信息系统加密传输及安全保障体系概述.docx

1、信息系统加密传输及安全保障体系概述 信息系统加密传输及安全保障体系（信息系统八种安全机制） 信息系统加密传输及安全保障体系（信息系统八种安全机制）1、信息安全v信息：信息是一种资产，像其他重要的业务资产一样，对组织具有价值，因此需要妥善保护。v信息安全：信息安全主要指信息的保密性、完整性和可用性的保持。即指通过采用计算机软硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施，来保护信息在其生命周期内的产生、传输、交换、处理和存储的各个环节中，信息的保密性、完整性和可用性不被破坏。保密性v确保只有那些被授予特定权限的人才能够访问到信息。信息的保密性依据信息被允许访问对象的多少而不同，所有人员

2、都可以访问的信息为公开信息，需要限制访问的信息为敏感信息或秘密信息，根据信息的重要程度和保密要求将信息分为不同密级。完整性v保证信息和处理方法的正确性和完整性。信息完整性一方面指在使用、传输、存储信息的过程中不发生篡改信息、丢失信息、错误信息等现象；另一方面指信息处理的方法的正确性，执行不正当的操作，有可能造成重要文件的丢失，甚至整个系统的瘫痪。可用性v确保那些已被授权的用户在他们需要的时候，确实可以访问到所需信息。即信息及相关的信息资产在授权人需要的时候，可以立即获得。例如，通信线路中断故障、网络的拥堵会造成信息在一段时间内不可用，影响正常的业务运营，这是信息可用性的破坏。提供信息的系统必须

3、能适当地承受攻击并在失败时恢复。v统计结果表明，在所有信息安全事故中，只有20%30%是由于黑客入侵或其他外部原因造成的，70%80%是由于内部员工的疏忽或有意泄密造成的。站在较高的层次上来看信息和网络安全的全貌就会发现安全问题实际上都是人的问题，单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的。v信息安全是一个多层面、多因素的过程，如果组织凭着一时的需要，想当然去制定一些控制措施和引入某些技术产品，都难免存在挂一漏万、顾此失彼的问题，使得信息安全这只“木桶”出现若干“短板”，从而无法提高信息安全水平。v正确的做法是参考国内外相关信息安全标准与最佳实践过程，根据组织对信息安全的各个层面的

4、实际需求，在风险分析的基础上引入恰当控制，建立合理安全管理体系，从而保证组织赖以生存的信息资产的保密性、完整性和可用性。v信息安全管理是通过维护信息的保密性、完整性和可用性，来管理和保护组织所有的信息资产的一项体制；是组织中用于指导和管理各种控制信息安全风险的一组相互协调的活动，有效的信息安全管理要尽量做到在有限的成本下，保证安全风险控制在可接受的范围。五类安全服务n鉴别对等实体鉴别由（N）层提供这种服务时，将使N+1）层实体确信与之打交道的对等实体正是他所需要的（N+1）层实体数据原发性鉴别确认所接收到数据的来源是所要求的。n访问控制防止对资源的未授权使用，包括防止以未授权的方式使用某一资源。这种访问控制要与不同的安全策略协调一致。n数据机密性对数据提供保护，使之不被非授权的泄漏连接机密性。无连接机密性。n数据完整性对付主动威胁带恢复的连接完整性不带恢复的连接完整性选择字段的连接完整性无连接完整性选择字段的无连接完整性n抗抵赖有数据原发性证明的抗抵赖有交付证明的抗抵赖八种安全机制加密机制数字签名机制访问控制机制数据完整性机制鉴别交换机制通信业务填充机制路由选择机制公证机制