信息安全的目的：保护企业信息资产

随着技术的发展，企业的业务流程及信息处理越来越依赖于IT设施，甚至将所有的

业务信息电子化。因此，IT基础设施的正常运行及对电子信息的良好保护，成为企

业业务顺利进行和发展的关键因素之一

由于信息在当前企业业务中的重要地位，因此可以认为信息也是一种资产，称之信

息资产

信息资产包含了大量的业务数据、客户信息、商业秘密等对企业的业务乃至存亡密

切相关的内容，所以信息资产也面临大量的威胁和风险，包括有意或无意的销毁、

黑客攻击、恶意软件所造成的数据丢失、内部人员的泄漏等。这些威胁和风险中

最有可能发生并造成严重后果的便是保密信息被泄漏。一旦发生数据泄漏事件，企

业不单要承担保密数据本身价值的损失，严重的时候还会影响到企业的声誉和公众

形象，并有可能面临法律上的麻烦

信息安全的核心目标：CIA模型保护

机密性（Confidentiality）

指信息在存储、传输、使用的过程中，不会被泄漏给非授权用户或实体

完整性（Integrity）

指信息在存储、传输、使用的过程中，不会被非授权

用户篡改或防止授权用户对信息进行不恰当的篡改

可用性（Availability）

指确保授权用户或实体对信息资源的正常使用不会被

异常拒绝，允许其可靠而及时地访问信息资源

机密性：防止泄漏或窃听，可以通过加密技术保障机密性

完整性：防止未经授权的更改，即“防篡改”，可以通过消息摘要技术来保证完整性

可用性：保证合法用户想用时能用

信息安全的威胁因素

自然灾害	指地震、火灾、水灾、风暴等这些因素将直接地到危害信息系统实体的安全
硬件故障	指系统硬件的安全可靠性，包括计算机主体、存储系统、辅助设备、数据通讯设施以及信息存储介质的安全性
软件缺陷	即计算机软件或程序中存在的某种破坏正常运行能力的问题、错误，或隐藏的功能缺陷
未授权访问	没有经过预先同意就使用网络或计算机资源的行为被看作是非授权访问。如有意避开系统访问控制机制、对网络设备及资源进行非正常使用、擅自扩大权限、越权访问信息等。它主要有以下几种表现形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等
拒绝服务	拒绝服务（DoS，Denial of Service）是指攻击者向服务器发送大量垃圾信息或干扰信息，从而使正常用户无法访问服务器
数据泄露	不加密的数据库是不安全的，容易造成商业泄密
假冒和欺诈	指非法用户通过欺骗通信系统（或用户）冒充合法用户，或者特权小的用户通过冒充成为特权大的用户。黑客大多是采用假冒攻击
线路窃听	用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听，或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等
计算机病毒	一种在计算机系统运行过程中能够实现传染和侵害功能的程序
特洛伊木马	软件中含有的觉察不出的有害的程序段，当它被执行时，会破坏用户的安全。这种应用程序被称为特洛伊木马（Trojan Horse）
后门和陷阱	在某个系统或某个部件中设置的“机关”，使得在特定的数据输入时，允许违反安全策略
电磁辐射	计算机系统及其控制的信息和数据传输通道，在工作过程中都会产生电磁波辐射，在一定地理范围内用无线电接收机很容易检测并接收到，这就有可能造成信息通过电磁辐射而泄漏。另外，空间电磁波也可能对系统产生电磁干扰，影响系统正常运行
盗窃	重要的安全物品，如令牌或身份卡被盗