如果公司保留会计信息、客户群、员工档案或公司机密,这些数据必须受到保护。普通人不会希望其他人收到他的个人数据。这就是为什么信息安全很重要。在本文中,我们将告诉您它是什么以及它保护的数据类型。
为什么要信息安全?
信息安全是保护信息免受未经授权者侵害的各种措施。在前数字时代,人们将重要文件锁在保险箱中,聘请保安人员,并在纸上加密他们的消息以保护数据。
今天,数字信息更常受到保护。不过,措施基本相同:信息安全专家创建受保护的空间(虚拟“保险箱”),安装防病毒等安全软件(”聘请保安人员”) 并使用加密方法来加密数字信息。
但是,数字信息不仅需要虚拟保护,还需要物理保护。如果外部人员窃取服务器本身的重要数据,杀毒软件将无济于事。因此,将它们放置在受保护的场所。
信息安全卫士是什么?
它负责三件事:信息的机密性、完整性和可用性。在信息安全概念中,它们被称为信息安全原则:
- 机密性是指只有有权这样做的人才能访问信息。例如,只有您知道您的电子邮件密码,并且只有您可以阅读您的电子邮件。如果有人发现密码或以其他方式获得访问权限到邮箱,保密会被侵犯。
- 完整性是指信息完整保存,不会在所有者不知情的情况下更改。例如,您的电子邮件包含信件。如果攻击者删除部分或更改个别电子邮件的文本,这将违反完整性.
- 可用性是指谁有权访问信息,谁就可以获取它。例如,您可以随时登录您的电子邮件。如果黑客攻击服务器,邮件将不可用,这将损害可用性.
机密信息的主要类型
它负责三件事:信息的机密性、完整性和可用性。在信息安全概念中,它们被称为信息安全原则:
信息类型
信息可以是公开的,也可以是机密的。任何人都可以访问公共信息,而只有个人才能访问机密信息。
似乎没有必要保护公共信息。但只有保密原则不适用于公开可用信息——它必须保持整体性和可访问性。因此,信息网络安全也处理公开可用的信息信息。
例如,让我们考虑一下在线商店。产品卡片、博客文章、卖家联系方式 – 所有这些重要信息都是公开可用的,任何人都可以查看。但在线商店仍然需要受到保护,因此没有人干扰其工作(例如,不更改产品卡中的重要信息或“删除”其站点)。
IT 中信息安全的主要任务不仅是保护机密信息。如果有人访问它,将导致令人不快的后果:
- 盗窃金钱
- 公司利润损失
- 违反宪法人权
- 其他问题
>如果一切都清楚公开信息,那么值得分开讨论机密信息,因为它有多种类型。
机密信息的主要类型
个人信息。 关于特定人员的信息:全名、护照数据、电话号码、生理特征、婚姻状况等数据。使用个人数据的任何人都有义务对其进行保护,不得将其转让给第三方. 有关客户和员工的信息是指个人数据。
商业机密。 关于公司工作的内部信息:技术、管理方法、客户群。如果这些数据被外界知道,公司可能会损失利润。公司自己决定什么被认为是商业秘密,什么被暴露向公众公开。此外,并非所有信息都可以成为商业秘密——例如,无法隐藏法人实体的创始人或工作条件。
专业机密。它包括医疗、公证、律师和其他与职业活动有关的类型的秘密。几条法律同时与之相关
官方机密。个人服务已知的信息,例如税务或登记处。政府机构通常存储这些数据。他们负责保护它并且只在请求时提供它。
国家机密。国家机密。
如果贵公司存储个人数据、商业或专业机密,则必须对这些数据进行特别保护。有必要限制未经授权的人员访问它:
- 设置访问级别和密码;
- 安装安全软件;
- 配置加密。
信息安全简介
- 信息安全负责保护数据并确保其机密性、完整性和可用性。
- 机密性意味着只有有权这样做的人才能访问数据。
- 完整性意味着数据存储不变并保持有效。
- 可用性是指有权访问信息的人可以获得它。
- 信息安全保护机密数据和公共数据。它确保公众的完整性和可用性。在保密的同时,它还提供所需的保密级别。
- 机密信息包括个人数据、商业机密、专业机密、官方机密和国家机密。
TOP 5 信息安全威胁
了解潜在威胁和这些威胁通常利用的安全漏洞对于选择最合适的安全控制至关重要。
“Threat” 被理解为以某种方式违反信息安全的潜在机会。实施威胁的尝试被称为”攻击”,实施该尝试的人被称为“攻击者”。大多数情况下,威胁是信息系统保护漏洞的结果。让我们考虑现代信息系统面临的最常见威胁。
恶意软件
恶意软件是专门为危害系统而设计的恶意软件。恶意软件用于将恶意程序归类为比单个病毒危险得多的一组程序。恶意软件根据其启动方式、方式进行分类它有效,以及它的分布。
