类安全威胁
(2 )威胁情报能降低组织机构信息安全投入
技术的发展使得信息安全威胁类型、数量不断增加,组织机构需要技人大量的资源进
行应对,特别是极具威胁的定向攻击、 Oday 漏洞等 大多数组织机构并不具备评估和应对
这些威胁的资源和知识技能 而威胁情报由经过训练、拥有专业工具并且理解现代攻击者
思维模式、方法,有资历的威胁'情报分析人员来进行实施。根据威胁情报的结论进行针对
性的决策和处理,使得组织机构的安全保障工作更有序,也更有效率,从而降低整体安全
投入。
( 3 )威胁情报能确保找到优先应对的安全问题
攻击数量的庞大以及持续性攻击的出现,使得传统的安全分析方式难以应对 传统的
信息安全分析停留在处理过程的"数据"和"信息"阶段,这些虽然在一定程度上可用于
抵御安全风险,但并不足以应对当前的安全环境,而威胁情报能更好地帮助管理者找到优
先需要应对的安全威胁,从而使得工作更有序
(4) 威胁情报能帮助组织机构适应不断发展的技术和环境变化
信息技术的演化和扩展是威胁情报发展的 重要驱动因素。信息技术的日益发展使
得组织机构的信息化环境每隔几年都发生巨大的变化。例如移动互联网的发展,移动智能
终端大量应用,使得远程办公成为常态。虚拟化、云计算等新技术的应用,使得组织机构
中信息技术的应用范围和应用场景更加多样化 这些新技术很多时候并不是简单地替代原
有的技术,通常是在原有技术上的叠加,这使得组织机构面临的威胁也在增加,而威胁情
报能帮助组织机构更好地应对这种变化
5. 态势感知
态势感知( Situational Awareness, SA) 概念起源于 20 世纪 80 年代的美国空军,指分
析空战环境信息,快速判断 前及未来形势并做出正确反应 网络空间安全上升到国
家安全的高度 ,态势感知也逐渐在信息安全保障中得到应用 态势感知是一种基于环境的、
动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁
的发现识别、理解分析 响应处置能力的 种方式,最终是为了决策与行动,是安全能力
的落地 有效的态势感知不是某种单一技术,而是建立在威胁情报分析基础上,以大数据富怠,';每会专牟人员地剖 生材
和高性能计算为支撑,综合网络威胁相关的形式化及非形式化数据进行分析,并形成对未
来网络威胁状态进行预判以便调整安全策略,实现"御敌于国门之外"的策略。
态势感知以简明、丰富、图形化和易于搜索的系统形式展现,并且按照优先级对威胁
进行排序。通过态势感知,组织机构能建立安全预警机制,实现完善风险控制、应急响应
和整体安全防护水平的提升。