我的《信息保卫战》读书笔记：信息安全概述

随着全球范围内数据泄露、黑客攻击等安全事件不断出现，信息安全工作 的重要性已为人们所接受，很多企业目前都将信息安全工作提到了战略性的高 度。然而，企业信息安全究竟要做什么？要关注哪些方面？如何来落实？这些 问题一直困扰着企业的管理者，为此，本节先从信息安全的定义出发，讨论企 业信息安全及其实施内涵。

一、传统信息安全的定义

“信息安全”曾经仅是学术界所关心的术语，就像五六十年前“计算机”被 称为“电算机”那样仅被学术界所了解一样。现在，“信息安全”因各种原因已 经像公众词汇那样被世人所熟知，尽管尚不能与“计算机”这个词汇的知名度 相比，但也已经具有广泛的普及性了。问题的关键在于人们对“计算机”的理 解不会有什么太大的偏差，而对“信息安全”的理解则各式各样。种种偏差主 要来自于从不同的角度来看信息安全，因此出现了 “计算机安全”、“网络安全”、 “信息内容安全”之类的提法，也出现了“机密性”、“真实性”、“完整性”、“可 用性”、“不可否认性”等描述方式。

关于信息安全的定义，以下是一些有代表性的定义方式：

(1) 国内学者给出的定义是：“信息安全保密内容分为实体安全、运行安全、 数据安全和管理安全四个方面。”

(2) 我国相关立法给出的定义是：“保障计算机及其相关的和配套的设备、 设施（网络）的安全，运行环境的安全，保障信息安全，保障计算机功能的正  

常发挥，以维护计算机信息系统的安全。”这里面涉及了物理安全、运行安全与 信息安全三个层面。

(3) 英国BS 7799信息安全管理标准给出的定义是：“信息安全是使信息避 免一系列威胁，保障商务的连续性，最大限度地减少商务的损失，最大限度地 获取投资和商务的回报，涉及的是机密性、完整性、可用性。”

(4) 美国国家安全局信息保障主任给出的定义是：“因为术语‘信息安全’ 一直仅表示信息的机密性，在国防部我们用‘信息保障’来描述信息安全，也 叫‘IA’。它包含五种安全服务，包括机密性、完整性、可用性、真实性和不 可抵赖性。”

(5) 国际标准化委员会给出的定义是：“为数据处理系统而采取的技术的和 管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭 到破坏、更改、显露。”这里面既包含了几个层面的概念，其中计算机硬件可以 看作是物理层面，软件可以看作是运行层面，再就是数据层面；又包含了属性的 概念，其中破坏涉及的是可用性，更改涉及的是完整性，显露涉及的是机密性。

从信息安全的作用层面来看，人们首先关心的是计算机与网络的设备硬件 自身安全，就是信息系统硬件的稳定性运行状态，称为“物理安全”；其次人们 关心的是计算机与网络设备运行过程中的系统安全，就是信息系统软件的稳定 性运行状态，称为“运行安全”；当讨论信息自身的安全问题时，涉及的就是狭 义的“信息安全”问题，包括信息系统中所加工存储和网络中所传递的数据的 泄露、仿冒、篡改以及抵赖过程所涉及的安全问题，称为“数据安全”。因此， 从信息安全作用点来看问题，可以称之为信息安全的层次模型，这也是国内学 者普遍认同的定义方式，如图3-1所示。

从信息安全的基本属性来看，机密性就是对抗对手的被动攻击，保证信息不 泄露给未经授权的人，或者即便数据被截获，其所表达的信息也不被非授权者所 理解；完整性就是对抗对手主动攻击，防止信息被未经授权的篡改；可用性就是 确保信息及信息系统能够为授权使用者所正常使用。这三个重要的基本属性被国 外学者称为“信息安全金三角 ”（CIA，Confidentiality-Integrity-Availability)，如 图3-2所示。

二、信息安全技术与信息安全管理

信息安全技术是实现信息安全产品的技术基础，信息安全产品是实现组织信息安全的系统设备。信息安全管理是通过维护信息的机密性、完整性和可用 性等，来管理和保护信息资产的一项体制，是对信息安全保障进行指导、规范 和管理的一系列活动和过程。

