1. 机密性(Confidentiality)
指网络信息不泄露给非授权的用户、实体或程序,能够防止非授权者获取信息。
ps:主要是“密”这个字,即加密,机密性也叫保密性。
eg:因机密性问题,数据外泄,如商业机密、账号密码、财务数据、公民隐私信息,黑客恶意利用这些信息将造成恶劣的影响。
2. 完整性(Integrity)
指网络信息或系统未经授权不能进行更改的特性。
ps:未经授权的更改导致完整性被破坏,往往造成严重的后果。
eg:如邮件等信息被篡改后发送给其他人、工控指令被篡改后发送给工业生产设备、网页被篡改后被插入政治色彩的信息、程序被篡改植入恶意代码。
3. 可用性(Availability)
指合法许可的用户能够及时获取网络信息或服务的特性。
ps:因为风险导致业务无法提供服务,使得可用性遭到破坏。
eg:如网页404,客户无法访问。
4. 抗抵赖性(Non-Repudiation)
指防止网络信息系统相关用户否认其活动行为的特性。
ps:抗抵赖性,也称:不可否认性、非否认性。
ps:一般使用数字签名来确保抗抵赖性。数字签名使用非对称密钥密码体制,一个人发送文件时需要使用自己的私钥,因此能够保证这个文件是他发的。
ps:因数字签名仅对“文件”的摘要进行加密,所以一般需要在外面套一层加密,避免“文件”被非法窃取。
eg:电子合同、ssl等。
5. 可控性(Controllability)
指网络信息系统责任主体对其具有管理、支配能力的属性,能够根据授权规则对系统进行有效掌控和控制,使得管理者有效地控制系统的行为和信息的使用,符合系统运行目标。
ps:颇为抽象的官方描述。以下是我个人理解。
ps:可理解为安全管理员通过安全配置、访问控制、日志审计、权限分立、网络监测与预警、网络安全意识培训、应急响应等安全措施,来保证信息系统的安全可控。
6. 真实性(Authenticity)
指网络空间信息与实际物理空间、社会空间的客观事实保存一致性。
eg:谣言。
7. 时效性(Utility)
指网络空间信息、服务及系统能够满足时间约束要求。
ps:指信息在不同时间能够呈现不同的作用,甚至是价值。一些业务需求当下,过时的东西难以发挥作用。
eg:热点新闻,抢发最新的社会新闻,能够引起更多人的关注,发挥更大的价值。汽车导航,需要最新的定位,才能准确进行导航。
8. 合规性(Compliance)
指网络信息、服务及系统符合法律法规政策、标准规范等要求。
eg:如一些对社会影响程度比较高的企业网络,需符合等保要求。
9. 公平性(Fairness)
指网络信息系统相关主体处于同等地位处理相关任务,任何一方不占据优势的特性要求。
eg:电子合同。
10. 可生存性(Survivability)
指网络信息系统在安全受损的情形下,提供最小化、必要的服务功能,能够支持业务继续运行的安全特性。
eg:机房断电,使用ups等电池续航,机房就开一个服务器,其它全关掉。
11. 隐私性(Privacy)
指有关个人的敏感信息不对外公开的安全属性。
eg:公民的身份证号码、手机号码。
本文来自博客园,作者:zlzgzlz,转载请注明原文链接:https://www.cnblogs.com/shiyisec/p/17663737.html