一 安全信息系統不存在

1.1安全信息系統
    首先，什麼是安全信息系統？簡單地說，安全是指一種能夠識別和消除不安全因素的
能力，安全的需求是人類的基本需求。信息系統則由通信網絡、計算機及各種應用組成。
廣義的信息系統是一個複雜的人機系統，大體可以分成三部分：硬件（通信網絡、安全設
備和計算機）、軟件（支撐軟件和應用軟件）和人員（開發、使用、維護和管理人員）。

    信息安全是信息系統的核心問題。信息系統的主要價值不在於組成信息系統自身的軟
硬件資源，而在於它所承載，處理，傳送的各種信息。然而對於信息安全這一概念，學術
界尚無統一的定義。信息安全的一般性定義必須解決保護信息資產的需要，包括信息和物
理設備（例如計算機系統）。信息安全隨着人類社會文明的發展，其地位逐漸上升，今天
信息安全問題已經成爲公衆的社會福利問題。
    信息安全的三個基本屬性是保密性，完整性和可用性。然而可用性沒有數學模型，無
法從理論上證明。關於信息安全的大部分研究集中在保密性上，事實上這是一種偏見，原
因在於最初對信息安全的需求主要來自軍方。就目前來說，完整性已經變得越來越重要。
隨着互聯網和電子商務的發展，又出現了不可否認性的要求。90年代人們又提出了可控性
。這樣保密性、完整性、可用性、不可否認性和可控性構成了信息安全的五大基本屬性。

1.2安全信息系統並不存在
    作者認爲安全信息系統並不存在。只有在實際應用中相對安全的信息系統，沒有絕對
安全的信息系統。絕對安全的信息系統不僅在應用中而且在理論上也不存在。現實世界的
任何系統都是一串複雜的環節，而複雜性是安全的最大敵人。安全措施必須滲透到系統的
所有地方，包括它的各個組成部分和相互之間的連接。其中的一些，甚至連信息系統的設
計者、實現者和使用者都不知道。因此，不安全因素總是存在的，沒有一個系統是完美的
。沒有哪一項技術是靈丹妙藥，因爲產品的安全不等於系統的安全。任何安全技術甚至是
人類自身都有侷限性。另一方面，儘管信息系統不可能實現絕對的安全，但是我們可以綜
合使用各種安全技術，保證系統達到某種水平，使得相對於正常的使用和部分突發事件來
說信息系統是安全的。可以從兩個不同角度來看這個問題。
1.2.1從概念上說
   一 信息安全的概念沒有邊界，對於信息安全學術界至今沒有一個公認的定義。信息安
全的基礎理論無解（如程序的正確性難以證明）。
   二 信息安全的核心技術－密碼學－沒有理論安全性，只有計算安全性（例如，任何公
鑰密碼算法都基於數學難題）
   三 信息系統是爲應用服務的，不需要絕對的安全性；信息系統是有成本的，超過其成
本的安全措施沒有意義。
   四 複雜性是安全的最大敵人。信息系統作爲一個複雜的系統，其安全性同樣遵循木桶
原理。即系統的安全性取決於系統中安全性最弱的環節。
   五 信息安全問題不是確定性問題，而是帶有隨機性的問題。威脅源是變化的，安全事
件的發生是非預知的。概率始終貫穿於加密技術、計算機安全、風險評估、對策，安全風
險是一種概率，安全本身也是一種概率。
   六 信息系統的安全性包括保密性、完整性、一致性、可靠性、可用性等等，現實的系
統需要在它們之間一個合理的折中。
   七 目前的安全技術只是針對現有問題的某種形式的修補，還沒有從根源上解決安全問
題。現在的大部分安全問題根源在於傳統馮諾依曼結構和現有操作系統的不安全性，研究
中的可信計算正是以安全終端爲目標的。
   八 安全理論與安全實踐之間存在差異。在安全理論方面有大量重大的理論支持，卻可
能輸於實踐的檢驗。理論安全需要很多完美的假設和條件，現實應用中這些都很難達到，
因此兩者的安全是有差距的。
1.2.2從信息系統的組成上說
    一 硬件脆弱性
   系統硬件的物理安全無法百分百的保證, 地震、火災等天災人禍的發生不可預測，後果
同樣不可預測，硬件的電磁輻射使得系統中的信息有泄漏的可能。硬件冗餘和（異地）備
份策略減小了系統出問題的概率，但是無法杜絕這種可能性。另外建設一個信息系統需要
考慮可以承受的成本，超過成本的硬件安全保障方案是沒有實用價值的。
    二 軟件脆弱性
   信息系統中軟件的安全無法保證。軟件正確性難以證明，形式化驗證只能提高軟件的可
靠性。另外就算每個軟件是安全的，也不能保證把它們組合在一起還是安全的。系統支撐
軟件如操作系統無法做到絕對的安全。應用軟件的安全性不但依賴於軟件抽象模型也依賴
於具體實現。即使理論上正確的軟件，由於當前主流程序設計語言固有的模糊性，很難證
明軟件的編碼確實實現了跟理論上同等的安全性。當前各種應用軟件的缺陷和漏洞不斷被
發現。誰也無法保證某個軟件沒有漏洞的存在。
   三 數據脆弱性
    計算機中的數據有其自身的特點。數據的複製輕而易舉，而且可以做到與源數據完全
相同。數據可以被監聽，被電磁輻射泄漏，已刪除數據可能被恢復。如果知道數據的格式
，很容易修改數據，破壞其完整性。惡意修改可能導致數據不可用。
   四 交互脆弱性
   信息安全是人機系統，而人不可能不出錯。人雖然具有軟硬件沒有的主動性，卻也引入
了更多的不確定因素和出錯的可能。系統軟件的開發人員可能由於疏忽引入各種漏洞。系
統管理員對系統配置不當會大大降低安全性。一個信息系統，如果工作人員操作失誤或者
未遵守相關的規定，一切保護措施都有可能失去預想的作用。黑客利用社會工程學的方法
騙取系統的用戶名和密碼就是一個很能夠說明問題的例子。
1.3 可以接受的“安全”信息系統
    信息系統投入使用就意味着風險的存在。例如如果允許合法用戶訪問計算機或者網絡
就存在着被誤用的風險，一種流行的說法是隻有與網絡無連接並且被封閉地鎖在一個安全
的地方的計算機，纔是相對安全的。這種方法使得計算機保密性得到提高，降低了安全風
險，但也使得計算機的可用性降低，軟硬件資源幾乎等於浪費，很難實現建立系統的目標
。對於一個信息系統，需要自頂向下，從屬性出發來確定系統的安全需求，分析其安全風
險，最終實現風險管理。
    雖然不存在絕對安全的信息系統，但是我們可以通過各種技術手段，實現信息系統的
相對安全，使得對於實際應用來說這樣的安全性足夠了。不是去嘗試建立一個萬無一失的
信息系統，而是建立一個採用各種安全措施之後，殘餘風險在可以接受的範圍內的信息系
統。
     系統而合理的使用信息安全技術，是使信息系統的安全達到令人滿意的水平的關鍵，使用
不切實際的技術手段，其後果是相當嚴重的：輕者，會導致使用過多的投資建立起毫無實
際意義的超高水平的保護體系，浪費財力，使用不便；重者，它會發出錯誤的報警信號，
干擾正常的工作，而對真正的入侵行爲卻不能及時發現。作爲解決這一問題的重要舉措，
風險評估理應得到我們的重視和合理使用，把安全當作一個過程來看待。從而，建立起一
個相對安全的信息系統。

Nsun 2004