一、引言
随着信息技术的迅猛发展和信息化的不断深入,信息安全已成为关系到信息化成败以及国家安全、经济发展和社会稳定的大事,成为机构(包括政府、企业、团体等)内部控制系统的基本组成部分,是关系到机构能否完成其使命的大事。国家提出了建立信息安全保障体系的任务,提出了管理和技术并重的要求。信息安全管理体系(ISMS,Information Security Management Systems)是信息安全保障体系的重要组成部分。
基于风险的信息安全管理方法,即信息安全风险管理(Information Security Risk Management),贯穿于整个信息安全管理体系(ISMS),是ISMS的基本方法和主要内容。研究信息风险管理的理论基础,有助于在ISMS中全面和深入地理解并科学和系统地运用信息安全风险管理这一基本方法。
二、信息安全的基本属性
信息安全的基本属性是指信息、信息系统及其支撑环境的基本安全特性,包括保密性、完整性、可用性、不可否认性、可追究性、真实性、可靠性和可控性等。
相关国际标准对这些信息安全基本属性的定义归纳如下:
保密性(confidentiality)——信息不能被未授权的个人、实体或过程利用或知悉的特性。
完整性(integrity)——保护资产的准确和完整的特性。
可用性(availability)——根据被授权实体的要求可访问和可使用的特性。
不可否认性(non-repudiation)——证明行为或事件发生的能力,从而这种事件或行为不能被事后否认。
可追究性(accountability)——确保实体行为可被唯一跟踪到该实体的特性。
真实性(authenticity)——确保主体或资源的标识是其所声明的特性。真实性应用于诸如用户、过程、系统和信息等实体。
可靠性(reliability)——与期望行为和结果一致的特性。
可控性(controllability)——能够抑制与期望行为和结果偏离的特性。
其中,可控性是笔者根据中国国情的需求而引入和定义的。在信息技术领域中,我国的许多基础网络和重要信息系统中的一些核心或关键技术是引进国外而非自主研发的,因此,迫切需要对这些核心或关键技术的掌控,以防止因它们的失控而导致严重后果。
信息安全的目标体现为信息安全基本属性的实现和达到的保证级别。每个安全属性都有相应的保证级别作为其强度的测量尺度。三者之间的关系如图1所示。信息安全目标的这种确立方法体现了等级保护的思想,同时也是对等级保护制度实施的支持。
图1 信息安全目标与信息安全基本属性及其保证级别
(责任编辑:adminadmin2008)
