信息安全体系的发展与展望

信息安全体系的发展与展望

信息技术是一把双刃剑。另一方面，它极大地便利了人类的生产和生活。网络技术的发展使这个世界成为一个村庄。另一方面，由于信息技术的脆弱性和不完整，信息存储、处理和传输过程中容易干扰、遗漏和丢失，甚至导致泄漏、盗窃、逃跑和伪装。因此，信息安全已成为人们关注的焦点。信息安全虽然是由于信息技术问题引起的,但信息安全问题的解决不能够单纯地从技术问题入手,还得从系统的、管理的角度切入。由哥德尔不完全定理可知,一个形式化系统的一致性和完备性是不能兼得的。一个完美的解决安全问题的技术方案在现实中是不存在的,而且用信息技术解决信息技术的脆弱性和不完善性有可能带来另外的脆弱性和不完善性。因此,信息安全中的技术问题仅仅是一个关键问题,不能解决全部问题。据美国FBI统计,美国每年因信息安全问题所造成的经济损失高达100亿美元,而且还有日益增加的趋势。在所有的信息安全事件中,约有52%是人为因素造成的;25%由火灾、水灾等自然灾害引起;技术错误占10%;企业内部人员作案占10%;仅有3%左右是由外部不法分子攻击造成的。信息安全界有句名言:三分技术,七分管理,安全和管理是分不开的。即使有再好的安全设备和系统,而没有一套良好的安全管理制度、管理方法并贯彻实施,信息安全问题就是空谈。许多出现信息安全事故的单位,要么是有安全管理制度但没有执行,要么就是根本没有安全管理制度。本文在总结多种信息安全发展的各个阶段的基础上,指出了信息安全体系发展的趋势,以供人们正确地了解和把握信息安全体系以满足当前和未来的信息安全需求。1信息安全的概念“安全”在高级汉语大词典中的意思是“不受威胁,没有危险、危害、损失”。因此根据信息安全字面的意思就是使得信息不受威胁、损失。但至今没有对“信息安全”一词达成共识,一方面由于信息系统的复杂性和信息技术的快速发展而引起信息安全的内涵和外延不断发展;另一方面由于人们对于信息安全本质的认识不断深入,也使得目前没有一个比较成熟的信息安全的定义。国际标准化组织ISO对信息安全提出的建议其定义是:“为数据处理系统建立和采取的技术和管理的安全保护。保护计算机硬件、软件、数据不因偶然的或恶意的原因而受到破坏、更改、泄漏”。国内的一些学者建议的定义为:“计算机系统的硬件、软件、数据受到保护,不因偶然的或者恶意的原因而遭受破坏、更改泄漏以及系统连续正常运行”。可以看出上面定义的基本含义相同。国际标准化组织ISO强调技术和管理,以加强对系统的保护。国内学者的定义强调了系统的正常运行,即系统的可用性。国际标准化组织在此基础上提出了开放系统互联安全体系结构——《信息处理系统、开放系统互联、基本参考模型》(GB/T9387.2-1995,等同ISO7498-2)。该安全体系是在OSI网络参考模型的七层协议之上的信息安全体系结构,它对具体网络环境的信息安全管理体系结构具有重要意义。戴宗坤在其著作《信息系统安全》将信息安全定义为:“确保以电磁信号为主要形式,在计算机网络系统中进行获取、处理、存储、传输和利用的信息内容,在各个物理位置、逻辑区域、存储和传输介质中,处于动态和静态过程中的机密性、完整性、可用性、可审查性和不可抵赖性,与人、网络、环境有关的技术和管理规程的有机集合。”该定义主要从信息系统的过程和控制的角度出发,信息安全就是信息在存取、处理、集散和传输中保持其机密性、完整性、可用性、可审计性和不可抵赖性的系统辨识、控制、策略和过程。既强调了信息的机密性、完整性、可用性、可审计性和不可抵赖性等安全属性,又强调了信息的系统性和过程性。对于该定义可以这样理解,见图1所示。我国的信息安全专家沈昌祥将信息安全定义为:保护信息和信息系统不被未经授权的访问、使用、泄露、修改和破坏,为信息和信息系统提供保密性、完整性、可用性、可控性和不可否认性。欧盟在“InformationTechnologySecurityEvaluationCriteria”(Version1.2,OfficerforOfficialPublicationoftheEuropeanCommunities,June,1991)中将信息安全定义为:“在既定的密级条件下,网络与信息系统抵御意外事件或恶意行为的能力。这些事件和行为将危机所存储或传输的数据以及经由这些网络和系统所提供的服务的可用性、真实性、完整性和机密性。”可见安全界对信息安全的概念并未达成一致,对于信息安全的理解也随着信息技术及其应用的扩展而加深。