下载掌阅APP,畅读海量书库
立即打开
“信息”作为专业用语,最早于1928年R·V·哈特莱撰写的《信息传输》一书中出现。“信息”的定义是信息科学、系统科学、情报学、文献学和计算机科学等多个学科领域的基本概念,而其精确的科学定义在学术界已经探讨了几十年,目前仍没有确定的结论。1948年,信息论的奠基人克劳德·艾尔伍德·香农在他的著名作品《通信的数学理论》中提出了著名的信息量计算公式:
一个信息由n个符号所构成,符号k出现的概率为p k ,则有:
这个公式和热力学中熵的本质一样,故也称为信息熵公式。从公式可知,当各个符号出现的概率相等,即“不确定性”最高时,信息熵最大。故信息可以视为“不确定性”的度量。这个公式是一个狭义的数学定义,显然不能概括当今信息社会中包罗万象的“信息”。
此后,无数哲学家、科学家尝试从不同角度解释信息的概念。香农对信息给出的字面解释是:信息是对不确定性的消除。这个定义连续用了两次否定,否定之否定就是肯定,而否定式的界定是定义的禁忌。美国数学家、控制论的奠基人诺伯特·维纳在他的《控制论——动物和机器中的通信与控制问题》中认为,信息是“我们在适应外部世界、控制外部世界的过程中同外部世界交换的内容的名称”,英国学者阿希贝认为,信息的本性在于事物本身具有变异度,意大利学者朗高在《信息论:新的趋势与未决问题》中认为,信息是反映事物的形成、关系和差别的东西,它包含于事物的差异之中,而不在事物本身。各个领域的专家学者给出的关于信息的定义多达上百种之多。
可以看到,信息是一个与具体领域相关,且正在不断发展和变化的概念,以其不断扩展的内涵和外延,渗透到人类社会、经济和科学技术的众多方面。在信息安全领域,国际标准ISO/IEC 13335《信息技术—安全技术—信息安全管理指南》上对信息的定义是:信息是指在数据上施加一些特殊约定,而赋予了这些数据以特殊含义。换言之,信息不是实体,是事物的一种属性,是通过引入必要的约定条件后而形成的特殊概念体系。中国自古就有信息的概念,例如用烽火台狼烟传递消息。GB/T 5271.1—2000《信息技术 词汇第1部分:基本术语》中对信息的定义是“信息是关于客体(如事实、事件、事物、过程或思想,包括概念)的知识,在一定的场合中具有特定的意义”。直观来讲,信息是一种消息,泛指人类社会传播的一切有意义的内容,包括文字、音频、图像,以及通信系统传输和处理的对象。信息可以以多种形式存储,包括:数字形式(例如,存储在电子或光介质上的数据文件)、物质形式(例如,在纸上),以及以知识形式存在的未被表示的信息(例如,医生的手术经验、工程师的设计技巧)。信息可采用各种不同手段进行传输,例如:信件、电子通信或口头交谈等。
像其他重要业务资产一样,信息是一种有价值的资产,包括文化、规章、文件、图纸、数据等所有有价值的信息资源。信息对组织业务正常开展来说是必不可少的,因此需要得到适当的保护。信息是抽象的,信息发挥作用有赖于信息载体和传输技术。这些载体和技术往往是组织中的基本要素,协助信息的创建、处理、存储、传输、保护和销毁。信息对载体具有较强的依赖性,易受所承担的载体和载体所处环境的影响,造成信息的损失。因此保护信息的价值要求从保护信息载体着手,同时要关注信息载体所处的环境。
信息的特性包括载体性、增值性、可存储性和可传递性、共享性等。
(1)载体性:信息的表示、存储和传播要依附于信息载体。
(2)增值性:信息如果经过人的分析和处理,往往会产生新的信息,使信息得到增值。
(3)可存储性和可传递性:信息可以脱离它所反映的事务被存储和传播,这个特性使得很多信息流传至今。
(4)共享性:信息不同于物质资源,它可以转让,可以共享。
此外信息的特性还包括不完整性和真伪性,信息在使用中可不断扩充、不断再生,说明由于信息的重要,很有可能被利用。
业界通常把信息安全的发展历史分为四个阶段,每个阶段都有一些代表性的事件:
第一个阶段是通信保密阶段,20世纪的40年代到70年代。在此阶段,1949年香农发表了《保密系统的通信理论》,标志着通信保密科学的诞生;1977年,当时的美国国家标准局和美国国家标准学会发布了数据加密标准(DES);1978年美国麻省理工学院提出了公钥密码体制(RSA)。
