資訊保安

維基百科,自由的百科全書
(已重新導向自 資訊安全)
前往: 導覽搜尋
電腦網路入侵
防火牆的視察軟體介面範例,紀錄IP進出情況與對應事件
不同中文地區用詞或譯名
中文(中國大陸)‎ 信息安全
中文(台灣)‎ 資訊保安

資訊保安,意為保護資訊資訊系統免受未經授權的進入、使用、披露、破壞、修改、檢視、記錄及銷毀。

政府、軍隊、公司、金融機構、醫院、私人企業積累了大量的有關他們的僱員、顧客、產品、研究、金融資料的機密資訊。絕大多數此類的資訊現在被收集、產生、儲存在電子電腦內,並透過網路傳送到別的電腦。

萬一諸如一家企業的顧客、財政狀況、新產品線的機密資訊落入了其競爭對手的掌握,這種保安性的喪失可能會導致經濟上的損失、法律訴訟甚至該企業的破產。保護機密的資訊是商業上的需求,並且在許多情況中也是道德和法律上的需求。

對於個人來說,資訊保安對於其個人隱私具有重大的影響,但這在不同的文化中的看法差異相當大。

資訊保安的領域在最近這些年經歷了巨大的成長和進化。有很多方式進入這一領域,並將之作為一項事業。它提供了許多專門的研究領域,包括:保安的網路和公共基礎設施、保安的應用軟體資料庫、保安測試、資訊系統評估、企業保安規劃以及數位取證技術等等。

為保障資訊保安,要求有資訊源認證、存取控制,不能有非法軟體駐留,能有未授權的操作等行為。

名詞區分[編輯]

資安概念

資訊保安這一術語,與電腦保安資訊保障(information assurance)等術語經常被不正確地互相替換使用。這些領域經常相互關聯,並且擁有一些共同的目標:保護資訊的機密性、完整性、可用性;然而,它們之間仍然有一些微妙的區別。

區別主要存在於達到這些目標所使用的方法及策略,以及所關心的領域。資訊保安主要涉及資料的機密性、完整性、可用性,而不管資料的存在形式是電子的、印刷的還是其它的形式。

電腦保安可以指:關注電腦系統的可用性及正確的操作,而並不關心電腦記憶體儲或產生的資訊。

為保障資訊保安,要求有資訊源認證、存取控制,不能有非法軟體駐留,能有未授權的操作等行為。

歷史[編輯]

自從人類有了書寫文字之後,國家首腦和軍隊指揮官就已經明白,使用一些技巧來保證通訊的機密以及獲知其是否被篡改是非常有必要的。

凱撒被認為在公元前50年發明了凱撒密碼,它被用來防止秘密的訊息落入錯誤的人手中時被讀取。

第二次世界大戰使得資訊保安研究取得了許多進展,並且標誌著其開始成為一門專業的學問。

20世紀末以及21世紀初見證了通訊、電腦硬體和軟體以及資料加密領域的巨大發展。小巧、功能強大、價格低廉的計算裝置使得對電子資料的加工處理能為小公司和家庭用戶所負擔和掌握。這些電腦很快被通常稱為網際網路或者全球資訊網的網路連線起來。

在網際網路上快速增長的電子資料處理和電子商務應用,以及不斷出現的國際恐怖主義事件,增加了對更好地保護電腦及其儲存、加工和傳輸的資訊的需求。電腦保安、資訊保安、以及資訊保障等學科,是和許多專業的組織一起出現的。他們都持有共同的目標,即確保資訊系統的保安和可靠。

基本原理[編輯]

簡單來講,有關資訊保安的內容可以簡化為下列三個基本點:

基於這個原因,任何有違資訊的「可用性」都算是違反資訊保安的規定。因此,世上不少國家,不論是美國還是中國都有要求保持資訊可以不受規限地流通的運動舉行。

對資訊保安的認識經歷了的資料保安階段(強調保密通訊)、網路資訊保安時代(強調網路環境)和目前的資訊保障時代(強調不能被動地保護,需要有保護——檢測——反應——恢復四個環節)。

保安技術嚴格地講僅包含3類:隱藏、存取控制密碼學

典型的保安應用有:

  1. 數位浮水印屬於隱藏;
  2. 網路防火牆屬於存取控制;
  3. 數位簽名屬於密碼學。

過程式控制制[編輯]

突發事件控制[編輯]

「網路與資訊保安事件」(Network & Information Security Incident)是突發事件的一種,也被稱為「資訊保安事件」(Information Security Incident)。網路與資訊保安事件在業界尚未有統一的定義政府管理、科學研究、企業根據各自的關注點對其的理解也存在一定的差異。至於中華人民共和國國家品質監督檢驗檢疫總局中國國家標準化管理委員會制定發行的兩個現行技術標準中,對該術語的定義如下:

  • 在《資訊科技 保安技術 資訊保安事件管理指南》(GB/Z 20985-2007)中被定義為「由單個或一系列意外或有害的資訊保安事態所組成的,極有可能危害業務執行和威脅資訊保安。」
  • 在《資訊保安技術 資訊保安事件分類分級指南》(GB/Z 20986-2007)中被定義為「由於自然或者人為以及件本身缺陷或故障的原因,對資訊系統造成危害,或對社會造成負面影響的事件。」

法律、法規與標準[編輯]

目前在中國大陸地區,最重要的資訊保安標準體系是「資訊保安等級保護體系」。該體系在所有主要行業進行推廣,並對 資訊保安行業的發展產生了重要影響。

資訊保安專家[編輯]

參考文獻[編輯]

參見[編輯]