1信息安全学科概述
1.1什么是信息安全
信息是一种资产,它像其他重要的资产一样,具有很大价值,因此需要给予适当的保护.信息安全的目的就是要保护信息免受各方面的威胁,以确保业务的持续性并尽可能地减少损失.信息能够以多种形式存在.它可以打印(或写)在纸上,可以以电子形式存储,可以通过邮寄方式(或使用电子方式)传播,也可以显示在胶片上,或用语言表达.信息无论以什么形式存在,或以何种方式共享和储存,它都应该进行适当的保护,这就是信息安全学科的主要任务.信息安全具有以下三个主要特征:
(1)保密性:确保信息只被授权人访问.换句话说,保密性就是对抗对手的被动攻击,保证信息不被泄漏给未经授权的人。
(2)完整性:保护信息和信息处理方法的准确性和原始性.换句话说,完整性就是对抗对手主动攻击,防止信息被未经授权的篡改。
(3)可用性:确保授权的用户在需要时可以访问信息.换句话说,可用性就是保证信息及信息系统确实在任何需要时可为授权使用者所用。
此外,可控性(对信息及信息系统实施安全监控)也是信息安全需要特别关注的特性之一。
信息安全可以通过实行一套适当的控制措施来实现。这些控制措施至少包括:安全策略、工作条例、程序、组织结构和软件功能等。信息安全学科是由数学、计算机科学与技术和通信工程等学科交叉而成的一门综合性学科.目前主要研究领域涉及现代密码学、计算机系统安全、计算机与通信网络安全、信息系统安全、电子商务/电子政务系统安全、信息隐藏与伪装等。
密码学是信息安全的核心,密码手段为信息安全提供了可靠的保证.比如,使用密码对信息加密是保证信息保密性的最有效办法;基于密码的数字签名和身份认证技术是当前保证信息完整性的最主要方法之一;利用密码进行系统登录管理和存取授权管理是解决信息可用性问题的有效办法:通过密码和密钥管理也可保旺信息的可控性。
1.2为何需要信息安全
信息是重要的资产.信息的保密性、完整性和可用性对维持相关机构的竞争优势、现金流动、盈利性、合法性和商业形象等至关重要。
当前,信息系统正面临着来自各方面越来越多的安全威胁,如,计算机诈骗、间谍、阴谋、破坏和火灾或水灾等.特别是计算机病毒、黑客袭击和拒绝服务攻击等对信息系统的损害已变得越来越巨大;安全事件越来越普遍;安全保障的任务越来越艰巨;安全防护人员的业务水平要求越来越高。
随着社会信息化步伐的加快,人们对信息系统和信息服务的依赖性也越来越强,这意味着信息系统更容易受到安全威胁的攻击,而且,一旦被攻击,造成的影响也就越来越大.公众网与专用网的互连互通,各种信息资源的共享,又加大了实现信息安全访问控制的难度.分布式计算的趋势,在很大程度上,减弱了集中式安全控制的有效性。
很多信息系统在设计时都没有充分考虑安全问题,实际上,如果在需求说明书中和设计阶段就把信息安全控制措施考虑进去,那么,信息安全的实施就会更加经济有效.通过纯粹的技术手段也很难实现完整的安全保障体系,还应该有适当的管理和程序支持.有效的安全控制措施既需要周密的总体规划,同时,也不能忽略某些细节问题。
1.3确定安全需求、评估安全风险
确定安全需求是建立安全保障体系的首要步骤,实施安全措施的开销不应该超过安全事故导致的损失.安全需求的确定至少应该考虑以下三个方面:
(1)对组织本身所面临的风险进行评估.通过风险评估,分析具体信息系统可能面临的威胁,确定系统的脆弱性和风险发生的可能性,并估计其潜在的影响.(2)在确定安全需求时,还需要充分考虑相关法律和法规的具体要求(比如,并不是任何人在任何系统中都可以随意使用密码技术),当然还要考虑相关机构和人员的特殊需求.(3)安全需求应该适应相关信息处理原则、目标和需求.安全仅仅是为信息系统服务的一个方面。
