信息安全體系的發(fā)展與展望

信息安全體系的發(fā)展與展望

信息技術(shù)是一把雙刃劍。另一方面，它極大地便利了人類的生產(chǎn)和生活。網(wǎng)絡(luò)技術(shù)的發(fā)展使這個世界成為一個村莊。另一方面，由于信息技術(shù)的脆弱性和不完整，信息存儲、處理和傳輸過程中容易干擾、遺漏和丟失，甚至導(dǎo)致泄漏、盜竊、逃跑和偽裝。因此，信息安全已成為人們關(guān)注的焦點。信息安全雖然是由于信息技術(shù)問題引起的,但信息安全問題的解決不能夠單純地從技術(shù)問題入手,還得從系統(tǒng)的、管理的角度切入。由哥德爾不完全定理可知,一個形式化系統(tǒng)的一致性和完備性是不能兼得的。一個完美的解決安全問題的技術(shù)方案在現(xiàn)實中是不存在的,而且用信息技術(shù)解決信息技術(shù)的脆弱性和不完善性有可能帶來另外的脆弱性和不完善性。因此,信息安全中的技術(shù)問題僅僅是一個關(guān)鍵問題,不能解決全部問題。據(jù)美國FBI統(tǒng)計,美國每年因信息安全問題所造成的經(jīng)濟(jì)損失高達(dá)100億美元,而且還有日益增加的趨勢。在所有的信息安全事件中,約有52%是人為因素造成的;25%由火災(zāi)、水災(zāi)等自然災(zāi)害引起;技術(shù)錯誤占10%;企業(yè)內(nèi)部人員作案占10%;僅有3%左右是由外部不法分子攻擊造成的。信息安全界有句名言:三分技術(shù),七分管理,安全和管理是分不開的。即使有再好的安全設(shè)備和系統(tǒng),而沒有一套良好的安全管理制度、管理方法并貫徹實施,信息安全問題就是空談。許多出現(xiàn)信息安全事故的單位,要么是有安全管理制度但沒有執(zhí)行,要么就是根本沒有安全管理制度。本文在總結(jié)多種信息安全發(fā)展的各個階段的基礎(chǔ)上,指出了信息安全體系發(fā)展的趨勢,以供人們正確地了解和把握信息安全體系以滿足當(dāng)前和未來的信息安全需求。1信息安全的概念“安全”在高級漢語大詞典中的意思是“不受威脅,沒有危險、危害、損失”。因此根據(jù)信息安全字面的意思就是使得信息不受威脅、損失。但至今沒有對“信息安全”一詞達(dá)成共識,一方面由于信息系統(tǒng)的復(fù)雜性和信息技術(shù)的快速發(fā)展而引起信息安全的內(nèi)涵和外延不斷發(fā)展;另一方面由于人們對于信息安全本質(zhì)的認(rèn)識不斷深入,也使得目前沒有一個比較成熟的信息安全的定義。國際標(biāo)準(zhǔn)化組織ISO對信息安全提出的建議其定義是:“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)。保護(hù)計算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而受到破壞、更改、泄漏”。國內(nèi)的一些學(xué)者建議的定義為:“計算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護(hù),不因偶然的或者惡意的原因而遭受破壞、更改泄漏以及系統(tǒng)連續(xù)正常運(yùn)行”?？梢钥闯錾厦娑x的基本含義相同。國際標(biāo)準(zhǔn)化組織ISO強(qiáng)調(diào)技術(shù)和管理,以加強(qiáng)對系統(tǒng)的保護(hù)。國內(nèi)學(xué)者的定義強(qiáng)調(diào)了系統(tǒng)的正常運(yùn)行,即系統(tǒng)的可用性。國際標(biāo)準(zhǔn)化組織在此基礎(chǔ)上提出了開放系統(tǒng)互聯(lián)安全體系結(jié)構(gòu)——《信息處理系統(tǒng)、開放系統(tǒng)互聯(lián)、基本參考模型》(GB/T9387.2-1995,等同ISO7498-2)。