信息安全三要素是:保密性、完整性和可用性。保密性:保证信息不泄露给未经授权的用户。完整性:保证信息从真实的发信者传送到真实的收信者手中,传送过程中没有被非法用户添加、删除、替换等。可用性:保证授权用户能对数据进行及时可靠的访问。
保密性:保证在保存、使用和传输过程中信息不会泄露给未经授权的用户和实体。的机密性是指只允许被授予特定权限的人访问信息。的机密性取决于信息访问的对象数量,所有人都可以访问的信息通常是公共信息被限制访问的机密信息。根据信息的重要程度和保密要求可以分为不同的机密等级。的保密性主要由加密技术保证。
完整性:保证信息在存储、使用和传输过程中被未经授权的用户篡改;确保信息内外一致,避免授权用户篡改不适当的信息。信息的完整性是指在信息的利用、发送、保存中没有变更、丢失、错误等;信息的完整性主要由消息摘要和加密技术保证。
可用性:确保授权用户或实体未成功否定使用信息和资源,从而确保可靠、及时地访问信息和资源。的可用性是指允许授权用户在需要时访问所需的信息。这意味着,在批准者需要时,可以立即获得与信息相关的信息资产。提供信息的系统-必须正确接受攻击,并在失败时恢复。的信息可用性主要通过实时备份和恢复技术来确保。
此外,信息安全性还具有以下附加属性:
不可否认性:信息的不可否认性也叫抗抵赖性、不可抵赖性。
这是传统的不可否认的需求和要求在信息社会的扩大。人类社会的各种商业和政务行为建立在信任的基础上,以前的印鉴、印章、签名等是达到不可否认性的重要措施,信息的不可否认性也与此一样,是避免不承认实体发生的行为。的不可否认性分为核电站的不可否认性和接收的不可否认性,前者是为了防止发送者承认自己发送的数据和数据的内容,后者是为了不承认接收者接收的数据和数据的内容。的不可否认性主要由认证技术保证。
控制性:信息的控制性是指能够控制利用信息资源的人和主体的手段。如果所有主体都能够访问、窃取和恶意传播信息系统中的秘密信息,安全系统显然将失去作用。有效管理访问信息的人和主体的使用手段是信息安全的必然要求。从国家层面来看,信息安全的可控性不仅与信息的可控性有关,还与安全产品、市场等的可控性密切相关。信息的可控性主要由基于PKI/PMI的访问间控制技术保证。
可靠性:是信息用户满意的质量持续服务用户的特征,但也有人认为可靠性要求信息系统,但不是信息本身。
大多数的信息安全事件,本可以避免,建立有效信息安全和隐私管理规程三个主要核心元素是:风险管理。将信息安全和隐私的策略与流程形成文档。包括定期培训、持续意识活动与交流的教育。