1.1　信息安全基本概念

1.1.1　信息安全研究范围

“信息”作为科学术语最早出现在哈特莱于1928年在《贝尔系统技术》杂志上发表的题为《信息传输》的论文中。哈特莱认为“信息是选择的自由度”，他把“信息”理解为选择通信符号的方式，并指出不管通信符号所代表的意义是什么，只要从符号表中选择的符号数目一定，信息的发送者所能发出的信息数量就被限定了，信息的接受者也能正确地接受和解释相应的信息。哈特莱的思想和研究成果为信息论的创立奠定了基础。

20年后，信息论奠基人香农在《贝尔系统技术》杂志上发表论文《通信的数学理论》。香农也是从信息通信角度给出信息的定义，并从数学推演角度赋予他的信息学说一个精确理论的形象，引起学术界的重视。此后，许多来自网络通信、信息处理等领域的研究者分别从各自的研究领域出发，给出了关于信息的各种定义。

信息本身是无形的，它借助于信息载体以多种形式存在，例如可存储在计算机、磁盘、硬盘、纸张等介质中；可通过固定网络、无线宽带等通信方式进行传输；可被人、生物、机器等实体感知、识别、变换和利用。人们把处理这些信息载体所采用的各种技术总称为信息技术（IT）。因此，信息技术也常被称为信息和通信技术（ICT），是“应用信息科学的原理和方法研究信息的产生、获取、转换、传输、存储、处理和利用的工程技术”。

随着信息技术的发展，政府、军队、公司、金融机构、医院等组织机构构建了各种各样的信息技术系统（统称为IT系统），积累了大量的产品研发、生产经营、财务运作、员工档案、客户关系等组织业务运营和生产经营相关的信息资产。这些资产被收集、组织、存储在IT系统内，并通过网络传输到组织内外相关的网络化系统中。诸如个人信息、重要数据等敏感信息一旦泄露或遭受破坏，可能会导致相关机构和个人在经济等多个层面的损失。因此，信息安全技术从20世纪60年代开始逐步得到重视。

对信息的保护应从多个方面进行考虑。例如，IT系统必须遵循各种法律法规及组织合规性的要求，确保IT系统及其管理信息受到保护，不受偶然的或者恶意的因素影响而遭到破坏、修改、泄露；同时IT系统及其IT产品组成部分应能连续、可靠地运行，保证组织业务运行的连续性。

实际上，信息保护的目标随着人们对信息安全技术的认识逐步加深而渐渐清晰。信息安全最初用于保护IT产品和系统中处理和传递的秘密数据，注重数据在传输和存储过程中的保密性。因此，早期的信息安全主要强调的是通信安全（COMSEC）。随着主机技术、数据库技术和信息系统的广泛应用，信息安全概念逐步扩充到数据完整性，用户身份鉴别、授权与访问控制、安全审计等安全目标方面。因此，在20世纪70年代，信息安全强调计算机安全（COMPSEC）。随着计算机软硬件技术的快速发展，出现了对内开放、对外封闭的信息技术系统，计算机在处理、存储、传输和使用信息时面临被泄露、窃取、篡改、滥用、干扰、丢失等安全威胁，出现了数据加密、可信计算等面向信息保护的信息安全（INFOSEC）概念。网络的发展、特别是互联网技术使IT产品和系统的应用范围不断扩大，IT产品和系统依赖于网络的正常运行，信息安全必须要考虑网络安全（NETSEC）。计算机安全和网络安全都属于操作安全（OPSEC）层面，而对IT产品和系统基础设施的保护就称为物理安全（PHYSEC）。20世纪90年代以后，IT产品和系统的可用性上升为重要的主题，人们开始强调不能被动地保护IT产品和系统，需要有保护—检测—反应—恢复（PDRR）4个环节，信息安全进入信息保障（IA）时代。

21世纪以来，特别是随着云计算、移动互联网技术和大数据技术的广泛应用，信息安全又上升到“网络空间安全（Cyberspace Security）”层次。网络空间是所有IT产品和系统的集合，是人类生存的信息环境，人在其中与信息相互作用、相互影响，并由此产生人与人、人与社会的更深层次的交流。因此，网络空间安全又对信息安全增加了新内容，如解决存在于复杂信息处理和利用（例如大数据分析）方面的安全问题，保护在开放环境下网络化信息安全服务的控制能力（如数据驱动决策引起的信息物理系统的功能安全）等。2015年6月，国务院学位委员会和教育部批准在我国增设网络空间安全一级学科。美国计算机协会（ACM）、电气和电子工程师协会（IEEE）、信息系统协会安全专业工作组和国际信息处理联合会信息安全教育技术委员会（IFIP WG 11.8）在2017年构建了网络空间安全学科知识体系（CSEC 2017），明确了数据安全、软件安全、组件安全、连接安全、系统安全、人员安全、组织安全和社会安全8大安全领域的知识点。

