2、信息与数据安全基础全解析

信息与数据安全基础全解析

信息安全面临的挑战

在当今数字化时代，组织面临的信息安全威胁极为复杂且危险。攻击变得轻而易举，原因主要有以下几点：
1. 终端用户因素 ：使用信息系统的终端用户容易点击网站URL和打开邮件附件，这给攻击者可乘之机。
2. 恶意软件套件 ：支付费用给黑客就能获取DIY套件，轻松开发自己的恶意软件。
3. 云计算 ：廉价且便捷的计算资源访问，为攻击者提供了强大的处理能力。
4. 漏洞订阅服务 ：攻击者可订阅地下服务获取最新漏洞。

攻击者利用这些工具，结合在线教程和自身资源，能构建出影响全球数百万台计算机的复杂攻击。

现代计算机系统从一开始就未将安全作为核心设计要素。计算机内置了固有信任因素，设计者未考虑到对手可能利用系统窃取有价值资产。安全措施往往是事后补救，而非从信息系统构建之初就融入。如今，互联网充斥着易受攻击的软件和操作系统，需要不断打补丁来修复安全漏洞。

过去几十年，个人计算机能力大幅提升，导致大量个人设备处理组织数据并连接到企业网络。这些未受管理的设备通常为个人用户的速度和便利而设置，未考虑企业信息安全要求。

此外，许多组织将信息安全视为生产力的阻碍。企业领导和IT人员因担心安全措施影响企业使命达成，而回避安全讨论。在项目系统开发生命周期（SDLC）中实施安全措施可能会遭到抵制，因为团队成员认为这会影响项目按时完成或阻碍企业财务收益。像多因素认证（MFA）或虚拟专用网络（VPN）等工具也可能因企业不理解技术及其降低网络风