1.3 信息安全概念的演变

什么是信息安全？怎样理解信息安全？这是信息安全理论研究和实践工作中的基本问题。自有人类以来，信息交流便成为一种最基本的人类社会行为，是人类其他社会活动的基础，自然会出现对信息交流的各种质量属性的期望。例如，在面对面的交流中，我们就可能关心，对方的话是不是真的，对方的话我是否听清楚了，我们之间的谈话是否被人听到了。因此，对信息安全的需求一直是普遍存在的，在军事斗争中更上升为决定战争成败的重要因素，其根本目的是确保军事指令不被敌人知悉，同时确保没有被改动过，即确保信息的保密性和完整性。现代信息技术革命以来，政治、经济、军事和社会生活中对信息安全的需求日益增加，信息安全作为有着特定内涵的信息科学门类逐渐得到重视，其概念不断演变。

1.3.1 通信保密

在几千年的时间里，军事领域对信息安全的需求使古典密码学得到诞生和发展。到了现代，信息安全首先进入了通信保密（COMSEC）阶段。通信保密阶段的开始时间约为20世纪40年代，其时代标志是1949年Shannon发表的《保密系统的信息理论》，该理论将密码学的研究纳入了科学的轨道。在这个阶段所面临的主要安全威胁是搭线窃听和密码学分析，其主要的防护措施是数据加密。

在该阶段人们关心的只是通信安全，而且主要关心对象是军方和政府。需要解决的问题是在远程通信中拒绝非授权用户的信息访问以及确保通信的真实性，包括加密、传输保密、发射保密以及通信设备的物理安全，通信保密阶段的技术重点是通过密码技术解决通信保密问题，保证数据的保密性和完整性。当时涉及的安全性有：保密性，保证信息不泄露给未授权的人或设备；可靠性，确保信道、消息源、发信人的真实性以及核对信息接收者的合法性。图1-1展示了通信保密时代关心的主要安全威胁。

1.3.2 计算机安全和信息系统安全

进入20世纪70年代，通信保密阶段转变到计算机安全（COMPUSEC）阶段，这一时代的标志是1977年美国国家标准局（NBS）公布的《数据加密标准》（DES）和1985年美国国防部（DoD）公布的《可信计算机系统评估准则》（TCSEC），这些标准的提出意味着解决信息系统保密性问题的研究和应用迈上了历史的新台阶。

进入20世纪80年代，计算机的性能得到了成百上千倍的提高，应用的范围也在不断扩大，计算机已遍及世界各个角落。而且人们正努力利用通信网络把孤立的单机系统连接起来，相互通信和共享资源。但是，随之而来并日益严峻的问题是计算机中信息的安全问题。由于计算机中信息有共享和易于扩散等特性，它在处理、存储、传输和使用上有着严重的脆弱性，很容易被干扰、滥用、遗漏和丢失，甚至被泄露、窃取、篡改、伪造和破坏。因此，人们开始关注计算机系统中的硬件、软件及在处理、存储、传输信息中的保密性。主要手段是通过访问控制，防止对计算机中信息的非授权访问，从而保护信息的保密性。但是，随着计算机病毒、计算机软件Bug等问题的不断显现，保密性已经不足以满足人们对计算机安全的需求，完整性和可用性等新的计算机安全需求于是开始走上舞台。图1-2列举了计算机安全时代关心的若干安全威胁。

进入20世纪90年代，信息系统安全（INFOSEC）开始成为信息安全的核心内容。此时，通信和计算机技术已经相互依存，计算机网络发展成为全天候、通全球、个人化、智能化的信息高速公路，互联网成了寻常百姓可及的家用技术平台，安全的需求不断地向社会的各个领域扩展，人们的关注对象从计算机转向更具本质性的信息本身，继而关注信息系统的安全。人们需要保护信息在存储、处理或传输过程中不被非法访问或更改，确保对合法用户的服务（即防止出现拒绝服务）并限制非授权用户的服务，确保信息系统的业务功能能够正常运行。在这一阶段，除了保密性、完整性和可用性之外，人们还关注不可否认性需求，即信息的发送者和接收者事后都不能否认发送和接收的行为。

1.3.3 信息保障

20世纪90年代末，对于信息系统的攻击日趋频繁，安全不再满足于简单的防护，人们期望的是对整个信息和信息系统的保护和防御，包括对信息的保护、检测、反应和恢复能力。同时，安全与应用的结合更加紧密，其相对性、动态性等特性日趋引起注意，追求适度风险的信息安全成为共识，安全不再单纯以功能或机制的强度作为评判指标，而是结合了应用环境和应用需求，强调安全是一种信心的度量，使信息系统的使用者确信其预期的安全目标已获满足。

为此，美国军方率先提出了信息保障（IA）的概念：“保护和防御信息及信息系统，确保其可用性、完整性、保密性、鉴别、不可否认性等特性。这包括在信息系统中融入保护、检测、反应功能，并提供信息系统的恢复功能。”

信息保障除强调了信息安全的保护能力外，还提出要重视提高系统的入侵检测能力、系统的事件反应能力以及系统在遭到入侵引起破坏后的快速恢复能力。它关注的是信息系统整个生命周期的防御和恢复。这样一个由保护、检测、反应、恢复等内容构成的框架如图1-3所示。

近年来，美军围绕信息保障发布了多项法令和技术指南。《信息保障技术框架》（IATF）确立了“纵深防御”的技术思路，并指出其适用于任何组织的任何信息系统或网络。8500.1号和8500.2号国防部令则分别确立了美军信息保障的政策框架和技术实施要求。

“信息保障”是信息技术发展到今天，美军为确保复杂战场环境中信息和信息系统的安全而提出的概念，代表了美军对信息安全发展阶段的最新认识。这个概念同时也适用于民用信息系统。就目前来说，虽然美国的军民信息安全合作很多，但“信息保障”仍具有很强的军事色彩。

