信息安全基礎概念

1信息安全
1.1  信息的概念

自上世紀90年代，隨着互聯網在全球範圍內的興起，我們的世界被“第三次浪潮”推進了信息的海洋，我們的社會生活跨入了“信息的時代”。“信息”，“information”，這個詞彙絕對可以排進本世紀前十年最常用詞彙表。

但是，如果請哪一位來給“信息”下個定義，或者解釋一下什麼是“信息”，想必還是很有難度的。

信息是“我們在適應外部世界，控制外部世界的過程中同外部世界交換的內容的總稱”。

——《控制論——動物和機器中的通訊與控制問題》，美國數學家、控制論的奠基人諾伯特·維納。

信息是反映事物的形成、關係和差別的東西，它包含於事物的差異之中，而不在事物本身。

——《信息論：新的趨勢與未決問題》，意大利學者朗高。

筆者是物理專業畢業，從物理學的角度來看，我們的世界就是能量不同形式的表現，電、磁、聲、光、熱等等，並且還處於不停地轉化和耗散之中。物質是能量的表現形式之一，屬於有形實體，還有無形實體，比如電磁場、引力場等。而這些實體的變化和相互作用的表現就是信息，這是廣義的信息。而我們正是通過這些“表現”，認知和識別這些實體及其相互關係。信息同樣藉助於這些有形實體和無形實體存在和傳遞。

我們這個世界就是能量以各種形式的展現及其不停地轉化的表現。儘管能量是守恆的，但是能量的變化所散發出的信息是無窮的，信息代表了能量的變化。

 

1.2  信息的價值

信息充斥着我們所存在的世界，隨着科技的不斷進步，獲取、收集信息的手段不斷翻新，分析、識別、處理信息的能力不斷增強，愈來愈多的信息呈現在我們面前，我們正在前所未有的發現信息的價值。

每一個事物的存在都會在我們這個世界上留下印記，因爲它的存在必然以與這個世界的交互才得以被感知，交互的發生會以多種形式顯現，比如我們所熟知的聲音、影像、文字等等這些聽得到、看得見的感官輸入信息形式，以及那些聽不到、看不見的比如電磁輻射等形式。

我們與外部環境的每一個交互都會產生以不同形式存在的信息，其中一些的存在是我們所知曉的，另一些可能是我們所忽視的。舉個例子，當我們使用電腦敲擊鍵盤進行輸入時，輸入的內容會出現在顯示器上，同時敲擊鍵盤還會發生聲響，這種聲響同樣攜帶着輸入內容的信息，當第三者可以收集這些聲響並通過特定的方法和手段對其進行分析後，他可以重放輸入的內容。類似的情況也出現在針式打印機打印作業時，對於噴墨或激光打印機的類似研究也在進行中。

當我們認爲某一類或某一條信息沒有價值而被我們忽略或者摒棄時，往往是因爲我們還未能發現其所具有的價值，但其實信息的價值與生俱來，只是在其存在的生命週期過程中是否被我們被發現，是否能夠被我們所識別、所利用。

 

1.3  信息資產

通過前面的論述，我們可以得出信息是具有價值的這一結論，有價值的東西是什麼？我們一般稱之爲“資產”。因此，信息也可以被稱爲“信息資產”（Information Asset）。

信息資產的表現形式是那些用於存儲、傳輸、計算以及輸入、輸出信息的物理實體。

我的名字、電話屬於信息，通訊錄存儲了這些信息，通訊錄可能是一張紙，也可能是一個電子文檔，那麼這張紙或電子文檔是信息資產。

網絡是用於傳輸信息的設施，因此構成網絡的路由器、交換機等設備也是信息資產。

PC服務器或小型機等主機設備是通過計算對信息進行處理的設備，因此它也是信息資產。

操作系統、中間件、數據庫、應用程序等構成了具備對特定信息的處理能力的計算環境，因此這些軟件也是信息資產。

鍵盤、顯示器是輸入和輸出信息的交互界面，它們也是信息資產。

那麼我們一般如何面對有價值的事物呢？

——適當的保護，因爲信息具有價值！價值不是金錢，但價值的折損往往帶來金錢方面的損失！

 

1.4  信息安全

信息安全似乎還沒有一個確切的定義，西方人在這種情況下通常使用模型或要素的概念來應對這種難於用文字語言完整描述的情形，就像對軟件質量的定義，也是通過軟件質量模型來描述，這樣的一個好處是在定義的同時還給出了可以度量或測量的對象模型。

1.4.1  信息安全的經典模型

信息安全的經典模型是CIA模型，即：

機密性（Confidentiality）

完整性（Integrity）

可用性（Availability）

 

圖 1‑1
信息安全經典CIA三要素模型

1.4.2  信息安全的“帕克裏安”六角模型

在傳統的“CIA”三角模型基礎上增加了三個要素，形成了“The Parkerian Hexad”模型，即“帕克裏安”六角模型。它包括了6個安全要素：

 

圖 1‑2  帕克裏安-哈薩德模型

Confidentiality（機密性）

指信息不爲其他不應獲得者獲得。信息不應被未經授權的主體所知悉。比如電話通話內容被竊聽，就是典型的機密性喪失的案例。

Possession or control（擁有或控制，即所有權）

財務上能否確認一項資產，很重要的一個判斷標準是看該項資源是否爲本單位所擁有或能夠控制。

Integrity（完整性）

指信息在傳輸、存儲的過程中，確保信息或數據不被未授權的篡改或在篡改後能夠被迅速發現。

Authenticity（真實性）

指信息確實來自其所有者，能夠對僞造的信息進行鑑別。

Availability（可用性）

保證合法用戶對信息和資源的使用不會被不正當地拒絕。

Utility（實用性）

信息能夠被用於特定的目的。比如對文檔進行加密後忘記了密碼，導致文檔不可訪問。

通過以上6個要素來標識一個信息資產的安全。

“帕克裏安”六角模型目前還在信息安全專家們的辯論之中。因爲業界雖然普遍認爲傳統的CIA模型應該被擴充，但對於擴充的新要素一直存在爭論，比如“不可否認性（不可抵賴性）”、“可審計性”等等。

本文1.4.1和1.4.2中部分內容來自“維基百科”和美國諾維奇大學M.E.Kabay教授的PPT—The Parkerian Hexad。

本文系原創文章，轉載或在其他場合引用本文觀點請註明引自“ITIL先鋒論壇-longerwood”，謝謝合作！

 

載自：http://www.itilxf.com/thread-3767-1.html