必须和用所必须的原则。敏感信息的“知情权” 一定要加以限制，是在“满足工作需要”前提下的一种限制性开放。

2 分权制衡原则。在信息系统中，对所有权限应该进行适当地划分，使每个授权主体只能拥有其中的一部分权限，使他们之间相互制约、相互监督，共同保证信息系统的安全。如果一个授权主体分配的权限过大，无人监督和制约，就隐含了 “滥用权力”、“一言九鼎”的安全隐患。

3〉安全隔离原则。隔离和控制是实现信息安全的基本方法，而隔离是进行控制的基础。信息安全的一个基本策略就是将信息的主体与客体分离，按照一定的安全策略，在可控和安全的前提下实施主体对客体的访问。

在这些基本原则的基础上，人们在生产实践过程中还总结出一些实施原则。它们是基本原则的具体体现和扩展，包括整体保护原则、谁主管谁负责原则、适度保护的等级化原则、分域保护原则、动态保护原则、多级[海口企业网站建设www.HisoSi.com]保护原则、深度保护原则和信息流向原则等。信息安全是人们在现有条件下对威胁的认识、对信息系统自身的脆弱性认识以及对信息安全技术和管理能力的认识的前提下，进行综合评价所采取的安全保护。而且，这些信息安全保护技术的能力是有限的，采取的安全措施并不意味着1007。的安全。等级化的信息安全保护原则也不需要对保护的信息对象采取全部、最高级的安全保护措施，同时，新的攻击技术和其他的安全威胁也不断涌现。基于此认识，为了提高信息安全的防御能力、补救安全技术的不足、借鉴现实生活中安全防范的理论，在信息安全系统运行过程阶段，需要采用基于时间维度的保护、检测、反应1）616011011 &11（1 11 ）01186，？010的动态信息安全保障的思路，即通过现有的安全技术对信息系统实施安全保护，但这种保护不能做到100 的安全。可以通过信息系统在运行过程中动态地监测，及时发现安全问题、采取措施，将安全威胁的损失降到最低，从而提高整个系统的安全防护能力。模型首先是由133公司提出的，后又增加了安全策略（口必#）。我国的信息安全专家又增加了预警和主动出击的环节，形成了见??! !…模型。？011模型是以戴明循环管理学理论为基础的，通过检测（入侵检测、内容检测〕，及时发现不安全因素，通过备份与恢复技术将信息安全的损失降低最低，并依次不断改进信息安全保护措施，有效地提高信息安全的保障能力。随着时间的推移、技术的进步，信息安全理论、方法和技术都会不断地提升，信息安全系统也需要持续地加强、不断地完善。

9.4主要安全技术

为了确保电子商务在交易过程中的信息有效、真实、可靠且保密，目前主要采用的安全技术有加密技术、身份认证技术和交易的安全认证协议。安全认证协