該安全體系是在OSI網(wǎng)絡(luò)參考模型的七層協(xié)議之上的信息安全體系結(jié)構(gòu),它對具體網(wǎng)絡(luò)環(huán)境的信息安全管理體系結(jié)構(gòu)具有重要意義。戴宗坤在其著作《信息系統(tǒng)安全》將信息安全定義為:“確保以電磁信號為主要形式,在計算機(jī)網(wǎng)絡(luò)系統(tǒng)中進(jìn)行獲取、處理、存儲、傳輸和利用的信息內(nèi)容,在各個物理位置、邏輯區(qū)域、存儲和傳輸介質(zhì)中,處于動態(tài)和靜態(tài)過程中的機(jī)密性、完整性、可用性、可審查性和不可抵賴性,與人、網(wǎng)絡(luò)、環(huán)境有關(guān)的技術(shù)和管理規(guī)程的有機(jī)集合?！痹摱x主要從信息系統(tǒng)的過程和控制的角度出發(fā),信息安全就是信息在存取、處理、集散和傳輸中保持其機(jī)密性、完整性、可用性、可審計性和不可抵賴性的系統(tǒng)辨識、控制、策略和過程。既強(qiáng)調(diào)了信息的機(jī)密性、完整性、可用性、可審計性和不可抵賴性等安全屬性,又強(qiáng)調(diào)了信息的系統(tǒng)性和過程性。對于該定義可以這樣理解,見圖1所示。我國的信息安全專家沈昌祥將信息安全定義為:保護(hù)信息和信息系統(tǒng)不被未經(jīng)授權(quán)的訪問、使用、泄露、修改和破壞,為信息和信息系統(tǒng)提供保密性、完整性、可用性、可控性和不可否認(rèn)性。歐盟在“InformationTechnologySecurityEvaluationCriteria”(Version1.2,OfficerforOfficialPublicationoftheEuropeanCommunities,June,1991)中將信息安全定義為:“在既定的密級條件下,網(wǎng)絡(luò)與信息系統(tǒng)抵御意外事件或惡意行為的能力。這些事件和行為將危機(jī)所存儲或傳輸?shù)臄?shù)據(jù)以及經(jīng)由這些網(wǎng)絡(luò)和系統(tǒng)所提供的服務(wù)的可用性、真實性、完整性和機(jī)密性。”可見安全界對信息安全的概念并未達(dá)成一致,對于信息安全的理解也隨著信息技術(shù)及其應(yīng)用的擴(kuò)展而加深。美國軍方自20世紀(jì)90年代末將“信息安全”的概念發(fā)展為“信息保障”(InformationAssurance),突出了信息安全保障系統(tǒng)的多種安全能力及其對機(jī)構(gòu)業(yè)務(wù)職能的支撐作用;美國政府也在更為廣闊的“cyber安全”的概念下討論信息安全問題,表明其看待信息安全問題的視角已經(jīng)不再局限于單個維度,而是將信息安全問題抽象為一個由信息系統(tǒng)、信息內(nèi)容、信息系統(tǒng)的所有者和運(yùn)營者、信息安全規(guī)則等多個因素構(gòu)成的一個多維問題空間。這些變化均反映了人們對信息安全的意義內(nèi)容、實現(xiàn)方法等一直在不斷地思索和實踐。從以上信息安全的概念分析可以得出,信息安全的概念與信息的本質(zhì)屬性有著必然的聯(lián)系,它是信息本質(zhì)屬性所體現(xiàn)的安全意義。人們在不斷實踐和探索過程中,總結(jié)了信息的三大安全屬性:機(jī)密性(Confidentiality)、完整性(Integrality)和可用性(Availability)。機(jī)密性表示對信息資源開放范圍的控制,信息不被泄漏給非授權(quán)的用戶、實體或者進(jìn)程。