信息安全
什么是信息安全?
信息安全(“InfoSec”)是指保护组织的重要信息(如数字文件和数据、纸质文件、物理介质甚至是人类语音)免受未经授权的访问、披露、使用或篡改。数字信息安全,也称为数据安全,是当今信息安全专业人员最关注的问题,也是本文的重点。
为什么信息安全十分重要?
数据可以为世界经济提供动力。网络罪犯深知此类数据的价值,意在窃取敏感信息的网络攻击(或者在勒索软件的情况下,将数据作为人质)已经变得越来越普遍,极具破坏性且代价高昂。根据 IBM 的《2021 年数据泄露成本报告》,2020-2021 年数据泄露的平均总成本已创下新高,达到 424 万美元。
数据泄露会在多各方面为受害者造成损失。意外停机时间会导致业务损失。当客户的敏感信息被泄露时,公司往往会失去客户,并遭受重大、有时甚至无法弥补的声誉损害。窃取知识产权会损害公司的盈利能力,并削弱其竞争优势。
数据泄露受害者还可能面临监管罚款或法律处分。《通用数据保护条例》(GDPR) 等政府法规和《健康保险流通和责任法案》(HIPAA) 等行业法规均要求公司保护其客户的敏感信息,否则可能会导致巨额罚款。因为 2017 年的数据泄露事件,Equifax 同意向联邦贸易委员会 (FTC)、消费者金融保护局 (CFPB) 和全美 50 个州支付至少 5.75 亿美元的罚款;2021 年 10 月,英国航空公司因 2018 年数据泄露相关的 GDPR 违规事件被罚款 2600 万美元。
毫不意外,企业在信息安全技术和人才方面的投资比以往任何时候都要多。Gartner 估计,2021 年信息安全与风险管理技术和服务方面的支出总额为 1504 亿美元,比 2020 年增长 12.4%。监督信息安全工作的首席信息安全官 (CISO) 已成为企业高级管理层的固定成员。而且,对持有高级信息安全认证的信息安全分析师的需求正在上升,例如 (ISC)² 的认证信息系统安全专业人员 (CISSP) 认证。美国劳工统计局预计,截至 2030 年,获得这类认证的分析师就业人数将增长 33%。
信息安全原则
信息安全实践以数十年来不断演变的原则为基础,这些原则也为信息系统安全和风险缓解设定了标准。
CIA 三要素
CIA 三要素于 1977 年推出,旨在指导组织选择技术、政策和事件,以便保护其信息系统 - 硬件、软件,以及参与生产、存储、使用和交换公司信息技术 (IT) 基础架构中的数据的人员。
三要素包括:
机密性:确保各方无法访问他们无权访问的数据。机密性是一个连续统一体,从有权访问公司大部分数据的特权内部人员,到获得授权的外部人员,仅限查看公众获得授权或允许查看的信息。
完整性:确保公司数据库中包含的所有信息完整准确,且未被篡改。完整性适用于从防止对手故意篡改数据到防止善意用户以未经授权的方式有意或无意地更改数据的所有方面。
可用性:确保用户可以在需要时访问他们已获得授权访问的信息。可用性规定,信息安全措施和策略不应干扰授权的数据访问。
在信息系统中,实现和维护数据的机密性、完整性和可用性的持续过程被称为“信息保障”。