信息安全

研究信息存储、传输和处理中信息安全保障问题的理论与技术

信息安全,意为保护资讯资讯系统免受未经授权的进入、使用、披露、破坏、修改、检视、记录及销毁。政府、军队、公司、金融机构、医院、私人企业积累大量与雇员、顾客、产品、研究、金融数据有关的机密资讯,而绝大部分的资讯现在被收集、产生、存储在电脑内,并通过网络传送到别的电脑。如果企业的顾客、财政状况、新产品线的机密资讯落入竞争对手的掌握,这种安全性的丧失可能会导致经济上的损失、法律诉讼甚至该企业的破产。保护机密的资讯是商业上的需求,而在许多情况中也是道德和法律上的需求。

电脑网络入侵
防火墙的视察软件接口示例,记录IP进出情况与对应事件
“信息安全”的各地常用名称
中国大陆信息安全
台湾资讯安全
港澳资讯保安

对于个人来说,信息安全对于个人隐私具有重大的影响,但这在不同的文化中的看法差异很大。信息安全在最近这些年经历巨大变化。有很多方式进入这一领域,并将之作为一项事业。它提供了许多专门的研究领域,包括:安全的网络和公共基础设施、安全的应用软件数据库、安全测试、资讯系统评估、企业安全规划以及数字取证技术等等。为保障信息安全,要求有资讯源认证、访问控制,不能有非法软件驻留,不能有未授权的操作等行为。

名词区分

 
信安概念

信息安全这一术语,与电脑安全资讯保障(information assurance)等术语经常被不正确地互相替换使用。这些领域经常相互关联,并且拥有一些共同的目标:保护资讯的机密性、完整性、可用性;然而,它们之间仍然有一些微妙的区别。

区别主要存在于达到这些目标所使用的方法及策略,以及所关心的领域。信息安全主要涉及数据的机密性、完整性、可用性,而不管数据的存在形式是电子的、印刷的还是其它的形式;电脑安全可以指:关注电脑系统的可用性及正确的操作,而并不关心电脑内存储或产生的资讯。为保障信息安全,要求有资讯源认证、访问控制,不能有非法软件驻留,不能有未授权的操作等行为。

历史

自从人类有了书写文字之后,国家首脑和军队指挥官就已经明白,使用一些技巧来保证通信的机密以及获知其是否被篡改是非常有必要的。凯撒被认为在公元前50年发明了凯撒密码,它被用来防止秘密的消息落入错误的人手中时被读取。第二次世界大战使得信息安全研究获取许多进展,并且标志着其开始成为一门专业的学问。

20世纪末以及21世纪初见证通信、电脑硬件和软件以及数据加密领域的巨大发展。小巧、功能强大、价格低廉的计算装置使得对电子数据的加工处理能为小公司和家庭用户所负担和掌握。这些电脑很快被通常称为因特网或者万维网的网络连接起来。在因特网上快速增长的电子数据处理和电子商务应用,以及不断出现的国际恐怖主义事件,增加了对更好地保护电脑及其存储、加工和传输的资讯的需求。电脑安全、信息安全、以及资讯保障等学科,是和许多专业的组织一起出现的。他们都持有共同的目标,即确保资讯系统的安全和可靠。

基本原理

关键概念

信息安全的内容可以简化为下列三个基本点,称为CIA三要素,此观点似乎最早在NIST于1977年所发行的出版品中提到。[1]

机密性

机密性(Confidentiality)确保资料传递与存储的隐密性,避免未经授权的用户有意或无意的揭露资料内容。[2]

完整性

数据完整性(Integrity)代表确保资料无论是在传输或存储的生命周期中,保有其正确性与一致性。[3]

可用性

在信息安全领域,可用性(Availability)是成功的信息安全计划应具备的需求,意及当用户需透过资讯系统进行操作时,资料与服务须保持可用状况(能用),并能满足使用需求(够用)。[4]

其他特性

  • 可鉴别性(Authenticity):能证明主体或资源之识别就是所声明者的特性。
  • 可归责性(Accountability):确保实体之行为可唯一追溯到该实体的性质。
  • 不可否认性(Non-repudiation):对已发生的动作或事件的证明,使发起该动作或事件的实体,往后无法否认其行为。实务上做法采用数码签名技术。

