資源描述:
《信息安全四要素:詮釋信息安全》由會(huì)員上傳分享,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)。
1�����、信息安全四要素:詮釋信息安全哈爾濱工業(yè)大學(xué)計(jì)算機(jī)網(wǎng)絡(luò)與信息安全技術(shù)研究中心方濱興(bxfang@pact518.hit.edu.cn)摘要:本文首先將國(guó)內(nèi)外對(duì)信息安全概念的各種理解歸納為兩種描述����,一種是對(duì)信息安全所涉及層面的描述;一種是對(duì)信息安全所涉及的安全屬性的描述�����。然后提出了以經(jīng)緯線的方式將兩種描述風(fēng)格融為一體的方法�,即基于層次型描述方式��。同時(shí)�����,在傳統(tǒng)的實(shí)體安全�����、運(yùn)行安全��、數(shù)據(jù)安全這三個(gè)層面的基礎(chǔ)之上�,擴(kuò)充了內(nèi)容安全層面與信息對(duì)抗層面�����,并將其歸類為信息系統(tǒng)��、信息�、信息利用等三個(gè)層次。另外還針對(duì)國(guó)外流行的信息安全金三角的描述不足�,擴(kuò)充為信息安全四要素,從而完備了對(duì)信息安全概念框
2�����、架的描述。最后����,給出了關(guān)于信息安全的完整定義。一�����、背景“信息安全”曾經(jīng)僅是學(xué)術(shù)界所關(guān)心的術(shù)語(yǔ)����,就像是五�、六十年前“計(jì)算機(jī)”被稱為“電算機(jī)”那樣僅被學(xué)術(shù)界所了解一樣。現(xiàn)在���,“信息安全”因各種原因已經(jīng)像公眾詞匯那樣被廣大公眾所熟知�����,盡管尚不能與“計(jì)算機(jī)”這個(gè)詞匯的知名度所比擬��,但也已經(jīng)具有廣泛的普及性�。問(wèn)題的關(guān)鍵在于人們對(duì)“計(jì)算機(jī)”的理解不會(huì)有什么太大的偏差�����,而對(duì)“信息安全”的理解則往往各式各樣。種種偏差主要來(lái)自于從不同的角度來(lái)看信息安全����,因此出現(xiàn)了“計(jì)算機(jī)安全”、“網(wǎng)絡(luò)安全”�、“信息內(nèi)容安全”之類的提法,也出現(xiàn)了“機(jī)密性”��、“11真實(shí)性”����、“完整性”、“可用性”�、“不可否認(rèn)性”等描
3、述方式����。關(guān)于信息安全的定義,以下是一些有代表性的定義方式:國(guó)內(nèi)學(xué)者給出的定義是:“信息安全保密內(nèi)容分為:實(shí)體安全��、運(yùn)行安全���、數(shù)據(jù)安全和管理安全四個(gè)方面����。”我國(guó)計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原則給出的定義是:“涉及實(shí)體安全��、運(yùn)行安全和信息安全三個(gè)方面�。”我國(guó)相關(guān)立法給出的定義是:“保障計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備����、設(shè)施(網(wǎng)絡(luò))的安全,運(yùn)行環(huán)境的安全���,保障信息安全,保障計(jì)算機(jī)功能的正常發(fā)揮���,以維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全”����。這里面涉及了物理安全�����、運(yùn)行安全與信息安全三個(gè)層面。國(guó)家信息安全重點(diǎn)實(shí)驗(yàn)室給出的定義是:“信息安全涉及到信息的機(jī)密性�、完整性、可用性���、可控性�。綜合起來(lái)說(shuō)����,就是要保障電子
