在网络出现以前,信息安全指对信息的机密性、完整性和可控性的保护 —面向数据的安全。互联网出现以后,信息安全除了上述概念以外,其内涵又扩展到面向用户的安全——鉴别、授权、访问控制、抗否认性和可服务性以及内容的个人隐私、知识产权等的保护。这两者结合就是现代的信息安全体系结构。
因此,在现代信息安全的体系结构中,信息安全包括面向数据的安全和面向用户的安全,即信息安全是指信息在产生、传输、处理和存储过程中不被泄露或破坏,确保信息的可用性、保密性、完整性和不可否认性,并保证信息系统的可靠性和可控性。
因此,信息安全具有这样一些特征:
(1) 保密性:信息不泄露给非授权的个人、实体和过程,也不能供其使用的特性。
(2)完整性:信息未经授权不被修改、不被破坏、不被插入、不延迟、不乱序和不丢失的特性。
(3)可用性:合法用户访问并能按要求顺序使用信息的特性,即保证合法用户在需要时可以访问信息及相关资产。
(4) 可控性:授权机构对信息的内容及传播具有控制能力的特性,可以控制授权范围内的信息流向以及传播方式。
(5)可审查性:在信息交流过程结束后,通信双方不能抵赖曾经做出的行为,也不能否认曾经接收到对方信息的特性。
由此,信息安全应包含三层含义:
(1) 系统安全(实体安全),即系统运行的安全性。
(2) 系统中信息的安全,即通过控制用户权限、数据加密等确保信息不被非授权者获取和篡改。
(3) 管理安全,即综合运用各种手段对信息资源和系统运行安全性进行有效的管理。