安全风险评估的对象既可以是整个信息系统,也可以仅仅是某些局部系统或特定的组件或服务.风险评估需要综合考虑以下内容:(1)安全事故可能造成的损失,特别是信息的保密性、完整性或可用性被破坏后所造成的潜在后果.(2)在已有安全控制措施的条件下,系统面临的主要威胁和脆弱性在哪里,由此引发安全事故的可能性有多大.对于信息安全风险的管理和为避免风险而实行的控制措施来说,风险评估结果将有助于指导和确定合适的管理措施和优先级.评估风险与选择控制措施的过程有可能需要进行若干次,以便涵盖各个信息系统.对可能的安全风险和已实施安全控制措施的有效性进行定期评审是很重要的,它有助于根据以前的评估结果和可接受的风险级别,安全评估的层次应该有所差别.风险评估通常先在高层次上进行,以便优先为高风险领域提供资源,然后在更细的层次上进行,以解决具体的风险。
1.4选择安全控制措施
安全需求确定后,就应该选择相应的安全控制措施并加以实施,以确保安全风险降低到一个可以接受的程度.安全控制措施的选择既要考虑与降低风险相关的实施成本和潜在经济损失,又要考虑非经济方面的因素(如:名誉损失)等.从法律角度来看,有效的安全控制措施应该包括:数据保护和个人信息隐私、审计记录的保护、知识产权.一般的通用信息安全控制措施至少包括:信息安全策略、信息安全责任分配、信息安全教育与培训、报告安全事故、业务持续性管理等.这些控制措施适用于大多数信息系统和大多数环境。
1.5信息安全保障体系
从技术角度讲,信息安全保障体系就是通过一定的技术手段,提高系统的入侵检测能力、事件反应能力和遭破坏后的快速恢复能力.信息保障有别于传统的加密、身份认证、访问控制、防火墙等技术,它强调信息系统整个生命期的主动防御,预警(early-Warning)、保护(Protect)、检测(Detect)、响应(Response)、恢复(Recover)和反制(Counterattack),涵盖了对现代信息系统安全保障的各个方面,构成了一个完整的体系(WPDRRC),使信息安全构筑在一个更加坚实的基础之上.信息安全保障体系的范围更宽,动态性更强,信息保障是安全加可信。
2 我国信息安全产业现状及发展趋势
2.1信息安全市场分析
2.1.2经济效益指标分析由于社会需求的迅速扩大,信息安全已经在全世界范围内形成了一个新兴的产业.据了解,目前全球信息安全产品和服务的产值约为232亿美元,其中美国为127亿美元、欧盟为58亿美元.我国信息化建设已进入全面推进和加快发展的重要时期.近年来,我国信息产业迅速发展,已成为重要的经济增长点和支柱产业.国内信息安全市场也达到了一定的规模.目前,在国内大约有专门从事信息安全产业的企业1300多家,其中有自主研发能力的企业390多家,有自主产品的企业190多家,从事信息安全服务的企业有300余家.国内信息安全产业的总产值增长速度也很快,1999年、2000年、2001年、2002年、和2003年,国内信息安全产业的总产值分别为9亿、19亿、40亿、90亿、120亿.但是,我国信息安全产业在整个信息产业中所占的比率太小,仅仅是大约2%~3%.对此,国务院信息办网络及安全专家组组长何德全院士指出,信息安全产业滞后于信息产业是正常的,但如果两者之间的差距过大,信息安全问题就会显得突出.因此,信息安全产业在整个信息产业中所占比率的增长空间还很大.比如,根据中办发[2003]17号文件要求,国家电子政务建设将建设和整合统一的电子政务网络.电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离.启动人口基础信息库、法人单位基础信息库、自然资源和空间地理基础信息库、宏观经济数据库的建设.建设和完善金关、金税和金融监管(含金卡)、宏观经济管理、金财、金盾、金审、社会保障、金农、金质、金水等12金工程.据估计,电子政务市场规模将达到1200亿元人民币.这些电子政务工程的启动,需要建设相应的信息安全基础设施来保障政务信息安全,由此产生的信息安全市场规模,按照电子政务市场10%计算,将达到120亿元人民币。
