當(dāng)代信息安全的新內(nèi)容

從信息安全的作用層次來(lái)看，前面已經(jīng)介紹了人們所關(guān)注的三個(gè)層面，即物理安全層、運(yùn)行安全層、及數(shù)據(jù)安全層。但是，還有兩個(gè)層面尚未在同一個(gè)框架之下給出清晰地描述。一個(gè)是關(guān)于信息內(nèi)容的安全問(wèn)題，一個(gè)是關(guān)于信息對(duì)抗的問(wèn)題，這兩個(gè)層面的安全問(wèn)題也是業(yè)界普遍關(guān)心的問(wèn)題。所不同的是，內(nèi)容安全更被文化、宣傳界人士所關(guān)注;而信息對(duì)抗則更被電子對(duì)抗研究領(lǐng)域的人士所關(guān)注。

信息內(nèi)容安全的問(wèn)題已經(jīng)深刻地展現(xiàn)在現(xiàn)實(shí)社會(huì)面前，主要表現(xiàn)在有害信息利用互聯(lián)網(wǎng)所提供的自由流動(dòng)的環(huán)境肆意擴(kuò)散，其信息內(nèi)容或者像腳本病毒那樣給接收的信息系統(tǒng)帶來(lái)破壞性的后果，或者像垃圾郵件那樣給人們帶來(lái)煩惱，或者像謠言那樣給社會(huì)大眾帶來(lái)困惑，成為社會(huì)不穩(wěn)定因素。但是，就技術(shù)層面而言，信息內(nèi)容安全技術(shù)的表現(xiàn)形式是對(duì)信息流動(dòng)的選擇控制能力，換句話說(shuō)，表現(xiàn)出來(lái)的是對(duì)數(shù)據(jù)流動(dòng)的攻擊特性。

信息對(duì)抗嚴(yán)格上說(shuō)是信息謀略范疇的內(nèi)容，是討論如何從多個(gè)角度或側(cè)面來(lái)獲得信息并分析信息，或者在信息無(wú)法隱藏的前提下，通過(guò)增加更多的無(wú)用信息來(lái)擾亂獲取者的視線，以掩藏真實(shí)信息所反映的含義。從本質(zhì)上來(lái)看，信息對(duì)抗是在信息熵的保護(hù)或打擊層面上討論問(wèn)題，也就是圍繞著信息的利用來(lái)進(jìn)行對(duì)抗。

信息安全專家方濱興院士在深入分析和繼承了傳統(tǒng)信息安全的定義前提下，根據(jù)當(dāng)前國(guó)際信息安全的發(fā)展現(xiàn)狀，給出了信息安全四要素，并重新概括和界定了新線圈的內(nèi)涵和外延。

在諸多信息安全的屬性中，分析可見(jiàn)，機(jī)密性、真實(shí)性、可控性、可用性屬于基本屬性，相互不能蘊(yùn)涵。其中機(jī)密性反映了信息與信息系統(tǒng)的不可被非授權(quán)者所利用;真實(shí)性反映了信息與信息系統(tǒng)的行為不被偽造、篡改、冒充;可控性反映了信息的流動(dòng)與信息系統(tǒng)可被控制者所監(jiān)控;可用性反映了信息與信息系統(tǒng)可被授權(quán)者所正常使用。而其它屬性，包括實(shí)用性、完整性、合法性、唯一性、不可否認(rèn)性、特殊性、占有性、可追溯性、生存性、穩(wěn)定性、可靠性等，則屬于上述四個(gè)基本屬性的某個(gè)側(cè)面的突出反映，因此可以歸結(jié)為這四個(gè)基本屬性之中。其中實(shí)用性反映的是機(jī)密性在密鑰依賴方面的機(jī)密屬性;完整性、合法性、唯一性、不可否認(rèn)性、特殊性分別反映的是真實(shí)性在信息內(nèi)容本身、信息來(lái)源、信息系統(tǒng)行為主體、信息的發(fā)布行為、信息熵方面的真實(shí)屬性;占有性、可追溯性分別反映的是可控性在對(duì)信息資源的保護(hù)、對(duì)信息及信息系統(tǒng)行為的審計(jì)能力的反映;生存性、穩(wěn)定性、可靠性分別反映的是可用性在信息系統(tǒng)的容災(zāi)能力、信息系統(tǒng)的健壯能力、信息系統(tǒng)的可靠能力方面的可用屬性。由此，機(jī)密性、真實(shí)性、可控性、可用性這四個(gè)基本屬性實(shí)際上就是信息安全的四個(gè)核心屬性，可以反映出信息安全的基本概貌。相對(duì)信息安全金三角而言，可稱之為信息安全四要素，簡(jiǎn)稱CACA，如圖3所示。

