1.1.1 信息安全的发展过程
对信息的安全、可靠和保障方面的考虑从自动化系统问世以来就有了。人们对信息安全的认识,经历了一个由浅入深、由片面到全面、由离散到整体的历史过程,这是在人们的实践中逐步完善的,并且与信息技术的发展相伴,受到不同历史阶段应用需求的驱动。通常认为,信息安全的发展经过了四个历史发展阶段:通信保密阶段(又称通信安全,COMSEC)、计算机安全(COMPUSEC)、信息安全(INFOSEC)、信息保障(IA)[4],如图1.3所示。在每一个阶段,信息安全都有着不同的内涵。
图1.3 信息安全的发展阶段
(1)通信保密阶段。通信保密阶段开始于20世纪40年代,其时代标志是1949年香农发表的《保密系统的信息理论》,该理论首次将密码学的研究纳入了科学的轨道。在这个阶段所面临的主要安全威胁是搭线窃听和密码分析,其主要保护措施是数据加密。该阶段人们关心的只是通信安全,而且关心的对象主要是军方和政府机构。由于当时计算机速度和性能比较落后,使用范围有限,因此通信保密阶段重点是通过密码技术解决通信保密问题的,保证数据的机密性和完整性。
(2)计算机安全阶段。进入到20世纪70年代,通信保密阶段转变到计算机安全阶段。这一时代的标志是1977年美国国家标准局公布的《国家数据加密标准》(DES)和1985年美国国防部公布的《可信计算机系统评估准则》(TCSEC)。这些标准的提出意味着信息安全问题的研究和应用跨入了一个新的高度。此阶段主要在密码算法及其应用和信息系统安全模型及评价两个方面取得了很大的进展。
(3)信息安全阶段。20世纪90年代以来,通信和计算机技术相互依存,Internet发展成为一项通用技术平台,安全的需求不断地向社会各个阶段扩展,人们关注的对象已经逐步从计算机转向更具本质性的信息本身,信息安全的概念随之产生。人们需要保护信息在存储、处理或传输过程中的安全,于是除保密性、完整性和可用性之外,人们对安全有了新的需求:可控性和不可否认性。
(4)信息安全保障阶段。从信息安全的发展过程中可以看出,随着信息技术本身的发展和信息技术应用的发展,信息安全的内涵和外延都在不断地加深和扩大,包含的内容已从初期的数据加密演化到后来的数据恢复、信息纵深防御等。人们已经意识到安全不再局限于信息的保护,而是需要对整个信息和信息系统的保护和防御;同时安全已应用的结合更加紧密,追求适度安全已成为共识,安全不再单纯以功能或机制的强度作为评价指标,而是结合了应用环境和应用需求,强调安全是一种信心的度量,使信息系统的使用者确信其预期的安全目标已获满足。
1996年美国国防部(DoD)在国防部令S-3600.1对信息保障作了如下定义:“保护和防御信息及信息系统,确保其可用性、完整性、保密性、可认证性、不可否认性等特性。这包括在信息系统中融入保护、检测、反应功能,并提供信息系统的恢复功能。”如图1.4所示。
图1.4 P2DR模型示意图
上述定义表明当前看待信息安全问题的视角已经不再局限于单个维度,而是将信息安全问题抽象为一个由信息系统、信息内容、信息系统的所有者和运营者、信息安全规则等多个因素构成的一个多维问题空间。这些变化均反映了人们对信息安全的意义内容、实现方法等一直在不断地思索和实践。