随着全球范围内数据泄露、黑客攻击等安全事件不断出现,信息安全工作的重要性已为全世界所接受,很多企业目前都将信息安全工作提到了战略性的高度。然而,企业信息安全究竟要做什么?要关注哪些方面?如何来落实?这些问题一直困扰着各个企业的CSO、CIO和CEO们,为此,本文将从信息安全的定义出发,讨论企业信息安全框架及其实施内涵。
1、传统信息安全的定义
“信息安全”曾经仅是学术界所关心的术语,就像五、六十年前“计算机”被称为“电算机”那样仅被学术界所了解一样。现在,“信息安全”因各种原因已经像公众词汇那样被人所熟知,尽管尚不能与“计算机”这个词汇的知名度相比,但也已经具有广泛的普及性。问题的关键在于人们对“计算机”的理解不会有什么太大的偏差,而对“信息安全”的理解则各式各样。种种偏差主要来自于从不同的角度来看信息安全,因此出现了“计算机安全”、“网络安全”、“信息内容安全”之类的提法,也出现了“机密性”、“真实性”、“完整性”、“可用性”、“不可否认性”等描述方式。
关于信息安全的定义,以下是一些有代表性的定义方式:
1) 国内学者给出的定义是:“信息安全保密内容分为:实体安全、运行安全、数据安全和管理安全四个方面。”
2) 我国相关立法给出的定义是:“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。这里面涉及了物理安全、运行安全与信息安全三个层面。
3) 英国BS7799信息安全管理标准给出的定义是:“信息安全是使信息避免一系列威胁,保障商务的连续性,最大限度地减少商务的损失,最大限度地获取投资和商务的回报,涉及的是机密性、完整性、可用性。”
4) 美国国家安全局信息保障主任给出的定义是:“因为术语‘信息安全’一直仅表示信息的机密性,在国防部我们用‘信息保障’来描述信息安全,也叫‘IA’。它包含5种安全服务,包括机密性、完整性、可用性、真实性和不可抵赖性。”
5) 国际标准化委员会给出的定义是:“为数据处理系统而采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露”。这里面既包含了层面的概念,其中计算机硬件可以看作是物理层面,软件可以看作是运行层面,再就是数据层面;又包含了属性的概念,其中破坏涉及的是可用性,更改涉及的是完整性,显露涉及的是机密性。
从信息安全的作用层面来看,人们首先关心的是计算机与网络的设备硬件自身安全,就是信息系统硬件的稳定性运行状态,称之为“物理安全”;其次人们关心的是计算机与网络设备运行过程中的系统安全,就是信息系统软件的稳定性运行状态,称之为“运行安全”;当讨论信息自身的安全问题时,涉及的就是狭义的“信息安全”问题,包括信息系统中所加工存储和网络中所传递的数据的泄漏、仿冒、篡改以及抵赖过程所涉及的安全问题,称之为“数据安全”。因此,从信息安全作用点来看问题,可以称之为信息安全的层次模型,这也是国内学者普遍认同的定义方式,如图1所示。
图1 一种信息安全的层次模型
从信息安全的基本属性来看,机密性就是对抗对手的被动攻击,保证信息不泄漏给未经授权的人,或者即便数据被截获,其所表达的信息也不被非授权者所理解。完整性就是对抗对手主动攻击,防止信息被未经授权的篡改。可用性就是确保信息及信息系统能够为授权使用者所正常使用。这三个重要的基本属性被国外学者称为“信息安全金三角”(CIA,Confidentiality-Integrity-Avaliability),如图2所示。
图2 信息安全金三角模型