企業信息安全框架漫談
當代信息安全的新內容
從信息安全的作用層次來看,前面已經介紹了人們所關注的三個層面,即物理安全層、運行安全層、及數據安全層。但是,還有兩個層面尚未在同一個框架之下給出清晰地描述。一個是關于信息內容的安全問題,一個是關于信息對抗的問題,這兩個層面的安全問題也是業界普遍關心的問題。所不同的是,內容安全更被文化、宣傳界人士所關注;而信息對抗則更被電子對抗研究領域的人士所關注。
信息內容安全的問題已經深刻地展現在現實社會面前,主要表現在有害信息利用互聯網所提供的自由流動的環境肆意擴散,其信息內容或者像腳本病毒那樣給接收的信息系統帶來破壞性的后果,或者像垃圾郵件那樣給人們帶來煩惱,或者像謠言那樣給社會大眾帶來困惑,成為社會不穩定因素。但是,就技術層面而言,信息內容安全技術的表現形式是對信息流動的選擇控制能力,換句話說,表現出來的是對數據流動的攻擊特性。
信息對抗嚴格上說是信息謀略范疇的內容,是討論如何從多個角度或側面來獲得信息并分析信息,或者在信息無法隱藏的前提下,通過增加更多的無用信息來擾亂獲取者的視線,以掩藏真實信息所反映的含義。從本質上來看,信息對抗是在信息熵的保護或打擊層面上討論問題,也就是圍繞著信息的利用來進行對抗。
信息安全專家方濱興院士在深入分析和繼承了傳統信息安全的定義前提下,根據當前國際信息安全的發展現狀,給出了信息安全四要素,并重新概括和界定了新線圈的內涵和外延。
在諸多信息安全的屬性中,分析可見,機密性、真實性、可控性、可用性屬于基本屬性,相互不能蘊涵。其中機密性反映了信息與信息系統的不可被非授權者所利用;真實性反映了信息與信息系統的行為不被偽造、篡改、冒充;可控性反映了信息的流動與信息系統可被控制者所監控;可用性反映了信息與信息系統可被授權者所正常使用。而其它屬性,包括實用性、完整性、合法性、唯一性、不可否認性、特殊性、占有性、可追溯性、生存性、穩定性、可靠性等,則屬于上述四個基本屬性的某個側面的突出反映,因此可以歸結為這四個基本屬性之中。其中實用性反映的是機密性在密鑰依賴方面的機密屬性;完整性、合法性、唯一性、不可否認性、特殊性分別反映的是真實性在信息內容本身、信息來源、信息系統行為主體、信息的發布行為、信息熵方面的真實屬性;占有性、可追溯性分別反映的是可控性在對信息資源的保護、對信息及信息系統行為的審計能力的反映;生存性、穩定性、可靠性分別反映的是可用性在信息系統的容災能力、信息系統的健壯能力、信息系統的可靠能力方面的可用屬性。由此,機密性、真實性、可控性、可用性這四個基本屬性實際上就是信息安全的四個核心屬性,可以反映出信息安全的基本概貌。相對信息安全金三角而言,可稱之為信息安全四要素,簡稱CACA,如圖3所示。
圖3信息安全四要素
根據這一思路,重新定義信息安全的概念如下:信息安全是對信息系統、信息與信息的利用的固有屬性(即“序”)攻擊與保護的過程。它圍繞著信息系統、信息及信息熵的機密性、真實性、可控性、可用性這四個核心安全屬性,具體反映在物理安全、運行安全、數據安全、內容安全、信息對抗等五個層面上。
綜合信息安全的層次性特性與安全屬性特性,可以形成一個信息安全概念的經緯線,如表1所示:
表1信息安全概念的經緯線
傳統信息安全的定義
“信息安全”曾經僅是學術界所關心的術語,就像五、六十年前“計算機”被稱為“電算機”那樣僅被學術界所了解一樣。現在,“信息安全”因各種原因已經像公眾詞匯那樣被人所熟知,盡管尚不能與“計算機”這個詞匯的知名度相比,但也已經具有廣泛的普及性。問題的關鍵在于人們對“計算機”的理解不會有什么太大的偏差,而對“信息安全”的理解則各式各樣。種種偏差主要來自于從不同的角度來看信息安全,因此出現了“計算機安全”、“網絡安全”、“信息內容安全”之類的提法,也出現了“機密性”、“真實性”、“完整性”、“可用性”、“不可否認性”等描述方式。
關于信息安全的定義,以下是一些有代表性的定義方式:
1)國內學者給出的定義是:“信息安全保密內容分為:實體安全、運行安全、數據安全和管理安全四個方面。”
