1.6 信息系统安全技术

1.6 信息系统安全技术

信息安全属性
秘密性（Confidentiality）：信息不被未授权者知晓的属性。
完整性（Integrity）：信息是正确的、真实的、未被篡改的、完整无缺的属性。
可用性（Availability）：信息可以随时正常使用的属性。
安全可以划分为以下四个层次：设备安全、数据安全、内容安全、行为安全。其中数据安全即是传统的信息安全。
1)设备安全
(1)设备的稳定性：设备在一定时间内不出故障的概率。
(2)设备的可靠性：设备能在一定时间内正常执行任务的概率。
(3)设备的可用性：设备随时可以正常使用的概率。
2)数据安全
其安全属性包括秘密性、完整性和可用性，如数据泄露、数据篡改等。
3)内容安全
内容安全是信息安全在政治、法律、道德层次上的要求。
(1)信息内容在政治上是健康的。
(2)信息内容符合国家的法律法规。
(3)信息内容符合中华民族优良的道德规范。
4)行为安全
数据安全本质上是一种静态的安全，而行为安全是一种动态安全
(1)行为的秘密性：行为的过程和结果不能危害数据的秘密性。必要时，行为的过程和结果也应是秘密的。
(2)行为的完整性：行为的过程和结果不能危害数据的完整性，行为的过程和结果是预期的。
(3)行为的可控性：当行为的过程出现偏离预期时，能够发现、控制或纠正。行为安全强调的是过程安全，体现在组成信息系统的硬件设备、软件设备和应用系统协调工作的程序（执行序列）符合系统设计的预期，这样才能保证信息系统的“安全可控”。
安全等级保护
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
受害群体从个人-公共-国家，严重程度从损害-严重损害-特别严重损害逐渐增加。
第一级：个人->损害。

第二级：个人->严重损害；公共->损害

第三级：单独记忆，公共->严重损害；国家->损害

第四级：公共->特别严重；国家->损害

第五级：国家->特别严重