狭义的信息安全指和计算机相关的网络安全,广义的信息安全还包括物理环境安全、人员安全等,可以简单理解狭义是技术方面,广义包含管理层面。
不管哪个方面,保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)都是安全的三大基石。
什么信息最需要保密?支付密码,社交媒体的登录密码。
下图为支付宝的网站,地址栏显示https,说明密码在传输过程中被加密。
除传输加密,还有存储加密,密码一般存储在数据库中,如果数据库被攻击,明文密码泄露后果惨不忍睹,所以数据库存放的是经过哈希(单向加密)之后的密码,即使数据库外泄,拿到加密后的密码,破解也需要一番功夫。
遗失的手稿,残缺的人民币,账户余额中少的N个0,都是不完整的。如果账户余额今天多两个0明天少两个0,这个系统一定不可靠。完整性包含准确性和可靠性,禁止对数据的非授权更改。
如何实现完整性,也可以使用哈希,因为一个小小的变动,哈希后的数值会发生巨大的变化。比如有些网站提供软件包下载的同时会附上哈希值,如果担心下载的软件包是不是“正品”,可以使用工具计算下载软件包的哈希值,以验证真伪。
可用性是要保证授权用户能对数据进行及时可靠的访问。重大新闻发生时的微博,双十一零点的淘宝,可用性都收到了极大的冲击。
如何保障短时间内无数的用户涌入,需要超大的网络带宽,很多台服务器(集群部署负载均衡)。
可用性的另外一面表现在:我给你的你才能要,我不给的你不能抢。这是通过访问控制策略实现的,首先要验证用户名密码是否正确,其次查询访问控制列表中该用户是否具有相应的权限,全部满足则放行。
至于保密性、完整性和可用性这三点哪个更重要,大部分场景中优先满足可用性,出了安全事件后,保密性和完整性才更被重视。
综合起来,一个完备的信息系统,应该具备高可用性,能够满足授权用户的访问需求,能够保障用户的数据不被非法篡改,并且为用户信息保密。
网友评论