此條目需要精通或熟悉相关主题的编者 参与及协助编辑。(2010年12月18日 ) 請邀請 適合的人士改善本条目。更多的細節與詳情請參见討論頁 。
信息安全 ,意为保护信息 及信息系统 免受未经授权的进入、使用、披露、破坏、修改、检视、记录及销毁。政府、军队、公司、金融机构、医院、私人企业积累大量與雇员、顾客、产品、研究、金融数据有关的机密信息,而绝大部分的信息现在被收集、产生、存储在电子计算机 内,并通过网络 传送到别的计算机。如果企业的顾客、财政状况、新产品线的机密信息落入竞争对手的掌握,这种安全性的丧失可能会导致经济上的损失、法律诉讼甚至该企业的破产。保护机密的信息是商业上的需求,而在许多情况中也是道德和法律上的需求。
電腦網路入侵 防火牆 的視察軟體介面範例,記錄IP 進出情況與對應事件「信息安全」的各地常用別名 中国大陸 信息安全 臺灣 資訊安全 港澳 資訊保安
对于个人来说,信息安全对于个人隐私 具有重大的影响,但这在不同的文化中的看法差异很大。信息安全在最近这些年经历巨大變化。有很多方式进入这一领域,并将之作为一项事业。它提供了许多专门的研究领域,包括:安全的网络和公共基础设施、安全的应用软件 和数据库 、安全测试、信息系统评估、企业安全规划以及数字取证技术等等。为保障信息安全,要求有信息源认证、访问控制,不能有非法软件驻留,不能有未授权的操作等行为。
名詞區分 資安概念 信息安全这一术语,与计算机安全 和信息保障 (information assurance)等术语经常被不正确地互相替换使用。这些领域经常相互关联,并且拥有一些共同的目标:保护信息的机密性、完整性、可用性;然而,它们之间仍然有一些微妙的区别。
区别主要存在于达到这些目标所使用的方法及策略,以及所关心的领域。信息安全主要涉及数据的机密性、完整性、可用性,而不管数据的存在形式是电子的、印刷的还是其它的形式;计算机安全可以指:关注计算机系统的可用性及正确的操作,而并不关心计算机内存储或产生的信息。为保障信息安全,要求有信息源认证、访问控制,不能有非法软件驻留,不能有未授权的操作等行为。
历史 自从人类有了书写文字 之后,国家 首脑和军队 指挥官就已经明白,使用一些技巧来保证通信 的机密以及获知其是否被篡改是非常有必要的。凯撒 被认为在公元前50年发明了凯撒密码 ,它被用来防止秘密的消息落入错误的人手中时被读取。第二次世界大战 使得信息安全研究取得许多进展,并且标志着其开始成为一门专业的学问。
20世纪末以及21世纪初见证通信、计算机硬件和软件以及数据加密领域的巨大发展。小巧、功能强大、价格低廉的计算设备使得对电子数据的加工处理能为小公司和家庭用户所负担和掌握。这些计算机很快被通常称为因特网 或者万维网 的网络连接起来。在因特网上快速增长的电子数据处理和电子商务 应用,以及不断出现的国际恐怖主义 事件,增加了对更好地保护计算机及其存储、加工和传输的信息的需求。计算机安全、信息安全、以及信息保障等学科,是和许多专业的组织一起出现的。他们都持有共同的目标,即确保信息系统的安全和可靠。
基本原理 關鍵概念 信息安全的內容可以簡化為下列三個基本點,称为CIA三要素 ,此觀點似乎最早在NIST 於1977年所發行的出版品中提到。[1]
机密性 机密性 (Confidentiality)確保資料傳遞與儲存的隱密性,避免未經授權的使用者有意或無意的揭露資料內容。[2]
完整性 数据完整性 (Integrity)代表確保資料無論是在傳輸或儲存的生命週期中,保有其正確性與一致性。[3]
可用性 在信息安全領域,可用性 (Availability)是成功的資訊安全計畫應具備的需求,意及當使用者需透過資訊系統進行操作時,資料與服務須保持可用狀況(能用),並能滿足使用需求(夠用)。[4]
其他特性 可鑑別性(Authenticity):能證明主體或資源之識別就是所聲明者的特性。 可歸責性(Accountability):確保實體之行為可唯一追溯到該實體的性質。 不可否認性 (Non-repudiation):對已發生的動作或事件的證明,使發起該動作或事件的實體,往後無法否認其行為。實務上做法採用數位簽章技術。3A 認證(Authentication) 識別資訊使用者的身份,可記錄資訊被誰所存取使用,例如:透過密碼或憑證方式驗證使用者身份。
實務做法:
你所知道的(Something you know):帳號/密碼 你所擁有的(Something you have):IC卡、數位設備、數位簽章、一次性密碼(OTP) 你所具備的(Something you are):指紋、虹膜、聲紋、臉部特徵、靜脈脈紋、DNA 授權(Authorization) 依照實際需求給予實體適當的權限,一般建議採最小權限(Least privilege),意即僅給予實際作業所需要的權限,避免過度授權可能造成的資訊暴露或洩漏。