常用的保密技術(shù)有:防偵收、防輻射、信息加密、物理保密、信息隱形等。完整性是指信息未經(jīng)授權(quán)不能進(jìn)行更改的特性。即信息在存儲或傳輸過程中保持不被偶然或者蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性要求信息不會受到各種因素的破壞。影響完整性的主要因素有設(shè)備故障、誤碼、人為篡改和計算機(jī)病毒等?？捎眯允切畔⑾到y(tǒng)可被授權(quán)實體訪問并能夠按需求提供信息服務(wù)的特性。授權(quán)用戶或?qū)嶓w需要信息服務(wù)時,信息服務(wù)應(yīng)該可以使用;當(dāng)信息系統(tǒng)部分受損或需要降級使用時,仍能為授權(quán)用戶或?qū)嶓w提供有效服務(wù)?？捎眯砸话阌孟到y(tǒng)正常使用的時間和整個工作時間之比來度量。以上三個信息安全屬性在世界范圍內(nèi)得到了共識,各國專家對此均無異議。但是對于信息安全的其他屬性,信息安全界則沒有統(tǒng)一的意見。在我國強(qiáng)調(diào)較多的還有信息的可控性(Controllability)和不可否認(rèn)性(Non-repudiation)?？煽匦允侵改軌蚩刂剖褂眯畔①Y源的人或主體的使用方式。對于信息系統(tǒng)中的敏感信息資源,如果任何主體都能訪問、篡改、竊取以及惡意散播的話,安全系統(tǒng)顯然會失去了效用。對訪問信息資源的人或主體的使用方式進(jìn)行有效控制,是信息安全的必然要求。從國家層面看,信息安全的可控性不但涉及信息的可控性,還與安全產(chǎn)品、安全市場、安全廠商、安全研發(fā)人員的可控性緊密相關(guān)。不可否認(rèn)性也稱抗抵賴性、不可抵賴性。它是傳統(tǒng)的不可否認(rèn)需求在信息社會的延伸。人類社會的各種商務(wù)和政務(wù)行為是建立在信任的基礎(chǔ)上的。傳統(tǒng)的公章、印戳、簽名等手段便是實現(xiàn)不可否認(rèn)性的主要機(jī)制。信息的不可否認(rèn)性與此相同,也是防止實體否認(rèn)其已經(jīng)發(fā)生的行為。信息的不可否認(rèn)性分為原發(fā)不可否認(rèn)(也稱原發(fā)抗抵賴)和接收不可否認(rèn)(接收抗抵賴)。前者用于防止發(fā)送者否認(rèn)自己已發(fā)送的數(shù)據(jù)和數(shù)據(jù)內(nèi)容;后者防止接收者否認(rèn)已接收過的數(shù)據(jù)和數(shù)據(jù)內(nèi)容。實現(xiàn)不可否認(rèn)性的技術(shù)手段一般有數(shù)字證書和數(shù)字簽名。在國外,除強(qiáng)調(diào)信息的保密性、完整性和可用性之外,還常常提到“可追究性”(Accountability),也有譯作“可核查性”,指確保某個實體的行為能唯一地追溯到該實體。進(jìn)一步講,可追究性分為“鑒別”與“不可否認(rèn)性”,前者要求“鑒別用戶和發(fā)送者的身份”,后者要求“用戶和發(fā)送者不能否認(rèn)自己的行為”。顯然,可追究性與國內(nèi)提倡的不可否認(rèn)性是一致的,也部分地體現(xiàn)了信息的可控性。2信息技術(shù)的發(fā)展與應(yīng)用信息安全的上述屬性并不是從一開始就提出的,而是在人們認(rèn)識和實踐中逐步完善的,并且與信息技術(shù)的發(fā)展相伴,受到不同歷史階段應(yīng)用需求的驅(qū)動。2.1數(shù)據(jù)安全階段。在網(wǎng)絡(luò)通信通信保密階段開始于20世紀(jì)40年代,其時代標(biāo)志是1949年香農(nóng)發(fā)表的《保密系統(tǒng)的信息理論》,該理論首次將密碼學(xué)的研究納入了科學(xué)的軌道。