滿額折
信息安全標準與法律法規(簡體書)
商品資訊
相關商品
商品簡介
名人/編輯推薦
目次
書摘/試閱
商品簡介
《普通高等教育信息安全類國家級特色專業系列規劃教材:信息安全標準與法律法規》主要介紹了國內外信息安全標準和法律法規的背景知識、發展狀況,並對較有影響力的標準和法律法規進行了詳細說明。通過對《普通高等教育信息安全類國家級特色專業系列規劃教材:信息安全標準與法律法規》的學習,讀者可對標準的概念、國內外信息安全標準及法律法規有一個較為全面的瞭解。全書共分為三個部分,由12章組成,內容包括標準概述,立法、司法和執法概述,信息安全國際標準概況,我國信息安全標準概況,信息安全主要應用標準介紹,信息安全管理相關國際標準,我國計算機信息系統安全等級保護標準,信息安全法律法規概況,信息安全國家法律,信息安全行政法規,信息安全部門規章和規範性文件。《普通高等教育信息安全類國家級特色專業系列規劃教材:信息安全標準與法律法規》可作為高等院校信息安全專業高年級本科生與研究生的教材,也可作為信息安全專業人員培訓班的培訓教材,以及供從事相關工作的技術人員和對信息安全感興趣的讀者閱讀參考。
名人/編輯推薦
周世杰、藍天、傅翀、趙洋編著的《信息安全標準與法律法規》主要介紹了國內外信息安全標準和法律法規的背景知識、發展狀況,并對較有影響力的標準和法律法規進行了詳細說明。通過對本書的學習,讀者可對標準的概念、國內外信息安全標準及法律法規有一個較為全面的了解。全書共分為三個部分,由12章組成,內容包括標準和法律法規基本概念、信息安全國際國內標準概況、信息安全主要應用和管理標準、我國計算機信息系統安全等級保護標準、信息安全國際國內法律法規概況、信息安全國家法律、行政法規、部門規章、規范性文件和地方法規等。
目次
叢書序前言第1部分總論第1章緒論1.1信息安全概述1.2信息安全涉及的法律問題第2章標準概述2.1標準和標準化的概念2.2標準化的意義2.3標準化的發展第3章立法、司法和執法概述3.1立法3.2司法3.3執法第2部分信息安全標準第4章信息安全國際標準概況4.1ISO/IEC4.2IEC相關內容介紹4.3ITU4.4美國信息安全管理標準體系4.5英國信息安全管理標準體系4.6IETF和RFC第5章我國信息安全標準概況5.1我國標準化情況簡介5.2我國信息安全標準概況5.3我國信息安全標準化未來的發展趨勢5.4我國信息安全標準體系概述5.5信息安全基礎標準5.6物理安全標準5.7系統與網絡標準5.8應用與工程標準5.9管理類標準第6章信息安全主要應用標準介紹6.1密碼學相關安全標準6.2計算機網絡相關安全標準6.3電子商務安全相關標準6.4數據庫安全相關標準第7章信息安全管理相關國際標準7.1信息安全管理相關國際標準7.2ISO/IEC27002:20057.3ISO/IEC27001:2005第8章我國計算機信息系統安全等級保護標準8.1計算機信息系統安全保護等級劃分簡介8.2GB17859—1999《計算機信息系統安全保護等級劃分準則》8.3GB/T20269—2006《信息安全技術信息系統安全管理要求》8.4GB/T20271—2006《信息安全技術信息系統通用安全技術要求》第3部分信息安全法律法規第9章信息安全法律法規概況9.1國際信息安全法律法規概況9.2我國現有信息安全相關法律法規第10章信息安全國家法律10.1中華人民共和國保守國家秘密法10.2中華人民共和國國家安全法10.3關於維護互聯網安全的決定10.4中華人民共和國電子簽名法第11章信息安全行政法規11.1計算機信息系統安全保護條例11.2計算機信息網絡國際聯網管理暫行規定實施辦法11.3商用密碼管理條例11.4互聯網信息服務管理辦法11.5計算機軟件保護條例……參考文獻附錄AISO/IEC信息安全相關標準一覽表附錄B信息安全相關RFC標準一覽表附錄CNIST信息安全相關標準一覽表附錄D信息安全相關中國國家標準一覽表
