如何定義企業信息安全

隨著全球范圍內數據泄露、黑客攻 擊等安全事件不斷出現,信息安全工作的重要性已為全世界所接受,很多企業目前都將信息安全工作提到了戰略性的高度。然而,企業信息安全究竟要做什么?要關 注哪些方面?如何來落實?這些問題一直困擾著各個企業的CSO、CIO和CEO們,為此,本文將從信息安全的定義出發,討論企業信息安全框架及其實施內 涵。

1、傳統信息安全的定義

“信息安全”曾經僅是學術界所關心的術語,就像五、六十年前“計算機”被稱為“電算機”那樣僅被學術界所了解一樣。現在,“信息安全”因各種原因已經 像公眾詞匯那樣被人所熟知,盡管尚不能與“計算機”這個詞匯的知名度相比,但也已經具有廣泛的普及性。問題的關鍵在于人們對“計算機”的理解不會有什么太 大的偏差,而對“信息安全”的理解則各式各樣。種種偏差主要來自于從不同的角度來看信息安全,因此出現了“計算機安全”、“網絡安全”、“信息內容安全”之類的提法,也出現了“機密性”、“真實性”、“完整性”、“可用性”、“不可否認性”等描述方式。

關于信息安全的定義,以下是一些有代表性的定義方式:

1) 國內學者給出的定義是:“信息安全保密內容分為:實體安全、運行安全、數據安全和管理安全四個方面。”

2) 我國相關立法給出的定義是:“保障計算機及其相關的和配套的設備、設施(網絡)的安全,運行環境的安全,保障信息安全,保障計算機功能的正常發揮,以維護計算機信息系統的安全”。這里面涉及了物理安全、運行安全與信息安全三個層面。

3) 英國BS7799信息安全管理標準給出的定義是:“信息安全是使信息避免一系列威脅,保障商務的連續性,最大限度地減少商務的損失,最大限度地獲取投資和商務的回報,涉及的是機密性、完整性、可用性。”

4) 美國國家安全局信息保障主任給出的定義是:“因為術語‘信息安全’一直僅表示信息的機密性,在國防部我們用‘信息保障’來描述信息安全,也叫‘IA’。它包含5種安全服務,包括機密性、完整性、可用性、真實性和不可抵賴性。”

5) 國際標準化委員會給出的定義是:“為數據處理系統而采取的技術的和管理的安全保護,保護計算機硬件、軟件、數據不因偶然的或惡意的原因而遭到破壞、更改、 顯露”。這里面既包含了層面的概念,其中計算機硬件可以看作是物理層面,軟件可以看作是運行層面,再就是數據層面;又包含了屬性的概念,其中破壞涉及的是 可用性,更改涉及的是完整性,顯露涉及的是機密性。

從信息安全的作用層面來看,人們首先關心的是計算機與網絡的設備硬件自身安全,就是信息系統硬件的穩定性運行狀態,稱之為“物理安全”;其次人們關心 的是計算機與網絡設備運行過程中的系統安全,就是信息系統軟件的穩定性運行狀態,稱之為“運行安全”;當討論信息自身的安全問題時,涉及的就是狹義的“信 息安全”問題,包括信息系統中所加工存儲和網絡中所傳遞的數據的泄漏、仿冒、篡改以及抵賴過程所涉及的安全問題,稱之為“數據安全”。因此,從信息安全作 用點來看問題,可以稱之為信息安全的層次模型,這也是國內學者普遍認同的定義方式,如圖1所示。

圖1 一種信息安全的層次模型

從信息安全的基本屬性來看,機密性就是對抗對手的被動攻擊,保證信息不泄漏給未經授權的人,或者即便數據被截獲,其所表達的信息也不被非授權者所理 解。完整性就是對抗對手主動攻擊,防止信息被未經授權的篡改。可用性就是確保信息及信息系統能夠為授權使用者所正常使用。這三個重要的基本屬性被國外學者 稱為“信息安全金三角”(CIA,Confidentiality-Integrity-Avaliability),如圖2所示。

圖2 信息安全金三角模型

本文摘自網絡由網絡安全攻防研究室(www.szcgpp.com) 信息安全小組收集整理.轉載本文請著名原文地址及原作者版權信息。