关于“信息安全”

      信息安全是个很广泛的概念，热议多少年。这里仅仅是几段书本摘录。阅读更多的书本文字，也许可以从不同的角度理解这个概念。

《物联网信息安全》徐小涛 杨志红 人民邮电出版社

所谓信息安全是指保护信息资源，防止未经授权者或偶然因素对信息资源的破坏、改动、非法利用或恶意泄漏，以实现信息保密性、完整性与可用性的要求。在国际标准化组织的信息安全管理标准规范（ISO/IEC17799）和其他一些权威机构的文献中，都定义了信息安全的基本特性，包括保密性、完整性、可用性、可控性、不可否认性等。

保密性就是对抗对手的被动攻击，保证信息不泄漏给未经授权的人，保证信息只允许授权用户访问。

完整性就是对抗对手主动攻击，防止信息被未经授权的人篡改，保证用户得到的信息及信息的处理方法是准确的、完备的。

可用性就是保证信息及信息系统确实为授权使用者所用，保证合法用户在需要时可以访问到所需信息和使用相关的资产。

可控性就是对信息及信息系统实施安全监控，对信息、信息处理过程及信息系统本身都可以实施合法的安全监控和检测。

不可否认性就是保证出现信息安全问题后可以有据可查，可以追踪责任到人或到事，又称信息的不可抗抵赖性。

我国国家信息安全重点实验室给出的定义是：“信息安全涉及到信息的机密性、完整性、可用性、可控性。综合起来说，就是要保障电子信息的有效性。”

英国BS7799信息安全管理标准给出的定义是：“信息安全是使信息避免一系列威胁，保障商务的连续性，最大限度地减少商务的损失，最大限度地获取投资和商务的回报，涉及的是机密性、完整性、可用性。”

美国国家安全局信息保障主任给出的定义是：“因为术语‘信息安全’一直仅表示信息的机密性，在国防部我们用‘信息保障’来描述信息安全，也叫‘IA’。它包含 5 种安全服务，包括机密性、完整性、可用性、真实性和不可抵赖性。”

纵观从不同的角度对信息安全的不同描述，可以看出2种描述风格。一种是从信息安全所涉及层面的角度进行描述，大体上涉及了实体（物理）安全、运行安全、数据（信息）安全；另一种是从信息安全所涉及的安全属性的角度进行描述，大体上涉及了机密性、完整性、可用性。信息系统安全的概念从经典模型上看，是要求系统无漏洞。这种系统的安全概念在于不断追求消灭漏洞，从概念上划分是静态的和基于空间的。这种模型的最大问题在于把系统漏洞看成是静态出现的，甚至完全没有考虑系统在运行中产生的“腐败”现象。而实际情况是系统漏洞是与系统运行状态相关的，并且是动态出现的。现代信息系统实用安全概念为：承认信息系统安全的脆弱性和可腐败性，正视信息系统安全的威胁，在尽可能地加强防护能力（消灭漏洞）的同时，要加强信息系统对自身漏洞和攻击的检测、管理、监控和处理能力，形成对信息系统安全事件的快速反应能力，强调信息系统安全基于时间的特性。