安全性是根据系统可能受到的安全威胁的类型来分类的。其中,(机密性) 保证信息不泄露给未授权的用户、实体或过程; (完整性) 保证信息的完整和准确,防止信息被篡改。
信息安全的核心属性包含机密性、完整性、可控性、不可否认性、可用性等几大类。其中,机密性的核心目标是确保信息仅能被授权的用户、实体或过程访问,避免未授权主体获取敏感信息,常见的实现手段包括数据加密、角色访问控制等;完整性聚焦于保障信息在存储、传输、处理等全生命周期内不被未授权篡改、破坏或遗漏,哈希值校验、数字签名等技术是维护信息完整性的常用方法。此外,可控性指对信息的流转方向、访问权限等进行有效管控;不可否认性用于防止参与信息交互的主体否认自身已执行的操作,通常依托数字证书等技术实现;安全审计是一种辅助安全机制,通过记录和分析安全相关操作,为各安全属性的落地提供追溯依据,并非核心安全属性;健壮性则侧重系统在异常或恶意环境下的稳定运行能力,属于系统可靠性的延伸范畴。
本题考察的是信息安全的基本属性分类。
问题 1:关于信息不泄露的安全属性
A选项可控性:是指对信息流动方向和权限进行控制,不能保证信息的保密。
B选项机密性:指防止信息泄露给未授权用户、实体或过程,是正确选项。
C选项安全审计:是一种机制,用于追踪和记录安全相关操作,不直接防泄密。
D选项健壮性:与系统在异常情况下的稳定性有关,不是信息泄露的防范机制。
因此,正确答案为B。
问题 2:关于信息篡改防止的安全属性
A选项可控性:如上所述,与信息的管理相关,不涉及信息内容的正确性。
B选项完整性:指防止信息在传输或存储过程中被未授权修改或破坏,是正确选项。
C选项不可否认性:指发送者或接收者不能否认其行为,与信息是否被篡改无关。
D选项安全审计:用于记录和分析事件,辅助判断,不是直接防篡改的机制。
因此,正确答案为B。