范文一：信息安全内涵属性的系统性分析

2007.02 7 0

防止信息被未经授权的篡改。可用性就 信息安全五要素 是确保信息及信息系统能够为授权使用

者所正常使用。这三个重要的基本属性 信息安全的描述 被国外学者称为信息安全的三性 纵观从不同的角度对信息安全的不同 : C I A :。 描述,可以看出两种描述风格。一种是 ??信息内容安全的问题已经深刻地展 从信息安全所涉及层面的角度进行描 上东现在现实社会的面前,主要表现在有害 述,大体上涉及了实体:物理:安全、 海南 信息利用互联网所提供的自由流动的环 运行安全、 数据:信息: 安全; 一种 交大 通学境肆意扩散,其信息内容或者像脚本病 是从信息安全所涉及的安全属性的角度 大经 毒那样给接收的信息系统带来破坏性的 进行描述,大体上涉及了机密性、完整 学济 信管后果,或者像垃圾邮件那样给人们带来 性、 可用性。 息理 烦恼,或者像谣言那样给社会大众带来 从信息安全的作用层面来看,具体 安学 全院困惑,从而成为社会不稳定因素。但 反映在以下四个层面: 工系 是,就技术层面而言,信息内容安全 程统: 1 : 实体安全:又称物理安全 :, 学及技术的表现形式是对信息流动的选择控 即:防止计算机及其网络的硬件设备遭 院物 制能力,换句话说,表现出来的是对 流到自然或人为破坏,确保计算机信息系 李研 数据流动的攻击特性。 统硬件的稳定运行。 建究 华 所 信息安全的基本属性 : 2 : 运行安全:又称系统安全 :, 从信息安全的属性来看,除了前面 所介绍的机徐即:确保计算机及其网络系统的软件稳 密性、完整性、可用性等 三个基本属性之外,还有 婧 定运行。 更多的一些属 性也用于描述信息安全的不同的特性, : 3 : 数据安全:即狭义的“信息 如可控性、合法性、实用性、占有性、 唯一性、不安全 ”:, 是指防止信息在收集、 处

可否认性、可管性、可追 溯性、生存性、稳定性、理、 存储、 检索、 传输和交换等过程

可靠性、特 殊性等。其中:完整性反映的是主体 中被非法泄漏、 篡改、 窃取、 仿冒或

身份、行为及相关信息的真实有效;可 控性反映的是抵赖,确保信息的保密性、完整性、可

信息系统不会被非授权使 用,信息的流动可以被选择用性、 可控性和抗抵赖性。

性阻断;合 法性反映的是信息或信息系统的行为获 得:4 :随着垃圾邮件和各种有害信息

了授权;实用性反映的是信息加密密 钥与信息的强关 的出现,信息安全又被赋予了一个新的

联性及密钥不可丢失的 特性;占有性反映的是信息载含义——内容的安全,即:如何防止有

体不可被 盗用,确保由合法信息所占有;唯一 性害信息利用计算机网络所提供的自由流 反映的是各信息以及信息系统行为主 体之间不会出现动的环境肆意扩散,如对指定的数据进 混淆;不可否认性反映 的是所生成的信息或信息系统行选择性阻断、 修改和转发等 。。

的合法行 为不会被抵赖;可管性反映的是信息安 全中因此,信息安全目前涉及到了计算机 法律、法规及人为因素的综合影 响;可追溯性反映信息系统四个层面上的安全:实体安全; 的是信息系统的行为 数据安全;运行安全;内容安全。

从信息安全的基本属性来看,机密性

就是对抗对手的被动攻击,保证信息不

泄漏给未经授权的人,或者即便数据被

截获,其所表达的信息也不被非授权者

所理解。完整性就是对抗对手主动攻击,

2007.02 7 1

具有被审计的能力;生存性反映的是信息系统在受到攻击时 3. 数据安全:是指对信息在数据收集、处理、存储、 检

可以通过采取降级等措施以保持最低限度的核心服务能力; 索、 传输、 交换、 显示、 扩散等过程中的保护, 使得 在数

稳定性反映的是信息系统不会出现异常情况;可靠性反映的 据处理层面保障信息依据授权使用,不被非法冒充、窃 取、 篡

是信息系统能够保持正常运行而不受外界影响的能力;特殊 改、 抵赖。 主要涉及信息的机密性、 完整性、 实 用性、 完

性反映的是信息所需要表现的特定的内涵。 整性、 唯一性、 不可否认性、 生存性等; 所面 对的威胁包括窃取、 伪造、 密钥截获、 篡改、 冒充、 抵 赖、攻击密钥等;在此,基于信息安全的作用点,可以将信息安全看作是由

主要的保护方式有加密、认证、非对称 密钥、 完整性验证、 四个层面所构成的层次框架体系,并且在每个层面中各自反映 了

鉴别、 数字签名、 秘密共享等。 在该层面中所涉及的信息安全的属性,如表 1 所示。

表 1 信息安全的层次框架体系 4. 内容安全:是指对信息在网络内流动中的选择性阻 断,以保证信息流动的可控能力。在此,被阻断的对象是 通过内容可以判断出来的可对系统造成威胁的脚本病毒;因 无限制扩散而导致消耗用户资源的垃圾类邮件;导致社会不 稳定的有害信息,等等。主要涉及信息的机密性、完整性、 可控性、 可管性、 可用性、 完整性、 可靠性等; 所面对 的难题包括信息

不可识别:因加密 :、信息不可更改、信 息不可阻断、信息不可替换、信息不可选择、系统不可控 等;主要的处置手段是在表 1 中,实体安全涉及的是硬件设施方面的安全问题;

