信息系统安全等级化保护原理与实践
上QQ阅读APP看书,第一时间看更新

1.2 网络与信息安全的内涵、特性和历史

在信息时代,网络与信息安全可理解为保障信息的机密性、完整性、可用性、真实性、可控性,以及防御和对抗在信息域影响国家政治、经济、文化等安全的威胁时,而采取有效策略的过程。网络与信息安全不仅关系信息自身的安全,更是对于国家安全来说具有重大战略价值[5]。网络与信息安全的3个基本方面包括机密性、完整性和可用性。机密性是指保证信息为授权者享用而不泄漏给未经授权者;完整性包含数据完整性和系统完整性,分别指数据未被授权篡改或者损坏和系统未被非授权操纵且按既定的功能运行。

网络与信息安全在技术发展和应用的过程中,必然表现出4个特性。① 必然性:归根结底,安全威胁的3个主要方面是信息系统的复杂性、信息系统的开放性以及人的因素。② 相对性:资源毕竟是有限的,不可能无限制地用到安全上。③ 配角特性:安全的应用是先导,说到底安全的从属地位不可更改,即使勉强做到也会喧宾夺主。④ 动态性:安全是变化和发展的,安全本身是一个过程。

网络与信息安全是随着信息技术的发展而发展,总体来说大致经历了4个时期。

第一个时期是通信安全时期,其主要标志是1949年香农发表的《保密通信的信息理论》。这个时期通信技术还不发达,电脑只是零散地位于不同的地点,信息系统的安全仅限于保证电脑的物理安全以及通过密码解决通信安全的保密问题,密码技术获得发展,欧美国家有了网络与信息安全产业的萌芽。

第二个时期为计算机安全时期,以20世纪70~80年代《可信计算机评估准则》(TCSEC)为标志。半导体和集成电路技术的飞速发展推动了计算机软/硬件的发展,计算机和网络技术的应用进人了实用化和规模化阶段。人们对安全的关注已经逐渐扩展为以保密性、完整性和可用性为目标,中国网络与信息安全开始起步,关注物理安全、计算机病毒防护等。

第三个时期是在20世纪90年代兴起的网络时代。由于互联网技术的飞速发展,信息无论是企业内部还是外部都得到了极大的开放,而网络与信息安全的焦点已经从传统的保密性、完整性和可用性3个原则衍生为诸如可控性、抗抵赖性、真实性等其他原则和目标。中国安全企业研发的防火墙、入侵检测、安全评估、安全审计、身份认证与管理等产品与服务百花齐放,百家争鸣。

第四个时期是进入21世纪的网络与信息安全保障时代,其主要标志是《信息保障技术框架》(IATF)。面向业务的安全防护已经从被动走向主动,安全保障理念从风险承受模式走向安全保障模式。不断出现的安全体系与标准、安全产品与技术带动网络与信息安全行业形成规模,入侵防御、下一代防火墙、APT攻击检测、MSS/Saa S服务等新技术、新产品、新模式走上舞台。

总体来说,中国网络与信息安全市场与成熟的欧美市场相比,从安全体系与标准,到安全产品与技术,还有一定差距,当前国家重视、资本追逐为中国安全企业提供一个很好的追赶国际领先企业的机会[6]