書摘/試閱
第1章 緒論
1.1 信息安全概述
信息安全本身包括的范圍很大。大到國家軍事政治等機密的安全,小到如防范商業企業機密泄露、青少年對不良信息的瀏覽、個人信息的泄露等。網絡環境下的信息安全體系是保證信息安全的關鍵,包括計算機安全操作系統、各種安全協議、安全機制(數字簽名、信息認證、數據加密等),直至安全系統,其中任何一個安全漏洞便可以威脅全局安全。信息安全服務至少應該包括支持信息網絡安全服務的基本理論,以及基于新一代信息網絡體系結構的網絡安全服務體系結構。
1.1.1 信息的定義
中文“信息”一詞有著很悠久的歷史,早在兩千多年前的西漢,即有“信”字的出現,常可作消息來理解。一千多年前,唐代詩人杜牧在《寄遠》詩中寫到:“塞外音書無信息,道傍車馬起塵埃”。李中的《暮春懷故人》中也有“夢斷美人沉信息,目穿長路倚樓臺”的佳句。宋代的李清照則發出“不乞隋珠與和璧,只乞鄉關新信息”的感嘆,在她心目中,來自家鄉的信息比珍貴的“隋珠”與“和璧”的價值更高。
在《紅樓夢》第十六回里,講到賈政突然奉旨入朝,賈府上下不知是禍是福,都惶惶不安。后來,隨從賈政入朝的賴大等三四個管家氣喘吁吁地跑回府來,賈母便喚進賴大來細問端的。賴大稟道:“小的們只在臨敬門外伺候,里頭的信息一概不能得知。后來還是夏太監出來道喜,說咱們家大小姐晉封為風藻宮尚書,加封賢德妃。”《紅樓夢》是一部現實主義的偉大古典著作,作者曹雪芹在這部作品中為我們留下了他那個時代的極為豐富的活語言材料。在上面那段引文中,“信息”一詞十分自然地出于賴大之口,說明它在當時民間口語中已使用得很平常了。
在古人的文章里,信息的意思多指消息。因為“信息”能夠帶來家人的問候與平安的消息,所以,在通訊并不發達的古代,古人對“信息”充滿了期盼。一個詞能歷經時代的變遷而保持生命的活力是一回事,使用它的人對它的內涵作何理解則是另一回事。從李中到曹雪芹,“信息”這個詞基本上是作為“音信”、“消息”的同義詞來使用的。在現代漢語中,在這樣的意義上使用“信息”一詞,在很長一個時期反倒少了。
“信息”一詞來源于拉丁文“informatio”,意思是指解釋、陳述。在英語中,表達這個概念的詞是information。早些時候出版的英漢詞典中,information的漢語釋義是“消息、見聞、情報、知識、通知、報道”等等。就是說,英語中的information與漢語中的“信息”,本來的涵義是大體相當的。后來,information在收入專業英漢詞典時,只用“信息”作為它的漢語釋義,這時,它已經作為現代科學技術的一個基本概念而嶄露頭角了。information(信息)被改造和發展成新的科學概念,是在通信理論的研究中發生的。通信,即使在狹義上理解,在人類社會也有悠久的歷史沿革;information(信息)的本來涵義,即音信、消息、情報等等,也是與人類的通信行為或通信過程密不可分的。
人類社會的進步和科學技術的進步,就包含著通信手段和通信技術的不斷進步。不過,通信在嚴格意義上成為科學研究的對象,還只是20世紀才發生的事。隨著社會的進步、科學技術的發展,人們對信息的認識也越來越深入,信息概念的含義也在不斷地改變和發展。現在,人們所說的“信息”已成為一個包含內容很豐富、意義很深刻的概念,以至人們很難給它下一個確切的定義。作為一個嚴謹的科學術語,信息的定義卻不存在一個統一的觀點,這是由它的極端復雜性決定的。信息的表現形式數不勝數:聲音、圖片、溫度、體積、顏色..信息的分類也不計其數:電子信息、財經信息、天氣信息、生物信息..要對信息作一個嚴密而又具有普適性的定義,就必須從本質上來把握信息。現在學術界主要有以下幾種觀點:
