滿額折
資訊系統安全技術管理策略:資訊安全經濟學
商品資訊
ISBN13:9789576804380
出版社:財經錢線文化有限公司
作者:趙柳榕-編
出版日:2020/05/27
裝訂/頁數:平裝/222頁
規格:23cm*17cm*1.3cm (高/寬/厚)
重量:400克
版次:1
定價
:NT$ 450 元優惠價
:79 折 356 元
無庫存,下單後進貨(採購期約4~10個工作天)
下單可得紅利積點:10 點
商品簡介
作者簡介
序
目次
書摘/試閱
相關商品
商品簡介
隨著 「互聯網 +」 戰略的積極推進,資訊化大潮?湧而至,無論是互聯網企業還是傳統企業都越來越依賴網路方式獲得資訊和交流資訊,資訊系統對企業的日常運行和管理、提高生產營運效率等都起著至關重要的作用。然而,企業在享受資訊技術帶來的便利和效益同時,其網路環境和技術的複雜性也使得保護資訊資產和資訊系統面臨前所未有的挑戰。
目前,各類接入互聯網的資訊系統受到的安全威脅越來越大,駭客攻擊水準越來越高,資訊安全問題日益突出, 給各行業組織帶來聲譽和財務上巨大的損失。
例如,2017年5月永恆之藍勒索病毒波及150個國家的大學、政府機構、國有企業等,造成的損失超80億美元。根據世界經濟論壇發布的《2017年全球風險報告》,大規模網路安全破壞位居當今世界面臨的五大最嚴重風險之列。
安全技術雖然可以在一定程度上保障資訊系統,但其技術本身也存在著潛在的漏洞和風險。駭客不僅利用技術弱點攻擊單個電腦系統,還利用網路連接的特性攻擊和它相連的電腦。一些實證和理論研究表明,越來越多的駭客入侵是有目的的,但他們做出攻擊的決策也取決於系統的安全性。
面對嚴峻的資訊系統安全形勢,組合運用防火牆、入侵檢測(IDS)、防病毒、安全日誌、人工調查、加密、數據備份等多種安全技術提升資訊系統安全水準, 已經成為資訊系統應用中的關鍵問題之一。
此外,企業的資訊安全預算已經成為其資本結構的重要組成部分,如何在有限的資金條件下達到最優的資訊系統安全技術管理水準也是企業和學術界關注的焦點問題。
目前,各類接入互聯網的資訊系統受到的安全威脅越來越大,駭客攻擊水準越來越高,資訊安全問題日益突出, 給各行業組織帶來聲譽和財務上巨大的損失。
例如,2017年5月永恆之藍勒索病毒波及150個國家的大學、政府機構、國有企業等,造成的損失超80億美元。根據世界經濟論壇發布的《2017年全球風險報告》,大規模網路安全破壞位居當今世界面臨的五大最嚴重風險之列。
安全技術雖然可以在一定程度上保障資訊系統,但其技術本身也存在著潛在的漏洞和風險。駭客不僅利用技術弱點攻擊單個電腦系統,還利用網路連接的特性攻擊和它相連的電腦。一些實證和理論研究表明,越來越多的駭客入侵是有目的的,但他們做出攻擊的決策也取決於系統的安全性。
面對嚴峻的資訊系統安全形勢,組合運用防火牆、入侵檢測(IDS)、防病毒、安全日誌、人工調查、加密、數據備份等多種安全技術提升資訊系統安全水準, 已經成為資訊系統應用中的關鍵問題之一。
此外,企業的資訊安全預算已經成為其資本結構的重要組成部分,如何在有限的資金條件下達到最優的資訊系統安全技術管理水準也是企業和學術界關注的焦點問題。
作者簡介
趙柳榕,專職作家,著有《資訊系統安全技術管理策略:資訊安全經濟學》。
序
前 言
隨著互聯網的普及和資訊化建設的不斷推進, 資訊系統已經成為組織賴以生存的重要資源,資訊系統安全問題是關係到企業持續穩健發展、社會長治久安的重大戰略問題。與此同時,各類接入互聯網的資訊系統受到的安全威脅越來越大,駭客攻擊水準越來越高,資訊安全問題給各行業組織造成了聲譽和財務上的巨大損失。面對日趨嚴峻的資訊安全形勢,很多企業組合運用防火牆、入侵檢測(IDS)、漏洞掃描、防病毒軟體、蜜罐技術、虛擬專用網(VPN)等多種安全防禦技術和安全檢測技術提升資訊系統安全水準。然而,現行有關資訊安全問題的研究主要側重於安全技術算法的開發和優化,而較少考慮系統安全性、經濟性和保障系統正常運行之間的平衡,這就給傳統的資訊安全研究提出了挑戰。為此,資訊系統管理專業出現了一個新的研究領域——資訊安全經濟學,主要研究資訊安全的投資—效益形式和條件、駭客攻擊行為對企業或社會經濟產生影響的規律、資訊安全技術的效果和效益等問題。本書基於資訊安全經濟學視角,綜合應用博弈論、決策理論和概率論等多種理論和方法,對企業資訊系統安全技術運用策略和管理的相關問題進行了研究。
