簡論信息安全的內(nèi)涵和基本要求 蔡俊杰 隨著信息技術(shù)革命的 深入， 在我國信息化迅猛發(fā)展的同時， 信息安 全問題也日 益突出。 黨和國家非常重視信息安全問題， 開始研究制定信 息安全保障戰(zhàn)略。 要想制定信息安全保障戰(zhàn)略， 就必須明確信息安全的 內(nèi) 涵和基本要求， 但人們的認識還很不一致， 需要進一步深入研究。在 這里， 我簡單談一下對信息安全的內(nèi)涵和基本要求的 認識。 、信息安全的內(nèi)涵。 “安全”一般可以解釋為： 客觀上不存在危脅和侵害， 主觀上不存在 恐懼。 信息安全的內(nèi)涵是與時俱進的， 隨著時代的發(fā)展而發(fā)展。 它從初 期的通信保密發(fā)展到涉及信...

　　簡論信息安全的內(nèi)涵和基本要求 蔡俊杰 隨著信息技術(shù)革命的 深入， 在我國信息化迅猛發(fā)展的同時， 信息安 全問題也日 益突出。 黨和國家非常重視信息安全問題， 開始研究制定信 息安全保障戰(zhàn)略。 要想制定信息安全保障戰(zhàn)略， 就必須明確信息安全的 內(nèi) 涵和基本要求， 但人們的認識還很不一致， 需要進一步深入研究。在 這里， 我簡單談一下對信息安全的內(nèi)涵和基本要求的 認識。 、信息安全的內(nèi)涵。 “安全”一般可以解釋為： 客觀上不存在危脅和侵害， 主觀上不存在 恐懼。 信息安全的內(nèi)涵是與時俱進的， 隨著時代的發(fā)展而發(fā)展。 它從初 期的通信保密發(fā)展到涉及信息、 通信、 計算機、 數(shù)學等諸多學科， 成為綜 合、 交叉學科的概念， 對其內(nèi)涵的概括， 有許多不同的表述。 張新華先生 認為信息安全概念包含廣泛的動態(tài)內(nèi)容， 信息安全實際上就是一個涉 及許多領(lǐng)域的多維現(xiàn)象和概念， 而且相當離散。 也有些專家學者對信息 安全的內(nèi)涵做了高度概括。信息安全研究大師沈偉光教授認為信息安 全是指人類信息空間和資源的安全， 它是保證國家信息化進程健康、 有 序、 可持續(xù)發(fā)展的 基礎(chǔ)。沒有信息安全， 就沒有政治、 軍事和經(jīng)濟安全， 就沒有完整意義上的國家安全。周學廣、 劉藝認為， 信息安全是指一個 國家的 社會信息化狀態(tài)不受外來的威脅與侵害，一個國家的信息技術(shù) 體系不受外來的威脅與侵害。曉宗認為， 信息安全是為保證信息不泄 漏， 不被冒充， 不被修改， 不可否認， 且保證信息系統(tǒng)不被非授權(quán)使用， 其功能不喪失。 李艷認為， 信息安全主要指信息產(chǎn)生、 制作、 傳播、 收集、 處理直到選取等信息傳播與使用全過程中的信息資源安全，目 前對信 息安全最主要的關(guān)注點集中在信息傳輸?shù)陌踩?儲存的安全以及信息 內(nèi)容的安全三個方面。 信息安全的具體內(nèi) 涵會隨著“角度”的變化而變化。 例如， 從用戶f個 人、 企業(yè)、 機關(guān)單位等)的角度來說， 就是涉及個人隱私或商業(yè)利益的信 息在網(wǎng)絡(luò)上傳輸時受到機密性、 完整性和真實性的保護， 避免其他人或 對手利用竊取、 冒充、 篡改、 抵賴等手段侵犯用戶的利益和隱私， 同時也 避免其他用戶的非授權(quán)訪問和破壞。 從網(wǎng)絡(luò)運行和管理者角度說． 就是 對本地網(wǎng)絡(luò)信息的訪問、 讀寫等操作受到保護和控制，避免出現(xiàn) “后 門”、 病毒、 非法存取、 拒絕服務(wù)和網(wǎng)絡(luò)資源非法占 用和非法控制等威 脅， 制止和防御網(wǎng)絡(luò)黑客的攻擊。而對安全保密部門來說， 就是對非法 的、 有害的或涉及國家機密的信息進行過濾和防堵， 避免機要信息泄 露， 避免對社會產(chǎn)生危害， 對國家造成巨大損失。 