信息化是当今世界经济和社会发展的大趋势,是推动经济社会变革和进步的重要力量。人类社会已经进入信息时代,正在分享着信息化带来的巨大成果,但同时也面临着越来越多的信息安全问题。特别是,近年来出现了很多影响较大的信息安全事件,引发了人们对信息安全的空前关注。作为重要的非传统安全因素,信息安全已经成为决定信息化成败,关乎政治稳定、经济发展乃至国家安全的重要课题。
那么,什么是信息安全?怎样理解信息安全?这是信息安全理论研究和实践工作中的基本问题。自有人类以来,信息交流便成为一种最基本的人类社会行为,是人类其他社会活动的基础,自然会出现对信息交流的各种质量属性的期望。例如在面对面的交流中,我们就可能关心,对方的话是不是真的,对方的话我是否听清楚了,我们之间的谈话是否被人听到了。因此,对信息安全的需求一直是普遍存在的,在军事斗争中更上升为决定战争成败的重要因素,其根本目的是确保军事指令不被敌人知悉,同时确保没有被改动过,即确保信息的保密性以及完整性。现代信息技术革命以来,政治、经济、军事和社会生活中对信息安全的需求日益增加,信息安全作为有着特定内涵的信息科学门类逐渐得到重视,其内涵不断深化,外延不断拓展。
一传统的信息安全概念
1.通信保密
几千年的时间里,军事领域对信息安全的需求使古典密码学得以诞生和发展。到了现代,信息安全首先进入了通信保密阶段。其开始时间约为20世纪40年代,时代标志是1949年香农发表的《保密系统的信息理论》,该理论将密码学的研究纳入了科学的轨道。在通信保密阶段,信息安全的关注者主要限于军队和政府,其主要目的是确保通信内容的保密性,防止非授权人员获取通信信息,同时保证通信的真实性。
所谓保密性,是指信息不被泄露给非授权的用户、实体或过程,或被其利用的特性。普通人通过邮政系统发信件时,为了个人隐私要装上信封。可是到了信息时代,信息在通信线路上传播时,如果没有装“信封”,那么所有的信息都是“明信片”,不再有秘密可言。因此,保密性是首先出现的信息安全需求,直至今天仍然代表着信息安全保护最基本的目标之一。
常用的保密技术包括:防侦收(使对手侦收不到有用的信息)、防辐射(防止有用信息以各种途径辐射出去)、信息加密(使用密码技术对信息进行加密处理。即使对手得到了加密后的信息也会因为没有密钥而无法读懂信息)、物理保密(利用各种物理方法,如限制、隔离、掩蔽、控制等措施,保护信息不被泄露)、信息隐形(将信息嵌入其他客体中,隐藏信息的存在)等。
2.计算机安全和信息系统安全
进入20世纪70年代,通信保密阶段转变到计算机安全阶段,这一时代的标志是1977年美国国家标准局(NBS)公布的《数据加密标准》(DES)和1985年美国国防部(DoD)公布的《可信计算机系统评估准则》(TCSEC),这些标准的提出意味着解决信息系统保密性问题的研究和应用迈上了历史的新台阶。
进入20世纪80年代后,计算机的性能得到了成百上千倍的提高,应用的范围也在不断扩大,计算机已遍及世界各个角落。而且人们正努力利用通信网络把孤立的单机系统连接起来,相互通信和共享资源。但是,随之而来并日益严峻的问题是计算机信息的安全问题。由于计算机信息有共享和易于扩散等特性,它在处理、存储、传输和使用上有着严重的脆弱性,很容易被干扰、滥用、遗漏和丢失,甚至被泄露、窃取、篡改、伪造和破坏。因此人们开始关注计算机系统中的硬件、软件及在处理、存储、传输信息过程中的保密性。主要手段是通过访问控制,防止对计算机中信息的非授权访问,从而保护信息的保密性。但是,随着计算机病毒、计算机软件Bug等问题的不断显现,保密性已经不足以满足人们对计算机安全的需求,完整性和可用性等新的计算机安全需求于是开始走上舞台。
