信息系統(tǒng)面臨的主要安全威脅

信息系統(tǒng)的威脅可能來(lái)自組織或公司內(nèi)部和外部的各種地方。為了保護(hù)系統(tǒng)和信息的安全，每個(gè)公司或組織都應(yīng)分析將要面臨的威脅的類型以及這些威脅如何影響信息系統(tǒng)的安全。

信息系統(tǒng)定義：可以定義為一組相互關(guān)聯(lián)的組件，這些組件涉及信息傳播的多個(gè)設(shè)備的集合，這些組件可以收集、操作、存儲(chǔ)數(shù)據(jù)，分發(fā)信息以支持決策制定并提供反饋機(jī)制來(lái)監(jiān)視性能，信息系統(tǒng)通常包括ICT組件，但并不僅僅與ICT有關(guān)，

信息系統(tǒng)類型：信息系統(tǒng)的類型很多，具體取決于它們要滿足的需求，每種類型具有不同的功能和用途。信息系統(tǒng)可以分為四種類型：行政信息系統(tǒng)、決策支持系統(tǒng)、管理信息系統(tǒng)、交易處理系統(tǒng)。

信息系統(tǒng)的組成：信息系統(tǒng)全部包含計(jì)算機(jī)硬件、軟件、數(shù)據(jù)、過(guò)程和人員的五部分：

硬件：物理設(shè)備，它由輸入，輸出設(shè)備，操作系統(tǒng)，處理器和媒體設(shè)備組成。這也包括計(jì)算機(jī)外圍設(shè)備；

軟件：用于控制和協(xié)調(diào)硬件組件的程序/應(yīng)用程序；

數(shù)據(jù)：數(shù)據(jù)是程序用來(lái)產(chǎn)生有用信息的事實(shí)；

過(guò)程：過(guò)程是控制計(jì)算機(jī)系統(tǒng)運(yùn)行的策略；

人員：每個(gè)系統(tǒng)都需要人員才能發(fā)揮作用；

信息安全并不僅僅是保護(hù)信息免受未經(jīng)授權(quán)的訪問(wèn)。信息安全基本上是一種防止未經(jīng)授權(quán)訪問(wèn)、使用、披露、破壞、修改、檢查、記錄或破壞信息的做法。信息可以是物理的也可以是電子的。信息安全計(jì)劃圍繞3個(gè)目標(biāo)（通常稱為CIA）構(gòu)建：機(jī)密性、完整性、可用性。

機(jī)密性：意味著信息不會(huì)泄露給未經(jīng)授權(quán)的個(gè)人、實(shí)體和過(guò)程；

完整性：意味著保持?jǐn)?shù)據(jù)的準(zhǔn)確性和完整性；

可用性：意味著在需要時(shí)信息必須可用；

除此之外，還有另一條原則管理信息安全程序。這是不可否認(rèn)的。

不可抵賴性：一方不能拒絕接收消息或交易，另一方也不能拒絕發(fā)送消息或交易；

問(wèn)責(zé)制：意味著應(yīng)該有可能對(duì)該實(shí)體唯一地跟蹤該實(shí)體的動(dòng)作。

威脅是指可能造成傷害的任何事物（人為或自然行為）。威脅也定義為&34;

在信息系統(tǒng)安全領(lǐng)域，對(duì)信息系統(tǒng)面臨的主要安全威脅的理解是不同的。從安全管理的角度，NIST對(duì)信息系統(tǒng)安全威脅的分析包括：

（1） 錯(cuò)誤和遺漏

錯(cuò)誤和遺漏是通常被低估的重大安全威脅。如果我們將安全威脅定義為可能導(dǎo)致信息系統(tǒng)（硬件，軟件，數(shù)據(jù)軟件，生活軟件）的完整性遭到破壞，那么錯(cuò)誤和疏漏就是安全威脅。

