温故才能知新,上文中我们从信息安全的定义出发,详细讨论了企业信息安全的内容。在此基础上,下面我们将介绍当代信息安全遇到的新内容,包括信息内容安全和信息对抗。
2、当代信息安全的新内容
从信息安全的作用层次来看,前面已经介绍了人们所关注的三个层面,即物理安全层、运行安全层、及数据安全层。但是,还有两个层面尚未在同一个框架之下给出清晰地描述。一个是关于信息内容的安全问题,一个是关于信息对抗的问题,这两个层面的安全问题也是业界普遍关心的问题。所不同的是,内容安全更被文化、宣传界人士所关注;而信息对抗则更被电子对抗研究领域的人士所关注。
信息内容安全的问题已经深刻地展现在现实社会面前,主要表现在有害信息利用互联网所提供的自由流动的环境肆意扩散,其信息内容或者像脚本病毒那样给接收的信息系统带来破坏性的后果,或者像垃圾邮件那样给人们带来烦恼,或者像谣言那样给社会大众带来困惑,成为社会不稳定因素。但是,就技术层面而言,信息内容安全技术的表现形式是对信息流动的选择控制能力,换句话说,表现出来的是对数据流动的攻击特性。
信息对抗严格上说是信息谋略范畴的内容,是讨论如何从多个角度或侧面来获得信息并分析信息,或者在信息无法隐藏的前提下,通过增加更多的无用信息来扰乱获取者的视线,以掩藏真实信息所反映的含义。从本质上来看,信息对抗是在信息熵的保护或打击层面上讨论问题,也就是围绕着信息的利用来进行对抗。
信息安全专家方滨兴院士在深入分析和继承了传统信息安全的定义前提下,根据当前国际信息安全的发展现状,给出了信息安全四要素,并重新概括和界定了新线圈的内涵和外延。
在诸多信息安全的属性中,分析可见,机密性、真实性、可控性、可用性属于基本属性,相互不能蕴涵。其中机密性反映了信息与信息系统的不可被非授权者所利用;真实性反映了信息与信息系统的行为不被伪造、篡改、冒充;可控性反映了信息的流动与信息系统可被控制者所监控;可用性反映了信息与信息系统可被授权者所正常使用。而其它属性,包括实用性、完整性、合法性、唯一性、不可否认性、特殊性、占有性、可追溯性、生存性、稳定性、可靠性等,则属于上述四个基本属性的某个侧面的突出反映,因此可以归结为这四个基本属性之中。其中实用性反映的是机密性在密钥依赖方面的机密属性;完整性、合法性、唯一性、不可否认性、特殊性分别反映的是真实性在信息内容本身、信息来源、信息系统行为主体、信息的发布行为、信息熵方面的真实属性;占有性、可追溯性分别反映的是可控性在对信息资源的保护、对信息及信息系统行为的审计能力的反映;生存性、稳定性、可靠性分别反映的是可用性在信息系统的容灾能力、信息系统的健壮能力、信息系统的可靠能力方面的可用属性。由此,机密性、真实性、可控性、可用性这四个基本属性实际上就是信息安全的四个核心属性,可以反映出信息安全的基本概貌。相对信息安全金三角而言,可称之为信息安全四要素,简称CACA,如图3所示。
图3 信息安全四要素
根据这一思路,重新定义信息安全的概念如下:信息安全是对信息系统、信息与信息的利用的固有属性(即“序”)攻击与保护的过程。它围绕着信息系统、信息及信息熵的机密性、真实性、可控性、可用性这四个核心安全属性,具体反映在物理安全、运行安全、数据安全、内容安全、信息对抗等五个层面上。
综合信息安全的层次性特性与安全属性特性,可以形成一个信息安全概念的经纬线,如表1所示:
表1 信息安全概念的经纬线