信息安全原则的循环特性包括哪四个

信息安全原则的循环特性包括以下四个：

• 脆弱链接：信息安全的脆弱性问题就像一条铁链，它的最高强度只等于其中最弱的链条。如果某链条比较脆弱、容易断裂，整个链条就会失去作用，这是个最基本的原则。有了脆弱性的概念，我们就会考虑如何消除脆弱性、如何避免脆弱链接问题的出现。

• 纵深防御：避免脆弱链接问题的一个方法是利用纵深防御的概念。利用纵深防御，数据除了加密还要有应用的保护——必须有某些防护功能，比如安全登录、缺陷检测。因为有加密手段，即使数据被盗取，攻击者也无法拿到数据内容。在攻击应用时，会有操作系统的保护；操作系统之上还有防火墙、入侵检测等网络保护。这样一层层加上去，即使上面一层出现问题，下面一层也可以提供防护。这些防护层之间还有互相防备的功能。这种纵深防御的概念非常好。攻击者要拿到核心数据，就需要像剥洋葱那样一层层剥开，需要花费很大努力才能拿到核心数据。

• 没有绝对的安全：纵深防御的问题在于每加一层防御就必须有新的投资，这将会增加安全成本。产品在安全上的投资最高可以多少呢？可能是10%甚至20%，但如果80%投资在安全上，20%投资在产品上，这是不可能的事情。我们需要实现平衡，即使开展纵深防御，也不可能做到从底部到上面的全面防护。

• 风险管理：在没有绝对安全的条件下，只能进行风险管理。这要求我们要向保险公司和银行学习如何进行风险管理。风险管理做得好，安全问题就解决得多。