信息安全的发展历程及安全属性

信息安全的发展是跟信息技术的发展和用户的需求密不可分的。目前信息安全领域的流行观点是：信息安全的发展大致分为通信保密、信息安全和信息安全保障三个发展阶段。

一、 通信保密阶段

20世纪90年代以前,通信技术还不发达,面对电话、电报、传真等信息交换中存在的安全问题，人们强调的是信息的保密性。

◇保密性(Confidentiality)指信息只能为授权者使用而不泄漏给未经授权者的特性。

这一阶段对信息安全理论和技术的研究也只侧重于密码技术，可以简称为通信保密安全，主要目的是保障传递的信息安全，防止信源、信宿以外的对象查看信息。

对于我国而言通信系统安全，只有少数专业单位进行密码技术的研究和开发，而且研究开发工作本身也是秘密进行的。1984年12月在西安电子科技大学，其前身为西军电，即中国人民解放军军事电信工程学院。它召开了“第一届中国密码学术会议”，这些活动开创了我国民间公开研究密码学的先河。

二、信息安全阶段

20世纪90年代以后,半导体和集成电路技术的飞速发展推动了计算机软便件的发展,计算机和网络技术的应用进入了实用化和规模化阶段。这一阶段计算机病毒出现并广泛传播，非法拷贝软件的现象也相当普遍随着网络技术的发展和应用，计算机病毒、蠕虫和木马等恶意代码通过网络传播，造成了更大范围的危害。于是，防治计算机病毒等恶意代码，阻止非法拷贝软件，保障网络安全成为社会对信息安全的迫切需要。除了通信保密之外，计算机操作系统安全、分布式系统安全和网络系统安全的重要性和紧迫性逐渐突现凸现出来。为了解决这些信息安全问题，出现了计算机安全、软件保护等信息安全新内容和新技术，同时出现了防火墙、人侵检测、漏洞扫描及VPN网络安全技术。

人们对安全的关注已经逐渐扩展为以保密性、完整性和可用性为目标的信息安全(Information Security, 1S)阶段,具有代表性的成果就是美国的TCSEC 和欧洲的ITSEC测评标准。这一阶段的信息安全主要保证信息的保密性,完整性、可用性、可控性和不可否认性。

◇保密性(Confidentiality)指信息只能为授权者使用而不泄漏给未经授权者的特性。

◇完整性(Integrity)指保证信息在存储和传输过程中未经授权不能被改变的特性。

◇可用性(Availability)指保证信息和信息系统随时为授权者提供服务的有效特性。

◇可控性(Controllability)指授权实体可以控制信息系统和信息使用的特性。

◇不可否认性(Non-repudiation)指任何实体均无法否认其实施过的信息行为的特性，也称为抗抵赖性。

三、信息安全保障阶段

随着互联网、信息高速公路的出现和应用，构成了人类生存的信息环境，即网络空间( Cyberspace)。人类社会进入信息化时代。在信息化时代，信息科学技术和产业空前繁荣，社会的信息化程度大大提高。电子商务、电子政务、云计算、物联网、大数据处理等大型应用信息系统相继出现并广泛应用。这些都对信息安全提出了更新更高的要求。信息安全不再局限于对信息的静态保护而需要对整个信息和信息系统进行保护和防御。

1996年美国国防部提出了信息保障的概念,即信息保障主要包括促护(Protect)、检测（Detect）、反应(React)、恢复(Restore)四个方面,其目的是动态地、全方位地保护信息系统。

PDRR由以下4部分构成:

P：Protection（防护），主要内容有加密机制,数字签名机制,访问控制机制,认证机制,信息隐藏,防火墙技术等，采用可能采取的手段保障信息和信息系统的保密性、完整性、可用性、可控性和不可否认性。

D：Detection（检测），主要内容有入侵检测、系统脆弱性检测、数据完整性检测和攻击性检测等，以检查系统可能存在的黑客攻击、网络犯罪和病毒泛滥等脆弱性。

R：Reaction（响应），主要内容有应急策略、应急机制、应急手段、入侵过程分析和安全状态评估等，对危及安全的时间、行为、过程及时做出响应处理，杜绝危害的进一步蔓延扩大，力求系统尚能提供正常的服务。

R：Recovery（恢复），主要内容有数据备份、数据恢复、系统恢复等。一旦系统遭到破坏，尽快恢复系统功能，尽早提供正常的服务。

信息保障是对信息和信息系统的安全属性及功能、效率进行保障的动态行为过程。它运用源于人、管理、技术等因素所形成的保护能力、检测能力、反应能力、恢复能力，在信息和系统生命周期全过程的各个状态下，保证信息内容、计算环境、边界与连接、网络基础设施的真实性、可用性、完整性、保密性、可控性、不可否认性等安全属性，从而保障应用服务的效率和效益，促进信息化的可持续健康发展。

在信息保障的概念中,人、技术和管理被称为信息保障三大要素。其中，人是信息保障的基础，信息系统是人建立的，同时也是为人服务的，受人的行为影响。因此，信息保障依靠专业知识强、安全意识高的专业人员。技术是信息保障的核心，任何信息系统都势必存在一些安全隐患。因此，必须正视威胁和攻击，依靠先进的信息安全技术，综合分析安全风险，实施适当的安全防护措施，达到保护信息系统的目的。管理是信息保障的关键，没有完善的信息安全管理规章制度及法律法规，就无法保障信息安全。每个信息安全专业人员都应该遵守相关制度及法律法规，在许可的范围内合理地使用信息系统，这样才能保证信息系统的安全。

总之，信息安全不是一个孤立静止的概念，具有系统性、相对性和动态性，其内涵随着人类信息技术、计算机技术及网络技术的发展而不断发展，如何有效地保障信息安全是一个长期的不断发展的持久话题。

（编辑：源码门户网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!