这些年随着众多安全标准的推广普及,人们对信息安全的认知慢慢趋向一致,到底什么是「信息安全」在安全行业内,已经没有什么太大的分歧与争论了。所以今天这一篇,针对信息安全内涵只是简单做一个总结,没有什么新的东西。在信息安全外延方面,根据近些年安全行业的发展,谈谈自己的一些感受。

信息安全保护的对象是信息资产,信息资产是对组织有价值的信息及其载体。信息本身是无形的,它的存在需要借助于各种载体,因此,保护信息很大程度上是保护信息载体。信息价值越高,承载信息的载体价值也越高,所以,同样的载体承载不同的信息,受保护的程度大不相同。

保护信息资产的安全,即保护信息资产的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability),这三个安全属性的关系见下图:

信息安全基本概念(信息安全内涵与外延)(1)


保密性(Confidentiality)是保证信息不被非法获取,通俗的讲就是谁可以访问,谁不能访问,防止对信息未授权的访问;完整性(Integrity)是保证信息不被非法篡改,通俗讲就是谁可以修改,谁不能修改,防止对信息未授权的修改;可用性(Availability)是保证信息在需要的时候是可用的,通俗讲就是信息在什么时间可用,对谁可用,防止信息在业务需求的时候不可用。

信息安全CIA属性之所以使用天平图表示,因为天平的支撑以及天平的两端的平衡,能够很形象的表示三个属性的关系。在三个属性中完整性起到支撑作用,完整性出现问题(被篡改)后保密性、可用性可能不再有意义,比如口令被非法篡改后,口令的保密性也已经被破坏,同时口令也变得不再可用。而保密性和可用性则是一对平衡关系,保密性越强,可用性相对的会被削弱,可用性越强,保密性相对的也会被削弱。

另外,信息安全定义中防止「非法」泄漏、篡改与破坏,这里面的「非法」的含义是违反安全的保护规则,符合规则属于合法,违反了规则即是非法。所以,所谓的绝对安全是不存在的,安全保护是一个动态平衡的过程,在这个过程中保护规则是核心关键点,确定安全保护规则需要平衡业务需求与安全风险。


根据上述所讲的内容,可以看到信息安全是从结果进行定义的,也就是说不管什么原因导致的,只要信息资产的安全属性(CIA)被破坏,就属于信息安全的范畴了。信息安全这个特点,使得它外延在不断扩大,下面对此谈谈自己的一些感受。

首先,信息安全边界越来越模糊:最早信息安全仅仅关注信息资产免受威胁侵害,此时产生安全隐患的起因是信息资产,受影响的也是信息资产,这就是狭义的信息安全范畴。后来慢慢的发现,还有很多安全隐患起因并不是信息资产,而是其它领域出现隐患或问题导致的,信息资产只是受害者。信息安全的边界会越来越难以界定,甚至将来信息安全可能无法单独存在,而是逐渐成为业务或技术的一个重要属性。

其次,信息安全威胁越来越多变:信息安全是一种伴生技术,新的技术应用就会带来新的威胁,新的威胁驱动新的安全技术。随着互联网、云计算、大数据、区块链、5G、物联网新技术应用场景日益丰富,信息安全威胁也必然会越来越多变,而且绝大部分安全威胁是无法预知的,只能通过不断的总结经验教训,通过探索积累最佳实践。

最后,信息安全防御越来越被动:信息安全防御与攻击一直是非对称性的,攻击搞破坏找一个点入手很容易,安全防御建体系面面俱到周期长、见效慢。新的技术由于利益驱动,最早往往应用于安全黑产,信息安全防御能做到从容应对会变得越来越困难,或者所付出的成本会越来越高,道高一尺魔高一丈会越来越明显。


,