信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性,信息安全要素包含如下几个。
1.保密性
众所周知,保密性,也称为机密性,这是人们信息安全最基本的需求,它是指保证机密信息在传输、存储和使用过程中不被未授权的第三方进行窃听,或窃听者不能了解信息的真实含义。实现保密性的最根本方法是采用高强度加密算法对信息进行加密保护。
2.真实性
在网络环境中,当互相不认识的人们或实体之间进行通信或者建立信任关系的时候,必须要确认消息的真实性,即对信息的真实来源进行判断,确认消息真实的发送者和接收者,并能对伪造来源的信息予以鉴别。
3.完整性
完整性是人们对信息安全的另一个重要的需求,它是指保证数据的一致性,即保证所收到的消息和对方所发出的消息完全一样,防止数据在传输或者存储过程中被非法用户修改过,如对消息进行篡改、插入和删除以及对消息进行重放、重排和延迟等。
4.可用性
可用性是指保证合法用户对信息和资源的使用不会被不正当地拒绝。合法用户希望当他需要访问资源或者信息的时候应当是立即可以使用的,然而,现实未必总是如此,由于黑客常常使用拒绝服务攻击甚至是分布式拒绝服务攻击,因此,可能会引起系统反应变慢、效率大大下降,甚至会导致系统彻底瘫痪。此外,计算机病毒等也可能会引起系统资源被破坏或者导致系统崩溃。因此,人们自然而然地提出了信息安全的可用性的目标和需求。
5.可审查性
可审查性通常也称为可审计性,它是指对各种信息安全事件做好检查和跟踪的记录,以便对出现的网络安全问题提供调查的依据和手段。审查的结果通常可以用作追究责任和进一步改进系统的参考。
6.可控性
可控性是指可以在控制授权的范围内的信息流向及行为方法,对信息的传播及内容具有控制能力。为了确保可控性,首要,系统要可以控制都有哪些用户可以访问系统或网络上的数据,以及以何种方法和权限来进行访问,通常是运用访问控制列表等方法来实现;其次,需求对网络上的用户进行验证,可以经过握手协议和认证机制对用户的身份进行验证;最终,要将用户的所有活动记录下来,便于今后进行查询审计的需求。
7. 不可否认性
不可否认性也称为不可抵赖性,建立有效的责任机制,防止通信双方中的某一方事后否认其行为,它包括消息的发送方不能否认消息的发送和消息的接收方不能否认消息的接收两方面的情况,如果通信双方发生争议需要提交仲裁时,需要提供不可否认的证据,即一个消息发出后,接收方能够证实该消息的确来源于声称的发送方,发送方不可否认;一个消息被接收后,发送方也能够证实该消息的确送到了指定的接收方,接收方也不可否认。这一点在电子商务中是极其重要的。一般是通过数字签名原理来实现不可否认服务。