4、信息的有效性���?����!庇?guó)BS7799信息安全管理標(biāo)準(zhǔn)給出的定義是:“信息安全是使信息避免一系列威脅����,保障商務(wù)的連續(xù)性�����,最大限度地減少商務(wù)的損失���,最大限度地獲取投資和商務(wù)的回報(bào)�,涉及的是機(jī)密性、完整性�、可用性?�!泵绹?guó)國(guó)家安全局信息保障主任給出的定義是:“因?yàn)樾g(shù)語(yǔ)‘信息安全’一直僅表示信息的機(jī)密性�����,在國(guó)防部我們用‘信息保障’來(lái)描述信息安全�,也叫‘IA’。它包含5種安全服務(wù)����,包括機(jī)密性、完整性�、可用性���、真實(shí)性和不可抵賴性�����?�!眹?guó)際標(biāo)準(zhǔn)化委員會(huì)給出的定義是:“為數(shù)據(jù)處理系統(tǒng)而11采取的技術(shù)的和管理的安全保護(hù)�����,保護(hù)計(jì)算機(jī)硬件��、軟件��、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞��、更改����、顯露”。這里面既包含
5�����、了層面的概念��,其中計(jì)算機(jī)硬件可以看作是物理層面��,軟件可以看作是運(yùn)行層面��,再就是數(shù)據(jù)層面�;又包含了屬性的概念�����,其中破壞涉及的是可用性����,更改涉及的是完整性�����,顯露涉及的是機(jī)密性�。縱觀從不同的角度對(duì)信息安全的不同描述��,可以看出兩種描述風(fēng)格��。一種是從信息安全所涉及層面的角度進(jìn)行描述���,大體上涉及了實(shí)體(物理)安全����、運(yùn)行安全�����、數(shù)據(jù)(信息)安全���;一種是從信息安全所涉及的安全屬性的角度進(jìn)行描述�,大體上涉及了機(jī)密性�����、完整性����、可用性。二��、信息安全多種理解的緣由信息安全出現(xiàn)多種不同說(shuō)法��,存在著多種觀察視角�����,并不是偶然的現(xiàn)象����。信息安全的發(fā)展歷史、信息安全的作用層面�����、信息安全的基本屬性,都決定了信息安全的不
6���、同內(nèi)涵����。從信息安全的發(fā)展歷史來(lái)看�,早在上世紀(jì)四、五十年代��,人們認(rèn)為信息安全就是通信保密��,采用的保障措施就是加密和基于計(jì)算機(jī)規(guī)則的訪問(wèn)控制�����,這個(gè)時(shí)期被稱為“通信保密(COMSEC)”時(shí)代��,其時(shí)代標(biāo)志是1949年Shannon發(fā)表的《保密通信的信息理論》���;在七十年代��,人們關(guān)心的是計(jì)算機(jī)系統(tǒng)不被他人所非授權(quán)使用��,這時(shí)學(xué)術(shù)界稱之為“計(jì)算機(jī)安全(INFOSEC)”時(shí)代����,其時(shí)代特色是美國(guó)八十年代初發(fā)布的橘皮書(shū)——11可信計(jì)算機(jī)評(píng)估準(zhǔn)則(TCSEC)����;九十年代,人們關(guān)心的是如何防止通過(guò)網(wǎng)絡(luò)對(duì)聯(lián)網(wǎng)計(jì)算機(jī)進(jìn)行攻擊����,這時(shí)學(xué)術(shù)界稱之為“網(wǎng)絡(luò)安全(NETSEC)”,其時(shí)代特征是美國(guó)八十年代末出現(xiàn)的“莫里
7����、斯”蠕蟲(chóng)事件;進(jìn)入了二十一世紀(jì)�,人們關(guān)心的是信息及信息系統(tǒng)的保障,如何建立完整的保障體系��,以便保障信息及信息系統(tǒng)的正常運(yùn)行��,這時(shí)學(xué)術(shù)界稱之為“信息保障(IA)”�。從信息安全的作用層面來(lái)看,人們首先關(guān)心的是計(jì)算機(jī)與網(wǎng)絡(luò)的設(shè)備硬件自身的安全,就是信息系統(tǒng)硬件的穩(wěn)定性運(yùn)行狀態(tài)�����,因而稱之為“物理安全”����;其次人們關(guān)心的是計(jì)算機(jī)與網(wǎng)絡(luò)設(shè)備運(yùn)行過(guò)程中的系統(tǒng)安全,就是信息系統(tǒng)軟件的穩(wěn)定性運(yùn)行狀態(tài)��,因而稱之為“運(yùn)行安全”����;當(dāng)討論信息自身的安全問(wèn)題時(shí),涉及的就是狹義的“信息安全”問(wèn)題�,包括對(duì)信息系統(tǒng)
