信息安全領域最薄弱的環節是人,也指人為威脅,分為無意識和有意識。無意識威脅是指由於管理和用戶操作失誤導致的信息泄露或破壞。有意識威脅是指壹些組織或個人為了自己的目的或利益,直接破壞各種設備,竊取和盜用有價值的數據和信息,制造和傳播病毒或改變系統功能。這種有意識的威脅是最需要註意的。
信息安全的四個要素是:
1,技術:
信息安全技術是指保證自己的信息能夠被正常獲取、傳輸、處理和使用,而不被無權享有的他人獲取和使用的壹系列技術。
2.系統:
信息安全是指確保公司計算機設備、信息網絡平臺(內部網絡系統和ERP、CRM、WMS、網站、企業郵箱等)的安全、穩定和正常運行)和電子數據,旨在規範和保護信息在傳輸、交換、存儲和備份過程中的機密性、完整性和真實性。為加強公司信息安全管理,防止信息安全事故的發生,特制定本管理制度。
3.流程:
信息安全管理流程的KPI為了保證信息安全管理的良好實施,定義了以下關鍵指標:信息安全經理:與信息安全相關的重大事件數量;服務信息安全達標率;信息安全計劃的質量和更新率。
4.人員:
人是信息系統的主體,包括信息系統的所有者、管理者和使用者,是信息安全的核心。
網絡信息安全常見的基本屬性主要包括:
保密性:保密性是指網絡信息不被泄露給未經授權的用戶、實體或程序,可以防止未經授權的人獲取信息。例如,在網絡信息系統上傳輸的密碼敏感信息,如果被攻擊者通過監控獲取,可能會危及網絡系統的整體安全。比如網管賬號密碼信息泄露,會導致網絡設備失控。
機密性通常被稱為網絡信息系統中CIA的三大特征之壹,代表機密性。保密是軍事信息系統、電子政務信息系統、商業信息系統等的關鍵要求。壹旦信息泄露,影響難以計算。
完整性:完整性是指網絡信息或系統在未經授權的情況下不能被更改的特性。比如電子郵件不被刪除、修改、偽造、插入等。在儲存或傳輸過程中。完整性也被稱為網絡信息系統的三大特征之壹,它代表完整性。誠信對於成千上萬的金融信息系統和工業控制系統來說非常重要,可謂“千裏之外,毫厘之差”。
可用性:可用性是指合法授權的用戶能夠及時獲得網絡信息或服務的特性。例如,網站可以為用戶提供正常的web訪問服務,並防止拒絕服務攻擊。可用性是網絡信息系統CIA的三個特征之壹,它代表可用性。
對於國家和關鍵的信息基礎設施,可用性非常重要,如電力信息系統、電信信息系統等。,這就要求保持業務連續性,盡可能避免服務中斷。
不可否認性:不可否認性是指防止網絡信息系統用戶否認其活動的特性。例如,通過網絡審計和數字簽名,訪問者在網絡系統中的活動可以被記錄和追蹤。不可抵賴也叫不可抵賴,不可抵賴的目的是防止參與者否認自己的行為。這種安全特性通常用於電子合同、數字簽名、電子取證和其他應用中。
可控性:可控性是指網絡信息系統的責任主體具有對其進行管理和支配的能力,能夠按照授權規則對系統進行有效的掌握和控制,使管理者能夠有效地控制系統的行為和信息的使用,符合系統和統壹的運行目標的屬性。
真實性:真實性是指網絡空間信息與實際物理空間和社會空間的客觀事實的壹致性。比如網絡謠言信息不符合真實情況,違背客觀事實。
及時性:及時性是指網絡空間的信息、服務和系統能夠滿足時間的限制。比如安全駕駛的智能控制系統,要求實時信息,信息在規定的時間範圍內有效。
合規:合規是指網絡信息、服務和系統符合法律、法規、政策、標準和規範的要求。比如網上內容符合法律法規政策要求。
公平:公平是指網絡信息系統的所有相關主體在同壹位置處理相關任務,任何壹方都不占優勢的特征要求。比如電子合同雙方滿足公平的要求,同時簽訂合同。
可靠性:可靠性是指網絡信息系統在規定的條件和時間下,能夠有效完成預定系統功能的特性。
可生存性:可生存性是指網絡信息系統在安全受損的情況下,能夠提供最低限度的、必要的服務功能,支持業務繼續運行的安全特性。
隱私:隱私是指關於個人的敏感信息不公開的安全屬性,如個人身份證號、住址、電話號碼、工資收入、疾病狀況、社會關系等。