信息安全就是保护 信息和信息系统 的安全 ,在没有授权情况下进行任何操作(包括访问,使用,修改,删除,泄漏)

通过问这几个问题来详细了解信息安全的内容

  1. 合格的信息系统需要具备什么特性

  2. 信息安全要保护什么方面

  3. 信息安全有什么具体实现方式

  4. 公司组织如何建立一个安全框架体系

  5. 怎么评估系统有多安全

合格的信息系统需要具备什么特性

  • 机密性

  • 完整性

  • 可用性

  • 可控性

  • 可审查性

这五个要素覆盖了信息系统在面临各种安全威胁时所需保障的关键方面

1机密性

保障信息不被泄露给未授权的个人或实体

比如通过加密技术防止窃听,常见的就是 https 

2完整性

信息在传输或存储过程中不被非法篡改,保证数据真实性和唯一性

比如通过对原信息生成唯一hash之后,通过校验hash是否一致来判断是否被篡改

3可用性

保障授权用户可以及时、可靠地访问系统,可以正常提供服务

比如保障系统不中毒或者Dos攻击而崩溃,从而无法访问就破坏了可用性

4可控性

可以控制信息在授权范围内的流向和行为方式

其实就是控制权限,比如公司的财务数据限制只有管理层和财务人员有访问权限

5可审查性

发生安全事件的时候,可以查看日志来溯源追责

比如公司发现有一笔非法转账,就通过日志查看是什么人员,什么时候,用什么设备执行操作,判断是内部操作还是外部攻击

可审查性 不仅可以事后追责,也可以事前威慑,通过操作留痕让大家更恪守本分

比如你有一所房子

  • 机密性:装了防盗门

  • 完整性:出门前拍照,回来的时候对比有没有被乱动

  • 可用性:自己想回就回(因为吵架有家回不去)

  • 可控性:想让谁去你家就让谁去

  • 可审查性:装了监控,实时回看(猫猫家庭必备)

信息安全要保护什么方面

怎么去判定一个信息系统到底包含什么?

那肯定不能从单一维度出发,而是要形成一个立体化的安全框架

比如由外到内,从硬到软,由静态到动态 去描述我们要保护的对象

目前的防护体系就分为了4个维度

  1. 设备安全

  2. 数据安全

  3. 内容安全

  4. 行为安全

1设备安全

物理层面。

  • 稳定性:设备一定时间不出故障的概率

  • 可靠性:设备一定时间正常执行任务的概率

  • 可用性:设备可以正常使用的概率

稳定性好:侧重连续性,比如可以连续xxx个月不出故障

可靠好:侧重正确性,比如输出结果必须准确无误(不能算出9*9=82)

可用性好:侧重服务正常时间比例,比如整年正常提供服务时间为 99.99%

可用性好,不一定稳定性好:比如整年可用性为99.99%,服务一年故障没有超过 5.26 分钟,但是你整年故障了100次,虽然每次只有3秒,但是就是证明稳定性不好

稳定性好,不一定可靠性好:你稳定运行,但是输出结果总是错,闹钟每天都响,不是迟就是早,就是不按你设定的时间来

2数据安全

逻辑层面。

  • 秘密性:数据不被非授权用户获取

  • 完整性:数据不被非法篡改

  • 可用性:数据可被授权用户随时正常使用

三个特性合称为“CIA三元组”(Confidentiality, Integrity, Availability),是信息安全领域最基础的安全模型

3内容安全

社会、法律、道德层面。

内容必须是合法合规的,不能违背公序良俗

4行为安全

操作层面。

保证人或系统的操作过程是否可控、可审计、可预测

即使设备、数据和内容都安全,如果用户或程序的行为失控(如内部人员恶意删除数据),依然会导致严重安全事件

比如24年闹得沸沸扬扬的字节大模型投毒岸,利用了 Huggingface 的一个函数漏洞,伪装了一个看似正常的文件,远程执行代码,篡改模型训练参数

当时有人还分析了他的“投毒”机制:大概是通过修改模型的优化器,篡改了参数的梯度方向,甚至随机让模型在训练过程中sleep(休眠),从而大大降低模型的训练速度

信息安全要保护什么方面

上面我们从维度出发,了解了信息安全应该保护哪些方面,都是一些比较虚的层面

现在要落到实体上,探究信息安全的实现方式

  • 信息存储安全

  • 网络安全

  • 操作系统安全

  • 数据库安全

  • ...