密文解析或形态解析、流动信息的裁 剪、信息的阻断、信息的运行安全涉及的是操作系统、数据库、应用系统等软件方面

替换、信息的过滤、系统的控制 的安全问题。狭义的信息安全所反映的是信息自身所面临的

等 。 安全问题。其中,数据安全是以保护数据不受外界的侵扰为

信息安全的要素分析 目的,包括与泄密、伪造、篡改、抵赖等有关的行为;内

在诸多信息安全的属性中, 分析可见,机密性、完整 性、容安全则是对流动的数据进行限制,包括可以对指定的数据

可控性、可用性、可管性属于基本属性,相互不能蕴 涵。其进行选择性的阻断、 修改、转发等特定的行为。

中机密性反映了信息与信息系统的不可被非授权者所 利用;完从信息安全属性的角度来看,每个层面所涉及的信息安

整性反映了信息与信息系统的行为不被伪造、篡 改、冒充;可全的属性,对应于该层面信息安全的外部特征,也具有相应

控性反映了信息的流动与信息系统可被控制者 所监控;可用性的处置方法。

反映了信息与信息系统可被授权者所正常使 用;可管性反映了1. 实体安全:是指对网络与信息系统的物理装备的保

非技术层面上的法律、法规及对人为事件 的管理能力。而其它护。主要涉及网络与信息系统的机密性、可用性、完整性、

属性,包括实用性、合法性、唯一性、 不可否认性、 特殊性、 生存性、稳定性、可靠性等基本属性。所面对的威胁主要

占有性、 可追溯性、 生存性、 稳 定性、可靠性等,则属于上包括电磁泄露、通信干扰、信号注入、人为破坏、自然灾

述五个基本属性的某个侧面的突 出反映,因此可以归结为这五害、设备故障等;主要的保护方式有加扰处理、电磁屏蔽、

个基本属性之中。其中实用性 反映的是机密性在密钥依赖方面数据校验、 容错、 冗余、 系统备份等。

的机密属性;唯一性、不可 否认性、特殊性分别反映的是完整2. 运行安全:是指对网络与信息系统的运行过程和运行

性在信息内容本身、信息 系统行为主体、信息的发布行为、信状态的保护。主要涉及网络与信息系统的完整性、可控性、

息熵方面的真实属性; 占有性、可追溯性分别反映的是可控性可管性、 可用性、 合法性、 唯一性、 可追溯性、占有性、

在对信息资源的保 护、对信息及信息系统行为的审计能力;生生存性、稳定性、可靠性等;所面对的威胁包括非法使用

存性、稳定性、 可靠性分别反映的是可用性在信息系统的容灾资源、系统安全漏洞利用、网络阻塞、网络病毒、越权访

能力、信息系 统的健壮能力、信息系统的可靠能力方面的可用问、非法控制系统、黑客攻击、拒绝服务攻击、软件质量

属性;合法 性、不可否认性、可追溯性分别反映的是可管性差、系统崩溃等;主要的保护方式有防火墙与物理隔离、风

在信息生 成、信息利用、信息传输过程中的安全保障能力。险分析与漏洞扫描、应急响应、病毒防治、访问控制、安

由此, 全审计、入侵检测、源路由过滤、降级使用、数据备份等。

2007.02 7 2

机密性、完整性、可控性、可用性、可管性这五个基本属 可控性最重要的体现是全局监控、预警能力和应急响应 性实际上就是信息安全的五个核心属性,可以反映出信息安 处理能力。全局预警就是要建立全局性的安全状况收集系 全的基本概貌。相对信息安全的三性而言,可称之为信息安 统,对于新的安全漏洞和攻击方法的及时了解,针对体系内 全五要素,简称 CACAS 。 局部发生的安全入侵等事件进行响应。我们通常用水桶效应

来描述分布式系统的安全性问题,认为整个系统的安全性取 与信息安全的三性相比,信息安全五要素弥补了三性的

决于水桶中最薄弱的一块木条。安全中心充分利用所掌握的 明显不足。在 CIA 三性的机密性、完整性、可用性三个属

空间、时间、知识、能力等资源优势,形成全局性的资源 性中,完整性本来是一个小概念,是指确保信息内容不被篡

协调体系,为系统的全局可控性提供有力的保障。 改,而信息的来源甚至信息发布行为主体是否真实则无法表

现。当然随着研究的深入,英国的 BS7799 信息安全管理标 信息安全的可管性

还有必要分析一下最困扰安全评估的管理和技术之间关系 准中将完整性的概念扩大成涵盖了信息发布者的真实与信息来

的问题,我们应对评估中的关键技术和管理以及在实际评估 源的真实两个因素,但这明显是牵强地将固有的概念术语的

体系过程中技术性测评与管理问询的关系,总结出一套相互 外延扩大到本不属于这一术语的意义上。另外,可控性描述

关系并将这种关系考虑到测评工具中去。 了内容安全中对网络上的信息流具有可控能力的属性,这在

机密性、完整性与可用性中都无法表现。因而说,CIA 模 :1 :管理与技术界限的模糊:往往是管理里面有技术, 型是有着缺陷的。 技术里面有管理的部分。

同时,从管理的角度看, 还应当存在一些纯管理的属 :2 :管理和技术的互补增值:某些管理和技术相辅相

成,互为因果,安全技术与有效的管理配合可以实现高等级 性,可以作为实施信息安全管理工作,实现“技术与管理

并重”要求的参考目标。信息安全的管理包括了法律的制 的保护。

定、法规的规定、责任的分化、策略的规划、政策的制订、 :3 :管理和技术的替代:某些技术强一些,管理可以 流程的制作、操作的审议等等。 弱一些;管理强一些, 技术措施可以弱一些。

信息安全的可控性 :4 :管理和技术的动态性:由于运行环境的动态性, 相应的管理

信息安全的可控性是指要对系统的安全隐患进行迅速有效 与技术策略需要考虑动态的变化,如需要有相关 的策略确保随着环境的变的反应和防范,必须在整个网络系统中具有自动的中央控制机 化调整系统的配置。

