1.1.3 信息安全基本特性

信息安全建立在保密性（Confidentiality）、完整性（Integrity）和可用性（Availability）三个基本特性之上。对这三个信息安全基本特性的解释随着适用环境的不同而不同。在某种特定环境下，对这三种特性的解释是由个体需求、行为习惯和特定组织的法律法规决定的。

保密性是确保信息不泄露给未获得授权的实体或进程的特性。这里所指信息的涵盖范围非常广，不但包括国家秘密，而且包括各种社会团体和企业组织的工作信息和商业机密以及涉及个人隐私的各类信息，如上网浏览习惯、购物习惯等。

完整性是指信息不被未获得授权的实体或进程偶然或恶意地删除、修改、伪造、乱序、重放、插入等破坏的特性。完整性包括数据（即信息的内容）完整性和来源（即信息的来源）完整性。信息的来源可能会涉及来源的准确性和可信性，也涉及人们对此信息的信任度。完整性与保密性有较大的差别，保密性主要针对数据有没有遭受破坏或泄露，完整性则要同时保证数据的正确性和可信性。

可用性是指对信息或资源的期望使用能力，即获得授权的实体或进程在需要时可访问信息及系统资源和服务。无论何时，只要用户需要并获得授权，必须保证信息系统是可用的，系统不能拒绝给用户提供服务。攻击者通常采取占用资源的方式来阻碍系统执行授权者的正常请求。可用性还包括研究如何有效地避免因各种灾难（如战争、自然灾害等）引起系统资源和信息的不可用。

信息安全特性还包括其他的方面，如可控性（Controllability）、可审查性（Auditability）、可认证性（Authenticity）等。可控性是对信息及信息系统实施安全监控的能力，使管理机构可以对造成安全问题的行为进行监视和审计。审计是对系统资源使用情况进行事后分析的有效手段，它通过对访问情况记录日志，并对日志进行统计分析，发现和追踪违反安全策略的事件。可审查性是指使用审计、监控、防抵赖等安全机制，使得使用者（包括合法用户、攻击者、破坏者、抵赖者）的行为有证可查，并能够对系统和网络中出现的安全问题提供调查依据和手段。可认证性的目的是保证信息使用者和信息提供者都是真实的声称者，防止假冒和重放。

注：保密性、完整性、可用性、可控性和不可否认性也称为信息安全的五个基本属性。