单纯考虑技术，只能作出功能强大的信息安全产品，并不能对组织机构内 部信息的安全保障提供直接的支持。单纯考虑管理，缺少技术产品的支撑，就 不能很好保证信息安全规章制度的很好实施，因为许多实现规章制度的信息安 全管理手段方法、活动与过程需要好的安全产品支撑。

三、当代信息安全的新内容

从信息安全的作用层次来看，前面己经介绍了人们所关注的三个层面，即 物理安全层、运行安全层以及数据安全层。但是，还有两个层面尚未在同一个 框架之下给出清晰地描述。一个是关于信息内容的安全问题，一个是关于信息 对抗的问题，这两个层面的安全问题也是业界普遍关心的问题。所不同的是， 内容安全更被文化、宣传界人士所关注；而信息对抗则更被电子对抗研究领域 的人士所关注。

信息内容安全的问题已经深刻地展现在现实社会面前，主要表现在有害信 息利用互联网所提供的自由流动的环境肆意扩散，其信息内容或者像脚本病毒 那样给接收的信息系统带来破坏性的后果，或者像垃圾邮件那样给人们带来烦 恼，或者像谣言那样给社会大众带来困惑，成为社会不稳定因素。但是，就技 术层面而言，信息内容安全技术的表现形式是对信息流动的选择控制能力，换 句话说，表现出来的是对数据流动的攻击特性。

信息对抗严格上说是信息谋略范畴的内容，是讨论如何从多个角度或侧面 来获得信息并分析信息，或者在信息无法隐藏的前提下，通过增加更多的无用 信息来扰乱获取者的视线，以掩藏真实信息所反映的含义。从本质上来看，信 息对抗是在信息熵的保护或打击层面上讨论问题，也就是围绕着信息的利用来 进行对抗。

由此可见，机密性、真实性、可控性、可用性这四个基本属性实际上就是 信息安全的四个核心属性，可以反映出信息安全的基本概貌。相对信息安全金 三角而言，可称之为信息安全四要素，简称CACA,如图3-3所示。

根据这一思路，重新定义信息安全的概念如下：信息安全是对信息系统、 信息与信息的利用的固有属性（即“序”）攻击与保护的过程。它围绕着信息系统、信息及信息熵的机密性、真实性、可控性、可用性这四个核心安全属性， 具体反映在物理安全、运行安全、数据安全、内容安全、信息对抗五个层面上。

综合信息安全的层次性特性与安全属性特性，可以形成一个信息安全概念 的经纬线，如表3-1所示。

表3-1信息安全概念的经纬线

信息安全专家方滨兴院士在深入分析和继承了传统信息安全的定义前提 下，根据当前国际信息安全的发展现状，给出了信息安全四要素，并重新概括 和界定了信息安全的内涵和外延。方院士提出了五个“四”的法则，第一个“四” 是从四个层面考虑信息安全的问题，即物理层、运行层、数据层、内容层；第 二个“四”是安全的四个基本属性，即可用性、机密性、可鉴别性、可控性； 第三个“四”是保障信息安全的四个目标，即要做安全的网络、可信的网络、 可靠的网络、可控的网络；第四个“四”是从四个确保的源头来保障信息安全， 即软件确保、系统确保、服务确保、使命确保；第五个“四”是保障网络主权 的四项基本权利，即独立权、平等权、自卫权、管辖权。

