天易棋牌,天易棋牌app

網絡安全

當前位置:首頁 >> 公共服務 >> 網絡安全 
網絡安全有哪五大原則?

發布時間:2019-05-26 19:53  來源:中國信息安全網


    

一、要了解什么是網絡安全,先必須清楚什么是「安全」。一般對信息系統安全的認知與評判方式,包含五項原則:私密性、完整性、身份鑒別、授權、不可否認性。這五項原則雖各自獨立,在實際維護系統安全時,卻又環環相扣缺一不可。 

1、私密 

當信息可被信息來源人士、收受人之外的第三者,以惡意或非惡意的方式得知時,就喪失了私密性。某些形式的信息特別強調隱私性,諸如個人身份資料、信用交易記錄、醫療保險記錄、公司研發資料及產品規格等等。 

2、完整 

當信息被非預期方式更動時,就喪失了完整性。如飛航交通、金融交易等應用場合,資料遭受變動后,可能會造成重大的生命財產損失,因此須特別重視資料的完整性。 

3、身份鑒別 

身份鑒別確保使用者能夠提出與宣稱身份相符的證明。對于信息系統,這項證明可能是電子型式 (如使用者帳號密碼、IC卡等),或其它獨一無二的方式 (如指紋、虹膜、聲紋等生物辨識)。 

4、授權 

系統必須能夠判定用戶是否具備足夠的權限,進行特定的活動,如開啟檔案、執行程序等等。因為系統授權給特定用戶后,用戶才具備權限運行于系統之上,因此用戶事先必須經由系統「身份鑒別」,才能取得對應的權限。 

5、不可否認 

用戶在系統進行某項運作后,若事后能提出證明,而無法加以否認,便具備不可否認性。因為在系統運作時必須擁有權限,不可否認性通常架構在「授權」機制之上。

除了以上描述的五點安全原則,網絡安全因為獨特的領域特性,也面臨提供服務的有效性問題。某些網絡服務因服務性質的因素,必須公開提供給非特定人士使用 (如網頁、郵件服務),但各項服務因為設計或硬件能力上的限制,勢必都存在服務能力的上限,當該項服務被有心人士攻擊,而使得經過身份鑒別及授權的正常用戶無法取得服務時,便喪失了有效性。 

二、安全等級概念 

安全并不是非黑即白的絕對值,實際上存在許多的灰色地帶。對某個應用環境而言,相關的安全機制足敷所需,但把同樣的機制轉移至其它的應用環境時,卻可能無法滿足應用需求。 

針對特定場合、特殊需求,在實際運作時,選用的安全機制可能會因為方便性、效率、經費、法令限制等原因而有所取舍。一般用戶與服務提供端之間,對于如何決定應用系統安全等級,則必須仰賴契約或法令的規范,提供相當程度的安全機制。

三、安全機制必須公開并可被驗證 

同意在某項應用環境下,實施某項安全機制的先決條件,在于充分了解該安全機制如何運作、缺點、必須承擔的風險與對應賠償責任。簡述這個原則,就是「你無法保證你不清楚的事」。因此安全機制必須是公開的,或至少使用該安全機制的應用系統及用戶,能夠驗證該機制合乎要求。

一般人常有使用專有格式就是安全的錯誤認識,事實上專有 (私有) 格式、專有算法等,通常無法由安全專家加以驗證,可能存在許多后門與漏洞,反而十分不安全。

----以上轉載自《中國信息安全網》

 

 


友情鏈接:

电影真人游戏