- [[产品开发]]
	- ## 主题 19
		- 信息安全的范围和目标
			- 定义：信息安全是应用技术、流程和控制措施来保护系统、网络、程序、设备和数据免受网络攻击的影响。
			- 目标：旨在降低网络攻击的风险，并保护系统、网络和技术免受未经授权的利用。
		- 信息安全的趋势和驱动因素
			- 信息安全
				- 定义：旨在保护所有信息资产，无论是纸质还是数字形式。
				- 概念：
					- 机密性
						- 机密性意味着只有具有适当权限的人可以访问和使用信息。
						- 确保机密性：加密、访问控制。
						- 危害机密性：（故意）肩并肩窥视、社会工程；（意外）公开发布。
					- 完整性
						- 完整性意味着信息系统及其数据是准确的，未经适当权限不能更改数据。
						- 确保完整性：控制确保正确输入信息、授权、防病毒。
						- 危害完整性：（故意）员工或外部攻击；（意外）员工错误。
					- 身份验证
						- 身份验证是在启用对受保护网络和系统的访问之前验证已注册用户或过程身份的过程。
						- 模拟方式：
							- 签名、手写、亲自证明、见证人、公证。
						- 数字方式：
							- 用户名和密码、数字签名、指纹或面部识别。
					- 信息可用性
						- 可用性是确保信息系统可靠的安全目标。
						- 具有适当权限的个人可以以可靠和及时的方式使用系统并检索数据。
						- 确保可用性：恢复计划、备份系统。
						- 危害可用性：（故意）拒绝服务（DoS）攻击；（意外）故障。
			- 隐私和数据保护
				- 数据隐私是管理在与任何实体共享我的数据时的规定或政策，而数据保护是执行政策和规定的机制，包括防止未经授权访问或滥用我同意分享的数据。
			- 信息安全与隐私
				- 信息安全和隐私是密切相关但不同的概念。
				- 隐私是个人控制自己个人信息使用和披露的权利。
				- 信息安全是保持数据私密的过程。
				- 安全是过程，隐私是
				  
				  结果。
			- 网络犯罪
				- 网络犯罪是利用信息和通信技术（ICT）违反法律的行为，目标是攻击网络、系统、数据、网站和/或技术，或者促进犯罪行为。
			- 信息安全的驱动因素
				- 法律和法规
				- 商业因素
				- 技术因素
		- 关键概念
			- 漏洞：信息系统中可被利用的弱点或缺陷。
			- 威胁：对信息系统造成伤害的任何事物-成功利用漏洞。
				- 漏洞和威胁之间的关系：
					- 组织没有足够的控制措施防止员工删除关键的计算机文件（缺乏控制措施-漏洞）。
					  员工可能会意外删除文件（员工-威胁源）（删除关键文件-威胁）。
					  如果文件被删除，漏洞的成功利用就发生了。
					  如果文件无法恢复，事件将对组织及其安全造成伤害。可用性受损。
			- 风险：威胁利用漏洞并造成伤害的可能性，其中伤害是对组织的影响，风险=漏洞+威胁。
			- 保护措施：保护措施减少信息安全漏洞或威胁带来的伤害。
		- 风险管理：将风险管理作为合理化信息安全法律的手段，列出所有相关因素并采取可能的控制措施来控制它们。
		- 信息安全管理
			- 有效评估组织的安全需求，并评估和选择各种安全产品和策略的方法。
			- 方法：
				- 对信息进行分类
				- 确定法律义务
				- 评估漏洞、威胁和风险
				- 保护措施
				- 制定标准
					- 采取的过程
					- 需要满足的要求