信息安全

標籤: 暫無標籤

15

更新時間: 2013-08-30

廣告

信息安全本身包括的範圍很大。大到國家軍事政治等機密安全,小到如防範商業企業機密泄露、防範青少年對不良信息的瀏覽、個人信息的泄露等。網路環境下的信息安全體系是保證信息安全的關鍵,包括計算機安全操作系統、各種安全協議、安全機制(數字簽名、信息認證、數據加密等),直至安全系統,其中任何一個安全漏洞便可以威脅全局安全。信息安全服務至少應該包括支持信息網路安全服務的基本理論,以及基於新一代信息網路體系結構的網路安全服務體系結構。

概述
信息安全學科可分為狹義安全與廣義安全兩個層次,狹義的安全是建立在以密碼論為基礎的計算機安全領域,早期國內信息安全專業通常以此為基準,輔以計算機技術、通信網路技術與編程等方面的內容;廣義的信息安全本專業是一門綜合性學科,從傳統的計算機安全到信息安全,不但是名稱的變更也是對安全發展的延伸,安全不在是單純的技術問題,而是將管理、技術、法律等問題相結合的產物。培養能夠從事計算機、通信、電子商務、電子政務、電子金融等領域的信息安全高級專門人才。信息安全的概念在本世紀經歷了一個漫長的歷史階段,90年代以來得到了深化。進入21世紀,隨著信息技術的不斷發展,信息安全問題也日顯突出。如何確保信息系統的安全已成為全社會關注的問題。國際上對於信息安全的研究起步較早,投入力度大,已取得了許多成果,並得以推廣應用。國內已有一批專門從事信息安全基礎研究、技術開發與技術服務工作的研究機構與高科技企業,形成了中國信息安全產業的雛形,但由於國內專門從事信息安全工作技術人才嚴重短缺,阻礙了中國信息安全事業的發展。信息安全專業是十分具有發展前途的專業。
此專業具有全面的信息安全專業知識,使得學生有較寬的知識面和進一步發展的基本能力;加強學科所要求的基本修養,使學生具有本學科科學研究所需的基本素質,為學生今後的發展、創新打下良好的基礎;使學生具有較強的應用能力,具有應用已掌握的基本知識解決實際應用問題的能力,不斷增強系統的應用、開發以及不斷獲取新知識的能力。努力使學生既有紮實的理論基礎,又有較強的應用能力;既可以承擔實際系統的開發,又可進行科學研究。
定義
是指信息系統(包括硬體、軟體、數據、人、物理環境及其基礎設施)受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,信息服務不中斷,最終實現業務連續性。信息安全主要包括以下五方面的內容,即需保證信息的保密性、真實性、完整性、未授權拷貝和所寄生系統的安全性。
其根本目的就是使內部信息不受內部、外部、自然等因素的威脅。為保障信息安全,要求有信息源認證、訪問控制,不能有非法軟體駐留,不能有未授權的操作等行為。
信息安全是一門涉及計算機科學、網路技術、通信技術、密碼技術、信息安全技術、應用數學、數論、資訊理論等多種學科的綜合性學科。
關於這一部分的具體介紹,詳見
實現目標
◆ 真實性:對信息的來源進行判斷,能對偽造來源的信息予以鑒別。
◆ 保密性:保證機密信息不被竊聽,或竊聽者不能了解信息的真實含義。
◆ 完整性:保證數據的一致性,防止數據被非法用戶篡改。
◆ 可用性:保證合法用戶對信息和資源的使用不會被不正當地拒絕。
◆ 不可抵賴性:建立有效的責任機制,防止用戶否認其行為,這一點在電子商務中是極其重要的。
◆ 可控制性:對信息的傳播及內容具有控制能力。
◆ 可審查性:對出現的網路安全問題提供調查的依據和手段
主要來源
◆ 自然災害、意外事故;
◆ 計算機犯罪;
◆ 人為錯誤,比如使用不當,安全意識差等;
