信息安全四要素:诠释信息安全
信息安全知识点详解总结
信息安全知识点详解总结信息安全是指保护信息系统中的数据和通信不受未经授权的访问、使用、修改、破坏、干扰或泄露的危害。
信息安全的范围包括网络安全、计算机安全、通信安全、数据安全等各个方面。
在当今数字化时代,信息安全已经成为企业和个人必须要重视和关注的重要问题。
在这篇文章中,我们将详细介绍信息安全的相关知识点,包括信息安全的重要性、信息安全的目标、信息安全的挑战、信息安全的解决方案等内容。
一、信息安全的重要性信息安全的重要性体现在以下几个方面:1. 保护个人隐私:随着互联网的普及,人们的个人信息在网络上暴露的风险越来越大,如何有效的保护个人隐私成为了一项重要任务。
2. 保护企业商业秘密:企业在日常的经营中需要使用大量的信息,其中包括商业秘密、客户数据等重要信息,如果这些信息泄露,将会给企业带来巨大的损失。
3. 保护国家安全:信息安全的重要性还体现在保护国家安全方面,在当今的数字化时代,各国之间的信息战争已经成为了一种现实,因此,保护国家的信息安全对于维护国家的利益至关重要。
4. 保护公共利益:信息安全也关系到了公共利益,如保护用户的金融信息、医疗信息、教育信息等,这关系到广大民众的利益问题。
基于以上几点,信息安全的重要性不言而喻,只有保护好信息的安全,才能更好的保护个人利益、企业利益、国家利益和公共利益。
二、信息安全的目标信息安全的主要目标是确保信息的机密性、完整性和可用性。
1. 保密性:保密性是指确保信息不被未经授权的人访问,这是信息安全的首要目标。
保密性的确保需要通过控制访问权限、使用加密技术等手段来实现。
2. 完整性:完整性是指确保信息在传输和存储过程中不被篡改,不被损坏。
为了确保信息的完整性,需要使用数字签名、数据备份等技术手段。
3. 可用性:可用性是指用户可以在需要的时候访问和使用信息资源,而不会受到无法访问或者访问速度慢等情况的影响。
确保信息的可用性需要采用高可靠性的系统和网络架构,并做好灾备准备。
信息安全的四个方面
信息安全的四个方面
信息安全是当今社会中不可或缺的一部分,它涉及到个人、组织和国家的利益。
信息安全主要包括物理安全、网络安全、数据安全和应用安全四个方面。
一、物理安全
物理安全是指保护计算机设备、网络设备和存储介质等硬件设备免受破坏、损坏、丢失或盗窃的措施。
物理安全的措施包括:门禁控制、视频监控、防盗锁、保险柜、备份等。
通过这些措施,可以保护设备和数据的完整性、保密性和可用性。
二、网络安全
网络安全是指保护计算机网络和网络设备系统的安全,防止黑客攻击、病毒感染、网络钓鱼等威胁。
网络安全的措施包括:网络防火墙、入侵检测、虚拟专用网(VPN)、安全认证等。
通过这些措施,可以保护网络系统和数据的安全和完整性。
三、数据安全
数据安全是指保护数据在存储、传输和处理过程中的安全,以及保护数据免受非授权访问、泄露和篡改等威胁。
数据安全的措施包括:加密技术、访问控制、备份和灾备等。
通过这些措施,可以保护数据的完整性、保密性和可用性。
四、应用安全
应用安全是指保护应用程序免受黑客攻击、病毒感染、恶意代码等威胁。
应用安全的措施包括:漏洞扫描、加密技术、授权访问、安全审计等。
通过这些措施,可以保护应用程序和数据的安全和完整性。
信息安全是一个系统性的过程,需要从物理安全、网络安全、数据安全和应用安全四个方面进行全面保护。
在信息化时代,信息安全已经成为企业和组织管理的重要组成部分,同时也是每个人应该重视的重要问题。
只有通过全面的信息安全措施,才能保障信息安全,推动信息化进程的顺利发展。
信息安全的四个方面
信息安全的四个方面信息安全是指保护信息系统中的信息资产,防止它们受到未经授权的访问、使用、揭示、损坏、干扰或破坏的过程。
在当今数字化时代,信息安全的重要性被越来越多地认识到。
