AU Plus

概念 (284)

InfoSec 信息安全

2分钟阅读

InfoSec 信息安全

Information Security —— 在所有状态下让数据远离未授权用户的实践。

InfoSec vs Cybersecurity

新手以为是同一个东西,其实不是。

InfoSecCybersecurity
范围所有信息,包括纸、口头、物理数字信息和系统
关注信息本身的 CIA数字基础设施
包含关系父集子集

举例:

  • 保险柜锁好合同 —— InfoSec ✅,cybersecurity ❌
  • 防火墙挡 DDoS —— 两者都是
  • 撕碎机销毁文件 —— InfoSec ✅,cybersecurity ❌

三大支柱(CIA Triad)

  1. Confidentiality —— 不让不该看的看
  2. Integrity —— 数据不被篡改
  3. Availability —— 该用的时候用得上

数据三态

InfoSec 的保护要覆盖所有状态:

  • At rest —— 静态存储(硬盘、数据库)→ 加密、访问控制
  • In transit —— 传输中(网络)→ TLS、VPN
  • In use —— 正在被处理(内存)→ 最难,SGX / TEE 这类

标准与认证

  • ISO/IEC 27001/27002 —— 全球 InfoSec 管理体系标准
  • CISSP —— 个人认证
  • NIST CSF —— 框架

关系图谱

反向链接