◆ "黑客" 行為;
◆ 內部泄密;
◆ 外部泄密;
◆ 信息丟失;
◆ 電子諜報,比如信息流量分析、信息竊取等;
◆ 信息戰;
◆ 網路協議自身缺陷,例如TCP/IP協議的安全問題等等。
◆ 嗅探,sniff。嗅探器可以竊聽網路上流經的數據包。
安全策略
主要問題
◆ 網路攻擊與攻擊檢測、防範問題
◆ 安全漏洞與安全對策問題
◆ 信息安全保密問題
◆ 系統內部安全防範問題
◆ 防病毒問題
◆ 數據備份與恢復問題、災難恢復問題
產品
2012年信息安全產業將步入高速發展階段,而整個互聯網用戶對安全產品的要求也轉入「主動性安全防禦」。隨著用戶安全防範意識正在增強,主動性安全產品將更受關注,主動的安全防禦將成為未來安全應用的主流。
安全軟體
數據安全保護系統能夠實現數據文檔的透明加解密保護,可指定類型文件加密、指定程序創建文件加密,杜絕文檔泄密。實現數據文檔的強制訪問控制和統一管理控制、敏感文件及加密密鑰的冗餘存儲備份,包括文件許可權管理、用戶管理、共享管理、外發管理、備份管理、審計管理等。對政府及企業的各種敏感數據文檔,包括設計文檔、設計圖紙、源代碼、營銷方案、財務報表及其他各種涉及企業商業秘密的文檔,都能實現穩妥有效的保護。
檢測
網路
1、結構安全與網段劃分
網路設備的業務處理能力具備冗餘空間,滿足業務高峰期需要;根據機構業務的特點,在滿足業務高峰期需要的基礎上,合理設計網路帶寬;
2、網路訪問控制
不允許數據帶通用協議通過。
3、撥號訪問控制
不開放遠程撥號訪問功能(如遠程撥號用戶或移動VPN用戶)。
4、網路安全審計
記錄網路設備的運行狀況、網路流量、用戶行為等事件的日期和時間、用戶、事件類型、事件是否成功,及其他與審計相關的信息;
5、邊界完整性檢查
能夠對非授權設備私自聯到內部網路的行為進行檢查,準確定出位置,並對其進行有效阻斷;能夠對內部網路用戶私自聯到外部網路的行為進行檢查,準確定出位置,並對其進行有效阻斷。
6、網路入侵防範
在網路邊界處監視以下攻擊行為:埠掃描、強力攻擊、木馬後門攻擊、拒絕服務攻擊、緩衝區溢出攻擊、IP碎片攻擊、網路蠕蟲攻擊等入侵事件的發生;當檢測到入侵事件時,記錄入侵源IP、攻擊類型、攻擊目的、攻擊時間等,並在發生嚴重入侵事件時提供報警(如可採取屏幕實時提示、E-mail告警、聲音告警等幾種方式)及自動採取相應動作。
7、惡意代碼防範
在網路邊界處對惡意代碼進行檢測和清除;維護惡意代碼庫的升級和檢測系統的更新。
8、網路設備防護
對登錄網路設備的用戶進行身份鑒別;對網路設備的管理員登錄地址進行限制;主要網路設備對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別
資料庫
主流資料庫的自身漏洞逐步暴露,數量龐大;僅CVE公布的Oracle漏洞數已達1100多個;資料庫漏掃可以檢測出資料庫的DBMS漏洞、預設配置、許可權提升漏洞、緩衝區溢出、補丁未升級等自身漏洞。
技術簡介
在市場上比較流行,而又能夠代表未來發展方向的安全產品大致有以下幾類:
◆ 用戶身份認證:是安全的第一道大門,是各種安全措施可以發揮作用的前提,身份認證技術包括:靜態密碼、動態密碼(簡訊密碼、動態口令牌、手機令牌)、USB KEY、IC卡、數字證書、指紋虹膜等。
◆ 防火牆:防火牆在某種意義上可以說是一種訪問控制產品。它在內部網路與不安全的外部網路之間設置障礙,阻止外界對內部資源的非法訪問,防止內部對外部的不安全訪問。主要技術有:包過濾技術,應用網關技術,代理服務技術。防火牆能夠較為有效地防止黑客利用不安全的服務對內部網路的攻擊,並且能夠實現數據流的監控、過濾、記錄和報告功能,較好地隔斷內部網路與外部網路的連接。但它其本身可能存在安全問題,也可能會是一個潛在的瓶頸。