具体的安全往往就是多个维度的结合

网络安全 = 数据安全 + 行为安全 + 设备安全

信息存储安全 = 数据安全 + 设备安全

1信息存储安全

信息处于静态时,确保数据在存储介质中不被未授权访问、篡改、泄露或破坏的安全保障机制

并且又分为这几个方面

  • 信息使用的安全

  • 系统安全监控

  • 计算机病毒防治

比如说疫情的时候如何保证城市安全

  • 每个进出的人都要核酸(信息使用安全)

  • 城市闸口有人员把守,防止红码黄码非法入侵(系统安全监控)

  • 定时对人员核查,防止有混进来的(计算机病毒防治)

信息使用安全

1.用户的标识和验证。即验证你是合法授权人员,通过 账号密码/指纹/IC卡

2.用户的存取权限限制。通过授权方式限制用户的存(增/删/改)取(读/执行)操作

  • 限制控制法。基于最小权限原则给所有文件、目录 都设置权限,给不同用户设置不同权限

  • 隔离控制法。

2.1 限制控制法比较常见了

2.2 隔离控制法可以好好研究下:

  • 物理隔离:通过硬件手段硬隔离。比如公司数据放在独立机房,只有内网才可以访问

  • 时间隔离:限制不同用户或任务在不同的时间段操作。我想了一下:虽然肯定会有其他权限限制,但是重要机密数据和 普通数据一起流通 还是很危险,权限只是防君子不防小人

  • 逻辑隔离:同一物理平台上划分出相互隔离的逻辑区域,实现资源的分离管理。比如虚拟机

  • 密码隔离:加密隔离,即使获取也无法破解

我想了一下这就好比如何防止作弊惯犯考试作弊

  • 物理隔离:每个人一间小隔板

  • 时间隔离:分时间考试,他上午考,人家下午考

  • 逻辑隔离:大家都是不同的考卷

  • 密码隔离:屏幕防窥板,旁边的人看不到(机考)

系统安全监控

建立安全监控系统,实时掌握系统的运行状态和活动记录

  • 部署 入侵检测系统(IDS)或 安全信息与事件管理系统(SIEM),及时发现异常登录或数据访问行为

  • 建立 完善的审计系统和日志管理系统,对所有关键操作进行记录,并定期分析日志以识别潜在威胁

计算机病毒防治

  • 安装病毒自动检测系统;

  • 定期更新病毒库和扫描引擎,防止新型恶意软件感染存储系统

2网络安全

关注信息在动态传输过程中的保护

主要关注三个方面

  • 安全漏洞。我们现存都有什么问题

  • 安全威胁。别人都用什么方式攻击我们

  • 安全目标。我们要做到什么样

他们三个关系我理解就是这样

可能表示有点奇怪,但是我要表达的意思是

自身安全漏洞带来的威胁 + 其他威胁行为 = 安全威胁

防止安全威胁行为 + 其他安全措施 = 达成 安全目标

并不是 补漏洞 = 防止了威胁 = 达成了安全目标

比如一座房子想要住得安全(不发生火灾),你需要做这些

  • 清理周边可燃物(补漏洞)

  • 但是别人同样可以通过其他方式点你房子,比如浇汽油(非漏洞的安全威胁)

  • 你派保安24小时保护(防止了所有威胁行为)

  • 但是可能一道雷劈下来,或者被别人买通朋友从家里点火(非可预知危险)

  • 于是你时刻保证消防栓有水,准备充足灭火器(这才达成安全目标)

我们看看都有什么漏洞,都有什么威胁,要达成什么目标

安全漏洞

  • 物理安全性漏洞:非授权人员接触设备获取信息。比如机房不上锁,外部人员通过U盘拷贝数据

  • 软件漏洞:程序Bug或者后门。黑客直接获取最高权限

  • 不兼容使用安全漏洞:两个毫无关系但是有用的事物被连接到一起导致的漏洞。原本各自独立、功能正常的组件,在未经充分评估的情况下被组合使用,结果因交互方式不当而引入安全风险 。我实在想不到可以说服自己的例子....

  • 选择合适的安全哲理:再完美的安全机制都比不上安全意识。比如系统设置123466这种简单密码,离开座位不锁屏

安全威胁

  • 非授权访问:未授权使用资源,比如假冒,合法用户越权操作,常见的就是 CSRF 攻击了

  • 信息泄露或丢失:数据被非法获取或者意外丢失。比如13年的2000万开房数据曝光事件,或者电脑丢了导致数据外泄,冠希哥...