本文将介绍信息安全的四个方面,包括物理安全、网络安全、数据安全和人员安全。
一、物理安全物理安全是指保护信息系统的硬件、设备和设施,防止它们遭到未经授权的访问或损坏。
物理安全措施包括但不限于:1. 门禁系统:通过设置密码锁、指纹锁等措施来限制进入机房、数据中心等重要场所。
2. 视频监控:安装摄像头,实时监控重要区域,防止非法入侵或异常行为。
3. 防火灾控制:合理设置消防设备,进行定期检查和维护,确保及时响应火灾风险。
二、网络安全网络安全是指保护计算机网络不受未经授权的访问、攻击或破坏的过程。
网络安全措施包括但不限于:1. 防火墙:设置网络边界的防火墙,过滤恶意流量,保护内部网络免受攻击。
2. 加密技术:对网络通信进行加密,确保信息传输过程中的机密性和完整性。
3. 安全补丁:定期更新操作系统和应用程序,及时修补漏洞,防止黑客利用已知漏洞进行攻击。
三、数据安全数据安全是指保护信息系统中的数据免受未经授权的访问、修改、删除或泄露的过程。
数据安全措施包括但不限于:1. 数据备份:定期备份数据,确保在系统故障、灾难事件或人为错误的情况下能够恢复数据。
2. 访问控制:通过密码、权限设置等手段控制用户对数据的访问范围,防止数据被非法获取。
3. 数据加密:对重要的敏感数据进行加密处理,确保即使数据被窃取也无法被读取。
四、人员安全人员安全是指保护系统中从事信息处理工作的人员,防止他们滥用权限或泄露敏感信息。
人员安全措施包括但不限于:1. 培训和意识教育:定期开展信息安全培训和意识教育,提高员工对信息安全的认识和重视。
2. 权限管理:合理控制员工的权限,避免权限滥用或误操作导致信息泄露。
3. 审计日志:记录员工对系统的操作行为,定期审计并发现异常行为,及时采取措施防止安全风险。
九、信息安全
九、信息安全了解网络信息安全的基本知识:信息安全的基本知识,网络礼仪与道德,计算机犯罪、计算机病毒、黑客,常用的信息安全技术,防火墙的概念、类型、体系结构,Windows 7 操作系统安全、无线局域网安全、电子商务和电子政务安全,信息安全政策与规矩。
1.信息安全的基本知识(1)信息安全概述:信息安全是指信息网络的硬件、软件及其系统中的数据受到保护。
国际标准化组织已经明确将信息安全定义为“信息的残破性、可用性、保密性、可靠性”。
(2)信息安全包括四大要素:技术、制度、流程和人。
(3)信息安全面临的威胁:天然威胁和人为威胁天然威胁:天然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备天然老化等威胁。
人为威胁:·人为袭击(是指通过袭击系统的弱点,以达到破坏、欺骗、窃取数据等目的。
)(人为袭击又分为偶尔事故和恶意袭击两种恶意袭击又分为被动袭击、主动袭击两种)·安全缺陷·软件漏洞·结构隐患(普通指网络拓扑结构的隐患和网络硬件的安全缺陷)2.网络礼仪与道德(1)计算机网络道德是指用来约束网络从业人员的言行,指导它们的思想的一整套道德规范。
(2)网络的发展对道德的影响:淡化了人们的道德意识、冲击了现实的道德规范、导致道德行为的失范。
3.计算机犯罪(1)所谓计算机犯罪,是指行为人以计算机作为工具或以计算机资产作为第1页/共5页袭击对象实施严重危害社会的行为。
(2)计算机犯罪的特点:犯罪智能化、犯罪手段蕴藏、犯罪目的多样化、犯罪分子低龄化、跨国性、犯罪后果严重。
(3)计算机犯罪的手段:发明和传扬计算机病毒、数据欺骗、意大利香肠战术、活动天窗、清理垃圾、电子嗅探器、数据泄露、口令破解程序。
数据欺骗:是指非法篡改计算机输入、处理和输出过程中的数据,从而实现犯罪目的的手段。
清理垃圾:是指有目的、有挑选地从废弃的资料、磁带、磁盘中搜索具有潜在价值的数据、信息和密码等,用于实施犯罪行为。
