1. Principio de Confidencialidad (Confidencialidad)
Se refiere a evitar que sujetos no autorizados lean información. Es una característica que ha tenido la seguridad de la información desde su nacimiento, y además es uno de los principales contenidos de investigación en seguridad de la información. De manera más general, significa que los usuarios no autorizados no pueden obtener información confidencial. Para la información de documentos en papel, solo necesitamos proteger los archivos del acceso no autorizado. Para la información en entornos informáticos y de red, no sólo es necesario evitar que personas no autorizadas lean la información. También es necesario evitar que personas autorizadas transmitan la información a la que tienen acceso a personas no autorizadas, provocando que se filtre la información.
2. Principio de integridad
Se refiere a evitar que la información sea manipulada sin autorización. Protege la información en su estado original y permite que la información mantenga su autenticidad. Si esta información se modifica, inserta, elimina, etc. deliberadamente, la formación de información falsa traerá graves consecuencias.
3. Publicaciones de disponibilidad
Se refiere a la capacidad de los sujetos autorizados de recibir servicios de manera oportuna cuando se necesita información. La disponibilidad es un nuevo requisito para la seguridad de la información en la etapa de protección de la seguridad de la información, y también es un requisito de seguridad de la información que debe cumplirse en el espacio de la red.
4. El principio de controlabilidad
Se refiere a la implementación de monitoreo y gestión de seguridad de la información y los sistemas de información para prevenir el uso ilegal de la información y los sistemas de información.
5. Principio de no repudio
Se refiere a que en un entorno de red, ambas partes en el intercambio de información no pueden negar su comportamiento de envío o recepción de información durante el proceso de intercambio.
La confidencialidad, integridad y disponibilidad de la seguridad de la información enfatizan principalmente el control de sujetos no autorizados. ¿Cómo controlar el comportamiento inapropiado de los sujetos autorizados? La controlabilidad y el no repudio de la seguridad de la información se logra precisamente a través del control de los sujetos autorizados para complementar de manera efectiva la confidencialidad, integridad y disponibilidad. Se enfatiza principalmente que los usuarios autorizados solo pueden realizar visitas legales dentro del alcance. de autorización, y supervisar y revisar sus actuaciones.
Además de los cinco aspectos anteriores de la seguridad de la información, también existen la auditabilidad (Audiabilidad), la identificación (Autenticidad), etc. de la seguridad de la información. La auditabilidad de la seguridad de la información significa que los actores del sistema de información no pueden negar su comportamiento de procesamiento de la información. En comparación con la verificabilidad del comportamiento en el proceso de intercambio de información sin repudio, la auditabilidad tiene un significado más amplio. La autenticación visible de la seguridad de la información significa que el destinatario de la información puede determinar la identidad del remitente de la información. También es un concepto relacionado con el no repudio. Para lograr el objetivo de la seguridad de la información, el uso de diversas tecnologías de seguridad de la información debe cumplir con algunos principios básicos.
6. Principio de minimización
La información confidencial protegida solo se puede compartir dentro de un rango determinado para satisfacer las necesidades laborales según lo permita la política. Conceder sólo los permisos adecuados para acceder a la información se conoce como principio de minimización. Información sensible. El "derecho a saber" debe restringirse, y es una apertura restrictiva bajo la premisa de "satisfacer las necesidades laborales". El principio de minimización se puede subdividir en el principio de "necesidad de saber" y "necesidad de utilizar". p>
7. El principio de descentralización y controles y contrapesos En el sistema de información, todas las autoridades deben dividirse adecuadamente para que cada sujeto autorizado solo pueda tener una parte de ellas, de modo que puedan controlarse entre sí. entre sí y garantizar conjuntamente la seguridad del sistema de información. Si la autoridad asignada por un sujeto autorizado es demasiado grande y no hay nadie que la supervise y restrinja, existen riesgos de seguridad ocultos de "abuso de poder" y "una palabra". p>
8. Principio de aislamiento de seguridad. El aislamiento y el control son los métodos básicos para lograr la seguridad de la información, y el aislamiento es la base del control.
Una estrategia básica de seguridad de la información es separar el sujeto y el objeto de la información e implementar el acceso del sujeto al objeto bajo la premisa de controlabilidad y seguridad de acuerdo con una determinada política de seguridad.
Sobre la base de estos principios básicos, la gente también ha resumido algunos principios de implementación en el proceso de práctica de producción. Son la encarnación y expansión específicas de los principios básicos. Estos incluyen: el principio de protección general, el principio de quién está a cargo y quién es responsable, el principio jerárquico de protección moderada, el principio de protección dividida, el principio de protección dinámica, el principio de protección multinivel, el principio de protección en profundidad y el principio de flujo de información, etc. El Centro de Certificación y Evaluación de Seguridad de la Información de China es la certificación de seguridad de la información más alta de China. Los proyectos de evaluación y certificación se dividen en cuatro categorías: evaluación de productos de seguridad de la información, certificación del nivel de seguridad del sistema de información, certificación de calificación de servicios de seguridad de la información y certificación de calificación de profesionales de seguridad de la información.
La evaluación y certificación de calificación del personal de seguridad de la información incluye principalmente profesionales registrados en seguridad de la información (CISP), personal registrado de seguridad de la información (CISM) y personal de seguridad y otra capacitación especial, capacitación en concientización sobre la seguridad de la información.