信息安全不仅仅是保护信息免遭未经授权的访问。信息安全基本上是防止未经授权的访问、使用、披露、破坏、修改、检查、记录或破坏信息的做法。信息可以是物理的或电子的。信息可以是诸如您的详细信息之类的任何内容,也可以是您在社交媒体上的个人资料、您在手机中的数据、您的生物识别等。 因此,信息安全跨越了许多研究领域,如密码学、移动计算、网络取证、在线社交媒体等。
第一次世界大战期间,考虑到信息的敏感性,开发了多层分类系统。随着第二次世界大战的开始,分类系统的正式调整完成了。艾伦·图灵是成功解密德国人用来加密战争数据的 Enigma Machine 的人。
信息安全计划围绕 3 个目标构建,通常称为 CIA——机密性、完整性、可用性。
- 机密性——意味着信息不会透露给未经授权的个人、实体和流程。例如,如果我们说我有 Gmail 帐户的密码,但有人在我登录 Gmail 帐户时看到了密码。在这种情况下,我的密码已被泄露,机密性已被破坏。
- 完整性——意味着保持数据的准确性和完整性。这意味着不能以未经授权的方式编辑数据。例如,如果一名员工离开组织,那么在这种情况下,该员工在所有部门(如帐户)的数据应更新以反映 JOB LEFT 的状态,以便数据完整和准确,除此之外,还应允许仅授权人员编辑员工数据。
- 可用性——意味着信息必须在需要时可用。例如,如果需要访问特定员工的信息以检查员工是否超过休假次数,则需要来自不同组织团队的协作,如网络运营、开发运营、事件响应和政策/变更管理。
拒绝服务攻击是阻碍信息可用性的因素之一。
除此之外,还有一项管理信息安全计划的原则。这是不可否认性。
- 不可否认——意味着一方不能否认接收消息或交易,另一方也不能否认发送消息或交易。例如,在密码学中,只要证明消息与用发件人的私钥签名的数字签名相匹配就足够了,并且该发件人可以发送一条消息,并且没有其他人可以在传输过程中对其进行更改。数据完整性和真实性是不可否认性的先决条件。
- 真实性 –意味着验证用户是他们所说的人,并且到达目的地的每个输入都来自受信任的来源。如果遵循这一原则,则可以保证通过有效传输从受信任来源收到有效和真实的消息。例如,如果采用上述示例,发送方将消息连同使用消息和私钥的哈希值生成的数字签名一起发送。现在在接收方,这个数字签名使用公钥解密,生成散列值,消息再次散列以生成散列值。如果 2 值匹配,那么它被称为与真实的有效传输,或者我们说在接收方收到的真实消息
- 问责制 –意味着应该可以将一个实体的行为唯一地追溯到该实体。例如,正如我们在完整性部分所讨论的,并不是每个员工都应该被允许更改其他员工的数据。为此,组织中有一个单独的部门负责进行此类更改,当他们收到更改请求时,该信函必须由上级主管签署,例如学院院长和被分配更改的人员将能够在验证他的生物指标后进行更改,从而记录用户(进行更改)详细信息的时间戳。因此,我们可以说,如果发生这样的变化,那么就有可能将动作唯一地追溯到一个实体。
信息安全的核心是信息保障,这意味着维护信息的中央情报局的行为,确保在出现关键问题时信息不会以任何方式受到损害。这些问题不仅限于自然灾害、计算机/服务器故障等。
因此,信息安全领域近年来得到了显着的发展和发展。它提供了许多专业领域,包括保护网络和相关基础设施、保护应用程序和数据库、安全测试、信息系统审计、业务连续性规划等。