什麼是資訊安全?
資訊安全不僅僅是保護資訊免受未經授權的訪問。資訊安全基本上是防止未經授權訪問、使用、披露、中斷、修改、檢查、記錄或破壞資訊的做法。資訊可以是實體的或數位的。資訊可以是您的詳細資訊,也可以是您在社交媒體上的個人資料、您在手機中的數據、您的生物特徵等。因此,資訊安全涵蓋了許多研究領域,如密碼學、移動計算、網絡取證、網路社交媒體等。
在第一次世界大戰期間,考慮到資訊的敏感性,開發了多層分類系統。隨著第二次世界大戰的開始,分類系統的正式對齊已經完成。Alan Turing 是成功解密德國人用來加密戰爭數據的 Enigma Machine 的人。
資訊安全計劃圍繞 3 個目標構建,通常稱為 CIA——機密性、完整性、可用性。
- 機密性——意味著資訊不會透露給未經授權的個人、實體和流程。例如,如果我們說我有 Gmail 帳戶的密碼,但有人在我登錄 Gmail 帳戶時看到了。在這種情況下,我的密碼已被洩露,機密性已被破壞。
- 完整性——意味著保持數據的準確性和完整性。這意味著不能以未經授權的方式編輯數據。例如,如果一名員工離開了一個組織,那麼在這種情況下,該員工在所有部門(如賬戶)中的數據都應該更新,以反映 JOB LEFT 的狀態,以便數據完整和準確,除此之外,應該只允許授權人員編輯員工數據。
- 可用性——意味著資訊必須在需要時可用。例如,如果需要訪問特定員工的資訊以檢查員工是否超過休假次數,在這種情況下,它需要來自不同組織團隊的協作,例如網絡運營、開發運營、事件響應和政策/變更管理。 拒絕服務攻擊是阻礙資訊可用性的因素之一。
除此之外,還有一個管理資訊安全計劃的原則。這是不可否認的。
- 不可否認性——意味著一方不能否認收到消息或交易,另一方也不能否認發送消息或交易。例如,在密碼學中,表明消息與使用發送者的私鑰簽名的數字簽名相匹配就足夠了,並且發送者可能已經發送了一條消息,並且沒有其他人可以在傳輸過程中對其進行更改。數據完整性和真實性是不可否認性的先決條件。
- 真實性——意味著驗證用戶是他們所說的那個人,並且到達目的地的每個輸入都來自一個受信任的來源。如果遵循此原則,則可以保證通過有效傳輸從受信任的來源接收到有效和真實的消息。例如,如果以上面的示例發送者發送消息以及使用消息的哈希值和私鑰生成的數字簽名。現在在接收方,這個數字簽名被使用生成散列值的公鑰解密,並且消息再次被散列以生成散列值。如果 2 值匹配,則稱其為具有真實的有效傳輸,或者我們說接收方收到的真實消息
- 問責制——意味著應該可以跟踪一個實體的唯一行為。例如,正如我們在“誠信”部分所討論的,並非每個員工都應該被允許更改其他員工的數據。為此,組織中有一個單獨的部門負責進行此類更改,當他們收到更改請求時,該信必須由上級機構簽署,例如學院主任和被分配更改的人員將能夠在驗證他的生物指標後進行更改,從而記錄用戶(進行更改)詳細資訊的時間戳。因此,我們可以說,如果變化是這樣的,那麼就可以將這些動作唯一地追踪到一個實體。
資訊安全的核心是資訊保障,這意味著維護 CIA 資訊的行為,確保在出現關鍵問題時資訊不會以任何方式受到損害。這些問題不僅限於自然災害、電腦/伺服器故障等。
因此,近年來,資訊安全領域得到了顯著的發展和進度。它提供了許多專業領域,包括保護網絡和相關基礎設施、保護應用程式和資料庫、安全測試、資訊系統審計、SEO、業務連續性規劃等。