資訊系統層面的實務存取控制方法分類如下:
強制存取控制 (Mandatory Access Control)自由選定存取控制 (Discretionary Access Control)以角色為基礎的存取控制 (Role-Based Access Control)以規則為基礎的存取控制(Rule-Based Access Control) 紀錄(Accounting) 內容項目包含量測(Measuring)、監控(Monitoring)、報告(Reporting)與紀錄檔案(Logging),以便提供未來作為稽核(Auditing)、計費(Billing)、分析(Analysis)與管理之用,主要精神在於收集使用者與系統之間互動的資料,並留下軌跡紀錄。
信息安全三要素之間存在互相牽制的關係,例如:過度強化機密性時,將造成完整性與可用性的降低,需要高可用性的系統則會造成機密性與完整性的降低,因此在有限資源的前提下,在信息安全三要素中取得適當的平衡是資訊安全管理階層的重要課題。
对信息安全的认识经历了的数据安全阶段(强调保密通信)、网络信息安全时代(强调网络环境)和目前的信息保障时代(强调不能被动地保护,需要有保护——检测——反应——恢复四个环节)。
安全技术严格地讲仅包含3类:隐藏、访问控制 和密码学 。
典型的安全应用有:
数字水印 属于隐藏;网络防火墙 属于访问控制; 数字签名 属于密码学。
过程控制 突发事件控制 「網路与訊息安全事件」(Network & Information Security Incident)是突发事件 的一种,也被称为「訊息安全事件」(Information Security Incident)。網路与訊息安全事件在业界尚未有统一的定义 ,政府 管理、科学 研究、企业 根据各自的关注点对其的理解也存在一定的差异。至於中华人民共和国 国家质量监督检验检疫总局 和中国国家标准化管理委员会 制定发布的两个现行技术标准中,对该术语 的定义如下:
在《讯息技术 安全技术 讯息安全事件管理指南》(GB/Z 20985-2007)中被定义为“由单个或一系列意外或有害的讯息安全事态所组成的,极有可能危害业务运行和威胁讯息 安全。” 在《讯息安全技术 讯息安全事件分类分级指南》(GB/Z 20986-2007)中被定义为“
各國法律、法规与标准 中国大陆最重要的信息安全标准体系是“信息安全等级保护体系”,该体系在所有主要行业进行推广,并对信息安全行业的发展产生了重要影响。臺灣由行政院頒布「資通安全管理法」主要涵蓋對象為中央、地方機關與公法人,及金融、能源、交通等關鍵基礎建設提供者,並影響前述單位的組織架構、資訊安全方針及預算分配。
参考文献 ^ A. J. Neumann, N. Statland and R. D. Webb. Post-processing audit tools and techniques (PDF) . US Department of Commerce, National Bureau of Standards: 11–3––11–4. 1977 [2021-03-16 ] . (原始内容 (PDF) 于2021-04-27). ^ Beckers, K. Pattern and Security Requirements: Engineering-Based Establishment of Security Standards. Springer. 2015: 100 [2021-03-16 ] . ISBN 9783319166643 ^ Boritz, J. Efrim. IS Practitioners' Views on Core Concepts of Information Integrity. International Journal of Accounting Information Systems (Elsevier). 2005, 6 (4): 260–279. doi:10.1016/j.accinf.2005.07.001 . ^ Csapo, Nancy; Featheringham, Richard. COMMUNICATION SKILLS USED BY INFORMATION SYSTEMS GRADUATES. Issues In Information Systems. 2005. ISSN 1529-7314 . doi:10.48009/1_iis_2005_311-317 .
