文章目錄
信息
信息是通過施加於數據上的某些約定而賦予這些數據的特定含義。—《ISO/IEC IT安全管理指南(GMITS)》
信息的概念非常的龐大,一般意義上,信息可以理解爲消息、信號、數據、情報或知識。它可以以多種形式存在,可以是信息設施中存儲與處理的數據、程序;可以是打印或書寫出來的論文、電子郵件、設計圖紙、業務方案;也可以是顯示在膠片等載體或表達在會話中的消息。
信息與數據
數據和信息之間是相互聯繫的。數據是反映客觀事物屬性的記錄,是信息的具體表現形式。數據經過加工處理之後,就成爲信息;而信息需要經過數字化轉變成數據才能存儲和傳輸。
數據和信息是有區別的。從信息論的觀點來看,描述信源的數據是信息和數據冗餘之和,即:數據=信息+數據冗餘。
數據是數據採集時提供的,信息是從採集的數據中獲取的有用信息。
由此可見,信息可以簡單地理解爲數據中包含的有用的內容。不嚴格的說,“不知道的東西,你知道了,就獲得了一個信息”。
信息安全
信息安全是指通過採用計算機軟硬件技術 、網絡技術、密鑰技術等安全技術和各種組織管理措施,來保護信息在其神祕週期內的產生、傳輸、交換、處理和存儲的各個環節中,信息的機密性、完整性和可用性不被破壞
注意:信息安全不是一種結果,而是結果+過程。我們通過各種各樣的方式去保證信息的安全,也就是保證信息的三要素不被破壞。
信息的三要素:
- 機密性 Confidentiality:確保信息只能由那些被授權使用的人獲取
- 完整性 Integrity :保護信息及其處理方法的準確性和完整性(信息是完整的,沒有被篡改的)
- 可用性 Availability :確保被授權使用人在需要時可以獲取信息和使用相關的資產
神祕週期:信息從產生(發送者發出)到消費(接收者收到了)的過程中未被泄露的期限。通俗的講:信息沒被竊取的時間長短
**生命管理週期:**一個東西從出生到死亡的時間長短。這個概念在信息安全中比較少見。舉例:虛擬機的創建,遷移,備份,刪除就是虛擬機的一個生命管理週期。
假設信息資產遭到破壞,將會影響:
- 國家安全
- 組織系統正常運作和持續發展
- 個人隱私和財產
信息安全發展歷程
發展歷程沒有具體的統一的時間線,一是因爲每個階段的時間確實比較模糊;二是因爲每個國家每個地區的發展速度不一致。
三個階段:
- 通信保密階段
- 信息安全階段
- 信息保障階段
通信保密階段
特點:在通信保密階段中通信技術還不發達,數據只是零散地位於不同的地點**(孤島式存儲)**,那時候的信息更加安全一些。
保證信息安全措施:
- 加密
- 將信息限制在一定的範圍內傳播
著名的照片泄露案件
日本情報專家根據下圖破解中國大慶油田的“祕密”,由照片上王進喜的衣着判斷出油田位於北緯46度至48度的區域內;通過照片油田手柄的架式,推斷出油井的直徑;根據這些信息,迅速設計出適合大慶油田開採用的石油設備,在中國徵求開採大慶油田的設備方案時,一舉中標。
信息安全階段
互聯網的飛速發展信息無論是企業內部還是外部都得到了極大的開放,而由此產生的信息安全問題跨越了時間和空間。信息安全的焦點已經從傳統的保密性、完整性和可用性三個原則衍生爲諸如可控性、不可否認性等其他的原則和目標。
三元素變成了五元素:
- 機密性 Confidentiality:確保信息只能由那些被授權使用的人獲取
- 完整性 Integrity :保護信息及其處理方法的準確性和完整性(信息是完整的,沒有被篡改的)
- 可用性 Availability :確保被授權使用人在需要時可以獲取信息和使用相關的資產
- 可控性 Controllability:對信息和信息系統實施安全監控管理,防止非法利用信息和信息系統(可以監控信息的狀態(傳播範圍、處理速度、處理方式等)
- 不可否認性 Non-Repudiation:防止信息源用戶對他發送的信息事後不承認,或者用戶接收到信息之後不認帳(做了就是做了,沒做就是沒做)
在這個階段,由於互聯網的發展,出現大量的網絡攻擊手段。這個階段信息安全的防禦方法非常匱乏,沒有特別有效的防禦措施,一般只能被動防禦。
信息保障階段
在這個階段,我們發現一味的被動防禦是不能解決問題的,所以我們開始建立一系列的政策、標準、體系等,來進行主動防禦,並從多角度考慮問題:
- 從業務入手:不同業務流量有不同的風險點和防禦方式
- 從安全體系入手:通過更多的技術手段把安全管理與技術防護聯繫起來,主動地防禦攻擊而不是被動保護