圖3信息安全四要素

根據(jù)這一思路，重新定義信息安全的概念如下：信息安全是對(duì)信息系統(tǒng)、信息與信息的利用的固有屬性(即“序”)攻擊與保護(hù)的過(guò)程。它圍繞著信息系統(tǒng)、信息及信息熵的機(jī)密性、真實(shí)性、可控性、可用性這四個(gè)核心安全屬性，具體反映在物理安全、運(yùn)行安全、數(shù)據(jù)安全、內(nèi)容安全、信息對(duì)抗等五個(gè)層面上。

綜合信息安全的層次性特性與安全屬性特性，可以形成一個(gè)信息安全概念的經(jīng)緯線，如表1所示：

表1信息安全概念的經(jīng)緯線

傳統(tǒng)信息安全的定義

“信息安全”曾經(jīng)僅是學(xué)術(shù)界所關(guān)心的術(shù)語(yǔ)，就像五、六十年前“計(jì)算機(jī)”被稱為“電算機(jī)”那樣僅被學(xué)術(shù)界所了解一樣?，F(xiàn)在，“信息安全”因各種原因已經(jīng)像公眾詞匯那樣被人所熟知，盡管尚不能與“計(jì)算機(jī)”這個(gè)詞匯的知名度相比，但也已經(jīng)具有廣泛的普及性。問(wèn)題的關(guān)鍵在于人們對(duì)“計(jì)算機(jī)”的理解不會(huì)有什么太大的偏差，而對(duì)“信息安全”的理解則各式各樣。種種偏差主要來(lái)自于從不同的角度來(lái)看信息安全，因此出現(xiàn)了“計(jì)算機(jī)安全”、“網(wǎng)絡(luò)安全”、“信息內(nèi)容安全”之類的提法，也出現(xiàn)了“機(jī)密性”、“真實(shí)性”、“完整性”、“可用性”、“不可否認(rèn)性”等描述方式。

關(guān)于信息安全的定義，以下是一些有代表性的定義方式：

1)國(guó)內(nèi)學(xué)者給出的定義是：“信息安全保密內(nèi)容分為：實(shí)體安全、運(yùn)行安全、數(shù)據(jù)安全和管理安全四個(gè)方面。”

2)我國(guó)相關(guān)立法給出的定義是：“保障計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（網(wǎng)絡(luò)）的安全，運(yùn)行環(huán)境的安全，保障信息安全，保障計(jì)算機(jī)功能的正常發(fā)揮，以維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全”。這里面涉及了物理安全、運(yùn)行安全與信息安全三個(gè)層面。

3)英國(guó)BS7799信息安全管理標(biāo)準(zhǔn)給出的定義是：“信息安全是使信息避免一系列威脅，保障商務(wù)的連續(xù)性，最大限度地減少商務(wù)的損失，最大限度地獲取投資和商務(wù)的回報(bào)，涉及的是機(jī)密性、完整性、可用性。”

4)美國(guó)國(guó)家安全局信息保障主任給出的定義是：“因?yàn)樾g(shù)語(yǔ)‘信息安全’一直僅表示信息的機(jī)密性，在國(guó)防部我們用‘信息保障’來(lái)描述信息安全，也叫‘IA’。它包含5種安全服務(wù)，包括機(jī)密性、完整性、可用性、真實(shí)性和不可抵賴性。”

5)國(guó)際標(biāo)準(zhǔn)化委員會(huì)給出的定義是：“為數(shù)據(jù)處理系統(tǒng)而采取的技術(shù)的和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改、顯露”。這里面既包含了層面的概念，其中計(jì)算機(jī)硬件可以看作是物理層面，軟件可以看作是運(yùn)行層面，再就是數(shù)據(jù)層面；又包含了屬性的概念，其中破壞涉及的是可用性，更改涉及的是完整性，顯露涉及的是機(jī)密性。

從信息安全的作用層面來(lái)看，人們首先關(guān)心的是計(jì)算機(jī)與網(wǎng)絡(luò)的設(shè)備硬件自身安全，就是信息系統(tǒng)硬件的穩(wěn)定性運(yùn)行狀態(tài)，稱之為“物理安全”；其次人們關(guān)心的是計(jì)算機(jī)與網(wǎng)絡(luò)設(shè)備運(yùn)行過(guò)程中的系統(tǒng)安全，就是信息系統(tǒng)軟件的穩(wěn)定性運(yùn)行狀態(tài)，稱之為“運(yùn)行安全”；當(dāng)討論信息自身的安全問(wèn)題時(shí)，涉及的就是狹義的“信息安全”問(wèn)題，包括信息系統(tǒng)中所加工存儲(chǔ)和網(wǎng)絡(luò)中所傳遞的數(shù)據(jù)的泄漏、仿冒、篡改以及抵賴過(guò)程所涉及的安全問(wèn)題，稱之為“數(shù)據(jù)安全”。因此，從信息安全作用點(diǎn)來(lái)看問(wèn)題，可以稱之為信息安全的層次模型，這也是國(guó)內(nèi)學(xué)者普遍認(rèn)同的定義方式，如圖1所示。

