1.2 信息安全基础
1.2.1 什么是信息安全
1.信息安全的概念
信息无论是在计算机上存储、处理和应用,还是在通信网络上传输,都面临着信息安全威胁。例如,信息可能被非授权访问而导致泄密,被篡改破坏而导致不完整,被阻塞拦截而导致不可用,还有可能被冒充替换而导致否认。
信息安全是一个广泛而抽象的概念,不同领域对其概念的阐述也会有所不同,下面列出一些法规、标准和机构从不同的角度给出的不同定义。
《中华人民共和国计算机信息系统安全保护条例》中提到,计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。
《美国联邦信息安全管理法案》对信息安全的定义:保护信息与信息系统,防止未授权的访问、使用、泄露、中断、修改或破坏,以保护完整性(即防止对信息的不当修改或破坏,包括确保信息的不可否认性和真实性)、机密性(即对信息的访问和泄露施加授权的约束,包括保护个人隐私和专属信息的手段)和可用性(即确保能及时、可靠地访问并使用信息)。
《国际信息安全管理标准体系》(BS 7799)对信息安全的定义:信息安全是使信息避免一系列威胁,保障商务的连续性,最大限度地减少商务的损失,最大限度地获取投资和商务的回报,涉及的是机密性、完整性、可用性。
《信息安全管理体系》(ISO/IEC 27001:2005)中将信息安全定义为:保护信息的保密性、完整性、可用性及其他属性,如:真实性、可审查性、可控性、可靠性、不可否认性。
国际标准化委员会对信息安全的定义:为数据处理系统而采取的技术的和管理的安全保护,保护计算机硬件、软件及相关数据,使之不因偶然或恶意侵犯而遭受破坏、更改、泄露,保证信息系统能够连续、可靠、正常地运行。
总之,信息安全就是在信息产生、存储、传输与处理的整个过程中,信息网络能够稳定、可靠地运行,受控、合法地使用,从而保证信息的机密性、完整性、可用性、可控性及不可否认性等安全属性。
2.信息安全的基本属性
机密性、完整性、可用性、可控性及不可否认性是信息安全的基本属性,其中,机密性、完整性和可用性通常被称为信息安全CIA三要素。
(1)机密性(Confidentiality)是指维护信息的机密性,即确保信息没有泄露给非授权的使用者。信息对于未被授权的使用者来说,是不可获得或者即使获得也无法理解的。
(2)完整性(Integrity)是指维护信息的一致性,即保证信息的完整和准确,防止信息被未经授权(非法)的篡改。
(3)可用性(Availability)是指保证服务的连续性,即确保基础信息网络与重要信息系统的正常运行,包括保障信息的正常传递,保证信息系统正常提供服务等,被授权的用户根据需要能够从系统中获得所需的信息资源服务,它是信息资源功能和性能可靠性的度量。
(4)可控性(Controllability)是指对信息和信息系统实施安全监控管理,保证掌握和控制信息与信息系统的基本情况,可对信息和信息系统的使用实施可靠的授权、审计、责任认定、传播源追踪和监管等控制。互联网上针对特定信息和信息流的主动监测、过滤、限制、阻断等控制能力,反映了信息及信息系统的可控性的基本属性。
(5)不可否认性(Non-repudiation)是指信息系统在交互运行中确保并确认信息的来源以及信息发布者的真实可信及不可否认的特性。
总之,凡是涉及信息机密性、完整性、可用性、可控性、不可否认性以及真实性、可靠性保护等方面的理论与技术,都是信息安全所要研究的范畴,也是信息安全所要实现的目标。
信息安全不仅是一个不容忽视的国家安全战略问题,也是任何一个组织机构和个人都必须重视的问题。但是,对于不同的部门和行业来说,其对信息安全的要求和重点却是有区别的。从国家的角度来讲,信息安全关系到国家安全;对组织机构来说,信息安全关系到组织机构正常运营和持续发展;就个人而言,信息安全是保护个人隐私和财产的必然要求。
1.2.2 信息安全的发展历程