美国军方自20世纪90年代末将“信息安全”的概念发展为“信息保障”(InformationAssurance),突出了信息安全保障系统的多种安全能力及其对机构业务职能的支撑作用;美国政府也在更为广阔的“cyber安全”的概念下讨论信息安全问题,表明其看待信息安全问题的视角已经不再局限于单个维度,而是将信息安全问题抽象为一个由信息系统、信息内容、信息系统的所有者和运营者、信息安全规则等多个因素构成的一个多维问题空间。这些变化均反映了人们对信息安全的意义内容、实现方法等一直在不断地思索和实践。从以上信息安全的概念分析可以得出,信息安全的概念与信息的本质属性有着必然的联系,它是信息本质属性所体现的安全意义。人们在不断实践和探索过程中,总结了信息的三大安全属性:机密性(Confidentiality)、完整性(Integrality)和可用性(Availability)。机密性表示对信息资源开放范围的控制,信息不被泄漏给非授权的用户、实体或者进程。常用的保密技术有:防侦收、防辐射、信息加密、物理保密、信息隐形等。完整性是指信息未经授权不能进行更改的特性。即信息在存储或传输过程中保持不被偶然或者蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整性要求信息不会受到各种因素的破坏。影响完整性的主要因素有设备故障、误码、人为篡改和计算机病毒等。可用性是信息系统可被授权实体访问并能够按需求提供信息服务的特性。授权用户或实体需要信息服务时,信息服务应该可以使用;当信息系统部分受损或需要降级使用时,仍能为授权用户或实体提供有效服务。可用性一般用系统正常使用的时间和整个工作时间之比来度量。以上三个信息安全属性在世界范围内得到了共识,各国专家对此均无异议。但是对于信息安全的其他属性,信息安全界则没有统一的意见。在我国强调较多的还有信息的可控性(Controllability)和不可否认性(Non-repudiation)。可控性是指能够控制使用信息资源的人或主体的使用方式。对于信息系统中的敏感信息资源,如果任何主体都能访问、篡改、窃取以及恶意散播的话,安全系统显然会失去了效用。对访问信息资源的人或主体的使用方式进行有效控制,是信息安全的必然要求。从国家层面看,信息安全的可控性不但涉及信息的可控性,还与安全产品、安全市场、安全厂商、安全研发人员的可控性紧密相关。不可否认性也称抗抵赖性、不可抵赖性。它是传统的不可否认需求在信息社会的延伸。人类社会的各种商务和政务行为是建立在信任的基础上的。传统的公章、印戳、签名等手段便是实现不可否认性的主要机制。信息的不可否认性与此相同,也是防止实体否认其已经发生的行为。信息的不可否认性分为原发不可否认(也称原发抗抵赖)和接收不可否认(接收抗抵赖)。前者用于防止发送者否认自己已发送的数据和数据内容;后者防止接收者否认已接收过的数据和数据内容。实现不可否认性的技术手段一般有数字证书和数字签名。在国外,除强调信息的保密性、完整性和可用性之外,还常常提到“可追究性”(Accountability),也有译作“可核查性”,指确保某个实体的行为能唯一地追溯到该实体。进一步讲,可追究性分为“鉴别”与“不可否认性”,前者要求“鉴别用户和发送者的身份”,后者要求“用户和发送者不能否认自己的行为”。显然,可追究性与国内提倡的不可否认性是一致的,也部分地体现了信息的可控性。2信息技术的发展与应用信息安全的上述属性并不是从一开始就提出的,而是在人们认识和实践中逐步完善的,并且与信息技术的发展相伴,受到不同历史阶段应用需求的驱动。2.1数据安全阶段。在网络通信通信保密阶段开始于20世纪40年代,其时代标志是1949年香农发表的《保密系统的信息理论》,该理论首次将密码学的研究纳入了科学的轨道。在这个阶段所面临的主要安全威胁是搭线窃听和密码分析,其主要保护措施是数据加密。该阶段人们关心的只是通信安全,而且关心的对象主要是军方和政府机构。需要解决的问题是在远程通信中拒绝非授权用户的访问以及确保通信的真实性,主要方式包括:加密、传输保密、发射保密以及通信设备的物理安全。当时涉及的安全属性有机密性,保证信息不泄漏给未经授权的人或者主体;可靠性,保证信道、消息源、发信人的真实性以及核对信息接收者的合法性。在这一阶段,虽然计算机系统的脆弱性已被一些机构所认识,但由于当时计算机速度和性能比较落后,使用范围有限,因此通信保密阶段重点是通过密码技术解决通信保密问题的,保证数据的机密性和完整性。