1.信息安全

信息安全，簡稱信安，意為保護(hù)信息及信息系統(tǒng)免受未經(jīng)授權(quán)的進(jìn)入、使用、披露、破壞、修改、檢視、記錄及銷毀。政府、軍隊(duì)、公司、金融機(jī)構(gòu)、醫(yī)院、私人企業(yè)積累了大量的有關(guān)他們的雇員、顧客、產(chǎn)品、研究、金融數(shù)據(jù)的機(jī)密信息。絕大多數(shù)此類的信息現(xiàn)在被收集、產(chǎn)生、存儲(chǔ)在電子計(jì)算機(jī)內(nèi)，并通過網(wǎng)絡(luò)傳送到別的計(jì)算機(jī)。信息安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。

國際標(biāo)準(zhǔn)化組織（ISO）或國家某專業(yè)機(jī)構(gòu)的定義是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷。

信息安全主要包括以下五方面的內(nèi)容，即需保證信息的保密性、真實(shí)性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全性。

2.信息安全的目標(biāo)

2.1保密性(Confidentiality)是指阻止非授權(quán)的主體閱讀信息。它是信息安全一誕生就具有的特性，也是信息安全主要的研究內(nèi)容之一。更通俗地講，就是說未授權(quán)的用戶不能夠獲取敏感信息。對(duì)紙質(zhì)文檔信息，我們只需要保護(hù)好文件，不被非授權(quán)者接觸即可。而對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)環(huán)境中的信息，不僅要制止非授權(quán)者對(duì)信息的閱讀。也要阻止授權(quán)者將其訪問的信息傳遞給非授權(quán)者，以致信息被泄漏。

2.2完整性(Integrity)是指防止信息被未經(jīng)授權(quán)的篡改。它是保護(hù)信息保持原始的狀態(tài)，使信息保持其真實(shí)性。如果這些信息被蓄意地修改、插入、刪除等，形成虛假信息將帶來嚴(yán)重的后果。

2.3可用性(Usability)是指授權(quán)主體在需要信息時(shí)能及時(shí)得到服務(wù)的能力。可用性是在信息安全保護(hù)階段對(duì)信息安全提出的新要求，也是在網(wǎng)絡(luò)化空間中必須滿足的一項(xiàng)信息安全要求。

2.4可控性(Controlability)是指對(duì)信息和信息系統(tǒng)實(shí)施安全監(jiān)控管理，防止非法利用信息和信息系統(tǒng)。

2.5不可否認(rèn)性(Non-repudiation)是指在網(wǎng)絡(luò)環(huán)境中，信息交換的雙方不能否認(rèn)其在交換過程中發(fā)送信息或接收信息的行為。

信息安全的保密性、完整性和可用性主要強(qiáng)調(diào)對(duì)非授權(quán)主體的控制。而對(duì)授權(quán)主體的不正當(dāng)行為如何控制呢?信息安全的可控性和不可否認(rèn)性恰恰是通過對(duì)授權(quán)主體的控制，實(shí)現(xiàn)對(duì)保密性、完整性和可用性的有效補(bǔ)充，主要強(qiáng)調(diào)授權(quán)用戶只能在授權(quán)范圍內(nèi)進(jìn)行合法的訪問，并對(duì)其行為進(jìn)行監(jiān)督和審查。

除了上述的信息安全五性外，還有信息安全的可審計(jì)性(Audiability)、可鑒別性(Authenticity)等。信息安全的可審計(jì)性是指信息系統(tǒng)的行為人不能否認(rèn)自己的信息處理行為。與不可否認(rèn)性的信息交換過程中行為可認(rèn)定性相比，可審計(jì)性的含義更寬泛一些。信息安全的可見鑒別性是指信息的接收者能對(duì)信息的發(fā)送者的身份進(jìn)行判定。它也是一個(gè)與不可否認(rèn)性相關(guān)的概念。

3.實(shí)現(xiàn)信息安全目標(biāo)基本原則

3.1最小化原則：受保護(hù)的敏感信息只能在一定范圍內(nèi)被共享，履行工作職責(zé)和職能的安全主體，在法律和相關(guān)安全策略允許的前提下，為滿足工作需要。僅被授予其訪問信息的適當(dāng)權(quán)限，稱為最小化原則。敏感信息的。知情權(quán)”一定要加以限制，是在“滿足工作需要”前提下的一種限制性開放。可以將最小化原則細(xì)分為知所必須(need to know)和用所必須(need協(xié)峨)的原則。

3.2分權(quán)制衡原則：在信息系統(tǒng)中，對(duì)所有權(quán)限應(yīng)該進(jìn)行適當(dāng)?shù)貏澐郑姑總€(gè)授權(quán)主體只能擁有其中的一部分權(quán)限，使他們之間相互制約、相互監(jiān)督，共同保證信息系統(tǒng)的安全。如果—個(gè)授權(quán)主體分配的權(quán)限過大，無人監(jiān)督和制約，就隱含了“濫用權(quán)力”、“一言九鼎”的安全隱患。

