信息安全
此條目需要精通或熟悉相关主题的编者参与及协助编辑。 (2010年12月18日) |
信息安全,意为保护信息及信息系统免受未经授权的进入、使用、披露、破坏、修改、检视、记录及销毁。政府、军队、公司、金融机构、医院、私人企业积累大量與雇员、顾客、产品、研究、金融数据有关的机密信息,而绝大部分的信息现在被收集、产生、存储在电子计算机内,并通过网络传送到别的计算机。如果企业的顾客、财政状况、新产品线的机密信息落入竞争对手的掌握,这种安全性的丧失可能会导致经济上的损失、法律诉讼甚至该企业的破产。保护机密的信息是商业上的需求,而在许多情况中也是道德和法律上的需求。
「信息安全」的各地常用名稱 | |
---|---|
中国大陸 | 信息安全 |
臺灣 | 資訊安全 |
港澳 | 資訊保安 |
对于个人来说,信息安全对于个人隐私具有重大的影响,但这在不同的文化中的看法差异很大。信息安全在最近这些年经历巨大變化。有很多方式进入这一领域,并将之作为一项事业。它提供了许多专门的研究领域,包括:安全的网络和公共基础设施、安全的应用软件和数据库、安全测试、信息系统评估、企业安全规划以及数字取证技术等等。为保障信息安全,要求有信息源认证、访问控制,不能有非法软件驻留,不能有未授权的操作等行为。
名詞區分
信息安全这一术语,与计算机安全和信息保障(information assurance)等术语经常被不正确地互相替换使用。这些领域经常相互关联,并且拥有一些共同的目标:保护信息的机密性、完整性、可用性;然而,它们之间仍然有一些微妙的区别。
区别主要存在于达到这些目标所使用的方法及策略,以及所关心的领域。信息安全主要涉及数据的机密性、完整性、可用性,而不管数据的存在形式是电子的、印刷的还是其它的形式;计算机安全可以指:关注计算机系统的可用性及正确的操作,而并不关心计算机内存储或产生的信息。为保障信息安全,要求有信息源认证、访问控制,不能有非法软件驻留,不能有未授权的操作等行为。
历史
自从人类有了书写文字之后,国家首脑和军队指挥官就已经明白,使用一些技巧来保证通信的机密以及获知其是否被篡改是非常有必要的。凯撒被认为在公元前50年发明了凯撒密码,它被用来防止秘密的消息落入错误的人手中时被读取。第二次世界大战使得信息安全研究取得许多进展,并且标志着其开始成为一门专业的学问。
20世纪末以及21世纪初见证通信、计算机硬件和软件以及数据加密领域的巨大发展。小巧、功能强大、价格低廉的计算设备使得对电子数据的加工处理能为小公司和家庭用户所负担和掌握。这些计算机很快被通常称为因特网或者万维网的网络连接起来。在因特网上快速增长的电子数据处理和电子商务应用,以及不断出现的国际恐怖主义事件,增加了对更好地保护计算机及其存储、加工和传输的信息的需求。计算机安全、信息安全、以及信息保障等学科,是和许多专业的组织一起出现的。他们都持有共同的目标,即确保信息系统的安全和可靠。
基本原理
關鍵概念
信息安全的內容可以簡化為下列三個基本點,称为CIA三要素,此觀點似乎最早在NIST於1977年所發行的出版品中提到。[1]
机密性
机密性(Confidentiality)確保資料傳遞與儲存的隱密性,避免未經授權的使用者有意或無意的揭露資料內容。[2]
完整性
数据完整性(Integrity)代表確保資料無論是在傳輸或儲存的生命週期中,保有其正確性與一致性。[3]
可用性
在信息安全領域,可用性(Availability)是成功的資訊安全計畫應具備的需求,意及當使用者需透過資訊系統進行操作時,資料與服務須保持可用狀況(能用),並能滿足使用需求(夠用)。[4]
其他特性
- 可鑑別性(Authenticity):能證明主體或資源之識別就是所聲明者的特性。
- 可歸責性(Accountability):確保實體之行為可唯一追溯到該實體的性質。
- 不可否認性(Non-repudiation):對已發生的動作或事件的證明,使發起該動作或事件的實體,往後無法否認其行為。實務上做法採用數位簽章技術。
3A
認證(Authentication)
識別資訊使用者的身份,可記錄資訊被誰所存取使用,例如:透過密碼或憑證方式驗證使用者身份。
實務做法:
- 你所知道的(Something you know):帳號/密碼
- 你所擁有的(Something you have):IC卡、數位設備、數位簽章、一次性密碼(OTP)
- 你所具備的(Something you are):指紋、虹膜、聲紋、臉部特徵、靜脈脈紋、DNA
授權(Authorization)