信息安全包括四大要素
信息安全包括四大要素信息安全是当今社会中非常重要的一个话题,随着互联网的发展和普及,信息安全问题也日益突出。
信息安全包括四大要素,分别是机密性、完整性、可用性和可靠性。
这四大要素是构建信息安全体系的基础,下面我们将逐一介绍这四大要素的重要性和作用。
首先,机密性是信息安全的重要要素之一。
机密性指的是信息不被未经授权的个人、实体或者进程所访问或者泄露。
在信息安全领域中,保护信息的机密性意味着只有授权的用户可以访问信息,这可以通过加密、访问控制、身份验证等手段来实现。
保护信息的机密性可以防止敏感信息被泄露,避免信息被恶意利用,对于保护个人隐私和商业机密都具有重要意义。
其次,完整性也是信息安全的重要要素之一。
完整性指的是信息在传输、存储或者处理过程中不被意外或者恶意的篡改。
保护信息的完整性可以防止信息被篡改、损坏或者修改,确保信息的真实性和可信度。
在信息安全管理中,采用数字签名、数据校验、备份和恢复等措施可以有效地保护信息的完整性,确保信息不被篡改或者损坏。
第三,可用性是信息安全的重要要素之一。
可用性指的是信息在需要的时候可以被授权的用户访问和使用。
保护信息的可用性可以确保信息系统的正常运行,避免因为故障、攻击或者其他原因导致信息不可用。
在信息安全管理中,采用灾备方案、故障恢复、容灾设计等措施可以提高信息系统的可用性,确保信息在需要的时候可以被正常访问和使用。
最后,可靠性也是信息安全的重要要素之一。
可靠性指的是信息系统和信息技术的稳定性和可信度。
保护信息的可靠性可以确保信息系统的稳定运行,避免因为软件漏洞、硬件故障或者其他原因导致信息系统不可靠。
在信息安全管理中,采用安全加固、漏洞修复、安全审计等措施可以提高信息系统的可靠性,确保信息系统稳定可靠地运行。
综上所述,信息安全包括机密性、完整性、可用性和可靠性四大要素。
这四大要素相辅相成,共同构建了信息安全的基础,是保护信息安全的重要基石。
只有充分重视并全面保护这四大要素,才能有效地提高信息安全水平,确保信息不被泄露、篡改、损坏或者不可用,保障个人隐私和商业机密的安全,维护信息社会的稳定和发展。
信息安全基本常识
信息安全基本常识信息安全是指保护信息免受未经授权访问、使用、披露、破坏、修改或丢失的各种形式的安全威胁。
在当前高度网络化的社会中,信息安全已经成为一个重要的议题。
因此,每个人都应该了解并掌握一些基本的信息安全常识,以保护自己和他人的个人隐私和数据安全。
首先,密码安全是信息安全的基石。
密码是常用的身份验证和信息保护工具,因此设置强密码是非常重要的。
一个强密码应该包含大写字母、小写字母、数字和特殊字符,并且长度至少为8位。
此外,密码应该定期更换,不要重复使用,且避免使用与个人信息相关的密码。
其次,人们通常使用各种各样的在线服务和社交媒体平台。
加强对这些账户的保护也是非常重要的。
一种常见的安全措施是启用两步验证。
这种验证方式通过在输入用户名和密码后要求输入一个临时生成的验证码,以增加账户的安全性。
此外,应定期检查和更新账号的隐私设置,确保个人信息只对授权人可见。
在使用电子邮件和浏览器时,要警惕欺诈、钓鱼和恶意软件。
不要打开来自陌生人的邮件或包含可疑链接的邮件。
此外,不要随意下载未知来源的软件,以免被植入恶意软件。
定期更新电子邮件和浏览器的安全补丁和防病毒软件以保持安全。
公共网络的使用也需要谨慎。
在使用公共Wi-Fi时,应该避免访问个人银行账户和其他敏感信息。
也不要让电脑或手机长时间处于公共网络环境中,以免被黑客攻击。
可以考虑使用虚拟私人网络(VPN)来加密数据,确保使用公共网络时的数据安全。
最后,备份数据是保护信息安全的重要手段。
定期将重要数据备份至云存储或外部存储设备中,以防止数据丢失。
同时,也要谨防勒索软件和病毒攻击,定期维护杀毒软件和防火墙,确保系统安全。