（1）数据安全知识领域着眼于数据的保护，包括存储中和传输中的数据保护，涉及数据保护赖以支撑的基础理论，关键知识包括密码学、端到端安全通信、数字取证、数据完整性与不可否认性、信息存储安全。

（2）软件安全知识领域着眼于从软件的开发与使用的角度保证软件所保护的信息和系统的安全，关键知识包括基本设计原则、安全需求及其在设计中的作用、实现问题、静态与动态分析、配置与打补丁、伦理与道德（尤其是开发、测试和漏洞披露方面）。

（3）组件安全知识领域着眼于集成到系统中的组件在设计、制造、采购、测试、分析与维护等方面的安全问题，关键知识包括系统组件的漏洞、组件生命周期、安全组件设计原则、供应链管理、安全测试、逆向工程。

（4）连接安全知识领域着眼于组件之间连接时的安全问题，包括组件的物理连接与逻辑连接的安全问题，关键知识包括系统及体系结构、模型及标准、物理组件接口、软件组件接口、连接攻击、传输攻击。

（5）系统安全知识领域着眼于由组件通过连接而构成的系统的安全问题，强调不能仅从组件集合的视角看问题，还必须从系统整体的视角看问题，关键知识包括系统方法论、安全策略、身份认证、访问控制、系统监测、系统恢复、系统测试、文档支持。

（6）人员安全知识领域着眼于用户的个人数据保护、个人隐私保护和安全威胁化解，也涉及用户的行为、知识和隐私对网络空间安全的影响，关键知识包括身份管理、社会工程、意识与常识、社交行为的隐私与安全、个人数据相关的隐私与安全。

（7）组织安全知识领域着眼于各种组织在网络空间安全威胁面前的保护问题，着眼于顺利完成组织的使命所要进行的风险管理，关键知识包括风险管理、安全治理与策略、法律和伦理及合规性、安全战略与规划。

（8）社会安全知识领域着眼于把社会作为一个整体时网络空间安全问题对它所产生的广泛影响，关键知识包括网络犯罪、网络法律、网络伦理、网络政策、隐私权。

1.1.2　信息安全基本属性

在有关信息安全的国际标准中，安全通常定义为“安全是指保护信息在采集、传输和处理中，免遭未授权的泄露（保密性）、未授权的修改（完整性），并对授权实体而言是随时可用的（可用性）。”换句话说，安全是指处理信息的硬件、软件及网络受到保护，不因偶然的或者恶意的原因而遭到破坏、修改、泄露，IT系统连续、可靠、正常地运行，信息服务不中断。

当人们提出安全控制概念之后，经常会说信息安全就是通过实施各种安全控制所应达到的目的，即通过管理、操作和技术上的多种防护措施或安全对策，以保护IT产品和系统及其管理信息的保密性、完整性和可用性。因此，ISO/IEC 27002《信息技术　安全技术　信息安全管理实用规则》（对应国标GB/T 22081 《信息技术　安全技术　信息安全管理实用规则》）将信息安全定义成通过实施一组安全控制措施而达到的安全目的，包括策略、措施、过程、组织结构及软件功能，是对保密性、完整性和可用性保护的一种特性。

综上所述，信息安全可从内容和属性两个角度对其进行说明和描述。从内容角度着眼，已有的信息安全层次模型是从实体/物理安全、操作安全、数据/信息安全和管理/人员安全等层次来考虑信息安全的作用点。从安全属性着眼，业界普遍认可20世纪80年代美国推出的可信计算机系统评估准则（TCSEC）所提出的信息安全金三角（CIA）框架模型。

（1）保密性（Confidentiality）：保密性是指保证信息不泄露给非授权的用户或实体，确保存储的信息和传输的信息仅能被授权的各方得到，而非授权用户无法知晓信息内容，不能使用。它是信息安全的基本特性，也是信息安全研究的主要内容之一。对纸质文档信息，我们只需要保护好文件，不被非授权者接触即可。而对计算机及网络环境中的信息，不仅要通过访问控制制止非授权者对信息的阅读或阻止授权者将其访问的信息传递给非授权者，也要通过各种加密变换技术阻止非授权用户获知信息内容。在信息安全领域，保密性有时又称为机密性。

