壹、目標:信息安全通常強調所謂CIA三元組的目標,即保密性、完整性和可用性。CIA 概念的闡述源自信息技術安全評估標準(Information Technology Security Evaluation Criteria,ITSEC),它也是信息安全的基本要素和安全建設所應遵循的基本原則。
1、保密性(Confidentiality):確保信息在存儲、使用、傳輸過程中不會泄漏給非授權用戶或實體。
2、完整性(Integrity):確保信息在存儲、使用、傳輸過程中不會被非授權用戶篡改,同時還要防止授權用戶對系統及信息進行不恰當的篡改,保持信息內、外部表示的壹致性。
3、可用性(Availability):確保授權用戶或實體對信息及資源的正常使用不會被異常拒絕,允許其可靠而及時地訪問信息及資源。
二、原則:
1、最小化原則。受保護的敏感信息只能在壹定範圍內被***享,履行工作職責和職能的安全主體,在法律和相關安全策略允許的前提下,為滿足工作需要。僅被授予其訪問信息的適當權限,稱為最小化原則。敏感信息的。知情權”壹定要加以限制,是在“滿足工作需要”前提下的壹種限制性開放。可以將最小化原則細分為知所必須(need to know)和用所必須(need協峨)的原則。
2、分權制衡原則。在信息系統中,對所有權限應該進行適當地劃分,使每個授權主體只能擁有其中的壹部分權限,使他們之間相互制約、相互監督,***同保證信息系統的安全。如果—個授權主體分配的權限過大,無人監督和制約,就隱含了“濫用權力”、“壹言九鼎”的安全隱患。
3、安全隔離原則。隔離和控制是實現信息安全的基本方法,而隔離是進行控制的基礎。信息安全的壹個基本策略就是將信息的主體與客體分離,按照壹定的安全策略,在可控和安全的前提下實施主體對客體的訪問。
關於信息安全的基本信息:
1、信息安全主要包括以下五方面的內容,即需保證信息的保密性、真實性、完整性、未授權拷貝和所寄生系統的安全性。信息安全本身包括的範圍很大,其中包括如何防範商業企業機密泄露、防範青少年對不良信息的瀏覽、個人信息的泄露等。網絡環境下的信息安全體系是保證信息安全的關鍵,包括計算機安全操作系統、各種安全協議、安全機制(數字簽名、消息認證、數據加密等),直至安全系統,如UniNAC、DLP等,只要存在安全漏洞便可以威脅全局安全。信息安全是指信息系統(包括硬件、軟件、數據、人、物理環境及其基礎設施)受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,信息服務不中斷,最終實現業務連續性。
2、信息安全學科可分為狹義安全與廣義安全兩個層次,狹義的安全是建立在以密碼論為基礎的計算機安全領域,早期中國信息安全專業通常以此為基準,輔以計算機技術、通信網絡技術與編程等方面的內容;廣義的信息安全是壹門綜合性學科,從傳統的計算機安全到信息安全,不但是名稱的變更也是對安全發展的延伸,安全不在是單純的技術問題,而是將管理、技術、法律等問題相結合的產物。本專業培養能夠從事計算機、通信、電子商務、電子政務、電子金融等領域的信息安全高級專門人才。