首先,本書介紹了資訊系統安全技術的研究背景和意義,梳理了近年來的全球資訊安全大事件。通過分析資訊系統安全需求的演變過程,我們發現影響資訊系統安全的不只是技術問題,人的決策因素也影響著整個資訊系統的安全性。技術開發和經濟管理理論相結合進行研究已成為資訊系統安全領域中的關鍵任務, 應用嚴謹的理論方法體系科學地解決資訊系統安全問題已迫在眉睫。同時本書還闡明了合理制定資訊系統安全技術組合策略的理論意義和實踐意義。
其次,為了更好地理解並應用資訊安全經濟學理論,本書基於著名的WEIS會議上相關學者的成果,分析資訊安全經濟學的發展脈絡和熱點問題,總結了目前該領域重點關注和亟需解決的相關問題,包括資訊系統安全市場與環境問題、資訊系統安全風險問題、資訊系統安全技術投資問題等,特別是資訊系統安全技術管理的相關研究。接下來,基於已有的文獻和權威組織機構的定義定義了資訊系統安全技術和縱深防禦的相關概念,總結了資訊安全技術及其組合的原理和特點,梳理了資訊系統安全策略的制定過程,探討了制定安全策略需要考慮的主要因素。這兩部分內容從理論和應用角度總結了相關問題和研究方法,是本書後續內容的分析基礎。
再次,由於網路攻擊的種類繁多且情況複雜程度越來越高,沒有一種資訊安全技術可以完全應對資訊系統的內外部威脅,因此組合運用多種安全技術保護資訊系統已成為各企業資訊系統安全技術管理策略的首選方案。本書基於博弈論、決策理論等相關知識,研究了兩種主流資訊安全技術組合的最優配置策略,分別建立了蜜罐和入侵檢測系統(IDS)、虛擬專用網和入侵檢測系統的數學模型,將企業、駭客、資訊安全技術的影響參數和決策變量納入模型,定量刻畫並分析了企業兩種資訊系統安全技術組合的管理模型。本書還分析了配置一種資訊安全技術和同時配置兩種技術組合的納什均衡混合策略,研究了兩種資訊安全技術組合的技術參數對駭客最優入侵策略的影響。研究結果表明,兩種資訊安全技術組合並不一定總是最優配置策略。當企業的安全目標是使駭客入侵概率降低到一定值時,我們可以通過定量計算得到配置蜜罐和IDS技術組合的預算範圍;配置虛擬專用網與降低入侵檢測系統的誤報率並不總是正相關的。
進一步地,本書研究了三種資訊安全技術組合最優配置策略,並對其技術交互進行了經濟學分析。在複雜的網路環境和嚴格的安全需求下,保證資訊系統的動態安全往往需要配置兩種以上的資訊安全技術。例如,企業面臨基於攻擊檢測的綜合聯動控制問題時,往往需要通過採用配置防火牆、IDS和漏洞掃描的技術組合方案來解決。本書從技術原理角度定性分析了這三種技術組合的資訊安全模型,通過引入企業、駭客、資訊安全技術的影響參數和決策變量對三種技術組合的資訊安全模型進行定量刻畫,同時,通過分別求解企業只配置IDS和漏洞掃描技術以及配置防火牆、IDS和漏洞掃描技術的納什均衡解和均衡條件來分析了三種資訊安全技術組合的最優配置策略。結合「資訊安全金三角模型」,我們從經濟學角度定義了不同資訊安全技術存在互補或衝突。研究結果表明,被修復的漏洞並非越多越好,只有在特定情況下,配置漏洞掃描技術才會對系統帶來正的效應, 得到三種技術衝突與互補的條件。
