信息安全定義和特徵（信息安全概述）

2023-10-10 02:07:13 1

信息安全的目的：保護企業信息資產隨著技術的發展，企業的業務流程及信息處理越來越依賴於IT設施，甚至將所有的

業務信息電子化。因此，IT基礎設施的正常運行及對電子信息的良好保護，成為企

業業務順利進行和發展的關鍵因素之一

由於信息在當前企業業務中的重要地位，因此可以認為信息也是一種資產，稱之信

息資產

信息資產包含了大量的業務數據、客戶信息、商業秘密等對企業的業務乃至存亡密

切相關的內容，所以信息資產也面臨大量的威脅和風險，包括有意或無意的銷毀、

黑客攻擊、惡意軟體所造成的數據丟失、內部人員的洩漏等。這些威脅和風險中

最有可能發生並造成嚴重後果的便是保密信息被洩漏。一旦發生數據洩漏事件，企

業不單要承擔保密數據本身價值的損失，嚴重的時候還會影響到企業的聲譽和公眾

形象，並有可能面臨法律上的麻煩

信息安全的核心目標：CIA模型保護

機密性（Confidentiality）

指信息在存儲、傳輸、使用的過程中，不會被洩漏給非授權用戶或實體

完整性（Integrity）

指信息在存儲、傳輸、使用的過程中，不會被非授權

完整性：防止未經授權的更改，即「防篡改」，可以通過消息摘要技術來保證完整性

可用性：保證合法用戶想用時能用

信息安全的威脅因素

自然災害	指地震、火災、水災、風暴等這些因素將直接地到危害信息系統實體的安全
硬體故障	指系統硬體的安全可靠性，包括計算機主體、存儲系統、輔助設備、數據通訊設施以及信息存儲介質的安全性
軟體缺陷	即計算機軟體或程序中存在的某種破壞正常運行能力的問題、錯誤，或隱藏的功能缺陷
未授權訪問	沒有經過預先同意就使用網絡或計算機資源的行為被看作是非授權訪問。如有意避開系統訪問控制機制、對網絡設備及資源進行非正常使用、擅自擴大權限、越權訪問信息等。它主要有以下幾種表現形式：假冒、身份攻擊、非法用戶進入網絡系統進行違法操作、合法用戶以未授權方式進行操作等
拒絕服務	拒絕服務（DoS，Denial of Service）是指攻擊者向伺服器發送大量垃圾信息或幹擾信息，從而使正常用戶無法訪問伺服器
數據洩露	不加密的資料庫是不安全的，容易造成商業洩密
假冒和欺詐	指非法用戶通過欺騙通信系統（或用戶）冒充合法用戶，或者特權小的用戶通過冒充成為特權大的用戶。黑客大多是採用假冒攻擊
線路竊聽	用各種可能的合法或非法的手段竊取系統中的信息資源和敏感信息。例如對通信線路中傳輸的信號搭線監聽，或者利用通信設備在工作過程中產生的電磁洩露截取有用信息等
計算機病毒	一種在計算機系統運行過程中能夠實現傳染和侵害功能的程序
特洛伊木馬	軟體中含有的覺察不出的有害的程序段，當它被執行時，會破壞用戶的安全。這種應用程式被稱為特洛伊木馬（Trojan Horse）
後門和陷阱	在某個系統或某個部件中設置的「機關」，使得在特定的數據輸入時，允許違反安全策略
電磁輻射	計算機系統及其控制的信息和數據傳輸通道，在工作過程中都會產生電磁波輻射，在一定地理範圍內用無線電接收機很容易檢測並接收到，這就有可能造成信息通過電磁輻射而洩漏。另外，空間電磁波也可能對系統產生電磁幹擾，影響系統正常運行
盜竊	重要的安全物品，如令牌或身份卡被盜