信息安全的五大特征是:
1、完整性
指信息在傳輸、交換、存儲和處理過程保持非修改、非破壞和非丟失的特性,即保持信息原樣性,使信息能正確生成、存儲、傳輸,這是最基本的安全特征。
2、保密性
指信息按給定要求不泄漏給非授權的個人、實體或過程,或提供其利用的特性,即杜絕有用信息泄漏給非授權個人或實體,強調有用信息只被授權對象使用的特征。
3、可用性
指網絡信息可被授權實體正確訪問,並按要求能正常使用或在非正常情況下能恢復使用的特征,即在系統運行時能正確存取所需信息,當系統遭受攻擊或破壞時,能迅速恢復並能投入使用。可用性是衡量網絡信息系統面向用戶的壹種安全性能。
4、不可否認性
指通信雙方在信息交互過程中,確信參與者本身,以及參與者所提供的信息的真實同壹性,即所有參與者都不可能否認或抵賴本人的真實身份,以及提供信息的原樣性和完成的操作與承諾。
5、可控性
指對流通在網絡系統中的信息傳播及具體內容能夠實現有效控制的特性,即網絡系統中的任何信息要在壹定傳輸範圍和存放空間內可控。除了采用常規的傳播站點和傳播內容監控這種形式外,最典型的如密碼的托管政策,當加密算法交由第三方管理時,必須嚴格按規定可控執行。
信息安全的原則:
1、最小化原則:受保護的敏感信息只能在壹定範圍內被***享,履行工作職責和職能的安全主體,在法律和相關安全策略允許的前提下,為滿足工作需要。
僅被授予其訪問信息的適當權限,稱為最小化原則。敏感信息的“知情權”壹定要加以限制,是在“滿足工作需要”前提下的壹種限制性開放。可以將最小化原則細分為知所必須和用所必須的原則。
2、分權制衡原則:在信息系統中,對所有權限應該進行適當地劃分,使每個授權主體只能擁有其中的壹部分權限,使他們之間相互制約、相互監督,***同保證信息系統的安全。如果壹個授權主體分配的權限過大,無人監督和制約,就隱含了“濫用權力”、“壹言九鼎”的安全隱患。
3、安全隔離原則:隔離和控制是實現信息安全的基本方法,而隔離是進行控制的基礎。信息安全的壹個基本策略就是將信息的主體與客體分離,按照壹定的安全策略,在可控和安全的前提下實施主體對客體的訪問。
在這些基本原則的基礎上,人們在生產實踐過程中還總結出的壹些實施原則,他們是基本原則的具體體現和擴展。