另外,人的行為特徵也是影響資訊系統安全技術管理決策的重要因素。無論是企業還是駭客,其行為都要承擔相應的風險,我們認為,博弈過程中利益相關者的風險偏好屬性值得深入探究。因此,本書以主流的資訊安全技術組合為例,研究了基於風險偏好的防火牆和入侵檢測的最優配置策略。除了企業、駭客、資訊安全技術的參數和決策變量外,在博弈模型中還引入了包含利益相關者風險偏好的參數,分別分析了在只配置IDS、只配置防火牆以及同時配置IDS和防火牆三種配置策略下,駭客的最優入侵策略和企業風險偏好之間的關係、企業的人工調查策略和駭客風險偏好之間的關係。我們定量研究了資訊安全技術對資訊系統的防禦和檢測的經濟效用,討論了已配置了IDS或防火牆的企業需要增加配置防火牆或IDS技術的條件,以及當企業的預算只能支持一種安全技術時應如何決策。研究結果表明,當企業的期望成本較低時,風險中立型企業更易被入侵;當企業的期望成本較高時,風險厭惡型企業更易被入侵。當駭客的期望收益較低時,風險厭惡型駭客被檢測的概率最大;當駭客的期望收益較高時,風險追求型駭客被檢測的概率最大。
最後,資訊系統安全管理人員和駭客在博弈時無法做到完全理性,也很難完全正確預測對方的行為,因此有必要分析有限理性的利益相關者決策。本書基於演化博弈理論研究了防火牆和入侵檢測系統的配置策略。為了和前面的研究內容進行比較,同樣研究了只配置IDS、只配置防火牆以及同時配置IDS和防火牆三種資訊安全技術組合配置策略。通過分析利益相關者的演化博弈收益矩陣,求解複製動態的穩定狀態,討論了穩定狀態的鄰域穩定性,分析了影響雙方演化穩定策略的條件,以及影響各個模型的演化穩定策略閾值的因素。結果表明,當企業只配置入侵檢測系統且IDS報警時,較高的入侵檢測概率使駭客入侵概率大大降低,較低的入侵概率使企業採用人工調查的概率大大降低。當企業只配置防火牆且報警時,系統的演化穩定狀態為駭客不入侵系統、企業不採取人工調查;當防火牆不報警時,較高的防火牆檢測概率降低人工調查概率的程度大於較高的IDS檢測概率降低人工調查概率的程度;較低的防火牆檢測概率降低入侵概率的程度大於較低的IDS檢測概率降低入侵概率的程度。當企業配置這兩種技術組合且聯動檢測概率大於IDS入侵檢測概率時,系統的演化穩定狀態為企業配置兩種資訊安全聯動技術、駭客不入侵系統;否則,系統的演化穩定狀態則為企業應只配置IDS技術、駭客入侵系統。
趙柳榕
隨著互聯網的普及和資訊化建設的不斷推進, 資訊系統已經成為組織賴以生存的重要資源,資訊系統安全問題是關係到企業持續穩健發展、社會長治久安的重大戰略問題。與此同時,各類接入互聯網的資訊系統受到的安全威脅越來越大,駭客攻擊水準越來越高,資訊安全問題給各行業組織造成了聲譽和財務上的巨大損失。面對日趨嚴峻的資訊安全形勢,很多企業組合運用防火牆、入侵檢測(IDS)、漏洞掃描、防病毒軟體、蜜罐技術、虛擬專用網(VPN)等多種安全防禦技術和安全檢測技術提升資訊系統安全水準。然而,現行有關資訊安全問題的研究主要側重於安全技術算法的開發和優化,而較少考慮系統安全性、經濟性和保障系統正常運行之間的平衡,這就給傳統的資訊安全研究提出了挑戰。為此,資訊系統管理專業出現了一個新的研究領域——資訊安全經濟學,主要研究資訊安全的投資—效益形式和條件、駭客攻擊行為對企業或社會經濟產生影響的規律、資訊安全技術的效果和效益等問題。本書基於資訊安全經濟學視角,綜合應用博弈論、決策理論和概率論等多種理論和方法,對企業資訊系統安全技術運用策略和管理的相關問題進行了研究。
首先,本書介紹了資訊系統安全技術的研究背景和意義,梳理了近年來的全球資訊安全大事件。通過分析資訊系統安全需求的演變過程,我們發現影響資訊系統安全的不只是技術問題,人的決策因素也影響著整個資訊系統的安全性。技術開發和經濟管理理論相結合進行研究已成為資訊系統安全領域中的關鍵任務, 應用嚴謹的理論方法體系科學地解決資訊系統安全問題已迫在眉睫。同時本書還闡明了合理制定資訊系統安全技術組合策略的理論意義和實踐意義。
其次,為了更好地理解並應用資訊安全經濟學理論,本書基於著名的WEIS會議上相關學者的成果,分析資訊安全經濟學的發展脈絡和熱點問題,總結了目前該領域重點關注和亟需解決的相關問題,包括資訊系統安全市場與環境問題、資訊系統安全風險問題、資訊系統安全技術投資問題等,特別是資訊系統安全技術管理的相關研究。接下來,基於已有的文獻和權威組織機構的定義定義了資訊系統安全技術和縱深防禦的相關概念,總結了資訊安全技術及其組合的原理和特點,梳理了資訊系統安全策略的制定過程,探討了制定安全策略需要考慮的主要因素。這兩部分內容從理論和應用角度總結了相關問題和研究方法,是本書後續內容的分析基礎。