信息安全问题自古以来就存在,随着人类社会技术的发展与进步,信息安全的概念与内涵也在与时俱进、不断发展。在广泛使用数据处理设备之前,人们主要是依靠人工变换、物理保存和行政管理手段来保证重要信息的安全。随着信息化的发展、计算机及网络通信等技术的应用,现代信息安全保护技术发生了重大变化。
一般认为,现代信息安全的发展可以划分为通信保密、计算机安全、信息安全、信息保障四个阶段。但随着网络空间安全概念的提出,信息安全的发展步入了第五个阶段:网络空间安全阶段。
1.通信保密阶段
在20世纪60年代以前,信息安全强调的是通信传输中的机密性。1949年Shannon发表的《保密系统的信息理论》将密码学的研究纳入了科学的轨道,标志着通信保密(COMSEC)阶段的开始。这个阶段所面临的主要安全威胁是搭线窃听和密码学分析,主要的防护措施是数据加密,对安全理论与技术的研究主要侧重于密码学领域。
2.计算机安全阶段
20世纪70年代,进入微型计算机时代,计算机的出现深刻改变了人类处理和使用信息的方法,也使信息安全包括了计算机和信息系统的安全。计算机安全(COMPUSEC)主要面临着计算机被非授权者使用、存储信息被非法读写、计算机被写入恶意代码等威胁,主要的保障措施是安全操作系统。在这个阶段,核心思想是预防和检测威胁以减少计算机系统(包括软件和硬件)用户执行的未授权活动所造成的后果。信息安全的目标除了机密性之外,还包括可控性、可用性。这一阶段的标志是1977年美国国家标准局(NBS)公布的《国家数据加密标准》(DES)和1985年美国国防部(DoD)公布的《可信计算机系统评估准则》(TCSEC)。
3.信息安全阶段
20世纪80年代中期至90年代中期,互联网技术飞速发展,网络得到普遍应用,这个时期也可以称为网络安全发展时期。信息安全除关注机密性、可控性、可用性之外,还要防止信息被非法篡改以及确定网络信息来源真实可靠,提出了完整性、不可否认性要求,形成了信息安全的五个安全属性,即机密性、完整性、可控性、可用性和不可否认性。信息安全阶段(INFOSEC)的信息安全不仅指对信息的保护,也包括信息系统的保护和防御,主要保障措施有安全操作系统、防火墙、防病毒软件、漏洞扫描、入侵检测、PKI(公钥基础设施)、VPN(虚拟专用网络)和安全管理等。
4.信息保障阶段
20世纪90年代后期,随着信息安全越来越受到各国的重视,以及信息技术本身的发展,人们更加关注信息安全的整体发展及在新型应用下的安全问题。1995年,美国提出了信息保障(Information Assurance,IA)概念。信息保障是指确保信息和信息系统的机密性、完整性、可认证性、可用性和不可否认性的保护和防范活动,通过综合保护、检测和反应来提高信息系统的恢复能力。这个阶段的安全措施包括技术安全保障体系、安全管理体系、人员意识/培训/教育、认证等。美国国家安全局1998年发布的《信息保障技术框架》(IATF)是进入信息保障时代的标志。
5.网络空间安全阶段
2009年,在美国的带动下,世界信息安全政策、技术和实践等发生重大变革。网络安全问题上升到关乎国家安全的重要地位。从传统防御的被动信息保障,发展到主动威慑为主的防御、攻击和情报三位一体的网络空间/信息保障(Cyber Security/Information Assurance,CSIA)的网络空间安全,包括网络防御、网络攻击,网络利用等环节。
当前,全球已经步入信息化社会,信息安全已经融入国家安全的各个方面,关系到一个国家的经济、社会、政治以及国防安全,成为影响国家安全的基本因素。信息安全的战略地位已成为世界各国的共识,美国、俄罗斯、英国、德国、日本等信息大国纷纷针对国家信息安全战略问题进行专门的研究,以不断地完善本国的信息安全保障体系。
1.2.3 安全威胁
安全威胁是指对安全的潜在危害。信息安全威胁是指对信息资源的机密性、完整性、可用性、可控性及不可否认性等方面所造成的危险。