制,而不仅仅局限在某个路由器、防火墙上提供手动的控 :5 :管理和技术木桶原理:系统的脆弱性往往由最薄 制 。 弱的环节决定。

在系统的层次上提供集中的、自动的对网络设备、应用 :6 :管理与技术的风险代价原理:管理或技术手段的 和用户接入的控制能力,能够保证对各种影响网络安全、网 优化组合原则是成本最低的情况下实现系统的安全目标。 络性能的行为自动做出快速反应,减少这些行为所造成的损 管理和技术之间的复杂性制造了系统安全测评的难度,无 失。由于具有系统层次的控制能力,因此能实现全网全程监 论哪种系统测评都避免不了管理与技术之间的衔接问题,因 控,保证安全策略的集中控制和管理,实现网络配置、定 此,信息安全的可管理性表现了对安全易于管理的程度。通 位服务、基于角色的策略制定的自动化,完成威胁的检测、 过各种管理手段可以方便用户对安全信息的掌握和对安全的控 定位及网络配置的自动响应。现在病毒在网上的扩散速度越 制 。

来越快,从开始的平均扩散时间几十分钟 / 台降低到现在的几 由于互联网上充斥有大量不良信息,政府网络在有效合 分钟 / 台,由于传统的网络安全技术不具有自动反应能力,需 理利用互联网资源的前提下,为避免政府上网的负面影响和 要手工对相关的设备进行重新配置,病毒很容易在网络内部 提高电子政务效率,需要对信息进行一定的访问控制。而目 扩散。利用信息安全的可控能力,系统在监测到病毒攻击之 前访问控制的实现方式非常多,针对各种不同的需求都有较 后,网络管理系统将很快定位发出攻击的位置,同时自动将 灵活的实现手段,导致类似的安全产品种类繁多,需要专业 受病毒感染的终端从网络上隔离开,并对网上传输的攻击数 的网络安全从业人员为客户选择最佳的实现途径,达到最好 据流量进行限制,从而保证正常应用的开展并降低病毒对全 的性价比。

网的感染范围。 目前政府信息系统较常见的安全威胁主要来自很多无意的

2007.02 7 3

人为因素而造成的风险。如由于用户安全意识不强导致的病 其中 分别代表某个评价指标在系统 ,

毒泛滥、账户口令安全薄弱等,对集中统一的安全管理软 件,如病毒软件管理系统、身份认证管理系统以中的权重。

及网络安全 指标权重显示各指标项目在总体评估中所具有的重要程 设备系统管理软件等要求较高。因此通过安全管理平台可有 度。确定评价指标权重的方法很多。如经验法、专家估测 效地实现全网的安全管理,同时还可以针对人员进行安全管 法、加权统计方法、频数统计法、 层次分析法等。目前, 理和培训,增强人员的安全防范意识。这就对安全管理平台 粗糙集、神经网络、小波神经网络等比较新的理论和技术也 和专业的网络安全服务提出了较高的要求。 被用于确定指标权重。

系统对安全风险管理的对象进行分类,如:员工对象、 安全风险具有非常广泛的含义,本文中使用较为通用的 服务对象、服务器对象等。然后,对各种对象进行分类管 风险模型:安全风险由资产价值、脆弱性和威胁来决定。风 理, 如: 内部员工管理、 服务管理、 服务器管理。 对安 险值的计算方法,以下面的范式形式化加以说明: 全信息

注的事进行分类有助于用户对信息的浏览,并迅速识别其关 : 2 : 件。 其中,R 表示风险;t 表示某个时刻,A 表示资产;T

综合信息安全的层次性特性与安全属性特性,可以形成 表示威胁;V 表示脆弱性;Ia 表示发生的安全事件作用的资 一个信息安全概念的关联架构,如图所示。 产的重要程度;Va 表示某一资产本身的脆弱性,L 表示威胁

利用资产的脆弱性导致安全事件发生的可能性。

安全风险的计算具体而言:

: 1 : 对资产的重要性进行识别;

: 2 : 对资产的脆弱性进行识别;

:3 :针对每一个弱点,识别可能利用此弱点造成安全

总之,信息安全不是一个孤立静止的概念,信息安全层次与属性的关联 事件的威胁;

而是一个多 :4 :计算威胁利用资产脆弱性发生安全事件的可能性; 层面、多因素、动态的概念,其内涵将随着人类信息技术 即 :

的发展而不断更新。 安全事件发生的可能性 =L(威胁,资产脆弱性), L(T,Va)

:5 :根据安全事件发生的可能性以及其所作用的资产的

信息安全风险 重要程度计算风险值。 在实时的获取资产、威胁和漏洞的

信息基础上,可以计

安全风险评估作为信息安全评估的前提和基础,其评价 算风险的实时变化:

结果的客观性和正确性对整个评估结论有着重要的影响。因

: 3 : 此,为了达到信息系统安全评估的研究目标,需要对安全风

假设某一信息资产的编号为 n,在固定时刻的前提下对式 险评估方法进行研究。

: 2 : 进一步展开得到 :基于信息安全的五要素,安全性可以用 n 维向量来表示,

每一维代表安全的一个方面。已知系统安全定义为机密性、 : 4 : 完整性、可用性、可控性和可管性的结合,它就可以用五 式:4 :中针对某一特定编号为 n 的资产,在其风险值维向量表示:{TCF :机密性 :, TIN :完整性 :, TAV Rn 的计算中加入 1 个调整参数 ,是为了平衡不同种类的资:可用性 :, T C T :可控性 :, T S P :可管性:} 。 这个产;对 L 函数中的威胁 T 引入了 1 个参考因子 ,

五维向量的值表明了系统机密性、完整性、可 用 是布尔函数取值为 0 或 1 ,其具体表现形式如下:性、可控性和可管性的强度评价指标。考虑到 TCF 、TIN 、

TAV 、TCT 、TSP 之间的权重关系,一个信息系统的安全

模型可以简单地用它们的加权和来表示,即: :5:

: 1 : (下转 78 页)