依照實際需求給予實體適當的權限,一般建議採最小權限(Least privilege),意即僅給予實際作業所需要的權限,避免過度授權可能造成的資訊暴露或洩漏。
資訊系統層面的實務存取控制方法分類如下:
- 強制存取控制(Mandatory Access Control)
- 自由選定存取控制(Discretionary Access Control)
- 以角色為基礎的存取控制(Role-Based Access Control)
- 以規則為基礎的存取控制(Rule-Based Access Control)
紀錄(Accounting)
內容項目包含量測(Measuring)、監控(Monitoring)、報告(Reporting)與紀錄檔案(Logging),以便提供未來作為稽核(Auditing)、計費(Billing)、分析(Analysis)與管理之用,主要精神在於收集使用者與系統之間互動的資料,並留下軌跡紀錄。
信息安全三要素之間存在互相牽制的關係,例如:過度強化機密性時,將造成完整性與可用性的降低,需要高可用性的系統則會造成機密性與完整性的降低,因此在有限資源的前提下,在信息安全三要素中取得適當的平衡是資訊安全管理階層的重要課題。
对信息安全的认识经历了的数据安全阶段(强调保密通信)、网络信息安全时代(强调网络环境)和目前的信息保障时代(强调不能被动地保护,需要有保护——检测——反应——恢复四个环节)。
典型的安全应用有:
过程控制
突发事件控制
「網路与訊息安全事件」(Network & Information Security Incident)是突发事件的一种,也被称为「訊息安全事件」(Information Security Incident)。網路与訊息安全事件在业界尚未有统一的定义,政府管理、科学研究、企业根据各自的关注点对其的理解也存在一定的差异。至於中华人民共和国国家质量监督检验检疫总局和中国国家标准化管理委员会制定发布的两个现行技术标准中,对该术语的定义如下:
- 在《讯息技术 安全技术 讯息安全事件管理指南》(GB/Z 20985-2007)中被定义为“由单个或一系列意外或有害的讯息安全事态所组成的,极有可能危害业务运行和威胁讯息安全。”
- 在《讯息安全技术 讯息安全事件分类分级指南》(GB/Z 20986-2007)中被定义为“
各國法律、法规与标准
中国大陆最重要的信息安全标准体系是“信息安全等级保护体系”,该体系在所有主要行业进行推广,并对信息安全行业的发展产生了重要影响。臺灣由行政院頒布「資通安全管理法」主要涵蓋對象為中央、地方機關與公法人,及金融、能源、交通等關鍵基礎建設提供者,並影響前述單位的組織架構、資訊安全方針及預算分配。
参考文献
- ^ A. J. Neumann, N. Statland and R. D. Webb. Post-processing audit tools and techniques (PDF). US Department of Commerce, National Bureau of Standards: 11–3––11–4. 1977 [2021-03-16]. (原始内容存档 (PDF)于2021-04-27).
- ^ Beckers, K. Pattern and Security Requirements: Engineering-Based Establishment of Security Standards. Springer. 2015: 100 [2021-03-16]. ISBN 9783319166643. (原始内容存档于2021-04-27).
- ^ Boritz, J. Efrim. IS Practitioners' Views on Core Concepts of Information Integrity. International Journal of Accounting Information Systems (Elsevier). 2005, 6 (4): 260–279. doi:10.1016/j.accinf.2005.07.001.
- ^ Csapo, Nancy; Featheringham, Richard. COMMUNICATION SKILLS USED BY INFORMATION SYSTEMS GRADUATES. Issues In Information Systems. 2005. ISSN 1529-7314. doi:10.48009/1_iis_2005_311-317.