总体而言,信息安全是全面的,涉及到个人习惯、网络行为和技术运用等多个方面。
每个人都应该时刻保持高度警惕,并采取必要的预防措施来保护个人信息安全,确保在网络世界中的安全和隐私。
信息安全是当今社会中一项举足轻重的任务,有关信息安全的知识已经成为每个人必备的基本素养。
简述信息安全的基本内容
简述信息安全的基本内容全文共四篇示例,供读者参考第一篇示例:信息安全是当今社会中一个至关重要的话题,随着互联网的普及和信息技术的快速发展,信息安全问题也变得越来越严峻。
信息安全涉及到保护计算机系统、网络、数据以及信息的安全,防止未经授权的访问、窃取或破坏信息。
信息安全不仅是企业和组织需要关注的重点,对个人用户来说也是至关重要的。
信息安全的基本内容包括以下几个方面:1. 保密性:保密性是信息安全的核心原则之一,指的是保护信息不被未经授权的个人或实体访问。
信息的保密性可以通过加密技术、访问控制等手段来进行保护,确保信息只对授权人员可见。
2. 完整性:完整性是确保信息的准确性和完整性,防止信息被篡改或损坏。
完整性保证信息在存储和传输过程中不被篡改,只有经过授权的人员才能对信息进行修改。
3. 可用性:可用性是指确保信息在需要时可以被方便地访问和使用。
信息安全措施不能影响到信息的可用性,必须确保信息可以持续地被使用。
4. 认证:认证是确认个体或实体身份的过程,确保信息只被授权的个体访问。
认证通常通过密码、生物识别技术等手段进行验证,防止信息被未经授权的个体访问。
5. 授权:授权是根据认证结果对个体或实体授予特定的权限。
授权可以根据个体的身份、角色等进行设定,确保只有经过授权的用户能够访问特定的信息资源。
6. 安全策略与控制:安全策略与控制是信息安全管理中的重要内容,包括制定安全策略、建立安全控制措施、监测安全状况等。
安全策略与控制可以帮助组织和个人建立一个完整的信息安全管理体系,有效地保护信息安全。
7. 安全意识教育:安全意识教育是提高组织和个人对信息安全重要性的认识,教育员工如何正确使用信息系统、如何避免安全风险等。
安全意识教育可以帮助员工建立正确的安全意识,有效地防范安全威胁。
信息安全是一个综合性的领域,涉及到技术、管理、人员等多个方面。
只有在不断加强信息安全意识,采取有效的安全措施,建立完善的信息安全管理体系,才能有效地保护信息安全。
信息安全技术实用教程第四版重点笔记
信息安全技术实用教程第四版重点笔记一、信息安全的概念在当今信息化社会,信息安全问题备受关注。
信息安全是指保护信息不被未经授权的人员获取、修改、破坏或泄露的一系列措施和技术。
信息安全技术实用教程第四版系统地介绍了信息安全的基本概念、原理和技术,为广大读者提供了系统的信息安全知识和技能。
二、信息安全的基本原理1. 信息安全三要素信息安全包括保密性、完整性和可用性三个基本要素。
保密性指确保信息只能被授权的人员访问,完整性指确保信息不被非法修改,可用性指确保信息在需要时可用。
2. 威胁、漏洞和风险威胁是指可能导致信息安全受到损害的事件或情况,漏洞是系统或网络中存在的安全隐患,风险是指信息安全事件发生的可能性和影响程度。
信息安全技术实用教程第四版深入剖析了各种威胁、漏洞和风险,并提供了有效的应对措施。
三、信息安全技术1. 加密技术加密技术是信息安全的重要技术手段,包括对称加密和非对称加密。
对称加密使用相同的密钥进行加密和解密,非对称加密使用公钥和私钥进行加密和解密。
信息安全技术实用教程第四版详细介绍了各种加密算法和其应用场景,帮助读者全面理解加密技术的原理和实践。
2. 认证和访问控制认证是确认用户身份的过程,访问控制是基于认证结果对用户的资源访问进行控制。
信息安全技术实用教程第四版对认证和访问控制技术进行了系统的介绍和分析,包括常见的认证方式和访问控制策略,帮助读者建立健全的认证和访问控制机制。