◆網路安全隔離:網路隔離有兩種方式,一種是採用隔離卡來實現的,一種是採用網路安全隔離網閘實現的。隔離卡主要用於對單台機器的隔離,網閘主要用於對於整個網路的隔離。這兩者的區別可參見參考資料。網路安全隔離與防火牆的區別可參看參考資料。
◆ 安全路由器:由於WAN連接需要專用的路由器設備,因而可通過路由器來控制網路傳輸。通常採用訪問控制列表技術來控制網路信息流。
◆虛擬專用網(VPN):虛擬專用網(VPN)是在公共數據網路上,通過採用數據加密技術和訪問控制技術,實現兩個或多個可信內部網之間的互聯。VPN的構築通常都要求採用具有加密功能的路由器或防火牆,以實現數據在公共通道上的可信傳遞。
◆ 安全伺服器:安全伺服器主要針對一個區域網內部信息存儲、傳輸的安全保密問題,其實現功能包括對區域網資源的管理和控制,對區域網內用戶的管理,以及區域網中所有安全相關事件的審計和跟蹤。
◆ 電子簽證機構--CA和PKI產品:電子簽證機構(CA)作為通信的第三方,為各種服務提供可信任的認證服務。CA可向用戶發行電子簽證證書,為用戶提供成員身份驗證和密鑰管理等功能。PKI產品可以提供更多的功能和更好的服務,將成為所有應用的計算基礎結構的核心部件。
◆ 安全管理中心:由於網上的安全產品較多,且分佈在不同的位置,這就需要建立一套集中管理的機制和設備,即安全管理中心。它用來給各網路安全設備分發密鑰,監控網路安全設備的運行狀態,負責收集網路安全設備的審計信息等。
◆ 入侵檢測系統(IDS):入侵檢測,作為傳統保護機制(比如訪問控制,身份識別等)的有效補充,形成了信息系統中不可或缺的反饋鏈。
◆ 入侵防禦系統(IPS):入侵防禦,入侵防禦系統作為IDS很好的補充,是信息安全發展過程中佔據重要位置的計算機網路硬體。
◆ 安全資料庫:由於大量的信息存儲在計算機資料庫內,有些信息是有價值的,也是敏感的,需要保護。安全資料庫可以確保資料庫的完整性、可靠性、有效性、機密性、可審計性及存取控制與用戶身份識別等。
◆ 安全操作系統:給系統中的關鍵伺服器提供安全運行平台,構成安全WWW服務,安全FTP服務,安全SMTP服務等,並作為各類網路安全產品的堅實底座,確保這些安全產品的自身安全。
◆DG圖文檔加密:能夠智能識別計算機所運行的涉密數據,並自動強制對所有涉密數據進行加密操作,而不需要人的參與。體現了安全面前人人平等。從根源解決信息泄密
信息安全服務
信息安全服務是指為確保信息和信息系統的完整性、保密性和可用性所提供的信息技術專業服務,包括對信息系統安全的的諮詢、集成、監理、測評、認證、運維、審計、培訓和風險評估、容災備份、應急響應等工作
安全對策
電子商務的一個重要技術特徵是利用計算機技術來傳輸和處理商業信息。因此,電子商務安全問題的對策從整體上可分為計算機網路安全措施和商務交易安全措施兩大部分。
1.計算機網路安全措施
計算機網路安全措施主要包括保護網路安全、保護應用服務安全和保護系統安全三個方面,各個方面都要結合考慮安全防護的物理安全、防火牆、信息安全、Web安全、媒體安全等等。
(一)保護網路安全。
網路安全是為保護商務各方網路端系統之間通信過程的安全性。保證機密性、完整性、認證性和訪問控制性是網路安全的重要因素。保護網路安全的主要措施如下:
(1)全面規劃網路平台的安全策略。
(2)制定網路安全的管理措施。
(3)使用防火牆。
(4)儘可能記錄網路上的一切活動。
(5)注意對網路設備的物理保護。
