您好,欢迎访问山东渔翁信息技术股份有限公司官方网站
渔翁信息

专注密码硬件研发生产定制

咨询热线: 400-6686-188

产品中心

热门产品

联系我们

咨询热线:400-6686-188

市场合作:孙经理:13806311977

售后服务:房经理:0631-5651692

邮箱:support@fisherman-it.com

地址:济南市高新区齐鲁软件园F座

新闻中心 您的位置:首页 > 新闻中心 >

信息安全的要素

文章出处:渔翁信息作者:渔翁信息人气:发表时间:2019-03-21 13:31

1.机密性

在信息系统中,交易中产生、传递的信息可能涉及商业机密或个人隐私,因此这些信息均有保密的要求。这种信息的安全需求称为机密性需求。机密性要求做到只有发送方和接收方才能访问消息内容,而不允许非授权人员访问消息内容。机密性一般是通过密码技术对传输的信息进行加密来实现的。

2.完整性

完整性是指保证只有被授权的各方能够修改计算机中存储的或网络上传输的信息,修改包括对信息的写、改变状态、时延或重放。信息系统应防止对敏感信息未授权的生成、修改和删除,同时防止敏感信息在传输过程中的丢失或重复,并保证信息传递次序的统一。

如果消息内容在发送方发出之后,尚未到达接收方时就发生了改变,就表明消息失去了完整性。失去完整性可分为两种情况。第一种情况是:假设A发出的消息内容是“将100元转给D”,而B(银行方)收到的消息却变成了“将1000元转给C”,则表明该消息已经失去了完整性,这种情况通常是消息被第三方故意篡改了。第二种情况可能是数据传输线路不可靠,使数据在传输过程中发生了不可预知的改变,但这种改变一般是可以察觉到的。

提示:凡是接收方收到的消息和发送方发出的消息不一致,就可认为消息的完整性已遭到了破坏。反之则不一定成立,例如消息被重放,虽然接收方收到的消息和发送方发出的消息相同,但消息的完整性也已经被破坏了。,

3.真实性(认证机制)

真实性是指确保对方的身份是真实的或信息的来源是真实的。在电子商务中,由于交易双方无法见面,经常会发生攻击者伪造网站、伪造电子邮件地址,给用户发送假冒的支付请求等行为。例如用户C冒充用户A发一个转账请求给银行B,请求银行将资金从A账户转到C账户。银行将资金从A账户转账到了C账户,以为这是用户A要求的,这就是针对真实性的攻击。为了防止这类攻击,必须认证对方身份的真实性或鉴别接收到的消息来源的真实性。

真实性需要可靠的认证机制来保障。认证包括两个方面:对消息本身的认证和对实体的认证。对消息本身的认证用于确认消息是否来自他所声称的某个实体,而不是由其他人伪造的。对实体的认证可以确定通信双方的真实身份。

2005年,黑客仿造中国工商银行、中国银行等金融机构的网页,采用诱骗用户输入账号和密码信息的方式来盗取账号信息,并从中获取利益。这种欺骗性的网站被人们形象地称为“钓鱼网站”。它是针对真实性进行的攻击。

提示:消息的完整性与消息的真实性是有区别的。打个比方,如果将一束玫瑰花看作一条消息,那么发送者寄出一束完好的玫瑰花后,而接收方收到的是一束凋谢的政瑰花,或收到的是半束玫瑰花,这都是消息的完整性遭到破坏,但真实性并未被破坏。而如果接收方收到的是一束百合花,那么就是消息的真实性遭到破坏(当然完整性也已被破坏)。

4.不可抵赖性(不可否认性)

有时发送方发出某个消息后,又想否认发过这个消息;或者接收方收到消息,却否认已收到信息。例如用户A通过 Internet向商家要求购买某种商品,商家按A的请求发货之后,A声称没有发过这个购买请求,拒绝向商家支付。不可抵赖性(non- repudiation)可防止这类抵赖现象。

电子商务系统应有效防止商业欺诈行为的发生,保证商业信用和行为的不可否认性,保证交易双方对已做交易无法抵赖。即交易一旦达成,发送方不能否认发送的消息,接收方也不能篡改他所收到的消息。

由于抵赖通常是发生在交易双方之间的行为,因此有文献认为,不可抵赖性是电子商务安全比网络安全多出来的一种安全需求。

5.可用性

可用性是指保证信息和信息系统能随时为授权者提供服务,而不会出现由于非授权者干扰而对授权者拒绝服务的情况发生。例如,由于某个非法用户C的故意操作,使授权方A无法与服务器计算机B联系,从而破坏了可用性原则。

在电子商务活动中,消费者准备在网站上购买商品,需要了解商品价格、性能、质量等信息,决定购买后,要提交订购信息,提供与支付相关的信息,这些环节都要求信息系统能够随时提供稳定的信息服务,这就是对信息系统可用性的要求。

在我国,对于淘宝、苏宁这类大型电子商务网站,如果受到攻击或发生故障而停止服务哪怕几分钟,就都有上千万次的交易无法进行,这将给网站带来巨大的经济损失。

信息除了以上5种最主要的安全需求外,还有访问控制、匿名性、即时性等安全要素。其中即时性是指服务可被授权实体访问并在规定的时间内完成服务的特性。

6.访问控制(可控性)

访问控制又称访问权限控制,是一种比较常见的安全机制,这种机制按照事先设定的规则确定主体对客体的访问模式是否合法。例如,系统可以设置普通用户对其中的信息只有读取的权限,而设置某个高级用户对信息具有读取、修改的权限。访问控制只是一种手段,其目的还是为了保障系统中信息的机密性、完整性、真实性和可用性等安全。

7.匿名性

电子商务系统应确保交易的匿名性,防止交易过程被跟踪,保证交易过程中不把用户的个人信息泄露给未知的或不可信的个体,确保合法用户的隐私不被侵犯。


  1. 一键分享到

返回顶部