恶意软件的行动策略与病毒的不同之处在于它会导致非标准的系统行为并且可以长时间不被发现。可以创建这样的程序来故意损害系统并创建适合于复制其他从计算机中窃取信息的计算机病毒或木马。
为了启动,恶意软件通过将自己附加到有趣的内容(例如图片、视频、GIF 动画)来伪装自己,并且经常隐藏在视频和成人图片中。
没有用户的帮助,恶意软件无法进入计算机。为了渗透到系统中,恶意软件必须使用任何手段欺骗受害者在他们的 PC 上运行它。
主要建议,保证或多或少的安全工作,包括在打开或启动电子邮件之前强制扫描每个新文件或电子邮件附件。
网络钓鱼
网络钓鱼是最常见的在线欺诈类型之一,其目标是获取身份数据。欺诈者的行为可能导致不同严重程度的后果:从个人计算机上的无辜横幅到丢失公司内容而无法恢复它。网络钓鱼的主要目的是窃取有价值的东西,使用它,破坏或破坏某人的业务。网络钓鱼者通常的目标是:
- 个人资料,包括护照;
- 各种登录名和密码;
- 访问代码;
- 输入个人账户的数据;
- 银行卡或账户详情;
- 私人信件;
- 服务信息;
- 数据库;
- 属于商业秘密等的信息
首先,专家建议服务用户学习如何自行识别网络钓鱼。首先检查服务消息的真实性。同时,任何不包含任何特定个人信息的信件都应该引起怀疑。
另外,我们建议您在地址栏中自己输入组织的 URL,而不是使用任何超链接。链接也可以由帐户被黑的朋友或熟人发送给您。如果一封信或者链接让你产生怀疑,最好不要关注。
勒索软件
勒索软件是由高度专业的程序员创建的。如果您访问感染了此类恶意软件的网站,此类程序可以通过电子邮件中的附件文件或通过浏览器渗透受害者的设备。它还可以从本地网络渗透用户设备。如何识别勒索软件?
勒索软件感染可以用肉眼看到,因为在大多数情况下设备完全锁定,您根本无法使用它。如何删除它?
使用您的防病毒解决方案中的勒索软件清除工具,该工具可以检测并清除您设备中的任何类型的勒索软件。然后保护自己免受勒索软件的侵害:
- 确保所有软件,包括操作系统、浏览器和其他插件和工具栏,都是最新的。
- 还要确保为您的防病毒和防火墙解决方案安装最新的更新。
- 使用内置针对所有类型病毒的现代防病毒解决方案是防止、检测和删除计算机中勒索软件的最有效方法。
内部威胁
大多数信息安全事件都与内部威胁的影响有关。信息、商业秘密和客户个人数据的泄露和盗窃,对信息系统的破坏,通常与员工的行为有关该组织的内部威胁分类中,有两大类:出于自私或其他恶意原因实施的威胁,以及由于疏忽或技术无能实施的威胁。
因此,可以将危害组织知识产权和商业财产安全的员工(他们称为“内部人员”)的犯罪行为分为恶意内部人员和非故意内部人员两类。内部人员可以是:
- 对用人公司怀有怨恨的员工(“被冒犯”);
- 员工寻求以雇主公司为代价赚取额外收入;
- 注入和招募内部人员。
在所有信息安全事件中,很大一部分是员工无意行为的结果。此类信息泄露的机会很多:从本地网络或互联网工作时的数据输入错误到存储丢失介质(笔记本电脑、USB 驱动器、光盘),通过不安全的通信渠道发送数据无意中从娱乐网站下载病毒。
防御内部威胁需要一种综合方法。这体现在制定适当的信息安全政策、雇用负责信息安全的员工、文档流控制、用户的控制和监视、引入高级身份验证机制。
云漏洞
使用云计算时应区分以下几类威胁:
- 客户端攻击。这种类型的攻击已经在web环境中实践过,但它也与云相关,因为客户端连接到云,通常使用浏览器。它包括诸如跨平台攻击之类的攻击。站点脚本 (XSS)、劫持网络会话、窃取密码、“中间人”等。
- 虚拟化威胁。由于云组件的平台传统上是虚拟化环境,对虚拟化系统的攻击也威胁到整个云。这种威胁是云计算独有的。
- 管理程序攻击。虚拟系统的关键元素是管理程序,它提供虚拟机之间物理计算机资源的共享。干扰管理程序的操作会导致一个虚拟机可以访问内存和资源,拦截其网络流量,带走其物理资源,甚至将虚拟机完全从服务器上取代。
到目前为止,上面列出的所有威胁都是纯假设的,因为实际上没有关于此类真实攻击的信息。同时,当虚拟化和云变得足够流行时,所有这些类型的攻击都可能是真实的.因此,在设计云系统的阶段,同时开发云内安全领域的技术解决方案时,应该牢记他们。
结论
企业和私人生活中的信息安全措施必须不断制定和实施。
必须通过第三方专家和特殊程序(如反检测浏览器)来综合解决此问题。只有这种方法才能防止数据泄漏,而不会处理其后果。我们希望现在你知道“为什么信息安全很重要?