圖1一種信息安全的層次模型

從信息安全的基本屬性來(lái)看，機(jī)密性就是對(duì)抗對(duì)手的被動(dòng)攻擊，保證信息不泄漏給未經(jīng)授權(quán)的人，或者即便數(shù)據(jù)被截獲，其所表達(dá)的信息也不被非授權(quán)者所理解。完整性就是對(duì)抗對(duì)手主動(dòng)攻擊，防止信息被未經(jīng)授權(quán)的篡改?？捎眯跃褪谴_保信息及信息系統(tǒng)能夠?yàn)槭跈?quán)使用者所正常使用。這三個(gè)重要的基本屬性被國(guó)外學(xué)者稱為“信息安全金三角”（CIA，Confidentiality-Integrity-Avaliability），如圖2所示。

 #p#

企業(yè)信息安全框架及其實(shí)施內(nèi)涵

從上一節(jié)的介紹不難看出，當(dāng)代信息安全定義在企業(yè)信息安全中的使用還存在如下幾個(gè)問(wèn)題，需要進(jìn)行進(jìn)一步改進(jìn)：

◆概念含糊不清，且沒(méi)有給出實(shí)施的可用參考：只是列出了信息安全需要關(guān)注的協(xié)議層面、系統(tǒng)單元和牽涉到的幾個(gè)安全屬性；而在安全屬性中，流量機(jī)密性和機(jī)密性本來(lái)就是同一回事，所采用的技術(shù)也是大同小異，并沒(méi)有給出企業(yè)在信息安全的保障實(shí)施過(guò)程中的任何可行性建議和手段；

◆忽略了管理安全：該框架只強(qiáng)調(diào)技術(shù)，而忽略了管理在企業(yè)信息安全保障中的重要作用和地位。所謂“三分技術(shù)，七分管理”，沒(méi)有管理的技術(shù)難以落到實(shí)處，缺乏管理的指導(dǎo)性，盲目的使用技術(shù)也是不合理的。

為了根據(jù)企業(yè)的自身特點(diǎn)來(lái)制定可行的企業(yè)信息安全框架，我們可以回顧一下信息安全定義。結(jié)合企業(yè)在信息安全工作的特點(diǎn)，將其中的“信息對(duì)抗”改進(jìn)為“管理安全”，這主要是因?yàn)槿缦?個(gè)重要原因：

◆企業(yè)的信息安全工作主要是“防”，以防為主，立足自身，基本上不會(huì)采取信息對(duì)抗的方式來(lái)還擊外部黑客和不法用戶；

◆企業(yè)的信息安全工作很大一部分在于滿足外部對(duì)企業(yè)的審核要求，企業(yè)對(duì)自身員工、資源等的管理要求，這就依賴于管理安全，他們需要參考和遵循許多業(yè)界成熟的標(biāo)準(zhǔn)和制度，比如ISO/IEC27001、薩班斯法案等。

因此，我們形成了企業(yè)信息安全框架。其本質(zhì)是：企業(yè)信息安全從技術(shù)角度來(lái)看是對(duì)信息與信息系統(tǒng)的固有屬性的攻擊與保護(hù)的過(guò)程。它圍繞著信息系統(tǒng)、信息自身及信息利用的機(jī)密性、真實(shí)性、完整性、可控性、可用性、不可抵賴性這六個(gè)核心安全屬性，具體反映在物理安全、運(yùn)行安全、數(shù)據(jù)安全、內(nèi)容安全、管理安全五個(gè)層面上。如圖4所示：

圖4企業(yè)信息安全框架

而根據(jù)圖4的企業(yè)信息安全框架，在實(shí)踐的過(guò)程中，需要采用各種各樣的技術(shù)來(lái)完成多個(gè)安全任務(wù)，并參照相應(yīng)的業(yè)界成熟的法規(guī)和制度來(lái)進(jìn)行檢查，從而完成企業(yè)信息安全工作，具體的內(nèi)容請(qǐng)見(jiàn)表2。

表2企業(yè)信息安全工作內(nèi)容詳表

【編輯推薦】

1. 如何高效地執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估
2. 降低信息技術(shù)負(fù)面影響信息安全責(zé)任重大
3. 解讀信息安全市場(chǎng)金字塔頂端的SOC
4. 企業(yè)數(shù)據(jù)安全市場(chǎng)進(jìn)入成長(zhǎng)期 信息安全“國(guó)家隊(duì)”發(fā)力