再次,由於網路攻擊的種類繁多且情況複雜程度越來越高,沒有一種資訊安全技術可以完全應對資訊系統的內外部威脅,因此組合運用多種安全技術保護資訊系統已成為各企業資訊系統安全技術管理策略的首選方案。本書基於博弈論、決策理論等相關知識,研究了兩種主流資訊安全技術組合的最優配置策略,分別建立了蜜罐和入侵檢測系統(IDS)、虛擬專用網和入侵檢測系統的數學模型,將企業、駭客、資訊安全技術的影響參數和決策變量納入模型,定量刻畫並分析了企業兩種資訊系統安全技術組合的管理模型。本書還分析了配置一種資訊安全技術和同時配置兩種技術組合的納什均衡混合策略,研究了兩種資訊安全技術組合的技術參數對駭客最優入侵策略的影響。研究結果表明,兩種資訊安全技術組合並不一定總是最優配置策略。當企業的安全目標是使駭客入侵概率降低到一定值時,我們可以通過定量計算得到配置蜜罐和IDS技術組合的預算範圍;配置虛擬專用網與降低入侵檢測系統的誤報率並不總是正相關的。
進一步地,本書研究了三種資訊安全技術組合最優配置策略,並對其技術交互進行了經濟學分析。在複雜的網路環境和嚴格的安全需求下,保證資訊系統的動態安全往往需要配置兩種以上的資訊安全技術。例如,企業面臨基於攻擊檢測的綜合聯動控制問題時,往往需要通過採用配置防火牆、IDS和漏洞掃描的技術組合方案來解決。本書從技術原理角度定性分析了這三種技術組合的資訊安全模型,通過引入企業、駭客、資訊安全技術的影響參數和決策變量對三種技術組合的資訊安全模型進行定量刻畫,同時,通過分別求解企業只配置IDS和漏洞掃描技術以及配置防火牆、IDS和漏洞掃描技術的納什均衡解和均衡條件來分析了三種資訊安全技術組合的最優配置策略。結合「資訊安全金三角模型」,我們從經濟學角度定義了不同資訊安全技術存在互補或衝突。研究結果表明,被修復的漏洞並非越多越好,只有在特定情況下,配置漏洞掃描技術才會對系統帶來正的效應, 得到三種技術衝突與互補的條件。
另外,人的行為特徵也是影響資訊系統安全技術管理決策的重要因素。無論是企業還是駭客,其行為都要承擔相應的風險,我們認為,博弈過程中利益相關者的風險偏好屬性值得深入探究。因此,本書以主流的資訊安全技術組合為例,研究了基於風險偏好的防火牆和入侵檢測的最優配置策略。除了企業、駭客、資訊安全技術的參數和決策變量外,在博弈模型中還引入了包含利益相關者風險偏好的參數,分別分析了在只配置IDS、只配置防火牆以及同時配置IDS和防火牆三種配置策略下,駭客的最優入侵策略和企業風險偏好之間的關係、企業的人工調查策略和駭客風險偏好之間的關係。我們定量研究了資訊安全技術對資訊系統的防禦和檢測的經濟效用,討論了已配置了IDS或防火牆的企業需要增加配置防火牆或IDS技術的條件,以及當企業的預算只能支持一種安全技術時應如何決策。研究結果表明,當企業的期望成本較低時,風險中立型企業更易被入侵;當企業的期望成本較高時,風險厭惡型企業更易被入侵。當駭客的期望收益較低時,風險厭惡型駭客被檢測的概率最大;當駭客的期望收益較高時,風險追求型駭客被檢測的概率最大。
最後,資訊系統安全管理人員和駭客在博弈時無法做到完全理性,也很難完全正確預測對方的行為,因此有必要分析有限理性的利益相關者決策。本書基於演化博弈理論研究了防火牆和入侵檢測系統的配置策略。為了和前面的研究內容進行比較,同樣研究了只配置IDS、只配置防火牆以及同時配置IDS和防火牆三種資訊安全技術組合配置策略。通過分析利益相關者的演化博弈收益矩陣,求解複製動態的穩定狀態,討論了穩定狀態的鄰域穩定性,分析了影響雙方演化穩定策略的條件,以及影響各個模型的演化穩定策略閾值的因素。結果表明,當企業只配置入侵檢測系統且IDS報警時,較高的入侵檢測概率使駭客入侵概率大大降低,較低的入侵概率使企業採用人工調查的概率大大降低。當企業只配置防火牆且報警時,系統的演化穩定狀態為駭客不入侵系統、企業不採取人工調查;當防火牆不報警時,較高的防火牆檢測概率降低人工調查概率的程度大於較高的IDS檢測概率降低人工調查概率的程度;較低的防火牆檢測概率降低入侵概率的程度大於較低的IDS檢測概率降低入侵概率的程度。當企業配置這兩種技術組合且聯動檢測概率大於IDS入侵檢測概率時,系統的演化穩定狀態為企業配置兩種資訊安全聯動技術、駭客不入侵系統;否則,系統的演化穩定狀態則為企業應只配置IDS技術、駭客入侵系統。
