實施原則
1、最小特權原則
最小特權原則是指主體執行操作時,按照主體所需權利的最小化原則分配給主體權利。
2、最小泄露原則
最小泄露原則是指主體執行任務時,按照主體所需要知道的信息最小化的原則分配給主體權利。
3、多級安全策略
多級安全策略是指主體和客體間的數據流向和權限控制按照安全級別的絕密(TS)、機密(C)、秘密(S)、限制(RS)和無級別(U)5級來劃分。
所有的信息安全技術都是為了達到壹定的安全目標,其核心包括保密性、完整性、可用性、可控性和不可否認性五個安全目標。
1、保密性
阻止非授權的主體閱讀信息。它是信息安全壹誕生就具有的特性,也是信息安全主要的研究內容之壹。更通俗地講,就是說未授權的用戶不能夠獲取敏感信息。對紙質文檔信息,我們只需要保護好文件,不被非授權者接觸即可。
而對計算機及網絡環境中的信息,不僅要制止非授權者對信息的閱讀。也要阻止授權者將其訪問的信息傳遞給非授權者,以致信息被泄漏。
2、完整性
防止信息被未經授權的篡改。它是保護信息保持原始的狀態,使信息保持其真實性。如果這些信息被蓄意地修改、插入、刪除等,形成虛假信息將帶來嚴重的後果。
3、可用性
授權主體在需要信息時能及時得到服務的能力。可用性是在信息安全保護階段對信息安全提出的新要求,也是在網絡化空間中必須滿足的壹項信息安全要求。
4、可控性
對信息和信息系統實施安全監控管理,防止非法利用信息和信息系統。
5、不可否認性
在網絡環境中,信息交換的雙方不能否認其在交換過程中發送信息或接收信息的行為。
除了上述的信息安全五性外,還有信息安全的可審計性(Audiability)、可鑒別性(Authenticity)等。