(6)檢驗網路平台系統的脆弱性。
(7)建立可靠的識別和鑒別機制。
(二)保護應用安全。
保護應用安全,主要是針對特定應用(如Web伺服器、網路支付專用軟體系統)所建立的安全防護措施,它獨立於網路的任何其他安全防護措施。雖然有些防護措施可能是網路安全業務的一種替代或重疊,如Web瀏覽器和Web伺服器在應用層上對網路支付結算信息包的加密,都通過IP層加密,但是許多應用還有自己的特定安全要求。
由於電子商務中的應用層對安全的要求最嚴格、最複雜,因此更傾向於在應用層而不是在網路層採取各種安全措施。
雖然網路層上的安全仍有其特定地位,但是人們不能完全依靠它來解決電子商務應用的安全性。應用層上的安全業務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網路支付等應用的安全性。
(三)保護系統安全。
保護系統安全,是指從整體電子商務系統或網路支付系統的角度進行安全防護,它與網路系統硬體平台、操作系統、各種應用軟體等互相關聯。涉及網路支付結算的系統安全包含下述一些措施:
(1)在安裝的軟體中,如瀏覽器軟體、電子錢包軟體、支付網關軟體等,檢查和確認未知的安全漏洞。
(2)技術與管理相結合,使系統具有最小穿透風險性。如通過諸多認證才允許連通,對所有接入數據必須進行審計,對系統用戶進行嚴格安全管理。
(3)建立詳細的安全審計日誌,以便檢測並跟蹤入侵攻擊等。
2.商務交易安全措施
商務交易安全則緊緊圍繞傳統商務在互聯網路上應用時產生的各種安全問題,在計算機網路安全的基礎上,如何保障電子商務過程的順利進行。
各種商務交易安全服務都是通過安全技術來實現的,主要包括加密技術、認證技術和電子商務安全協議等。
(一)加密技術。
加密技術是電子商務採取的基本安全措施,交易雙方可根據需要在信息交換的階段使用。加密技術分為兩類,即對稱加密和非對稱加密。
(1)對稱加密。
對稱加密又稱私鑰加密,即信息的發送方和接收方用同一個密鑰去加密和解密數據。它的最大優勢是加/解密速度快,適合於對大數據量進行加密,但密鑰管理困難。如果進行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露,那麼機密性和報文完整性就可以通過這種加密方法加密機密信息、隨報文一起發送報文摘要或報文散列值來實現。
(2)非對稱加密。
非對稱加密又稱公鑰加密,使用一對密鑰來分別完成加密和解密操作,其中一個公開發布(即公鑰),另一個由用戶自己秘密保存(即私鑰)。信息交換的過程是:甲方生成一對密鑰並將其中的一把作為公鑰向其他交易方公開,得到該公鑰的乙方使用該密鑰對信息進行加密后再發送給甲方,甲方再用自己保存的私鑰對加密信息進行解密。
(二)認證技術。
認證技術是用電子手段證明發送者和接收者身份及其文件完整性的技術,即確認雙方的身份信息在傳送或存儲過程中未被篡改過。
(1)數字簽名。
數字簽名也稱電子簽名,如同出示手寫簽名一樣,能起到電子文件認證、核准和生效的作用。其實現方式是把散列函數和公開密鑰演算法結合起來,發送方從報文文本中生成一個散列值,並用自己的私鑰對這個散列值進行加密,形成發送方的數字簽名;然後,將這個數字簽名作為報文的附件和報文一起發送給報文的接收方;報文的接收方首先從接收到的原始報文中計算出散列值,接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密;如果這兩個散列值相同,那麼接收方就能確認該數字簽名是發送方的。數字簽名機制提供了一種鑒別方法,以解決偽造、抵賴、冒充、篡改等問題。