2.1.2社会效益指标分析加强国家信息安全保障工作,是我国经济发展到一定阶段的客观要求.我国信息化建设已经进入全面推进和加快发展的重要时期.近年来,我国信息产业迅速发展,已经成为重要的经济增长点和支柱产业.目前,信息技术已经在经济和社会的各个领域得到广泛应用.金融、电力、税收、交通、教育、社会保障和社会治安等系统越来越依赖于网络,现代企业特别是跨国经营的企业越来越离不开网络,各级政府的行政管理和公共服务越来越多地通过网络实现.信息系统已经成为能源、交通、金融等国家关键基础设施的神经中枢,系统的安全直接影响到关键基础设施的正常运转.一旦发生信息安全问题,导致能源、金融、交通、通信、社会服务保障等的大面积瘫痪,一些局部和地区性热点问题很容易通过网络扩散为全局性问题;一些群体性事件也很容易通过网络引发跨地区的连锁反应,从而大大增加危害程度和处置难度,严重影响社会稳定,不仅会严重影响人们正常的生产生活,还会严重干扰正常的社会经济秩序,造成重大经济损失和社会影响.事实证明,信息化程度越高,信息安全问题就越突出,信息安全保障工作就越重要,就越需要一支过硬的队伍来提供技术支持.只有有了掌握了过硬技术的队伍,才能保障信国家的信息安全,推进信息化的进一步发展,以信息化带动工业化,提高国民经济运行效率和社会生产力水平,促进我国经济的跨越式发展和全面建设小康社会宏伟目标的实现。
3 我国信息安全产业急待解决的关键技术问题
中央27号文指出“要集中力量,加强对密码技术、安全隔离与审计、病毒防范、网络监管、检测与应急处理、信息安全测试与评估、取证、卫星防攻击等关键技术以及相关技术的研究开发.”经过深入分析我国信息安全,特别是分析电子政务安全领域的现状,当前急待解决的关键技术问题有:
(1)以密码技术为基础的信任体系建设.特别是在较大范围内,将各个信任体系整合为一个更大范围的信任体系.如,在国家桥CA建设的基础上,展开信任体系的关键技术研究,为电子政务网络提供全面的信任体系解决方案,建立电子政务安全支撑基础设施与服务,为其运行提供安全监控解决方案.
(2)安全域理论以及安全域之间的隔离、访问控制和审计问题.基于安全域构建信息安全保障体系是信息安全领域中一个重要的方法.
(3)大范围爆发的蠕虫、病毒等恶意代码的防范问题.当前,对于各行各业信息化威胁最大的安全问题就是蠕虫大规模爆发问题:在2003年和2004年上半年,一些全球性的大规模蠕虫爆发事件已经给我国电子政务和相关行业的信息化应用带来的较为重大的损失.
(4)大机构和大系统的风险评估问题.风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制.没有准确及时地风险评估,会使得各个机构对于信息安全的状况做出错误的判断;风险评估应当成为各个机构建立信息安全保障体系中的优先步骤.在深入研究信息安全风险评估的理论、方法、标准、技术和工具的基础上,积极准备,为国家开展基础信息网络和重要信息系统的信息安全风险评估检查工作提供技术储备.比如,为国家电子政务建设提供包括方案设计、工程实施、工程运行等整个生命周期的全程的信息安全风险评估.
(5)网络监控体系的建设.面对高速、多媒体海量信息,如何监控信息流,获取和判断信息内容,是一个复杂且难度极高的技术问题.发达国家一般运用最新最快的计算机来进行监控管理.我国也应该在国家级监控管理层次上研究发展必要的技术手段.在电子政务领域,也应当建立相应的监控体系.
