ISO27000信息安全管理体系之 信息安全概念
ISO27000信息安全管理体系之 信息安全概念
“安全”一词的基本含义为:“主观上没有任何威胁,主观上没有任何恐惧”或“远离任何危险的状态或特性”。其实在每一个领域都会存在安全问题,这是一个非常普遍存在的问题。随着计算机网络的迅速发展,人们对信息的存储、处理和传递过程中涉及的安全问题越来越关注,信息领域的安全问题变得非常突出。
信息安全是一个非常广泛和抽象的概念。简单的来说信息安全是指关注信息本身的安全,而不管是否应用了计算机作为信息处理的手段。信息安全的主要任务是保护信息财产的安全,防止偶然的或未授权者对信息财产产生的恶意泄露、修改和破坏,从而导致信息的不可靠或无法处理等。这样可以使得我们在最大限度地利用信息的同时而不招致损失或使损失最小。
目前,信息技术得到社会上的广泛应用,给人们的生活方式、生产方式和思想观念带来了巨大的改变,极大程度地推动了人类文明的进步和社会的发展,一个崭新的时代就此诞生,它把人类带入了——信息时代。信息是一种资源,并且是社会发展的重要资源。然而,信息是一把双刃剑,人们在享受信息资源为我们带来的丰厚的利益的同时,也在经历着信息安全的严峻考验。信息安全已经成为世界性的问题。
信息安全之所以引起人们的普遍关注,是由于信息安全问题目前已经涉及到人们日常生活的各个方面。以网上交易为例,传统的商务运作模式经历了漫长的社会实践,在社会的意识、道德、素质、政策、法规和技术等各个方面,都已经完善,然而对于电子商务来说,这一切却处于刚刚起步阶段,其发展和完善将是一个漫长的过程。假设你作为交易人,无论你从事何种形式的电子商务都必须清楚以下事实:你的交易方是谁?信息在传输过程中是否会被篡改( 即信息的完整性) ?信息在传送途中是否会被外人看到( 即信息的保密性) ?网上支付后,对方是否会不认帐( 即不可抵赖性)?如此等等。因此,无论是商家、银行还是个人对电子交易安全的担忧是必然的,电子商务的安全问题已经成为阻碍电子商务发展的“瓶颈”,如何改进电子商务的现状,让用户不必为安全担心,是推动安全技术不断发展的动力。
信息安全研究所涉及的领域相当广泛。随着计算机网络的迅速发展,人们越来越依赖网络,人们对信息财产的使用更多的是通过计算机网络来实现的,在计算机和网络上信息的处理是以数据的形式进行,在这种情况下,信息就是数据。因而从这个角度来说,信息安全可以分为数据安全和系统安全,即信息安全可以从两个层次来看:从消息的层次来看,包括信息的完整性( Integrity) ,即保证消息的来源、去向、内容真实无误;保密性( Confidentiality) ,即保证消息不会被非法泄露扩散;不可否认性( Non-repudiation) ,也称为不可抵赖性,即保证消息的发送和接受者无法否认自己所做过的操作行为等。从网络层次来看,包括可用性( Availability) ,即保证网络和信息系统随时可用,运行过程中不出现故障,若遇意外打击能够尽量减少损失并尽早恢复正常;可控性( Cont rollability) ,即对网络信息的传播及内容具有控制能力的特性。