(2)數字證書。
數字證書是一個經證書授權中心數字簽名的包含公鑰擁有者信息以及公鑰的文件數字證書的最主要構成包括一個用戶公鑰,加上密鑰所有者的用戶身份標識符,以及被信任的第三方簽名第三方一般是用戶信任的證書權威機構(CA),如政府部門和金融機構。用戶以安全的方式向公鑰證書權威機構提交他的公鑰並得到證書,然後用戶就可以公開這個證書。任何需要用戶公鑰的人都可以得到此證書,並通過相關的信任簽名來驗證公鑰的有效性。數字證書通過標誌交易各方身份信息的一系列數據,提供了一種驗證各自身份的方式,用戶可以用它來識別對方的身份。
(三)電子商務的安全協議。
除上文提到的各種安全技術之外,電子商務的運行還有一套完整的安全協議。比較成熟的協議有SET、SSL等。
(1)安全套接層協議SSL。
SSL協議位於傳輸層和應用層之間,由SSL記錄協議、SSL握手協議和SSL警報協議組成的。SSL握手協議被用來在客戶與伺服器真正傳輸應用層數據之前建立安全機制。當客戶與伺服器第一次通信時,雙方通過握手協議在版本號、密鑰交換演算法、數據加密演算法和Hash演算法上達成一致,然後互相驗證對方身份,最後使用協商好的密鑰交換演算法產生一個只有雙方知道的秘密信息,客戶和伺服器各自根據此秘密信息產生數據加密演算法和Hash演算法參數。SSL記錄協議根據SSL握手協議協商的參數,對應用層送來的數據進行加密、壓縮、計算消息鑒別碼MAC,然後經網路傳輸層發送給對方。SSL警報協議用來在客戶和伺服器之間傳遞SSL出錯信息。
(2)安全電子交易協議SET。
SET協議用於劃分與界定電子商務活動中消費者、網上商家、交易雙方銀行、信用卡組織之間的權利義務關係,給定交易信息傳送流程標準。SET主要由三個文件組成,分別是SET業務描述、SET程序員指南和SET協議描述。SET協議保證了電子商務系統的機密性、數據的完整性、身份的合法性。
SET協議是專為電子商務系統設計的。它位於應用層,其認證體系十分完善,能實現多方認證。在SET的實現中,消費者帳戶信息對商家來說是保密的。但是SET協議十分複雜,交易數據需進行多次驗證,用到多個密鑰以及多次加密解密。而且在SET協議中除消費者與商家外,還有發卡行、收單行、認證中心、支付網關等其它參與者。
法政標
信息安全法規、政策與標準
1)法律體系初步構建,但體系化與有效性等方面仍有待進一步完善信息安全法律法規體系初步形成。
據相關統計,截至2008年與信息安全直接相關的法律有65部,涉及網路與信息系統安全、信息內容安全、信息安全系統與產品、保密及密碼管理、計算機病毒與危害性程序防治、金融等特定領域的信息安全、信息安全犯罪制裁等多個領域,從形式看,有法律、相關的決定、司法解釋及相關文件、行政法規、法規性文件、部門規章及相關文件、地方性法規與地方政府規章及相關文件多個層次。與此同時,與信息安全相關的司法和行政管理體系迅速完善。但整體來看,與美國、歐盟等先進國家與地區比較,我們在相關法律方面還欠體系化、覆蓋面與深度。缺乏相關的基本法,信息安全在法律層面的缺失對於信息安全保障形成重大隱患。
2)相關係列政策推出,與國外也有異曲同工之處從政策來看,美國信息安全政策體系也值得國內學習與借鑒。美國在信息安全管理以及政策支持方面走在全球的前列:
一是制定了從軍政部門、公共部門和私營領域的風險管理政策和指南;
二是形成了軍、政、學、商分工協作的風險管理體系;
三是國防部、商務部、審計署、預算管理等部門各司其職,形成了較為完整的風險分析、評估、監督、檢查問責的工作機制。