第二个阶段是计算机安全阶段,20世纪80年代到90年代。1985年12月,美国国防部发布了《可信计算机系统评估准则》(TCSEC),又称“橘皮书”。
第三个阶段是信息技术安全阶段,20世纪90年代。1996年,国际标准化组织(ISO)发布了第一版ISO/IEC 15408《信息技术—安全技术—信息技术安全性通用评估准则》(简称CC);1998年,美国国家安全局发布了《信息安全保障技术框架》(简称IATF),提出“纵深防御”,强调信息安全保障战略。
第四个阶段是信息保障阶段,21世纪以后。在该阶段我国的信息安全得到了长足的发展,2014年成立了网络安全和信息化委员会办公室(简称网信办),2016年发布《中华人民共和国网络安全法》,2019年发布新修订的GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》(简称等级保护2.0)。
GB/T 25069—2010《信息技术 安全技术 信息安全管理体系 概述和词汇》(简称GB/T 25069—2010)中对信息安全的定义是:“保护、维持信息的保密性、完整性和可用性,也可包括真实性、可核查性、抗抵赖性、可靠性等性质。”保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)是信息在安全层面的核心特征,又称作信息安全CIA三元组,如图1-2所示。
图1-2 信息安全CIA三元组
依据GB/T 25069—2010,保密性、完整性等特性的定义如下:
● 保密性(Confidentiality):使信息不泄露给未授权的个人、实体、进程,或不被其利用的特性。
● 完整性(Integrity):保护资产准确和完整的特性。
● 可用性(Availability):已授权实体一旦需要就可访问和使用的数据和资源的特性。
● 真实性(Authenticity):确保主体或资源的身份正是所声称的特性,真实性适用于用户、进程、系统和信息之类的实体。
● 可核查性(Accountability):确保可将一个实体的行动唯一地追踪到此实体的特性。
● 抗抵赖性(Non-repudiation):证明某一动作或事件已经发生的能力,确保事后不能否认这一动作或事件。
● 可靠性(Reliability):预期行为和结果保持一致的特性。
模型是人们认识和描述客观世界的一种方法。在信息安全保障阶段,通常有PDR(保护、检测和响应)模型、PPDR(安全策略、保护、检测和响应)模型、PDRR(保护、检测、响应和恢复)模型、MPDRR(管理、保护、检测、响应和恢复)模型和WPDRRC(预警、保护、检测、响应、恢复和反击)模型。
1)PDR模型
PDR模型是一个最基础、最经典的安全模型,最初由美国国际互联网安全系统公司(ISS)提出,是最早体现主动防御思想的一种安全模型。P是Protection的首字母,D是Detection的首字母,R是Response的首字母,也有说是Reaction的首字母。PDR模型的思想是:攻击需要时间,如果我们能在对方攻击发起时及时发现攻击,并在第一时间做出反应,阻止攻击,就可以达到安全保护的目的。
2)PPDR模型
PPDR模型是在PDR模型前加上了一个安全策略(Policy),PPDR模型以策略为中心,开展信息安全保护。
3)PDRR模型
PDRR模型,是在PDR模式的后面加上了恢复(Recovery),PDRR模型是美国国防部提出的安全模型。
4)MPDRR模型
MPDRR模型,是在PDR模型的前面增加了管理(Management),在后面增加了恢复(Recovery),这是人们逐渐认识到信息安全管理重要性的产物。
5)WPDRRC模型
WPDRRC模型是我国国家高技术研究发展计划信息安全专家组在PDR模型、PPDR模型及PDRR模型的基础上提出的适合我国国情的动态安全模型。WPDRRC模型在PDRR模型四个环节的基础上增加了预警(Warning)和反击(Counterattack)两个组件,共计六个环节,形成了具有动态反馈关系的整体。预警环节根据已经掌握的系统脆弱性,以及威胁的发展趋势,预测未来可能受到的攻击或危害;反击则是采用必要的技术手段,获取威胁行为的线索或证据,形成依法打击的能力。
