信息安全属性

信息安全属性包括保密性、完整性、可用性、可追溯性和不可否认性。保密性是指信息不能被未经授权的个人、实体或者过程利用或知悉的特性。例如，重要技术的保密。完整性是指信息的准确和完整，不被冒充、伪造和篡改的特性。例如，财务信息的完整。可用性是指根据授权实体的要求，可访间和利用的信息特性。例如，供应商资料库的及时更新。可追溯性是指从一个实体的行为能够唯一追溯到该实体的特性。例如，攻击的阻断。不可否认性又称真实性，是指一个实体不能否认其行为的特性，可用于责任追究等方面。例如，合作伙伴不能否认他发送过的电子邮件（如图8-1所示）。

图8-1　信息安全特征结构

目前，主流信息安全风险管理关注的重点是信息资产。针对普通生产型企业，核心信息系统和IT资产是组织提供的办公手段，信息资产对于企业非常重要。资产包含数据、软件、硬件、文档、人员、服务等。在信息安全范围内，资产有三个重要安全属性：

C：保密性（Confidentiality）。该属性保证信息资产在存储、传递、使用过程中，只有授权用户才可以访问。一般的，可以通过数据加密、访问控制、防计算机电磁泄漏等安全措施来保证信息的保密性。

I：完整性（Integrity）。该属性保证信息在存储、传递、使用的过程中，首先不被非法用户修改，其次不被授权用户不恰当地修改，保证信息在内部和外部的一致性。

A：可用性（Availability）。该属性保证授权用户对信息的访问和使用不会被拒绝，保证信息在需要使用时，可以可靠及时地被访问到。

资产的CIA三属性是保护信息安全的三要素。但是，在现实情况中，资产存在弱点或安全隐患，信息资产具有脆弱性，如操作系统漏洞、网络设备配置不当、软件BUG、维护人员缺乏、员工电脑的弱口令等。

威胁可能导致信息安全事故和组织信息资产损失的活动，威胁需要利用脆弱性来实施危害。威胁可分为自然威胁和人为威胁。 自然威胁包括洪水、地震、台风、泥石流、太阳风等的威胁。人为威胁包括：无意行为导致的威胁，如录入信息时的脏数据、电力故障灯；故意行为造成的威胁，如非法授权访问、黑客入侵、恶意泄密等。针对资产的脆弱性和导致的风险，组织需要采取措施来减少脆弱性。但是，采取的对策本身可能在封堵资产的脆弱性的同时，带来新的脆弱性。以资产为核心的信息安全风险要素的关系，可以用图8-2表示。

图8-2　信息安全风险要素关系