1.2 信息安全的基本属性
作为一门崭新的学科,信息安全的内涵十分丰富,外延不断扩展,不同的人对信息安全有着不同的认识。但是,从信息的安全获取、处理和使用这一本质要求出发,人们对信息有着三种最基本的安全需求:保密性、完整性和可用性,这是信息安全最基本的要求,也是理解信息安全的最基本出发点。
1.2.1 保密性
保密性(Confidentiality)是一个古已有之的需要,有时也被称为“机密性”。在传统信息环境中,普通人通过邮政系统发信件时,为了保护个人隐私要装上信封。可是到了信息化时代,信息在网上传播时,如果没有这个“信封”,那么所有的信息都是“明信片”,不再有秘密可言。这便是信息安全中的保密性需求。概括地说,保密性是指信息不被泄露给非授权的用户、实体或过程,或被其利用的特性。
常用的保密技术包括:防侦收(使对手侦收不到有用的信息)、防辐射(防止有用信息以各种途径辐射出去)、信息加密(使用密码技术对信息进行加密处理,即使对手得到了加密后的信息也会因为没有密钥而无法读懂信息)、物理保密(利用各种物理方法,如限制、隔离、掩蔽、控制等措施,保护信息不被泄露)、信息隐形(将信息嵌入其他客体中,隐藏信息的存在)等。
需要指出的是,保密性不但包括信息内容的保密,还包括信息状态的保密。例如,在军事战争中,即使无法破解对方的加密信息,但仍可从敌方通信流量的骤增情况上推断出某些重要的结论(如可以推知敌方将有重大军事行动)。确保通信流保密的技术有很多,例如,可以在保证带宽的前提下通过加入大量冗余通信流,从而保持通信流状态的恒定,避免泄密。
保密性往往在信息通信过程中得到相当程度的重视,然而,信息存储与处理中的安全信息保密问题在当前相当突出,却常被人们所忽视。
1.2.2 完整性
完整性(Integrality)是指信息未经授权不能进行更改的特性。即信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。
完整性与保密性不同,保密性要求信息不被泄露给未授权的人,而完整性则要求信息不致受到各种原因的破坏。影响信息完整性的主要因素有:设备故障、误码、人为攻击、计算机病毒等。
保护信息完整性的主要方法有:协议(通过各种安全协议来检测出被复制的信息、被删除的字段、失效的字段和被修改的字段)、检错和纠错编码方法(通过设计编码方案,完成检错和纠错功能)、密码校验和方法(对信息进行数学运算后形成信息摘要,一旦信息发生改变,信息的摘要也随之改变)、公证(请求管理机构或中介机构证明信息的真实性)。
1.2.3 可用性
可用性(Availability)是信息可被授权实体访问并按需求使用的特性。例如,在授权用户或实体需要信息服务时,信息服务应该可以使用,或者当信息系统部分受损或需要降级使用时,仍能为授权用户提供有效服务。可用性一般以系统正常使用时间与整个工作时间之比来度量。
信息的可用性与硬件可用性、软件可用性、人员可用性、环境可用性等方面有关。硬件可用性最为直观和常见。软件可用性是指在规定的时间内,程序成功运行的概率。人员可用性是指人员成功地完成工作或任务的概率。人员可用性在整个系统可用性中扮演着重要角色,因为系统失效的大部分原因是人为差错造成的。人的行为要受到生理和心理的影响,受到其技术熟练程度、责任心和品德等素质方面的影响。因此,人员的教育、培养、训练和管理以及合理的人机界面是提高可用性的重要保障。环境可用性是指在规定的环境内,保证信息处理设备成功运行的概率,这里的环境主要是指自然环境和电磁环境。