1. 信息安全四要素

物理安全表现在能量供给上，运行安全主要表现在代码攻击上，数据安全 主要是面对数据攻击，内容安全是从内部的安全来考虑的。

1) 物理安全

物理安全层面主要考虑的因素有：

(1) 安全网络的抗打击性如何，未来网络的设备冗余性如何，是否可热备 份、容灾？网络的可生存性如何，是否可剪裁运行，可降级运行？

(2) 网络设备损毁后的自恢复能力如何，网络的去中心化程度如何？传统 的中心依存度尽量低，避免形成安全瓶颈口。

(3) 网络自组织的程度如何？网络的重组能力如何？

(4) 网络设备是否能被攻击致瘫？

2) 运行安全

运行安全的问题主要表现在以下几个方面：

(1) 网络是否能够承受拒绝服务攻击，是否能够承受住资源的过度消耗？

(2) 网络是否能够被非授权控制？要具有防止网络运行系统的安全漏洞被 利用的能力。

(3) 核心设备是否能够被攻击？要具有持续地提供核心功能的能力。

(4) 网络路由是否会被劫持，是否会形成错误的路由？要具有防止网络路 径被非法重定向与错误路由污染的能力。

(5) 网络寻址服务是否能够被终止服务？防止寻址服务体系被瘫痪。

3) 数据安全

关于数据安全问题，主要考虑的因素有：

(1) 网络的运行状态是否能够被欺骗？防止网络状态被伪造，防止网络路 由fe息被欺骗。

(2) 网络传输通道是否能保证数据的隐私？要具有防止信息被泄露与被非 授权扩散的能力。

(3) 网络传输通道是否能够保证数据不被篡改？要具有信息不被篡改的 能力。

(4) 网络身份信息是否能够被仿冒？要具有身份鉴别的能力。

(5) 网络信息传输具有防抵赖的能力。

4) 内容安全

内容安全考虑的因素有：

(1) 网络信息是否能够被监测？具有对网络信息进行标签的能力，或者具 有授权认知网络信息的能力，再或具有授权发现隐藏信息的能力。

(2) 网络信息是否能够被控管？要具有授权过滤指定信息的能力，要具有 限制指定信息发布的能力。

(3) 网络信息是否能够不被非授权扩散？就是要具有数字版权保护的能力。

(4) 网络系统是否具有被局部隔离的功能？要具有切割非授权介入的子网 的能力。

2. 信息安全的四个属性

信息安全应关注的四个属性包括可用性、机密性、可控性、可鉴别性。可 用性要注意被攻击的问题，机密性要注意高效的问题，可控性要注意自由的问 题，可鉴别性就是隐私的问题。

1) 可用性

(1) 要保证网络的可用性，需采取必要的措施，使网络始终处于可提供服 务的状态，从而使得授权用户可以随时获得服务。网络应该具备一些可靠性， 要保证网络出现故障的概率极小。

(2) 网络应该具备稳定性，保证网络不出现可被用户感知的问题。网络还 应该具备可生存性，保证网络在极端条件下仍然能够提供核心服务，尽管其服 务质量在下降。

(3) 网络应具备可维护性，主要指在线维护。

2) 机密性

(1) 要保证网络的机密性就是要确保网络传播的信息不被非授权者所获知, 并要保证网络信息的实用性，需采取措施，使得网络加密信息唯一依赖于对应 的密钥。

(2) 要保证网络信息不会被捕获、复制与扩散，需采取屏蔽、隔离措施， 防止非授权截获与传播信息。

(3) 要保证网络不能被非法获得，需釆取访问控制措施，防止非授权访问 信息。

(4) 要保证网络信息不被非法认知，需采取加密措施。

3) 可控性

要保证网络的可控性，主要的目标是釆取措施，使得网络始终处于授权掌 控状态：

(1) 具备可追溯性，保证网络传播的源头与目的是可追溯的。

(2) 具备可记账性（可确定性），保证网络传播的所有状态均可被记录并 保存。

(3) 具备可审计性，保证网络传播的所有状态具有相关责任主体。

(4) 具备可过滤性，保证网络信息是可被理解的。网络信息传播的源头与 目标是可被理解的，指定信息是可被过滤的。

4) 可鉴别性

(1) 要保证网络的可鉴别性，主要是保证与网络传播相关的信息其真实性 是可以被鉴别的。

(2) 网络信息应该具备完整性，保证网络信息的任何篡改都能够被鉴别 出来。

(3) 网络的传输主体与客体的身份应具备真实性，保证网络信息传播的发 放方与接收方的身份是可鉴别的，符合预知的身份。

3. 信息安全应保障的四个目标

首先要保证是一个安全的网络，保护网络不被致瘫，网络上的攻击可被有 效遏制，网络上的用户不被攻击所困扰；其次要保证是一个可信的网络，确保 对网络传输的行为人及传输的信息可被鉴别，其可信程度可被判定；然后要保 证是一个可靠的网络，确保能够提供有效的服务，不因随即故障而失效；最后 要保证是一个可控的网络。