如上所述,信息安全问题是一个复杂的系统问题。概略地,我们可以由上至下将其分解为法律法规和政策、组织管理、信息安全技术三个层次的问题。本书所讨论的信息安全风险管理问题,是组织整体管理的重要组成部分。为了有效管控信息安全风险,需要以法律法规为依据,以国家政策为指导,采用科学的管理方法,以先进信息技术为基础,立体化、层次化地共同发挥职能,实现为组织生产和发展保驾护航的目的。我国政府对信息安全法律法规体系建设高度重视,通过十多年的努力,基本建立了以《中华人民共和国网络安全法》为基础、涵盖各行各业的信息安全法律法规体系,为我国信息安全产业发展打下了坚实基础。对法律法规的探讨超出本书范围,相关内容读者可参考附录C。站在组织的角度上看问题,信息安全面临的问题主要包括管理和技术两方面。
1)管理问题
以下是管理层面上常见的信息安全问题。
a)信息安全风险管理和组织整体管理体系无法有效整合。分为多种情况:由于组织的目的是创造社会效益和经济利益,在充分认识信息安全的重要性之前,大部分组织不会投入足够成本构建有效的信息安全风险管理体系;即使构建了信息安全风险管理体系,在管理体系中它的重要性也显不足,属于“可有可无”的那一部分;信息安全风险管理的连续性不够,没有形成合理的反馈体系,不能持续改进,信息安全团队始终处于“救火队”角色;缺乏对网络安全和应急响应技术层面有经验的管理人员;没有全职人员对信息安全进行管理,组织成员安全意识不足等。
b)重技术、轻管理。有的组织过于倚重技术手段,不断提高技术手段来加强对信息的保护,但这并不能解决安全问题的全部,散乱或没有明确思想指导的技术所发挥的效应是很小的。在国内,即使在信息安全产业高速发展的今天,许多传统行业的企业仍然抱着“安全=防火墙”的落后认识,缺乏足够的安全意识和警惕性。
c)管理手段缺乏科学性。有的组织尽管认识到了信息安全风险管理的重要性并采取了措施,但是在管理手段上却十分落后。例如,很多国企常常采取“一刀切”的手段,简单地“物理”隔离内外网。网络隔离的设置需要专业人员的充分评估和周密设计,缺乏规划、简单粗暴的隔离措施,反而会使内网安全水平降低。过度依靠隔离会使得人员思想麻痹,以致主机补丁更新不及时,加之管理上的麻痹大意,最终造成某些内网病毒泛滥,损失惨重。
2)技术问题
信息安全面临的技术问题多种多样,最常见的有以下几种。
a)人为失误:如操作员安全配置不当造成的安全漏洞、用户安全意识不强、用户口令选择不慎、用户将自己的账号随意转借他人或与别人共享都会对网络安全带来威胁。人为失误难以完全避免,只能通过完善的管理和技术措施尽可能降低其发生的概率。对很多组织而言,与人为失误相关联的风险,或许比网络攻击等其他威胁更严重。
b)内部窃密和破坏:组织内部具有网络合法访问权的员工、承包商等,若没有采取任何身份验证或加密措施,这些内部人员都能在任意设备上自由复制数据。别有用心的人员可随意泄露组织重要信息,给组织造成巨大损失。据美国联邦调查局的一项调查显示,70%的攻击是从内部发动的,只有30%是从外部攻进来的。
c)网络攻击:网络攻击已经成为信息安全的重大隐患之一。近年来,一些恶意的网络攻击已从个人黑客的单独行动逐渐转变为带有政治、经济目的的国家行为,攻击目标范围也从互联网领域扩展到国计民生的各个领域。攻击的具体形式包括DDoS攻击、漏洞攻击、社会工程学攻击、APT攻击、物理侵入等。
d)病毒等恶意软件:以病毒为代表的恶意软件的核心特征是,软件能够大规模地自我复制和传播。经过数十年的发展,计算机病毒感染方式已从单机的被动传播变成了利用网络弱点(漏洞、弱口令等)的主动传播,威胁更加严重。近几年曾大肆爆发的勒索病毒和挖矿木马等,都可以认为是传统病毒的变种。
e)技术缺陷:由于人类知识水平和技术发展的局限性,在硬件和软件设计过程中,难免留下技术缺陷,由此造成信息安全隐患。技术缺陷几乎是技术发展的伴生品,在人类技术发展史上一直存在,著名的案例包括美国火星气候探测器烧毁、欧洲空间组织阿里亚娜运载火箭发射失败等。
另外,信息安全面临的技术性问题还包括自然灾害等不可抗力因素造成的设备毁坏等。