2.2世纪90年代,有关研究中的用户安全管理领域,主要有进入到20世纪70年代,通信保密阶段转变到计算机安全阶段。这一时代的标志是1977年美国国家标准局公布的《国家数据加密标准》(DES)和1985年美国国防部公布的《可信计算机系统评估准则》(TCSEC)。这些标准的提出意味着信息安全问题的研究和应用跨入了一个新的高度。此阶段主要在密码算法及其应用和信息系统安全模型及评价两个方面取得了很大的进展。主要开发的密码算法有1977年美国国家标准局采纳的分组加密算法DES(数据加密标准);双密钥的公开密钥体制RSA,该体制由Rivest,Shamir,Adleman根据1976年Diffie,Hellman在“密码学新方向”开创性论文中提出的思想创造;1985年N.Koblitz和V.Miller提出了椭圆曲线离散对数密码体制(ECC),该体制的优点是可以利用更小规模的软件、硬件实现有限域上同类体制的相同的安全性;另外在这个阶段还创造了一批用于数据完整性和数字签名的杂凑算法。如数字指纹、消息摘要(MD)、安全杂凑算法(SHA——用于数字签名的标准算法)等,其中也有一些算法是20世纪90年代提出的。为了验证与评价计算机系统的安全性,在这个阶段研究出一批信息系统安全模型和安全性评价准则。主要有以下几种:(1)访问监视器模型,这是一种最基本的访问控制模型;(2)多级安全模型,包括军用安全模型、基于信息保密的Bell-LaPadula信息流模型和基于信息完整性的Biba信息流模型;(3)用于理论研究的抽象安全模型,如Graham-Denning(GD)模型、对GD模型的修正模型——HRU模型和Take-Grant保护系统(TGS)等。1985年美国国防部推出了可信计算机系统评价准则TCSEC,该标准是信息安全领域中的重要创举,为后来英、法、德、荷四国联合提出的包含保密性、完整性和可用性概念的“信息技术安全评价准则”(ITSEC)及“信息技术安全评价通用准则”(CCforITSEC)的制定打下了基础。2.3现代信息的保护20世纪90年代以来,通信和计算机技术相互依存,数字化技术促进了计算机网络的发展成为全天候、通全球、个人化、智能化的信息高速公路,Internet成为一项家用技术平台,安全的需求不断地向社会各个阶段扩展,人们关注的对象已经逐步从计算机转向更具本质性的信息本身,信息安全的概念随之产生。由于网络的发展,特别是电子商务的发展,使得人们除了要求在信息的存储、处理和传输过程中不被非法访问或者更改,确保对合法用户的服务并限制非授权用户的服务外,还包括必要的检测、记录和抵御攻击的措施。于是除了信息的机密性、完整性和可用性之外,人们对信息的安全性有了新的要求:可控性,不可否认性已经可审核性。在这一时期,公钥技术得到了长足的发展,著名的RSA公开密钥密码算法获得了日益广泛的应用,用于完整性校验的Hash函数的研究应用也越来越多。美国国家技术和标准研究所推行了高级加密标准(AES)项目,经过广泛和严谨的评审后Rijndael算法成了高级加密标准。2.4信息安全的内涵由于对信息系统攻击日趋频繁和电子商务的发展,安全的概念发生了以下的变化:(1)信息的安全不再局限于信息的保护。人们需要对整个信息和信息系统的保护和防御,包括保护、检测、反应和恢复能力。(2)信息的安全与应用更加紧密。其相对性、动态性、系统性等特征引起人们的注意,追求适度风险的信息安全成为共识。安全不再是单纯以功能或者机制技术的强度作为评价指标,而是结合了不同主体的应用环境和应用目标的需要,进行合理的计划、组织和实施。于是美国国防部提出了信息保障的概念:“保护和防御信息及信息系统,确保其可用性、完整性、保密性、可鉴别性和不可否认等特性。这些特性包括在信息系统的保护、检测、反应功能中,并提供信息系统的恢复功能”。信息保障除了强调了信息安全的保障能力外,还提出了要重视系统的入侵检测能力、系统的事件反应能力,以及系统在遭到入侵破坏后的快速恢复能力。它关注信息系统的整个生命周期的防御和恢复。这样一个后保护、检测、反应、恢复等内容构成的PDRR信息保障模型如图2所示。3信息安全的发展趋势从信息安全各阶段的发展可以看出,随着信息技术本身的发展和信息技术应用的发展,信息安全的外延不断扩大,包含的内容从初期的数据加密到后来的数据恢复、信息纵深防御。信息安全发展有以下几个趋势:(1)信息安全的外延不断扩大。信息安全从最初的信息加密和保证信息的完整性,发展到现在信息