2007.02 7 8

求指明其作者或表演者身份的权利,而且可以保护其作品或 这样他人再利用这些作品时就可以按照自己的需要对其进行

表演维持完整性的权利。在 WIPO 的两个新条约中,有些条款 修改,而不用担心会有人跳出来指控侵权。不过网上真假

表面上与保护精神权利无关,但也间接起到了保护的作用。 难辨,作品使用者应当对作品的作者进行合理的查询,只

WCT第 12 条和WPPT第19 条规定的“关于权利管理信息的义 有在查询后仍无法确认作者身份时才能适用这条规定。

务”,要求成员国针对任何人删除或更改“任何权利管理的电 2. 加强精神权利保护的主张 对于限制精神权利在网络环

子信息”规定法律救济,并规定这一用语主要指可藉以确定作 境下适用的主张也有很激烈

者和表演者、录音制作者的信息。“似乎可以认为,上述两条 的反对意见,因为精神权利对于作者来说是其作品中体现的

规定包含有权利人要求指明其相应身份的权利:郑成思教授 人格的保障,它具有经济权利不能替代的作用。

把这称为版权人享有的“权利标示权”:。当然,这一权利只能 为适应数字环境,有人提议一种新的精神权利,即注 在权利人提供了权利管理信息的条件下行使,而提供这种信 明权:moral right to reference:,即任何以数字形式记录某 息并非强制性的。但这两条规定对加强精神权利的保护仍具 作品的文件都应当注明哪些人为这一作品做出了创造性贡献,

有很大作用,特别是在那些未承认这一基本精神权利的国 以及具体有哪些创造性贡献的信息。 家 ”。 此外,精神权利尽管受到技术的威胁,但也可以受益于 技(责编 褚德坤) 术。比如通过“电子签名”,不仅可以保护作者或表演者要

(上接 73 页)

L 函数是表示威胁利用脆弱性造成安全事件发生的可能性 及数值的过程称为信息资产的识别和赋值。 资产的变化可能来的大小,那么针对不同的信息系统,不同种类的威胁所造成 源于新资产的出现,也可能是承载的 的影响是不一样的。如果对某一信息系统攻击行为是集体组 业务发生的变化。威胁的变化可能是新的安全事件的出现和 织的,这样的威胁比普通黑客的威胁权值要大得多。从以上 解决。脆弱性的增加则主要体现在新的脆弱性,而脆弱性的 分析来看,有必要对函数进行修正, 结果如下: 降低主要通过相关的补丁,或者配置策略等的改变或优化。 可以看到,在信息资产保持相对稳定的情况下,降低安 : 6 :

全风险的手段主要有两种:其一是通过强化安全策略,减小

:7: 出现安全事件的机会,并且在出现安全事件的时候,能够及

时的发现、定位和分析,消除事件,震慑威胁方;其二是 式:7 :中 表示与特殊威胁源相关的函数。最后 , 通过及时有效的补丁和安全配置,减少甚至消除资产存在的 得到风险值计算公式为: 脆弱性。 : 8 : 安全威胁是对信息资产引起不期望事件而造成损害的潜在

信息资产以多种形式存在,无形的、有形的,有硬件、 可能性。威胁可能源于对信息资产直接或间接的攻击,例如 有软件,有文档、代码,也有服务、企业形象等。它们分 非授权的泄露、 篡改、 删除等, 在机密性、 完整性、 可 别具有不同的价值属性和存在特点,存在的脆弱性、面临的 用性、可控性或可管性等方面造成损害。威胁也可能源于偶 威胁、需要进行的安全保护和安全控制都各不相同。若干具 发的、或蓄意的事件。通常,收集分析安全事件是获取并 有很强的内在业务关联和依赖关系的资产可以构成一个资产 计算威胁的主要方式之一。

组 。 弱点和资产紧密相连,它可能被威胁利用、引起资产损失 或

信息资产具有不同的安全属性,包括机密性、完整性、 伤害。值得注意的是,弱点本身不会造成损失,它只是一种 条件或可用性、可控性和可管性,分别反映了信息资产在五个不同 环境、可能导致被威胁方利用而造成资产损失。通常, 网络脆弱要素的特性。安全属性的不同通常也意味着安全控制、保护 性扫描、主机和应用的安全审计是获取计算弱点的主 要方式 功能需求的不同。通过考察五种不同的安全属性,可以得出 (责编 马华) 。

一个能够基本定性地反映资产价值的数值,确定信息资产以

范文二：探讨网络空间的法律属性困境与信息安全立法.doc

探讨网络空间的法律属性困境与信息安全立法

信息安全立法与网络空间的法律属性

信息安全立法属于国内立法，它在哪些领域生效，也就是它的效力边界问题，是信息安全立法急需解决的一个难题。而信息安全立法调整的空间就是信息网络，所以追根溯源，还是要弄清楚一国的信息网络边界到底在哪里。众所周知，信息网络具有的跨界性和虚拟性的特点，使网络空间很难适用传统的领土概念。国家的领土主权是指国家在其领土范围内享有的最高的排他的权利，包括自然资源所有权和属地管辖权，而国家主权是指一国对其管辖区域所拥有的至高无上的、排他性的政治权力。虽然网络空间不能被视为领土，但是国家依然可以对其享有国家主权，并且网络空间具有主权已经达成共识。那么网络空间的哪些部分属于一国主权范围，国家有权实施立法管辖，哪些部分不属于一国主权范围，国家又有什么权利，这些问题是支持信息安全立法有效的基本法理。

就网络领域来说，我国一直主张信息无国界，网络有边疆，网络边疆就是我国网络主权管辖的边界，也是我国信息网络安全法的效力边界。而网络边疆的清晰需要对网络空间进行法律属性的分析。

西方对网络空间法律属性的界定

对网络空间法律属性的界定，西方经历了一个发展变化的过程。起初，在把网络空间发展为超越国界、超越法律的自由国思想影响下，美国为在这个自身技术占据绝对优势的空间获得更多的主动，以它为代表的国家将其定性为“全球公域”(GlobalCommons)。“全

