2017精神病宣传主题:关于信息安全内涵与外延的思考

中国信息安全产品测评认证中心(2008-01-31 07:44:01)

编辑寄语    推动国家信息化建设和信息安全保障工作，信息安全人才的培养是关键。从多渠道、多元化人才培养角度来说，信息安全知识的普及，对提高整个国家的信息安全保障能力和全社会的信息安全意识具有至关重要的作用，它使人们能进一步了解和掌握基本的信息安全知识，强化各方面的信息安全保障。    

    为进一步推动社会信息安全意识的培养和信息安全知识的掌握，同时应广大读者的要求，《国家信息安全测评认证》杂志拟从本期起推出“信息安全知识讲座”栏目。本栏目将在充分整合、优化国家信息安全教育资源的基础上，邀请国内知名信息安全专家主讲，为读者陆续推出“信息安全概念、信息安全保障综述、信息安全标准、信息安全法律法规、信息安全攻防技术、信息安全模型、信息安全管理体系、信息安全测评、风险评估、信息安全工程、密码技术基础等多个主题的讲座，力图以深入浅出的叙述讲授由小及大，由浅而深的信息安全知识世界，达到普及信息安全基础知识，培养信息安全相关技能，增强公众信息安全意识的目的。同时，我们也希望这个栏目能成为业内外人士相互交流、共同探讨信息安全知识的多彩平台。 

一、关于信息安全的概念

    谈信息安全，首先要明确信息安全的概念。概念由内涵和外延组成。内涵是反映事物（即思维对象）的本质属性，外延是指具有该概念所反映的本质属性的一切对象。概念的内涵与外延成反比关系：内涵越少，外延越大；内涵越多，外延越小。逻辑学里，明确概念内涵的方法是下定义，明确概念外延的方法是将对象进行划分或分类。在著名的“白马非马”的争论中，其关键是白马与马是不是两个不同的概念，如果是，白马与马就分别属于两个不交叉的集合，即“白马非马”；如果将马定义成“具有野生马的外形和生物特征的动物”，那么白马就应该属于马的一个外延，白马自然是马。再者，雕刻成马形状的石头，按理说是块石头，可为什么人们总叫做马呢？这说明，没有一个概念是一成不变的。    

    翻查《辞海》（1999年版）和《现代汉语词典（2002年增补本）》（外语教学与研究出版社），都没有找到信息安全这个词条。而对安全一词，《现代汉语词典（2002年增补本）》给出的解释是“没有危险、不受威胁、不出事故”。英文中表示安全的词有两个：safety和security，解释大意是“the state of being safe and protected from danger or harm”。可以看出，词典不是直截了当地给出定义，它要么通过反面的描述（没有危险、不受威胁、不出事故）来给出定义，要么通过同义词反复来下定义（the state of being safe）。这几个定义都没有说明安全的本质属性。况且，“不受威胁”的存在估计只能在传说中才有也不符合客观实践现实。更何况信息安全这一新事物，就更难以给出它的定义了，接下来看看研究信息安全的权威机构是如何给信息安全下定义的。    

    在立法上，《中华人民共和国计算机信息系统安全保护条例》（1994年）第三条规定：“计算机信息系统的安全保护，应当保障计算机及其相关的和配套的设备、设施(含网络)的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行”。这里所说的信息安全，先对安全对象进行划分，分成计算机、设备、网络、环境、信息和运行，然后分别保障各个部分的安全。我们已经知道，“明确概念外延的方法是将对象进行划分或分类”，因此，可以看出这里的信息安全其实是信息安全外延的安全，通过外延来向其内涵逼近的方式来实现信息安全。与其说是信息安全的定义，不如说是信息安全的组成项。 英国BS7799标准给出的定义是：“信息安全是使信息避免一系列威胁，保障商务的连续性，最大限度地减少业务的损失，最大限度地获取投资和商业的回报，涉及的是保密性、完整性、可用性（英文全拼及缩写）”。    

    国际标准化委员会给出的定义是：“为数据处理系统而采取的技术的和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、暴露”。这个定义的安全涉及三个层面：物理层面（硬件）、运行层面（软件）及数据层面（数据）；安全属性也有三个：可用性（破坏）、完整性（更改）、保密性（暴露）。    

    在美国，原先所讲的信息安全一般只包含保密性，随着形势的发展，美国国防部和国家安全局都开始使用信息保障（IA，Information Assurance）一词，正如IATF和NIST 800系列中所使用的。安全属性也扩展到5个：保密性、完整性、可用性、真实性和不可抵赖性。    

    这几个概念除了做类似的分类或分层外，还进一步给出它们所需要达到的安全目标（或称为安全属性），即保密性、完整性、可用性、真实性和不可抵赖性等之中的部分或全部，通过实现安全目标使系统达到安全状态。在现阶段，由于工程实践的需要，人们往往把这些信息安全目标与信息安全等同起来，但我们应注意到信息安全的本质内涵还有许多值得研究的地方。

二、对信息安全内涵与外延的分析

    首先，这些安全属性内在是有冲突。以计算机及计算机系统之间的联通性和互操作性为最高目标的互联网，就是以牺牲保密性和完整性为代价的。突出强调保密性的BLP模型，其访问控制规则是“可下读和可上写”，即拥有高密级信息的人可以读取低密级的信息，密级低的信息可以写入密级高的环境；而强调完整性的Clark-Wilson模型，其访问控制规则是“可上读和可下写”，即低完整性级别的用户可以读取高完整性级别的数据，高完整性级别的用户可以把信息写入低完整性级别的环境中。可以看出，过分强调某一安全属性必然要牺牲其他安全属性。我们身边无数的事例也都说明了这一点。互联网的建设一开始就以联通和互操作为最高目标，不可避免地要在安全的其他方面做出妥协和牺牲。    

