资讯资产
在组织信息安全、计算机安全及网络安全领域中的资讯资产(或简称资产)是指在组织中支援资讯相关活动的资讯、人员、软件、硬件、环境。资讯资产一般会包括硬件(服务器及网络切换器)、软件(任务关键应用程序及支援系统)及机密资讯[1][2]。资讯资产需要加以保护,避免非法存取、使用、揭露、更改、破坏或是被窃,也避免造成组织的损失[3]。
资讯安全三要素[编辑]
信息安全的目的是要确保在众多威胁下,可以维持资产的保密(Confidentiality)、完整性(Integrity)、可用性(Availability)。例如白帽黑客会利用漏洞进行网络攻击,以窃取信用卡的卡号。资讯安全专家需要评估攻击可能的影响,并且布署适当的对策[4]。以这个例子而言,对策可能是防火墙以及对卡号的加密。
风险分析[编辑]
在进行风险分析时,需要评估各个资产若损失时会产生的成本,进而评估要花多少经费来保护这些资产,也需要评估各个资产损失的几率。考虑时也需要考虑无形成本。例如骇客偷走了某信用卡公司的所有信用卡卡号,信用卡公司没有任何直接损失,不过在商誉上会有很大的影响,也会有高额的罚款。
相关条目[编辑]
- 计算机安全
- 对策 (资讯安全)
- 资讯风险因素分析
- ENISA
- 漏洞利用
- FISMA
- 互联网工程任务组
- 信息安全
- 资讯安全管理系统
- 完整性
- IT风险
- 国家标准技术研究所
- 风险因素 (资讯安全)
- 风险管理
参考资料[编辑]
- ^ ISO/IEC 13335-1:2004 Information technology -- Security techniques -- Management of information and communications technology security -- Part 1: Concepts and models for information and communications technology security management. [2019-08-05]. (原始内容存档于2016-12-31).
- ^ ENISA Glossary. [2019-08-05]. (原始内容存档于2012-02-29).
- ^ "An Introduction to Factor Analysis of Information Risk (FAIR)", Risk Management Insight LLC, November 2006 (页面存档备份,存于互联网档案馆);
- ^ IETF RFC 2828