球公域”系指主权国家管辖之外的人类共有资源、区域与领域。将网络空间定性为全球公域有利于美国军事霸权的实现。2015 年1 月8 日，美国参联会联合参谋部主任、空军中将大卫?高德费恩签发备忘录，将“空海一体战”作战概念更名为“全球公域介入与机动联合概念”。其内涵是美国陆军、海军、空军和海军陆战队将依照参谋长联席会议主席签发的命令，组织并领导进入全球公域并在其中机动的联合概念。在这个概念下，空海、空地等都成为子项目，根据不同环境要求进行不同的组合。表明其将有限的力量部署在国际海洋、国际空域、外太空与网络空间等不为任何主权国家所有而为全人类安全与繁荣所系之域，以保障其安全利益与战略优势。

另一方面，随着网络空间与现实空间联系的越来越紧密，网络犯罪、网络黑客等威胁使网络已经不能脱离法律管辖的领地。包括美国在内的西方国家已经无法不承认主权在网络空间的存在，否则其无法回答国家对网络空间实施管辖权的合法性。2013 年，代表西方主要法律观点的《塔林网络战国际法手册》第一条认为“一国可对其主权领土内的网络基础设施和网络行为实施控制。”这种将网络空间的主权限定在网络基础设施和网络行动上无疑忽视了网络空间中最主要的因素--数据。今年4 月，在海牙召开了塔林手册2.0 国际咨询会，表明西方的法律学者对网络空间的法律属性和主权领域范围作了更深入的研究，认为:

1. 国家主权延伸至网络空间;主权是是一国最高权威，对于一国领土上的网络基础设施，以及相关活动，一国有权行使主权。2. 网络空间是实体和非实体(non-physical)构成的环境，具备使用计算机和电磁环境的特点，包括了物理层、逻辑层和社会层三个部分。每个部分都与主权有关。3. 基于主权原则，国家有义务尊重他国处理国际事务的权利，依据“平等者之间无管辖权”而承认管辖豁免。尽管不能对网络空间本身行使主权，国家在国际法的管辖基础上，可以对网络犯罪、网络活动等进行管辖。

这一观点对网络空间有了更明确、完整的认识，发展了主权的概念，对一国维护本国的网空利益，有一定的积极意义。然而其虽然承认网络空间是实体和非实体同时具备的环境，但其对主权的维护方面，仍主要集中在对网络基础设施和网络活动的实体保护上，而国家在网络空间的数据权利，本国网络传播领域实施管理的权利，保障公民网络通信自由和国家、组织及个人信息安全权利却很少涉及。而且草案意见稿忽略了网络空间所具有的共有性，强调各国对其领土内网络基础设施的主权，对涉及整个网络空间安全的网络基础设施的法律保护没有论述，回避了在国家领土之上的根服务器的法律问题，也缺少对公海、国际空域和外太空的网络基础设施的法律分析。

实际上，在西方出现的网络空间是全球公域还是主权领域的矛盾论述，说明了其对网络空间的法律定位是为其战略部署服务的，由于只强调自身的利益和目的，所以定性也就是片面和矛盾的。

我国网络主权观下的网络空间法律属性探讨

同广大发展中国家一样，中国面临着西方发达国家利用网络空间争取国家战略优势，非法获取他国及个人信息，无视他国主权进行监视，渲染网络战进行网络威慑等新的和平威胁。2010 年《中国互联网状况》白皮书指出，网络空间具有主权，网络空间的主权应当受到尊重。互联网是国家重要基础设施，中国境内的互联网属于中国主权管辖范围，中国互联网主权应受尊重和维护。然而，比较西方塔林手册的论述，我国主权理论仍需要做进一步的探究和发展。毕竟，成熟的网络主权理论才能构建起清晰的主权管辖边界，为国内的信息安全立法奠定良好的法理基石。

笔者认为，网络空间的法律属性是多重的，支撑网络空间的根服务器和主干电缆具有共有性，所以它们无论位于何处，都不应由一国专属管辖，而应由利益攸关方共同治理;而那些不具备整体影响的，与各国领土主权密切联系的网络基础设施及其构成的网络空间则具有专属性，是网络主权的领域。在这个问题上，我们认为，可以对网络空间效仿海洋法对于海洋的划界进行进一步界定。《联合国海洋法公约》将海洋划分为领海，毗连区，专属经济区，大陆架和公海。沿岸国在不同区域拥有不同的法律权利。如果可以将网络空间根据其属性具体划分为不同区域，从而明确国家在不同区域的权利，使得国家在行使网络主权的时候更加科学、更具操作性。

网络主权作为国家主权在网络空间的自然延伸，是国家主权的一个重要表现形式。网络空间中主权的边界则由其技术特点来决定:网络空间既具有无形特征，又具有有形表现，包括物理层、逻辑层和应用层;既包括网络基础设施显示的有形的物理存在，也包括网络数据表现出的无形的数据存在。因此，由网络终端设备(计算机、手机、电视机机顶盒等)、数据通信链路(网卡、集线器、交换机、路由器)构成的物理存在是网络主权的硬连接，构成了网络主权的有形边界，而由国家负责管理的Internet顶级域名及注册其下的域名构成了网络主权的软连接，形成了网络主权的无形边界，在无形边界里的网络信息内容，也属于网络主权管辖。

1. 网络主权的内容

对外，网络主权表现为国家在网络空间的平等权、独立权和自卫权;对内，网络主权表现为国家对网络空间的最高管辖权。

具体表现为是指主权国家对外同其他国家平等的就网络问题进行协商的权力;独立地对本国网络空间进行技术和数据管理的权力;

网络空间遭受武力攻击时的自卫权;互联网基础设施和关键硬件设备的所有权和控制权，对互联网软件技术的自主知识产权，在本国网络传播领域实施管理的权力，保障公民网络通信自由和国家、组织及个人信息安全权利的总称。