    其次，如果把信息安全看成是保密性、完整性和可用性等安全属性之间的一种平衡，那么与其把这些安全属性当作信息安全的本质属性，不如说如何“平衡”才是安全更深层次的内涵。而对这种“平衡”的研究恰是当前信息安全研究的薄弱环节。    

    再者，实践工作中，很多安全解决措施的本质与现有的安全目标（保密性、完整性和可用性等）没有多大的直接关系。比如说防火墙产品，它所要完成安全目标是哪一个？有人说是保密性，但一个保密性方案里，提供防火墙给人有种“牛头不对马嘴”的感觉。再如，入侵检测系统（IDS）所要实现的安全目标是哪一个？针对这些是不是也要总结出一些安全目标或属性？更何况应急响应、灾难备份、业务连续性等。    

    最后，随着信息化的发展，安全目标也越来越多。信息技术萌芽时优先考虑的是可用性，随后是保密性和完整性，后来又增加了真实性和不可抵赖性，再后来又有人提出可控性、不可否认性等等。这样，要实现具有这么多安全属性、并达到相互之间平衡的信息系统近乎是件不可能的任务，以至于后来的通用评估准则（CC，ISO/IEC 15408， GB/T 18336）和风险管理准则（BS7799，ISO/IEC 27001）都直接以安全对象所面临的风险为出发点来分别研究信息安全产品和信息系统安全，针对每一风险来采取措施，其终极安全目标是要保护信息资产的安全，保障业务系统的连续运行。这样，其实是有意地把信息安全的“主义”与信息安全的“问题”暂时分开来，从工程实践方面先解决“问题”，以满足现实中迫切的信息安全需求。   

    因此，在实际工作中，人们也就自然地把信息安全与信息安全目标联系起来，信息安全建设也不直接以安全为目标，而是通过信息安全目标的建设，来提高整个系统的安全水平，以向最终的安全靠近。当前世界上，绝大多数国家采用ISO15408作为信息安全产品技术的通用标准，它以风险为核心，通过提供安全功能来满足安全风险所引导出的安全需求，通过提供安全保证功能来保障所提供的安全功能正确且恰当的实现，保证级别越高，保障的程度越大。针对信息系统的安全问题，GB/T 20274《信息系统信息安全保障评估框架》也以风险作为核心和出发点。 而风险是针对信息安全对象与其所处的环境而言的，由信息资产及其脆弱性、所面临的威胁和可能面临的损失所组成。从另一角度看，风险也在部分程度上反应并决定了资产所有者或使用者的安全需求。因此，风险问题与安全需求可以看作是信息安全本体的两面，通常的解决方案中都要包含一个将信息安全对象进行分类或分层的过程。根据定义，这个过程也就是得出信息安全外延的方法。综上所述，可以看出，风险问题与安全需求其实都是通过信息安全外延来进行的。常见的信息安全外延，如下图所示。  

信息安全外延图    

    人们对于信息安全的内涵有着不同的理解，所能达成共识的地方并不多，因此可以估计信息安全外延应是非常广泛的（内涵越少，外延越大），事实上也是如此。党十六届四中全会上把信息安全提升到与政治安全、经济安全、文化安全同样地位的高度，极大丰富和扩充了信息安全的外延，由此引出的风险评估、灾难备份、应急响应、业务连续性、安全保障和等级保护等新的安全范畴。    

    前面说到，信息安全属性很多而且其平衡点不好找。因此，信息安全建设就难以从信息安全对象本身出发。但如果从信息安全外延入手，因为每个外延在安全属性方面有侧重点，不需要在某个安全外延上实现所有的安全属性，这样就能极大简化信息安全工作，也能降低安全平衡的要求。如防火墙系统只需实现流量过滤控制即可。    

    实际工作中，我们通过问卷调查或引导等方法来找出信息系统的安全外延，通过满足每个安全需求来实现信息系统安全建设。通过不断找出信息系统可能存在的风险并加以解决，不断接近信息安全，从而提高我们对信息系统安全的信心，提高我们对信息系统实现组织机构目标的信心。                                    

三、结 语 

    信息安全的内涵与外延构成了信息安全的概念。今天，人们往往把信息安全以保密性、完整性和可用性为代表的安全属性等同于信息安全的本质属性，这因为一方面在实践工作中这就几乎是当前的最高成就，另一方面也为理论研究留有余地。对于安全属性之间的相互关系和“平衡”问题，聪明的人们通过安全外延的方式来加以规避或弱化问题的尖锐性——即把信息安全的总体安全问题，通过分层次、多角度、有侧重的加以解决，通过各个外延的分工及彼此间的协作来向最终安全目标迈进。    

    信息安全理论与实践之间尚不完美的统一，构成了当前另一类型的“主义与问题”之争。我们要正视这个问题，不能片面地把“没有百分百的安全”、“安全问题其实是信心问题”、“治标不治本”等各种说法变成口头禅，更加不能做为“不作为”的理由；也不片面地宣告理论无用论，“没有目标的行动只会带来噩梦”。    

    要正视基础理论研究的困难，更要把迫切的安全问题和需求挂在心上。因此，有无作为是衡量信息安全工作成绩的重要标准之一。实践中，我们对信息安全工作绩效的判断标准也从“有无事故”的“一把手责任”逐渐向强调做好“应急预案”、做好突发事件的处理转变。这也从另一个侧面反映了领导层对信息安全有着更深刻的认识。    

    只有了解和把握信息安全内涵与外延的现状，才能更好地投身于信息安全建设中。这也是一个新的起点。