常見的網絡信息安全基本屬性主要有機密性、完整性、可用性、不可抵賴性和可控性等,其中機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)被稱為網絡信息系統核心的CIA安全屬性,此外還有其他的安全屬性包括:真實性、時效性、合規性、隱私性等。
機密性(Confidentiality)是指網絡信息不泄露給非授權的用戶、實體或程序,能夠防止非授權者獲取信息。這些信息不僅包括國家機密,也包括企業和社會團體的商業機密和工作機密,還包括個人信息。例如,網絡信息系統上傳遞口令敏感信息,若一旦攻擊者通過監聽手段獲取到,就有可能危及網絡系統的整體安全。人們在應用網絡時很自然地要求網絡能提供保密性服務,而被保密的信息既包括在網絡中傳輸的信息,也包括存儲在計算機系統中的信息。就像電話可以被竊聽一樣,網絡傳輸信息也可以被竊聽,解決的辦法就是對傳輸信息進行加密處理。存儲信息的機密性主要通過訪問控制來實現,不同用戶對不同數據擁有不同的權限。
完整性(Integrity)是指網絡信息或系統未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。數據的完整性是指保證計算機系統上的數據和信息處于一種完整和未受損害的狀態,這就是說數據不會因為有意或無意的事件而被改變或丟失。除了數據本身不能被破壞外,數據的完整性還要求數據的來源具有正確性和可信性,也就是說需要首先驗證數據是真實可信的,然后再驗證數據是否被破壞。影響數據完整性的主要因素是人為的蓄意破壞,也包括設備的故障和自然災害等因素對數據造成的破壞。
可用性(Availability)是指合法許可的用戶能夠及時獲取網絡信息或服務的特征,即可授權實體或用戶訪問并按要求使用信息的特性。簡單地說,就是保證信息在需要時能為授權者所用,防止由于主客觀因素造成的系統拒絕服務。例如,網站能夠給用戶提供正常的網頁訪問服務,防止拒絕服務攻擊。
不可抵賴性也稱不可否認性。是指防止網絡信息系統相關用戶否認其活動行為的特性。在信息交換過程中,確信參與方的真實同一性,即所有參與者都不能否認和抵賴曾經完成的操作和承諾。簡單地說,就是發送信息方不能否認發送過信息,信息的接收方不能否認接收過信息。利用信息源證據可以防止發信方否認已發送過信息,利用接收證據可以防止接收方事后否認已經接收到信息。數據簽名技術是解決不可否認性的重要手段之一。
可控性是指網絡信息系統責任主體對其具有管理、支配能力的屬性,能夠根據授權規則對系統進行有效掌握和控制,使得管理者有效地控制系統的行為和信息的使用,符合系統運行目標。是人們對信息的傳播路徑、范圍及其內容所具有的控制能力,如:不允許不良內容通過公共網絡進行傳輸,使信息在合法用戶的有效掌控之中
除常見的網絡信息系統安全特性,還有真實性、時效性、合規性、公平性、可靠性、可生存性和隱私性等,這些安全特性適用于不同類型的網絡信息系統,其要求程度有所差異。
真實性是指網絡空間信息與實際物理空間、社會空間的客觀事實保持一致性。如,網絡謠言信息不符合真實情況,違背了客觀事實。
時效性是指網絡空間信息、服務及系統能夠滿足時間約束要求。如,汽車安全駕駛的智能控制系統要求信息具有實時性,信息在規定時間范圍內才有效。
合規性是指網絡信息、服務及系統符合法律法規政策、標準規范等要求。如,網站內容如何法律法規政策要求等。
公平性是指網絡信息系統相關主體處于同等地位處理相關任務,任何一方不占據優勢的特性要求。如,電子合同簽訂雙方符合公平性要求,在同一時間簽訂合同。
可靠性是指網絡信息系統在規定條件及時間下,能夠有效完成預定的系統功能的特性。
可生存性是指網絡信息系統在安全受損的情形下,提供最小化、必要的服務功能,能夠支撐業務繼續運行的安全特性。
隱私性是指有關個人的敏感信息不對外公開的安全屬性,如個人的身份證號碼、住址、電話號碼、工資收入、疾病狀況、社交關系等。
網絡攻擊是指損害網絡系統安全屬性的危害行為。危害行為導致網絡系統的機密性、可用性、可控性、真實性、抗抵賴性等受到不同程度的破壞。常見的危害行為有四個基本類型:
信息泄露攻擊;
完整性破壞攻擊;
拒絕服務攻擊;
非法使用攻擊。
