信息安全基础--第二篇

信息安全是什么、核心概念有哪些,为什么人们会如此关心安全问题,信息安全该如何去做三个方面,希望能对朋友们有所启发,掌握一些信息安全基础知识,以更好学习后续知识。

我们分析一个事物的时候,都是希望能全面的了解事物,而不是片面的看到局部;都是希望能从根本上掌握事务的本质和规律,而不是只是停留在表面现象;都是希望能有一些行动上的指导,而不是停留在理论与概念上。这里,堂主借用浅显易懂的“5W分析法”来论述信息安全,希望能较全面、本质的阐述信息安全,以及实践方法。

在本文中我们要想做交流、探讨,那么必须讲同一种语言,首先得对关键词汇作出约定,以免造成理解上的困难。

WHAT - 信息安全是什么?

参考百科上定义,信息是指音讯、消息、通讯系统传输和处理的对象,泛指人类社会传播的一切内容。现代通讯的奠基人香农指出“信息是用来消除随机不定性的东西”。也许这样的解释很抽象。IT信息技术(Information Technology),信息是核心。要理解信息,首先要理解数据。福州今天的白天最高气温是38度,这是数据;换句话,福州今天白天酷热难耐,这是信息;华为的高端交换机一台1000万元,这是数据;华为高端交换机很贵,这是信息。可见,信息和数据是共生的,数据更多反应客观的可度量的指标,信息更多应用人类可以利用、借鉴的内容;数据可以提取、归纳出信息,信息则必须由数据来支持、证明。简单一句话,数据更具备客观性,给物用的;信息更具备主观性,给人用的,更具直接利用价值。如今,阿里、腾讯掌握了亿万用户的个人数据,通过大数据技术分析手段,可以提取出关于特定人群的行为习惯、消费喜好等信息,从而进行商业化的开发,可以预见未来数据到信息的转化只会越来越多,信息在商业中利用价值将越来越大。

WHY - 为什么会产生安全问题?

从社会学的角度,安全是指没有受到威胁、没有危险、危害、损失,是相对于威胁、危害、损失的正面事物。既然信息是可以人用的,它就具备利用价值,具备吸引力。当下的场景经常发生:我们沉浸在工作的思考中,陌生来电不期而遇:“大哥您好,我是某某房产的XX,打搅一下,请问一下您在某某处的房子有没有打算卖?“。这种来电的主角时常更换,如某某银行、某某保险公司、某某调查机构、某某会务机构等等。这就是典型的个人信息被非法泄漏,违法组织或个人获取到信息之后,利用你个人信息中的年龄、职业、住址等,从事一些营销活动,从而引起你的不快、反感,甚至感觉到一种威胁,这些人所有信息都知道,“鬼知道下一步他们会干些什么”。人是一种适应性很强的高级生物,面对这些来电骚扰,我们的神经已经变得强大,我们的忍耐也提高了不少,这些个人或组织也暂时未发现什么更进一步的行动,双方似乎达成一种平衡。尽管如此,个人信息的威胁还是广泛存在的,看了一个报道,“信用卡个人信息,网络成交价5毛钱一个”,地下交易,明码实价,一身冷汗。好在现在国家立法机关已经意识到个人信息保护的存在的问题,正在着手制定个人信息保护法。可知,这个时代我们每个个体都会遇到各种隐私方面的威胁,影响个人生活、财产甚至生命安全。若将视角切换为组织,组织也存在各种有价值信息,威胁也是无处不在,这里不做展开。

WHO - 安全为谁?

回到信息安全主题上,信息安全是信息的安全,除开信息安全,我们还有许许多多其它信息安全,例如交通安全、消防安全、食品安全、生产安全等等,信息安全是人们从信息层面所需要关注的问题,需注意与其它安全的区别。信息安全的本质是信息价值,是人的安全,我们需要知道信息的价值,进而才知道怎样利用它,才知道如何防范信息被不当利用,进而保障信息安全。

分析至此,我们已经明确这几个概念:信息价值、威胁、损失。我们做个简单总结。有价值的信息,若威胁存在,就需要考虑信息安全的问题。现在的天气信息对我们的生活生产很有价值,但应该是没有人会威胁到它,我们不需要考虑天气的信息安全问题。我们在方便的进行网络支付时候,信用卡信息可以帮助我们完成快捷的支付,那些犯罪组织只需要以5角一个的成本拿到信用卡信息,这时价值和威胁都很大,我们就需要充分的考虑相关的风险,然后采取控制措施防止信用卡信息的泄漏,保障信息安全。

信息安全的定义

我们对信息安全有了感性的认识,具备了前提。若停留在感性层面,则我们并未触及到本质,需要上升到理性层面。我们需要信息安全的概念进一步细分,这方面前人已做了很好的总结,帮助我们进一步理解信息安全。从威胁的角度,人们将信息安全归纳为三种本质特性:

  • 保密性Confidenciality

指信息未授权的个人、实体、过程不能使用信息,或者无法接触到信息。现实生活中,我们需要物业服务,因此在物业处登记了个人信息,包括住址、电话等,物业若违法将我们的个人信息出售给第3方,就属于保密性遭受到破坏。我们在网站上登记了个人身份信息,网站被黑客入侵,数据库中的信息被盗走,也是保密性遭受到破坏。

  • 完整性Integrity

指信息的一致性,防止非法篡改。现代金融的发展,个人财富更多的表现为银行帐号上的一组数字,假若黑客入侵了银行系统数据库,篡改了帐号资产数字,平白多出或减少一些钱来,这就属于完整性受到破坏。