上述表述都有一定道理， 但也有片面性： 吸取國內(nèi)外多數(shù)專家學者 的觀點， 筆者認為對信息安全的研究， 主要從運行系統(tǒng)安全和信息系統(tǒng) 安全(也有人稱為信息內(nèi)容安全J兩個部分展開。 運行系統(tǒng)安全主 要指網(wǎng) 絡(luò)系統(tǒng)的設(shè)備、 操作系統(tǒng)、 應(yīng)用系統(tǒng)的安全， 研究的目的是探求網(wǎng)絡(luò)運 行系統(tǒng)的抗攻擊性、 保密性、 完整性、 可用性和可控制性。 信息系統(tǒng)的安 全主要指組成信息系統(tǒng)的硬件、 軟件、 數(shù)據(jù)資源等受到妥善保護， 系統(tǒng) 中的信息資源不因自 然或人為因素遭到破壞、 更改、 泄露或非法占 用， 各種信息的 存儲、 傳輸都安全。 據(jù)此， 所謂信息安全就是采取技術(shù)、 管理 等綜合配套的安全保護措施， 保護信息網(wǎng)絡(luò)系統(tǒng)能夠連續(xù)正常運行， 保 護各種信息資源不因自 然或人為的因素而遭到破環(huán)、 更改、 泄露或非法 占 用。 信息安全涵蓋的領(lǐng)域非常廣泛， 基本上可劃分為lO大領(lǐng)域。一是 物理安全， 包括環(huán)境、 廠房、 硬件、 數(shù)據(jù)、 媒介、 人員所面臨的自然威脅和 入侵者造成的 威脅及其對策。 二是商務(wù)連續(xù)和災(zāi)害重建計劃， 包括公司 或機構(gòu)面對潛在的安全風險時事先應(yīng)作的評估、 計算和應(yīng)對風險的預 案， 以及一旦災(zāi)害發(fā)生后應(yīng)如何盡快恢復正常生產(chǎn)。 商務(wù)連續(xù)計劃是一 一個長期的、 在正常商務(wù)條件下的計劃， 而災(zāi)害 重建計劃是一個短期的(從災(zāi)害發(fā)生日 起到最 后一道工序恢復正常止)、 在非常時期的應(yīng)急 計劃。 這兩個計劃雖出現(xiàn)在同一個領(lǐng)域里， 但 它們既有聯(lián)系又有著本質(zhì)的區(qū)別。 三是安全結(jié) 構(gòu)和模式， 包括計算機和網(wǎng)絡(luò)的原理、 結(jié)構(gòu)、 安 全模式及其判則。四是應(yīng)用和系統(tǒng)開發(fā)， 主要 包括在數(shù)據(jù)庫、 數(shù)據(jù)倉儲、 數(shù)據(jù)挖掘、 分布式環(huán) 境、 操作系統(tǒng)中的安全組件和軟件開發(fā)周期和 控制。 五是通信和網(wǎng)絡(luò)安全， 包括企業(yè)內(nèi)部網(wǎng) 及因特網(wǎng)上公開和隱秘的 通信、 網(wǎng)絡(luò)結(jié)構(gòu)、 器件、 網(wǎng)絡(luò)協(xié)議、 遠距訪問和管理。 六是訪問控制領(lǐng)域， 包括合法用戶的身 份識別， 允許獲取什么樣的網(wǎng)絡(luò)資源， 能執(zhí)行什么樣 的操作， 以及辨識、 鑒別、 授權(quán)、 監(jiān)視和審計活動。 七是密碼學領(lǐng)域， 包括 信息安全傳輸時加工解密的方法、 實施與標準。 八是安全管理實踐， 主 要包括如何正確保護公司或機構(gòu)內(nèi)的資產(chǎn)， 如何制定正確、 有效的安全 政策、 標準、 指導大綱和步驟。 九是操作安全， 主要是盡管制定了許多政 策、 規(guī)章制度， 應(yīng)用了許多先進技術(shù)， 但是在實際操作、 運行中， 總會發(fā) 生許多偏差。 或是人員不遵章守紀， 或是設(shè)備偏離預設(shè)參數(shù)。 因此， 有必 要對人、 硬件、 系統(tǒng)的實際運行進行控制， 強制遵守標準。 這個領(lǐng)域的知 識是對上一個領(lǐng)域f安全管理實踐)在具體操作時的落實。