(6)应急技术研究.随着信息化的推进,我国许多重要信息都在网络上,在方便工作的同时,也存在安全的隐患.一旦发生灾难,信息的安全和恢复就会存在问题.应急是信息安全的最后一道防线.国家基础网络和重要信息系统必须有相应的应急预案,才能在灾难来临时,不会出现混乱、业务停止等问题.国外在这方面研究比较早,也取得了很大成绩,我国在充分借鉴国外先进成果的基础上,必须研发有自主知识产权的应急与冗灾理论、技术和产品.比如,应该深入研究信息系统的应急和灾备恢复体系,为国家基础网络和重要信息系统,特别是国家电子政务系统提供相应的应急预案,确保在灾难发生时系统能够正常地运行。
(7)等级保护是信息安全保障体系建设的一个重要原则和方法。
(8)反入侵和取证技术.(9)物理隔离和逻辑隔离问题,以及内外网信息交换问题。
(10)建设一体化的、高度集成的、智能化的信息安全平台.当前的信息安全防范体系是各种不同的安全产品和技术简单叠加组成的.由于不同的产品来自不同的厂家,产品的性能、规格、功能等都存在很大的差异.这些产品的简单叠加,相互之间没有任何联动的途径和机制,不能做到整个安全防范系统的简单、易用和高效,还有可能带来新的安全问题,整体的安全性如何更难以保证.国家基础信息网络和重要信息系统,特别是电子政务,急需一体化的、高度集成的、智能化的安全平台,把网络系统中的防火墙、入侵检测系统、防病毒系统、信息加密、认证系统、审计系统、响应系统、备份系统等多种安全产品和技术,进行智能化地高度集成,形成一个一体化的解决方案.各种不同的安全技术和产品,通过这一安全平台可以更好地协同工作、密切联动,从而使整个系统的安全性、效率、可管理性等。
上述关键技术问题是我国信息安全保障方面,特别是电子政务安全领域中亟待解决的关键技术问题.对于这些关键技术问题的解决,再加上良好的信息安全保障体系价值链,将这些关键点串联起来,就可以有效地提高我国信息安全保障体系的水平.此外,我国的信息安全整体水平在国际上还属于比较落后的地位.为了进一步加快我国信息安全保障体系水平的提升,需要在可控的范围内加强国际合作。
4 我国信息安全产业的发展战略
(1)信息安全产品客户化.当前国内信息安全产品种类过度集中,低水平重复较为严重,产业结构失调,资源配置不当,缺乏竞争力.从功能角度看,产品高度集中在网络周边防护和密码设备上,而身份识别和信息审计等产品相对较少.从领域角度看,安全产品主要集中在电信网、电视网和互联网的局域网系统设备、应用和用户设备的安全方面,骨干网(特别是电信骨干网和电视骨干网)的安全产品几乎是空白.由于不同行业用户有不同的安全威胁、安全环境、安全技术、安全培训和安全维护等,因此,其安全需求也各不相同.产品客户化既能够提供量身订制的服务,又能够充分发挥国内企业的优势.国内信息安全企业应该重点选择政府、金融、财政、税收、工商、电信、广电、电力、民航、交通等行业做好客户化工作.(2)信息安全技术标准化和平台化.通过标准化和平台化实现各个厂商的安全产品互连、互通、互操作,从而,易于形成协同的安全防护体系,既增加系统的安全性又增强企业产品的竞争力。
(3)信息安全产业规模化.当前国内信息安全企业的规模普遍偏小,既缺乏市场竞争力,又难以解决融资困难.必须通过市场机制,实现中小企业的快速成长,通过企业兼并等手段培养出我国自己的信息安全大型企业。
(4)信息安全产业资本投资多元化.当前,国内信息安全企业的资本结构主要以国家投资、地方政府投资和民营投资为主体.投资单一化,缺少投资机构的支持.实现投资多元化的方法很多:在可控的条件下吸引外国投资家的资本、鼓励金融中介机构入股信息安全企业、成立投资委员会帮助信息安全企业多方融资,扩展资产规模。
(5)信息安全产品市场法制化与规范化.信息安全产品与普通的民用产品并不完全相同,国家已经颁布了许多法律和法规来规范信息安全产品的研制、生产和销售等环节,但是,在法制化和规范化方面仍然还有许多工作要做,比如,政府部门的多头管理给企业造成过重的经济负担,需要尽早建设信息安全产业的统一管理机构;与许多法律和法规相配套的可操作细则也要尽早出台等。
参考文献:
[ 1] 李彦旭, 马大志, 成立.网络信息安全技术综述[ J] .半导体技术, 2002(10):9-10 .
[ 2] 杨义先, 方滨兴.网络信息安全成果大阅兵[ J] .通信学报, 2002 , 23(5):2-3 .
[ 3] 曾志峰, 杨义先.网络安全的发展与研究[ J] .计算机工程与应用, 2000(10):1-3.
杨义先
(北京邮电大学 信息安全中心)
中国论文网(www.lunwen.net.cn)免费学术期刊论文发表,目录,论文查重入口,本科毕业论文怎么写,职称论文范文,论文摘要,论文文献资料,毕业论文格式,论文检测降重服务。