美國數學家、信息論的奠基人克勞德?艾爾伍德?香農(Claude Elwood Shannon)在他的著名論文《通信的數學理論》(1948)中提出計算信息量的公式,即若一個信息由n個符號所構成,符號k出現的幾率為pk,則有
H=∑npklog2pkS
k=1
這個公式和熱力學的熵的計算方式一樣,故也稱為信息熵。從公式可知,當各個符號出現的幾率相等,即“不確定性”最高時,信息熵最大。故信息可以視為“不確定性”或“選擇的自由度”的度量。
美國數學家、控制論的奠基人諾伯特?維納在他的《控制論――動物和機器中的通訊與控制問題》中認為,信息是“我們在適應外部世界,控制外部世界的過程中同外部世界交換的內容的名稱”。英國學者阿希貝認為,信息的本性在于事物本身具有變異度。意大利學者朗高在《信息論:新的趨勢與未決問題》中認為,信息是反映事物的形成、關系和差別的東西,它包含于事物的差異之中,而不在事物本身。
狹義上,信息就是符號的排列順序。但作為一個概念,信息有著多種多樣的含義。一般來說,與信息這一概念密切相關的概念包括約束(constraint)、溝通(communication)、控制、數據、形式、指令、知識、含義、精神刺激、模式、感知以及表達。信息是人們在適應外部世界并使這種適應反作用于外部世界過程中,同外部世界進行互相交換的內容和名稱。
盡管從不同的角度出發對信息存在不同的定義,但是就信息的一些基本性質還是達成以下一些了共識。
普遍性:只要有事物的地方,就必然存在信息。信息在自然界和人類社會活動中廣泛存在。
客觀性:信息是客觀現實的反映,不隨人的主觀意志而改變。如果人為地篡改信息,那么信息就會失去它的價值,甚至不能稱之為“信息”了。
動態性:事物是在不斷變化發展的,信息也必然隨之運動發展,其內容、形式、容量都會隨時間而改變。
時效性:由于信息的動態性,那么一個固定的信息的使用價值必然會隨著時間的流逝而衰減。
可識別性:人類可以通過感覺器官和科學儀器等方式來獲取、整理、認知信息。這是人類利用信息的前提。
可傳遞性:信息可以通過各種媒介在人-人,人-物,物-物等之間傳遞。
可共享性:信息與物質、能量顯著不同的是,信息在傳遞過程中并不是“此消彼長”,同一信息可以在同一時間被多個主體共有,而且還能夠無限的復制、傳遞。
1.1.2 信息安全的定義
“安全”作為現代漢語的一個基本語詞,在各種現代漢語辭書中有著基本相同的解釋。《現代漢語詞典》對“安全”的解釋是“沒有危險;不受威脅;不出事故”。當漢語的“安全”一詞用來譯指英文時,可以與其對應的主要有safety和security兩個單詞,雖然這兩個單詞的含義及用法有所不同,但都可在不同意義上與中文“安全”相對應。在這里,與信息安全相聯系的“安全”一詞,是security。按照英文詞典解釋,security也有多種含義,其中經常被提到的含義有兩方面,一方面是指安全的狀態,即免于危險,沒有恐懼;另一方面是指對安全的維護,指安全措施和安全機構。沒有危險是安全的特有屬性,也是本質屬性。單是沒有外在威脅,并不是安全的特有屬性;單是沒有內在的疾患,也不是安全的特有屬性。但是,包括了沒有威脅和沒有疾患這樣內外兩個方面的“沒有危險”,則是安全的特有屬性了。
那么,信息安全(information security)就是指信息處于“沒有危險”的狀態,是指信息網絡的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,信息服務不中斷。
