哈尔滨工业大学计算机网络与信息安全技术研究中心。
方滨兴(摘要:本文首先将国内外对信息安全概念的各种理解归纳为两种描述,一种是对信息安全所涉及层面的描述;一种是对信息安全所涉及的安全属性的描述。然后提出了以经纬线的方式将两种描述风格融为一体的方法,即基于层次型描述方式。
同时,在传统的实体安全、运行安全、数据安全这三个层面的基础之上,扩充了内容安全层面与信息对抗层面,并将其归类为信息系统、信息、信息利用等三个层次。另外还针对国外流行的信息安全金三角的描述不足,扩充为信息安全四要素,从而完备了对信息安全概念框架的描述。最后,给出了关于信息安全的完整定义。
一、背景。信息安全”曾经仅是学术界所关心的术语,就像是。
五、六十年前“计算机”被称为“电算机”那样仅被学术界所了解一样。现在,“信息安全”因各种原因已经像公众词汇那样被广大公众所熟知,尽管尚不能与“计算机”这个词汇的知名度所比拟,但也已经具有广泛的普及性。问题的关键在于人们对“计算机”的理解不会有什么太大的偏差,而对“信息安全”的理解则往往各式各样。
种种偏差主要来自于从不同的角度来看信息安全,因此出现了“计算机安全”、“网络安全”、“信息内容安全”之类的提法,也出现了“机密性”、“真实性”、“完整性”、“可用性”、“不可否认性”等描述方式。
关于信息安全的定义,以下是一些有代表性的定义方式:
国内学者给出的定义是:“信息安全保密内容分为:实体安全、运行安全、数据安全和管理安全四个方面。”
我国计算机信息系统安全专用产品分类原则给出的定义是:“涉及实体安全、 运行安全和信息安全三个方面。”
我国相关立法给出的定义是:“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。这里面涉及了物理安全、运行安全与信息安全三个层面。
国家信息安全重点实验室给出的定义是:“信息安全涉及到信息的机密性、完整性、可用性、可控性。综合起来说,就是要保障电子信息的有效性。”
英国bs7799信息安全管理标准给出的定义是:“信息安全是使信息避免一系列威胁,保障商务的连续性,最大限度地减少商务的损失,最大限度地获取投资和商务的回报,涉及的是机密性、完整性、可用性。”
美国****局信息保障主任给出的定义是:“因为术语‘信息安全’一直仅表示信息的机密性,在国防部我们用‘信息保障’来描述信息安全,也叫‘ia’。它包含5种安全服务,包括机密性、完整性、可用性、真实性和不可抵赖性。
”国际标准化委员会给出的定义是:“为数据处理系统而采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露”。这里面既包含了层面的概念,其中计算机硬件可以看作是物理层面,软件可以看作是运行层面,再就是数据层面;又包含了属性的概念,其中破坏涉及的是可用性,更改涉及的是完整性,显露涉及的是机密性。
纵观从不同的角度对信息安全的不同描述,可以看出两种描述风格。一种是从信息安全所涉及层面的角度进行描述,大体上涉及了实体(物理)安全、运行安全、数据(信息)安全;一种是从信息安全所涉及的安全属性的角度进行描述,大体上涉及了机密性、完整性、可用性。
二、信息安全多种理解的缘由。
信息安全出现多种不同说法,存在着多种观察视角,并不是偶然的现象。信息安全的发展历史、信息安全的作用层面、信息安全的基本属性,都决定了信息安全的不同内涵。
从信息安全的发展历史来看,早在上世纪。
四、五十年代,人们认为信息安全就是通信保密,采用的保障措施就是加密和基于计算机规则的访问控制,这个时期被称为“通信保密(comsec)”时代,其时代标志是2024年shannon发表的《保密通信的信息理论》;在七十年代,人们关心的是计算机系统不被他人所非授权使用,这时学术界称之为“计算机安全(infosec)”时代,其时代特色是美国八十年代初发布的橘皮书——可信计算机评估准则(tcsec);九十年代,人们关心的是如何防止通过网络对联网计算机进行攻击,这时学术界称之为“网络安全(netsec)”,其时代特征是美国八十年代末出现的“莫里斯”蠕虫事件;进入了二十一世纪,人们关心的是信息及信息系统的保障,如何建立完整的保障体系,以便保障信息及信息系统的正常运行,这时学术界称之为“信息保障(ia)”。
