软考信息安全笔记-网络信息安全基本属性

1. 机密性(Confidentiality)

指网络信息不泄露给非授权的用户、实体或程序，能够防止非授权者获取信息。

ps：主要是“密”这个字，即加密，机密性也叫保密性。

eg：因机密性问题，数据外泄，如商业机密、账号密码、财务数据、公民隐私信息，黑客恶意利用这些信息将造成恶劣的影响。

2. 完整性(Integrity)

指网络信息或系统未经授权不能进行更改的特性。

ps：未经授权的更改导致完整性被破坏，往往造成严重的后果。

eg：如邮件等信息被篡改后发送给其他人、工控指令被篡改后发送给工业生产设备、网页被篡改后被插入政治色彩的信息、程序被篡改植入恶意代码。

3. 可用性(Availability)

指合法许可的用户能够及时获取网络信息或服务的特性。

ps：因为风险导致业务无法提供服务，使得可用性遭到破坏。

eg：如网页404，客户无法访问。

4. 抗抵赖性(Non-Repudiation)

指防止网络信息系统相关用户否认其活动行为的特性。

ps：抗抵赖性，也称：不可否认性、非否认性。

ps：一般使用数字签名来确保抗抵赖性。数字签名使用非对称密钥密码体制，一个人发送文件时需要使用自己的私钥，因此能够保证这个文件是他发的。

ps：因数字签名仅对“文件”的摘要进行加密，所以一般需要在外面套一层加密，避免“文件”被非法窃取。

eg：电子合同、ssl等。

5. 可控性(Controllability)

指网络信息系统责任主体对其具有管理、支配能力的属性，能够根据授权规则对系统进行有效掌控和控制，使得管理者有效地控制系统的行为和信息的使用，符合系统运行目标。

ps：颇为抽象的官方描述。以下是我个人理解。

ps：可理解为安全管理员通过安全配置、访问控制、日志审计、权限分立、网络监测与预警、网络安全意识培训、应急响应等安全措施，来保证信息系统的安全可控。

6. 真实性(Authenticity)

指网络空间信息与实际物理空间、社会空间的客观事实保存一致性。

eg：谣言。

7. 时效性(Utility)

指网络空间信息、服务及系统能够满足时间约束要求。

ps：指信息在不同时间能够呈现不同的作用，甚至是价值。一些业务需求当下，过时的东西难以发挥作用。

eg：热点新闻，抢发最新的社会新闻，能够引起更多人的关注，发挥更大的价值。汽车导航，需要最新的定位，才能准确进行导航。

8. 合规性(Compliance)

指网络信息、服务及系统符合法律法规政策、标准规范等要求。

eg：如一些对社会影响程度比较高的企业网络，需符合等保要求。

9. 公平性(Fairness)

指网络信息系统相关主体处于同等地位处理相关任务，任何一方不占据优势的特性要求。

eg：电子合同。

10. 可生存性（Survivability）

指网络信息系统在安全受损的情形下，提供最小化、必要的服务功能，能够支持业务继续运行的安全特性。

eg：机房断电，使用ups等电池续航，机房就开一个服务器，其它全关掉。

11. 隐私性(Privacy)

指有关个人的敏感信息不对外公开的安全属性。

eg：公民的身份证号码、手机号码。

本文来自博客园，作者：zlzgzlz，转载请注明原文链接：https://www.cnblogs.com/shiyisec/p/17663737.html