1.2 信息安全的基本认识
通过上面的几个案例可以看出,人们在使用信息设备和网络资源时所引发的信息安全问题越来越多,影响越来越严重。那么到底什么是信息安全?它又是如何发展起来的呢?接下来将对这些内容进行论述。
1.2.1 信息安全的发展历程
20世纪40年代,通信保密正式进入学术界的视野。20世纪50年代,科技文献中开始出现“信息安全”一词,至20世纪90年代,“信息安全”一词陆续出现在各国和地区的政策文献中,相关的学术研究文献也逐步增加。信息安全的发展历程大体上可以分为“通信安全时代”和“信息安全时代”两个阶段。
1. 通信安全时代
此阶段始于20世纪60年代,这个阶段一般认为信息安全就是通信安全,研究如何对信息进行编码,然后在通信信道上传输,从而防止攻击者通过窃听通信信道来获取信息。
2. 信息安全时代
此阶段始于20世纪80年代,这一阶段开始采用信息安全及其属性来描述其内涵,并提出完整性、可用性、机密性、可靠性、不可否认性,其中,机密性、完整性和可用性是信息安全的三个基本目标。这三个基本目标又被称作CIA三准则,内容如图1-1所示,其作用是为了保障信息“看不到”“改不了”和“用得着”。
图1-1 CIA三准则
进入21世纪后,“信息安全”一词出现的范围不断扩大,在各类文献中出现的频次也不断增加,“信息安全”成为各国安全领域聚焦的重点,其既包括理论的研究,也包括国家秘密、商业秘密和个人隐私保护的探讨;既包括国家战略的策划,也包括信息安全内容的管理;既包括信息安全技术标准的制定,也包括国际行为准则的起草。信息安全已成为全球总体安全和综合安全最重要的非传统安全领域之一。
1.2.2 信息安全的含义
所谓信息安全,是指保障国家、机构、个人的信息空间、信息载体和信息资源不受来自内外各种形式的危险、威胁、侵害和误导的外在状态和方式及内在主体感受[1]。它是为维护计算机网络的正常秩序,避免信息、言论被滥用,避免对个人隐私、社会稳定、经济发展、国家安全造成恶劣影响而采取的一切措施,也就是为确保网络和信息系统的安全性,所建立和采取的一切技术层面和管理层面的安全防护举措,包括避免联网硬件、网络传输、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露,使系统能够连续、正常运行而采取的技术手段或管理监督的办法,以及对计算机网络中一切可能危害他人或国家利益的行为进行约束、监管及预防和阻止的措施。
以数字化、网络化、智能化、互联化、泛在化为特征的网络社会,为信息安全带来了新技术、新环境和新形态,信息安全开始更多地体现在网络安全领域,反映在跨越时空的网络系统和网络空间之中,反映在全球化的互联互通之中。由于人类开始生存在信息环境当中,人与信息相互作用相互影响,因此信息安全问题更加突出。
目前,一方面是信息技术与产业的空前繁荣,另一方面是危害信息安全的事件不断发生。敌对势力的破坏、黑客的攻击、恶意软件的侵扰、利用计算机进行的犯罪、隐私的泄露等,对信息安全构成了极大威胁。除此之外,科学技术的进步也对信息安全提出了新的挑战。由于量子和DNA计算机具有并行性,许多现有公钥密码(RSA、ELGamal、ECC等)在量子和DNA计算机环境下不再安全。可见,信息安全形势越来越严峻。
1.2.3 信息安全的危害
信息安全形势日益严峻,国家政治、经济、文化、社会、国防安全及公民在网络乃至生活当中的合法权益面临严峻风险与挑战。
