信息安全关键概念-可用性
可用性
可用性也是信息的一种特性,在信息处于可用状态时,用户可以在不受干扰与阻碍的情况下访问信息。这里所说的用户可以指一个人或是一个计算机系统。 可用性并非意味着任何用户都可以访问该信息,实际上,它意味着对授权用户的可用性。
为了更加全面地理解此概念,设想一个图书馆的内容--特别是专供学者与专家做深入研究的图书馆,用户需要经过身份验证才能使用该图书馆的全部或部分资源。图书馆的顾客们在使用图书之前必须呈上所要求的证明。顾客一旦获得使用权,就可以使用适当的语言和形式来查询并使用图书资源。
隐私
一个机构所收集、使用以及存储的信息,只能用于在收集时已向该数据所有者说明的有关活动--这种对隐私的定义并没有把焦点放在避免窥视(但是其含义经常与这个词相联系)上,而是指信息只能以提供者知道的方式使用。很多机构将个人信息视为商品来收集、交换以及贩卖。如今,已经可以从不同的来源收集组合个人信息,从而创建详细的个人信息数据库,这些数据库的信息可能不经过原始拥有者的同意,甚至根本没有与拥有者联系就被使用。很多人已经意识到了这种情况,并且正向政府寻求帮助以保护他们的隐私。
识别
当信息系统能够辨别单个用户时,它就拥有了识别的特性。识别是获得访问受保护资源权利的第一步,也作为以后认证和授权的基础。对于确立个人访问等级或对其授权来讲,识别和认证是不可缺少的。一般情况下,识别是通过验证用户名或其他ID特征来完成的。
认征
认证机制需要确认用户宣称的身份与其真实身份是一致的。例如,使用加密证书以建立安全套接字层( SSL)连接,或运用SecurID(安全身份识别)卡一类的加密硬件令牌来确认用户身份。
授权
用户身份得到认证后,随之就是一个被称为授权的过程。它确保被授权用户
(不管是人或计算机)有特定的和明确的访问、更新或删除信息资产内容的权限。 该控制的一个实例就是访问控制列表的激活和使用以及网络环境中的授权组。 另一个例子就是数据库系统授权方案,它验证应用级的用户是否具有诸如读、写、 创建和删除等特定权限。
责任
所谓责任,就是指某种控制机制。它能够将正在进行的每一项活动,与某个人或者某一自动过程相对应,以提供安全保证。例如,在信息系统中,审计日志可以跟踪用户行为。
- 上一篇:信息安全关键概念-完整性
- 下一篇:信息安全管理的三大阶段