信息安全概述：.doc

第1章 信息安全概述 1.1 信息与信息安全 20世纪中叶，计算机的出现从根本上改变了人类加工信息的手段，突破了人类大脑及感觉器官加工利用信息的能力。应用电子计算机、通讯卫星、光导纤维组成的现代信息技术革命的成果，使人类进入了飞速发展的信息社会时代，成为人类历史上最重要的一次信息技术革命。目前，一场信息技术革命正在横扫整个社会，无论是产业还是家庭，人类生活的各个领域无不受其影响，它改变了我们的生活方式和商业形态，使各领域相辅相成、互惠互利。 1.1.1信息与信息资产 什么是信息?近代控制论的创始人维纳有一句名言：“信息就是信息，不是物质，也不是能量。”这句话听起来有点抽象，但指明了信息与物质和能量具有不同的属性。信息、物质和能量，是人类社会赖以生存和发展的三大要素。 1.信息的定义 信息的定义，有广义的和狭义的两个层次。从广义上讲，信息是任何一个事物的运动状态以及运动状态形式的变化，它是一种客观存在。例如，日出、月落，花谢、鸟啼以及气温的高低变化、股市的涨跌等，都是信息。它是一种“纯客观”的概念，与人们主观上是否感觉到它的存在没有关系。而狭义的信息的含义却与此不同。狭义的信息，是指信息接受主体所感觉到并能被理解的东西。中国古代有“周幽王烽火戏诸侯”和“梁红玉击鼓战金山”的典故，这里的“烽火”和“击鼓”都代表了能为特定接收者所理解的军情，因而可称为“信息”；相反，至今仍未能破译的一些刻在石崖上的文字和符号，尽管它们是客观存在的，但由于人们(接受者)不能理解，因而从狭义上讲仍算不上是“信息”。同样道理，从这个意义上讲，鸟语是鸟类的信息，而对人类来说却算不上是“信息”。可见，狭义的信息是一个与接受主体有关的概念。 ISO13335《信息技术安全管理指南》是一部重要的国际标准，其中对信息给出了明确的定义：信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。信息是无形的，借助于信息媒体以多种形式存在和传播；同时，信息也是一种重要资产，具有价值，需要保护。 通常的信息资产分类 2. 信息的特点 我们更为关注的是狭义信息。就狭义信息而论，它们具有如下共同特征： (1) 信息与接受对象以及要达到的目的有关。例如，一份尘封已久的重要历史文献，在还没有被人发现的时候，它只不过是混迹在废纸堆里的单纯印刷品，而当人们阅读并理解它的价值时，它才成为信息。又如，公元前巴比伦和阿亚利亚等地广泛使用的楔形文字，很长时间里人们都读不懂它，那时候，还不能说它是“信息”。后来，经过许多语言学家的努力，它能被人们理解了，于是，它也就成了信息。 (2) 信息的价值与接受信息的对象有关。例如，有关移动电话辐射对人体的影响问题的讨论，对城市居民特别是手机使用者来说是重要信息，而对于生活在偏远农村或从不使用手机的人来说，就可能是没有多大价值的信息。 (3) 信息有多种多样的传递手段。例如，人与人之间的信息传递可以用符号、语言、文字或图像等为媒体来进行；而生物体内部的信息可以通过电化学变化，经过神经系统来传递；等等。 (4) 信息在使用中不仅不会被消耗掉，还可以加以复制，这就为信息资源的共享创造了条件。 1.1.2 信息安全 1. 信息安全的发展 信息安全的发展历经了三个主要阶段： (1) 通信保密阶段 在第一次和第二次世界大战期间，参战军方为了实现作战指令的安全通信，将密码学引入实际应用，各类密码算法和密码机被广泛使用，如Enigma密码机，在这个阶段中，关注的是通信内容的保密性属性，保密等同于信息安全。 (2) 信息安全阶段 计算机的出现以及网络通信技术的发展，使人类对于信息的认识逐渐深化，对于信息安全的理解也在扩展，人们发现，在原来所关注的保密性属性之外，还有其他方面的属性也应当是信息安全所关注的，这其中最主要的是完整性和可用性属性，由此构成了支撑信息安全体系的三要素。 (3) 安全保障阶段 信息安全的保密性、完整性、可用性三个主要属性，大多集中于安全事件的事先预防，属于保护(Protection)的范畴。但人们逐渐认识到安全风险的本质，认识到不存在绝对的安全，事先预防措施不足以保证不会发生安全事件，一旦发生安全事件，那么事发时的处理以及事后的处理，都应当是信息安全要考虑的内容，安全保障的概念随之产生。所谓安全保障，就是在统一安全策略的指导下，安全事件的事先预防(保护)，事发处理(检测Detection和响应Reaction)，事后恢复(恢复Restoration)四个主要环节相互配合，构成一个完整的保障体系。 2. 信息安全的定义 ISO国际标准化组织对于信息安全给出了精确的定义，这个定义的描述是：信息安全是为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。 ISO的信息安全定义清楚地回答了我们