(1) 从前提假定来说，安全是一个恶人的假定，攻击是必须的；可信是一 个好人的假定，只要是好人就不会有攻击；可靠是上帝的假定，是随机的；可 控是一个监管人的假定，服从约定的形式，攻击是来自缺陷的概念。做一个比 喻，安全就像养猛兽，我们把它当作宠物，肯定不会真的跟它一起睡觉，风险 太大了，把它用链子拴起来，可信就像养宠物狗，可靠就像养一个牲畜，可控 就像养孩子。行为类比一下，安全就像一个人要闯红灯，可信就像绿灯行'，可 靠就像黄灯行，可控就像红灯停。应用原则：安全就像在监狱的状态，可信就 像在办公室的状态，可靠就像猪圈，可控就像居家状态。

(2) 从立足点来看，安全是事先保护，可信是事后打击，可靠是经济平衡， 可控是规则管制。

(3) 从应用点来看，安全是未知身份，可信是已知身份，可靠是随机因素， 可控是自有系统。

(4) 从追求目标来看，安全追求的是不受伤害的状态，可信是证明它确是 一个好人，可靠是保证尽量不受损失或者损失不能太大，可控是掌控一切。

(5) 从手段来说，安全是以降低风险为目的，可信是依赖历史，可靠是投 保机制，可控是监控。

(6) 从风险来看，安全方面就是资源消耗太大，可信最怕意外变节，可靠 是概率损失，可控是失控了。

4. 信息安全的四个确保

首先从源头做起，做软件确保，其次是系统确保，然后是服务确保，最后 是使命确保。整个的安全确保就是从源头一直到目标，目标是为了保护使用者。

1) 软件确保

(1) 保证网络协议是符合预期的，要求网络协议的实现在需求、设计、编 码、验证等环节都通过证明或检验。

(2) 保证网络协议不存在可利用的漏洞，要求网络协议具有自保护特性， 即便出现安全漏洞也不会被恶意利用。

(3) 保证网络协议的实现环节是符合规程的，要设计协议实现规程，保证 协议的软件实现是符合规程的。

(4) 保证网络协议软件的可信性。

2) 系统确保

(1) 保证网络系统的功能是可预期的，要给出证据以证明网络系统的形式 化方法起到了极其重要的作用，要提高网络系统没有漏洞的确信程度，要具有 网络系统的自防护能力，使得无论在系统生命周期的任意时刻，即便漏洞作为 系统的一部分有意或无意设计或插入的，也不能够被利用起来形成攻击。

(2) 保证网络系统在装配之后是可信的，可信的软件还需要可信的接口， 以保证系统的可信性，因为网络系统是一个系统工程。

3) 服务确保

(1) 保证网络系统能够提供符合要求的服务性能。

(2) 保证通信服务提供商能够利用策略和过程确保所提供的服务满足预先 定义的服务质量。

(3) 保证网络系统能够提供有保证的服务。

(4) 具备故障和事件管理、性能管理、探测监视、服务质量管理、网络和 服务测试、网络流量管理、客户管理、服务等级协议监视等能力。

4) 使命确保

(1) 保证网络系统的自适应性能够适应用户的需求，尽管网络本身没有受 

到攻击，也要具备弹性变化的能力，以降低风险。

(2) 保证网络系统能够提供有效的服务，无论网络系统有多复杂，规模有 多大，要保证始终处于用户能够得到服务的状态。

(3) 要求网络系统处于全世界周期工程状态，要保证网络系统设计、生产、 测试与运行方面服从需求工程的要求，持续支持在线更新。

5. 网络主权

网络主权的内涵就是基本权、独立权、平等权、自卫权和管辖权。独立权 是指本国的网络可以独立运行，无需受制于他国；平等权是指网络之间的互联 互通是以平等协商的方式来进行的，不受管辖制约等。

