1.信息安全1.1.保护信息的保密性、完整性、可用性1.2.另外也包括其他属性,如:真实性、可核查性、不可抵赖性和可靠性2.信息安全属性及目标2.1.保密性(Confidentiality)2.1.1.信息不被泄露给未授权的个人、实体和过程或不被其使用的特性2.1.2.确保所传输的数据只被其预定的接收者读取2.1.3.网络安全协议2.1.4.身份认证服务2.1.5.数据加密2.1.6.信息安全三元组2.2.完整性(Integrity)2.2.1.保护资产的正确和完整的特性2.2.2.确保接收到的数据就是发送的数据2.2.3.数据不应该被改变,这需要某种方法去进行验证2.2.4.CA认证2.2.5.数字签名2.2.6.防火墙系统2.2.7.传输安全(通信安全)2.2.8.入侵检测系统2.2.9.信息安全三元组2.3.可用性(Availability)2.3.1.需要时,授权实体可以访问和使用的特性。2.3.2.磁盘和系统的容错2.3.3.可接受的登录及进程性能2.3.4.可靠的功能性的安全进程和机制2.3.5.数据冗余及备份2.3.6.信息安全三元组2.4.真实性2.4.1.对信息的来源进行判断,能对伪造来源的信息予以鉴别2.5.可核查性2.5.1.系统实体的行为可以被独一无二地追溯到该实体的特性,这个特性就是要求该实体对其行为负责2.5.2.为探测和调查安全违规事件提供了可能性2.6.不可抵赖性2.6.1.建立有效的责任机制,防止用户否认其行为2.7.可靠性2.7.1.系统在规定的时间和给定的条件下,无故障地完成规定功能的概率2.7.2.平均故障间隔时间(Mean Time Between Failure, MTBF)来度量3.14个方面是ISO/IEC27000系列标准中提出的信息安全管理的主要内容3.1.当前全球业界信息安全管理实践的最新总结,为各种类型的组织引进、实施、维护和改进信息安全管理提供了最佳实践和评价规范3.1.1.【22下选68】4.信息系统安全4.1.侧重点会随着信息系统使用者的需求不同而发生变化4.2.属性4.2.1.保密性4.2.1.1.应用系统的信息不被泄露给非授权的用户、实体或过程,或供其利用的特性4.2.1.2.在可用性基础之上,是保障应用系统信息安全的重要手段4.2.1.3.最小授权原则4.2.1.4.防暴露4.2.1.5.信息加密4.2.1.5.1.【20下选68】4.2.1.6.物理保密4.2.2.完整性4.2.2.1.信息未经授权不能进行改变的特性4.2.2.2.信息的正确生成及正确存储和传输4.2.2.3.要求信息不致受到各种原因的破坏4.2.2.4.一种面向信息的安全性,它要求保持信息的原样4.2.2.5.纠错编码方法4.2.2.5.1.奇偶校验法4.2.2.6.协议4.2.2.7.密码校验和方法4.2.2.7.1.【19下选68】4.2.2.8.数字签名4.2.2.8.1.【21下选68】4.2.2.9.公证4.2.3.可用性4.2.3.1.应用系统信息可被授权实体访问并按需求使用的特性4.2.3.2.应用系统面向用户的安全性能4.2.3.3.身份识别与确认4.2.3.4.访问控制4.2.3.4.1.自主访问控制4.2.3.4.2.强制访问控制4.2.3.5.业务流控制4.2.3.6.路由选择控制4.2.3.7.审计跟踪4.2.4.不可抵赖性4.2.4.1.不可否认性4.2.4.2.确信参与者的真实同一性4.2.4.3.所有参与者都不可能否认或抵赖曾经完成的操作和承诺4.2.4.3.1.利用信息源证据可以防止发信方不真实地否认已发送信息4.2.4.3.2.利用递交接收证据可以防止收信方事后否认已经接收的信息4.3.管理体系4.3.1.配备安全管理人员4.3.2.建立安全职能部门4.3.3.成立安全领导小组4.3.4.主要负责人出任领导4.3.5.建立信息安全保密管理部门4.4.技术体系4.4.1.物理安全4.4.1.1.环境安全4.4.1.2.设备安全4.4.1.3.记录介质安全4.4.2.运行安全4.4.2.1.风险分析4.4.2.2.信息系统安全性检测分析4.4.2.3.信息系统安全监控4.4.2.4.安全审计4.4.2.5.信息系统边界安全防护4.4.2.6.备份与故障恢复4.4.2.7.恶意代码防护4.4.2.8.信息系统的应急处理4.4.2.9.可信计算和可信连接技术4.4.3.数据安全4.4.3.1.身份鉴别4.4.3.2.用户标识与鉴别4.4.3.3.用于主体绑定4.4.3.4.抗抵赖4.4.3.5.自主访问控制4.4.3.6.标记4.4.3.7.强制访问控制4.4.3.8.数据完整性保护4.4.3.9.用户数据保密性保护4.4.3.10.数据流控制4.4.3.11.可信路径4.4.3.12.密码支持