客服热线:
手机版
二维码
ISO27000信息安全管理体系之信息安全概念
ISO27000信息安全管理体系之 信息安全概念
“安全一词的基本含义为:“主观上没有任何威胁,主观上没有任何恐惧或“远离任何危险的状态或特性。其实在每1个领域都会存在安全问题,这是1个非常普遍存在的问题。随着计算机网络的迅速发展,人们对信息的存储、处理和传递过程中涉及的安全问题越来越关注,信息领域的安全问题变得非常突出。
信息安全是1个非常广泛和抽象的概念。简单的而言信息安全是指关注信息本身的安全,而不管是否应用了计算机作为信息处理的手段。信息安全的主要任务是保护信息财产的安全,防止偶然的或未授权者对信息财产产生的恶意泄露、修改和破坏,从而导致信息的不可靠或无法处理等。这样能够使得我们在最大限度地利用信息的同时而不招致损失或使损失最小。
目前,信息技术得到社会上的广泛应用,给人们的生活方式、生产方式和思想观念带来了巨大的改变,极大程度地推动了人类文明的进步和社会的发展,1个崭新的时代就此诞生,它把人类带入了——信息时代。信息是一种资源,并且是社会发展的重要资源。然而,信息是一把双刃剑,人们在享受信息资源为我们带来的丰厚的利益的同时,也在经历着信息安全的严峻考验。信息安全已经成为世界性的问题。
信息安全之因此引起人们的普遍关注,是由于信息安全问题目前已经涉及到人们日常生活的各个方面。以网上交易为例,传统的商务运作模式经历了漫长的社会实践,在社会的意识、道德、素质、政策、法规和技术等各个方面,都已经完善,然而对于电子商务而言,这一切却处于刚刚起步阶段,其发展和完善将是1个漫长的过程。假设你作为交易人,无论你从事何种形式的电子商务都必须清楚以下事实:你的交易方是谁?信息在传输过程中是否会被篡改( 即信息的完整性) ?信息在传送途中是否会被外人看到( 即信息的保密性) ?网上支付后,对方是否会不认帐( 即不可抵赖性)?如此等等。因此,无论是商家、银行还是个人对电子交易安全的担忧是必然的,电子商务的安全问题已经成为阻碍电子商务发展的“瓶颈,怎样改进电子商务的现状,让用户不必为安全担心,是推动安全技术不断发展的动力。
信息安全研究所涉及的领域相当广泛。随着计算机网络的迅速发展,人们越来越依赖网络,人们对信息财产的使用更多的是通过计算机网络来实现的,在计算机和网络上信息的处理是以数据的形式进行,在这种情况下,信息就是数据。因而从这个角度而言,信息安全能够分为数据安全和系统安全,即信息安全能够从两个层次来看:从消息的层次来看,包含信息的完整性( Integrity) ,即保证消息的来源、去向、内容真实无误;保密性( Confidentiality) ,即保证消息不会被非法泄露扩散;不可否认性( Non-repudiation) ,也称为不可抵赖性,即保证消息的发送和接受者无法否认自己所做过的操作行为等。从网络层次来看,包含可用性( Availability) ,即保证网络和信息系统随时可用,运行过程中不出现故障,若遇意外打击能够尽量减少损失并尽早恢复正常;可控性( Cont rollability) ,即对网络信息的传播及内容具有控制能力的特性。
ISO27000信息安全管理体系之信息安全属性
ISO27000信息安全管理体系之 信息安全属性
信息安全有5个基本的属性,这5个基本属性主要表现在以下方面:
(1) 信息所具有的完整性
信息完整性是指信息在传输或存储的过程中保持未经授权不能改变的特性,即对抗主动攻击,保证数据的一致性,防止数据被非法用户修改和破坏。对信息安全发动攻击的最终目的是破坏信息的完整性。
(2) 信息所具有的保密性
信息保密性是指信息不被泄露给未经授权者的特性,即对抗被动攻击,以保证机密信息不会泄露给非法用户。
(3) 信息所具有的可用性
信息可用性是指信息可被授权者访问并按需求使用的特性,即保证合法用户对信息和资源的使用不会被不合理地拒绝。对可用性的攻击就是阻断信息的合理使用,例如破坏系统的正常运行就属于这种类型的攻击。
(4) 信息所具有的不可否认性
信息不可否认性也称为不可抵赖性,即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。发送方不能否认已发送的信息,接收方也不能否认已收到的信息。
(5) 信息所具有的可控性
信息可控性是指对信息的传播及内容具有控制能力的特性。授权机构能够随时控制信息的机密性,能够对信息实施安全监控。
信息安全的主要任务就是要实现信息的上述五种安全属性。对于信息破坏攻击者而言,就是要通过一切可能的方法和手段破坏信息的安全属性。
信息安全能够说是一门既古老又年轻的学科,内涵以及丰富。信息安全不仅涉及计算机和网络本身的技术问题、管理问题并且还涉及经济学、法律学、计算机基础科学、犯罪学、计算机病毒学、心理学、密码学、应用数学、审计学等学科。
从信息安全的发展过程来看,在计算机出现以前,通信安全以保密为主,密码学是信息安全的核心和基础,随着计算机的出现,计算机系统安全保密成为现代信息安全的重要内容,网络的出现使得大范围的信息系统的安全保密成为信息安全的主要内容。信息安全的宗旨是向合法的服务对象提供准确、正确、及时、可靠的信息服务;而对其他任何人员和组织,包含内部、外部乃至于敌对方,保持最大限度的信息的不可获取性、不透明性、不可干扰性、不可接触性、不可破坏性,并且不论信息所处的状态是静态的、动态的、还是传输过程中的。