1) 独立权

对于独立权而言，就是要确定一个国家网络可以独立存在。现有的互联网 由于根域名解析体制的缘故，不能够独立存在，因此受制于美国，除非根域名 解析归属一个类似于联合国的国际组织管理，域名解析系统的管理权就可以被 理解为各国出让了本国对该系统的管理权而集中在指定的国际组织，同时该国 际组织在章程中被各国所认可，各国对该国际组织的运行具有同等的权利。未 来网络可以考虑类似于路由机制来建立分布式名字服务系统，各国的名字服务 系统不受制于任何国家以及任何国际组织，可以独立存在，类似于国际贸易可 以遵循国际策略，也可以多边协商，还可以双边协商。

2) 平等权

确保各国的网络之间可以以平等的方式进行互联互通，要像民航航线一样 相互对等地开辟互联互通的航线，互联互通不能成为单方受惠的建设模式。目 前的互联网的国际介入受制于大的国际运营商，如Sprint公司，因其在国际上 具有重要的地位，致使互联网规模小的国家在介入时往往会受到不平等的待遇，

还要确保各国对网络系统具有平等的管理权，要保证一个国家对本国互联 网的管理不会伤及到其他国家。现有的互联网相互依赖过度，互联网强势国家 所制定的政策可能波及其接受服务的国家。

3) 自卫权

网域空间己经受到各国重视，众所周知美国的三大战略：核战略、太空战 略、网域战略，目前的五大战场已经是领海、领土、领空、领天、领网络了， 已经要保护网络了，现在要做的系统要确保网络系统可以处于自我保护之下， 而不是依赖于他国进行保护，不应该有境外系统被攻击致使本国网络瘫痪的情 况发生。本国要是拥有对网络攻击的自卫能力的话，一定要拥有隔离能力。

4) 管辖权

首先要拥有对本国网络系统的管理能力，网络的接入要能够实施市场准入 机制，非授权子网应该不能够接入到网络中，要具备发现非授权接入网络的能 力，对网络的接入要能够事后终止，对于不服从管理的业务应该具有停止服务 的能力。现有的系统不具有这样的能力，如谷歌退出中国基本上不影响向中国  

所提供的服务。国际上有一个河床与河水的概念，水是没有主权的概念，物理 社会中国家对河床拥有主权，尽管河水来自上游国家，但上游国家不能输出被 污染的河水。

信息安全框架及其实施内涵

从上一节的论述不难看出，当代信息安全定义在企业信息安全中的使用还 存在以下几个问题，需要进行进一步改进。

(1) 概念含糊不清，且没有给出实施的可用参考：只是列出了信息安全需 要关注的协议层面、系统单元和牵涉到的几个安全属性；而在安全属性中，流 量机密性和机密性本来就是同一回事，所采用的技术也是大同小异，并没有给 出企业在信息安全的保障实施过程中的任何可行性建议和手段。

(2) 忽略了管理安全：该框架只强调技术，而忽略了管理在企业信息安全 保障中的重要作用和地位。所谓“三分技术，七分管理”，没有管理的技术难以 落到实处，缺乏管理的指导性，盲目的使用技术也是不合理的。

为了根据企业的自身特点来制定可行的企业信息安全框架，我们可以回顾 一下信息安全定义。结合企业在信息安全工作的特点，将其中的“信息对抗” 改进为“管理安全”，这主要是由于以下两个重要原因：

其一是企业的信息安全丁作主要是“防”，以防为主，立足自身，基本上不 会采取信息对抗的方式来还击外部黑客和不法用户，所以称之为企业信息安全 保卫战。

其二是企业的信息安全工作很大一部分在于满足外部对企业的审核要求， 企业对自身员工、资源等的管理要求，这就依赖于管理安全，他们需要参考和 遵循许多业界成熟的标准和制度，比如ISO/IEC 27001、萨班斯法案等。

因此，企业要打赢一场信息安全保卫战，就要构建一个信息安全框架。其 本质是：企业信息安全从技术角度来看是对信息与信息系统的固有属性的攻击 与保护的过程。它围绕着信息系统、信息自身及信息利用的机密性、真实性、 完整性、可控性、可用性、不可抵赖性这六个核心安全属性，具体反映在物理 安全、运行安全、数据安全、内容安全、管理安全五个层面上，如图3-4所示。