1.信息安全的基本要索
信息安全的實質就是要保護信息系統或信息網絡中的網站建設外包信息資源免受各種威脅、干擾和破壞,即保證信息的安全性。
信息安全主要包括信息設備安全、數據安全、內容安全和行為安全幾個方面.其中,信息系統硬件結構的安全和操作系統軟件的安全是信息系統安全的基礎,密碼、網絡安全等技術是關鍵技術。信息安全的內涵也在發展中不斷地豐富,目前公認的信息安全屬性包括:
(1)可靠性(Reliability):信息系統運行的過程和結果是可以被信賴的。
(2)可用性(Usability):當突發事件(故障、攻擊等)發生時,用戶依然能夠得到并使用信息系統的數據,信息系統的服務亦能維持運行。
(3)可控性(Controllability):信息系統的認證、授權和監控管理。
(4)秘密性(Secrecy):數據只有經過授權方授權才能被訪問和獲取。
(5)完整性(Integrality):能夠保證被傳輸、接收、存儲的數據是完整和未被修改的。
(6)不可否認性(Non-repudiation):保證信息行為人不能偽造或否認其行為。
(7)合法性(Validity):信息內容本身是合法的,符合社會一般的公序良俗,沒有反動、色情等內容。
(8)可預期性(Predictability):實體的行為總是以預期的方式達到預期的目標。
2.安全威脅
隨著信息交換的激增,安全威脅所造成的危害越來越受到重視,因此對信息保密的需求也從軍事、政治和外交等領域迅速擴展到民用和商用領域。所謂安全威脅是指某個人、物、事件對某一資源的秘密性、完整性、可用性或合法性所造成的危害.某種攻擊就是威脅的具體實現。安全威脅主要分為兩類:故意(如黑客滲透)和偶然(如信息發往錯誤的地址)。典型的安全威脅如表2-1所示。
3.信息安全策略
信息安全策略是指為保證提供一定級別的安全保護所必須遵守的規則。實現信息安全,不但要依靠先進的技術,而且也需要嚴格的安全管理、法律約束和安全教育。
(1)文檔加密軟件能夠智能地識別計算機所運行的涉密數據,并自動強制對所有涉密數據進行加密操作,而不需要人的參與。
(2)先進的信息安全技術是網絡安全的根本保證。用戶對自身面臨的威脅進行風險評估,決定其所需要的安全服務種類,選擇相應的安全機制,然后集成先進的安全技術,形成一個全方位的安全系統。
(3)嚴格的安全管理.使用各計算機網絡的組織機構應建立相應的網絡安全管理辦法,加強內部管理,建立合適的網絡安全管理系統,加強用戶管理和授權管理,建立安全審計和跟蹤體系,提高整體網絡安全意識。
(4)制定嚴格的法律、法規,使非法分子懾于法律而不敢輕舉妄動。
(5)安全操作系統.給系統中的關鍵服務器提供安全運行的平臺。