什么是信息安全?
基于数十年的原则,信息安全不断发展,以保护日益混合的多云环境,对抗不断变化的威胁态势。
IT 基础架构安全插图
什么是信息安全?

信息安全(“InfoSec”)是指保护组织的重要信息(如数字文件和数据、纸质文件、物理介质甚至是人类语音)免受未经授权的访问、披露、使用或篡改。数字信息安全,也称为数据安全,是当今信息安全专业人员最关注的问题,也是本文的重点。

为什么信息安全十分重要?

数据可以为世界经济提供动力。网络罪犯深知此类数据的价值,意在窃取敏感信息的网络攻击(或者在勒索软件的情况下,将数据作为人质)已经变得越来越普遍,极具破坏性且代价高昂。根据 IBM 的《2021 年数据泄露成本报告》,2020-2021 年数据泄露的平均总成本已创下新高,达到 424 万美元。

数据泄露会在多各方面为受害者造成损失。意外停机时间会导致业务损失。当客户的敏感信息被泄露时,公司往往会失去客户,并遭受重大、有时甚至无法弥补的声誉损害。窃取知识产权会损害公司的盈利能力,并削弱其竞争优势。

数据泄露受害者还可能面临监管罚款或法律处分。《通用数据保护条例》(GDPR) 等政府法规和《健康保险流通和责任法案》(HIPAA) 等行业法规均要求公司保护其客户的敏感信息,否则可能会导致巨额罚款。因为 2017 年的数据泄露事件,Equifax 同意向联邦贸易委员会 (FTC)、消费者金融保护局 (CFPB) 和全美 50 个州支付至少 5.75 亿美元的罚款;2021 年 10 月,英国航空公司因 2018 年数据泄露相关的 GDPR 违规事件被罚款 2600 万美元。

毫不意外,企业在信息安全技术和人才方面的投资比以往任何时候都要多。Gartner 估计,2021 年信息安全与风险管理技术和服务方面的支出总额为 1504 亿美元,比 2020 年增长 12.4%。监督信息安全工作的首席信息安全官 (CISO) 已成为企业高级管理层的固定成员。而且,对持有高级信息安全认证的信息安全分析师的需求正在上升,例如 (ISC)² 的认证信息系统安全专业人员 (CISSP) 认证。美国劳工统计局预计,截至 2030 年,获得这类认证的分析师就业人数将增长 33%。

信息安全原则

信息安全实践以数十年来不断演变的原则为基础,这些原则也为信息系统安全和风险缓解设定了标准。

CIA 三要素

CIA 三要素于 1977 年推出,旨在指导组织选择技术、政策和事件,以便保护其信息系统 - 硬件、软件,以及参与生产、存储、使用和交换公司信息技术 (IT) 基础架构中的数据的人员。三要素包括:
机密性:确保各方无法访问他们无权访问的数据。机密性是一个连续统一体,从有权访问公司大部分数据的特权内部人员,到获得授权的外部人员,仅限查看公众获得授权或允许查看的信息。
完整性:确保公司数据库中包含的所有信息完整准确,且未被篡改。完整性适用于从防止对手故意篡改数据到防止善意用户以未经授权的方式有意或无意地更改数据的所有方面。
可用性:确保用户可以在需要时访问他们已获得授权访问的信息。可用性规定,信息安全措施和策略不应干扰授权的数据访问。
在信息系统中,实现和维护数据的机密性、完整性和可用性的持续过程被称为“信息保障”。

信息安全计划

信息安全专业人员通过创建信息安全计划,将信息安全原则应用于信息系统。这是旨在实施信息保障的信息安全政策、保护措施和计划的集合。

风险评估

信息安全计划的创建通常从网络风险评估开始。通过审计公司信息系统的各个方面,信息安全专业人员可以准确了解他们面临的风险,并选择最合适的安全措施和技术来减轻风险。网络风险评估通常包括:

识别漏洞。漏洞是信息技术 (IT) 基础架构中的任何弱点,对手可以利用这些弱点对数据进行未经授的访问。例如,黑客可以利用计算机程序中的错误将恶意软件或恶意代码注入到其他合法的应用程序或服务中。

人类用户也可能成为信息系统中的漏洞。例如,网络罪犯可能会通过网络钓鱼等社会工程攻击来操纵用户共享敏感信息。

信息安全专业人员经常采用渗透测试(对自身信息系统的模拟攻击)来发现这些漏洞。

识别威胁。威胁是指任何可能危及信息系统机密性、完整性或可用性的因素。

网络威胁是指利用数字漏洞的威胁。例如,拒绝服务 (DoS) 攻击就是一种网络威胁,网络罪犯通过流量淹没了公司的一部分信息系统,导致其崩溃。

威胁也可以是物理威胁。自然灾害、人身或武装攻击,甚至系统性硬件故障,均被视为对公司信息系统的威胁。

相关解决方案
数据安全服务

IBM Data Security Services 可帮助组织制定数据安全战略、发现数据、预防数据丢失、进行数据安全治理并监控数据库安全。

探索数据安全服务
应用程序安全服务

IBM Application Security Services 通过提供应用程序安全培训、应用程序威胁建模服务等,来实现 DevOps 向 DevSecOps 的转型。

探索应用安全服务
数据安全解决方案

开始使用 IBM 数据安全解决方案

探索数据安全解决方案
信息安全资源 多云环境中的数据安全

注册获取 EMA 电子书,了解多云环境中的数据安全

信息安全与 IBM

随着组织在多云环境中管理的数据不断增加,信息安全也变得越来越复杂。通过与 IBM 合作,信息安全专业人员可以使用合适的工具和专业知识来管理敏感数据,并降低风险。

IBM Security Guardium® 解决方案
IBM Security Guardium® 解决方案包括 IBM Security Guardium® Data Protection IBM Security Guardium® Insights IBM Security Guardium® Data Encryption