@CI
3年前 提问
1个回答

信息安全保障的最终目标是

上官雨宝
3年前

信息安全保障的最终目标是保障信息系统实现组织机构的使命。信息安全的根本目标是保障信息的安全,具体地说就是保证信息的机密性、完整性、可用性、真实性、实用性和占用性。前三项被称为 CIA 三要素。

  • 第1个要素:C-机密性

    “机密性“也称“保密性“,这个要素从如何保护数据和信息角度出发,避免外部入侵和防止内部威胁,通过安全控制手段保证信息不泄露给未经授权的进程、应用或主体。

  • 第2个要素:I –完整性

    信息安全的完整性指,要保证系统和数据不受未授权者修改或不因为系统故障而遭受数据丢失的能力;信息和数据只能由有权限的人进行修改;值得强调的是,这个要素不仅仅针对数据,也包括了系统环境中所有的硬件、操作系统和应用程序。在实现自动化的系统中,可以用CRC方法来校验数据的完整性,不过CRC一般用于非故意行为引起的数据错误,对于恶意的篡改的数据,特别是敏感且需要保密的数据,需要采用密码校验法来验证。

  • 第3个要素:A –可用性

    可用性指授权人员在工作和项目开发中,能顺利访问和使用相关的业务和项目数据,正常使用系统和应用程序。其业务环境和系统对于未授权的人员一律拒绝访问。

    可用性也针对系统和物理环境的高可用性而言。因为物理环境、信息系统环境和管理方法的不完善都会引起数据破坏、系统无法登录、应用程序不能使用的情况,造成业务开发和运维的停滞、不可用。

  • 第4个要素:** Authenticity-可认证性**

    数据和信息的访问、传输和交换必须经过身份鉴别和申明。可认证性可以认为是完整性的扩展,并和可用性紧密结合。

  • ** 第5个要素:Non-repudiation – 不可抵赖性**

    “不可抵赖性”在网络环境中指信息交换的双方不能否认其在交换过程中发送或接受信息的行为和发生时间。这个安全要素保证了信息在传输中不被复制或篡改。”

    “不可抵赖性”通过“身份验证”+“数字签名”来实现。数字签名,顾名思义是通过技术手段在计算机或服务器上对数据文件进行签名,用于鉴别数字信息,验证数据发送方的身份,从而保证数据的完整性和不可抵赖性。

  • ** 第6个要素:Utility -实用性**

    实用性,指的是访问资源是可用的,可用的资源才是有价值的。很明显,这是一个体现业务特性的安全要素,因为只有数据和信息还在有价值期间,对它的安全保护才是最有意思的。