（2） 欺詐和盜竊

欺詐和盜竊是安全的一種威脅，重要硬件，軟件或數(shù)據(jù)的丟失會(huì)嚴(yán)重影響組織的有效性。盜竊可分為三個(gè)基本類別：物理盜竊，數(shù)據(jù)盜竊和身份盜竊，例如可以利用系統(tǒng)特點(diǎn)，用于從財(cái)務(wù)賬戶中竊取少量資金，并假定小額金融交易將不會(huì)被檢查為可疑（并且大量財(cái)務(wù)金額較小，可能會(huì)導(dǎo)致大量盜竊資金）。

（3） 破壞

故意損壞硬件，軟件和數(shù)據(jù)的原因被認(rèn)為是對(duì)信息系統(tǒng)安全的嚴(yán)重威脅。人為破壞威脅在于，組織被暫時(shí)拒絕訪問(wèn)某人的資源。即使對(duì)系統(tǒng)的某些部分造成相對(duì)較小的破壞，對(duì)整個(gè)組織產(chǎn)生重大影響。

（4） 物理和基礎(chǔ)設(shè)施損害

（5） 未經(jīng)授權(quán)的訪問(wèn)

（6） 惡意軟件

這種種安全威脅，其中包括不同類型的計(jì)算機(jī)病毒、特洛伊木馬、蠕蟲(chóng)、邏輯炸彈和其他形式的&34;軟件。

（7） 對(duì)個(gè)人隱私的威脅

隨著互聯(lián)網(wǎng)的發(fā)展，人們對(duì)個(gè)人隱私愈發(fā)注重，存儲(chǔ)在不同數(shù)據(jù)庫(kù)中的大量個(gè)人數(shù)據(jù)成為信息系統(tǒng)面臨的主要問(wèn)題。

根據(jù)上述對(duì)安全威脅的分類，建立如下圖所示的模型用于不同類型的安全威脅分析。

從技術(shù)層面，信息系統(tǒng)面臨的主要安全威脅來(lái)自于物理環(huán)境、通信鏈路、網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)、應(yīng)用系統(tǒng)以及管理等多個(gè)方面。

物理環(huán)境所面臨的安全威脅：是指導(dǎo)致數(shù)據(jù)丟失或損壞或?qū)τ布?或基礎(chǔ)結(jié)構(gòu)造成物理?yè)p壞的任何事物，分別三種情況：

· 內(nèi)部：威脅包括火災(zāi)，電源不穩(wěn)定，硬件存放房間的濕度等。

· 外部：這些威脅包括閃電，洪水，地震等。

· 認(rèn)為：這些威脅包括盜竊，基礎(chǔ)設(shè)施和/或硬件的破壞，破壞，意外或故意的錯(cuò)誤。

通信鏈路所面臨的安全威脅：是指在信息系統(tǒng)中，數(shù)據(jù)（信息）的傳輸、處理過(guò)程中，對(duì)系統(tǒng)通信鏈路的攻擊、竊聽(tīng)等信息機(jī)密性和完整性的威脅。

網(wǎng)絡(luò)系統(tǒng)所面臨的安全威脅：在開(kāi)放網(wǎng)絡(luò)環(huán)境下，如何應(yīng)對(duì)網(wǎng)絡(luò)安全威脅，是現(xiàn)今最熱門和最棘手的問(wèn)題。包括：病毒和蠕蟲(chóng)、僵尸網(wǎng)絡(luò)、偷渡式下載攻擊、網(wǎng)絡(luò)釣魚(yú)攻擊、分布式拒絕服務(wù)（DDoS）攻擊、勒索軟件、漏洞利用工具甚至是國(guó)家級(jí)的高級(jí)持續(xù)威脅（APT）。

操作系統(tǒng)所面臨的安全威脅：是指針對(duì)基礎(chǔ)軟件底層系統(tǒng)的威脅，大多數(shù)攻擊源于操作系統(tǒng)的固有弱點(diǎn)或漏洞。

