生存性，是在随机破坏下系统的可用性。生 存性主要反映随机性破坏和网络拓扑结构对 系统可用性的影响。这里，随机性破坏是指 系统部件因为自然老化等造成的自然失效。
有效性，是一种基于业务性能的可用性。有 效性主要反映在信息系统的部件失效情况下， 满足业务性能要求的程度。比如，信息系统 部件失效虽然没有引起连接性故障，但是却 造成质量指标下降、平均延时增加、线路阻 塞等现象。
从网络运行和管理者角度说，最为关心的信息系统 安全问题是如何保护和控制其他人对本地网络信息 的访问、读写等操作。比如，避免出现漏洞陷阱、 病毒、非法存取、拒绝服务和网络资源非法占用和 非法控制等现象，制止和防御网络“黑客”的攻击。
黎连业
对安全保密部门和国家行政部门来说，最为关 心的信息系统安全问题是如何对非法的、有害 的或涉及国家机密的信息进行有效过滤和防堵， 避免非法泄露。机密敏感的信息被泄密后将会 对社会的安定产生危害，对国家造成巨大的经 济损失和政治损失。
黎连业
从不同角度看待信息系统安全
从个人用户最为关心的信息系统安全问题是如何保 证涉及个人隐私的问题。从企业用户的角度来说， 是如何保证涉及商业利益的数据的安全。
个人数据或企业的信息在传输过程中要保证其受到 保密性、完整性和可用性的保护，如何避免其他人， 特别是其竞争对手利用窃听、冒充、窜改、抵赖等 手段，对其利益和隐私造成损害和侵犯，同时用户 也希望其保存在某个网络信息系统中的数据，不会 受其他非授权用户的访问和破坏。
黎连业
保密性是在可用性基础之上，保障网络信息安 全的重要手段。
常用的保密技术包括：
防侦测，使对手侦测不到有用的信息；
防辐射，防止有用信息以各种途径辐射出去；
信息加密，在密钥的控制下，用加密算法对信 息进行加密处理。即使对手得到了加密后的信 息也会因为没有密钥而无法读懂有效信息；
物理保密，利用各种物理方法，如限制、隔离、 掩蔽、控制等措施，保护信息不被泄露。
在信息系统安全定义中，人是指信息系统应用的主体，包括 各类用户 支持人员 技术管理人员 行政管理人员等。 网络则指以计算机、网络互连设备、传输介质以及操作系统、通信协议和应 用程序所构成的物理的和逻辑的完整体系； 环境则是系统稳定和可靠运行所需要的保障体系，包括 建筑物 机房 电力 保障与备份 应急与恢复体系等。
从社会教育和意识形态角度来说，最为关心的 信息系统安全问题则是如何杜绝和控制网络上 不健康的内容。有害的黄色内容会对社会的稳 定和人类的发展造成不良影响。
黎连业
信息系统安全的属性
信息系统安全属性分为三个方面：即可用性、保密性、 完整性。
可用性
可用性是信息系统工程能够在规定条件下和规定的时间 内完成规定的功能的特性。可用性是信息系统安全的最 基本要求之一，是所有信息网络系统的建设和运行目标。 可用性是指信息及相关的信息资产在授权人需要的时候， 可以立即获得。例如通信线路中断故障会造成信息的在 一段时间内不可用，影响正常的商业运作，这是信息可 用性的破坏。
工程监理基本知识（11）
第11讲：信息安全管理
黎连业
第11讲：信息安全管理
在本讲中您能了解如下知识点：
信息系统安全概论 监理在信息安全管理中的作用 信息系统安全管理分析与对策
黎连业
11.1信息系统安全概论
信息系统安全定义与认识 信息系统安全的属性 信息安全管理的重要性 架构安全管理体系
可用性主要表现在硬件可用性、软件可用性、人员可用 性、环境可用性等方面。硬件可用性最为直观和常见。 软件可用性是指在规定的时间内，程序成功运行的概率。 人员可用性是指工作人员成功地完成工作或任务的概率。
黎连业
信息网络系统可用性还体现在5性：
抗毁性，是指系统在人为破坏下的可用性。 比如，部分线路或节点失效后，系统是否仍 然能够提供一定程度的服务。增强抗毁性可 以有效地避免因各种灾害(战争、地震等)造 成的大面积瘫痪事件。
黎连业
保障信息网络系统完整性的主要方法有以下 几种：
协议，通过各种安全协议可以有效地检测出被 复制的信息、被删除的字段、失效的字段和被 修改的字段；
纠错编码方法，由此完成检错和纠错功能。最 简单和常用的纠错编码方法是奇偶校验法；息的真实性；
黎连业
保密性
保密性是信息不被泄露给非授权的用户、实 体或过程，信息只为授权用户使用的特性。 信息的保密性是针对信息被允许访问 （Access）对象的多少而不同，所有人员都 可以访问的信息为公开信息，需要限制访问 的信息一般为敏感信息或秘密，秘密可以根 据信息的重要性及保密要求分为不同的密级， 例如国家根据秘密泄露对国家经济、安全利 益产生的影响（后果）不同，将国家秘密分 为秘密、机密和绝密三个等级，组织可根据 其信息安全的实际，在符合《国家保密法》 的前提下将其信息划分为不同的密级；对于 具体的信息的保密性有时效性，如秘密到期 解密等。
黎连业
完整性
完整性定义为保护信息及其处理方法的准确性 和完整性。信息完整性一方面是指信息在利用、 传输、贮存等过程中不被删除、修改、伪造、 乱序、重放、插入等，另一方面是指信息处理 的方法的正确性。不正当的操作，如误删除文 件，有可能造成重要文件的丢失。
完整性与保密性不同，保密性要求信息不被泄 露给未授权的人，而完整性则要求信息不致受 到各种原因的破坏。
黎连业
信息系统安全定义与认识
定义 从不同角度看待信息系统安全
黎连业
定义
在信息系统工程中，信息安全涵盖了人工和自动信息处理的安全。网络化和 非网络化的信息系统安全，泛指一切以声、光、电信号、磁信号、语音以及 约定形式为载体的信息的安全。
信息系统安全定义是：确保以电磁信号为主要形式的、在信息网络系统进行 通信、处理和使用的信息内容，在各个物理位置、逻辑区域、存储和传输介 质中，处于动态和静态过程中的保密性、完整性和可用性，以及与人、网络、 环境有关的技术安全、结构安全和管理安全的总和。