完整性是指信息未经授权不能进行更改的特性。即信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、插入的特性。完整性与保密性不同,保密性要求信息不被泄露给未授权的人,而完整性则要求信息不致受到各种原因的破坏。一份加密的文件,攻击者虽然无法获知其具体内容,但仍可以随意对其信息进行改动,从而使其不能正常解密。例如,电子文件在网络上传输时其本质是二进制比特流,非授权人员可以很容易接触并修改。影响信息完整性的主要因素有:设备故障、误码(传输、处理和存储过程中产生的误码,定时稳定度及精度的降低造成的误码,各种干扰源造成的误码)、人为攻击、计算机病毒等。保护信息完整性的主要方法有:纠错编码方法(最简单和常用的纠错编码方法是奇偶校验法)、密码校验和方法、数字签名、公证(请求管理或中介机构证明信息的真实性)等。
可用性是信息可被授权实体访问并按需求使用的特性。例如,在授权用户或实体需要信息服务时,信息服务应该可以使用,或者是信息系统部分受损或需要降级使用时,仍能为授权用户提供有效服务。可用性与保密性、完整性有明显的区别。
即使信息没有遭到泄露,也没有被改动,但如果不能被需要的人所使用,仍然是一种突出的安全问题,分布式拒绝服务攻击(DDoS)便是一例。
20世纪90年代后,信息系统安全开始成为信息安全的核心内容。通信和计算机技术相互依存,计算机网络发展成为全天候、通全球、个人化、智能化的信息高速公路,互联网成了寻常百姓可及的家用技术平台,安全的需求不断地向社会的各个领域扩展,人们的关注对象从计算机转向更具本质性的信息本身,继而关注信息系统的安全。人们需要保护信息在存储、处理或传输过程中不被非法访问或更改,确保对合法用户的服务并限制非授权用户的服务,确保信息系统的业务功能能够正常运行。
3.信息保障
20世纪90年代末,对于信息系统的攻击日趋频繁,安全不再满足于简单的防护,人们期望的是对整个信息和信息系统的保护和防御,包括对信息的保护、检测、反应和恢复能力。
同时,安全与应用的结合更加紧密,其相对性、动态性等特性日益引起注意,追求适度风险的信息安全成为共识,安全不再单纯以功能或机制的强度作为评判指标,而是结合了应用环境和应用需求,强调安全是一种信心的度量,使信息系统的使用者确信其预期的安全目标已获满足。
为此,美国军方率先提出了信息保障(IA)的概念:“保护和防御信息及信息系统,确保其可用性、完整性、保密性、鉴别、不可否认性等特性。这包括在信息系统中融入保护、检测、反应功能,并提供信息系统的恢复功能。”
信息保障除强调了信息安全的保护能力外,还提出要重视提高系统的入侵检测能力、系统的事件反应能力以及系统在遭到入侵引起破坏后的快速恢复能力。它关注的是信息系统整个生命周期的防御和恢复。
近年来,美军围绕信息保障发布了多项法令和技术指南。
《信息保障技术框架》(IATF)确立了“纵深防御”的技术思路,并指出其适用于任何机构的任何信息系统或网络。8500.1号和8500.2号国防部令则分别确立了美军信息保障的政策框架和技术实施要求。
“信息保障”是信息技术发展到今天,美军为确保复杂战场环境中信息和信息系统的安全而提出的概念,代表了美军对信息安全发展阶段的最新认识。这个概念同时也适用于民用信息系统。就目前来说,虽然美国的军民信息安全合作很多,但“信息保障”仍具有很强的军事色彩。
此外,近年来许多国家和组织也为信息安全作了不同的定义,这些定义的侧重点虽然各有不同,但就技术性而言,多将信息安全归结为信息和信息系统的保密性、完整性和可用性需求。例如美国在2002年《联邦信息安全管理法案》(FISMA)中提出:“术语‘信息安全’指保护信息和信息系统,防止未经授权的访问、使用、泄露、中断、修改或破坏,以提供:(A)完整性,防止对信息进行不适当的修改或破坏,包括确保信息的不可否认性和真实性;(B)保密性,信息的访问和披露要经过授权,包括保护个人隐私和专属信息的手段;以及(C)可用性,确保可以及时可靠地访问和使用信息。”
二信息化发展使信息安全概念不断深化