趙柳榕
目次
1.緒論
1.1資訊系統安全技術研究背景和意義
1.1.1資訊系統安全技術研究背景
1.1.2資訊系統安全技術研究趨勢
1.1.3研究的目的和意義
1.1.4本書的創新之處
1.2國內外研究現狀
1.2.1資訊安全經濟學研究綜述
1.2.2資訊系統安全市場與環境文獻綜述
1.2.3資訊系統安全風險文獻綜述
1.2.4資訊系統安全投資文獻綜述
1.2.5資訊系統安全技術文獻綜述
1.2.6研究評述
1.3主要內容
2資訊系統安全技術的理論及其運用策略的制定
2.1資訊系統安全技術
2.1.1資訊系統安全技術的概念
2.1.2資訊系統安全技術的原理及特點
2.2資訊系統安全技術組合
2.2.1縱深防禦系統
2.2.2資訊系統安全技術組合的原理及特點
2.3資訊系統安全策略及其管理過程
2.3.1資訊系統安全策略的概念
2.3.2資訊系統安全管理過程
2.4本章小結
3兩種資訊安全技術組合的最優配置策略分析
3.1問題的提出
3.2蜜罐和入侵檢測系統的最優配置策略分析
3.2.1模型描述
3.2.2只配置入侵檢測系統的博弈分析
3.2.3同時配置蜜罐和入侵檢測系統的博弈分析
3.2.4算例分析
3.3虛擬專用網和入侵檢測系統
1.1資訊系統安全技術研究背景和意義
1.1.1資訊系統安全技術研究背景
1.1.2資訊系統安全技術研究趨勢
1.1.3研究的目的和意義
1.1.4本書的創新之處
1.2國內外研究現狀
1.2.1資訊安全經濟學研究綜述
1.2.2資訊系統安全市場與環境文獻綜述
1.2.3資訊系統安全風險文獻綜述
1.2.4資訊系統安全投資文獻綜述
1.2.5資訊系統安全技術文獻綜述
1.2.6研究評述
1.3主要內容
2資訊系統安全技術的理論及其運用策略的制定
2.1資訊系統安全技術
2.1.1資訊系統安全技術的概念
2.1.2資訊系統安全技術的原理及特點
2.2資訊系統安全技術組合
2.2.1縱深防禦系統
2.2.2資訊系統安全技術組合的原理及特點
2.3資訊系統安全策略及其管理過程
2.3.1資訊系統安全策略的概念
2.3.2資訊系統安全管理過程
2.4本章小結
3兩種資訊安全技術組合的最優配置策略分析
3.1問題的提出
3.2蜜罐和入侵檢測系統的最優配置策略分析
3.2.1模型描述
3.2.2只配置入侵檢測系統的博弈分析
3.2.3同時配置蜜罐和入侵檢測系統的博弈分析
3.2.4算例分析
3.3虛擬專用網和入侵檢測系統
書摘/試閱
資訊技術的進步引發了經濟社會的深刻變革,社會正在被「再結構」,人類正在邁入一個全新的時代。各種技術風起雲湧,終端設備在進化、數據中心在進化、數位威脅也在進化中,如果資訊系統打開了「漏洞」的缺口,則一切的資產、核心競爭力、信譽等支撐組織運行的重要因素將消失瓦解。資訊系統的安全已成為影響經濟社會發展和穩定的重要因素之一。網路安全和資訊化對一個國家很多領域都是牽一發而動全身,需要推進國家網路安全戰略,加強網路安全能力建設。近年來,全球發生的重大資訊安全事件風險成因複雜,既有外部攻擊,也有內部洩露,既有技術漏洞,也有管理缺陷;既有新技術新模式觸發的新風險,也有傳統安全問題的持續觸發。一旦發生資訊安全事故,其影響都將超越技術範疇和組織邊界,對經濟、政治和社會等領域產生影響,包括產生重大財產損失、威脅生命安全和改變政治進程。
