1.1.2 信息安全的概念
关于信息安全,不同组织有不同的定义,国际标准化组织对信息安全的定义是:“在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。信息安全的内涵已从传统的机密性、完整性和可用性三个方面扩展到机密性、完整性、可用性、真实性、可核查性、可靠性等更多领域。各信息安全属性含义如下:
·机密性:信息不泄露给非授权的用户、实体或者过程的特性。
·完整性:数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
·可用性:可被授权实体访问并按需求使用的特性,即当需要时应能存取所需的信息。
·真实性:内容的真实性。
·可核查性:对信息的传播及内容具有控制能力,访问控制即属于可控性。
·可靠性:系统的可靠性。
信息安全在技术发展和应用过程中,表现出以下重要特点:
(1)必然性。当今的信息系统日益复杂,其中必然存在系统设计、实现、内部控制等方面的弱点。如果不采取适当的措施应对系统运行环境中的安全威胁,信息资产就可能会遭受巨大的损失甚至威胁到国家安全,所以,信息安全已引起许多国家,特别是发达国家的高度重视,他们在这个领域投入了大量的人力、物力、财力,以期提高本国的信息安全水平。
(2)配角特性。信息安全建设在信息系统建设中角色应该是陪衬,安全不是最终目的,得到安全可靠的应用和服务才是安全建设的最终目的。不能为了安全而安全,安全的应用是先导。
(3)动态性。信息安全威胁会随着技术的发展、周边应用场景的变化等因素而发生变化,新的安全威胁总会不断出现。所以,信息安全建设是一个动态的过程,不能指望一项技术、一款产品或一个方案就能一劳永逸地解决组织的安全问题,信息安全是一个动态、持续的过程,必须能根据风险变化及时调整安全策略。一成不变的静态策略,在信息系统的脆弱性以及威胁技术发生变化时将变得毫无安全作用,因此安全策略以及实现安全策略的安全技术和安全服务,应具有“风险监测——实时响应——策略调整——风险降低”的良性循环能力。
信息时代,信息安全不仅关系信息自身的安全,更是对国家安全具有重大战略价值。
(1)信息安全与政治有关
政治的核心问题是国家政权问题。政治安全的内核是政府运行的有效性。任何国家政府的运行,都是凭借复杂的机制,经由安全的信息交换,实现对社会生活的有效指导、管理和控制。信息安全风险直接影响着政府的有效性,政治安全一刻也离不开信息安全。当今,来自敌对势力从信息空间发动的“政治进攻”,主要表现为“网络政治动员”和“信息恐怖主义”两种方式。例如,1999年1月份左右,美国黑客组织“美国地下军团”联合了波兰、英国的黑客组织,和世界上各个国家的一些黑客组织,有组织地对我国的政府网站进行了攻击。
虽然敌对势力经网络对我国的“政治进攻”行为,迄今在总体上还是可控的,但这类“政治进攻”已在某种程度上危害到了我国的政治安全。
(2)信息安全与经济犯罪有关
由于信息技术的开放性与经济主体利益的冲突性并存,现实的信息系统存在着安全风险。我国自1986年发现首例利用计算机网络的犯罪以来,案件数量迅速增加,1986年网络犯罪发案仅9起,2000年即剧增到2 700余起,2008年全年突破4 500起,诈骗、敲诈、窃取等形式的网络犯罪涉案金额从数万元发展到数百万元,其造成的巨额经济损失难以估量,其中计算机网络犯罪在金融行业尤为突出,金融行业计算机网络犯罪案件发案比例占整个计算机犯罪比例高达61%。
(3)信息安全与社会稳定有关
在高科技和信息化条件下,网络具有传播速度快、信息海量化、交互功能强等特点,不法分子利用互联网上散布一些虚假信息、有害信息对社会管理秩序造成的危害,要比现实社会中一个造谣要大得多。例如,1999年4月,河南商都热线一个BBS,一个题为“交通银行郑州支行行长携巨款外逃”的帖子,造成了社会的动荡,三天十万人上街排队,挤提了十亿元。而针对社会公共信息基础设施的攻击则会严重扰乱社会管理秩序。2001年2月8日正是春节,新浪网遭受攻击,电子邮件服务器瘫痪了18个小时。造成了几百万用户无法正常地联络。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。