（2）完整性（Integrity）：完整性是指在信息生成、传输、存储和使用过程中，确保信息或数据不被未授权者篡改（插入、修改、删除、重排序等）或在篡改后能够被迅速发现。例如在数据库中，完整性是指为防止不符合语义规定的数据的存在和防止因错误信息的输入输出造成无效操作或信息错误而提出的，它主要分为域完整性、实体完整性、参照完整性和用户自定义完整性；在通信领域，完整性主要通过消息认证码等消息鉴别技术实现；在云存储领域，数据完整性主要通过数据冗余编码、数字签名、消息认证码等技术来保证。因此，完整性一般通过访问控制阻止篡改行为，同时通过消息鉴别算法来验证信息是否被篡改。

（3）可用性（Availability）：可用性是指在某个考查时间段内，信息系统能够正常运行，可以通过概率或时间占有率期望值来度量。可用性是IT产品和系统的可靠性、可维护性和维护支持性的综合特性。相对信息安全来讲，可用性是指授权主体在需要信息时能及时得到信息服务的能力。可用性是在信息安全保护阶段对信息安全提出的重要要求，也是在网络化空间中信息服务必须满足的一项信息安全要求。

当然，不同的组织和机构因其对信息安全目标的不同期望，对保密性、完整性和可用性要求的侧重会存在差异。信息安全的保密性、完整性和可用性主要强调对非授权用户的安全控制。而对授权用户（即合法身份的用户）的不正当行为如何控制呢？在TCSEC基础上，ISO/IEC 27001《信息技术　安全技术　信息安全管理体系　要求》（对应国标GB/T 22080《信息技术　安全技术　信息安全管理体系　要求》）等标准提出了信息安全的其他属性，包括可控性、不可否认性、可审计性、可鉴别性等安全属性。可控性、不可否认性等安全属性是通过控制授权用户的行为，实现对保密性、完整性和可用性的有效补充，这些安全属性主要强调授权用户只能在授权范围内对IT产品和系统资源和数据进行合法的访问和处理，IT产品和系统会对授权用户的行为进行监督和审查。

（1）可控性（Controlability）：可控性是度量IT产品和系统内的所有安全状态是否可以由其输入影响的性质。如果IT产品和系统所有状态变迁都可由输入数据来影响和控制，且从任意的初始状态都可达到某个指定状态，则称IT产品和系统安全功能行为是可控的，或者更确切地说，IT产品和系统的安全状态是可控的（否则就称IT产品和系统安全功能是不完全可控的，或简称为IT产品和系统安全功能不可控）。因此，可控性要求IT产品和系统管理的信息及其安全技术与控制机制对用户是透明的，用户可通过输入参数和安全管控措施对IT产品和系统的信息和技术机制实施安全监控管理，防止它们被非法访问和使用。

（2）不可否认性（Non-repudiation）：不可否认性是指防止发送方或接收方抵赖所传输的信息及其行为，要求无论发送方还是接收方都不能抵赖所进行的信息传输。因此，当发送一个信息时，接收方能证实该消息的确是由所宣称的发送方发来的（源非否认性）。当接收方接收到一个消息时，发送方能够证实该消息的确送到了指定的接收方（非否认性）。信息安全领域一般通过数字签名来提供抗否认服务。

（3）可审计性（Auditability）：安全审计是保障信息的保密性、完整性、可控性、可用性和不可否认性（抗抵赖）的重要手段。可审计性要求IT产品和系统记录对针对网络服务资源（包括数据库、主机、操作系统、网络设备、安全设备等）所发生的各种事件，提供给安全管理员作为系统维护以及安全防范的依据。从不同的审计角度和实现技术与机制进行划分，安全审计分为合规性审计、日志审计、网络行为审计、主机审计、应用系统审计、集中操作运维审计等。

（4）可鉴别性（Authenticity）：可鉴别性是确保一个信息的来源或信息本身被正确地标识，同时确保该标识没有被伪造，分为实体鉴别和消息鉴别。消息鉴别是指能向接收方保证该消息确实来自于它所宣称的源；实体鉴别是指在双方通信连接发起时能确保这两个实体是可信的，即每个实体的确是他们宣称的那个实体，使得第三方不能假冒这两个合法方中的任何一方。可鉴别性也是一个与不可否认性相关的概念。为了达到信息安全的目标，各种信息安全技术的使用必须遵守一些基本的原则。

需要指出的是，替代美国的TCSEC成为国际互认的信息技术安全评估通用准则对安全属性的支持是宽泛的，不仅提供了针对保密性、完整性和可用性这3个属性的安全组件（请参考本书第3章的内容），还提供了丰富的安全组件来支持可鉴别性、不可否认性、可审计性、用户隐私性、数据和实体真实性等安全属性，同时通用评估准则允许用户通过扩展组件定义来支持IT产品其他特定的安全要求。可以说，按照保护轮廓和安全目标的产生指南等通用评估准则配套文档，通过恰当的处理，通用评估准则可用于支持对由自然（包括人和非人类因素）引起的所有IT产品的安全风险评估。