信息系統(tǒng)面臨的主要安全威脅

信息系統(tǒng)的威脅可能來自組織或公司內部和外部的各種地方。為了保護系統(tǒng)和信息的安全，每個公司或組織都應分析將要面臨的威脅的類型以及這些威脅如何影響信息系統(tǒng)的安全。

信息系統(tǒng)定義：可以定義為一組相互關聯(lián)的組件，這些組件涉及信息傳播的多個設備的集合，這些組件可以收集、操作、存儲數(shù)據(jù)，分發(fā)信息以支持決策制定并提供反饋機制來監(jiān)視性能，信息系統(tǒng)通常包括ICT組件，但并不僅僅與ICT有關，

信息系統(tǒng)類型：信息系統(tǒng)的類型很多，具體取決于它們要滿足的需求，每種類型具有不同的功能和用途。信息系統(tǒng)可以分為四種類型：行政信息系統(tǒng)、決策支持系統(tǒng)、管理信息系統(tǒng)、交易處理系統(tǒng)。

信息系統(tǒng)的組成：信息系統(tǒng)全部包含計算機硬件、軟件、數(shù)據(jù)、過程和人員的五部分：

硬件：物理設備，它由輸入，輸出設備，操作系統(tǒng)，處理器和媒體設備組成。這也包括計算機外圍設備；

軟件：用于控制和協(xié)調硬件組件的程序/應用程序；

數(shù)據(jù)：數(shù)據(jù)是程序用來產生有用信息的事實；

過程：過程是控制計算機系統(tǒng)運行的策略；

人員：每個系統(tǒng)都需要人員才能發(fā)揮作用；

信息安全并不僅僅是保護信息免受未經授權的訪問。信息安全基本上是一種防止未經授權訪問、使用、披露、破壞、修改、檢查、記錄或破壞信息的做法。信息可以是物理的也可以是電子的。信息安全計劃圍繞3個目標（通常稱為CIA）構建：機密性、完整性、可用性。

機密性：意味著信息不會泄露給未經授權的個人、實體和過程；

完整性：意味著保持數(shù)據(jù)的準確性和完整性；

可用性：意味著在需要時信息必須可用；

除此之外，還有另一條原則管理信息安全程序。這是不可否認的。

不可抵賴性：一方不能拒絕接收消息或交易，另一方也不能拒絕發(fā)送消息或交易；

問責制：意味著應該有可能對該實體唯一地跟蹤該實體的動作。

威脅是指可能造成傷害的任何事物（人為或自然行為）。威脅也定義為&34;

在信息系統(tǒng)安全領域，對信息系統(tǒng)面臨的主要安全威脅的理解是不同的。從安全管理的角度，NIST對信息系統(tǒng)安全威脅的分析包括：

（1） 錯誤和遺漏

錯誤和遺漏是通常被低估的重大安全威脅。如果我們將安全威脅定義為可能導致信息系統(tǒng)（硬件，軟件，數(shù)據(jù)軟件，生活軟件）的完整性遭到破壞，那么錯誤和疏漏就是安全威脅。

（2） 欺詐和盜竊

欺詐和盜竊是安全的一種威脅，重要硬件，軟件或數(shù)據(jù)的丟失會嚴重影響組織的有效性。盜竊可分為三個基本類別：物理盜竊，數(shù)據(jù)盜竊和身份盜竊，例如可以利用系統(tǒng)特點，用于從財務賬戶中竊取少量資金，并假定小額金融交易將不會被檢查為可疑（并且大量財務金額較小，可能會導致大量盜竊資金）。

（3） 破壞

故意損壞硬件，軟件和數(shù)據(jù)的原因被認為是對信息系統(tǒng)安全的嚴重威脅。人為破壞威脅在于，組織被暫時拒絕訪問某人的資源。即使對系統(tǒng)的某些部分造成相對較小的破壞，對整個組織產生重大影響。

（4） 物理和基礎設施損害

（5） 未經授權的訪問

（6） 惡意軟件

這種種安全威脅，其中包括不同類型的計算機病毒、特洛伊木馬、蠕蟲、邏輯炸彈和其他形式的&34;軟件。

（7） 對個人隱私的威脅

隨著互聯(lián)網的發(fā)展，人們對個人隱私愈發(fā)注重，存儲在不同數(shù)據(jù)庫中的大量個人數(shù)據(jù)成為信息系統(tǒng)面臨的主要問題。

根據(jù)上述對安全威脅的分類，建立如下圖所示的模型用于不同類型的安全威脅分析。

從技術層面，信息系統(tǒng)面臨的主要安全威脅來自于物理環(huán)境、通信鏈路、網絡系統(tǒng)、操作系統(tǒng)、應用系統(tǒng)以及管理等多個方面。