2013年6月爆發的「棱鏡門」事件引起了軒然大波,凸顯了全球網路安全的重要性。史諾登爆料:美國國家安全局曾入侵中國移動公司以獲取手機的簡訊資訊,並持續攻擊清華大學的主幹網路以及電信企業Pacent香港總部的電腦。也就是說,美國國家安全局可以侵入眾多國家的網路終端領域進行大規模的竊聽和監視全球所有人的個人隱私,從而掌握重要的一線情報資料。
2014年2月,全球最大的比特幣交易平臺Mt. Gox由於交易系統出現漏洞,75萬個比特幣以及Mt. Gox自身帳號中約10萬個比特幣被竊,損失估計達到4.67億美元,被迫宣布破產。同年4月出現的Heartbleed漏洞是近年來涉及各大網銀、入口網站等影響範圍最廣的高危險漏洞。該漏洞可被用於竊取伺服器敏感資訊,即時抓取用戶的帳號和密碼。預計即使是在今後十年中,仍會在成千上萬臺伺服器上發現這一漏洞,甚至包括一些非常重要的伺服器。
2015年2月, 由於沒有設置額外的認證機制,美國第二大醫療保險公司Anthem被駭客入侵並盗走8000萬份個人資訊,醫療機構成為資訊洩露的重災區。駭客可以成功入侵系統的原因不僅是缺少數據加密,還有不正確的訪問控制機制。這些都是基於業務和營運需要所做的系統及訪問控制,需要重點考慮安全策略問題。2015年8月,英國電信營運商Carphone Warehouse約240 萬線上用戶的個人資訊遭到駭客入侵,其中包括姓名、地址、出生日期和銀行卡資訊等,多達9萬名客戶的加密信用卡數據可能也遭到了駭客的入侵。由於未恰當使用和配置數據庫防火牆系統對外部駭客攻擊進行防禦,這些數據的大量洩漏會導致一系列電信詐騙的發生並致使電信營運商信譽受損。
2016年9月,雅虎先後證實共超過15億用戶資訊遭竊,其被認為是互聯網史上最大規模的資訊安全洩露事件。洩露原因是近年來雅虎只偏重業務發展而忽視了安全問題, 此次事故對Verizon公司收購雅虎的交易產生了重大影響。
2017年5月,勒索病毒Wanna Cry在全球範圍內爆發,這場全球最大範圍的網路攻擊已經造成至少150個國家的20萬臺電腦受到感染,受害者包括中國、英國、俄羅斯、德國和西班牙等國的醫院、大學、製造商和政府機構。同年11月, 美國五角大樓意外暴露了美國國防部的分類數據庫,其中包含美國當局在全球社交媒體平臺中收集到的18億用戶的個人資訊。
此次洩露的數據來源於架在亞馬遜S3雲端存儲上的數據庫。由於配置錯誤導致三臺S3伺服器「可公開下載」, 其中一臺伺服器數據庫中包含了近18億則來自社交媒體和論壇的貼文。
2018年7月20日,新加坡保健集團(新保集團)遭到網路攻擊,約1/4的新加坡公民個人資訊被非法獲取,其中包括時任總理李顯龍的個人資訊及門診配藥記錄,這起網路事件也被當地媒體稱為「新加坡遭遇的最大規模資訊安全攻擊」。駭客先侵入新加坡新保集團的電腦,植入惡意軟體後有目的地攻擊資訊系統數據庫中的具體個人資料,反覆嘗試盗取和複製時任總理李顯龍的個人醫療記錄並順利得逞。相關分析人士表示,一國在職領導人的醫療數據被駭客拿到,是此前聞所未聞之事。目前,大多數社交網站為強制實名制,因此使得此類用戶的隱私資訊更容易暴露在其他用戶面前,如果駭客惡意利用此類資訊那麼後果將難以想像。可見,資訊系統安全問題一旦暴露,將會對國家、企業或個人造成無法挽回的損失。
網路資訊系統的脆弱性影響系統的安全性。在網路系統中,脆弱性的分佈和程度隨網路結構組件的變化而變化, 隨著操作系統到各種應用軟體的升級換代發生變化,攻擊技術和方法也會發生變化。單純的安全保護技術已不足以解決資訊系統的安全問題,資訊安全技術的先進性並不能保證國家、組織和個人資訊系統的安全性。首先,資訊系統安全技術自身存在可能被駭客利用的弱點或漏洞。例如,TCP/IP協議集就存在著基本的安全缺點, 如大多數低層協議為廣播方式,網上的任何機器均有可能竊聽到情報,較易推測出系統中所使用的序號,從而較容易從系統的後門進入系統等。由於每一層數據存在的方式和遵守的協議各不相同,而這些協議在開始制定時就沒有考慮通信路徑的安全性,從而導致了安全漏洞的出現。其次,傳統的安全威脅開始混合,網路襲擊導致的大規模、長時間的網路故障和資訊系統安全問題使人們遭受了越來越嚴重的損失。