从信息安全的作用层面来看,人们首先关心的是计算机与网络的设备硬件自身的安全,就是信息系统硬件的稳定性运行状态,因而称之为“物理安全”;其次人们关心的是计算机与网络设备运行过程中的系统安全,就是信息系统软件的稳定性运行状态,因而称之为“运行安全”;当讨论信息自身的安全问题时,涉及的就是狭义的“信息安全”问题,包括对信息系统中所加工存储、网络中所传递的数据的泄漏、仿冒、篡改以及抵赖过程所涉及的安全问题,称之为“数据安全”。因此,就信息安全作用点来看问题,可以称之为信息安全的层次模型,这也是国内学者普遍认同的定义方式,如图1所示。
图1、一种信息安全的层次模型。
从信息安全的基本属性来看,机密性就是对抗对手的被动攻击,保证信息不泄漏给未经授权的人,或者即便数据被截获,其所表达的信息也不被非授权者所理解。完整性就是对抗对手主动攻击,防止信息被未经授权的篡改。可用性就是确保信息及信息系统能够为授权使用者所正常使用。
这三个重要的基本属性被国外学者称为信息安全金三角(cia),如图2所示。
机密性(c)
完整性(i可用性(a)
图2、信息安全金三角模型。
三、信息安全概念经纬线:从层次到属性,两种描述的融合。
从信息安全的作用层次来看,前面已经介绍了人们所关注的三个层面,即物理安全层、运行安全层、及数据安全层。但是,还有两个层面尚没有人在同一个框架之下给出清晰地描述。一个是关于信息内容的安全问题,一个是关于信息对抗的问题,而这两个层面的安全问题也是业界普遍关心的问题。
所不同的是,内容安全更被文化、宣传界人士所关注;而信息对抗则更被电子对抗研究领域的人士所关注。
信息内容安全的问题已经深刻地展现在现实社会的面前,主要表现在有害信息利用互联网所提供的自由流动的环境肆意扩散,其信息内容或者像脚本病毒那样给接收的信息系统带来破坏性的后果,或者像垃圾邮件那样给人们带来烦恼,或者像谣言那样给社会大众带来困惑,从而成为社会不稳定因素。但是,就技术层面而言,信息内容安全技术的表现形式是对信息流动的选择控制能力,换句话说,表现出来的是对数据流动的攻击特性。
信息对抗严格上说是信息谋略范畴的内容,是讨论如何从多个角度或侧面来获得信息并分析信息,或者在信息无法隐藏的前提下,通过增加更多的无用信息来扰乱获取者的视线,以掩藏真实信息所反映的含义。从本质上来看,信息对抗是在信息熵的保护或打击层面上讨论问题,也就是围绕着信息的利用来进行对抗。
信息安全宣传文件 信息安全
什么是信息安全?信息是经过加工 获取 推理 分析 计算 存储等 的特定形式的有价值的数据 信息安全 防止对数据进行未授权访问的措施或防止信息的有意无意泄露 破坏 篡改 丢失等破坏信息完整性的有关措施。信息安全听上去感觉很高大上,距离我们很远,也不管我们什么事,相信很多人都是这样认为的。其实不然,信息...
信息以及信息安全
这几天网上流传一份号称某个经济酒店开房记录的数据,其原始格式是sql server的backup文件。leaskh转换了一个csv版本,分享到了网盘上,但遭到了很多人的痛骂。我开始比较惊讶为什么有人会这么激动,后来明白了,就像医生认为生死是自然规律,而普通人则觉得要避讳。人们对于自己越不了解的事情,...
信息安全方针和信息安全目标
16 接受信息安全事件报告的主管部门应记录所有报告,及时做出相应的处理,并向报告人员反馈处理结果。七 监督检查。17 定期对信息安全进行监督检查,包括 日常检查 专项检查 技术性检查 内部审核等。八 业务持续性。18 公司根据风险评估的结果,建立业务持续性计划,抵消信息系统的中断造成的影响,防止关键...