3. 安全运维和应急响应安全运维是指通过管理和监控来确保系统和网络的安全运行,应急响应是指在安全事件发生时及时做出反应和处理。
信息安全技术实用教程第四版从实际应用的角度介绍了安全运维和应急响应的关键技术和方法,为读者提供了实战经验和案例分析。
四、个人观点和理解信息安全技术实用教程第四版是一本权威、系统和实用的信息安全著作,对信息安全的概念、原理和技术进行了全面而深入的讲解,为从业人员和学习者提供了宝贵的学习资料和参考指南。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全四要素:诠释信息安全哈尔滨工业大学计算机网络与信息安全技术研究中心方滨兴(******************)摘要:本文首先将国内外对信息安全概念的各种理解归纳为两种描述,一种是对信息安全所涉及层面的描述;一种是对信息安全所涉及的安全属性的描述。
然后提出了以经纬线的方式将两种描述风格融为一体的方法,即基于层次型描述方式。
同时,在传统的实体安全、运行安全、数据安全这三个层面的基础之上,扩充了内容安全层面与信息对抗层面,并将其归类为信息系统、信息、信息利用等三个层次。
另外还针对国外流行的信息安全金三角的描述不足,扩充为信息安全四要素,从而完备了对信息安全概念框架的描述。
最后,给出了关于信息安全的完整定义。
一、背景“信息安全”曾经仅是学术界所关心的术语,就像是五、六十年前“计算机”被称为“电算机”那样仅被学术界所了解一样。
现在,“信息安全”因各种原因已经像公众词汇那样被广大公众所熟知,尽管尚不能与“计算机”这个词汇的知名度所比拟,但也已经具有广泛的普及性。
问题的关键在于人们对“计算机”的理解不会有什么太大的偏差,而对“信息安全”的理解则往往各式各样。
种种偏差主要来自于从不同的角度来看信息安全,因此出现了“计算机安全”、“网络安全”、“信息内容安全”之类的提法,也出现了“机密性”、“真实性”、“完整性”、“可用性”、“不可否认性”等描述方式。
关于信息安全的定义,以下是一些有代表性的定义方式:国内学者给出的定义是:“信息安全保密内容分为:实体安全、运行安全、数据安全和管理安全四个方面。
”我国计算机信息系统安全专用产品分类原则给出的定义是:“涉及实体安全、运行安全和信息安全三个方面。
”我国相关立法给出的定义是:“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。
这里面涉及了物理安全、运行安全与信息安全三个层面。
国家信息安全重点实验室给出的定义是:“信息安全涉及到信息的机密性、完整性、可用性、可控性。
综合起来说,就是要保障电子信息的有效性。
”英国BS7799信息安全管理标准给出的定义是:“信息安全是使信息避免一系列威胁,保障商务的连续性,最大限度地减少商务的损失,最大限度地获取投资和商务的回报,涉及的是机密性、完整性、可用性。
”美国国家安全局信息保障主任给出的定义是:“因为术语‘信息安全’一直仅表示信息的机密性,在国防部我们用‘信息保障’来描述信息安全,也叫‘IA’。
它包含5种安全服务,包括机密性、完整性、可用性、真实性和不可抵赖性。
”国际标准化委员会给出的定义是:“为数据处理系统而采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露”。
这里面既包含了层面的概念,其中计算机硬件可以看作是物理层面,软件可以看作是运行层面,再就是数据层面;又包含了属性的概念,其中破坏涉及的是可用性,更改涉及的是完整性,显露涉及的是机密性。
纵观从不同的角度对信息安全的不同描述,可以看出两种描述风格。