3A

认证(Authentication)

识别资讯用户的身份,可记录资讯被谁所存取使用,例如:透过密码或证书方式验证用户身份。

实务做法:

  • 你所知道的(Something you know):账号/密码
  • 你所拥有的(Something you have):IC卡、数码装置、数码签名、一次性密码(OTP)
  • 你所具备的(Something you are):指纹、虹膜、声纹、脸部特征、静脉脉纹、DNA

授权(Authorization)

依照实际需求给予实体适当的权限,一般建议采最小权限(Least privilege),意即仅给予实际作业所需要的权限,避免过度授权可能造成的资讯暴露或泄漏。

资讯系统层面的实务存取控制方法分类如下:

纪录(Accounting)

内容项目包含量测(Measuring)、监控(Monitoring)、报告(Reporting)与日志案(Logging),以便提供未来作为审核(Auditing)、计费(Billing)、分析(Analysis)与管理之用,主要精神在于收集用户与系统之间交互的资料,并留下轨迹纪录。

信息安全三要素之间存在互相牵制的关系,例如:过度强化机密性时,将造成完整性与可用性的降低,需要高可用性的系统则会造成机密性与完整性的降低,因此在有限资源的前提下,在信息安全三要素中获取适当的平衡是信息安全管理层次结构的重要课题。

对信息安全的认识经历了的数据安全阶段(强调保密通信)、网络信息安全时代(强调网络环境)和目前的资讯保障时代(强调不能被动地保护,需要有保护——检测——反应——恢复四个环节)。

安全技术严格地讲仅包含3类:隐藏、访问控制密码学

典型的安全应用有:

  1. 数码水印属于隐藏;
  2. 网络防火墙属于访问控制;
  3. 数码签名属于密码学。

过程控制

突发事件控制

“网络与消息安全事件”(Network & Information Security Incident)是突发事件的一种,也被称为“消息安全事件”(Information Security Incident)。网络与消息安全事件在业界尚未有统一的定义政府管理、科学研究、企业根据各自的关注点对其的理解也存在一定的差异。至于中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会制定发布的两个现行技术标准中,对该术语的定义如下:

  • 在《讯息技术 安全技术 讯息安全事件管理指南》(GB/Z 20985-2007)中被定义为“由单个或一系列意外或有害的讯息安全事态所组成的,极有可能危害业务运行和威胁讯息安全。”
  • 在《讯息安全技术 讯息安全事件分类分级指南》(GB/Z 20986-2007)中被定义为“

各国法律、法规与标准

中国大陆最重要的信息安全标准体系是“信息安全等级保护体系”,该体系在所有主要行业进行推广,并对信息安全行业的发展产生了重要影响。台湾由行政院颁布“资通安全管理法”主要涵盖对象为中央、地方机关与公法人,及金融、能源、交通等关键基础建设提供者,并影响前述单位的组织架构、信息安全方针及预算分配。

参考文献

  1. ^ A. J. Neumann, N. Statland and R. D. Webb. Post-processing audit tools and techniques (PDF). US Department of Commerce, National Bureau of Standards: 11–3––11–4. 1977 [2021-03-16]. (原始内容存档 (PDF)于2021-04-27). 
  2. ^ Beckers, K. Pattern and Security Requirements: Engineering-Based Establishment of Security Standards. Springer. 2015: 100 [2021-03-16]. ISBN 9783319166643. (原始内容存档于2021-04-27). 
  3. ^ Boritz, J. Efrim. IS Practitioners' Views on Core Concepts of Information Integrity. International Journal of Accounting Information Systems (Elsevier). 2005, 6 (4): 260–279. doi:10.1016/j.accinf.2005.07.001. 
  4. ^ Csapo, Nancy; Featheringham, Richard. COMMUNICATION SKILLS USED BY INFORMATION SYSTEMS GRADUATES. Issues In Information Systems. 2005. ISSN 1529-7314. doi:10.48009/1_iis_2005_311-317. 

参见