自從世界上出現了文字之后,各國元首和軍隊指揮官就逐漸明白,非常有必要使用一些技巧來保證通信的機密性以及獲知其是否被篡改。愷撒在公元前50年發明了愷撒密碼,它被用來防止秘密的消息落入錯誤的人手中時被讀取。第二次世界大戰使得信息安全的研究取得了許多進展,并且標志著它開始成為一門專業的學問。20世紀末以及21世紀初,通信、計算機軟硬件以及數據加密領域得到巨大發展,小巧、功能強大、價格低廉的計算設備使得小公司和家庭用戶能夠負擔和掌握對電子數據的加工處理,這些計算機進而很快被因特網連接起來。在因特網上快速增長的電子數據處理和電子商務應用,以及不斷出現的國際恐怖主義事件,大大增加了對保護計算機及其存儲、加工和傳輸的信息的需求。計算機安全、信息安全以及信息保障等學科,是和許多專業的組織一起出現的。它們都持有共同的目標,即確保信息系統的安全和可靠。
信息安全,簡稱信安,意為保護信息及信息系統免受未經授權的進入、使用、披露、破壞、修改、檢視、記錄及銷毀。政府、軍隊、公司、金融機構、醫院、私人企業積累了大量的有關它們的雇員、顧客、產品、研究、金融數據的機密信息。絕大多數此類信息現在被收集、產生、存儲在電子計算機內,并通過網絡傳送到別的計算機。萬一一家企業的顧客、財政狀況、新產品線的機密信息落入了其競爭對手的手中,這種安全性的喪失可能會導致經濟上的損失、法律訴訟甚至該企業的破產。保護機密的信息是商業上的需求,并且在許多情況中也是道德和法律上的需求。對于個人來說,信息安全對于其個人隱私具有重大的影響,但這在不同的文化中的看法差異相當大。信息安全的領域在最近這些年經歷了巨大的成長和進化,有很多方式進入這一領域,并將之發展為一項事業。它提供了許多專門的研究領域,包括安全的網絡和公共基礎設施、安全的應用軟件和數據庫、安全測試、信息系統評估、企業安全規劃以及數字取證技術等。
1.1.3 信息安全的基本屬性
信息安全具有以下基本屬性。
(1)保密性(Confindentialy):保證未授權者無法享用信息,信息不會被非法泄漏而擴散;
(2)完整性(Integrity):保證信息的來源、去向、內容真實無誤;
(3)可用性(Availability):保證網絡和信息系統隨時可用;
(4)可控性(Controllability):保證信息管理者能對傳播的信息及內容實施必要的控制及管理;
(5)不可否認性(NonRepudiation):又稱不可抵賴性,保證每個信息參與者對各自的信息行為負責。
其中,前三者又稱為信息安全的目標――CIA。對信息安全的認識經歷了數據保安階段(強調保密通信)、網絡信息安全時代(強調網絡環境)和目前的信息保障時代(強調不能只是被動地保護,需要有保護――檢測――反應――恢復四個環節)。
除了上述的信息安全五性外,還有信息安全的可審計性(Audiability)、可鑒別性(Authenticity)等。信息安全的可審計性是指信息系統的行為人不能否認自己的信息處理行為,與具有不可否認性的信息交換過程中行為可認定性相比,可審計性的含義更寬泛一些。信息安全的可鑒別性是指信息的接收者能對信息的發送者的身份進行判定,它也是一個與不可否認性相關的概念。
1.1.4 信息保障
保障信息安全有三個支柱,一個是技術,一個是管理,一個是法律法規。而我們日常提及信息安全時,多是在技術相關的領域,例如入侵檢測技術、防火墻技術、防病毒技術、加密技術、認證技術等等,這是因為技術提供商在培育市場。而世界各國信息安全領域的研究,已經從早期的通信保密到信息安全發展到目前的信息保障。
1998年5月22日,美國政府頒發了《保護美國關鍵基礎設施》總統令(PDD63)。圍繞“信息保障”成立了多個組織,其中包括全國信息保障委員會、全國信息保障同盟、關鍵基礎設施保障辦公室、首席信息官委員會、聯邦計算機事件響應能動組等10多個全國性機構。1998年美國國家安全局(NSA)制定了《信息保障技術框架》(IATF),提出了“深度防御策略”,確定了包括網絡與基礎設施防御、區域邊界防御、計算環境防御和支撐性基礎設施的深度防御目標。2000年1月,美國發布了《保衛美國的計算機空間――保護信息系統的國家計劃》。該計劃分析了美國關鍵基礎設施所面臨的威脅,確定了計劃的目標和范圍,制定出聯邦政府關鍵基礎設施保護計劃(其中包括民用機構的基礎設施保護方案和國防部基礎設施保護計劃)以及私營部門、州和地方政府的關鍵基礎設施保障框架。