在這個階段所面臨的主要安全威脅是搭線竊聽和密碼分析,其主要保護(hù)措施是數(shù)據(jù)加密。該階段人們關(guān)心的只是通信安全,而且關(guān)心的對象主要是軍方和政府機(jī)構(gòu)。需要解決的問題是在遠(yuǎn)程通信中拒絕非授權(quán)用戶的訪問以及確保通信的真實性,主要方式包括:加密、傳輸保密、發(fā)射保密以及通信設(shè)備的物理安全。當(dāng)時涉及的安全屬性有機(jī)密性,保證信息不泄漏給未經(jīng)授權(quán)的人或者主體;可靠性,保證信道、消息源、發(fā)信人的真實性以及核對信息接收者的合法性。在這一階段,雖然計算機(jī)系統(tǒng)的脆弱性已被一些機(jī)構(gòu)所認(rèn)識,但由于當(dāng)時計算機(jī)速度和性能比較落后,使用范圍有限,因此通信保密階段重點是通過密碼技術(shù)解決通信保密問題的,保證數(shù)據(jù)的機(jī)密性和完整性。2.2世紀(jì)90年代,有關(guān)研究中的用戶安全管理領(lǐng)域,主要有進(jìn)入到20世紀(jì)70年代,通信保密階段轉(zhuǎn)變到計算機(jī)安全階段。這一時代的標(biāo)志是1977年美國國家標(biāo)準(zhǔn)局公布的《國家數(shù)據(jù)加密標(biāo)準(zhǔn)》(DES)和1985年美國國防部公布的《可信計算機(jī)系統(tǒng)評估準(zhǔn)則》(TCSEC)。這些標(biāo)準(zhǔn)的提出意味著信息安全問題的研究和應(yīng)用跨入了一個新的高度。此階段主要在密碼算法及其應(yīng)用和信息系統(tǒng)安全模型及評價兩個方面取得了很大的進(jìn)展。主要開發(fā)的密碼算法有1977年美國國家標(biāo)準(zhǔn)局采納的分組加密算法DES(數(shù)據(jù)加密標(biāo)準(zhǔn));雙密鑰的公開密鑰體制RSA,該體制由Rivest,Shamir,Adleman根據(jù)1976年Diffie,Hellman在“密碼學(xué)新方向”開創(chuàng)性論文中提出的思想創(chuàng)造;1985年N.Koblitz和V.Miller提出了橢圓曲線離散對數(shù)密碼體制(ECC),該體制的優(yōu)點是可以利用更小規(guī)模的軟件、硬件實現(xiàn)有限域上同類體制的相同的安全性;另外在這個階段還創(chuàng)造了一批用于數(shù)據(jù)完整性和數(shù)字簽名的雜湊算法。如數(shù)字指紋、消息摘要(MD)、安全雜湊算法(SHA——用于數(shù)字簽名的標(biāo)準(zhǔn)算法)等,其中也有一些算法是20世紀(jì)90年代提出的。為了驗證與評價計算機(jī)系統(tǒng)的安全性,在這個階段研究出一批信息系統(tǒng)安全模型和安全性評價準(zhǔn)則。主要有以下幾種:(1)訪問監(jiān)視器模型,這是一種最基本的訪問控制模型;(2)多級安全模型,包括軍用安全模型、基于信息保密的Bell-LaPadula信息流模型和基于信息完整性的Biba信息流模型;(3)用于理論研究的抽象安全模型,如Graham-Denning(GD)模型、對GD模型的修正模型——HRU模型和Take-Grant保護(hù)系統(tǒng)(TGS)等。1985年美國國防部推出了可信計算機(jī)系統(tǒng)評價準(zhǔn)則TCSEC,該標(biāo)準(zhǔn)是信息安全領(lǐng)域中的重要創(chuàng)舉,為后來英、法、德、荷四國聯(lián)合提出的包含保密性、完整性和可用性概念的“信息技術(shù)安全評價準(zhǔn)則”(ITSEC)及“信息技術(shù)安全評價通用準(zhǔn)則”(CCforITSEC)的制定打下了基礎(chǔ)。