對于信息安全的一點淺見
責編:admin |2015-02-08 15:50:14無論是信息安全技術和信息安全管理,究其根本而言,其核心就是保證數據和服務的安全;特別是數據安全更是核心中的核心,原因很簡單:信息從某種意義上可以理解為就是數據。由此推論,就比較好理解如下幾種安全之間的關系:
某些服務及其相關數據是依賴于某些中間件系統或其本身就是一種特定應用,故所以所謂的應用安全;
數據和服務總是被安裝在某類系統上的(可以廣義地理解為操作系統、數據庫系統等),故所以有所謂系統安全;
一般而言,系統總是處于特定網絡環境下的,故所以有所謂的網絡安全;
網絡是存在區域劃分的,各類區域之間的安全等級、用途等不盡相同,它們應進行區別、隔離,故所以有所謂的邊界安全;
所有系統、設備均是需要被放置于一定的物理環境下,對于環境安全的要求就形成了所謂的物理安全;
進而,由于需要對操作各類系統的人員進行管理,即對其權限、存取方式、訪問系統等進行控制,對人員的整個工作生命周期進行控制,從而確保數據和服務的安全,故形成了所謂的人員安全;
最后,為了對上述各類安全進行管理和控制及考核,各類組織需要制定各種安全規范、標準以保證安全目標的達成,故有了安全策略。
另外,災備管理是一種針對數據安全的保障方式,連續性管理是針對服務安全的保障方式。
所以,無論我們在閱讀何種和信息安全技術相關的書籍時,最先提到的總是數據加密技術,服務的連續續性管理也會被經常提到(ISO27001、等級保護相關標準或法規),而且許多安全攻擊都是針對上述兩種方式展開的,特別是DDOS攻擊(分布式拒絕攻擊)是破壞服務連續性的主要手段,而其它攻擊方式或違規操作:如遠程/本地提權、緩沖區溢出攻擊、SQL注入攻擊等可能都是為了竊取、篡改、刪除關鍵數據而進行的。
下一篇:如何解析表達式