|
|
| 信息安全是对信息、系统以及使用、存储和传输信息的硬件的保护。
|
|
|
| 信息具有三个特性:机密性、完整性和可用性。信息的机密性是防止信息暴露给未授权的人或系统质量或状态,只确保具有权限和特权的人才可以访问信息的特定集合,而未被授权的人则被禁止获得访问权。信息的完整性是指信息完整而未被腐蚀的质量和状态,在信息被暴露使其被腐蚀、损毁、破坏或其他真实状态被破坏时,信息的完整性就受到了威胁。信息的可用性使需要访问信息的用户可以在不受干涉和阻碍的情况下对信息进行访问并按所需格式接受它,这里的用户不只是一个人,而是另一个计算机系统,同时并不是说信息对任意用户都是可访问的,还需要对用户进行信息访问授权的验证。
|
|
|
| 信息系统安全是指确保信息系统结构安全,与信息系统相关的元素安全,以及与此相关的各种安全技术、安全服务和安全管理的总和。
|
|
|
| 现代信息系统架构在计算机系统、通信系统、网络系统之上,所以信息安全也要涵盖这几方面。信息系统安全的内涵是:确保以电磁信号为主要形式的,在计算机网络化系统中进行获取、处理、存储、传输和利用的信息内容,在各个物理位置、逻辑区域、存储和传输介质中,处于动态和静态过程中的机密性、完整性、可用性、可审查性和抗抵赖性的,与人、网络、环境有关的技术和管理规程的有机集合。
|
|
|
|
|
| 信息系统主要由物理环境及保障、硬件设施、软件设施和管理者等部分组成,因此在进行风险分析时也应从这几个方面来考虑。
|
|
|
| (1)物理环境包括场地(包括机房场地和信息存储场地)和机房,物理保障主要考虑电力供应和灾难应急。
|
|
|
| (2)组成信息系统的硬件设施主要有计算机(包括大型机、中型机、小型机和个人计算机)、终端设备、网络设备(包括交换机、集线器、网关设备或路由器、中继器、桥接设备和调制解调器)、传输介质和转换器(包括同轴电缆、双绞线、光缆、卫星信道和微波信道)、输入输出设备(包括键盘、磁盘驱动器、磁带机、扫描仪、打印机、显示器等),等等。硬件设施有电磁辐射、后门等可以被攻击者所利用的脆弱性,但实现起来比较困难。
|
|
|
| (3)组成信息系统的软件设施主要有操作系统、通用应用软件、网络管理软件以及网络协议等。攻击者一旦发现了软件设施的脆弱性或弱点后,几乎不需要较大花费即可以实现对系统的攻击。所以在风险分析时,软件设施的脆弱性是考查的重点。
|
|
|
| (4)信息系统的运行依靠系统的管理者来具体组织实施,他们是信息系统安全的主体,也是系统安全管理的对象。管理者有系统安全员、系统管理员、网络管理员、存储介质保管员、系统操作人员和软硬件维修人员等。
|
|
|
