信息系统安全原则

什么是信息安全 (InfoSec) 的定义？

信息安全（或 InfoSec）是指企业用来保护信息的方法和实践。这还包括禁止未经授权的个人访问公司或个人数据的策略设置。InfoSec 是一门快速发展和变化的学科，涵盖从网络和基础设施安全到测试和审计的所有方面。

信息安全保护敏感数据免受非法访问、更改或记录，以及任何干扰或破坏。其目的是保护关键数据，例如客户账户信息、财务信息和知识产权。

私密信息被盗、数据操纵和数据擦除都是安全事件的后果。攻击可能会阻碍工作运营并损害公司的声誉，还会造成经济损失。

组织应制定安全预算，并确保他们准备好识别、应对和预防诸如网络钓鱼、恶意软件、病毒、内部恶意人员和勒索软件之类的威胁。

信息安全的三个原则是什么？

信息安全的三个核心概念是机密性、完整性和可用性。在信息安全程序的每个方面都必须实施多个这些原则。它们的统称是 CIA 三元组。

机密性

机密性保护措施旨在防止未经授权的信息传播。机密性原则的目标是将个人信息保密，并且只向拥有该信息或需要该信息来完成其组织任务的人员公开和提供。

完整性

完整性包括防止对数据进行不需要的修改（添加、删除、修改等）。完整性原则确保数据准确可靠，并且不会以任何方式被篡改，无论是错误的还是故意的。

可用性

系统能够在客户需要时完全访问软件系统和数据的能力称为可用性。可用性的目标是开发在业务流程或公司客户需要时可访问的技术基础设施、应用程序和数据。

网络安全与信息安全

就广度和目标而言，信息安全与网络安全有所不同。尽管这两个术语有时可以互换使用，但网络安全是信息安全的一个子类。信息安全涵盖物理安全、端点安全、数据加密和网络安全。它还与信息保障相关，信息保障保护数据免受自然灾害和服务器停机等风险的影响。

网络安全主要关注技术风险以及可以用来避免这些风险的方法和技术。另一个类似的领域是数据安全，其主要工作是防止组织的数据被未经授权的个人或群体错误地或恶意地泄露。

信息安全策略

信息安全策略 (ISP) 是一套指导人们使用技术的准则。企业可以制定信息安全策略，以确保员工和客户遵守安全规则和流程。安全法规规定，只有授权人员才能访问敏感系统和信息。

制定有效的安全策略并确保合规性是避免和管理安全风险的关键步骤。根据公司变化、新威胁、从以往入侵中吸取的教训以及安全系统和技术的更改定期更新您的策略，使其真正有效。

制定切合实际的信息安全计划。为了满足企业内不同部门的需求和紧急情况，必须实施带有同意程序的例外系统，允许部门或个人在某些情况下偏离规范。

信息安全面临的严重威胁

已识别的攻击媒介数以千计，信息安全风险种类也数百种。我们将讨论现代企业安全团队关注的一些主要风险。

不安全或安全性较差的系统

由于速度和技术发展，安全措施往往会被破坏。在其他情况下，系统是在没有安全性的情况下构建的，并作为企业内部的遗留系统继续运行。组织必须通过保护或修补这些易受攻击的系统、停用它们或隔离它们来识别和降低风险。

社交媒体攻击

许多人都有社交媒体帐户，他们会在那里无意中泄露大量个人信息。攻击者可以使用社交媒体直接进行攻击，例如通过社交媒体消息传播恶意软件，或者间接进行攻击，例如分析用户和组织的漏洞，并利用从这些网站收集的信息设计攻击。

社会工程

社会工程是指向人们发送电子邮件和消息，以说服他们执行可能危及其安全或泄露个人信息的活动。攻击者使用好奇心、匆忙和恐惧等心理因素来影响用户。

如果来源看起来可信，例如点击安装恶意软件到其设备的链接或提供个人信息、密码或财务信息，那么人们更有可能配合社会工程消息。

组织可以通过教育用户了解风险并培训他们识别和拒绝可疑通信来降低社会工程的风险。此外，可以使用技术方法来阻止人们执行诸如点击奇怪链接或下载意外文件之类的危险行为，或阻止社会工程在其来源处。

端点恶意软件

端点恶意软件是一种感染计算机的恶意软件。组织用户使用的端点设备包括台式电脑、笔记本电脑、平板电脑和移动电话，其中许多是私人拥有的，不受组织的管辖，并且所有这些设备都定期连接到互联网。

恶意软件可以通过多种方式传播，并可能导致端点受损以及特权升级到其他公司系统，这是所有这些端点上的一个主要风险。

传统的防病毒软件不足以阻止所有现代类型的恶意软件，因此正在开发其他端点安全方法，例如端点检测和响应 (EDR)。

缺少加密

加密方法对数据进行加密，以便只有拥有密钥的用户才能对其进行解码。在设备丢失或被盗的情况下，或者在组织系统被入侵的情况下，它在防止数据丢失或损坏方面特别有效。

不幸的是，由于其复杂性以及与有效实施相关的法律要求的缺乏，此措施经常被忽略。组织越来越多地使用加密，无论是通过购买支持加密的存储设备还是使用专门的安全技术。

安全配置错误

现代企业使用的技术平台和工具包括 Web 应用程序、数据库和软件即服务 (SaaS) 应用程序，以及来自 Amazon Web Services 等提供商的基础设施即服务 (IaaS)。

