从技术角度看,计算机信息安全是一个涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的边缘性综合学科。我们首先介绍以下几个概念。
计算机系统(computer system)也称计算机信息系统(Computer Information
System),是由计算机及其相关的和配套的设备、设施(含网络)构成的,并按一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人
机系统。计算机信息安全(computer system
security)中的“安全”一词是指将服务与资源的脆弱性降到最低限度。脆弱性是指计算机系统的任何弱点。
国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而
遭到破坏、更改和泄露。”此概念偏重于静态信息保护。也有人将“计算机安全”定义为:“计算机的硬件、软件和数据受到保护,不因偶然和恶意的原因而遭到破
坏、更改和泄露,系统连续正常运行。”该定义着重于动态意义描述。
在美国国家信息基础设施(NII)的文献中,给出了安全的五个属性:可用性、可靠性、完整性、保密性和不可抵赖性。这五个属性适用于国家信息基础设施的教育、娱乐、医疗、运输、国家安全、电力供给及分配、通信等广泛领域。这五个属性定义如下:
可用性(Availability):得到授权的实体在需要时可访问资源和服务。可用性是指无论何时,只要用户需要,信息系统必须是可用的,也就是说信息
系统不能拒绝服务。网络最基本的功能是向用户提供所需的信息和通信服务,而用户的通信要求是随机的,多方面的(话音、数据、文字和图像等),有时还要求时
效性。网络必须随时满足用户通信的要求。攻击者通常采用占用资源的手段阻碍授权者的工作。可以使用访问控制机制,阻止非授权用户进入网络,从而保证网络系
统的可用性。增强可用性还包括如何有效地避免因各种灾害(战争、地震等)造成的系统失效。
可靠性(Reliability):可靠性是指系统在规定条件下和规定时间内、完成规定功能的概率。可靠性是网络安全最基本的要求之一,网络不可靠,事故
不断,也就谈不上网络的安全。目前,对于网络可靠性的研究基本上偏重于硬件可靠性方面。研制高可靠性元器件设备,采取合理的冗余备份措施仍是最基本的可靠
性对策,然而,有许多故障和事故,则与软件可靠性、人员可靠性和环境可靠性有关。
完整性(Integrity):信息不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏的特性。只有得到允许的人才能修改实体或进程,并且能够判
别出实体或进程是否已被篡改。即信息的内容不能为未授权的第三方修改。信息在存储或传输时不被修改、破坏,不出现信息包的丢失、乱序等。
保密性(Confidentiality):保密性是指确保信息不暴露给未授权的实体或进程。即信息的内容不会被未授权的第三方所知。这里所指的信息不但
包括国家秘密,而且包括各种社会团体、企业组织的工作秘密及商业秘密,个人的秘密和个人私密(如浏览习惯、购物习惯)。防止信息失窃和泄露的保障技术称为
保密技术。
不可抵赖性(Non-Repudiation):也称作不可否认性。不可抵赖性是面向通信双方(人、实体或进程)信息真实同一的安全要求,它包括收、发双
方均不可抵赖。一是源发证明,它提供给信息接收者以证据,这将使发送者谎称未发送过这些信息或者否认它的内容的企图不能得逞;二是交付证明,它提供给信息
发送者以证明这将使接收者谎称未接收过这些信息或者否认它的内容的企图不能得逞。
除此之外计算机网络信息系统的其他安全属性还包括:
可控性:可控性就是对信息及信息系统实施安全监控。管理机构对危害国家信息的来往、使用加密手段从事非法的通信活动等进行监视审计,对信息的传播及内容具有控制能力。
可审查性:使用审计、监控、防抵赖等安全机制,使得使用者(包括合法用户、攻击者、破坏者、抵赖者)的行为有证可查,并能够对网络出现的安全问题提供调查
依据和手段。审计是通过对网络上发生的各种访问情况记录日志,并对日志进行统计分析,是对资源使用情况进行事后分析的有效手段,也是发现和追踪事件的常用
措施。审计的主要对象为用户、主机和节点,主要内容为访问的主体、客体、时间和成败情况等。
认证:保证信息使用者和信息服务者都是真实声称者,防止冒充和重演的攻击。
访问控制:保证信息资源不被非授权地使用。访问控制根据主体和客体之间的访问授权关系,对访问过程做出限制。
安全工作的目的就是为了在安全法律、法规、政策的支持与指导下,通过采用合适的安全技术与安全管理措施,维护计算机信息安全。我们应当保障计算机及其相关
的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。计算机信息安全涉
及物理安全(实体安全)、运行安全和信息安全三个方面。
(1)物理安全(Physical Security )
保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)破坏的措施、过程。特别是避免由于电磁泄漏产生信息泄露,从而干扰他人或受他人干扰。物理安全包括环境安全,设备安全和媒体安全三个方面。
(2)运行安全(Operation Security )
为保障系统功能的安全实现,提供一套安全措施(如风险分析,审计跟踪,备份与恢复,应急等)来保护信息处理过程的安全。它侧重于保证系统正常运行,避免因
为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失。运行安全包括风险分析,审计跟踪,备份与恢复,应急四个方面。
风险分析是指为了使计算机信息系统能安全地运行,首先了解影响计算机信息系统安全运行的诸多因素和存在的风险,从而进行风险分析,找出克服这些风险的方法。
审计跟踪是利用计算机信息系统所提供的审计跟踪工具,对计算机信息系统的工作过程进行详尽的跟踪记录,同时保存好审计记录和审计日志,并从中发现和及时解决问题,保证计算机信息系统安全可靠地运行。这就要求系统管理员要认真负责,切实保存、维护和管理审计日志。
应急措施和备份恢复应同时考虑。首先要根据所用信息系统的功能特性和灾难特点制定包括应急反应、备份操作、恢复措施三个方面内容的应急计划,一旦发生灾害事件,就可按计划方案最大限度地恢复计算机系统的正常运行。
(3)信息安全(Information Security )
防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识,控制。即确保信息的完整性、保密性,可用性和可控性。避免攻击者利用系统
的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。本质上是保护用户的利益和隐私。信息安全包括操作系统安全,数据库安全,网络安全,病毒防护,访
问控制,加密与鉴别七个方面。
网络信息既有存储于网络节点上信息资源,即静态信息,又有传播于网络节点间的信息,即动态信息。而这些静态信息和动态信息中有些是开放的,如广告、公共信息等,有些是保密的,如私人间的通信、政府及军事部门、商业机密等。信息根据敏感性可分为以下类别。
非保密的:不需保护。其实例包括出版的年度报告、新闻信件等。
内部使用的:在公司和组织内部不需保护,可任意使用,但不对外。实例包括策略、标准、备忘录和组织内部的电话记录本等。
受限制的:包括那些泄漏后不会损害公司和组织的最高利益的信息。例如客户数据和预算信息等。
保密的:包括那些泄漏后会严重损害公司和组织利益的信息。例如市场策略和专用软件等。保密数据根据其保密程度可分为秘密、机密、绝密三类。敏感性程度依次递增这是按照泄漏后对公司和组织利益的损害程度来排序的。
计算机系统的安全保护工作的重点是维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。
我国公安部主管全国计算机信息系统安全保护工作。国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有
关工作。计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。计算机信息系统的使用单位应当建立健
全安全管理制度,负责本单位计算机信息系统的安全保护工作。
温馨提示:答案为网友推荐,仅供参考