对于什么是信息安全的概念,不同的人可能解释也不同。ISO/IEC 、美国国家安全系统委员会和国际信息系统审计协会三家对信息安全的定义大同小异,其目标一致,都指出保障信息安全的最重要目的是保护信息的机密性、完整性和可用性。
定义概述为“为了保障机密性、完整性和可用性而保护信息和信息系统,以防止授权的访问、使用、泄露、中断、修改或者破坏”。
机密性:简而言之,信息仅能够被授权的个人、组织、系统或流程访问,不应该被任何其他非授权行为获取。例如银行账户的交易流水和余额的信息,除账户持有人或经账户持有人授权的主体可以看到以外,其他人或组织不得查询或获取。
完整性:简而言之,就是确保信息的一致性、准确性和可信赖性,不允许信息被篡改。例如用户通过银行网页提交个人信息为开通账户。数据是通过网页形式提交的,银行要通过某种措施,进行数据的校验,确保用户提交的信息和最终存储的信息的准确性。
可用性:简而言之,就是业务连续性的体现,确保用户可以随时获得已授权的信息。例如银行要随时确保用户可以通过 ATM 、网银、柜台、移动终端等多种方式进行金融服务。
在考虑信息安全的时候,一定要把保障信息安全的三大属性作为重要的目标,从而建立完善和有效的保护措施,确保业务的可持续性和数据的安全性。
等级保护对象
等级保护对象定义为:“网络安全等级保护工作直接作用的对象,包括信息系统、通信网络设施和数据资源”。通信网络设施是指为信息流通、网络运行等起基础支撑作用的网络设备设施,典型对象包括电信网、广播电视传输网,以及行业或单位的跨省专用网(骨干部分)等;
信息系统是指由计算机或其他信息终端及相关设备组成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的系统,典型对象即包括办公自动化系统、邮件系统等传统计算机信息系统,也包括工业控制系统、云计算平台、物联网以及使用移动互联技术的信息系统等融合了新技术新应用的新型等级保护对象;
而数据资源的典型例子是大数据。
以上就是等保测评小编为大家整理与分享等保测评的那些事!每周、每月都会不断更新一些等保测评方面的知识分享给大家。如果您觉得以上内容对您有帮助,可以点个赞,也可以分享给更多的朋友们。
