信息安全包括5个基本要素:机密性、完整性、可用性、可控性与可审查性。
(1)机密性:确保信息不暴露给未授权的实体或进程。
(2)完整性:只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改。
(3)可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。
(4)可控性:可以控制授权范围内的信息流向及行为方式。
(5)可审查性:对出现的信息安全问题提供调查的依据和手段。信息安全的范围包括:设备安全、数据安全、内容安全和行为安全。
1)设备安全
信息系统设备的安全是信息系统安全的首要问题,是信息系统安全的物质基础,它包括3个方面。
(1)设备的稳定性:指设备在一定时间内不出故障的概率。
(2)设备的可靠性:指设备在一定时间内正常执行任务的概率。
(3)设备的可用性:指设备可以正常使用的概率。
2)数据安全
数据信息可能泄露,可能被篡改,数据安全即采取措施确保数据免受未授权的泄露、篡改和毁坏,包括以下3个方面。
(1)数据的秘密性:指数据不受未授权者知晓的属性。
(2)数据的完整性:指数据是正确的、真实的、未被篡改的、完整无缺的属性。
(3)数据的可用性:指数据可以随时正常使用的属性。
3)内容安全
内容安全是信息安全在政治、法律、道德层次上的要求,包括以下3个方面。
(1)信息内容在政治上是健康的。
(2)信息内容符合国家的法律法规。
(3)信息内容符合中华民族优良的道德规范。
4)行为安全
信息系统的服务功能是指最终通过行为提供给用户,确保信息系统的行为安全,才能最终确保系统的信息安全。行为安全的特性如下。
(1)行为的秘密性:指行为的过程和结果不能危害数据的秘密性。
(2)行为的完整性:指行为的过程和结果不能危害数据的完整性,行为的过程和结果是预期的。
(3)行为的可控性:指当行为的过程偏离预期时,能够发现、控制和纠正。