3)信息安全標準化工作得到重視,但標準體系尚待發展與完善信息安全標準體系主要由基礎標準、技術標準和管理標準等分體系組成。
中國信息技術安全標準化技術委員會(CITS)主持制定了GB系列的信息安全標準對信息安全軟體、硬體、施工、檢測、管理等方面的幾十個主要標準。但總體而言,中國的信息安全標準體系仍處於發展和建立階段,基本上是引用與借鑒了國際以及先進國家的相關標準。因此,中國在信息安全標準組織體系方面還有待於進一步發展與完善。
產業影響
中間組織對信息安全產業發展的影響
同國外相比較,國內的中間組織機構多為政府職能部門所屬機構或者是下屬科研機構與企業等,而歐美國家這方面的中間組織則包括了國家的相關部門組織、教育與科研組織、企業組織與同業組織等,其覆蓋層次更多,面積更廣。與歐美比較,國內資本市場相對薄弱,對於安全產業的發展而言,就缺乏有效的中間組織形式來推進和導向其發展,雖然國內有一些依託於政府部門的中間組織在產品測試等服務的基礎之上開展了一些相關的服務,但是距離推進、引導國內安全產業中的各類企業尤其是中小企業的發展的需求還有很大的差距。
培養要求
通過學習本專業的學生應獲得以下幾方面的基本知識和職業能力:
基本技能掌握
(1)掌握安全理論、現代企業管理和經濟信息管理和信息系統的基本理論、基本知識。
(2)掌握計算機軟、硬體加密、解密的基本理論、基本知識。
(3)掌握計算機維護和系統支持的基本知識、基本技能。
(4)掌握參與企業管理進行經濟信息分析、處理的基本技能。
(5)較熟練掌握一門外語,並能實際應用於信息安全管理領域。
加密
數據加密技術從技術上的實現分為在軟體和硬體兩方面。按作用不同,數據加密技術主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術這四種。
在網路應用中一般採取兩種加密形式:對稱密鑰和公開密鑰,採用何種加密演算法則要結合具體應用環境和系統,而不能簡單地根據其加密強度來作出判斷。因為除了加密演算法本身之外,密鑰合理分配、加密效率與現有系統的結合性,以及投入產出分析都應在實際環境中具體考慮。
對於對稱密鑰加密。其常見加密標準為DES等,當使用DES時,用戶和接受方採用64位密鑰對報文加密和解密,當對安全性有特殊要求時,則要採取IDEA和三重DES等。作為傳統企業網路廣泛應用的加密技術,秘密密鑰效率高,它採用KDC來集中管理和分發密鑰並以此為基礎驗證身份,但是並不適合Internet環境。
在Internet中使用更多的是公鑰系統。即公開密鑰加密,它的加密密鑰和解密密鑰是不同的。一般對於每個用戶生成一對密鑰后,將其中一個作為公鑰公開,另外一個則作為私鑰由屬主保存。常用的公鑰加密演算法是RSA演算法,加密強度很高。具體作法是將數字簽名和數據加密結合起來。發送方在發送數據時必須加上數據簽名,做法是用自己的私鑰加密一段與發送數據相關的數據作為數字簽名,然後與發送數據一起用接收方密鑰加密。當這些密文被接收方收到后,接收方用自己的私鑰將密文解密得到發送的數據和發送方的數字簽名,然後,用發布方公布的公鑰對數字簽名進行解密,如果成功,則確定是由發送方發出的。數字簽名每次還與被傳送的數據和時間等因素有關。由於加密強度高,而且並不要求通信雙方事先要建立某種信任關係或共享某種秘密,因此十分適合Internet網上使用。
目標
所有的信息安全技術都是為了達到一定的安全目標,其核心包括保密性、完整性、可用性、可控性和不可否認性五個安全目標。
