网络信息安全五大特征,完整性、保密性、可用性、不可否认性、可控性,综合起来说就是保障电子信息的有效性。
信息安全,ISO(国际标准化组织)的定义为:为数据处理系统建立和采用的技术、管理上的安全保护,为的是保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露。
网络信息安全五大特征:完整性、保密性、可用性、不可否认性、可控性,综合起来说就是保障电子信息的有效性。
1.完整性
指信息在传输、交换、存储和处理过程保持非修改、非破坏和非丢失的特性,即保持信息原样性,使信息能正确生成、存储、传输,这是最基本的安全特征。
完整性实现:
数据完整性保护有两种基本方法:一是访问控制方法,限制非授权实体修改被保护的数据;二是损坏-检测方法,这种方法无法避免数据损坏,但能确保这些损坏能够被检测出来,并能够被纠正或报警。一般通过消息鉴别码 (MAC)或数字签名机制来实现完整性保护。在确认杂凑值无法被修改时,也可以采用单纯的杂凑算法保护数据的完整性。例如,用于系统镜像完整性保护的杂凑值往往被存储在可信计算模块或一次性编程 ROM 中。
2.保密性
指信息按给定要求不泄漏给非授权的个人、实体,即杜绝有用信息泄漏给非授权个人或实体,强调有用信息只被授权对象使用的特征。
保密性实现:
实现保密性保护有三种基本方法:一是访问控制方法,防止敌人访问敏感信息;二是信息隐藏的方法,避免敌人发现敏感信息的存在;三是信息加密的方法,允许敌人观测到信息的表示,但是无法从表示中得到原始的信息内容或提炼出有用的信息。
3.可用性
指网络信息可被授权实体正确访问,并按要求能正常使用或在非正常情况下能恢复使用的特征,即在系统运行时能正确存取所需信息,当系统遭受攻击或破坏时,能迅速恢复并能投入使用。可用性是衡量网络信息系统面向用户的一种安全性能(使信息能够按照用户的要求被正常使用)。
可用性实现:
实现可用性保护的基本方法一是冗余,二是备份。
4.不可否认性
指通信双方在信息交互过程中,确信参与者本身,以及参与者所提供的信息的真实同一性,即所有参与者都不可能否认或抵赖本人的真实身份,以及提供信息的原样性和完成的操作与承诺。
不可否认性实现:
使用不可否认功能,虽然不能防止通信参与方否认通信交换行为的发生,但是能在产生纠纷时提供可信证据,有利于纠纷解决。网络环境中的不可否认可以分为起源的不可否认和传递的不可否认,主要通过数字签名技术实现。
5.可控性
指对流通在网络系统中的信息传播及具体内容能够实现有效控制的特性,即网络系统中的任何信息要在一定传输范围和存放空间内可控。
可控性实现:
除了采用常规的传播站点和传播内容监控这种形式外,最典型的如密码的托管政策,当加密算法交由第三方管理时,必须严格按规定可控执行。
信息安全的原则
1.最小化原则:受保护的敏感信息只能在一定范围内被共享,履行工作职责和职能的安全主体,在法律和相关安全策略允许的前提下,为满足工作需要。
仅被授予其访问信息的适当权限,称为最小化原则。敏感信息的“知情权”一定要加以限制,是在“满足工作需要”前提下的一种限制性开放。可以将最小化原则细分为知所必须和用所必须的原则。
2.分权制衡原则:在信息系统中,对所有权限应该进行适当地划分,使每个授权主体只能拥有其中的一部分权限,使他们之间相互制约、相互监督,共同保证信息系统的安全。如果一个授权主体分配的权限过大,无人监督和制约,就隐含了“滥用权力”、“一言九鼎”的安全隐患。
3.安全隔离原则:隔离和控制是实现信息安全的基本方法,而隔离是进行控制的基础。信息安全的一个基本策略就是将信息的主体与客体分离,按照一定的安全策略,在可控和安全的前提下实施主体对客体的访问。
在这些基本原则的基础上,人们在生产实践过程中还总结出的一些实施原则,他们是基本原则的具体体现和扩展。
