信息安全的含义
(1)信息安全的范围界定
本文提出的信息安全等同于信息系统安全。
信息系统由信息技术系统、系统运行环境和信息。
① 信息技术系统
信息技术系统,作为信息系统一部分的执行组织机构信息功能的用于采集、创建、通信、计算、分发、处理、存储和/或控制数据或信息的计算机硬件、软件和/或固件的任何组合。包括:计算机软硬件网络基础设施、
系统平台、通信操作平台。
② 系统运行环境
系统运行环境,指系统运行过程中所处的内部和外部的环境,包括人、管理以及物理环境。信息系统是在信息技术系统的基础之上,综合考虑了人员、管理等系统综合运行环境的一个整体。
③ 信息
信息,是信息系统安全保障体系所要保护的对象,包括信息技术系统装载的有价值电子数据、元信息(结构、代码、计算密钥)。
(2)信息安全的属性
美国联邦标准 1037C(1997)定义信息安全为“保护信息有意或无意地被非授权泄露、传输、修改或破坏”。ISO17799 定义信息安全为“保护信息免于威胁并保证组织业务连续运作,使组织业务风险最小,成本效益最大化”。
关于信息安全的属性,不同的组织提出了不同的观点。
ISO 17799,定义信息安全属性为“保密性、完整性和可用性(Information security is characterized here as the preservation of confidentiality,integrity and availability)”
① 保密性:确保只有被授权的人才可以访问信息;
② 完整性:确保信息和信息处理方法的及时性、准确性和完整性;
③ 可用性:确保在需要时,被授权的用户可以访问信息和相关的资产。
ISO 13335-1,定义信息安全属性为“机密性、完整性、可用性、不可否认性、可审计性、真实性和可靠性”。
① 机密性:正确保护信息不被非授权个人、实体使用和处理;
② 完整性:正确保护数据不被非授权的更改和损坏;
③ 可用性:授权实体能够正确访问和使用信息;
④ 不可否认性:能够证实发生的任何行为和事件,使其不可否认;
⑤ 可审计性:保证记录实体的行为,并具有唯一性;
⑥ 真实性:保证主体或资源的真实性;
⑦可靠性:保证行为和结果的一致性。
认为信息安全的基本属性就是机密性、完整性和可用性(C.I.A三角),虽然 ISO13335-1 中把信息安全属性扩展为机密性、完整性、可用性、不可否认性、可审计性、真实性和可靠性,但扩展的四个属性:不可否认性、可审计性、真实性和可靠性都可被 包含于机密性、完整性和可用性三个基本属性中,不可否认性、可审计性和真实性可包含于完整性中,可靠性可包含于可用性中。
