기밀성이란 인증되지 않은 주체가 정보를 읽지 못하도록 하는 것을 말합니다. 그것은 정보 보안의 탄생 이후 특징이자 정보 보안의 주요 연구 내용 중 하나이다. 더 일반적으로, 그것은 권한이 없는 사용자가 민감한 정보를 얻을 수 없다는 것을 의미한다. 종이 문서에 대한 정보의 경우, 우리는 허가받지 않은 사람이 문서를 접촉하지 않도록 보호하기만 하면 된다. 컴퓨터 및 네트워크 환경의 정보에 대해서는 무단 사용자가 정보를 읽지 못하도록 해야 합니다. 또한 권한 있는 사람이 자신이 방문한 정보를 권한 없는 사람에게 전달하지 못하도록 정보 유출을 방지해야 한다.
무결성이란 무단 정보 변조를 방지하는 것을 말합니다. 정보를 원래 상태로 보호하고 정보의 신뢰성을 유지하는 것입니다. 이 정보가 의도적으로 수정, 삽입, 삭제 등의 경우 허위 정보의 형성은 심각한 결과를 초래할 수 있다.
가용성이란 권한 있는 주체가 정보가 필요할 때 적시에 서비스를 받을 수 있는 능력을 말합니다. 가용성은 정보 보안 단계에서 정보 보안에 대한 새로운 요구 사항이며 네트워크 공간에서 충족해야 하는 정보 보안 요구 사항입니다.
제어성이란 정보 및 정보 시스템에 대한 보안 모니터링 및 관리를 실시하여 정보 및 정보 시스템의 불법 사용을 방지하는 것을 말합니다.
부정할 수 없는 것은 네트워크 환경에서 정보 교환 쌍방 모두 교환 과정에서 정보를 보내거나 받는 행위를 부인할 수 없다는 것을 의미합니다.
정보 보안의 기밀성, 무결성 및 가용성은 주로 무단 주체에 대한 통제를 강조한다. 권한 부여 주체의 부정 행위를 어떻게 통제합니까? 정보 보안의 통제력과 부정할 수 없는 것은 권한 있는 주체에 대한 통제를 통해 기밀성, 무결성 및 가용성을 효과적으로 보완하는 것으로, 권한 있는 사용자가 권한 범위 내에서만 합법적으로 액세스하고 그 행동을 모니터링하고 검토하는 것을 주로 강조한다.
정보 보안은 위의 다섯 가지 특징 외에도 정보 보안의 냄새와 진실성을 가지고 있습니다. 정보 보안의 감사 가능성은 정보 시스템 참여자가 자신의 정보 처리 행위를 부인할 수 없다는 것을 의미합니다. 부인할 수 없는 정보 교환 과정에서의 행동 인식성보다 감사성의 의미가 더 넓다. 정보 보안의 가시적인 인증은 정보 수신자가 정보 발신자의 신분을 판단할 수 있음을 의미합니다. 이것은 또한 부정할 수 없는 성과 관련된 개념이다. 정보 보안 목표를 달성하기 위해서는 다양한 정보 보안 기술의 사용이 몇 가지 기본 원칙을 준수해야 합니다.
원칙을 최소화하다. 보호되는 민감한 정보는 일정 범위 내에서만 이용할 수 있습니다. 업무 책임과 기능을 수행하는 보안 주체는 법률 및 관련 보안 정책을 전제로 업무 요구를 충족시킵니다. 적절한 정보 액세스 권한만 부여되는 것을 최소화 원칙이라고 합니다. 민감한 정보. 알 권리는 반드시 제한되어야 하는데, 이것은' 업무 요구를 만족시키다' 는 전제하에 제한적인 개방이다. 최소화 원칙은 원칙을 알아야 하고 협력 원칙이 필요하다는 것으로 세분화될 수 있다.
분권화 견제와 균형 원칙. 정보 시스템에서 모든 권리는 각 권한 있는 주체가 부분적인 권리만 가질 수 있도록 적절히 나누어야 서로 제약하고 감독하며 정보 시스템의 안전을 보장할 수 있다. 권한 부여 주체가 부여한 권한이 너무 크고 감독 제약이 없다면' 권력 남용' 과' 비밀을 지키는 것' 의 안전위험을 내포하고 있다.
안전 격리 원칙. 격리와 통제는 정보 보안을 실현하는 기본 방법이고 격리는 통제의 기초이다. 정보 보안의 기본 전략 중 하나는 정보의 주체와 객체를 분리하여 특정 보안 정책에 따라 통제 가능하고 안전한 상황에서 주체가 객체에 액세스할 수 있도록 하는 것입니다.
이러한 기본 원칙에 기초하여, 사람들은 또한 생산 실천 과정에서 몇 가지 시행 원칙을 총결하였는데, 그것들은 기본 원칙의 구체적인 구현과 확장이다. 전반적인 보호 원칙, 누가 누가 원칙을 담당하는지, 적정 보호 등급 원칙, 도메인 보호 원칙, 동적 보호 원칙, 다단계 보호 원칙, 심층 보호 원칙, 정보 흐름 원칙 등이 포함됩니다. 중국 정보안전평가인증센터는 중국 최고 정보안전인증이다. 평가 인증 프로그램은 정보 보안 제품 평가, 정보 시스템 보안 수준 인증, 정보 보안 서비스 자격 인증 및 정보 보안 종사자 자격 인증의 네 가지 범주로 나뉩니다.
정보 보안 제품 평가: 방화벽, 침입 모니터링, 보안 감사, 네트워크 격리, VPN, 스마트 카드, 카드 터미널, 보안 관리 등 중국 외 정보 기술 제품의 보안을 평가합니다. 운영 체제, 데이터베이스, 스위치, 라우터, 애플리케이션 소프트웨어 등 다양한 안전하지 않은 IT 제품도 있습니다.
평가 기준 및 내용에 따라 정보 보안 제품 등급 평가, 정보 보안 제품 평가 평가, 정보 기술 제품 독립 오리지널 평가, 소스 코드 보안 위험 평가, 선택 테스트 및 맞춤형 테스트로 나뉩니다.
정보 시스템 인식:
중국 정보 시스템 보안 테스트 및 평가
다양한 기준 및 평가 방법에 따라 우리나라 정보 시스템 보안 테스트, 평가 및 평가는 주로 정보 보안 위험 평가, 정보 시스템 보안 수준 보호 평가, 정보 시스템 보안 역량 평가, 정보 시스템 보안 시나리오 평가, 전자 정부 프로젝트 정보 보안 위험 평가 등을 제공합니다.
정보 보안 서비스 자격:
정보 보안 서비스를 제공하는 조직 및 기관의 자격을 검토, 평가 및 검증합니다.
정보 보안 서비스 자격은 공개 표준 및 절차에 따라 정보 시스템 보안 서비스 공급업체의 기술, 자원, 법률, 관리 등의 자질과 역량, 안정성 및 신뢰성을 평가하고 보안 서비스 지원 능력을 파악하는 프로세스입니다. 정보 보안 엔지니어링, 정보 보안 재해 복구 및 안전 운영 및 유지 보수로 구분됩니다.
정보 보안 전문가 자격:
정보 보안 전문가의 자격 평가, 평가 및 평가
정보 보안 담당자 평가 및 자격에는 등록 정보 보안 전문가 (CISP), 등록 정보 보안 책임자 (CISM) 및 보안 어셈블리와 같은 특별 교육 및 정보 보안 인식 교육이 포함됩니다.