一种是从信息安全所涉及层面的角度进行描述,大体上涉及了实体(物理)安全、运行安全、数据(信息)安全;一种是从信息安全所涉及的安全属性的角度进行描述,大体上涉及了机密性、完整性、可用性。
二、信息安全多种理解的缘由信息安全出现多种不同说法,存在着多种观察视角,并不是偶然的现象。
信息安全的发展历史、信息安全的作用层面、信息安全的基本属性,都决定了信息安全的不同内涵。
从信息安全的发展历史来看,早在上世纪四、五十年代,人们认为信息安全就是通信保密,采用的保障措施就是加密和基于计算机规则的访问控制,这个时期被称为“通信保密(COMSEC)”时代,其时代标志是1949年Shannon发表的《保密通信的信息理论》;在七十年代,人们关心的是计算机系统不被他人所非授权使用,这时学术界称之为“计算机安全(INFOSEC)”时代,其时代特色是美国八十年代初发布的橘皮书——可信计算机评估准则(TCSEC);九十年代,人们关心的是如何防止通过网络对联网计算机进行攻击,这时学术界称之为“网络安全(NETSEC)”,其时代特征是美国八十年代末出现的“莫里斯”蠕虫事件;进入了二十一世纪,人们关心的是信息及信息系统的保障,如何建立完整的保障体系,以便保障信息及信息系统的正常运行,这时学术界称之为“信息保障(IA)”。
从信息安全的作用层面来看,人们首先关心的是计算机与网络的设备硬件自身的安全,就是信息系统硬件的稳定性运行状态,因而称之为“物理安全”;其次人们关心的是计算机与网络设备运行过程中的系统安全,就是信息系统软件的稳定性运行状态,因而称之为“运行安全”;当讨论信息自身的安全问题时,涉及的就是狭义的“信息安全”问题,包括对信息系统中所加工存储、网络中所传递的数据的泄漏、仿冒、篡改以及抵赖过程所涉及的安全问题,称之为“数据安全”。
因此,就信息安全作用点来看问题,可以称之为信息安全的层次模型,这也是国内学者普遍认同的定义方式,如图1所示。
图1、一种信息安全的层次模型从信息安全的基本属性来看,机密性就是对抗对手的被动攻击,保证信息不泄漏给未经授权的人,或者即便数据被截获,其所表达的信息也不被非授权者所理解。
完整性就是对抗对手主动攻击,防止信息被未经授权的篡改。
可用性就是确保信息及信息系统能够为授权使用者所正常使用。
这三个重要的基本属性被国外学者称为信息安全金三角(CIA),如图2所示。
机密性(C)完整性(I)可用性(A)图2、信息安全金三角模型三、信息安全概念经纬线:从层次到属性,两种描述的融合从信息安全的作用层次来看,前面已经介绍了人们所关注的三个层面,即物理安全层、运行安全层、及数据安全层。
但是,还有两个层面尚没有人在同一个框架之下给出清晰地描述。
一个是关于信息内容的安全问题,一个是关于信息对抗的问题,而这两个层面的安全问题也是业界普遍关心的问题。
所不同的是,内容安全更被文化、宣传界人士所关注;而信息对抗则更被电子对抗研究领域的人士所关注。
信息内容安全的问题已经深刻地展现在现实社会的面前,主要表现在有害信息利用互联网所提供的自由流动的环境肆意扩散,其信息内容或者像脚本病毒那样给接收的信息系统带来破坏性的后果,或者像垃圾邮件那样给人们带来烦恼,或者像谣言那样给社会大众带来困惑,从而成为社会不稳定因素。
但是,就技术层面而言,信息内容安全技术的表现形式是对信息流动的选择控制能力,换句话说,表现出来的是对数据流动的攻击特性。
信息对抗严格上说是信息谋略范畴的内容,是讨论如何从多个角度或侧面来获得信息并分析信息,或者在信息无法隐藏的前提下,通过增加更多的无用信息来扰乱获取者的视线,以掩藏真实信息所反映的含义。
从本质上来看,信息对抗是在信息熵的保护或打击层面上讨论问题,也就是围绕着信息的利用来进行对抗。
从信息安全的属性来看,除了前面所介绍的机密性、完整性、可用性等三个基本属性之外,还有更多的一些属性也用于描述信息安全的不同的特性,如真实性、可控性、合法性、实用性、占有性、唯一性、不可否认性、可追溯性、生存性、稳定性、可靠性、特殊性等。