根據賽門鐵克發布的2018資訊系統安全威脅趨勢,駭客會利用人工智能和機器學習等新興技術,來對抗同樣利用這兩種技術進行安全保護的企業,這些攻擊未來將會變得更加先進。再次,人們需要防範的已遠不只是病毒而已,社會工程學已經被網路犯罪分子使用得得心應手,所以在使用第三方軟體時也需要更加提高警惕。電子郵件是駭客利用社會工程學進行攻擊的主要途徑之一,駭客通常會發送一封看似正常的郵件,例如將發件人僞造成IT管理部門、收件人的領導或下屬,來獲取收件人信任,然後通過收件人下載或點擊附件中的病毒、木馬達到攻擊目的。目前,社會工程學郵件攻擊是網路釣魚、勒索軟件、APT攻擊最主要的攻擊途徑。最後,駭客的攻擊和企業的防守呈現不對稱博弈的形勢,包括工作量不對稱、資訊不對稱和後果不對稱。RSA執行主席Art Covirllo引用了美國業內人士的話:「安全是永遠不可能成熟的一個技術領域,因為它的成熟並不取決於客戶或者企業的要求,而是取決於那些犯罪分子的做法。」在暗處的駭客不知何時會突然發起攻擊,就連Google這樣的龍頭都不能倖免。因此除了對已知威脅加強防範,對於未知威脅,企業需要進行即時監控和行為分析以進行檢測。資訊不對稱表現為駭客可以通過網路掃描、探測、試探對攻擊目標進行全面瞭解,而企業對攻擊方往往一無所知。駭客在攻擊失敗後極少受到損失,而企業安全策略被破壞後卻利益受損嚴重。
綜上所述,資訊系統安全研究在技術、行為、管理、哲學、解決保護資訊資產並減少威脅的組織方法等領域都有著深遠的影響。將技術開發和管理理論相結合進行研究逐步成為資訊系統安全領域中一個極為關鍵的任務,也是現代資訊網路中重要的問題之一。科學地制定資訊系統安全技術策略抵禦複雜網路環境中的威脅以保護資訊系統的安全性,已成為當前的重要任務。
2013年6月爆發的「棱鏡門」事件引起了軒然大波,凸顯了全球網路安全的重要性。史諾登爆料:美國國家安全局曾入侵中國移動公司以獲取手機的簡訊資訊,並持續攻擊清華大學的主幹網路以及電信企業Pacent香港總部的電腦。也就是說,美國國家安全局可以侵入眾多國家的網路終端領域進行大規模的竊聽和監視全球所有人的個人隱私,從而掌握重要的一線情報資料。
2014年2月,全球最大的比特幣交易平臺Mt. Gox由於交易系統出現漏洞,75萬個比特幣以及Mt. Gox自身帳號中約10萬個比特幣被竊,損失估計達到4.67億美元,被迫宣布破產。同年4月出現的Heartbleed漏洞是近年來涉及各大網銀、入口網站等影響範圍最廣的高危險漏洞。該漏洞可被用於竊取伺服器敏感資訊,即時抓取用戶的帳號和密碼。預計即使是在今後十年中,仍會在成千上萬臺伺服器上發現這一漏洞,甚至包括一些非常重要的伺服器。
2015年2月, 由於沒有設置額外的認證機制,美國第二大醫療保險公司Anthem被駭客入侵並盗走8000萬份個人資訊,醫療機構成為資訊洩露的重災區。駭客可以成功入侵系統的原因不僅是缺少數據加密,還有不正確的訪問控制機制。這些都是基於業務和營運需要所做的系統及訪問控制,需要重點考慮安全策略問題。2015年8月,英國電信營運商Carphone Warehouse約240 萬線上用戶的個人資訊遭到駭客入侵,其中包括姓名、地址、出生日期和銀行卡資訊等,多達9萬名客戶的加密信用卡數據可能也遭到了駭客的入侵。由於未恰當使用和配置數據庫防火牆系統對外部駭客攻擊進行防禦,這些數據的大量洩漏會導致一系列電信詐騙的發生並致使電信營運商信譽受損。
2016年9月,雅虎先後證實共超過15億用戶資訊遭竊,其被認為是互聯網史上最大規模的資訊安全洩露事件。洩露原因是近年來雅虎只偏重業務發展而忽視了安全問題, 此次事故對Verizon公司收購雅虎的交易產生了重大影響。
2017年5月,勒索病毒Wanna Cry在全球範圍內爆發,這場全球最大範圍的網路攻擊已經造成至少150個國家的20萬臺電腦受到感染,受害者包括中國、英國、俄羅斯、德國和西班牙等國的醫院、大學、製造商和政府機構。同年11月, 美國五角大樓意外暴露了美國國防部的分類數據庫,其中包含美國當局在全球社交媒體平臺中收集到的18億用戶的個人資訊。
