关于“信息安全”

      信息安全是个很广泛的概念,热议多少年。这里仅仅是几段书本摘录。阅读更多的书本文字,也许可以从不同的角度理解这个概念。

《物联网信息安全》徐小涛 杨志红 人民邮电出版社

所谓信息安全是指保护信息资源,防止未经授权者或偶然因素对信息资源的破坏、改动、非法利用或恶意泄漏,以实现信息保密性、完整性与可用性的要求。在国际标准化组织的信息安全管理标准规范(ISO/IEC17799)和其他一些权威机构的文献中,都定义了信息安全的基本特性,包括保密性、完整性、可用性、可控性、不可否认性等。

保密性就是对抗对手的被动攻击,保证信息不泄漏给未经授权的人,保证信息只允许授权用户访问。

完整性就是对抗对手主动攻击,防止信息被未经授权的人篡改,保证用户得到的信息及信息的处理方法是准确的、完备的。

可用性就是保证信息及信息系统确实为授权使用者所用,保证合法用户在需要时可以访问到所需信息和使用相关的资产。

可控性就是对信息及信息系统实施安全监控,对信息、信息处理过程及信息系统本身都可以实施合法的安全监控和检测。

不可否认性就是保证出现信息安全问题后可以有据可查,可以追踪责任到人或到事,又称信息的不可抗抵赖性。

我国国家信息安全重点实验室给出的定义是:“信息安全涉及到信息的机密性、完整性、可用性、可控性。综合起来说,就是要保障电子信息的有效性。”

英国BS7799信息安全管理标准给出的定义是:“信息安全是使信息避免一系列威胁,保障商务的连续性,最大限度地减少商务的损失,最大限度地获取投资和商务的回报,涉及的是机密性、完整性、可用性。”

美国国家安全局信息保障主任给出的定义是:“因为术语‘信息安全’一直仅表示信息的机密性,在国防部我们用‘信息保障’来描述信息安全,也叫‘IA’。它包含 5 种安全服务,包括机密性、完整性、可用性、真实性和不可抵赖性。”

纵观从不同的角度对信息安全的不同描述,可以看出2种描述风格。一种是从信息安全所涉及层面的角度进行描述,大体上涉及了实体(物理)安全、运行安全、数据(信息)安全;另一种是从信息安全所涉及的安全属性的角度进行描述,大体上涉及了机密性、完整性、可用性。信息系统安全的概念从经典模型上看,是要求系统无漏洞。这种系统的安全概念在于不断追求消灭漏洞,从概念上划分是静态的和基于空间的。这种模型的最大问题在于把系统漏洞看成是静态出现的,甚至完全没有考虑系统在运行中产生的“腐败”现象。而实际情况是系统漏洞是与系统运行状态相关的,并且是动态出现的。现代信息系统实用安全概念为:承认信息系统安全的脆弱性和可腐败性,正视信息系统安全的威胁,在尽可能地加强防护能力(消灭漏洞)的同时,要加强信息系统对自身漏洞和攻击的检测、管理、监控和处理能力,形成对信息系统安全事件的快速反应能力,强调信息系统安全基于时间的特性。

你可能感兴趣的:(关于“信息安全”)