1995年,俄羅斯頒布了《聯邦信息、信息化和信息保護法》,為提供高效益、高質量的信息保障創造條件,明確界定了信息資源開放和保密的范疇,提出了保護信息的法律責任。1997年,俄羅斯出臺的《俄羅斯國家安全構想》明確提出“保障國家安全應把保障經濟安全放在第一位”,而“信息安全又是經濟安全的重中之重”。2000年,普京總統批準了《國家信息安全學說》,明確了聯邦信息安全建設的目的、任務、原則和主要內容。第一次明確指出了俄羅斯在信息領域的利益是什么,受到的威脅是什么以及為確保信息安全首先要采取的措施等。
黨的十五屆五中全會提出了大力推進國民經濟和社會信息化的戰略舉措――“以信息化帶動工業化,發揮后發優勢,實現社會生產力的跨越式發展”。同時,要求強化信息網絡安全保障體系。
目前我國信息與網絡安全的防護能力處于發展的初級階段,許多應用系統處于不設防狀態。國防科技大學的一項研究表明,目前我國與互聯網相連的網絡管理中心有95%都遭到過境內外黑客的攻擊或侵入,其中銀行和證券機構是攻擊重點。
當前我國的信息與網絡安全研究,處于忙于封堵現有信息系統的安全漏洞階段。要徹底解決這些迫在眉睫的問題,歸根結底取決于信息安全保障體系的建設。
1.1 信息安全概述
信息安全本身包括的范圍很大。大到國家軍事政治等機密的安全,小到如防范商業企業機密泄露、青少年對不良信息的瀏覽、個人信息的泄露等。網絡環境下的信息安全體系是保證信息安全的關鍵,包括計算機安全操作系統、各種安全協議、安全機制(數字簽名、信息認證、數據加密等),直至安全系統,其中任何一個安全漏洞便可以威脅全局安全。信息安全服務至少應該包括支持信息網絡安全服務的基本理論,以及基于新一代信息網絡體系結構的網絡安全服務體系結構。
1.1.1 信息的定義
中文“信息”一詞有著很悠久的歷史,早在兩千多年前的西漢,即有“信”字的出現,常可作消息來理解。一千多年前,唐代詩人杜牧在《寄遠》詩中寫到:“塞外音書無信息,道傍車馬起塵埃”。李中的《暮春懷故人》中也有“夢斷美人沉信息,目穿長路倚樓臺”的佳句。宋代的李清照則發出“不乞隋珠與和璧,只乞鄉關新信息”的感嘆,在她心目中,來自家鄉的信息比珍貴的“隋珠”與“和璧”的價值更高。
在《紅樓夢》第十六回里,講到賈政突然奉旨入朝,賈府上下不知是禍是福,都惶惶不安。后來,隨從賈政入朝的賴大等三四個管家氣喘吁吁地跑回府來,賈母便喚進賴大來細問端的。賴大稟道:“小的們只在臨敬門外伺候,里頭的信息一概不能得知。后來還是夏太監出來道喜,說咱們家大小姐晉封為風藻宮尚書,加封賢德妃。”《紅樓夢》是一部現實主義的偉大古典著作,作者曹雪芹在這部作品中為我們留下了他那個時代的極為豐富的活語言材料。在上面那段引文中,“信息”一詞十分自然地出于賴大之口,說明它在當時民間口語中已使用得很平常了。
在古人的文章里,信息的意思多指消息。因為“信息”能夠帶來家人的問候與平安的消息,所以,在通訊并不發達的古代,古人對“信息”充滿了期盼。一個詞能歷經時代的變遷而保持生命的活力是一回事,使用它的人對它的內涵作何理解則是另一回事。從李中到曹雪芹,“信息”這個詞基本上是作為“音信”、“消息”的同義詞來使用的。在現代漢語中,在這樣的意義上使用“信息”一詞,在很長一個時期反倒少了。