其中:真实性反映的是主体身份、行为及相关信息的真实有效;可控性反映的是信息系统不会被非授权使用,信息的流动可以被选择性阻断;合法性反映的是信息或信息系统的行为获得了授权;实用性反映的是信息加密密钥与信息的强关联性及密钥不可丢失的特性;占有性反映的是信息载体不可被盗用,确保由合法信息所占有;唯一性反映的是各信息以及信息系统行为主体之间不会出现混淆;不可否认性反映的是所生成的信息或信息系统的合法行为不会被抵赖;可追溯性反映的是信息系统的行为具有被审计的能力;生存性反映的是信息系统在受到攻击时可以通过采取降级等措施以保持最低限度的核心服务能力;稳定性反映的是信息系统不会出现异常情况;可靠性反映的是信息系统能够保持正常运行而不受外界影响的能力;特殊性反映的是信息所需要表现的特定的内涵。
在此,基于信息安全的作用点,从信息系统、信息、及信息熵的角度,可以将信息安全看作是由三个层次、五个层面所构成的层次框架体系,并且在每个层面中各自反映了在该层面中所涉及的信息安全的属性。
如图3所示:图3、信息安全的层次框架体系在此,系统安全反映的是信息系统所面临的安全问题。
其中,物理安全涉及的是硬件设施方面的安全问题;运行安全涉及的是操作系统、数据库、应用系统等软件方面的安全问题。
狭义的信息安全所反映的是信息自身所面临的安全问题。
其中,数据安全是以保护数据不受外界的侵扰为目的,包括与泄密、伪造、篡改、抵赖等有关的行为;内容安全则是反过来对流动的数据进行限制,包括可以对指定的数据进行选择性的阻断、修改、转发等特定的行为。
信息对抗则是针对信息中的信息熵而进行的隐藏、掩盖,或发现、分析的行为。
从信息安全属性的角度来看,每个层面所涉及的信息安全的属性,对应于该层面信息安全的外部特征,也具有相应的处置方法。
1、物理安全:是指对网络与信息系统的物理装备的保护。
主要涉及网络与信息系统的机密性、可用性、完整性、生存性、稳定性、可靠性等基本属性。
所面对的威胁主要包括电磁泄露、通信干扰、信号注入、人为破坏、自然灾害、设备故障等;主要的保护方式有加扰处理、电磁屏蔽、数据校验、容错、冗余、系统备份等。
2、运行安全:是指对网络与信息系统的运行过程和运行状态的保护。
主要涉及网络与信息系统的真实性、可控性、可用性、合法性、唯一性、可追溯性、占有性、生存性、稳定性、可靠性等;所面对的威胁包括非法使用资源、系统安全漏洞利用、网络阻塞、网络病毒、越权访问、非法控制系统、黑客攻击、拒绝服务攻击、软件质量差、系统崩溃等;主要的保护方式有防火墙与物理隔离、风险分析与漏洞扫描、应急响应、病毒防治、访问控制、安全审计、入侵检测、源路由过滤、降级使用、数据备份等。
3、数据安全:是指对信息在数据收集、处理、存储、检索、传输、交换、显示、扩散等过程中的保护,使得在数据处理层面保障信息依据授权使用,不被非法冒充、窃取、篡改、抵赖。
主要涉及信息的机密性、真实性、实用性、完整性、唯一性、不可否认性、生存性等;所面对的威胁包括窃取、伪造、密钥截获、篡改、冒充、抵赖、攻击密钥等;主要的保护方式有加密、认证、非对称密钥、完整性验证、鉴别、数字签名、秘密共享等。
4、内容安全:是指对信息在网络内流动中的选择性阻断,以保证信息流动的可控能力。
在此,被阻断的对象可以是通过内容可以判断出来的可对系统造成威胁的脚本病毒;因无限制扩散而导致消耗用户资源的垃圾类邮件;导致社会不稳定的有害信息,等等。
主要涉及信息的机密性、真实性、可控性、可用性、完整性、可靠性等;所面对的难题包括信息不可识别(因加密)、信息不可更改、信息不可阻断、信息不可替换、信息不可选择、系统不可控等;主要的处置手段是密文解析或形态解析、流动信息的裁剪、信息的阻断、信息的替换、信息的过滤、系统的控制等。