1. 软市首页
  2. 软件开发

2信息安全概念

软件开发

造成信息不安全的因素:

  1. 系统不及时打补丁
  2. 使用弱口令(简单的密码)
  3. 连接不加密的无线 络

BYOD设备

BYOD(Bring Your Own
Device)指携带自己的设备办公,这些设备包括个人电脑、手机、平板等(而更多的情况指手机或平板这样的移动智能终端设备。)在机场、酒店、咖啡厅等,登录公司邮箱、在线办公系统,不受时间、地点、设备、人员、 络环境的限制,BYOD向人们展现了一个美好的未来办公场景。
BYOD(Become Your Office
Device)即在你自己的设备上安装很多公司的软件,以便可以让你使用公司的资源。当员工的设备比如iphone上安装了这样的管理软件,员工自己的手机就变成了公司的手机,那个Agent就不停的和服务器同步(不知道同步的程序和数据的细节)。虽然这是一个员工的“Own
Device”,但此时BYOD从“Bring Your Own Device”变成了“Become Your Office Device”。
0 day漏洞就是在系统商不知晓或是尚未发布相关补丁就被掌握或者公开的漏洞信息。

一、 安全事件的发生机理

外在威胁

1、信息系统的威胁

潜在的、对信息系统造成危害的因素。对信息系统安全的威胁是多方面的,目前还没有统一的方法对各种威胁加以区别和进行准确的分类,因为不同威胁的存在及其重要性是随环境的变化而变化的。
2、 络中的信息安全威胁主要由以下三个方面

  • 针对国家层面的国家行为的 络霸权威胁、非国家行为体的 络恐怖主义、 络谣言和 络、 会动员
  • 针对组织和个人的 络 攻击威胁
  • 针对个人的 络欺凌等 威胁

内在脆弱点

信息系统中的脆弱点有时又被称作脆弱性、弱点(Weaknesses)、安全漏洞Holes)物理安全、操作系统、应用软件、TCP/IP 络协议和人的因素等各个方面都存在已知或未知的脆弱点,它们为安全事件的发生提供了条件。

1、脆弱点——物理
计算机系统物理方面的安全主要表现为物理可存取、电磁泄露等方面的问题。此外,物理安全问题还包括设备的环境安全、位置安全限制物理访问、物理环境安全和地域因素等。机房数量超过空调

2、脆弱点——软件系统计算机软件
可分为操作系统软件、应用平台软件(如数据库管理系统)和应用业务软件三类,以层次结构构成软件体系可以说,任何一个软件系统都会因为程序员的一个疏忽、开发中的一个不规范等原因而存在漏洞。

3、脆弱点—— 络和通信协议
TCP/IP协议栈在设计时,只考虑了互联互通和资源共享的问题,并未考虑也无法同时解决来自 络的大量安全问题。

4、脆弱点——人

  • 人为的无意失误
  • 人为的恶意攻击
  • 管理上的因素

二、什么是安全

CIA安全需求模型

1、保密性 Confidentiality

是指确保信息资源仅被合法的实体(如用户、进程)访问,使信息不泄漏给未授权的实体

保什么/h4>
  • 国家秘密
  • 各种 会团体、企业组织的工作及商业秘密
  • 个人的秘密和个人隐私

对什么保/h4>
  • 数据的存在性
  • 计算机的进程
  • 中央处理器
  • 存储设备
  • 打印设备

怎么保/h4>

实现保密性的方法般是通过对信息的加密,或是对信息划分密级并为访问者分配访问权限,系统根据用户的身份权限控制对不同密级信息的访问

2、完整性 Integrity

  • 指信息资源只能由授权方或以授权的方式修改,在存储或传输过程中不被偶然或蓄意地修改、伪造等破坏
  • 不仅仅要考虑数据的完整性,还要考虑操作系统的逻辑正确性和可靠性,要实现保护机制的硬件和软件的逻辑完备性、数据结构和存储的一致性

方法

  1. 预防:通过阻止任何未经授权的改写企图,或者通过阻止任何未经授权的方法来改写数据的企图,以确保数据的完整性。
  2. 检测:并不试图阻止完整性的破坏,而是通过分析用户或系统的行为,或是数据本身来发现数据的完整性是否遭受破坏。

3、可用性Availability

  • 可用性是指信息资源可被合法用户访问并按要求的特性使用而不遭拒绝服务。
  • 可用的对象包括:信息、服务、IT资源等。例如在 络环境下破坏 络和有关系统的正常运行就属于对可用性的攻击。

方法

  1. 备份与灾难恢复
  2. 应急响应
  3. 系统容侵

其他需求

1、不可抵赖性
通常又称为不可否认性,是指信息的发送者无法否认已发出的信息或信息的部分内容,信息的接收者无法否认已经接收的信息或信息的部分内容。实现不可抵赖性的措施主要有数字签名、可信第三方认证技术等。
2、可认证性

  • 可认证性是指保证信息使用者和信息服务者都是真实声称者,防止冒充和重放的攻击。
  • 可认证性比鉴别(Authentication)有更深刻的含义,它包含了对传输、消息和消息源的真实性进行核实。

3、可控性

  • 可控性是指对信息和信息系统的认证授权和监控管理,确保某个实体(用户、进程等)身份的真实性,确保信息内容的安全和合法,确保系统状态可被授权方所控制
  • 管理机构可以通过信息监控、审计、过滤等手段对通信活动、信息的内容及传播进行监管和控制。

4、可审查性
可审查性是指使用审计、监控、防抵赖等安全机制,使得使用者(包括合法用户攻击者、破坏者、抵赖者)的行为有证可查,并能够对 络出现的安全问题提供调查依据和手段。

  • 审计是通过对 络上发生的各种访问情况记录日志,并对日志进行统计分析,是对资源使用情况进行事后分析的有效手段,也是发现和追踪事件的常用措施。
  • 审计的主要对象为用户、主机和节点,主要内容为访问的主体、客体、时间和成败情况等

5、可存活性
可存活性是指计算机系统的这样一种能力:它能在面对各种攻击或错误的情况下继续提供核心的服务,而且能够及时地恢复全部的服务

小结
信息安全是特定对象的安全(信息基础设施,计算环境,边界和连接,信息内容,信息的应用)
信息安全是特定过程的安全(生产,存储,传输,处理,使用,销毁)
信息安全活动主要围绕人,技术,管理三要素展开。

声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!

上一篇 2021年1月23日
下一篇 2021年1月23日

相关推荐

首页
软件超市
企服市场
会员中心