2.3現(xiàn)代信息的保護(hù)20世紀(jì)90年代以來,通信和計算機(jī)技術(shù)相互依存,數(shù)字化技術(shù)促進(jìn)了計算機(jī)網(wǎng)絡(luò)的發(fā)展成為全天候、通全球、個人化、智能化的信息高速公路,Internet成為一項家用技術(shù)平臺,安全的需求不斷地向社會各個階段擴(kuò)展,人們關(guān)注的對象已經(jīng)逐步從計算機(jī)轉(zhuǎn)向更具本質(zhì)性的信息本身,信息安全的概念隨之產(chǎn)生。由于網(wǎng)絡(luò)的發(fā)展,特別是電子商務(wù)的發(fā)展,使得人們除了要求在信息的存儲、處理和傳輸過程中不被非法訪問或者更改,確保對合法用戶的服務(wù)并限制非授權(quán)用戶的服務(wù)外,還包括必要的檢測、記錄和抵御攻擊的措施。于是除了信息的機(jī)密性、完整性和可用性之外,人們對信息的安全性有了新的要求:可控性,不可否認(rèn)性已經(jīng)可審核性。在這一時期,公鑰技術(shù)得到了長足的發(fā)展,著名的RSA公開密鑰密碼算法獲得了日益廣泛的應(yīng)用,用于完整性校驗的Hash函數(shù)的研究應(yīng)用也越來越多。美國國家技術(shù)和標(biāo)準(zhǔn)研究所推行了高級加密標(biāo)準(zhǔn)(AES)項目,經(jīng)過廣泛和嚴(yán)謹(jǐn)?shù)脑u審后Rijndael算法成了高級加密標(biāo)準(zhǔn)。2.4信息安全的內(nèi)涵由于對信息系統(tǒng)攻擊日趨頻繁和電子商務(wù)的發(fā)展,安全的概念發(fā)生了以下的變化:(1)信息的安全不再局限于信息的保護(hù)。人們需要對整個信息和信息系統(tǒng)的保護(hù)和防御,包括保護(hù)、檢測、反應(yīng)和恢復(fù)能力。(2)信息的安全與應(yīng)用更加緊密。其相對性、動態(tài)性、系統(tǒng)性等特征引起人們的注意,追求適度風(fēng)險的信息安全成為共識。安全不再是單純以功能或者機(jī)制技術(shù)的強(qiáng)度作為評價指標(biāo),而是結(jié)合了不同主體的應(yīng)用環(huán)境和應(yīng)用目標(biāo)的需要,進(jìn)行合理的計劃、組織和實施。于是美國國防部提出了信息保障的概念:“保護(hù)和防御信息及信息系統(tǒng),確保其可用性、完整性、保密性、可鑒別性和不可否認(rèn)等特性。這些特性包括在信息系統(tǒng)的保護(hù)、檢測、反應(yīng)功能中,并提供信息系統(tǒng)的恢復(fù)功能”。信息保障除了強(qiáng)調(diào)了信息安全的保障能力外,還提出了要重視系統(tǒng)的入侵檢測能力、系統(tǒng)的事件反應(yīng)能力,以及系統(tǒng)在遭到入侵破壞后的快速恢復(fù)能力。它關(guān)注信息系統(tǒng)的整個生命周期的防御和恢復(fù)。這樣一個后保護(hù)、檢測、反應(yīng)、恢復(fù)等內(nèi)容構(gòu)成的PDRR信息保障模型如圖2所示。3信息安全的發(fā)展趨勢從信息安全各階段的發(fā)展可以看出,隨著信息技術(shù)本身的發(fā)展和信息技術(shù)應(yīng)用的發(fā)展,信息安全的外延不斷擴(kuò)大,包含的內(nèi)容從初期的數(shù)據(jù)加密到后來的數(shù)據(jù)恢復(fù)、信息縱深防御。信息安全發(fā)展有以下幾個趨勢:(1)信息安全的外延不斷擴(kuò)大。信息安全從最初的信息加密和保證信息的完整性,發(fā)展到現(xiàn)在信息