笔记-信息系统安全管理-信息系统的安全属性
又錯(cuò)了……
又又錯(cuò)了……
信息系統(tǒng)的安全屬性包括:保密性、完整性、可用性、不可依賴(lài)性。
▲▲▲ 信息系統(tǒng)的安全屬性包括:保密性、完整性、可用性、不可依賴(lài)性。
信息安全的基本要素有:(中項(xiàng),第二版教程P159網(wǎng)絡(luò)安全)
(1)機(jī)密性:確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程。
(2)完整性:只有得到允許的人才能修改數(shù)據(jù),并且能夠判別出數(shù)據(jù)是否已被篡改。
(3)可用性:得到授權(quán)的實(shí)體在需要時(shí)可訪(fǎng)問(wèn)數(shù)據(jù),即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作。
(4)可控性:可以控制授權(quán)范圍內(nèi)的信息流向及行為方式。
(5)可審查性:對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題提供調(diào)查的依據(jù)和手段。
1. 保密性
保密性是應(yīng)用系統(tǒng)的信息不被泄露給非授權(quán)的用戶(hù)、實(shí)體或過(guò)程,或供其利用的特性。即防止信息泄漏給非授權(quán)個(gè)人或?qū)嶓w,信息只為授權(quán)用戶(hù)使用的特性。保密性是在可用性基礎(chǔ)之上,是保障應(yīng)用系統(tǒng)信息安全的重要手段。
應(yīng)用系統(tǒng)常用的保密技術(shù)如下:
(1)最小授權(quán)原則:對(duì)信息的訪(fǎng)問(wèn)權(quán)限僅授權(quán)給需要從事業(yè)務(wù)的用戶(hù)使用。
(2)防暴露:防止有用信息以各種途徑暴露或傳播出去。
(3)信息加密:用加密算法對(duì)信息進(jìn)行加密處理,非法用戶(hù)無(wú)法對(duì)信息進(jìn)行解密從而無(wú)法讀懂有效信息。
(4)物理保密:利用各種物理方法,如限制、隔離、掩蔽和控制等措施,保護(hù)信息不被泄露。
2. 完整性
完整性是信息未經(jīng)授權(quán)不能進(jìn)行改變的特性。即應(yīng)用系統(tǒng)的信息在存儲(chǔ)或傳輸過(guò)程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放和插入等破壞和丟失的特性。完整性是一種面向信息的安全性,它要求保持信息的原樣,即信息的正確生成及正確存儲(chǔ)和傳輸。完整性與保密性不同,保密性要求信息不被泄露給未授權(quán)的人,而完整性則要求信息不致受到各種原因的破壞。影響信息完整性的主要因素有設(shè)備故障、誤碼(傳輸、處理和存儲(chǔ)過(guò)程中產(chǎn)生的誤碼,定時(shí)的穩(wěn)定度和精度降低造成的誤碼,各種干擾源造成的誤碼)、人為攻擊和計(jì)算機(jī)病毒等。
保障應(yīng)用系統(tǒng)完整性的主要方法如下:
(1)協(xié)議:通過(guò)各種安全協(xié)議可以有效地檢測(cè)出被復(fù)制的信息、被刪除的字段、失效的字段和被修改的字段。
(2)糾錯(cuò)編碼方法:由此完成檢錯(cuò)和糾錯(cuò)功能。最簡(jiǎn)單和常用的糾錯(cuò)編碼方法是奇偶校驗(yàn)法。
(3)密碼校驗(yàn)和方法:它是抗篡改和傳輸失敗的重要手段。
(4)數(shù)字簽名:保障信息的真實(shí)性。
(5)公證:請(qǐng)求系統(tǒng)管理或中介機(jī)構(gòu)證明信息的真實(shí)性。
3. 可用性
可用性是應(yīng)用系統(tǒng)信息可被授權(quán)實(shí)體訪(fǎng)問(wèn)并按需求使用的特性。即信息服務(wù)在需要時(shí),允許授權(quán)用戶(hù)或?qū)嶓w使用的特性,或者是網(wǎng)絡(luò)部分受損或需要降級(jí)使用時(shí),仍能為授權(quán)用戶(hù)提供有效服務(wù)的特性。可用性是應(yīng)用系統(tǒng)面向用戶(hù)的安全性能。應(yīng)用系統(tǒng)最基本的功能是向用戶(hù)提供服務(wù),而用戶(hù)的需求是隨機(jī)的、多方面的、有時(shí)還有時(shí)間要求。可用性一般用系統(tǒng)正常使用時(shí)間和整個(gè)工作時(shí)間之比來(lái)度量。
可用性還應(yīng)該滿(mǎn)足以下要求:
- 身份識(shí)別與確認(rèn)
- 訪(fǎng)問(wèn)控制(對(duì)用戶(hù)的權(quán)限進(jìn)行控制,只能訪(fǎng)問(wèn)相應(yīng)權(quán)限的資源,防止或限制經(jīng)隱蔽通道的非法訪(fǎng)問(wèn)。包括自主訪(fǎng)問(wèn)控制和強(qiáng)制訪(fǎng)問(wèn)控制)
- 業(yè)務(wù)流控制(利用均分負(fù)荷方法,防止業(yè)務(wù)流量過(guò)度集中而引起網(wǎng)絡(luò)阻塞)
- 路由選擇控制(選擇那些穩(wěn)定可靠的子網(wǎng)、中繼線(xiàn)或鏈路等)
- 審計(jì)跟蹤(把應(yīng)用系統(tǒng)中發(fā)生的所有安全事件情況存儲(chǔ)在安全審計(jì)跟蹤之中,以便分析原因,分清責(zé)任,及時(shí)采取相應(yīng)的措施。
審計(jì)跟蹤的信息主要包括事件類(lèi)型、被管信息等級(jí)、事件時(shí)間、事件信息、事件回答以及事件統(tǒng)計(jì)等方面的信息)。
4. 不可抵賴(lài)性
不可抵賴(lài)性也稱(chēng)作不可否認(rèn)性,在應(yīng)用系統(tǒng)的信息交互過(guò)程中,確信參與者的真實(shí)同一性。即所有參與者都不可能否認(rèn)或抵賴(lài)曾經(jīng)完成的操作和承諾。利用信息源證據(jù)可以防止發(fā)信方不真實(shí)地否認(rèn)已發(fā)送信息,利用遞交接收證據(jù)可以防止收信方事后否認(rèn)已經(jīng)接收的信息。
總結(jié)
以上是生活随笔為你收集整理的笔记-信息系统安全管理-信息系统的安全属性的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 笔记-项目采购管理-索赔的处理
- 下一篇: 《系统集成项目管理工程师》必背100个知