信息安全不仅要保护信息免受未经授权的访问。信息安全基本上是一种防止未经授权访问, 使用, 披露, 破坏, 修改, 检查, 记录或破坏信息的做法。信息可以是物理的也可以是电子的。信息可以是诸如你的详细信息之类的信息, 也可以是你在社交媒体上所说的个人资料, 你在手机中的数据, 你的生物特征识别等。因此, 信息安全涵盖了众多研究领域, 例如密码学, 移动计算, 网络取证, 在线社交媒体等。
在第一次世界大战期间, 考虑到信息的敏感性, 开发了多层分类系统。随着第二次世界大战的开始, 对分类系统进行了正式调整。艾伦·图灵(Alan Turing)是成功解密Enigma Machine的人, 该机器被德国人用来加密战役数据。
信息安全计划围绕3个目标建立, 通常称为CIA –机密性, 完整性, 可用性。
机密性-意味着信息不会泄露给未经授权的个人, 实体和过程。例如, 如果我们说我有一个Gmail帐户密码, 但是有人在我登录Gmail帐户时看到了密码。在这种情况下, 我的密码已被盗用, 并且机密性遭到了破坏。
完整性–意味着保持数据的准确性和完整性。这意味着不能以未经授权的方式编辑数据。例如, 如果某个员工离开了组织, 则在这种情况下, 应更新该员工在各个部门(例如帐户)中的数据, 以将状态反映到"职位左移", 以便数据是完整而准确的, 并且除此授权人员外, 还应编辑员工数据。
可用性 -
表示信息在需要时必须可用。例如, 如果需要访问特定员工的信息以检查员工是否已经离开, 那么在这种情况下, 它需要来自不同组织团队的协作, 例如网络运营, 开发运营, 事件响应和策略/变更管理。
拒绝服务攻击是可能妨碍信息可用性的因素之一。
除此之外, 还有另一条原则管理信息安全程序。这是不可否认的。
不可否认–意味着一方不能拒绝接收消息或交易, 另一方也不能拒绝发送消息或交易。例如, 在密码学中, 足以证明消息与使用发件人的私钥签名的数字签名相匹配, 并且发件人可能发送了一条消息, 而在传输过程中没有其他人会对其进行更改。数据完整性和真实性是不可抵赖性的前提。
真实性–表示验证用户的身份, 并确保到达目的地的每个输入均来自受信任的来源。如果遵循此原则, 则可以保证通过有效传输从受信任的来源收到的真实有效消息。例如, 如果以上述示例为例, 发件人将消息与使用消息的哈希值和私钥生成的数字签名一起发送。现在在接收器端, 使用公开密钥对该数字签名进行解密, 生成哈希值, 然后再次对消息进行哈希处理以生成哈希值。如果两个值匹配, 则称为有效传输, 带有真实的消息, 或者我们说在接收方收到的真实消息
问责制–意味着应该可以对该实体唯一地跟踪该实体的动作。例如, 正如我们在"完整性"部分中讨论的那样, 不应允许每位员工对其他员工数据进行更改。为此, 组织中有一个单独的部门负责进行此类更改, 当他们收到更改请求时, 该信必须由上级主管部门签署, 例如大学院长和被指定可以更改的人员在验证他的生物指标后进行更改, 从而记录用户的时间戳(进行更改)。因此, 我们可以说, 如果变更像这样进行, 那么就有可能将行为唯一地跟踪到实体。
信息安全的核心是信息保证, 这是指维护信息的CIA的行为, 确保在出现关键问题时不会以任何方式破坏信息。这些问题不仅限于自然灾害, 计算机/服务器故障等。
因此, 近年来, 信息安全领域已经显着发展。它提供了许多专业领域, 包括保护网络和相关基础设施, 保护应用程序和数据库, 安全测试, 信息系统审核, 业务连续性计划等。