2)我國相關立法給出的定義是:“保障計算機及其相關的和配套的設備、設施(網絡)的安全,運行環境的安全,保障信息安全,保障計算機功能的正常發揮,以維護計算機信息系統的安全”。這里面涉及了物理安全、運行安全與信息安全三個層面。
3)英國BS7799信息安全管理標準給出的定義是:“信息安全是使信息避免一系列威脅,保障商務的連續性,最大限度地減少商務的損失,最大限度地獲取投資和商務的回報,涉及的是機密性、完整性、可用性。”
4)美國國家安全局信息保障主任給出的定義是:“因為術語‘信息安全’一直僅表示信息的機密性,在國防部我們用‘信息保障’來描述信息安全,也叫‘IA’。它包含5種安全服務,包括機密性、完整性、可用性、真實性和不可抵賴性。”
5)國際標準化委員會給出的定義是:“為數據處理系統而采取的技術的和管理的安全保護,保護計算機硬件、軟件、數據不因偶然的或惡意的原因而遭到破壞、更改、顯露”。這里面既包含了層面的概念,其中計算機硬件可以看作是物理層面,軟件可以看作是運行層面,再就是數據層面;又包含了屬性的概念,其中破壞涉及的是可用性,更改涉及的是完整性,顯露涉及的是機密性。
從信息安全的作用層面來看,人們首先關心的是計算機與網絡的設備硬件自身安全,就是信息系統硬件的穩定性運行狀態,稱之為“物理安全”;其次人們關心的是計算機與網絡設備運行過程中的系統安全,就是信息系統軟件的穩定性運行狀態,稱之為“運行安全”;當討論信息自身的安全問題時,涉及的就是狹義的“信息安全”問題,包括信息系統中所加工存儲和網絡中所傳遞的數據的泄漏、仿冒、篡改以及抵賴過程所涉及的安全問題,稱之為“數據安全”。因此,從信息安全作用點來看問題,可以稱之為信息安全的層次模型,這也是國內學者普遍認同的定義方式,如圖1所示。
圖1一種信息安全的層次模型
從信息安全的基本屬性來看,機密性就是對抗對手的被動攻擊,保證信息不泄漏給未經授權的人,或者即便數據被截獲,其所表達的信息也不被非授權者所理解。完整性就是對抗對手主動攻擊,防止信息被未經授權的篡改。可用性就是確保信息及信息系統能夠為授權使用者所正常使用。這三個重要的基本屬性被國外學者稱為“信息安全金三角”(CIA,Confidentiality-Integrity-Avaliability),如圖2所示。
#p#
企業信息安全框架及其實施內涵
從上一節的介紹不難看出,當代信息安全定義在企業信息安全中的使用還存在如下幾個問題,需要進行進一步改進:
◆概念含糊不清,且沒有給出實施的可用參考:只是列出了信息安全需要關注的協議層面、系統單元和牽涉到的幾個安全屬性;而在安全屬性中,流量機密性和機密性本來就是同一回事,所采用的技術也是大同小異,并沒有給出企業在信息安全的保障實施過程中的任何可行性建議和手段;
◆忽略了管理安全:該框架只強調技術,而忽略了管理在企業信息安全保障中的重要作用和地位。所謂“三分技術,七分管理”,沒有管理的技術難以落到實處,缺乏管理的指導性,盲目的使用技術也是不合理的。
為了根據企業的自身特點來制定可行的企業信息安全框架,我們可以回顧一下信息安全定義。結合企業在信息安全工作的特點,將其中的“信息對抗”改進為“管理安全”,這主要是因為如下2個重要原因:
◆企業的信息安全工作主要是“防”,以防為主,立足自身,基本上不會采取信息對抗的方式來還擊外部黑客和不法用戶;
◆企業的信息安全工作很大一部分在于滿足外部對企業的審核要求,企業對自身員工、資源等的管理要求,這就依賴于管理安全,他們需要參考和遵循許多業界成熟的標準和制度,比如ISO/IEC27001、薩班斯法案等。
因此,我們形成了企業信息安全框架。其本質是:企業信息安全從技術角度來看是對信息與信息系統的固有屬性的攻擊與保護的過程。它圍繞著信息系統、信息自身及信息利用的機密性、真實性、完整性、可控性、可用性、不可抵賴性這六個核心安全屬性,具體反映在物理安全、運行安全、數據安全、內容安全、管理安全五個層面上。如圖4所示:
圖4企業信息安全框架
而根據圖4的企業信息安全框架,在實踐的過程中,需要采用各種各樣的技術來完成多個安全任務,并參照相應的業界成熟的法規和制度來進行檢查,從而完成企業信息安全工作,具體的內容請見表2。
表2企業信息安全工作內容詳表
【編輯推薦】
