資訊保安的威脅與詳解

  資訊保安主要包括以下五方面的內容,即需保證資訊的保密性、真實性、完整性、未授權拷貝和所寄生系統的安全性。下面就讓小編來給你科普一下什麼是資訊保安。

  資訊保安的簡介

  資訊保安本身包括的範圍很大,其中包括如何防範商業企業機密洩露、防範青少年對不良資訊的瀏覽、個人資訊的洩露等。網路環境下的資訊保安體系是保證資訊保安的關鍵,包括電腦保安作業系統、各種安全協議、安全機制***數字簽名、訊息認證、資料加密等***,直至安全系統,如UniNAC、DLP等,只要存在安全漏洞便可以威脅全域性安全。資訊保安是指資訊系統***包括硬體、軟體、資料、人、物理環境及其基礎設施***受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、洩露,系統連續可靠正常地執行,資訊服務不中斷,最終實現業務連續性。

  資訊保安學科可分為狹義安全與廣義安全兩個層次,狹義的安全是建立在以密碼論為基礎的電腦保安領域,早期中國資訊保安專業通常以此為基準,輔以計算機技術、通訊網路技術與程式設計等方面的內容;廣義的資訊保安是一門綜合性學科,從傳統的電腦保安到資訊保安,不但是名稱的變更也是對安全發展的延伸,安全不在是單純的技術問題,而是將管理、技術、法律等問題相結合的產物。本專業培養能夠從事計算機、通訊、電子商務、電子政務、電子金融等領域的資訊保安高階專門人才。

  資訊保安的主要威脅

  ***1*** 資訊洩露:資訊被洩露或透露給某個非授權的實體。

  ***2*** 破壞資訊的完整性:資料被非授權地進行增刪、修改或破壞而受到損失。

  ***3*** 拒絕服務:對資訊或其他資源的合法訪問被無條件地阻止。

  ***4*** 非法使用***非授權訪問***:某一資源被某個非授權的人,或以非授權的方式使用。

  ***5*** 竊聽:用各種可能的合法或非法的手段竊取系統中的資訊資源和敏感資訊。例如對通訊線路中傳輸的訊號搭線監聽,或者利用通訊裝置在工作過程中產生的電磁洩露擷取有用資訊等。

  ***6*** 業務流分析:通過對系統進行長期監聽,利用統計分析方法對諸如通訊頻度、通訊的資訊流向、通訊總量的變化等引數進行研究,從中發現有價值的資訊和規律。

  ***7*** 假冒:通過欺騙通訊系統***或使用者***達到非法使用者冒充成為合法使用者,或者特權小的使用者冒充成為特權大的使用者的目的。黑客大多是採用假冒攻擊。

  ***8*** 旁路控制:攻擊者利用系統的安全缺陷或安全性上的脆弱之處獲得非授權的權利或特權。例如,攻擊者通過各種攻擊手段發現原本應保密,但是卻又暴露出來的一些系統“特性”,利用這些“特性”,攻擊者可以繞過防線守衛者侵入系統的內部。

  ***9*** 授權侵犯:被授權以某一目的使用某一系統或資源的某個人,卻將此許可權用於其他非授權的目的,也稱作“內部攻擊”。

  ***10***特洛伊木馬:軟體中含有一個覺察不出的有害的程式段,當它被執行時,會破壞使用者的安全。這種應用程式稱為特洛伊木馬***Trojan Horse***。

  ***11***陷阱門:在某個系統或某個部件中設定的“機關”,使得在特定的資料輸入時,允許違反安全策略。

  ***12***抵賴:這是一種來自使用者的攻擊,比如:否認自己曾經發布過的某條訊息、偽造一份對方來信等。

  ***13***重放:出於非法目的,將所截獲的某次合法的通訊資料進行拷貝,而重新發送。

  ***14***計算機病毒:一種在計算機系統執行過程中能夠實現傳染和侵害功能的程式。

  ***15***人員不慎:一個授權的人為了某種利益,或由於粗心,將資訊洩露給一個非授權的人。

  ***16***媒體廢棄:資訊被從廢棄的磁碟或列印過的儲存介質中獲得。

  ***17***物理侵入:侵入者繞過物理控制而獲得對系統的訪問。

  ***18***竊取:重要的安全物品,如令牌或身份卡被盜。

  ***19***業務欺騙:某一偽系統或系統部件欺騙合法的使用者或系統自願地放棄敏感資訊等等。

  資訊保安的實現目標

  真實性:對資訊的來源進行判斷,能對偽造來源的資訊予以鑑別。

  保密性:保證機密資訊不被竊聽,或竊聽者不能瞭解資訊的真實含義。

  完整性:保證資料的一致性,防止資料被非法使用者篡改。

  可用性:保證合法使用者對資訊和資源的使用不會被不正當地拒絕。

  不可抵賴性:建立有效的責任機制,防止使用者否認其行為,這一點在電子商務中是極其重要的。

  可控制性:對資訊的傳播及內容具有控制能力。

資訊保安的威脅