安全威胁可能来自各个方面,影响和危害信息系统安全的因素可分为自然和人为两类。自然因素包括各种自然灾害,如水、火、雷、电、风暴、烟尘、虫害、鼠害、海啸和地震等;系统的环境和场地条件,如温度、湿度、电源、地线和其他防护设施不良造成的威胁;电磁辐射和电磁干扰的威胁;硬件设备自然老化,可靠性下降的威胁等。人为因素又分为无意和故意。无意破坏包括由于操作失误、意外损失、编程缺陷、意外丢失、管理不善等行为造成的破坏;人为故意的破坏包括敌对势力的攻击和各种计算机犯罪等造成的破坏。
在网络信息系统中,通常包括信息泄露、完整性破坏、业务拒绝以及非授权使用这四种基本安全威胁。
(1)信息泄露,是指未经授权的实体(用户或程序)获取了传递中或存储的信息,造成了信息泄露,破坏信息的机密性。这种威胁主要来自于窃听、搭线等信息探测攻击。
(2)完整性破坏,是指通过非授权的增删、修改或破坏而使信息的完整性遭到损坏。
(3)业务拒绝,是指阻止合法的网络用户对信息资源的正常使用,妨碍合法用户获取服务或信息传递等。
(4)非授权使用,是指资源被非授权的人使用,或者资源被合法用户以非授权的方式使用。
安全威胁之所以存在,有网络自身安全缺陷的因素,也有人员、技术、管理方面的原因。总结起来,主要包括以下几个方面。
(1)网络本身存在安全缺陷。Internet从建立开始就缺乏安全的总体构想和设计;TCP/IP协议簇是在可信环境下为网络互联专门设计的,缺乏安全方面的考虑。
(2)各种操作系统都存在安全问题。操作系统是一切软件运行的基础,操作系统自身的不安全性,系统开发设计的不周而留下的漏洞,都会给网络安全留下隐患。
(3)网络的开放性。所有信息和资源通过网络共享,远程访问也为各种攻击提供了更方便的途径。此外,主机上的用户之间彼此信任的基础是建立在网络连接之上的,容易被假冒。
(4)用户(恶意的或无恶意的)和软件的非法入侵。入侵网络的用户也称为黑客,黑客可能是某个无恶意的人,其目的仅仅是破译和进入计算机系统,既不破坏计算机系统,也不窃取系统资源;或者是某个心怀不满的雇员,其目的是对计算机系统实施破坏;也可能是一个犯罪分子,其目的是非法窃取系统资源,对数据进行未授权的修改或破坏计算机系统。
1.2.4 安全攻击
安全攻击就是某种安全威胁的具体实现,可分为被动攻击和主动攻击,如图1-1所示。
图1-1 被动攻击和主动攻击
1.被动攻击
被动攻击是针对信息机密性进行的攻击,即通过窃取网络上传输的信息并加以必要的分析从而获取有价值的情报,但它并不修改信息的内容。
被动攻击主要有两种类型:信息内容泄露和业务流分析。对于信息内容泄露,可以采用对信息内容进行加密的技术来防止对手获取可用的信息内容;而业务流分析,是指攻击者通过对通信业务流模式进行观察和分析,可以确定通信双方的身份和位置,以及通信的频率和消息的长度,而这些消息对通信双方来说是敏感的。对于业务流分析,可通过填充报文和改变传输路径来防止。
由于被动攻击并不对传输的信息进行任何修改,所以难以被检测出来。因此,对抗被动攻击的重点是预防而不是检测。
2.主动攻击
主动攻击是攻击信息来源的真实性、信息传输的完整性和系统服务的可用性。主动攻击主要包括中断、更改、伪造。
(1)中断是指系统中的资源遭到破坏而不可用,这是对可用性的攻击。例如,破坏计算机硬件(如硬盘)、切断通信线路、破坏文件管理系统、阻止或占据对通信设施的正常使用或管理等。
(2)更改是指非授权者对资源进行篡改,这是对完整性的攻击。例如,更改数据文件、运行程序的数据和网络中传输的数据等。
(3)伪造是指非授权者在系统中插入假冒的对象,这是对真实性的攻击。例如,在网络中插入欺骗的信息或在文件中插入附加的数据等。
主动攻击具有与被动攻击相反的特点。虽然被动攻击很难被检测出来,但可采取预防措施进行防御。相反,对主动攻击的绝对预防难度很大,因为这样需要对所有通信工具和路径进行时时刻刻的完全保护。对于主动攻击,通常的做法是对攻击进行检测,并采取措施从攻击引起的中断或延迟处快速恢复。