信息安全的概念经历了一个发展到完善的过程。在20世纪的大部分时间里,人们认为信息安全就是通信保密。但到了20世纪90年代前后,随着信息技术的发展和互联网的兴起,信息安全的概念逐步扩大到“信息的保密性、完整性和可用性”。此后,从90年代后期开始,信息安全在原有基础上又增加了“信息的可控性、信息行为的不可否认性”等要求。同时,人们也开始认识到信息安全的概念已不再局限于对信息的保护,而是对信息以及信息系统的保护和防御。如今,信息安全已经进入了一个全新的时期,国外有人将这个时期称为“网络化社会的集体安全时期”。在此阶段,信息安全的概念常常被“信息保障”一词所取代。
根据美国国家安全通信以及信息系统安全委员会(National Security Telecommunications and Information Systems Security Committee)的定义,信息安全就是保护信息及其关键要素,包括使用、存储以及传输信息的系统和硬件。它不仅仅指为系统软件设置防火墙,或者使用最新的补丁程序修补最近发现的漏洞,或者将存放备份磁带的档案柜锁起来。信息安全决定需要保护哪些对象,为什么要保护这些对象,需要从哪些方面进行保护,以及如何在生存期内进行保护。
目前,我国法律将信息安全定义为“保障计算机及其相关的、配套的设备和设施(网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,维护计算机信息系统的安全运行”。从这一法律定义来看,信息安全主要指计算机信息系统的安全,具体反映在以下三个层面:
(1)实体安全(又称物理安全)
防止计算机及其网络的硬件设备遭到自然或人为破坏,确保计算机信息系统硬件的稳定运行。
(2)数据安全(即狭义的“信息安全”)
防止信息在收集、处理、存储、检索、传输和交换等过程中被非法泄露、篡改、窃取、仿冒或抵赖,确保信息的保密性、完整性、可用性、可控性和抗抵赖性。
(3)运行安全(又称系统安全)(www.xing528.com)
确保计算机及其网络系统的软件稳定运行。
但是,随着垃圾邮件和各种有害信息的出现,信息安全又被赋予了一个新的含义——内容的安全,即如何防止有害信息利用计算机网络所提供的自由流动的环境肆意扩散。
由上述可看出,信息安全是一个综合的概念,是实体安全、数据安全、运行安全和内容安全等的总和,是一个系统的概念。信息安全符合“木桶理论”。也就是说,必须考虑系统整体的安全性,因为入侵者可以从最不安全的地方入手,一个系统或环节的安全隐患可能影响整个系统的安全。解决信息安全的基本策略是综合治理,信息安全不是单靠某一项措施或技术所能奏效的。
信息安全还是一个动态的、相对的概念。安全无止境!并不存在一劳永逸的信息安全解决方案,这是因为“信息安全”与“安全威胁”是“矛”与“盾”的关系,它们随技术的进步在不断发展。也正是出于这样的原因,美国对其商用数据加密标准DES算法进行定期的安全评估,以分析技术进步对安全带来的负面影响,并最终决定以新的算法Rijndael取代DES成为新的数据加密标准。
信息安全还有鲜明的自主性。主权独立国家,尤其是大国应该把握信息安全的主动权,这是国家安全的有机组成部分。掌握先进技术的国家一方面对信息技术或产品出口设置种种障碍,如美国就限制密钥长度为40位以上的密码产品出口;另一方面一个国家进口的技术或产品可能存在安全隐患,例如存在安全“后门”或陷阱。因此,独立自主地进行信息安全相关技术和课题的研究,掌握核心技术具有重要的战略意义。
总之,信息安全是信息化的基础工作,直接影响国民经济的健康发展。没有信息安全作保障,信息化这个美丽的大厦随时可能倒塌。当然,我们应该用辩证的观点来看待信息安全问题。不能因为可能的安全问题而畏惧甚至抵制信息化,应该在信息化进程中重视安全问题,懂得信息安全是可以通过技术和管理等手段来提高和保证的。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。