信息安全:
定义:保护可用信息或信息来源不会受到未授权访问、攻击、盗取或数据损坏。
负责的个人和机构必须保护他们的机密信息。
所有形式的数据都必须加以保护
将商业风险和丢失关键数据造成的其他影响降到了最低。
拓展:
狭义的安全:IT安全、安全技术(渗透测试、安全配置、安全运维)
广义的安全:作为风险管理的一部分,包括物理安全(机房、安保)、内部安全(人员入职背调、业务连续性安全(在影响人无法工作的情况下促进业务继续进行的行动措施),信息安全。
信息安全控制的手段:(用于对抗风险)
预防(事前)
- 各种类型的信息都需要加以保护
- 减少安全
- 例子:备份恢复测试
检测(事中)(发现并报警)
发现访问未授权数据的尝试,或已经丢失的信息。
对个体进行调差、扫描数据和网络、寻找入侵者留下的蛛丝马迹
恢复(事后)
灾难或入侵会导致受损或数据损坏,需要执行一个进程来从崩溃的系统或设备中恢复数据,还能恢复丢失或被盗的物理资源
又可分为
物理性的控制:
机房的栅栏、中央空调、
管理型的控制
行政性的文件、规章制度,用于规范员工行为
逻辑性的控制(技术性):
防火墙 IPS 等安全设备。
风险:
定义:表示了面临损坏或丢失的可能性的概念,并说明了发生灾难或重大威胁的概率。(S+)
威胁主体利用脆弱性对应用系统或操作系统发动攻击,并对业务造成影响的潜在的可能性。(CISA)
- IT风险常常与系统、电力、网络或物理性损失有关。可能还会影响人员、实践活动和财产。
- 所有形式的数据都必须加以保护
- 设计和实施信息安全时,组织必须将风险考虑在内。
漏洞:
定义:任何可能使信息系统遭受损害的情况
由于应用程序开发的bug或人为配置的失误而产生的脆弱性。
- 不合理地配置或安装软硬件
- 未及时应用和测试软件及固件补丁
- 未经测试的软件及固件补丁
- 软件或操作系统中的错误
- 软件或通讯协议的错误使用
- 设计拙劣的网络
- 糟糕的物理安全
- 不安全的密码
- 软件或操作系统中的设计缺陷
- 未经检查的用户输入
威胁:
威胁主体发动的攻击的客观情况。可能对资产造成损害的任何事件或行动。
攻击:
未经授权的情况下、
控制
为避免、缓解或抵消由威胁或攻击引起的安全风险而必须部署的应对对策。
CIA
confidentiality机密性
integrity完整性
accessibility可用性
undeniably不可否认性 抗抵赖 数字签名
可追责性
最小特权
职责分离、权限分离、只应该知道应该知道的
特权管理
管理员账号、windows powershell账号,数据库账号,shutdown账号的特殊管理
识别方式
密码:
口令:用于特殊目的特定场景的密码、门禁卡,ping码
- 可以存储PIN,用户信息和密码(你有什么)
- 通过响应认证服务器生成的密码
生物特征
地理定位
击键认证
密码学
对称加密、非对称加密(RSA)
HASH
