1.6 信息系统安全技术
信息安全属性
秘密性(Confidentiality):信息不被未授权者知晓的属性。
完整性(Integrity):信息是正确的、真实的、未被篡改的、完整无缺的属性。
可用性(Availability):信息可以随时正常使用的属性。
安全可以划分为以下四个层次:设备安全、数据安全、内容安全、行为安全。其中数据安全即是传统的信息安全。
1)设备安全
(1)设备的稳定性:设备在一定时间内不出故障的概率。
(2)设备的可靠性:设备能在一定时间内正常执行任务的概率。
(3)设备的可用性:设备随时可以正常使用的概率。
2)数据安全
其安全属性包括秘密性、完整性和可用性,如数据泄露、数据篡改等。
3)内容安全
内容安全是信息安全在政治、法律、道德层次上的要求。
(1)信息内容在政治上是健康的。
(2)信息内容符合国家的法律法规。
(3)信息内容符合中华民族优良的道德规范。
4)行为安全
数据安全本质上是一种静态的安全,而行为安全是一种动态安全
(1)行为的秘密性:行为的过程和结果不能危害数据的秘密性。必要时,行为的过程和结果也应是秘密的。
(2)行为的完整性:行为的过程和结果不能危害数据的完整性,行为的过程和结果是预期的。
(3)行为的可控性:当行为的过程出现偏离预期时,能够发现、控制或纠正。行为安全强调的是过程安全,体现在组成信息系统的硬件设备、软件设备和应用系统协调工作的程序(执行序列)符合系统设计的预期,这样才能保证信息系统的“安全可控”。
安全等级保护
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
受害群体从个人-公共-国家,严重程度从损害-严重损害-特别严重损害逐渐增加。
第一级:个人->损害。
第二级:个人->严重损害;公共->损害
第三级:单独记忆,公共->严重损害;国家->损害
第四级:公共->特别严重;国家->损害
第五级:国家->特别严重
