信息系统与信息系统安全

安全协议

由参与协议的主体，以及主体之间交换消息的事件序列组成，并且要达到一定的设计目标。

故协议一般包含三个部分：主体、事件序列、一定的设计目标。
类似的外交协议：

不同利益的集团、他们之间交换的谅解备忘录、协议条款等类似的文件、达到和平共处、利益重新分配的目的。

安全协议又称 “密码协议”，它是以 密码学 为基础的协议，在网络和分布式系统中提供各种各样的安全服务。
安全协议的目标如下：

认证主体的身份；
在主体之间分配会话密钥；
实现机密性、完整性、匿名性、非否认性等。

信息系统

信息系统对各种信息进行高速海量的采集、存储、处理和变换，所以被广泛应用于政治、军事、经济等各行各业，成为重要的工具和手段。
由此产生了一种新的资产：计算机资产，它由两部分组成：

1.计算机信息系统资源，包括硬件、软件、系统相关配套设备和设施、相关的文档资料，这一部分是信息系统的物质载体；
2.计算机系统产生和拥有的信息资源，如统计数据、机密信息、个人档案、计划、情报、资料等，这一部分是信息系统的本质内容。

系统资源等于国家的重要物质财富，信息资源是国家的重要战略资源。

信息系统的安全可以如下分类：

1.运行系统的安全，包括法律、政策的保护；硬件运行安全；操作系统的安全；防止电磁泄漏等；
2.系统信息的安全，包括用户身份认证；存取权限控制；
3.信息内容的安全，非暴力、反动言论；

按我的理解：首先要保证计算机的安全，其次是用户存储的安全，最后是文件本身也应该合法。

信息安全的三个主要需求：
1.机密性：自20世纪70年代以来，人们对机密性模型进行了深入的讨论；
2.完整性：处于初级阶段，相对于机密性而言；（确保信息在传输过程中，没有被篡改。）
3.可用性：人们希望信息随时可用，但存在黑客的拒绝服务，要解决这个问题需要时日。

如何衡量信息系统的安全性？通过信息系统的安全性衡量标准，4A的完善程度来衡量。

用户身份认证（authentication）：指在用户获取信息，访问系统资源之前对其身份标识进行确认和验证，保护用户的合法性。
授权（authorization）：针对不同用户进行授权，以合适的权限合法地访问各种不同的信息及系统资源。
审计（accountability）：是对各种信息安全事件的检查、跟踪和记录，提供信息系统中信息安全事件的证明与根据。
保证（assurance）：确保系统安全策略的实施，保证信息被完整、准确地解释，以及在意外故障中保证信息资源不被破坏。