All In One 第1章 安全与风险管理 (一)
1.背景知识
数据(data):数据是对客观事物的表述-对客观事物的数量、属性、位置及其相互关系进行抽象表示,以适合在这个领域中用人工或自然的方式进行保存、传递和处理,比如鼻子,脸,眼睛,嘴巴,身高,体重,年龄,腿。
信息(information):来源于数据并高于数据,具有时效性的有一定含义的,有逻辑的、经过加工处理的、对决策有价值的数据流,比如鼻子,脸,眼睛,嘴巴,身高,体重,年龄,腿,性别,是否能思考将这些数据联系在一起,基本上判定它是一个人类。
知识(knowledge):信息虽给出了数据中一些有一定意义的东西,但它的价值往往会在时间效用失效后开始衰减,只有通过人们的参与对信息进行归纳,演绎,比较等手段进行挖掘,使其有价值的部分沉淀下来,并于已存在的人类知识体系相结合,这部分有价值的信息就转变成知识。因此,知识就是沉淀并与已有人类知识库进行结构化的有价值信息。
智慧(wisdom):经常看到一个人满腹经纶,拥有很多知识,但不通世故,被称做书呆子。也会看到有些人只读过很少的书,却能力超群,能够解决棘手的问题。我们会认为后者具有更多的智慧。因此我们认为智慧是人类基于已有的知识,针对物质世界运动过程中产生的问题根据获得的信息进行分析,对比,演绎找出解决方案的能力。这种能力运用的结果是将信息的有价值部分挖掘出来并使之成为已有知识架构的一部分。
情报(information):是指被传递的知识或事实,是知识的再**,是运用一定的媒体(载体),越过空间和时间传递给特定用户,解决科研,生产中的具体问题所需要的特定知识和信息。具有特定目标任务的信息
消息(message):报道事情的概貌而不讲述详细的经过和细节,以简明的文字迅速及时地报道最新事实的短篇新闻宣传文书,也是最常见、最经常采用的新闻体裁。
信号(signal):信号是表示消息的物理量,如电信号可以通过幅度、频率、相位的变化来表示不同的消息。这种电信号有模拟信号和数字信号两类。信号是运载消息的工具,是消息的载体。从广义上讲,它包含光信号、声信号和电信号等。按照实际用途区分,信号包括电视信号、广播信号、雷达信号,通信信号等;按照所具有的时间特性区分,则有确定性信号和随机性信号等。信号是运载消息的工具,是消息的载体。从广义上讲,它包含光信号、声信号和电信号等。例如,古代人利用点燃烽火台而产生的滚滚狼烟,向远方军队传递敌人入侵的消息,这属于光信号;当我们说话时,声波传递到他人的耳朵,使他人了解我们的意图,这属于声信号;遨游太空的各种无线电波、四通八达的电话网中的电流等,都可以用来向远方表达各种消息,这属电信号。人们通过对光、声、电信号进行接收,才知道对方要表达的消息。
2.信息、信息资产、信息安全、信息的生命周期(Life Cycle)
信息的定义是:ISO900的说法是有意义的内容,本文对信息的定义为:具有时效性,有一定含义的,有逻辑的、经过加工处理的、对决策有价值的数据流。信息本身是无形的,借助信息媒体以多种形式存在或传播:
1.存储在计算机、磁带、纸张等介质中,记忆在人的大脑里
2.借助网络、打印机、传真机、手机等方式进行传播
信息资产(Information Asset):对现代企业具有价值的信息
信息安全(Information Security):具有价值的信息资产面临读作威胁,需要妥善保护
信息生命周期(Information Life Cycle):创建(create)->使用(use)->存储(storage)->传递(delivery)->更改(change)->销毁(destroy)
3.信息安全的核心目标-AIC
(1)AIC
可用性(Availability):ensure reliablity and timely access to data and resource to authorized individuals.确保授权按用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。
完整性(Integrity):Integrity is upheld when the assurance of the accuray and reliability of information and systems is provided and any unauthorized motification is prevented.确保信息在在使用、存储、传输的过程中不会被非授权篡改,防止授权用户或实体不恰当地修改信息,保持信息内部和外部的一致性。
机密性(Confidentiality):Confidentiality ensure that the necessary level of secrecy is enfored at each junction of data processing and prevent unauthorized disclosure .确保信息在使用、存储、传输的过程中不会泄漏给非授权用户或实体。
(2)AIC Implement Technology
Availability:
Redundant array of independent disks (RAID)
Clusteting、Load balancing
Redundant data and power line
Software and data backup
Co-location and offsite facilities
Rollback functions
Failover configuration
Integrity:
Hashing(data integrity)
Configuation management(system integrity)
Change controls(process integrity)
Access controls(physical and technical)
Software digital signing
Transmission cyclic redundancy check (CRC)functions(Link Layer Integrity)
Confidentiality:
Encryption for data at rest(whole disck,database encryption)
Encryption for data in transit(IPSec、TLS、PPTP、SSH)
Access controls
(3)其他相关安全概念(Security Definitions)
私密性(Privacy):个人和组织控制私用信息采集、存储和分发的权利
身份识别(Identificaiton):用户向系统声称其真实身份的方式
身份认证(Authentication):测试并认证用户的身份
授权(Authorization):为用户分配并校验资源访问权限的过程
可追溯性(Accountability):确认系统中个人行为和活动的能力
审计(Aduit):对系统记录和活动进行独立复查和审核,确保符合性
抗抵赖性(Non-repudiation):确保信息发送者即创建者的能力
4.风险管理(Risk Managment)
(1)风险管理相关概念
Volnerability(inside): A volnerability is a weekness that a threat source to compromise its security.系统中存在威胁破坏其安全的缺陷
Threat(outside):A threat is any protential danger that is associated with the exploitation of a volnerability. 利用脆弱性而带来的任何潜在的危险
Risk:A risk is likehood of a threat source exploiting a volnerability and corresponding bussness impact.信息资产遭受损坏并给企业带来负面影响的潜在可能性
Exposure:Exposure is an instance of being expose to loss.造成损失的实例
Control = Countermeasure = Safeguard:It is put into place to mitigate (reduce)the protential risk.能够消除或降低琪潜在的风险
Risk management:识别风险,评估风险,采取措施将风险减少到可接受水平
(2)control Type
1.ways and means(方式方法):
administrative (管理性控制)
technical 技术性控制(逻辑性控制)
physical (物理性控制)
Defense in depth Model =administrative + technical + physical
2.security control funcitionalities(安全控制功能划分):
Preventive:Intended to avoid an incident from occuring避免意外事件的发生
Detective:Helps identify an incident‘s activities and potentially an intruder帮助识别意外活动和潜在入侵者
Corrective:Fixes component or systems after an incident has occured意外事件发生后修补组件或系统
Deterrent:Intended to discourage a potential attacker 威慑潜在的攻击者
Recovery:Intended to bring the environment back to regular operations 能提供可替代的控制方法
Compensating:Controls that provide an alternative measure of control
Attention:ways and means + control function type ? 方式方法+安全控制类型的分类的组合,例子,警卫属于物理性控制,也属于预防性控制吗?答案是
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------
参考资料:
1.百度百科