此外，近年来许多国家和组织也为信息安全做了不同定义，这些定义的侧重点虽然各有不同，但就技术性而言，多将信息安全归结为信息和信息系统的保密性、完整性和可用性需求。例如，美国在2002年《联邦信息安全管理法案》（FISMA）中提出：“术语‘信息安全’指保护信息和信息系统，防止未经授权的访问、使用、泄露、中断、修改或破坏，以提供：（A）完整性，防止对信息进行不适当的修改或破坏，包括确保信息的不可否认性和真实性；（B）保密性，信息的访问和披露要经过授权，包括保护个人隐私和专有信息的手段；以及（C）可用性，确保可以及时可靠地访问和使用信息。”

1.3.4 新的信息安全观

信息安全的极端重要性正在引起各国的高度关注，发达国家普遍视信息安全为国家安全的基石，将其上升到国家安全的高度去认识和对待。在这样一个战略高度上，信息安全概念有了更广阔的外延，仅仅从保密性、完整性和可用性等技术角度去理解信息安全已经远远不够了，在世界范围内，新的信息安全观正在逐渐形成。

与传统的信息安全概念不同，新的信息安全观体现在看待信息安全问题的角度已从关注简单的技术后果扩展为关注信息安全对国家政治、经济、文化、军事等全方位的影响。之所以强调与传统信息安全概念的不同，是因为这种影响有时并非源于网络与信息系统自身发生的安全问题，而在于信息技术的应用方式和信息内容的传播对国家和社会的运行乃至大众的心理活动及其行为所产生的潜移默化的重塑作用。就其作用途径而言，既包括传统的网络与信息系统，也包括信息内容本身。

这里以信息安全与文化安全的关系为例进一步阐释这一问题。国家文化安全是一个与文化扩张和文化霸权相对应的概念，涉及意识形态和民族文化两个方面。意识形态与国家政权结合在一起，靠国家政权来维护与传播，意识形态的危机必然导致政权危机。而民族文化及其认同则是国家认同的基础以及维系民族和国家的重要纽带，也是国民凝聚力之所在。如果民族文化受到挑战或者质疑，则民族认同的范畴就会出现危机，随之而来的民族凝聚力的涣散不仅是一个民族衰微败落的征兆，更孕育着国家危机。互联网本身是文化的载体和传播渠道，其快速发展使西方文化入侵获得了前所未有的机会。例如，进口的信息技术产品，特别是娱乐、休闲产品已经成为西方文化入侵的排头兵，不断向年青一代灌输着西方的意识形态、生活方式和价值理念。当前，互联网上的信息资源主要集中于英语环境，非英语环境的信息内容远远无法与之抗衡。事实上，信息资源之间的差距会形成国家和民族竞争力上的差距。当许多国家正在考虑如何抵制美式文化入侵的时候，以英语环境为基础的互联网社会又使得如何保护和发扬本民族文化的问题显得更加紧迫。西方很多国家对信息时代的文化入侵极为警惕。例如，欧洲大陆一向将美国好莱坞电影视为一种对自身的文化入侵，并敬而远之。2005年以来，谷歌（Google）的数字图书馆计划又引起了欧洲人的忧虑。根据谷歌在2004年12月首次公布的数字图书馆计划，将扫描牛津、哈佛、斯坦福和密歇根四所大学以及纽约公共图书馆的数百万本图书，并把它们放到网上。欧洲人视此为变相的美国文化入侵，担心欧洲大陆对人类历史的贡献会被谷歌抹杀，以美国为中心的英美文化将会垄断整个世界。

显然，上述问题是随着信息化发展而逐渐产生的，其不同于传统的信息保密性、完整性、可用性等技术概念，且后果也超越了对信息和信息系统的影响，而这些问题的解决，也需要综合考虑到政治、经济、文化等因素。

因此，在新的信息化发展形势下，可以这样理解信息安全的概念：信息安全是要保障信息化健康发展，防止信息化发展过程中出现的各种消极和不利因素，这些消极和不利因素不仅仅表现为信息被非授权窃取、修改、删除以及信息系统被非授权中断（其核心仍是信息的保密性、完整性和可用性），还更深刻地表现为对国家安全、公众利益和个人权益的影响。这种影响可能来源于计算机、网络或系统的技术原因，也可能来源于信息内容本身。

进入21世纪后，信息技术以及信息安全的相关问题日益成为国与国的政治和经济交往中的重要议题，成为很多国家决策外交事务时的关键考虑因素。联合国意识到了为推进全球信息社会建设而就信息安全概念达成国际共识的必要性，1998年以来的每届联合国大会上均专门商讨信息安全的概念及信息安全的主要威胁。1999年，俄罗斯向联合国提交了《从国际安全的角度来看信息和电信领域的发展》的报告，旗帜鲜明地将信息安全定义为保护个人、社会和国家在信息领域的根本利益，尤其将无节制地跨界散布信息、操纵信息流动、破坏社会心理和精神环境等列为主要的信息安全威胁之一。显然，这一概念从根本上挑战了西方一些国家利用信息优势影响他国意识形态，从而达到其政治目的的正当性，因此一度受到西方国家的强烈抵制。但近年来，越来越多的国家普遍认识到，对信息的传播进行有效管理是维护国家利益的重要前提。2006年10月20日，俄罗斯联合中国等国继续向联合国提交了《从国际安全的角度来看信息和电信领域的发展》的决议草案，该草案最终以169票对1票获得通过，唯一投反对票的国家是美国。这标志着国际社会对当前信息安全的基本概念初步达成共识，联合国也同时呼吁各国继续就信息安全的有关概念和对信息安全的一般看法向秘书长通告意见。