随着通信技术和信息技术的发展,极大的改变了人们处理信息的方式和效率。计算机网络尤其是互联网的出现是信息技术发展中一个里程碑事件。计算机网络将通信技术和计算机技术结合起来。信息在计算机上产生、处理,并在网络中传输。网络信息系统安全是通信安全和信息系统安全的综合,网络信息安全已经覆盖了信息资产的生成、处理、传输和存储等各个阶段。包括信息自身的安全、信息应用的安全、计算机信息系统安全、通信网络安全。
信息安全信息应用安全
信息自身安全
信息基础设施安全计算机系统安全
通信网络安全
网络信息系统安全随着通信技术和信息技术的发展,大致经历了通信保密年代、计算机系统安全年代、信息系统网络安全年代、网络空间安全年代。
一、通信保密年代
1906年,美国物理学家费森登( Fessenden )成功地研究出无线电广播。法国人克拉维尔建立了英法第一条商用无线电线路,推动了无线电技术的进一步发展。
进入20世纪,尤其是在“二战”时期,军事和外交方面的巨大需求,使得无线通信技术得到飞速发展,被广泛用来传递军事情报、作战指令、外交政策等各种关键信息。21世纪,通信技术突飞猛进的发展,移动通信和数字通信成为通信技术的主流,现代世界中通信技术成为支撑整个社会的命脉和根本。
在通信保密年代,网络信息安全面临的主要威胁是攻击者对通信内容的窃取:有线通信容易被搭线窃听、无线通信由于电磁波在空间传播易被监听。保密成为通信安全阶段的核心安全需求。这阶段主要通过密码技术对通信的内容进行加密,保证数据的保密性和完整性,而破译成为攻击者对这种安全措施的反制。
二、计算机系统安全年代
计算机经历了电子计算机、晶体管计算机、集成电路计算机等几个阶段。尤其是在进入20世纪70年代后,随着个人计算机的普及,各行各业都迅速采用计算机处理各种业务。计算机在处理、存储信息数据等方面的应用越来越广泛。美国国家标准局公布了《数据加密标准》( Data Encryption Standard,DES ),标志着信息安全由通信保密阶段进人计算机安全阶段。这个时期,计算机网络尚未大规模普及,相对于电话电报,计算机对信息的处理和存储能力强大,但数据长距离、大容量的传输方式较单一,功能相对较弱(主要通过软盘等形式传输)。因此,计算机阶段主要威胁来自于非授权用户对计算资源的非法使用、对信息的修改和破坏。
20世纪80年代计算机安全的概念开始成熟。计算机安全的主要目的是采取措施和控制以确保信息系统资产(包括硬件、软件、固件和通信、存储和处理的信息)的保密性、完整性和可用性。典型代表措施是通过操作系统的访问控制手段来防止非授权用户的访问。
三、信息系统网络安全年代
计算机网络尤其是互联网的出现是信息技术发展中一个里程碑事件。计算机网络将通信技术和计算机技术结合起来。信息在计算机上产生、处理,并在网络中传输。信息技术由此进人网络阶段,网络阶段利用通信技术将分布的计算机连接在一起,形成覆盖整个组织机构甚至整个世界的信息系统。信息系统安全是通信安全和计算机安全的综合,信息安全需求已经全面覆盖了信息资产的生成、处理、传输和存储等各阶段,确保信息系统的保密性、完整性和可用性。信息系统安全也曾被称为网络安全,主要是保护信息在存储、处理和传输过程中免受非授权的访问,防止授权用户的拒绝服务,同时检测、记录和对抗此类威胁。为了抵御这些威胁,人们开始使用防火墙、防病毒、PKI、 VPN等安全产品。此阶段的主要标志是发布了《信息技术安全性评估通用准则》,此准则即通常所说的通用准则( Common Criteria,CC),后转变为国际标准ISO/IEC 15408,我国等同采纳此国际标准为国家标准GB/T 18336。
四、网络空间安全年代
随着互联网的不断发展,越来越多的设备被接人并融合,技术的融合将传统的虚拟世界与物理世界相互连接,共同构成了一个新的IT世界。互联网成为个人生活、组织机构甚至国家运行不可或缺的一部分,网络空间随之诞生,信息化发展进人网络空间阶段。网络空间作为新兴的第五空间,已经成为新的国家竞争领域,威胁来源从个人上升到犯罪组织,甚至上升到国家力量的层面。
“网络空间( Cyberspace)”一词,由加拿大作家威廉●吉布森在其短篇科幻小说《燃烧的铬》中创造出来,原意指由计算机创建的虚拟信息空间,体现了Cyberspace 不仅是信息的简单聚合体,也包含了信息对人类思想认知的影响。此后,随着信息技术的快速发展和互联网的广泛应用,Cyberspace 的概念不断丰富和演化。
随着信息化的不断深人,信息系统成为组织机构工作和生活不可或缺的一部分,信息安全威胁来源从个人上升到犯罪组织,甚至国家力量。在这个阶段,人们认识到信息安全保障不能仅仅依赖于技术措施,开始意识到管理的重要性和信息系统的动态发展性,信息安全保障的概念逐渐形成和成熟。
信息安全保障把信息系统安全从技术扩展到管理,从静态扩展到动态,通过各种安全保障技术和安全保障管理措施的综合融合至信息化中,形成对信息、信息系统乃至业务以及使命的保障。信息安全保障时代,其主要标志是《信息保障技术框架》(IATF)。如果说对信息的保护,主要还是处于从传统安全理念到信息化安全理念的转变过程中,那么面向业务的安全保障,就完全是从信息化的角度来考虑信息的安全了。体系性的安全保障理念,不仅是关注系统的漏洞,而且是从业务的生命周期着手,对业务流程进行分析,找出流程中的关键控制点,从安全事件出现的前、中、后三个阶段进行安全保障。面向业务的安全保障不是只建立防护屏障,而是建立一个“深度防御体系”,通过更多的技术手段把安全管理与技术防护联系起来,不再是被动地保护自己,而是主动地防御攻击。也就是说,面向业务的安全防护已经从被动走向主动,安全保障理念从风险承受模式走向安全保障模式。信息安全阶段也转化为从整体角度考虑其体系建设的信息安全保障时代。
2009年5月29日,美国发布《网络空间政策评估:确保信息和通信系统的可靠性和韧性》报告。云计算、虚拟化、物联网、移动互联网、大数据、人工智能等新技术的出现,使得网络空间安全的问题无比复杂。
2016年12月,我国发布了《国家网络空间安全战略》,明确了网络空间是国家安全的新疆域,已经成为与陆地、海洋、天空、太空同等重要的人类活动新领域,国家主权拓展延伸到网络空间,网络空间主权成为国家主权的重要组成部分。