  • 可用性Availability

指信息在人们需要的时候是可以被获得的可用的。犯罪份子入侵公司的服务器,将重要的数据文件删除,导致信息系统服务中断,这就是可用性受到破坏。再比如犯罪份子在从事信息犯罪过程中,非常警觉,他们会在事成之后将日志记录,防止追查,这也是一种可用性破坏。

CIA三角模型

保密性、完整性、可用性其英文首字母为C、I、A,人们常称之为 CIA铁三角框架,三角的中心是风险。有学者指出,三角结构是非常稳定的结构,在各个领域都有相应的应用。有项目管理经验的伙伴都知道,范围、时间、成本三个要素构成了项目的铁三角,三者相互制约、相互依赖。再比如软件设计中的模型-视图-控制器的MVC三角结构,该结构可认为是现代应用程序设计的基石。在信息安全当中,保密性、完整性、可用性需分别考虑,但又必须整合为一体。什么意思?举例:我们考虑保密性的时候,可能考虑用强大、复杂的加密算法,加大信息被破解的难度,但反过来也应当考虑到,强大复杂的算法会导致处理速度变慢,加重通讯两端的负担。再比如,通讯路径有是一个闭环路,若只考虑到其中某一段的加密,而未考虑到整个路径上的保密,则是不完整的。当然,一些学者、机构在这CIA基础上提出了其它的特性:真实性、不可抵赖性、可负责性、隐私性、可审计性。这几类特性都可归根溯源至CIA三性上,此处就不再展开了,大家可自行搜索。至此,我们应当清楚的知道信息安全包含的核心内容了。

HOW、WHEN-信息安全该如何去做

前面我们已经知道信息安全的本质是信息三个核心特性:保密性、完整性、可用性,它们也可以认为是三个目标。那么如何才能到达这三个目标?关键是管理好有可能破坏三个目标的风险。

信息安全风险控制模型

首先,知彼。

我们必须知道信息系统现在面临的主要威胁有哪些。各行各业信息系统业务存在差异,技术实现不一样,用户使用方式也不一样,所以面临的威胁也有巨大差异,需要做系统的归纳和整理。有几个方法可供实践:

  • 学习国内/国际相关的一些标准,对于安全威胁事件的定义
  • 了解最新的一些安全性漏洞,国内/国际都有一些漏洞发布组织,例如中国国家信息安全漏洞库CNNVD、美国标准技术委员会下的CVE等
  • 通过一些第3方安全平台,例如360补天平台、绿盟平台、乌云社区等,了解到威胁的最新动态。

其次,知己。

我们必须知道我们自身系统存在的弱点、漏洞、脆弱性有哪些。威胁是始终存在的,关键是能否抵御威胁。若我们能有足够的防御措施,将漏洞都填补上,则威胁将无从进入,也就成不了威胁。现实情况是,我们因为各种各样的原因,做得不够好,存在大大小小的漏洞,所以需要好好查找漏洞。若分析项目的漏洞,从空间的维度可从业务、应用、数据、主机/设备、网络这几个层面分析;从时间的维度,可从项目的规划、建设、交付、运维、销毁这几个阶段来分析。分析产品的漏洞,也是类似的做法。

然后,知彼知己基础上,进行风险评估。

威胁和漏洞是风险的充分必要条件,我们评估风险是要依据风险的严重程度、发生风险的损失值。这里有定型和定量的分析方法,定性方法核心是确定风险等级,举例:致命、严重、一般、轻微、细微就是一种风险定级法。定量方法,则是根据风险发生概率、漏洞的严重程度、威胁的资产三个要素,通过数学的方法合理计算出风险值,简单来说就是要会算账。具体计算方法较复杂,不做展开。不管怎样,风险值越高,风险等级也越高。

再后,针对评估结果,进行风险处理。

毫无疑问,我们要优先处理风险值高、等级高的风险。怎么处理?我们必须采取相应的控制措施,这里又分技术措施和管理措施两个部分,将风险降低到可接受的程度。目前,我们国家标准有一整套针对信息安全的通用技术和管理措施可供借鉴,美国也有一套称为SP800的白皮书,ISO国际标准组织也有相关的文档,总结了信息安全常见的控制措施。感兴趣的同学可以上网学习,也可找堂主索取电子档。

最后,我们还应当进行风险的监督和审查。

风险处理之后,我们还要回头看,看看到底有没有效果,达到了预期控制目标没有。是否还有新风险出现,原先的风险评估情况是否有变化。做到跟踪和监控。至此,信息安全形成一个类似PDCA的循环,一个周期结束,继续开始下一轮的风险背景准备、风险评估、风险处理、监督检查PDCA循环。

总结

本文介绍了信息安全、威胁、漏洞、风险等概念、CIA三种特性(目标),以及以风险管理为核心的信息安全实践方法。理解它们之间的逻辑关系有助于信息安全认知的提升。这里将核心要点归纳几个口诀供参考:

  • 数据为体,信息为用,要辨别异同
  • 安全是目标,是状态,需先认识危险、威胁
  • 威胁缘于漏洞,没有漏洞也不存在威胁
  • 威胁和漏洞相结合方构成风险,风险有等级、大小,要注意辨别
  • 信息安全风险需控制,控制必然需要付出代价,平衡是关键
  • 信息安全事后做叫应急,事前做叫预防,预防优于应急,本末勿倒置

信息安全认知是前提,行动更为关键,要不断的查缺补漏,提升产品或项目的安全性。前路漫漫,重要的是我们在路上,永不停步。

0 24 分享至

此刻您有话要说

留言选辑