物理環(huán)境所面臨的安全威脅：是指導致數(shù)據(jù)丟失或損壞或對硬件和/或基礎結構造成物理損壞的任何事物，分別三種情況：

· 內部：威脅包括火災，電源不穩(wěn)定，硬件存放房間的濕度等。

· 外部：這些威脅包括閃電，洪水，地震等。

· 認為：這些威脅包括盜竊，基礎設施和/或硬件的破壞，破壞，意外或故意的錯誤。

通信鏈路所面臨的安全威脅：是指在信息系統(tǒng)中，數(shù)據(jù)（信息）的傳輸、處理過程中，對系統(tǒng)通信鏈路的攻擊、竊聽等信息機密性和完整性的威脅。

網絡系統(tǒng)所面臨的安全威脅：在開放網絡環(huán)境下，如何應對網絡安全威脅，是現(xiàn)今最熱門和最棘手的問題。包括：病毒和蠕蟲、僵尸網絡、偷渡式下載攻擊、網絡釣魚攻擊、分布式拒絕服務（DDoS）攻擊、勒索軟件、漏洞利用工具甚至是國家級的高級持續(xù)威脅（APT）。

操作系統(tǒng)所面臨的安全威脅：是指針對基礎軟件底層系統(tǒng)的威脅，大多數(shù)攻擊源于操作系統(tǒng)的固有弱點或漏洞。

應用系統(tǒng)所面臨的安全威脅：是指用戶業(yè)務系統(tǒng)自身的漏洞和惡意行為。

管理所面臨的安全威脅：是指使用信息系統(tǒng)的組織、單位在管理層面的安全管理和執(zhí)行制度，正所謂&34;。

本質上，標準是一組通用的規(guī)則，定義和商定的&34;，所有各方都可以參考該標準以供共同參考。標準將是為了聲稱符合該標準而必須滿足的一組最低要求，標準提供了一套通用的參考點，使我們能夠評估組織是否已制定了符合議定的最低要求的流程，程序和其他控制措施。針對信息系統(tǒng)面臨的安全威脅，也有相關的安全標準。

安全標準類似于任何其他行業(yè)中的標準。標準是&34;。例如ISO 27000系列是供應商和技術中立的國際公認標準，它提供了一種基于風險的方法來保護其信息。它為組織提供了獨立的第三方驗證，以證明其信息安全管理系統(tǒng)符合國際認可的標準。包括以下幾個方面，涵蓋了信息系統(tǒng)面臨的安全威脅的所有方面：

· 信息安全政策

· 信息安全組織

· 人力資源安全

· 資產管理

· 訪問控制

· 密碼學

· 物理和環(huán)境安全

· 操作安全性

· 通信安全

· 系統(tǒng)獲取、開發(fā)和維護的安全性要求

· 供應商關系-供應商關系和供應商服務交付管理中的信息安全

· 信息安全事件管理-信息安全事件的管理和改進

· 業(yè)務連續(xù)性管理的信息安全方面-信息安全連續(xù)性和冗余

· 合規(guī)性-符合法律和合同要求以及信息安全審查

國際上還有IEC 62443系列、NIST框架等；國內有GB/T 36618-2018 《信息安全技術 金融信息服務安全規(guī)范》、GB/T 36627-2018 《信息安全技術 網絡安全等級保護測試評估技術指南》、GB/T 36630《信息安全技術 信息技術產品安全可控評價指標》等標準。

信息安全的核心是信息保障，這意味著維護信息安全的行為，以確保在出現(xiàn)關鍵問題時不會以任何方式破壞信息。這些問題不僅限于自然災害、計算機/服務器故障等。因此，近年來，信息安全領域已經顯著增長和發(fā)展。它提供了許多專業(yè)領域，包括保護網絡和相關基礎設施，保護應用程序和數(shù)據(jù)庫，安全測試，信息系統(tǒng)審核，業(yè)務連續(xù)性計劃等。

信息安全威脅已經成為當今地球上個人和企業(yè)的最大威脅，并可能導致可預見的沖突和不確定性。因此，各種規(guī)模的組織都必須為晦澀難懂的事物做好準備，以便它們具有承受不可預見和高效的安全問題的適應性。威脅是可能故意或意外利用導致信息系統(tǒng)安全事件的漏洞的行為者或情況。不能否認，我們每個人，個人，組織或公司都受到威脅，并且可能容易受到威脅。

總而言之，意識和控制是最好的防御。通過意識和控制，我們可以保護個人信息和合作信息，同時保持信息技術的優(yōu)勢。