2. 网络主权中的国家义务

对应国家权利，尊重他国网络主权的国家义务主要有:

第一，不得干涉他国行使网络主权。这一国家义务指:一国不得以任何借口，干涉他国对本国网络空间的自主管辖权;不得凭借技术优势，或使用经济、政治等任何措施，不顾他国的意愿，对他国行使网络主权的行为武断干预，包括干涉他国网络空间的内政、外交事务。

第二，不得在他国网络疆域内采取主权行为，或侵犯他国主权。在网络空间中，这一义务表现为，一国不得在他国的主权领域内采取主权行为，如对网络基础设施进行管辖，对属于他国内政的网络

管理行为定规立矩等等;一国有义务避免和防止其人民或官员从事可能侵犯他国主权的行为;也不得明知而允许外国国家、组织或个人在本国管辖的网络空间内实施侵犯他国国家主权的行为。

第三，防止网络空间中的国际恐怖主义行为。国家有义务在网络空间中防止和打击恐怖主义行径，具体表现在对网络无形空间的管理上，清理与恐怖主义活动有关的网站，禁止通过网络传播、煽动恐怖主义的言论，对虚拟的网络恐怖主义组织进行打击和防范等等。

第四，秉承善邻之道，合作营造一个全球共享的网络空间。此种义务具体表现为:各国在行使网络主权时，要善意考虑到主权行为对他国网络空间的影响，避免损害网络空间的全球共享性，通过合作增进，而不是减损网络对国际和平与进步以及人民的一般福利;如与他国合作，打击各种网络犯罪，营造健康的网络空间;防止网络空间军事化，促进国家间网络合作，而非网络对抗。

网络空间的法律属性问题给信息安全立法带来的国际挑战

网络空间的共有性和专属性并存的特点，为信息安全立法带来了挑战。信息安全立法不得不在公开、透明和安全之间寻求一种平衡，通过立法在维护主权的同时，尊重网络空间的共有性。今年，关于网络空间安全的伦敦进程会议在海牙召开，会上提出了以下的几个问题，值得我们在信息安全立法时予以考虑和应对:

首先，如何在网络空间的自由、安全、经济发展和创新方面取得平衡?

当前，当各个国家和民众都在使用无处不在的网络时，我们面临着一个选择。我们可以共同努力实现繁荣与安全。网络空间安全本身并不是目的，它应是政府和社会必须自愿承担的责任，以确保可以让市场持续繁荣，并改善人们的生活质量。追求绝对的安全不应是信息安全立法的最高宗旨，信息安全立法应该再安全、自由、经济发展和鼓励创新方面寻求平衡。

其次，如何保障一个开放、自由和安全的互联网?

网络正在改变世界。在过去的五六年时间里，它已经改变了我们的信息处理、商务和购物的方式。但这仅仅是一个开始，可以预言，随着进一步的技术创新，这个新媒体的影响力会不断爆炸性地出现，对我们的思想、工作、娱乐和生活方式产生更深刻的影响。但是，如何限制技术进步已经或可能带来的消极社会后果，或者说，谁来为这些消极后果负责，作为新问题，往往超出了现有法律调整冲突的能力范围，同时也成为建立规范网络传播言论自由新法规过程中的突出矛盾。网络安全性现在已经成为国家的必需和政府的大事。提高网络安全性能保护用户和企业，确保我们的经济所依赖的关键基础设施的有效性，增强国家安全性已成为当务之急。然而，为了保护私密性、自由、创新和互联网的开放性，提高网络安全性的工作必须小心从事。

第三，网络空间中不同利益攸关方所承担的责任是什么?例如，政府和私营部门在保护网络隐私方面各自承担怎样的责任?

在网络技术飞速发展的今天，隐私权问题已经成为网络的最大法律问题。为了更好地保护公民的网络隐私权，国家应不断完善网络隐私权的立法，规范网络行业自治，加强国家的政策引导。只有坚持公法规制为主，私法自治为辅，政策引导相结合的网络隐私权保护模式，才能更好地保护网络环境下的公民的合法权益。

第四，如何促进政府、私营部门和民间社会在涉网络事务上的合作?

历史表明，一个拥有持续竞争优势的新技术和基础设施的投资需要平衡的参与，贯穿于整个社会的三个部门即政府，企业，民间社会之间。只有三个部门之间的相互补充，才能夯实发展的基础。网络力量也需要这三个部门的相互合作和投资平衡。信息安全立法也应促进这三个部门之间的配合。

第五，武装力量在国家网络安全中担当什么样的角色?军事作用在哪里结束，法律执行从哪里开始?

信息时代，网络已融入社会生活各个领域，无论是生产部门、服务部门还是政府机构，其运作都越来越依赖于无处不在的各种结构和各种规模的电脑网络。尤其是通信、管理等系统与军事系统、国家安全有着密切联系，对这些网络系统的攻击就是对军事系统与国家安全的攻击，所有会导致损失的病毒侵袭和黑客攻击即可视为网络战争

。在信息化环境下，进行网络战不但可以“兵不血刃”地破坏敌方的指挥控制、情报信息等军用网络系统，还可以悄无声息地破坏、瘫痪和控制敌方的商务、政务等民用网络系统。最终实现不战或少战而屈人之兵的效果。而组建专职网络战部队，打赢网络上的战争，也日益成为各国共识。《中国武装力量的多样化运用》白皮书中指出:中国武装力量坚定不移实行积极防御军事战略，防备和抵抗侵略，遏制分裂势力，保卫边防，海防，空防安全，维护国家海洋权益和在太空、网络空间的安全利益。可见，武装力量是国家维护其在网络空间利益、实现主权管辖的重要手段和工具。世界上很多国家都在纷纷组建自己的网络战部队，网络空间正在成为各国竞相争夺的一块新高地。而行使执法力量和国家军事力量介入的界限划分也需要法律授权，做以规范。

