下载掌阅APP,畅读海量书库
立即打开
21世纪是信息的社会,信息作为当今社会最重要的要素之一,不仅是重要的共用资源和商业资源,而且已经成为重要的战略资源。党的十八大报告中明确坚持走中国特色新型工业化、信息化、城镇化、农业现代化道路,将信息化提升至国家发展战略的高度;十九大报告中围绕互联网与信息化战略,在信息化领域提出网络强国、数字中国、智慧社会三大目标,强调信息化与实体经济的深度融合,把网络安全上升到国家安全的高度。
关于信息的定义有多种说法,通常我们认为:信息是有一定含义的数据,是加工处理后的数据,是对决策者有用的数据。信息是事物及其属性标识的集合,是事物运动状态和存在方式的表现形式(钟义信),是物质、能量及其属性的标识,是用来消除不确定性的东西,是处理过的某种形式的数据(香农)。信息对于接收信息者具有意义,在当前或未来的行动和决策中,具有实际的或可察觉的价值。
数据是记录下来的某种可以识别的符号,具有多种多样的形式,也可以加以转换,但其中包含的信息内容不会改变,即不随载体的物理设备形式的改变而改变。信息可以离开信息系统而独立存在,也可以离开信息系统的各个组成阶段而独立存在;而数据的格式往往与计算机系统有关,并随载荷它的物理设备的形式而改变。数据是原始事实,而信息是数据处理的结果。
数据和信息之间是相互联系的。数据是反映客观事物属性的记录,是信息的具体表现形式。数据经过加工处理之后,就成为信息;而信息需要经过数字化转变成数据才能存储和传输。
美国著名未来学家托夫勒曾说:“谁掌握了信息,控制了网络,谁将拥有整个世界。”数据处理就是将数据转化为信息的过程,信息技术也都是围绕着数据的收集、存储、传输、加工处理等方面开展应用的,如图1-1所示。
图1-1 数据处理过程
截至目前,信息安全还没有统一的定义,以下分别是国际标准化组织(ISO)、美国国家安全电信和信息系统安全委员会(NSTISSC)、欧盟、信息安全专家给出的定义。
定义1-1 ISO对信息安全的定义:对数据处理系统建立和采取的技术和管理的安全保护。保护计算机硬件、软件、数据不因偶然的或恶意的原因而受到破坏、更改、泄露。
定义1-2 NSTISSC对信息安全的定义:对信息、系统以及使用、存储和传输信息的硬件的保护,是所采取的相关政策、认识、培训和教育以及技术等必要的手段。
综上,从信息安全涉及的内容出发,信息安全是确保存储或传送中的数据不被他人有意或无意地窃取与破坏。信息安全包括:
· 信息设施及环境安全,包括建筑物与周遭环境的安全。
· 数据安全,确保数据不会被非法入侵者读取或破坏。
· 应用安全,重视软件开发过程的品质及维护。
· 系统安全,维护计算机系统正常运作。
美国军方将信息安全问题抽象为一个由信息系统、信息内容、信息系统的所有者和运营者、信息安全规则等多个因素构成的多维问题空间。
定义1-3 欧盟在《信息技术安全评估准则》中对信息安全的定义:在既定的密级条件下,网络与信息系统抵御意外事件或恶意行为的能力。这些事件和行为将威胁所存储或传输的数据以及通过这些网络和系统所提供的服务的可用性、真实性、完整性和机密性。
定义1-4 信息安全专家对信息安全的定义如下:
· 信息安全是在充分的知识和经验保证下的信息风险与控制的平衡(James Anderson)。
· 保护信息和信息系统不被未经授权地访问、使用、泄露、修改和破坏,为信息和信息系统提供保密性、完整性、可用性、可控性和不可否认性(沈昌祥院士)。
基于以上信息安全的定义可知,信息安全是指在可信的时空空间内,信息系统的硬件、软件和数据等资源不因偶然和恶意的原因而遭到破坏、更改和泄露,保障系统连续正常运行,信息服务不中断;信息安全的本质和目的就是保护合法用户使用系统资源和访问系统中存储的信息的权利和利益,保护用户的隐私;信息安全工作的基本原则就是在安全法律、法规、政策的支持与指导下,通过采用适当的安全技术与安全管理措施,防止数据财产被恶意地或偶然地未经合理授权地泄露、更改、破坏或使信息被非法的系统辨识、控制,避免攻击者利用信息系统的安全漏洞进行窃听、截获、篡改等。
信息安全建立在保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)三个基本特性之上。对这三个信息安全基本特性的解释随着适用环境的不同而不同。在某种特定环境下,对这三种特性的解释是由个体需求、行为习惯和特定组织的法律法规决定的。
保密性是确保信息不泄露给未获得授权的实体或进程的特性。这里所指信息的涵盖范围非常广,不但包括国家秘密,而且包括各种社会团体和企业组织的工作信息和商业机密以及涉及个人隐私的各类信息,如上网浏览习惯、购物习惯等。
完整性是指信息不被未获得授权的实体或进程偶然或恶意地删除、修改、伪造、乱序、重放、插入等破坏的特性。完整性包括数据(即信息的内容)完整性和来源(即信息的来源)完整性。信息的来源可能会涉及来源的准确性和可信性,也涉及人们对此信息的信任度。完整性与保密性有较大的差别,保密性主要针对数据有没有遭受破坏或泄露,完整性则要同时保证数据的正确性和可信性。
可用性是指对信息或资源的期望使用能力,即获得授权的实体或进程在需要时可访问信息及系统资源和服务。无论何时,只要用户需要并获得授权,必须保证信息系统是可用的,系统不能拒绝给用户提供服务。攻击者通常采取占用资源的方式来阻碍系统执行授权者的正常请求。可用性还包括研究如何有效地避免因各种灾难(如战争、自然灾害等)引起系统资源和信息的不可用。
信息安全特性还包括其他的方面,如可控性(Controllability)、可审查性(Auditability)、可认证性(Authenticity)等。可控性是对信息及信息系统实施安全监控的能力,使管理机构可以对造成安全问题的行为进行监视和审计。审计是对系统资源使用情况进行事后分析的有效手段,它通过对访问情况记录日志,并对日志进行统计分析,发现和追踪违反安全策略的事件。可审查性是指使用审计、监控、防抵赖等安全机制,使得使用者(包括合法用户、攻击者、破坏者、抵赖者)的行为有证可查,并能够对系统和网络中出现的安全问题提供调查依据和手段。可认证性的目的是保证信息使用者和信息提供者都是真实的声称者,防止假冒和重放。
注:保密性、完整性、可用性、可控性和不可否认性也称为信息安全的五个基本属性。