当前,全球信息化正在引发世界的深刻变革,各国高度重视信息化进程中的信息安全问题,普遍将信息安全视为国家安全的基石,从国家安全的高度看待和处理信息安全问题。在信息化的推进过程中,信息安全概念有了更广阔的外延,仅仅从保密性、完整性和可用性等技术角度去认识信息安全已经远远不够了。要理解这种变化,理解信息安全与国家安全的关系,就要首先看到国民经济和社会发展对信息化的重要依赖作用。
1.大力推进信息化是符合历史潮流的战略选择
信息化是充分利用信息技术,开发利用信息资源,促进信息交流和知识共享,提高经济增长质量,推动经济社会发展转型的历史进程。
20世纪90年代以来,信息技术不断创新,信息产业持续发展,信息网络广泛普及,信息化成为全球经济社会发展的显著特征,并逐步向一场全方位的社会变革演进。进入21世纪,信息化对经济社会发展的影响更加深刻。广泛应用、高度渗透的信息技术正孕育着新的重大突破;信息资源日益成为重要生产要素、无形资产和社会财富;信息网络更加普及并日趋融合;信息化与经济全球化相互交织,推动着全球产业分工深化和经济结构调整,重塑着全球经济竞争格局;互联网加剧了各种思想文化的相互激荡,成为信息传播和知识扩散的新载体;电子政务在提高行政效率、改善政府效能、扩大民主参与等方面的作用日益显著;信息化使现代战争形态发生重大变化,成为世界新军事变革的核心内容。
信息技术已经成为最活跃的生产力要素,成为影响国家综合实力和国际竞争力的关键因素,各国都在通过积极发展信息技术及其产业,抢占世界经济竞争的制高点。我国的工业化任务还没有完成,现代化水平还不高,更应重视信息化在国民经济和社会发展中的倍增器和催化剂作用,加快信息化发展,坚持以信息化带动工业化,以工业化促进信息化,这是我国加快实现工业化和现代化的必然选择。
2.信息化对我国产生全方位影响
我国党和政府一直高度重视信息化工作。20世纪90年代,相继启动了以“金关”、“金卡”和“金税”为代表的重大信息化应用工程;1997年,召开了全国信息化工作会议;党的十五届五中全会把信息化提到了国家战略的高度;党的十六大进一步作出了以信息化带动工业化、以工业化促进信息化、走新型工业化道路的战略部署;党的十六届五中全会再一次强调,推进国民经济和社会信息化,加快转变经济增长方式。“十五”期间,国家信息化领导小组对信息化发展重点进行了全面部署,作出了推行电子政务、振兴软件产业、加强信息安全保障、加强信息资源开发利用、加快发展电子商务等一系列重要决策。各地区、各部门从实际出发,认真贯彻落实,不断开拓进取,我国信息化建设取得了可喜的进展,信息化正在对国家的经济、政治、文化等各方面产生全方位影响。
(1)信息网络成为支撑经济社会发展的重要基础设施。
以电信网、互联网和广播电视网为代表的信息网络基础设施,是国民经济和社会信息化的基础支撑平台,是经济社会取得迅速发展的重要条件。当前,我国电话用户、网络规模已经位居世界第一,互联网用户和宽带接入用户均位居世界第二,广播电视网络基本覆盖了全国的行政村。2006年,我国电信网络综合通信能力继续增强,广播电视综合覆盖能力进一步提高,广播、电视人口综合覆盖率分别达到95.04%、96.23%;互联网应用继续快速发展,到2007年6月末,全国网民人数达到1.62亿人,宽带网民人数为1.22亿人,手机上网网民人数已达4430万人。
(2)信息产业成为重要的经济增长点。
信息产业是一种知识产业,在国民经济中的产业关联度极高。发展信息产业可以推动整个国民经济的发展和产业结构的升级,同时,信息产业对国民经济的发展具有倍增器和催化剂的作用。发展信息产业能够直接或间接地使国民经济的发展成倍增长,产生一系列的综合经济效益。这些效益的总和,构成了信息产业对整个国民经济的扩散效应。扩散效应综合作用的结果,将使国民经济倍增发展。
据统计,2005年,信息产业增加值占国内生产总值的比重达到7.2%,对经济增长的贡献度达到16.6%。2006年全国电子信息产业实现增加值1.1万亿元,预计2007年这一数字将达到1.33万亿元。
