|
|
|
国际标准《ISO/IEC 27001:2013信息技术-安全技术-信息安全管理体系-要求》中对信息安全的定义为:“保护信息的保密性、完整性、可用性;另外也包括其他属性,如:真实性、可核查性、不可抵赖性和可靠性。”
|
|
|
|
|
|
.保密性(confidentiality):指“信息不被泄露给未授权的个人、实体和过程或不被其使用的特性。”数据的保密性可以通过网络安全协议、身份认证服务、数据加密技术来实现。
|
|
|
|
.完整性(integrity):指“保护资产的正确和完整的特性。”简单地说,就是确保接收到的数据就是发送的数据。确保数据完整性的技术包括CA认证、数字签名、防火墙系统、传输安全(通信安全)和入侵检测系统。
|
|
|
|
.可用性(availability):指“需要时,授权实体可以访问和使用的特性。”可用性确保数据在需要时可以使用。确保可用性的技术有磁盘和系统的容错、可接受的登录及进程性能、可靠的功能性的安全进程和机制、数据冗余及备份。
|
|
|
|
.其他属性及目标:真实性一般指对信息的来源进行判断,能对伪造来源的信息予以鉴别;可核查性指系统实体的行为可以被独一无二地追溯到该实体的特性,这个特性就是要求该实体对其行为负责,可核查性也为探测和调查安全违规事件提供了可能性;不可抵赖性指建立有效的责任机制,防止用户否认其行为,这一点在电子商务中是极其重要的;可靠性指系统在规定的时间和给定的条件下,无故障地完成规定功能的概率,通常用平均故障间隔时间(Mean Time Between Failure, MTBF)来度量。
|
|
|