十是法律、 偵 察和道德規(guī)范主要包括計算機犯罪和適用的法律、 條例， 以及計算機犯 罪的調(diào)查、 取證、 庭訊 、 犯罪證據(jù)保管。 二、 信息安全的基本要求。 要搞好信息安全， 就必須在掌握信息安全的內(nèi) 涵和 基本領(lǐng)域的基 礎(chǔ)上， 研究并把握信息安全的基本要求， 根據(jù)國際標準化組織(ISO)的規(guī) 范和美國、 日 本、 德國、 印度等國政府有關(guān)國家信息安全問題的最新文 件概括， 信息安全的基本要求是完整性、 可用性、 保密性、 可控性、 可靠 性f也叫“不可否認性”)。 (一)完整性。完整性是指信息在存儲或傳輸過程中 保持不被修改、 不被破壞和不丟失的特性。 保證信息的完整性是信息安全的基本要求， 而破壞信息的完整性則是對信息安全發(fā)動攻擊的目 的之一。 因此， 應(yīng)該 防范對信息的隨意生成、 修改和刪除； 同時要防止數(shù)據(jù)傳送過程中信息 的丟失和重復， 并保證信息傳送次序的統(tǒng)一?？刹捎眉用?、 數(shù)字簽名和 散列函數(shù)fhash function)來保護數(shù)據(jù)的完整性。最常用的為散列函數(shù)， 散 列函 數(shù)也譯為雜湊函數(shù)、 哈希函數(shù)， 通常表示為函數(shù)h： H(M )， 其輸入M 為任意長度的信息， 輸出h為長度固定的信息摘要。 (二)可用 性。 可用性是指信息可被合法用戶訪問并按要求的特性使 用， 即 指當 需要時能夠存取所 需信息。 對可用性的攻擊則是阻斷信息的 可用性。例如， 在網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、 破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運 行就屬于這種類型的攻擊。 可用性中的按要求的特性使用可通過鑒別 技術(shù)來實現(xiàn)， 即每個實體都的確是其所宣稱的那個實體。 但要保證系統(tǒng) 和網(wǎng)絡(luò)中能提供正常的服務(wù)， 除了備份和冗余配置外， 目前沒有特別有 效的方法。 (三)保密性。 保密性是指信息不泄漏給非授權(quán)的個人和實體， 或供 其利用的特性。 這是信息安全最重要的要求。例如， 在網(wǎng)上進行電子商 務(wù)的詢價、 成交、 簽約， 涉及許多商 業(yè)的秘密和公眾隱私。 如果信用卡里 的賬號和用戶名被人知悉， 就可能被盜用； 如果訂貨和付款的信息被競 爭對手獲悉， 就可能喪失商機。 因此， 要保證電子商務(wù)的安全， 就必須預 防非法的信息存取和信息在傳輸過程中泄密而被非法竊取。由于系統(tǒng) 無法確認是否有未授權(quán)的用戶竊取網(wǎng)絡(luò)上的數(shù)據(jù)， 這就需要使用一種 手段來對數(shù)據(jù)進行保密處理。 通常采用數(shù)據(jù)加密技術(shù)來實現(xiàn)這一目 標． 加密后的數(shù)據(jù)能夠保證在傳輸、 使用和轉(zhuǎn)換過程中不被第三方非法獲 取。 數(shù)據(jù)經(jīng)過加密變換后， 明文轉(zhuǎn)換成密文， 只有經(jīng)過授權(quán)的合法用戶， 使用被授予的正確密鑰， 通過解密算法才能將密文還原成明文。反之， 未經(jīng)授權(quán)的用戶因不掌握解密算法或解秘密鑰， 無法獲取原文的信息， 從而限制了其對加密數(shù)據(jù)的訪問， 維護了數(shù)據(jù)的保密性。 當然加密算法 必須有足夠的復雜度， 以排除從密文中 破譯出信息的可能性。 除了 使用 各種加密技術(shù)外， 數(shù)據(jù)的存儲保密性也可通過訪問控制的方法來實現(xiàn)。 《 理論學習)2oo5 年第 6期 維普資訊

　　九游體育 九游體育官網(wǎng)入口

　　九游體育 九游體育官網(wǎng)入口