所有的信息安全技术都是为了达到一定的安全目标,其核心包括保密性、完整性、可用性、可控性和不可否认性五个安全目标。
保密性(Confidentiality)
是指阻止非授权的主体阅读信息。
它是信息安全一诞生就具有的特性,也是信息安全主要的研究内容之一。
更通俗地讲,就是说未授权的用户不能够获取图纸文档的任何信息,包括可见性。
对于电子图文档信息,我们可以通过限制权限的方式保护好文件,非授权者不可接触即可。
而对计算机及网络环境中的信息,不仅要制止非授权者对信息的阅读。
也要阻止授权者将其访问的信息传递给非授权者,以致信息被泄漏。
完整性(Integrity)
是指防止信息被未经授权的篡改。
它是保护信息保持原始的状态,使信息保持其真实性。
如果这些图纸文档信息被蓄意地修改、插入、删除等,形成虚假信息将带来严重的后果。
可用性(Availability)
是指授权主体在需要信息时能及时得到服务的能力。
可用性是在信息安全保护阶段对信息安全提出的新要求,也是在网络化空间中必须满足的一项信息安全要求。
可控性(Controlability)
是指对信息和信息系统实施安全监控管理,防止非法利用信息和信息系统。
不可否认性(Non-repudiation)
是指在网络环境中,信息交换的双方不能否认其在交换过程中发送信息或接收信息的行为。
信息安全的保密性、完整性和可用性主要强调对非授权主体的控制。
而对授权主体的不正当行为如何控制呢?
信息安全的可控性和不可否认性恰恰是通过对授权主体的控制,实现对保密性、完整性和可用性的有效补充。
主要强调授权用户只能在授权范围内进行合法的访问,并对其行为进行监督和审查。
中国信息安全测评认证中心是中国信息安全最高认证,测评及认定项目分为信息安全产品测评、信息系统安全等级认定、信息安全服务资质认定、信息安全从业人员资质认定四大类。
信息安全产品测评
对中国外信息技术产品的安全性进行测评,其中包括各类信息安全产品如防火墙、入侵监测、安全审计、网络隔离、VPN、智能卡、卡终端、安全管理等,以及各类非安全专用IT产品如操作系统、数据库、交换机、路由器、应用软件等。
根据测评依据及测评内容,分为:
信息安全产品分级评估、信息安全产品认定测评、信息技术产品自主原创测评、源代码安全风险评估、选型测试、定制测试。
信息系统认定
对中国信息系统的安全性进行测试、评估。
对中国信息系统的安全性测试、评估和认定、根据依据标准及测评方法的不同,主要提供:信息安全风险评估、信息系统安全等级保护测评、信息系统安全保障能力评估、信息系统安全方案评审、电子政务项目信息安全风险评估。
信息安全服务资质认定
对提供信息安全服务的组织和单位资质进行审核、评估和认定。
信息安全服务资质是对信息系统安全服务的提供者的技术、资源、法律、管理等方面的资质和能力,以及其稳定性、可靠性进行评估,并依据公开的标准和程序,
对其安全服务保障能力进行认定的过程。分为:信息安全工程类、信息安全灾难恢复类、安全运营维护类。
信息安全专业人员资质认定
对信息安全专业人员的资质能力进行考核、评估和认定。
信息安全人员测评与资质认定,主要包括注册信息安全专业人员(CISP)、注册信息安全员(CISM)及安全编成等专项培训、信息安全意识培训。