第1章 绪论
1.1 信息和信息安全的概念
1.1.1 信息的定义
信息一词,对我们都不陌生,打开电视、翻开报纸或者连上互联网就会接收到大量信息。人们每天都在接收、使用和交流信息。那么什么是信息呢?一个广义的说法是,信息就是消息。一切存在都有信息。人的五官生来就是为了感受信息的,是信息的接收器,它们所感受到的一切,都是信息。对于大量五官不能直接感受的信息,人类正通过各种手段,发明各种仪器来感知和发现它们。
1928年,L. V. R. Hartley在《贝尔系统技术杂志》(BSTJ)上发表了一篇题为“信息传输”的论文,在论文中,他把信息理解为选择通信符号的方式,并用选择的自由度来计量这种信息的大小。但他的定义没有涉及信息的内容、价值和统计性质。
1948年,信息论的创始人美国数学家C. E. Shannon发表了一篇题为“通信的数学理论”的论文,以概率论为基础,给出了信息测度的数学公式,明确地把信息量定义为随机不定性程度的减少。Shannon指出,通信系统所处理的信息在本质上都是随机的,可以用统计的方法进行处理,但这一概念同样没有包含信息的内容和价值。
1948年,控制论的创始人N. Wiener出版了专著《控制论:动物和机器中的通信与控制问题》,从控制论的角度出发,认为信息是在人们适应外部世界,并且这种适应反作用于外部世界的过程中,同外部世界进行互相交换内容的名称。虽然这一定义包含了信息的内容与价值,但没有将信息与物质、能量区别开。
信息的定义有很多种,人们从不同侧面揭示了信息的特征与性质,但同时也存在这样或那样的局限性。
1988年,我国信息论专家钟义信教授在《信息科学原理》一书中把信息定义为:事物运动的状态和状态变化的方式。信息的这个定义具有最大的普遍性。
1.1.2 信息的属性和价值
由于信息是事物运动的状态和状态变化的方式,而事物运动的状态和状态变化的方式是无限的,因此,信息具有无限性。
信息不是有形的自然实体,自身不能独立存在。但为了传播与被利用,它必须依附于各种载体,如图书、期刊、录音带、录像带、光盘等,同样的信息内容可以不同的载体形态出现,所以信息是无形的。
由于事物本身是不断发展变化的,随着时间和空间的推移,信息也会随之变化。此时此地信息资源价值连城,彼时彼地则可能一文不值。所以信息具有时效性。
信息并不因为分享者的人数多寡而使各自得到的信息量增或减,而是可以存储多次和传输利用的;不同的用户可以在同一时间共享同一内容的信息。
在现今的信息化社会,信息也和能源、材料一样成为一种有价值的资产。信息的价值与其属性相关,信息的真实度越高,就越能减少信息利用者的不确定性,其使用价值就越高。
由于事物皆处于运动变化之中,作为反映事物运动状态和方式的信息也在不断变化,如不能及时地使用最新信息,信息的价值就会随其滞后使用的时差而减值。
信息的价值,也来源于信息可以被交流、存储和使用,如果信息不能被交流和使用,也就失去了存在的价值。
1.1.3 信息安全的含义
安全的本意是采取保护,防止来自攻击者有意或无意的破坏。
信息安全是一个随着历史发展内涵不断丰富的概念,在20世纪60年代至70年代,军事通信提出了通信保密的需求,即必须考虑秘密消息在传送途中被除发信者和收信者以外的第三者(特别是敌方)截获的可能性,使截获者即使截获信息的载体(如文本、无线电波等)也无法得知其中的信息内容。那时,信息安全只具有信息保密的含义。到了20世纪80年代至90年代,信息安全就不仅仅是指机密性,它还包含完整性和可用性,俗称CIA。C代表机密性(Confidentiality),即保证信息为授权者享用而不泄露给未经授权者。I代表完整性(Integrity),它包含两方面的含义,一是数据完整性,即数据未被未授权篡改或者损坏,二是系统完整性,即系统未被非授权操纵,按既定的功能运行。A代表可用性(Availability),即保证信息和信息系统随时为授权者提供服务,而不要出现非授权者滥用却对授权者拒绝服务的情况。除了CIA这三个基本方面,信息安全的其他含义还有不可否认性(Non-repudiation)、鉴别(Authentication)、审计(Accountability)、可靠性(Reliability)等。不可否认性,即要求无论发送方还是接收方都不能抵赖所进行的传输。鉴别就是确认实体是它所声明的,它适用于用户、进程、系统、信息等。审计确保实体的活动可被跟踪,可靠性指的是特定行为和结果的一致性。信息安全需求的多样化,决定了信息安全含义的多样性。
一般认为,安全的信息交换应该满足的5个基本特性是:数据机密性、数据完整性、不可否认性、身份真实性和可用性。
上面,我们从安全的特性或者目标方面对信息安全的内涵进行了阐述和解释。在一些教科书上可能会看到计算机安全包括:实体安全、软件安全、运行安全和数据安全的说法。实际上,一个组织要实现安全的目标,还需要在实体、运行、数据、管理等多个层面实现安全。国家标准GB/T 22239—2008《信息系统安全等级保护基本要求》指出信息系统的安全需要从技术和管理两方面来实现,基本技术要求分为5 大类:物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复。