参见
信息安全, 此條目需要精通或熟悉相关主题的编者参与及协助编辑, 2010年12月18日, 請邀請適合的人士改善本条目, 更多的細節與詳情請參见討論頁, 意为保护信息及信息系统免受未经授权的进入, 使用, 披露, 破坏, 修改, 检视, 记录及销毁, 政府, 军队, 公司, 金融机构, 医院, 私人企业积累大量與雇员, 顾客, 产品, 研究, 金融数据有关的机密信息, 而绝大部分的信息现在被收集, 产生, 存储在电子计算机内, 并通过网络传送到别的计算机, 如果企业的顾客, 财政状况, 新产品线的机密信息落入竞争对手. 此條目需要精通或熟悉相关主题的编者参与及协助编辑 2010年12月18日 請邀請適合的人士改善本条目 更多的細節與詳情請參见討論頁 信息安全 意为保护信息及信息系统免受未经授权的进入 使用 披露 破坏 修改 检视 记录及销毁 政府 军队 公司 金融机构 医院 私人企业积累大量與雇员 顾客 产品 研究 金融数据有关的机密信息 而绝大部分的信息现在被收集 产生 存储在电子计算机内 并通过网络传送到别的计算机 如果企业的顾客 财政状况 新产品线的机密信息落入竞争对手的掌握 这种安全性的丧失可能会导致经济上的损失 法律诉讼甚至该企业的破产 保护机密的信息是商业上的需求 而在许多情况中也是道德和法律上的需求 電腦網路入侵防火牆的視察軟體介面範例 記錄IP進出情況與對應事件 信息安全 的各地常用別名中国大陸信息安全臺灣資訊安全港澳資訊保安对于个人来说 信息安全对于个人隐私具有重大的影响 但这在不同的文化中的看法差异很大 信息安全在最近这些年经历巨大變化 有很多方式进入这一领域 并将之作为一项事业 它提供了许多专门的研究领域 包括 安全的网络和公共基础设施 安全的应用软件和数据库 安全测试 信息系统评估 企业安全规划以及数字取证技术等等 为保障信息安全 要求有信息源认证 访问控制 不能有非法软件驻留 不能有未授权的操作等行为 目录 1 名詞區分 2 历史 3 基本原理 3 1 關鍵概念 3 1 1 机密性 3 1 2 完整性 3 1 3 可用性 3 1 4 其他特性 3 2 3A 3 2 1 認證 Authentication 3 2 2 授權 Authorization 3 2 3 紀錄 Accounting 4 过程控制 4 1 突发事件控制 5 各國法律 法规与标准 6 参考文献 7 参见名詞區分 编辑 資安概念信息安全这一术语 与计算机安全和信息保障 information assurance 等术语经常被不正确地互相替换使用 这些领域经常相互关联 并且拥有一些共同的目标 保护信息的机密性 完整性 可用性 然而 它们之间仍然有一些微妙的区别 区别主要存在于达到这些目标所使用的方法及策略 以及所关心的领域 信息安全主要涉及数据的机密性 完整性 可用性 而不管数据的存在形式是电子的 印刷的还是其它的形式 计算机安全可以指 关注计算机系统的可用性及正确的操作 而并不关心计算机内存储或产生的信息 为保障信息安全 要求有信息源认证 访问控制 不能有非法软件驻留 不能有未授权的操作等行为 历史 编辑自从人类有了书写文字之后 国家首脑和军队指挥官就已经明白 使用一些技巧来保证通信的机密以及获知其是否被篡改是非常有必要的 凯撒被认为在公元前50年发明了凯撒密码 它被用来防止秘密的消息落入错误的人手中时被读取 第二次世界大战使得信息安全研究取得许多进展 并且标志着其开始成为一门专业的学问 20世纪末以及21世纪初见证通信 计算机硬件和软件以及数据加密领域的巨大发展 小巧 功能强大 价格低廉的计算设备使得对电子数据的加工处理能为小公司和家庭用户所负担和掌握 这些计算机很快被通常称为因特网或者万维网的网络连接起来 在因特网上快速增长的电子数据处理和电子商务应用 以及不断出现的国际恐怖主义事件 增加了对更好地保护计算机及其存储 加工和传输的信息的需求 计算机安全 信息安全 以及信息保障等学科 是和许多专业的组织一起出现的 他们都持有共同的目标 即确保信息系统的安全和可靠 基本原理 编辑關鍵概念 编辑 信息安全的內容可以簡化為下列三個基本點 称为CIA三要素 此觀點似乎最早在NIST於1977年所發行的出版品中提到 1 机密性 编辑 机密性 Confidentiality 確保資料傳遞與儲存的隱密性 避免未經授權的使用者有意或無意的揭露資料內容 2 完整性 编辑 数据完整性 Integrity 代表確保資料無論是在傳輸或儲存的生命週期中 保有其正確性與一致性 3 可用性 编辑 在信息安全領域 可用性 Availability 是成功的資訊安全計畫應具備的需求 意及當使用者需透過資訊系統進行操作時 資料與服務須保持可用狀況 能用 並能滿足使用需求 夠用 4 其他特性 编辑 可鑑別性 Authenticity 能證明主體或資源之識別就是所聲明者的特性 可歸責性 Accountability 確保實體之行為可唯一追溯到該實體的性質 不可否認性 Non repudiation 對已發生的動作或事件的證明 使發起該動作或事件的實體 往後無法否認其行為 實務上做法採用數位簽章技術 3A 编辑 認證 Authentication 编辑 識別資訊使用者的身份 可記錄資訊被誰所存取使用 例如 透過密碼或憑證方式驗證使用者身份 實務做法 你所知道的 Something you