信息威胁可能来自组织或公司内外的各个地方。包括以下几个方面,涵盖了信息系统面临的安全威胁的方方面面:l信息安全政策l信息安全组织l人力资源安全l资产管理l访问控制l密码学l物理与环境安全l运营安全l通信安全l系统获取、 开发和维护的安全要求l供应商关系-供应商关系和供应商服务交付管理中的信息安全l信息安全事件管理-信息安全事件管理和改进l业务连续性管理的信息安全方面-信息安全连续性和冗余l合规性-遵守法律和合同要求及信息安全审查国际上有IEC62443系列和NIST框架; 有GB/T36618-2018《信息安全技术与金融信息服务安全规范》、GB/T36627-2018《信息安全技术网络安全等级保护测试与评估技术指南》、GB/T36630《信息技术产品安全可控评价指标》等国内标准。
信息系统面临的主要安全威胁?
信息系统的威胁可能来自组织或公司内部和外部的各种地方。为了保护系统和信息的安全,每个公司或组织都应分析将要面临的威胁的类型以及这些威胁如何影响信息系统的安全。什么是信息系统?信息系统定义:可以定义为一组相互关联的组件,这些组件涉及信息传播的多个设备的集合,这些组件可以收集、操作、存储数据,分发信息以支持决策制定并提供反馈机制来监视性能,信息系统通常包括ICT组件,但并不仅仅与ICT有关,信息系统类型:信息系统的类型很多,具体取决于它们要满足的需求,每种类型具有不同的功能和用途。
信息系统可以分为四种类型:行政信息系统、决策支持系统、管理信息系统、交易处理系统。信息系统的组成:信息系统全部包含计算机硬件、软件、数据、过程和人员的五部分:硬件:物理设备,它由输入,输出设备,操作系统,处理器和媒体设备组成。这也包括计算机外围设备;软件:用于控制和协调硬件组件的程序/应用程序;数据:数据是程序用来产生有用信息的事实;过程:过程是控制计算机系统运行的策略;人员:每个系统都需要人员才能发挥作用;什么是信息安全?信息安全并不仅仅是保护信息免受未经授权的访问。
信息安全基本上是一种防止未经授权访问、使用、披露、破坏、修改、检查、记录或破坏信息的做法。信息可以是物理的也可以是电子的。信息安全计划围绕3个目标(通常称为CIA)构建:机密性、完整性、可用性。机密性:意味着信息不会泄露给未经授权的个人、实体和过程;完整性:意味着保持数据的准确性和完整性;可用性:意味着在需要时信息必须可用;除此之外,还有另一条原则管理信息安全程序。
这是不可否认的。不可抵赖性:一方不能拒绝接收消息或交易,另一方也不能拒绝发送消息或交易;真实性:表示验证用户的身份,并确保到达目的地的每个输入均来自受信任的来源;问责制:意味着应该有可能对该实体唯一地跟踪该实体的动作。信息系统面临的主要安全威胁威胁是指可能造成伤害的任何事物(人为或自然行为)。威胁也定义为“潜在的违反安全性的情况,存在于可能破坏安全性并造成损害的情况、能力、行为或事件中。
也就是说,威胁是可能利用漏洞的潜在危险。”在信息系统安全领域,对信息系统面临的主要安全威胁的理解是不同的。从安全管理的角度,NIST对信息系统安全威胁的分析包括:(1)错误和遗漏错误和遗漏是通常被低估的重大安全威胁。如果我们将安全威胁定义为可能导致信息系统(硬件,软件,数据软件,生活软件)的完整性遭到破坏,那么错误和疏漏就是安全威胁。
(2)欺诈和盗窃欺诈和盗窃是安全的一种威胁,重要硬件,软件或数据的丢失会严重影响组织的有效性。盗窃可分为三个基本类别:物理盗窃,数据盗窃和身份盗窃,例如可以利用系统特点,用于从财务账户中窃取少量资金,并假定小额金融交易将不会被检查为可疑(并且大量财务金额较小,可能会导致大量盗窃资金)。(3)破坏故意损坏硬件,软件和数据的原因被认为是对信息系统安全的严重威胁。
人为破坏威胁在于,组织被暂时拒绝访问某人的资源。即使对系统的某些部分造成相对较小的破坏,对整个组织产生重大影响。(4)物理和基础设施损害可以通过许多不同的方式实现,例如电力供应中断,通讯中断,洪水,火灾,地震,罢工等这是信息系统安全威胁的一种,不能完全由信息系统的资源所有者控制,并且可能具有重大的威胁。