范文三：基于贝叶斯网络的多属性信息安全风险评估

基于贝叶斯网络的多属性信息安全风险评估

张俊锋 1,任勋益 1,王汝传 1,2

(1.南京邮电大学 计算机学院,江苏 南京 210003; 2. 南京大学 计算机软件新技术国家重点实验室,江苏 南京 210093)

摘 要 :对基于贝叶斯网络的多属性信息安全风险评估方法研究,结合历史上发生的安全事件资料,评估安全威胁和脆弱性的 概率,计算出各安全要素的风险值。对信息系统风险评估进行量化,使评估结果更加科学和客观。

关键词 :信息系统 ; 贝叶斯 ; 多属性 ; 风险评估

Risk Assessment of Multi-attribute Information Security based on Bayesian Network ZHANG Jun-feng1,REN Xun-yi1,WANG Ru-chuan1,2

(1.School of Computer, Nanjing University of Posts and Telecommunications, Nanjing,Jiangsu 210003,China;

2.State Key Laboratory for Novel Software Technology, Nanjing University, Nanjing,Jiangsu 210093,China)

Abstract : A security risk assessment on Bayesian network and multi-attribute was presented. Firstly, integration with the information of security incidents in the history, assess the probability of security threats and vulnerabilities of the various security elements. Then, the risk of the various security elements was calculated. The risk assessment of the information systems was quantified, so that the result of the assessment was more scientific and objective.

Key words: information systems; Bayesian; multi-attribute; risk assessment

1 引言

随着政府部门、金融机构、企事业单位、商业组织等 对信息系统依赖程度的日益增强,信息安全问题受到普遍 关注。运用风险评估去识别安全风险,解决信息安全问题 得到了广泛的认识和应用。风险评估的方法可分为定性和 定量评估两种,文献 [4]中采用基于威胁分析的多属性定 量风险评估方法,只通过威胁属性分析来进行定量风险评 估,未能够结合资产价值和脆弱性进行全面的风险评估。 贝叶斯网络是一种统一的概率推理结构 , 它提供了表 示变量集之间概率依赖性的一个自然有效的方法,其推理 方法具有坚实的概率理论基础,广泛应用于计算机辅助决 策系统。本文就贝叶斯网络方法在信息安全风险评估问题 中的应用研究,以此建立一个基于资产价值、脆弱性和威 胁的多属性的评估分析系统。

2 信息系统安全风险评估要素和原理

风险分析中要涉及资产 (Asset)、威胁 (Threat)、脆 弱性 (Vulnerability)三个基本要素。每个要素有各自的 属性,资产的属性是资产价值 ; 威胁的属性可以是威胁主 体、影响对象、出现频率、动机等 ; 脆弱性的属性是资产 弱点的严重程度 [1]。风险分析原理如图 1所示。

风险分析的主要内容为 [1]:

(1)对资产进行识别,并对资产的价值进行赋值 ;

(2)对威胁进行识别,描述威胁的属性,并对威胁出 现的频率赋值 ;

图 1 风险分析原理图 [1]

(3)对脆弱性进行识别,并对具体资产的脆弱性的严 重程度赋值 ;

(4)根据威胁及威胁利用脆弱性的难易程度判断安全 事件发生的可能性 ;

(5)根据脆弱性的严重程度及安全事件所作用的资产 的价值计算安全事件的损失 ;

(6)根据安全事件发生的可能性以及安全事件出现后 的损失,计算安全事件一旦发生对组织的影响, 即风险值。 风险值计算公式为 [1]:

(1)其中,R 表示风险值 ; f 表示安全风险计算函数 ; A 表 示资产 ; T 表示威胁 ; V 表示脆弱性 ; Ia 表示安全事件所作 用的资产价值 ; Va 表示脆弱性严重程度 ; L 表示威胁利用资 产的脆弱性导致安全事件发生的可能性 ; F 表示安全事件发 生后产生的资产损失。风险影响因素如图 2所示。

图 2 风险影响因素图

3贝叶斯网络推理

3.1 贝叶斯网络原理

贝叶斯网络又称为信度网络 (Belief Network) ,由

一系列表示因果关系的规则结合而成,结合图 2对于因果

关系 L → R,L 的取值范围为 {L

11

, L

12

, ,L

15

},R 的取

值范围为 {R

1

, R

2

, ,R

5

} , 贝叶斯网络采用条件概率矩阵

M 来确定 L 与 R 之间的关系。

(2)

其中,p(R

j

|L

1i

) 为 L 取值 L

1i

时 , R取值 R

j

的概率 [2]。

贝叶斯网络是一种无环图,对于其中的任意节点,知

道任何其他先辈的属性值并不能使该节点属性的各个可能

的属性值所对应的概率发生变化,即先辈并不能提供任何

多于父辈所能提供的有关该节点属性值的似然概率。节点

概率可以表示为 [3]:

(3)

所有节点值和牵涉在内的属性都必须遵守这条假设。

在统计学中,这称为条件独立。给定父辈属性,每个节点

对于它的祖父辈、曾祖父辈等等都是条件独立的,在这种

情形下进行概率乘积是有效的。

贝叶斯公式也叫后验概率公式,还叫逆概率公式,其

用途很广。设先验概率为 P (L

i

),并且假设经过调查所获

得的新附加信息为 , 其中 i=1,2, ,n, 则后验概率为:

(4)

4 风险评估方法

由式 (1)可知,信息安全风险

通过安全事件的可能性和安全事件发生后的资产损失来计

算的。在评定安全事件发生后的资产损失后,对每种威胁

发生的可能性进行分析,通过调查、收集历史上发生的安

全事件资料,评估威胁和脆弱性的概率,然后根据贝叶斯 网络进行概率估计,计算出各状态的风险值指数。下面是 提出的风险评估方法。

Step1 经过安全现状调查,结合信息安全技术,信息 安全风险评估规范和历史上安全事件得出图 1的安全因素 状态集合和表 1的威胁描述分类 [1]。

图 1给出了模型中变量的状态集合,即资产的损失 :

