1. 机密性(Confidentiality)

指网络信息不泄露给非授权的用户、实体或程序,能够防止非授权者获取信息。

ps:主要是“密”这个字,即加密,机密性也叫保密性。

eg:因机密性问题,数据外泄,如商业机密、账号密码、财务数据、公民隐私信息,黑客恶意利用这些信息将造成恶劣的影响。

2. 完整性(Integrity)

指网络信息或系统未经授权不能进行更改的特性。

ps:未经授权的更改导致完整性被破坏,往往造成严重的后果。

eg:如邮件等信息被篡改后发送给其他人、工控指令被篡改后发送给工业生产设备、网页被篡改后被插入政治色彩的信息、程序被篡改植入恶意代码。

3. 可用性(Availability)

指合法许可的用户能够及时获取网络信息或服务的特性。

ps:因为风险导致业务无法提供服务,使得可用性遭到破坏。

eg:如网页404,客户无法访问。


4. 抗抵赖性(Non-Repudiation)

指防止网络信息系统相关用户否认其活动行为的特性。

ps:抗抵赖性,也称:不可否认性、非否认性。

ps:一般使用数字签名来确保抗抵赖性。数字签名使用非对称密钥密码体制,一个人发送文件时需要使用自己的私钥,因此能够保证这个文件是他发的。

ps:因数字签名仅对“文件”的摘要进行加密,所以一般需要在外面套一层加密,避免“文件”被非法窃取。

eg:电子合同、ssl等。

5. 可控性(Controllability)

指网络信息系统责任主体对其具有管理、支配能力的属性,能够根据授权规则对系统进行有效掌控和控制,使得管理者有效地控制系统的行为和信息的使用,符合系统运行目标。

ps:颇为抽象的官方描述。以下是我个人理解。

ps:可理解为安全管理员通过安全配置、访问控制、日志审计、权限分立、网络监测与预警、网络安全意识培训、应急响应等安全措施,来保证信息系统的安全可控。

6. 真实性(Authenticity)

指网络空间信息与实际物理空间、社会空间的客观事实保存一致性。

eg:谣言。

7. 时效性(Utility)

指网络空间信息、服务及系统能够满足时间约束要求。

ps:指信息在不同时间能够呈现不同的作用,甚至是价值。一些业务需求当下,过时的东西难以发挥作用。

eg:热点新闻,抢发最新的社会新闻,能够引起更多人的关注,发挥更大的价值。汽车导航,需要最新的定位,才能准确进行导航。

8. 合规性(Compliance)

指网络信息、服务及系统符合法律法规政策、标准规范等要求。

eg:如一些对社会影响程度比较高的企业网络,需符合等保要求。

9. 公平性(Fairness)

指网络信息系统相关主体处于同等地位处理相关任务,任何一方不占据优势的特性要求。

eg:电子合同。

10. 可生存性(Survivability)

指网络信息系统在安全受损的情形下,提供最小化、必要的服务功能,能够支持业务继续运行的安全特性。

eg:机房断电,使用ups等电池续航,机房就开一个服务器,其它全关掉。

11. 隐私性(Privacy)

指有关个人的敏感信息不对外公开的安全属性。

eg:公民的身份证号码、手机号码。


本文来自博客园,作者:zlzgzlz,转载请注明原文链接:https://www.cnblogs.com/shiyisec/p/17663737.html