1.3.4 数据的安全属性

我们常说要保护数据，但保护数据的什么呢？

我们用现实生活中的例子来说明这一问题。现在有两个杯子，一个是塑料材质，另一个是陶瓷材质。如果将两个杯子摔到地上，陶瓷杯子恐怕会粉身碎骨，而塑料杯子可能不会损坏，这说明陶瓷杯子易碎，易碎就是陶瓷杯子的安全属性。当然，玻璃杯子也易碎。在运送这类物品时，我们要用一些柔软的东西将这些杯子保护好（周围进行填充），还要在外包装上贴上易碎的标志。如果将这两只杯子放到火里烧，陶瓷杯子不会有事，塑料杯子可能就灰飞烟灭了。这说明塑料杯子易燃，易燃就是塑料杯子的安全属性，当然，一次性纸杯也易燃。那么，我们要让这类杯子与火源有一定的安全距离才能保护它们。易碎、易燃是由杯子的自身材料和加工过程导致的特有属性，与将它们摔碎和放在火里烧的人无关。但是，损坏它们是与人有关系的，相关的人是有责任的。

数据也是如此。我们说要保护数据，就是要保护数据的安全属性，这些属性是由数据自身决定的，是数据特有的，与使用它们的主体没有关系。数据有如下安全属性。

●机密性：数据中包含的信息内容不能泄露给未授权的人。

●完整性：数据不能发生未授权的改变。

●可用性：数据具有使用价值，从安全的角度来说，就是保证授权人按需要使用。

●真实性：数据所表征的信息与实际情况相符。

这四个属性中，前三个是数据的安全属性，这是大家所公认的。数据的真实性是数据的属性，这一点是没有问题的，但是否属于“安全属性”还需要讨论。

对于机密性来说，并不是所有数据都需要保密，有相当多的数据是不用保密的，如每天播出的新闻、网站发布的信息等都是不需要保密的数据。有的数据则非保密不可，比如商品定价所依据的数据、商业的客户资源数据、国防武器的研制计划等，这些都是需要保密的数据。数据是否需要保密，是要看数据泄露之后会带来什么样的结果，如果是有害的结果，那么数据就需要保密。当然，保密的程度是不一样的，保密级别包括秘密级、机密级和绝密级。秘密可能是国家秘密，也可能是企业秘密。

对于完整性，可以说所有数据都有保护这一属性的要求，大家都不希望数据被他人胡乱地改来改去。当然，有时候对数据的修改是必要的，但是这种修改要经过授权，也要有依据，不能胡乱修改。同样，虽然数据普遍有保证完整性的需求，但需求的等级是不一样的。一些数据被修改后可能会导致极为严重的后果，如航天飞机的图纸、尖端武器的制造参数等，这类数据的完整性需求很高；而另一些数据的完整性被破坏后，不会有太大的影响，这类数据的完整性需求就不太高。

可用性就是保证授权人使用的属性。如同货币，货币是一般的等价物，具有可以购买其他物品的属性。可是，当要买东西时，发现钱锁在柜子里拿不出来，那么这次购买操作就不能实现，这就是缺乏可用性导致的。同样，在网络中，需要使用数据时，也要保证授权人能够使用。

一些学者认为，真实性包含完整性，这一点笔者是不赞成的。真实性和完整性虽然有密切的关联，但它们并不是同一个属性。真实性说的是所表征的信息与实际情况相符合，而完整性说的是数据没有发生未授权的改变。当然，如果真实的数据在未授权的情况下被改变了，其真实性也会打折扣，甚至完全丧失。如果数据在发布之时就是虚假的，那么尽管没有发生完整性被破坏的情况，也不能说它是真实的。

前面对数据的安全属性做了初步的描述，下面我们用更准确的语言来定义这四个安全属性。

●机密性：不能泄露给未授权的人和其他实体的属性。

●完整性：不能被未授权的人或其他实体改变的属性。

●可用性：保证授权的人或实体使用的属性。

●真实性：所表征的信息与实际相符合的属性。

（需要强调的是，数据真实性的定义是本书给出的，说明这一点的目的是告诉读者，这只是一家之言。）

除了这四个属性外，数据再没有其他的“安全属性”了。这句话可能有点绝对，有一定安全知识的人会说：“不是还有可审计性、不可抵赖性、可控性等属性吗？”是的，确实有这些属性，而且对数据的安全来说，这些属性也很重要，甚至特别重要。但这些不是数据自身的安全属性，可审计、不可抵赖是对使用数据的主体（也就是人）而言的，是对数据使用者的责任认定和追究。数据的可控性是人对数据使用的过程、传播路径等的要求，也是人的主观意愿，并不是数据本身所特有的。

读者可能会问，用这么多笔墨来介绍数据的安全属性有意义吗？当然有，如果不了解所要保护的数据的安全属性，就不能制定正确的保护策略。策略错了，采取的方法就可能是错的，结果就可能是钱没少花，作用不大，甚至起到负面作用。如同我们运送易碎的杯子，虽然使用了非常坚固的铁箱子，箱子外面还加了易碎标志，可是在箱子里没有用软性材料进行填充，其结果可想而知。这一点，我们会在后续的章节中详细说明。