信息安全(information security)涉及信息论、计算机科学和密码学等多方面的知识,它研究计算机系统和通信网络内信息的保护方法,是指在信息的产生、传输、使用、存储过程中,对信息载体(处理载体、存储载体、传输载体)和信息的处理、传输、存储、访问提供安全保护,以防止数据信息内容或能力被非法使用、篡改。
主要的信息安全威胁包括被动攻击、主动攻击、内部人员攻击和分发攻击,主要的信息安全技术包括密码技术、身份管理技术、权限管理技术、本地计算环境安全技术、防火墙技术等,信息安全的发展已经经历了通信保密、计算机安全、信息安全和信息保障等阶段。
信息安全的三大基本属性
1、保密性
信息保密性又称信息机密性,是指信息不泄漏给非授权的个人和实体,或供其使用的特性。信息机密性针对信息被允许访问对象的多少而不同。
所有人员都可以访问的信息为公用信息,需要限制访问的信息一般为敏感信息或秘密,秘密可以根据信息的重要性或保密要求分为不同的密级如国家根据秘密泄露对国家经济、安全利益产生的影响(后果)不同,将国家秘密分为A (秘密级) 、B (机密级)和C (绝密级)三个等级。
秘密是不能泄漏给非授权用户、不被非法利用的,非授权用户就算得到信息也无法知晓信息的内容。机密性通常通过访问控制阻止非授权用户获得机密信息,通过加密技术阻止非授权用户获知信息内容。
2、完整性
完整性是指信息在存储、传输和提取的过程中保持不被修改延迟、不乱序和不丢失的特性。一般通过访问控制阻止篡改行为,通过信息摘要算法来检验信息是否被篡改。完整性是数据未经授权不能进行改变的特性, 其目的是保证信息系统上的数据处于一种完整和未损的状态。
3、可用性
信息可用性指的是信息可被合法用户访问并能按要求顺序使用的特性,即在需要就可取用所需的信息。可用性是信息资源服务功能和性能可靠性的度量,是对信息系总体可靠性的要求。目前要保证系统和网络能提供正常的服务,除了备份和冗余配置之外,没有特别有效的方法。