“信息”一詞來源于拉丁文“informatio”,意思是指解釋、陳述。在英語中,表達這個概念的詞是information。早些時候出版的英漢詞典中,information的漢語釋義是“消息、見聞、情報、知識、通知、報道”等等。就是說,英語中的information與漢語中的“信息”,本來的涵義是大體相當的。后來,information在收入專業英漢詞典時,只用“信息”作為它的漢語釋義,這時,它已經作為現代科學技術的一個基本概念而嶄露頭角了。information(信息)被改造和發展成新的科學概念,是在通信理論的研究中發生的。通信,即使在狹義上理解,在人類社會也有悠久的歷史沿革;information(信息)的本來涵義,即音信、消息、情報等等,也是與人類的通信行為或通信過程密不可分的。
人類社會的進步和科學技術的進步,就包含著通信手段和通信技術的不斷進步。不過,通信在嚴格意義上成為科學研究的對象,還只是20世紀才發生的事。隨著社會的進步、科學技術的發展,人們對信息的認識也越來越深入,信息概念的含義也在不斷地改變和發展。現在,人們所說的“信息”已成為一個包含內容很豐富、意義很深刻的概念,以至人們很難給它下一個確切的定義。作為一個嚴謹的科學術語,信息的定義卻不存在一個統一的觀點,這是由它的極端復雜性決定的。信息的表現形式數不勝數:聲音、圖片、溫度、體積、顏色..信息的分類也不計其數:電子信息、財經信息、天氣信息、生物信息..要對信息作一個嚴密而又具有普適性的定義,就必須從本質上來把握信息。現在學術界主要有以下幾種觀點:
美國數學家、信息論的奠基人克勞德?艾爾伍德?香農(Claude Elwood Shannon)在他的著名論文《通信的數學理論》(1948)中提出計算信息量的公式,即若一個信息由n個符號所構成,符號k出現的幾率為pk,則有
H=∑npklog2pkS
k=1
這個公式和熱力學的熵的計算方式一樣,故也稱為信息熵。從公式可知,當各個符號出現的幾率相等,即“不確定性”最高時,信息熵最大。故信息可以視為“不確定性”或“選擇的自由度”的度量。
美國數學家、控制論的奠基人諾伯特?維納在他的《控制論――動物和機器中的通訊與控制問題》中認為,信息是“我們在適應外部世界,控制外部世界的過程中同外部世界交換的內容的名稱”。英國學者阿希貝認為,信息的本性在于事物本身具有變異度。意大利學者朗高在《信息論:新的趨勢與未決問題》中認為,信息是反映事物的形成、關系和差別的東西,它包含于事物的差異之中,而不在事物本身。
狹義上,信息就是符號的排列順序。但作為一個概念,信息有著多種多樣的含義。一般來說,與信息這一概念密切相關的概念包括約束(constraint)、溝通(communication)、控制、數據、形式、指令、知識、含義、精神刺激、模式、感知以及表達。信息是人們在適應外部世界并使這種適應反作用于外部世界過程中,同外部世界進行互相交換的內容和名稱。
盡管從不同的角度出發對信息存在不同的定義,但是就信息的一些基本性質還是達成以下一些了共識。
普遍性:只要有事物的地方,就必然存在信息。信息在自然界和人類社會活動中廣泛存在。
客觀性:信息是客觀現實的反映,不隨人的主觀意志而改變。如果人為地篡改信息,那么信息就會失去它的價值,甚至不能稱之為“信息”了。
動態性:事物是在不斷變化發展的,信息也必然隨之運動發展,其內容、形式、容量都會隨時間而改變。
時效性:由于信息的動態性,那么一個固定的信息的使用價值必然會隨著時間的流逝而衰減。
可識別性:人類可以通過感覺器官和科學儀器等方式來獲取、整理、認知信息。這是人類利用信息的前提。
可傳遞性:信息可以通過各種媒介在人-人,人-物,物-物等之間傳遞。
可共享性:信息與物質、能量顯著不同的是,信息在傳遞過程中并不是“此消彼長”,同一信息可以在同一時間被多個主體共有,而且還能夠無限的復制、傳遞。
1.1.2 信息安全的定義