know 帳號 密碼 你所擁有的 Something you have IC卡 數位設備 數位簽章 一次性密碼 OTP 你所具備的 Something you are 指紋 虹膜 聲紋 臉部特徵 靜脈脈紋 DNA授權 Authorization 编辑 依照實際需求給予實體適當的權限 一般建議採最小權限 Least privilege 意即僅給予實際作業所需要的權限 避免過度授權可能造成的資訊暴露或洩漏 資訊系統層面的實務存取控制方法分類如下 強制存取控制 Mandatory Access Control 自由選定存取控制 Discretionary Access Control 以角色為基礎的存取控制 Role Based Access Control 以規則為基礎的存取控制 Rule Based Access Control 紀錄 Accounting 编辑 內容項目包含量測 Measuring 監控 Monitoring 報告 Reporting 與紀錄檔案 Logging 以便提供未來作為稽核 Auditing 計費 Billing 分析 Analysis 與管理之用 主要精神在於收集使用者與系統之間互動的資料 並留下軌跡紀錄 信息安全三要素之間存在互相牽制的關係 例如 過度強化機密性時 將造成完整性與可用性的降低 需要高可用性的系統則會造成機密性與完整性的降低 因此在有限資源的前提下 在信息安全三要素中取得適當的平衡是資訊安全管理階層的重要課題 对信息安全的认识经历了的数据安全阶段 强调保密通信 网络信息安全时代 强调网络环境 和目前的信息保障时代 强调不能被动地保护 需要有保护 检测 反应 恢复四个环节 安全技术严格地讲仅包含3类 隐藏 访问控制和密码学 典型的安全应用有 数字水印属于隐藏 网络防火墙属于访问控制 数字签名属于密码学 过程控制 编辑突发事件控制 编辑 網路与訊息安全事件 Network amp Information Security Incident 是突发事件的一种 也被称为 訊息安全事件 Information Security Incident 網路与訊息安全事件在业界尚未有统一的定义 政府管理 科学研究 企业根据各自的关注点对其的理解也存在一定的差异 至於中华人民共和国国家质量监督检验检疫总局和中国国家标准化管理委员会制定发布的两个现行技术标准中 对该术语的定义如下 在 讯息技术 安全技术 讯息安全事件管理指南 GB Z 20985 2007 中被定义为 由单个或一系列意外或有害的讯息安全事态所组成的 极有可能危害业务运行和威胁讯息安全 在 讯息安全技术 讯息安全事件分类分级指南 GB Z 20986 2007 中被定义为 各國法律 法规与标准 编辑中国大陆最重要的信息安全标准体系是 信息安全等级保护体系 该体系在所有主要行业进行推广 并对信息安全行业的发展产生了重要影响 臺灣由行政院頒布 資通安全管理法 主要涵蓋對象為中央 地方機關與公法人 及金融 能源 交通等關鍵基礎建設提供者 並影響前述單位的組織架構 資訊安全方針及預算分配 参考文献 编辑 A J Neumann N Statland and R D Webb Post processing audit tools and techniques PDF US Department of Commerce National Bureau of Standards 11 3 11 4 1977 2021 03 16 原始内容存档 PDF 于2021 04 27 Beckers K Pattern and Security Requirements Engineering Based Establishment of Security Standards Springer 2015 100 2021 03 16 ISBN 9783319166643 原始内容存档于2021 04 27 Boritz J Efrim IS Practitioners Views on Core Concepts of Information Integrity International Journal of Accounting Information Systems Elsevier 2005 6 4 260 279 doi 10 1016 j accinf 2005 07 001 Csapo Nancy Featheringham Richard COMMUNICATION SKILLS USED BY INFORMATION SYSTEMS GRADUATES Issues In Information Systems 2005 ISSN 1529 7314 doi 10 48009 1 iis 2005 311 317 参见 编辑计算机安全隐患 网络安全 戰術數位資訊鏈路 攜帶自有裝置 BYOD 資訊資產 網路安全標準 內容安全 紅綠燈協議 戈登 洛布模型 取自 https zh wikipedia org w index php title 信息安全 amp oldid 78130305, 维基百科,wiki ,书籍,书籍,图书馆,
文章 ,阅读,下载,免费,免费下载,mp3,视频,mp4,3gp, jpg,jpeg,gif,png,图片,音乐,歌曲,电影,书籍,游戏,游戏。