企业级平台和云服务中提供了安全功能，但必须由公司进行设置。由于疏忽或人为错误导致的安全配置错误可能会导致安全漏洞。另一个问题是“配置漂移”，其中系统的正确安全配置可能会迅速过时，使其在 IT 或安全人员不知情的情况下变得易受攻击。

组织可以使用持续监控系统、发现配置差距并通知甚至自动纠正使系统易受攻击的配置缺陷的技术平台来防止安全配置错误。

攻击：主动与被动

信息安全的目标是保护企业免受恶意攻击。攻击的两种主要类型是主动攻击和被动攻击。主动攻击更难避免，因此识别、减轻和恢复主动攻击是当务之急。强大的安全措施使被动攻击更容易避免。

主动攻击

拦截通信或消息并将其更改为恶意目的属于主动攻击。主动攻击可以采取三种不同的形式：

• 中断 - 攻击者伪装成对话双方之一，通过发送额外的恶意消息来中断原始对话。

• 修改 - 攻击者获取当前通信内容，并对其进行重放或更改，以获得对其中一方的优势。

• 伪造 - 创建虚构或合成的通信，通常目的是造成拒绝服务 (DoS)。用户因此无法访问系统或执行常规任务。

被动攻击

在被动攻击中，攻击者观察和监控系统，复制数据而不影响它。然后使用这些信息来破坏网络或入侵目标系统。

攻击者不会以任何方式更改通信或目标系统。这使得检测更具挑战性。另一方面，加密可以通过隐藏数据并使攻击者更难以利用数据来帮助避免被动攻击。

数据保护和信息安全法律

组织开展业务地区的规则和法规始终与信息安全存在冲突。全球各地都实施了数据保护法，以增强个人数据的隐私，并限制企业获取、保存和使用数据的方式。

数据隐私主要关注的是数据的处理和使用方式，其主题是个人身份信息 (PII)。任何可能直接与用户相关联的数据，例如用户的姓名、身份证号码、出生日期、住址或电话号码，都被视为 PII。工件，如社交媒体帖子、个人资料照片和 IP 地址也可能包含在内。

通用数据保护条例

通用数据保护条例 (GDPR) 是欧盟 (EU) 最著名的隐私法规。该法规管辖关于欧盟公民的个人信息的收集、使用、存储、安全和转移。

GDPR 适用于与欧盟公民开展业务的每家公司，无论该公司是否位于欧盟境内。违反标准可能会导致高达全球销售额 4% 或 2000 万欧元的罚款。

GDPR 的主要目标是：

• 个人数据隐私已被宣布为一项核心人权。

• 实施隐私标准。

• 隐私标准的应用应标准化。

GDPR 保护以下类型的数据：

• 姓名、身份证号码、出生日期和地址等个人信息。

• IP 地址、cookie、位置和其他网络数据

• 有关健康的信息，包括诊断和预后

• 语音数据、DNA 和指纹等生物识别数据。

• 保密的通信

• 图像和视频

• 从文化、社会或经济角度来看的数据

美国的数据保护法规

尽管实施了各种限制，但目前美国没有管理一般数据隐私的联邦法律。但是，某些类型的或用途的数据受某些限制的保护。其中一些是：

• 《联邦贸易委员会法》禁止企业对客户的隐私规则进行虚假陈述，未能有效保护客户隐私以及虚假广告。

• 《儿童在线隐私保护法》管理关于儿童的个人信息的获取。

• 《健康保险携带和责任法案》(HIPAA) 规定了如何存储、共享和使用健康信息。

• 《格雷姆里奇布莱利法案》(GLBA) 规定了金融机构和银行如何收集和保存个人信息。

• 《公平信用报告法》管理信用信息和记录的收集、使用和访问。

联邦贸易委员会 (FTC) 还负责保护用户免受欺诈或不公平交易以及数据安全和隐私的侵害。FTC 有权制定规则、执行法律、处罚违规者和调查涉嫌的企业欺诈行为。

除了联邦法规外，美国的 25 个州还通过了与数据相关的立法。最著名的例子是《加州消费者隐私法》(CCPA)。根据该法案（于 2020 年 1 月生效），加利福尼亚州居民有权查看私人信息，要求删除私人信息，并选择退出数据收集或销售。

还有一些其他的地区性法规，例如：

• 澳大利亚审慎监管局 (APRA) CPS 234

• 加拿大的《个人信息保护和电子文件法》(PIPEDA)

• 新加坡的《个人数据保护法》(PDPA)

Vineet Nanda

更新于：2021 年 11 月 26 日

2000+ 次浏览

开启你的职业生涯

通过完成课程获得认证

开始学习