1.1.1 信息安全的含义_信息犯罪与计算机取证-QQ阅读男生轻小说网

上QQ阅读APP看书，第一时间看更新

1.1.1 信息安全的含义

提到安全，人们总会联想到保护有价值的东西。一件物品或东西只有具有价值才有保护的意义。信息安全也是如此，只是这里保护的东西不是传统意义上的物品，而是信息。若信息记录在纸张上，或者写在某件东西上，那么通过传统的物理保护就可以达到信息保密的目的。而今存储信息的介质发生了很大的变化，从磁带、磁盘、光盘、U盘等磁性介质到计算机网络上的节点和传输线路都是可以承载信息的载体。因此传统的安全保护方法，在信息载体发生变化后变得不完全适用。

信息安全不能单靠数学算法和协议实现，还需要通过程序技术和遵守法律才能达到期望的效果[2]。例如，假设在现实生活中建立一个安全物流投递系统，除了从外包装上，即物理层面上保证投递物品的安全外，还要制订相应的规程和法律条款，限制投递人员在中途拆开包装，或者禁止非合法接收人打开不属于他的包裹等。这些都是构成一个安全信息系统需要考虑的因素。

信息安全是安全研究领域的一个子集，是由信息系统、信息技术产生的相关安全问题的集合。它包括物理安全、数据安全、网络安全、信息基础设施安全、信息资产安全、金融安全、个人权益安全、企业生存安全、社会稳定和国家信息利益安全[3]。信息安全与其他领域的安全问题相比，在问题出现、发展、更替的速度上更快，时效性更强，有极大的挑战性，需要从技术、管理和法律三个层面共同解决。下面给出几个具有代表性的信息安全的定义[4]。

1. 国际标准化组织ISO的定义

为数据处理系统建立和采取的技术和管理的安全保护。保护计算机硬件、软件、数据不因偶尔的或恶意的原因而受到破坏、更改、泄露。

2. 欧盟的定义

欧盟在“Information Technology Security Evaluation Criteria”（Version 1.2，Officer for Offical Publication of the European Communities，June，1991）中将信息安全定义为：在既定的密级条件下，网络与信息系统抵御意外或恶意行为的能力。这些事件和行为将威胁所存储或传输的数据以及经由这些网络和系统所提供服务的可用性、真实性、完整性和机密性。

3. 美国的定义

美国的不同部门对信息安全的定义也略有差异，美国国家安全电信和信息系统安全委员会（NSTISSC）从技术和管理措施角度对信息安全的定义是：对信息、系统以及使用、存储和传输的硬件的保护，是所采取的相关政策、认识、培训和教育以及技术等必要的手段。

从信息安全涉及的内容而言，信息安全是指：确保存储或传送中的数据，不被他人有意或无意地窃取与破坏。包括：

（1）信息设施及环境安全，包括建筑物与周遭环境的安全；

（2）数据安全，确保数据不会被非法入侵者读取或破坏；

（3）程序安全，重视软件开发过程的品质及维护；

（4）系统安全，维护计算机系统正常运作。

而美国军方对信息安全的理解与上述表述有所不同，他们将信息安全问题抽象为一个由信息系统、信息内容、信息系统的所有者和运营者、信息安全规则等多个因素构成的多维空间。

4. 信息安全专家提出的定义

我国信息安全专家沈昌祥院士将信息安全定义为：保护信息和信息系统不被未经授权的用户访问、使用、泄露、修改和破坏，为信息和信息系统提供保密性、完整性、可用性、可控性和不可否认性。

戴宗坤院士将信息安全定义为：确保以电磁信号为主要形式，在计算机网络系统中进行获取、处理、存储、传输和利用的信息内容，在各个物理位置、逻辑区域、存储和传输介质中，处于动态和静态过程中的机密性、完整性、可用性、可审查性和不可抵赖性，与人、网络、环境有关的技术和管理规程的有机集合。

美国资深信息安全专家Jame Anderson（2003）对信息安全的定义是：信息安全是在充分的知识和经验保证下的信息风险与控制的平衡。

因此，信息安全是一个整体概念，可以从信息系统面临的安全威胁、攻击手段、需要达到的安全目标等方面更全面和深刻地加以理解。

信息安全的定义各国有很多不同的表述。从广义上讲，信息安全是指保证信息的真实性、完整性以及保密性。近年来，我国专家学者通过对信息安全的研究，提出将信息安全的定义表述为：确保信息主体（国家、机构以及个人）的信息空间不受来自内部与外部的威胁、侵害和误导，保护其信息空间的独立性及隐私性。虽然对信息安全的定义没有形成统一的表述，但是对信息安全含义的理解在实践和发展过程中逐渐趋于一致。

信息安全发展至今，经历了几个不同的发展阶段，每个阶段出现的代表性技术和思想，都对信息安全含义的补充和完善起到了至关重要的作用。随着人们对信息技术依赖程度的提高，系统信息化水平的提升，对信息安全的理解逐渐提升到国家安全层面。其中，对网络空间安全的重视达到了国家安全战略的高度。

网络空间安全是信息安全的一个子集，凡是与网络相关的安全问题，均可以归类到网络空间安全中。网络空间安全包括4个方面：一是网络空间中一切数字化信息自身的安全（网络空间中信息自身安全，包括网络空间中的信息内容；数字化的自然空间和社会空间，即以数字化形式存在的自然和社会映射）；二是网络信息系统和网络基础设施安全；三是网络空间中数字化社会、数字化自然的运行安全；四是上述网络空间安全问题的引致安全，引致安全存在于社会空间和自然空间。

自网络空间安全的概念提出以来，各国均积极响应，美国率先在国家安全战略中增加了网络空间安全战略的内容。2011年4月，美国政府正式公布了《网络空间可信身份国家战略》，此战略阐述了美国政府试图在现有技术和标准的基础上建立“身份生态体系”，进而实现相互信任的网络环境，促进网络健康发展。2011年7月，美国国防部发布了《网络空间行动战略》，这一战略明确将网络空间与陆、海、空、天并列为五大行动领域，将网络空间列为作战区域，提出了变被动防御为主动防御的网络战进攻思想，推动了网络空间军事化的进程。在这一战略中所提出的五大战略倡议，包括确立网络空间的应有军事地位，进行主动防御，保护关键设施，防护集体网络，加强技术创新，使非传统安全的“网络空间安全”打上了传统军事安全的深刻烙印。

随后其他各国纷纷仿效，在各自的国家战略中增加和补充了相应内容。我国在2016年12月27日正式发布了《国家网络空间安全战略》。它的目标是：以总体国家安全观为指导，贯彻落实创新、协调、绿色、开放、共享的发展理念，增强风险意识和危机意识，统筹国内和国际两个大局以及发展和安全两件大事，积极防御并有效应对，推进网络空间和平、安全、开放、合作、有序，维护国家主权、安全、发展利益，实现建设网络强国的战略目标。其中，对和平、安全、开放、合作、有序进行了解释[5]。