8.4.1 信息系统安全的含义
信息系统的出现加快了社会经济、商业、军事等领域的发展,在网络环境下,更是加速了资源共享和优化配置,有效地避免了资源的重复建设。由于信息系统是以计算机和数据通信网络为基础的应用管理系统,因此它是一个开放式、全球式、共享式的网络系统,因而随之而来的网络信息资源安全以及网络系统本身的安全问题日益令人担忧,这也是当今世界人类面临的最大的安全挑战。如果不采取安全保密措施,那么与网络系统相连的任何终端用户都可以进入和访问网络中的资源。由此可见,信息系统对安全的要求越来越高,安全成为信息系统生存的关键和核心。
1994年2月18日国务院颁布的《中华人民共和国计算机信息系统安全保护条例》中明确给出了信息系统安全的定义,即“保障计算机及其相关的和配套的设备、设施(含网络)的安全以及运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行”。
结合目前研究和实践的现状,我们可以认为,信息系统安全是指确保信息系统结构安全、与信息系统相关的元素安全以及与此相关的各项安全技术、安全服务和安全管理的总和。从系统过程与控制角度看,信息系统安全就是信息在存储、处理、集散和传输过程中保持其机密性、完整性、可用性、可追溯性和抗抵赖性的系统辨识、控制、策略和过程。与之相关的安全管理的目标是保证信息系统在有充分保护的安全环境中运行,由可靠的操作人员按规范和标准使用计算机系统、网络系统、数据库和应用系统,以保证信息安全战略和组织的目标得以实现。
信息系统安全的定义实际上包括以下4层含义。
(1)信息安全。保护信息资源,使其免遭偶然的和有意的泄露、篡改、破坏和处理能力的丧失。
(2)计算机安全。确保计算机处于稳定的状态,使计算机的数据和程序文件不致被非法访问、获取和修改。
(3)网络安全。为确保网络正常运行而需要采取一系列的措施。信息网络的安全包括以下几个方面:
①保密性。保护个人信息,确保不被他人窃取和利用。
②认证性。确认通信双方的合法身份。
③完整性。保证所传输的信息不被篡改。
④可访问性。保证系统、数据和服务能被合法的人访问而不被拒绝。
⑤防御性。防止不合法用户和信息的访问。
⑥不可否认性。防止通信和交易双方对自己行为的否认。
(4)通信安全。确保信息在网络传输中的完整性和保密性。
信息系统尽管功能强大,技术先进,但由于受到它自身的体系结构、设计思路及运行机制等的限制,也隐含着许多的安全隐患。从危害和攻击的对象来看,信息系统安全危害的种类大体可分为两类:对实体的安全危害;对信息的安全危害。
对实体的安全危害主要是指对计算机及其外部设备、通信网络的威胁和攻击。例如,各种自然灾害与人为破坏、场地与环境因素的影响、电磁场干扰与电磁泄漏、战争破坏、设备与设施被盗或丢失等都可以对实体安全造成危害。
对信息系统实体的安全危害,不仅会造成经济上的重大损失,而且会导致信息系统中的机密信息或重要数据资源严重泄露或破坏。因此,对信息系统实体的保护是保证系统安全运行的首要步骤,也是防止造成信息安全危害的重要屏障。
对信息的安全危害主要有两种:信息泄露和信息破坏。信息泄露是指偶然或有意地获得(侦听、截获、窃取或分析破译)目标系统中的信息,尤其是敏感信息,造成泄露事件。信息破坏是指由于偶然事故或认为破坏,导致系统的信息被非法添加、修改、删除、伪造或复制,导致信息的正确性、完整性和可用性受到破坏。
将上面提到的信息系统安全危害进行细化,包括有诸多因素。常见的信息系统安全影响因素有数据的输入、输出、存取与备份,源程序及应用软件、数据库、操作系统等的漏洞或缺陷,硬件、通信部分的漏洞、缺陷或遗失,还有电磁辐射、环境保障系统、企业内部人的因素、计算机病毒、黑客、经济间谍等。影响信息系统安全的因素及具体表现见表8-3[22]。
表8-3 信息系统安全的影响因素
续表
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
