保密性是指防止未經授權的主體讀取信息。它是信息安全自誕生以來的壹個特點,也是信息安全的主要研究內容之壹。更壹般地說,它意味著未經授權的用戶無法獲取敏感信息。對於紙質文檔的信息,我們只需要保護文檔不被未授權的人接觸。對於計算機和網絡環境中的信息,我們不僅要阻止未經授權的人閱讀這些信息。還要防止被授權的人把自己訪問的信息傳給未授權的人,使信息泄露。
完整性是指防止信息在未經授權的情況下被篡改。就是保護信息保持原狀,讓信息保持真實性。如果該信息被故意修改、插入、刪除等。,形成虛假信息會帶來嚴重後果。
可用性是指授權主體在需要信息時及時獲得服務的能力。可用性是信息安全保護階段對信息安全的新要求,也是網絡化空間必須滿足的信息安全要求。
可控性是指對信息和信息系統實施安全監控和管理,防止信息和信息系統被非法使用。
不可否認性是指在網絡環境中,信息交換雙方都不能否認交換過程中發送或接收信息的行為。
信息安全的保密性、完整性和可用性主要強調對非授權主體的控制。如何控制授權主體的不當行為?信息安全的可控性和不可否認性正是通過對授權主體的控制,對機密性、完整性和可用性的有效補充,主要強調授權用戶只能在授權範圍內合法訪問,並對其行為進行監督和審查。
信息安全除了以上五個特征外,還有信息安全的可聞性和真實性。信息安全的可審計性是指信息系統的參與者不能否認自己的信息處理行為。與不可否認的信息交換過程中的行為可識別性相比,可審計性的含義更廣。信息安全的可見認證是指信息的接收者可以判斷信息發送者的身份。這也是壹個與不可否認性相關的概念。為了實現信息安全的目標,各種信息安全技術的使用必須遵守壹些基本原則。
最小化原則。受保護的敏感信息只有* * *在壹定範圍內才能享有。履行工作職責和職能的安全主體,在法律和相關安全政策的前提下,滿足工作需要。只被授予適當的訪問信息的權利,這被稱為最小化原則。敏感信息。知情權必須受到限制,這是在“滿足工作需要”的前提下的限制性開放。最小化原則可以細分為需要知道原則和需要合作原則。
分權制衡原則。在信息系統中,所有的權利要進行適當的劃分,使每個授權主體只能擁有部分權利,這樣才能相互制約和監督,保證信息系統的安全。如果授權主體賦予的權限過大,又沒有監督制約,就隱含著“濫用權力”和“守口如瓶”的安全隱患。
安全隔離原則。隔離和控制是實現信息安全的基本方法,隔離是控制的基礎。信息安全的壹個基本策略是分離信息的主客體,按照壹定的安全策略,在可控和安全的前提下實現主體對客體的訪問。
在這些基本原則的基礎上,人們還在生產實踐過程中總結出了壹些實施原則,它們是基本原則的具體體現和擴展。包括:整體保護原則、誰主管誰負責原則、適度保護分級原則、領域保護原則、動態保護原則、多層次保護原則、深度保護原則和信息流動原則。中國信息安全測評認證中心是中國最高的信息安全認證。評價認證項目分為信息安全產品評價、信息系統安全等級認證、信息安全服務資質認證和信息安全從業人員資質認證四大類。
信息安全產品評估:評估中國境外信息技術產品的安全性,包括防火墻、入侵監測、安全審計、網絡隔離、VPN、智能卡、卡終端、安全管理等各類信息安全產品。,以及各種不安全的IT產品如操作系統、數據庫、交換機、路由器、應用軟件等。
按照評價依據和內容分為:信息安全產品分級評價、信息安全產品鑒定評價、信息技術產品獨立原創評價、源代碼安全風險評價、選擇測試和定制測試。
信息系統識別:
中國信息系統安全測試與評估。
根據不同的標準和評估方法,我國信息系統安全測試、評估和鑒定主要提供:信息安全風險評估、信息系統安全等級保護評估、信息系統安全保障能力評估、信息系統安全方案評估、電子政務項目信息安全風險評估。
信息安全服務資質:
審查、評估和鑒定提供信息安全服務的組織和單位的資質。
信息安全服務資質是根據公開的標準和程序,對信息系統安全服務提供商的技術、資源、法律、管理等資質和能力及其穩定性和可靠性進行評估,並確定其安全服務支持能力的過程。分為:信息安全工程、信息安全容災和安全運維。
信息安全專業人員的資格:
評估、評價和鑒定信息安全專業人員的資格。
信息安全人員的評價和資格認定主要包括註冊信息安全專業人員(CISP)、註冊信息安全官(CISM)和安全匯編等專項培訓和信息安全意識培訓。