“安全”作為現代漢語的一個基本語詞,在各種現代漢語辭書中有著基本相同的解釋。《現代漢語詞典》對“安全”的解釋是“沒有危險;不受威脅;不出事故”。當漢語的“安全”一詞用來譯指英文時,可以與其對應的主要有safety和security兩個單詞,雖然這兩個單詞的含義及用法有所不同,但都可在不同意義上與中文“安全”相對應。在這里,與信息安全相聯系的“安全”一詞,是security。按照英文詞典解釋,security也有多種含義,其中經常被提到的含義有兩方面,一方面是指安全的狀態,即免于危險,沒有恐懼;另一方面是指對安全的維護,指安全措施和安全機構。沒有危險是安全的特有屬性,也是本質屬性。單是沒有外在威脅,并不是安全的特有屬性;單是沒有內在的疾患,也不是安全的特有屬性。但是,包括了沒有威脅和沒有疾患這樣內外兩個方面的“沒有危險”,則是安全的特有屬性了。
那么,信息安全(information security)就是指信息處于“沒有危險”的狀態,是指信息網絡的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,信息服務不中斷。
自從世界上出現了文字之后,各國元首和軍隊指揮官就逐漸明白,非常有必要使用一些技巧來保證通信的機密性以及獲知其是否被篡改。愷撒在公元前50年發明了愷撒密碼,它被用來防止秘密的消息落入錯誤的人手中時被讀取。第二次世界大戰使得信息安全的研究取得了許多進展,并且標志著它開始成為一門專業的學問。20世紀末以及21世紀初,通信、計算機軟硬件以及數據加密領域得到巨大發展,小巧、功能強大、價格低廉的計算設備使得小公司和家庭用戶能夠負擔和掌握對電子數據的加工處理,這些計算機進而很快被因特網連接起來。在因特網上快速增長的電子數據處理和電子商務應用,以及不斷出現的國際恐怖主義事件,大大增加了對保護計算機及其存儲、加工和傳輸的信息的需求。計算機安全、信息安全以及信息保障等學科,是和許多專業的組織一起出現的。它們都持有共同的目標,即確保信息系統的安全和可靠。
信息安全,簡稱信安,意為保護信息及信息系統免受未經授權的進入、使用、披露、破壞、修改、檢視、記錄及銷毀。政府、軍隊、公司、金融機構、醫院、私人企業積累了大量的有關它們的雇員、顧客、產品、研究、金融數據的機密信息。絕大多數此類信息現在被收集、產生、存儲在電子計算機內,并通過網絡傳送到別的計算機。萬一一家企業的顧客、財政狀況、新產品線的機密信息落入了其競爭對手的手中,這種安全性的喪失可能會導致經濟上的損失、法律訴訟甚至該企業的破產。保護機密的信息是商業上的需求,并且在許多情況中也是道德和法律上的需求。對于個人來說,信息安全對于其個人隱私具有重大的影響,但這在不同的文化中的看法差異相當大。信息安全的領域在最近這些年經歷了巨大的成長和進化,有很多方式進入這一領域,并將之發展為一項事業。它提供了許多專門的研究領域,包括安全的網絡和公共基礎設施、安全的應用軟件和數據庫、安全測試、信息系統評估、企業安全規劃以及數字取證技術等。
1.1.3 信息安全的基本屬性
信息安全具有以下基本屬性。
(1)保密性(Confindentialy):保證未授權者無法享用信息,信息不會被非法泄漏而擴散;
(2)完整性(Integrity):保證信息的來源、去向、內容真實無誤;
(3)可用性(Availability):保證網絡和信息系統隨時可用;
(4)可控性(Controllability):保證信息管理者能對傳播的信息及內容實施必要的控制及管理;
(5)不可否認性(NonRepudiation):又稱不可抵賴性,保證每個信息參與者對各自的信息行為負責。