(1)信息渗透危害政治安全。政治稳定是国家发展、人民幸福的基本前提。利用网络干涉他国内政、攻击他国政治制度、煽动社会动乱、颠覆他国政权,以及大规模网络监控、信息窃密等活动严重危害国家政治安全。
(2)网络攻击威胁经济安全。网络和信息系统已经成为关键基础设施乃至整个经济社会的神经中枢,遭受攻击破坏、发生重大安全事件,将导致能源、交通、通信、金融等基础设施瘫痪,造成灾难性后果,严重危害国家经济安全和公共利益。
(3)有害信息侵蚀文化安全。网络上各种思想文化相互激荡、交锋,优秀传统文化和主流价值观面临冲击。网络谣言、颓废文化和淫秽、暴力、迷信等违背社会主义核心价值观的有害信息可能会侵蚀青少年身心健康,败坏社会风气,误导价值取向,危害文化安全。网上道德失范、诚信缺失现象频发,网络文明程度亟待提高。
(4)网络恐怖和违法犯罪破坏社会安全。恐怖主义、分裂主义、极端主义等势力利用网络煽动、策划、组织和实施暴力恐怖活动,直接威胁人民的生命财产安全和社会秩序。计算机病毒、木马等在网上传播蔓延,网络欺诈、黑客攻击、侵犯知识产权、滥用个人信息等不法行为大量存在,一些组织肆意窃取用户信息、交易数据、位置信息及企业商业秘密,严重损害国家、企业和个人利益,影响社会和谐稳定。
1.2.4 信息安全技术体系
信息安全涉及的领域众多,内涵丰富,且信息安全很多相关技术尚在飞速发展中,本书无法将所有内容完整呈现,而是把学术界和产业界对信息安全的阐述做了整合,涵盖了信息安全的主要内容,重点讨论几个核心内容和热点问题,包括操作系统安全、Web应用安全、网络安全、物联网安全、移动互联网终端安全、云计算及其安全、大数据及其安全和隐私保护。从信息安全的现状和发展来看,这几个层次相互依存、相互交织、相互渗透,而且在一定条件下能够相互转化。
本书的信息安全技术体系架构如图1-2所示。
图1-2 信息安全技术体系
本书的技术体系主要包括以下一些内容。
(1)操作系统安全。本章通过对PC和移动终端操作系统常见的安全问题进行讲解,使读者对操作系统安全有更加全面的认识和理解,学会如何更加有效地保护操作系统。
(2)Web应用安全。本章主要从Web应用安全基础、常见的Web应用安全漏洞及防护方法等几个方面来阐述Web应用系统的安全问题,使读者对Web应用安全有更加全面的认识和理解。
(3)网络安全。本章主要介绍部分网络安全协议、网络层所存在的常见攻击方式和网络安全防御手段。
(4)物联网安全。本章将论述物联网的定义和应用领域,物联网的安全特征与架构,以及工业物联网及其安全,使读者能够对什么是物联网、物联网都有哪些安全特性和物联网安全等方面的知识有较为全面的认识和理解。
(5)移动互联网终端安全。本章从手机、PAD等移动互联网终端行业,来介绍移动终端在新时期互联网时代下面临的安全威胁及防护方法。
(6)云计算及其安全。本章将从云的技术核心、服务类型及发展趋势等方面对当下网络环境中的云做深度剖析。同时针对受到越来越多关注的云安全问题,提出相应的预防和解决方案。
(7)大数据及其安全。从技术上看,大数据与云计算的关系就像一枚硬币的正反面一样密不可分,大数据要依托于云计算基础设施进行大容量数据的存储、挖掘和分析处理。本章将从大数据的价值、一些典型行业的大数据应用和安全风险,以及大数据应用安全解决思路等几个方面来讲解大数据的安全问题。
(8)隐私保护。我们有的时候并不愿意把某些信息告诉给他人,对于个人来说,这些信息被称作隐私,在团队中也有某些信息是不想公布于众的,这些信息大多数被称作保密信息。在本书中,无论是个人的还是团队的信息,统称为隐私,本章将对隐私保护方面的内容进行深入讲解。