此次洩露的數據來源於架在亞馬遜S3雲端存儲上的數據庫。由於配置錯誤導致三臺S3伺服器「可公開下載」, 其中一臺伺服器數據庫中包含了近18億則來自社交媒體和論壇的貼文。
2018年7月20日,新加坡保健集團(新保集團)遭到網路攻擊,約1/4的新加坡公民個人資訊被非法獲取,其中包括時任總理李顯龍的個人資訊及門診配藥記錄,這起網路事件也被當地媒體稱為「新加坡遭遇的最大規模資訊安全攻擊」。駭客先侵入新加坡新保集團的電腦,植入惡意軟體後有目的地攻擊資訊系統數據庫中的具體個人資料,反覆嘗試盗取和複製時任總理李顯龍的個人醫療記錄並順利得逞。相關分析人士表示,一國在職領導人的醫療數據被駭客拿到,是此前聞所未聞之事。目前,大多數社交網站為強制實名制,因此使得此類用戶的隱私資訊更容易暴露在其他用戶面前,如果駭客惡意利用此類資訊那麼後果將難以想像。可見,資訊系統安全問題一旦暴露,將會對國家、企業或個人造成無法挽回的損失。
網路資訊系統的脆弱性影響系統的安全性。在網路系統中,脆弱性的分佈和程度隨網路結構組件的變化而變化, 隨著操作系統到各種應用軟體的升級換代發生變化,攻擊技術和方法也會發生變化。單純的安全保護技術已不足以解決資訊系統的安全問題,資訊安全技術的先進性並不能保證國家、組織和個人資訊系統的安全性。首先,資訊系統安全技術自身存在可能被駭客利用的弱點或漏洞。例如,TCP/IP協議集就存在著基本的安全缺點, 如大多數低層協議為廣播方式,網上的任何機器均有可能竊聽到情報,較易推測出系統中所使用的序號,從而較容易從系統的後門進入系統等。由於每一層數據存在的方式和遵守的協議各不相同,而這些協議在開始制定時就沒有考慮通信路徑的安全性,從而導致了安全漏洞的出現。其次,傳統的安全威脅開始混合,網路襲擊導致的大規模、長時間的網路故障和資訊系統安全問題使人們遭受了越來越嚴重的損失。根據賽門鐵克發布的2018資訊系統安全威脅趨勢,駭客會利用人工智能和機器學習等新興技術,來對抗同樣利用這兩種技術進行安全保護的企業,這些攻擊未來將會變得更加先進。再次,人們需要防範的已遠不只是病毒而已,社會工程學已經被網路犯罪分子使用得得心應手,所以在使用第三方軟體時也需要更加提高警惕。電子郵件是駭客利用社會工程學進行攻擊的主要途徑之一,駭客通常會發送一封看似正常的郵件,例如將發件人僞造成IT管理部門、收件人的領導或下屬,來獲取收件人信任,然後通過收件人下載或點擊附件中的病毒、木馬達到攻擊目的。目前,社會工程學郵件攻擊是網路釣魚、勒索軟件、APT攻擊最主要的攻擊途徑。最後,駭客的攻擊和企業的防守呈現不對稱博弈的形勢,包括工作量不對稱、資訊不對稱和後果不對稱。RSA執行主席Art Covirllo引用了美國業內人士的話:「安全是永遠不可能成熟的一個技術領域,因為它的成熟並不取決於客戶或者企業的要求,而是取決於那些犯罪分子的做法。」在暗處的駭客不知何時會突然發起攻擊,就連Google這樣的龍頭都不能倖免。因此除了對已知威脅加強防範,對於未知威脅,企業需要進行即時監控和行為分析以進行檢測。資訊不對稱表現為駭客可以通過網路掃描、探測、試探對攻擊目標進行全面瞭解,而企業對攻擊方往往一無所知。駭客在攻擊失敗後極少受到損失,而企業安全策略被破壞後卻利益受損嚴重。
綜上所述,資訊系統安全研究在技術、行為、管理、哲學、解決保護資訊資產並減少威脅的組織方法等領域都有著深遠的影響。將技術開發和管理理論相結合進行研究逐步成為資訊系統安全領域中一個極為關鍵的任務,也是現代資訊網路中重要的問題之一。科學地制定資訊系統安全技術策略抵禦複雜網路環境中的威脅以保護資訊系統的安全性,已成為當前的重要任務。
今日66折
您曾經瀏覽過的商品
購物須知
為了保護您的權益,「三民網路書店」提供會員七日商品鑑賞期(收到商品為起始日)。
若要辦理退貨,請在商品鑑賞期內寄回,且商品必須是全新狀態與完整包裝(商品、附件、發票、隨貨贈品等)否則恕不接受退貨。