- 從管理入手:培養安全管理人才,建立安全管理制度
信息安全案例
永恆之藍
永恆之藍是指2017年4月14日晚,黑客團體Shadow Brokers(影子經紀人)公佈一大批網絡攻擊工具,其中包含“永恆之藍”工具,“永恆之藍”利用Windows系統的SMB漏洞可以獲取系統最高權限。5月12日,不法分子通過改造“永恆之藍”製作了wannacry勒索病毒,英國、俄羅斯、整個歐洲以及中國國內多個高校校內網、大型企業內網和政府機構專網中招,被勒索支付高額贖金才能解密恢復文件。(席捲150多個國家,造成80億美元損失)
攻擊原理:
惡意代碼會掃描開放445文件共享端口的Windows機器,無需用戶任何操作,只要開機上網,不法分子就能在電腦和服務器中植入勒索軟件、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。
本次黑客使用的是Petya勒索病毒的變種Petwarp,攻擊時仍然使用了永恆之藍勒索漏洞,並會獲取系統用戶名與密碼進行內網傳播。
本次爆發使用了已知OFFICE漏洞、永恆之藍SMB漏洞、局域網感染等網絡自我複製技術,使得病毒可以在短時間內呈爆發態勢。同時,該病毒與普通勒索病毒不同,其不會對電腦中的每個文件都進行加密,而是通過加密硬盤驅動器主文件表(MFT),使主引導記錄(MBR)不可操作,通過佔用物理磁盤上的文件名,大小和位置的信息來限制對完整系統的訪問,從而讓電腦無法啓動,相較普通勒索病毒對系統更具破壞性。
海蓮花組織
中國網絡安全公司360旗下“天眼實驗室”發佈報告,首次披露一起針對中國的國家級黑客攻擊細節。該境外黑客組織被命名爲“海蓮花(OceanLotus)”。
海蓮花(OceanLotus)是高度組織化的、專業化的境外國家級黑客組織。自2012年4月起針對中國政府的海事機構、海域建設部門、科研院所和航運企業,展開了精密組織的網絡攻擊,很明顯是一個有國外政府支持的APT(高級持續性威脅)行動。
攻擊手段:
該組織主要通過魚叉攻擊和水坑攻擊等方法,配合多種社會工程學手段進行滲透,向境內特定目標人羣傳播特種木馬程序,祕密控制部分政府人員、外包商和行業專家的電腦系統,竊取系統中相關領域的機密資料。 爲了隱蔽行蹤,該組織還至少先後在6個國家註冊了C2(也稱C&C,是Command and Control的縮寫)服務器域名35個,相關服務器IP地址19個,服務器分佈在全球13個以上的不同國家。
- 魚叉攻擊:也叫釣魚攻擊,將木馬程序作爲電子郵件的附件,並起上一個極具誘惑力的名稱,例如公務員收入改革方案,某暴力事件最新通報等,發送給目標電腦,誘使受害者打開附件,從而感染木馬。
- 水坑攻擊:黑客分析攻擊目標的上網活動規律,尋找攻擊目標經常訪問的網站的弱點,先將此網站“攻破”並植入攻擊代碼,一旦攻擊目標訪問該網站就會“中招”。
造成此類攻擊的根本原因
- 信息系統複雜性:在信息系統的設計和工作過程中可能會因爲自身漏洞和缺陷導致被攻擊
- 人爲和環境
建設信息安全的意義
- 信息化越重要,信息安全就越重要
- 信息安全適用於衆多技術領域。(幾乎所有領域都離不開信息安全)
信息安全風險與管理
信息安全涉及的風險
- 物理風險
- 網絡風險
- 系統風險
- 信息風險
- 應用風險
- 管理風險
- 其他風險
物理風險
- 設備防盜,防毀
- 鏈路老化,人爲破壞,被動物咬斷等
- 網絡設備自身故障
- 停電導致網絡設備無法工作
- 機房電磁輻射
- 自然災害等
信息風險
- 信息存儲安全
- 信息傳輸安全
![在這裏插入圖片描述]()
- 信息訪問安全
![在這裏插入圖片描述]()
措施:
- 加密,備份等
- 隧道,VPN等
- 做認證(如AAA)
系統風險
- 數據庫系統配置安全
- 安全數據庫
- 系統中運行的服務安全
措施:
- 涉及數據庫的一定要做信息安全,如:防火牆,加密,認證等
- 服務最小化原則:在給用戶提供服務的時候,儘可能少的對系統做出改變
應用風險
- 網絡病毒
- 操作系統安全
- 電子郵件應用安全
- WEB服務安全
- FTP服務安全
- DNS服務安全
- 業務應用軟件安全
網絡風險
網絡風險一般做防火牆來防禦。防火牆通過劃分安全區域,流量過濾等措施來進行防禦。
管理風險
安全技術手段固然重要,但是人員管理,管理制度也非常的重要,據統計,企業信息收到損失的70%是由於內部員工的疏忽或有意泄密造成的。