《商用密码应用与安全性评估》第一章 密码基础知识

2023-08-22
2023-08-28
3 min read
Hits

  《商用密码应用与安全性评估》第一章 密码基础知识

知识点速记

  1. 1949 年,美国数学家、信息论创始人香农发表《保密系统的通信理论》
  2. 密码需要合规、正确、有效地使用
  3. 密码技术的三个核心内容:密码算法、密钥管理和密码协议
  4. 密码的四个功能:实现信息的保密性、信息来源的真实性、数据的完整性和行为的不可否认性

信息安全的基本含义

  最通用的是“CIA”,即信息安全的主要目标是保障信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。近年来随着信息处理分工的发展,真实性(Authenticity)也成为信息安全的主要目标。另外随着网络交易的迅速发展,不可否认性(Non-repudiation)的重要性也日益凸显。

信息安全风险评估

信息安全风险评估定义

  信息系统的安全风险,是由来自于自然、环境或人为的威胁,利用系统存在的脆弱性,给系统造成负面影响的潜在可能。

  GB/T 20984-2007《信息安全技术 信息安全风险评估规范》对信息安全风险评估的定义是:依据有关信息技术标准,对业务和信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估信息系统资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性。在 NIST SP 800-12 中有这样的描述:“信息安全风险评估是分析和解释风险的过程,包括三个基本活动:确定评估范围和方法,搜集和分析风险相关数据,解释风险评估过程。”

  总的来说,信息安全风险评估是确定和认识信息系统安全风险,并对风险进行分析,根据选定的标准对风险进行评价,从而为进一步处置风险提供科学依据的过程。

信息安全风险评估的基本要素

资产(Asset)

  资产是对组织有价值的信息或者资源,是安全策略保护的对象,主要指通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。资产包括计算机硬件、通信设施、建筑物、数据库、文档信息、软件、信息服务和人员等,所有这些资产都需要妥善保护。

威胁(Threat)

  威胁是可能对资产或组织造成损害的意外事件的潜在因素,即某种威胁源成功利用特定弱点对资产造成负面影响的潜在可能。威胁类型包括人为威胁(故意或无意)和非人为威胁(自然和环境)。识别并评估威胁时需要考虑威胁源的动机和能力。风险评估关心的是威胁发生的可能性。

脆弱性(Vulnerability)

  脆弱性也称为漏洞,即可能被威胁利用的资产或若干资产的薄弱环节。脆弱性本身并不能构成伤害,它只是被威胁利用来实施影响的一个条件。再风险评估的过程中要识别脆弱性,并评估脆弱性的严重性和可被利用的容易程度。

风险(Risk)

  风险即威胁发生时,给组织带来的直接或间接的损失或伤害。风险可以用其发生的概率和危害的大小来度量。

安全措施(Security Measure)

  安全措施时保护资产、抵御威胁、减少脆弱性、降低安全事件的影响,以及打击信息犯罪而实施的各种实践、规程和机制。

Avatar

Hui.Ke

❤ Cyber Security | Safety is a priority.