3.3安全隔離原則：隔離和控制是實(shí)現(xiàn)信息安全的基本方法，而隔離是進(jìn)行控制的基礎(chǔ)。信息安全的一個(gè)基本策略就是將信息的主體與客體分離，按照一定的安全策略，在可控和安全的前提下實(shí)施主體對(duì)客體的訪問。

在這些基本原則的基礎(chǔ)上，人們在生產(chǎn)實(shí)踐過程中還總結(jié)出的一些實(shí)施原則，他們是基本原則的具體體現(xiàn)和擴(kuò)展。包括：整體保護(hù)原則、誰主管誰負(fù)責(zé)原則、適度保護(hù)的等級(jí)化原則、分域保護(hù)原則、動(dòng)態(tài)保護(hù)原則、多級(jí)保護(hù)原則、深度保護(hù)原則和信息流向原則等。

4.信息安全資質(zhì)認(rèn)證

4.1服務(wù)資質(zhì)審核：對(duì)提供信息安全服務(wù)的組織和單位資質(zhì)進(jìn)行審核、評(píng)估和認(rèn)定。

信息安全服務(wù)資質(zhì)是對(duì)信息系統(tǒng)安全服務(wù)的提供者的技術(shù)、資源、法律、管理等方面的資質(zhì)和能力，以及其穩(wěn)定性、可靠性進(jìn)行評(píng)估，并依據(jù)公開的標(biāo)準(zhǔn)和程序，對(duì)其安全服務(wù)保障能力進(jìn)行認(rèn)定的過程。目前分為：信息安全工程類、信息安全災(zāi)難恢復(fù)類、安全運(yùn)營維護(hù)類。

4.2產(chǎn)品測評(píng)：對(duì)國內(nèi)外信息技術(shù)產(chǎn)品的安全性進(jìn)行測評(píng)，其中包括各類信息安全產(chǎn)品如防火墻、入侵監(jiān)測、安全審計(jì)、網(wǎng)絡(luò)隔離、VPN、智能卡、卡終端、安全管理等，以及各類非安全專用IT產(chǎn)品如操作系統(tǒng)、數(shù)據(jù)庫、交換機(jī)、路由器、應(yīng)用軟件等。

根據(jù)測評(píng)依據(jù)及測評(píng)內(nèi)容，分為：信息安全產(chǎn)品分級(jí)評(píng)估、信息安全產(chǎn)品認(rèn)定測評(píng)、信息技術(shù)產(chǎn)品自主原創(chuàng)測評(píng)、源代碼安全風(fēng)險(xiǎn)評(píng)估、選型測試、定制測試。

4.3系統(tǒng)測評(píng)：對(duì)國內(nèi)信息系統(tǒng)的安全性進(jìn)行測試、評(píng)估。

對(duì)國內(nèi)信息系統(tǒng)的安全性測試、評(píng)估和認(rèn)定、根據(jù)依據(jù)標(biāo)準(zhǔn)及測評(píng)方法的不同，主要提供：信息安全風(fēng)險(xiǎn)評(píng)估、信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)、信息系統(tǒng)安全保障能力評(píng)估、信息系統(tǒng)安全方案評(píng)審、電子政務(wù)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估。

4.4人員測評(píng)：對(duì)信息安全專業(yè)人員的資質(zhì)能力進(jìn)行考核、評(píng)估和認(rèn)定。

信息安全人員測評(píng)與資質(zhì)認(rèn)定，主要包括注冊信息安全專業(yè)人員（CISP）、注冊信息安全員（CISM）及安全編程等專項(xiàng)培訓(xùn)、信息安全意識(shí)培訓(xùn)。

國家標(biāo)準(zhǔn)分強(qiáng)制性標(biāo)準(zhǔn)（GB）和推薦性標(biāo)準(zhǔn)（GB/T）。對(duì)強(qiáng)制性標(biāo)準(zhǔn)，從設(shè)計(jì)、生產(chǎn).....到產(chǎn)品包裝等等一路下來的每個(gè)環(huán)節(jié)都必須符合標(biāo)準(zhǔn)要求；而推薦性標(biāo)準(zhǔn)可以依據(jù)國標(biāo)，也可以采用行業(yè)相關(guān)的標(biāo)準(zhǔn)。如果個(gè)人依照國家標(biāo)準(zhǔn)設(shè)計(jì)某一個(gè)產(chǎn)品，不管是依據(jù)GB還是GB/T，那么只能說明該產(chǎn)品采用國家標(biāo)準(zhǔn)設(shè)計(jì)，不能說該產(chǎn)品符合國標(biāo)。產(chǎn)品是不是符合國標(biāo)需要國家的相關(guān)部門（具體好要看哪類產(chǎn)品）來認(rèn)證，而且在產(chǎn)品設(shè)計(jì)投產(chǎn)之前就要取得相應(yīng)的資質(zhì)，并且在有關(guān)行管部門備案，這樣才能作為后續(xù)合同中的技術(shù)依據(jù)。
標(biāo)簽:  信息安全 ISO27001