應(yīng)用系統(tǒng)所面臨的安全威脅：是指用戶業(yè)務(wù)系統(tǒng)自身的漏洞和惡意行為。

管理所面臨的安全威脅：是指使用信息系統(tǒng)的組織、單位在管理層面的安全管理和執(zhí)行制度，正所謂&34;。

本質(zhì)上，標(biāo)準(zhǔn)是一組通用的規(guī)則，定義和商定的&34;，所有各方都可以參考該標(biāo)準(zhǔn)以供共同參考。標(biāo)準(zhǔn)將是為了聲稱符合該標(biāo)準(zhǔn)而必須滿足的一組最低要求，標(biāo)準(zhǔn)提供了一套通用的參考點(diǎn)，使我們能夠評(píng)估組織是否已制定了符合議定的最低要求的流程，程序和其他控制措施。針對(duì)信息系統(tǒng)面臨的安全威脅，也有相關(guān)的安全標(biāo)準(zhǔn)。

安全標(biāo)準(zhǔn)類似于任何其他行業(yè)中的標(biāo)準(zhǔn)。標(biāo)準(zhǔn)是&34;。例如ISO 27000系列是供應(yīng)商和技術(shù)中立的國(guó)際公認(rèn)標(biāo)準(zhǔn)，它提供了一種基于風(fēng)險(xiǎn)的方法來(lái)保護(hù)其信息。它為組織提供了獨(dú)立的第三方驗(yàn)證，以證明其信息安全管理系統(tǒng)符合國(guó)際認(rèn)可的標(biāo)準(zhǔn)。包括以下幾個(gè)方面，涵蓋了信息系統(tǒng)面臨的安全威脅的所有方面：

· 信息安全政策

· 信息安全組織

· 人力資源安全

· 資產(chǎn)管理

· 訪問(wèn)控制

· 密碼學(xué)

· 物理和環(huán)境安全

· 操作安全性

· 通信安全

· 系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)的安全性要求

· 供應(yīng)商關(guān)系-供應(yīng)商關(guān)系和供應(yīng)商服務(wù)交付管理中的信息安全

· 信息安全事件管理-信息安全事件的管理和改進(jìn)

· 業(yè)務(wù)連續(xù)性管理的信息安全方面-信息安全連續(xù)性和冗余

· 合規(guī)性-符合法律和合同要求以及信息安全審查

國(guó)際上還有IEC 62443系列、NIST框架等；國(guó)內(nèi)有GB/T 36618-2018 《信息安全技術(shù) 金融信息服務(wù)安全規(guī)范》、GB/T 36627-2018 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)試評(píng)估技術(shù)指南》、GB/T 36630《信息安全技術(shù) 信息技術(shù)產(chǎn)品安全可控評(píng)價(jià)指標(biāo)》等標(biāo)準(zhǔn)。

信息安全的核心是信息保障，這意味著維護(hù)信息安全的行為，以確保在出現(xiàn)關(guān)鍵問(wèn)題時(shí)不會(huì)以任何方式破壞信息。這些問(wèn)題不僅限于自然災(zāi)害、計(jì)算機(jī)/服務(wù)器故障等。因此，近年來(lái)，信息安全領(lǐng)域已經(jīng)顯著增長(zhǎng)和發(fā)展。它提供了許多專業(yè)領(lǐng)域，包括保護(hù)網(wǎng)絡(luò)和相關(guān)基礎(chǔ)設(shè)施，保護(hù)應(yīng)用程序和數(shù)據(jù)庫(kù)，安全測(cè)試，信息系統(tǒng)審核，業(yè)務(wù)連續(xù)性計(jì)劃等。

信息安全威脅已經(jīng)成為當(dāng)今地球上個(gè)人和企業(yè)的最大威脅，并可能導(dǎo)致可預(yù)見(jiàn)的沖突和不確定性。因此，各種規(guī)模的組織都必須為晦澀難懂的事物做好準(zhǔn)備，以便它們具有承受不可預(yù)見(jiàn)和高效的安全問(wèn)題的適應(yīng)性。威脅是可能故意或意外利用導(dǎo)致信息系統(tǒng)安全事件的漏洞的行為者或情況。不能否認(rèn)，我們每個(gè)人，個(gè)人，組織或公司都受到威脅，并且可能容易受到威脅。

總而言之，意識(shí)和控制是最好的防御。通過(guò)意識(shí)和控制，我們可以保護(hù)個(gè)人信息和合作信息，同時(shí)保持信息技術(shù)的優(yōu)勢(shì)。