保密性(Confidentiality)是指阻止非授權的主體閱讀信息。它是信息安全一誕生就具有的特性,也是信息安全主要的研究內容之一。更通俗地講,就是說未授權的用戶不能夠獲取敏感信息。對紙質文檔信息,我們只需要保護好文件,不被非授權者接觸即可。而對計算機及網路環境中的信息,不僅要制止非授權者對信息的閱讀。也要阻止授權者將其訪問的信息傳遞給非授權者,以致信息被泄漏。
完整性(Integrity)是指防止信息被未經授權的篡改。它是保護信息保持原始的狀態,使信息保持其真實性。如果這些信息被蓄意地修改、插入、刪除等,形成虛假信息將帶來嚴重的後果。
可用性(Usability)是指授權主體在需要信息時能及時得到服務的能力。可用性是在信息安全保護階段對信息安全提出的新要求,也是在網路化空間中必須滿足的一項信息安全要求。
可控性(Controlability)是指對信息和信息系統實施安全監控管理,防止非法利用信息和信息系統。
不可否認性(Non-repudiation)是指在網路環境中,信息交換的雙方不能否認其在交換過程中發送信息或接收信息的行為。
信息安全的保密性、完整性和可用性主要強調對非授權主體的控制。而對授權主體的不正當行為如何控制呢?信息安全的可控性和不可否認性恰恰是通過對授權主體的控制,實現對保密性、完整性和可用性的有效補充,主要強調授權用戶只能在授權範圍內進行合法的訪問,並對其行為進行監督和審查。
除了上述的信息安全五性外,還有信息安全的可審計性(Audiability)、可鑒別性(Authenticity)等。信息安全的可審計性是指信息系統的行為人不能否認自己的信息處理行為。與不可否認性的信息交換過程中行為可認定性相比,可審計性的含義更寬泛一些。信息安全的可見鑒別性是指信息的接收者能對信息的發送者的身份進行判定。它也是一個與不可否認性相關的概念。
資質認證
中國信息安全測評認證中心是國內信息安全最高認證,測評及認定項目分為信息安全產品測評信息系統安全等級認定信息安全服務資質認定信息安全從業人員資質認定四大類。
信息安全產品測評:對國內外信息技術產品的安全性進行測評,其中包括各類信息安全產品如防火牆、入侵監測、安全審計、網路隔離、VPN、智能卡、卡終端、安全管理等,以及各類非安全專用IT產品如操作系統、資料庫、交換機、路由器、應用軟體等。
根據測評依據及測評內容,分為:信息安全產品分級評估、信息安全產品認定測評、信息技術產品自主原創測評、源代碼安全風險評估、選型測試、定製測試。
信息系統認定:
對國內信息系統的安全性進行測試、評估。
對國內信息系統的安全性測試、評估和認定、根據依據標準及測評方法的不同,主要提供:信息安全風險評估、信息系統安全等級保護測評、信息系統安全保障能力評估、信息系統安全方案評審、電子政務項目信息安全風險評估。
信息安全服務資質認定:
對提供信息安全服務的組織和單位資質進行審核、評估和認定。
信息安全服務資質是對信息系統安全服務的提供者的技術、資源、法律、管理等方面的資質和能力,以及其穩定性、可靠性進行評估,並依據公開的標準和程序,對其安全服務保障能力進行認定的過程。分為:信息安全工程類、信息安全災難恢復類、安全運營維護類。
信息安全專業人員資質認定:
對信息安全專業人員的資質能力進行考核、評估和認定。
信息安全人員測評與資質認定,主要包括註冊信息安全專業人員(CISP)、註冊信息安全員(CISM)及安全編成等專項培訓、信息安全意識培訓。
安卓應用
信息安全 V6.0
運行系統:android 2.1以上
應用語言:簡體中文
應用簡介:信息安全 V6.0是一款十分強大的手機安卓應用,你可以為你的信息安全保駕護航,輕鬆的把你的簡訊隱藏起來當你輸入密碼的時候就可以看到這些隱藏的信息是不是很強大呢?

廣告

廣告