关于信息安全定义的分析.docxVIP

PAGE 1 PAGE 1 关于信息安全定义的分析  本文从研究着眼点的角度，提出了新的信息安全模型，即三层次、四层面模型，从信息系统的安全、信息自身的安全和信息利用的安全三个层次描述信息安全，包含物理安全、运行安全、数据安全和内容安全四个安全层面。针对目前缺乏对信息安全的精确定义或形式化定义的现状，对提出的信息安全模型进行了形式化定义，定义可以支持相关的量化描述，定义了作用对象与作用环境以及所关心的安全属性与作用环境之间的关系。  引言  随着信息技术的发展，信息安全得到越来越多的重视。信息安全最初用于保护信息系统中处理和传递的隐秘数据，注意保（机）密性，因此主要强调的是通信安全(COMSEC)。随着数据库技术和信息系统的广泛应用，安全概念扩充到完整性，访问掌握技术变得更加重要，因此要强调计算机安全(COMPSEC)。网络的发展使信息系统的应用范围不断扩大，信息系统依靠于网络的正常运行，必需要考虑网络安全(NETSEC)，计算机安全和网络安全都属于运行安全(OPSEC)层面，而对信息系统基础设施的保护就称为物理安全(PHYSEC)。90年月以来，信息系统的可用性上升为重要的主题，强调信息保障的整体性。近年来信息安全又增加了新内容，即面向应用的内容安全(CONTSEC)，主要解决存在于信息利用方面的安全问题，保护对信息系统的掌握能力。  信息系统在社会发展中的重要地位促使学术界对信息安全概念的理解和熟悉越来越深入和丰富，但是严格来说对信息安全并没有明确的定义，而只有一些相关的描述。ISO／IEC17799则定义信息安全是通过实施一组掌握而达到的，包括策略、措施、过程，组织结构及软件功能，是对保密性、完整性和可用性保护的一种特性。保密性确保信息只能被授权访问方所接受，完整性即保护信息处理手段的正确与完整，可用性确保授权用户在需要时能够访问信息相关资源。  综上所述，已有的信息安全模型分别从内容和属性两个角度对信息安全进行说明和描遂。从安全属性着眼，被学术界普遍认可的是被称为信息安全金三角(CIA)的框架模型，包括保密性、完整性和可用性三个核心属性。从内容角度着眼，存在的信息安全层次模型是将信息安全分成实体／物理安全、运行安全、数据／信息安全和管理／人员安全四层。但是从研究信息安全着眼点的角度来看，已有模型的表述中均没有包含信息的内容安全，即如何通过技术方式依据信息的内容来对安全问题进行推断。  本文从研究着眼点的角度，提出了新的信息安全模型，即三层次、四层面模型，从信息系统的安全、信息自身的安全和信息利用的安全三个层次描述信息安全，包含物理安全、运行安全、数据安全和内容安全四个安全层面。针对目前缺乏对信息安全的精确定义或形式化定义的现状，对提出的信息安全模型进行了形式化定义，定义可以支持相关的量化描述，定义了作用对象与作用环境以及所关心的安全属性与作用环境之间的关系。  信息安全的技术层次  信息载体(信息系统)安全和信息内容安全组成了完整的信息安全体系。结合目前信息系统安全的结构，从宏观的角度看，信息安全问题存在着三个层次、四个层面，并且在每个层面中各自反映了在该层面中所涉及的信息安全的属性。如图1所示。  图1信息安全的框架体系模型  在此，系统安全反映的是信息系统所面临的安全问题，其中物理安全涉及的是硬件设施方面的安全问题，运行安全涉及的是操作系统、数据库、应用系统等软件方面的安全问题。狭义的信息安全所反映的是信息自身所面临的安全问题，数据安全是以保护数据不受外界的侵扰为目的，包括与泄密、伪造、篡改、抵赖等有关的行为。内容安全则是反过来对流淌的数据进行限制，包括可以对指定的数据进行选择性的阻断、修改、转发等特定的行为以及信息对抗，即针对信息中的信息熵而进行的隐蔽、掩盖，或发觉、分析的行为。  从信息安全属性的角度来看，每个层面所涉及的信息安全的属性，对应于该层面信息安全的外部特征，也具有相应的处置方法。  物理安全：是指对网络与信息系统的电磁装备的保护。重点保护的是网络与信息系统的保密性、生存性、可用性等属性，涉及的是动力安全、环境安全、电磁安全、介质安全、设备安全、人员安全等。主要采取的措施是牢靠的供电系统、防护体系、电磁屏蔽、容灾备份等、管理体系。  运行安全：是指对网络与信息系统的运行过程和运行状态的保护。主要涉及网络与信息系统的可控性、可用性等；所面对的威逼包括系统资源消耗、非法侵占与掌握系统、安全漏洞的恶意利用等；主要的保护方式有应急响应、入侵检测、漏洞扫描等。  数据安全：是指对信息在数据处理、存储、传输、显示等过程中的保护，使得在数据处理层面保障信息依据授权使用，不被窃取、篡改、冒充、