其中,前三者又稱為信息安全的目標――CIA。對信息安全的認識經歷了數據保安階段(強調保密通信)、網絡信息安全時代(強調網絡環境)和目前的信息保障時代(強調不能只是被動地保護,需要有保護――檢測――反應――恢復四個環節)。
除了上述的信息安全五性外,還有信息安全的可審計性(Audiability)、可鑒別性(Authenticity)等。信息安全的可審計性是指信息系統的行為人不能否認自己的信息處理行為,與具有不可否認性的信息交換過程中行為可認定性相比,可審計性的含義更寬泛一些。信息安全的可鑒別性是指信息的接收者能對信息的發送者的身份進行判定,它也是一個與不可否認性相關的概念。
1.1.4 信息保障
保障信息安全有三個支柱,一個是技術,一個是管理,一個是法律法規。而我們日常提及信息安全時,多是在技術相關的領域,例如入侵檢測技術、防火墻技術、防病毒技術、加密技術、認證技術等等,這是因為技術提供商在培育市場。而世界各國信息安全領域的研究,已經從早期的通信保密到信息安全發展到目前的信息保障。
1998年5月22日,美國政府頒發了《保護美國關鍵基礎設施》總統令(PDD63)。圍繞“信息保障”成立了多個組織,其中包括全國信息保障委員會、全國信息保障同盟、關鍵基礎設施保障辦公室、首席信息官委員會、聯邦計算機事件響應能動組等10多個全國性機構。1998年美國國家安全局(NSA)制定了《信息保障技術框架》(IATF),提出了“深度防御策略”,確定了包括網絡與基礎設施防御、區域邊界防御、計算環境防御和支撐性基礎設施的深度防御目標。2000年1月,美國發布了《保衛美國的計算機空間――保護信息系統的國家計劃》。該計劃分析了美國關鍵基礎設施所面臨的威脅,確定了計劃的目標和范圍,制定出聯邦政府關鍵基礎設施保護計劃(其中包括民用機構的基礎設施保護方案和國防部基礎設施保護計劃)以及私營部門、州和地方政府的關鍵基礎設施保障框架。
1995年,俄羅斯頒布了《聯邦信息、信息化和信息保護法》,為提供高效益、高質量的信息保障創造條件,明確界定了信息資源開放和保密的范疇,提出了保護信息的法律責任。1997年,俄羅斯出臺的《俄羅斯國家安全構想》明確提出“保障國家安全應把保障經濟安全放在第一位”,而“信息安全又是經濟安全的重中之重”。2000年,普京總統批準了《國家信息安全學說》,明確了聯邦信息安全建設的目的、任務、原則和主要內容。第一次明確指出了俄羅斯在信息領域的利益是什么,受到的威脅是什么以及為確保信息安全首先要采取的措施等。
黨的十五屆五中全會提出了大力推進國民經濟和社會信息化的戰略舉措――“以信息化帶動工業化,發揮后發優勢,實現社會生產力的跨越式發展”。同時,要求強化信息網絡安全保障體系。
目前我國信息與網絡安全的防護能力處于發展的初級階段,許多應用系統處于不設防狀態。國防科技大學的一項研究表明,目前我國與互聯網相連的網絡管理中心有95%都遭到過境內外黑客的攻擊或侵入,其中銀行和證券機構是攻擊重點。
當前我國的信息與網絡安全研究,處于忙于封堵現有信息系統的安全漏洞階段。要徹底解決這些迫在眉睫的問題,歸根結底取決于信息安全保障體系的建設。
您曾經瀏覽過的商品
購物須知
大陸出版品因裝訂品質及貨運條件與台灣出版品落差甚大,除封面破損、內頁脫落等較嚴重的狀態,其餘商品將正常出貨。
特別提醒:部分書籍附贈之內容(如音頻mp3或影片dvd等)已無實體光碟提供,需以QR CODE 連結至當地網站註冊“並通過驗證程序”,方可下載使用。
無現貨庫存之簡體書,將向海外調貨:
海外有庫存之書籍,等候約45個工作天;
海外無庫存之書籍,平均作業時間約60個工作天,然不保證確定可調到貨,尚請見諒。
為了保護您的權益,「三民網路書店」提供會員七日商品鑑賞期(收到商品為起始日)。
若要辦理退貨,請在商品鑑賞期內寄回,且商品必須是全新狀態與完整包裝(商品、附件、發票、隨貨贈品等)否則恕不接受退貨。