  • 破坏数据完整性:非法手段获取数据使用权(增删改),比如攻击企业在官网发布虚假信息

  • 拒绝服务攻击:比较常见,攻击通过耗尽目标系统的资源(如带宽、内存、CPU 等),使其无法正常为合法用户提供服务,比如为了狙击黑神话热度记录而发生的Steam Dos攻击事件

  • 利用网络传播病毒:顾名思义,比如通过点击钓鱼邮件而下载病毒

安全目标

  • 访问控制:确保你只能做权限范围内的事

  • 认证:确保你是你

  • 完整性:确保你发送或收到的信息不会被篡改

  • 审计:确保你的任何行为都可以追踪记录

  • 保密:确保你的信息无法被获取

公司怎么建立安全框架体系

要建立一个完整的安全体系框架,不只是涉及技术方面,更重要的是人

所以一个框架分为三个部分

  • 技术体系

  • 组织架构体系

  • 管理体系

建立一个安全框架就是建立一个坚不可摧的城池

  • 技术体系,就是城墙,护城河,大炮

  • 组织架构体系,就是你的将军,弓箭手,哨兵,冲锋兵

  • 管理体系,就是你的兵法,阵法,军法,咦,军法?军法伺候!

闲扯完了,再仔细说说

技术体系,前面说的那些方面

  • 信息存储安全

  • 网络安全

  • 操作系统安全

  • 数据库安全

  • 基础安全设备,比如工卡

  • 终端设备安全,比如打印机,电视机

组织架构体系,分为决策层,管理层,执行层

  • 安全管理员作为执行层来落实各项安全策略

  • 管理层负责对执行层 进行 培训和安全监管

  • 决策层需要审批信息安全预算、确定安全优先级、推动安全文化的建立,并对重大安全事件或风险做出最终决策

管理体系

  • 组织遵守相关法律法规

  • 制定内部安全规章制度

  • 对员工进行定期的安全意识培训,比如定期更换密码,离开电脑锁屏

怎么评估系统有多安全

依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)将信息系统划分为五个等级,从低到高

  1. 用户自主保护级

  2. 系统审计保护级

  3. 安全标记保护级

  4. 结构化保护级

  5. 访问验证保护级

每一级都在前一级的基础上增加新的安全机制,形成递进式防护能力

这些可不是自己评的,要由 国家指定的专门机构和具备资质的专业测评单位 共同完成的

而且第三级及以上等级,必须由国家认可的第三方等级保护测评机构进行现场测评,并出具正式测评报告

我前司就一直在弄 等保三级,好像还挺麻烦了,要对公司和产品做各种漏洞扫描

1用户自主保护级

隔离用户与数据,使用户能够自主地保护自己的信息。系统提供基本的自主访问控制(DAC),用户可以为文件设置读写权限,防止其他用户非法访问。

比如有这些能力

  • 有简单登录功能,实现用户识别和验证

  • 有设置权限功能,用户可以为自己的内容设置权限,让谁看不让谁看

  • ...

2系统审计保护级

第一级基础上,实现粒度更细的自主访问控制

比如

  • 有严格登录流程,比如要多方验证

  • 有日志功能,可以记录用户的行为

  • 有更严格的资源隔离功能,不只是权限的限制

  • ...

3安全标记保护级

  • 引入强制访问控制机制。文档等内容的权限操作通过系统预设的安全策略来定,不再是个人授权,就算是你的创建的文件,也无法开放给 比你级别低的 同事。 系统会给所有东西(人、设备、事物)打上安全标记(安全级别),级别低的看不到级别高的

  • 消除已知的安全漏洞。我前司就给机构扫描出上千个漏洞,要修好才能评级

  • 信息始终带上安全标记。比如你看不了的文档,即使你复制拷贝层层流转,也会始终带上安全标记,打开也会自动判断无法查看。

  • ... 

4结构化保护级

在第三级基础上还需做到:

  • 加强身份鉴别机制,支持双重认证;

  • 提供可信设备管理功能,支持安全管理员角色。像是QQ那些的异地陌生设备登录的验证

  • 强制访问控制扩展到所有主体与客体,包括内存段、I/O设备等底层资源;

  • ....

这个看起来就已经非常复杂了

5访问验证保护级

在第四级基础上还需做到:

  • 扩展审计机制,在发生安全事件时能主动发出告警信号;

  • 系统构造时排除与安全无关的代码,降低复杂性,提升可验证性;

  • 实现访问监控器机制。所有操作都必须经过安全检查

  • ....

更复杂了

所幸的是不是所有软件都要达到最高等级

等级是根据对这三类客体造成的影响大小划分的

  1. 公民、法人和其他组织的合法权益

  2. 社会秩序和公共利益

  3. 国家安全

而开发的软件需要达到什么安全等级,就要看你会造成多大的影响(闯多大的祸)

当然是越高越好了,虽然安全投入也是要成本的

什么软件要达到什么等级

  • 大多数商业软件起码第二级,我查了微信,淘宝那些都是三级

  • 涉及公共事务、重要数据的系统(如社保、医保、银行)应达到起码第三级

  • 国家关键基础设施系统才需考虑第四级及以上