1)系统的安全
信息安全问题是复杂的。信息化发展以巨大的力量推动着人类社会生存方式的重大变革,这一变革使我们面对前所未有的复杂环境:一个无所不在、全球互联互通的国际化网络空间;无数广域覆盖的、大规模复杂专用网络信息系统;品种多样的海量计算设备与信息处理终端。在这个“人一机”、 “人一网”紧密结合的复杂系统中,某一分支或某一要害受到损害,均可能引发全局性的系统危机,从这个角度而言,我们不能孤立的从单一维度或者单个安全因素来看待信息安全,将之视为单纯的技术问题,或者管理问题,而是要系统地从技术、管理、工程和标准法规等各层面综合保障安全。
2)动态的安全
信息安全问题具有动态性。首先,信息系统始于需求分析终止于废弃或者退役,具有“生命周期”的概念,在这整个生命周期中,信息安全需求、所面临的问题都是不一样的,
因此,不能用固化的视角看待。其次,风险是动态变化的。新的漏洞被发现,新的攻击手段出现,都对系统的安全状况产生影响。另外,新的信息技术不断出现,例如云计算、物联网、三网融合等。这些新技术和新应用在带给人们便利的同时,也产生了各种新的安全风险和威胁。这都反映信息安全不能抱有一劳永逸的思想,而是以风险管理的思想,根据风险的变化,在信息系统的整个生命周期中采取相应的安全措施来控制风险。
信息安全的动态特性决定了信息安全问题与实践密切相关。信息安全已经从病毒传播、 骇客入侵、技术故障等局部性、个别性和偶发性的问题,逐步转变为网络犯罪,网络恐怖主义、网络战等,成为攻守双方在高新技术领域内展开的一场激烈较量。
安全的动态性还需要关注组织业务的动态,组织的业务是在动态中发展,而由此产生的安全问题亦在改变。同时人的动态性也加剧了安全的复杂性,内部威胁带来的危害往往甚于外部的攻击。 “斯诺登事件”、 “维基解密”等都充分的暴露了组织内部威胁的重要影响。
3)无边界的安全
互联网是一个全球互联互通的国际化网络空间;信息化的重要特点是开放性和互通性,息关键基础设施都是广域覆盖的、大规模复杂的信息系统,往往与互联网通过各种方式连接,例如金融、税务、电子政务系统等。同时,各系统之间也日益互联互通;这使得来自信息安全威胁超越了现实地域的限制。
互联网具有传播速度快、覆盖面广、隐蔽性强和无国界等特点,违法犯罪活动逐步向互联网渗透,利用网络进行各种破坏活动,造成信息安全问题的跨边界特点,这对安全保障提出了更高的要求。
4)非传统的安全
信息技术是上世纪最为重要的技术变革。与军事安全、政治安全等传统安全相比,有显著不同。国家没有受到武力进攻,国家领土和主权是完整的,但人们却感受到不安全;没有明确的敌对国家,人们却感受到威胁的存在。传统的维护安全的军事和治安手段,无法应对信息安全这种新事物,必须采用新的信息安全保障手段来治理互联网安全。