机密性损失 F

1

、完整性损失 F

2

、可用性损失 F

3

; 资产安

全威胁 :物理环境威胁 L

11

、软硬件故障 L

12

、软硬件故障

L

12

、内部人员误用或攻击 L

13

、网络骇客攻击 L

14

、管理不

到位 L

15

; 资产脆弱性严重程度 :对资产损害程度 L

21

、技

术实现难易度 L

22

、弱点的流行程度 L

23

。

表 1给出了各类安全威胁的描述及分类 [6]。

表 1 威胁描述及分类表

Step2 结合历史数据得出表 2的各因素的条件概率 [4,5], 由表中数据可知,资产的机密性损失和管理不到位引起的 资产安全威胁概率最大 [7]。

推理规则条件概率矩阵见表 2,各种安全因素概率如 表所示 [4,5]。

表 2 推理规则条件概率矩阵

Step3 根据两表中数据,由式 (4)可得各安全因素的 风险指数,具体计算如下 :

(1)F

1

的风险值 :

同样计算出 和 ,则 F

1

的风 险指数为 :

(2)同样计算出其他状态集合的风险值,结果如表 3所示。 表 3 风险指数

(下转第 9页)

仿真实验结果表明,该算法较好地实现了水印系统的可见

性和鲁棒性的要求,可以有效抵抗加噪和压缩等攻击。

参考文献:

[1] 刘杰 . 数字水印和二维条码相结合的证件防伪技术 [J ].

电脑知识与技术 ,2009,5(18).

[2] Chin-Ho Chung, Wen-Yuan Chen, Ching-Ming Tu. Image

Hidden Technique Using QR-Barcode[C]. 2009 Fifth international

Conference on Intelligent Information Hiding and Multimedia Signal

Processing, Computer&Socitey, 2009:522-524.

[3] W e n -Y u a n C h e n , J i n g -W e i n W a n g. N e s t e d i m a g e

steganography scheme using QR-barcode technique[J]. Optical

Engineering,2009,48(5).

[4] Seong-Goo Jeon, Kyoung-Ho Choi, Chan-WonPark and II-

Hwan Kim. Digital watermarking method using a two-dimensional barcode[J]. Proc.SPIE, 2005(6041), 60412L-1-60412L-7.

[5] 高东发 , 黎绍发 , 沈既武 , 刘波 . 基于视觉和二维条 形码的数字水印 [J]. 计算机工程与应用 , 2003, 39(28). [6] GB/T18284-2000, 快速响应矩阵码 [S].

[7] 丁玮 , 齐东旭 . 数字图像变换及信息隐藏与伪装技术 [J]. 计算机学报 ,1998, 21(9).

[8] Kerkhoffs A. La Cryptograhie Militaire[J]. Journal des Sciences Militaires. 1883,9(2) :5-38.

[9] 王丽娜 , 郭迟 , ** . 信息隐藏技术实验教程 [M ]. 武 汉 :武汉大学出版社 , 2004.

作者简介 :孙 丙 (1986-),硕士研究生。

收稿日期 :2010-07-13

5 仿真结果及分析

基于以上方法,本文采用 MATLAB 进行仿真。根据

不同的安全风险因素,对风险指数进行计算,得到结果如

图 3所示。

图 3 安全因素风险指数图

从图 3可以看出,在所有风险评估安全因素中,资产

的机密性损失的风险指数最高,而由物理环境所带来安全威

胁的风险指数最小。当前信息安全风险评估中信息难以量化,

论文运用贝叶斯网络从多属性的方面对信息系统进行安全评

估,使评估结果更加科学和客观。但需指出的是,由于风险

信息的量化问题,评估过程还存在一定的不确定因素,下一

步的工作是研究方法对安全信息进行更好的量化和度量,从

而能够更高效、科学地完成信息安全风险评估。

参考文献:

[1]G B /T 20984-2007, 信息安全技术信息安全风险评估规 范 [S].中华人民共和国国家标准,2007.

[2]赵俊阁 , 张琪 , 付钰 . 贝叶斯网络推理在信息系统安全 风险评估中的应用 [J].海军工程大学学报 ,2007(12):67-70. [3]董琳,邱泉,于晓峰,吴韶群,孙立骏 . 数据挖掘实用 机器学习技术 [M].北京 :机械工业出版社 ,2007.180-188. [4]陈鑫 , 王晓晗 , 黄河 . 基于威胁分析的多属性信息安全 风险评估方法研究 [J].计算机工程与设计 ,2009(30).38-40. [5]陈天平 , 张新源 , 郑连清 . 基于模糊综合评判的网络安 全风险评估 [J].海军工程大学学报 ,2009(3).38-41.

[6]杨洋 , 姚淑珍 . 一种基于威胁分析的信息安全风险评估 方法 [J].计算机工程与应用 ,2009(45).94-100.

[7]Abbas Asosheh, Bijan Dehmoubed, Amir Khani. A new quantitative approach for information security risk assessment[C]. International Conference on Intelligence and Security Informatics, 2009: 229229.

作者简介 :张俊锋 (1985) , 男 , 南京邮电大学信息安全 专业在读硕士研究生 , 主要研究领域为风险评估 , 入侵检 测 , 参加国家自然科学基金(60973139、 60773041)项目等; 任勋益 ,博士,讲师,南京邮电大学信息安全硕士生导师 ; 王汝传 ,教授,南京邮电大学信息网络专业博士生导师。 收稿日期 :2010-07-12

(上接第 5页 )

范文四：关于信息安全的作文 信息安全征文

信息安全征文

天空中没有翅膀的痕迹,而我已飞过。—泰戈尔

可能我们每一个人都遇到过这样的情况:你的手机上接到过垃圾信息;你家里的电话接到过这样的推销电话，能够准确的指出你的名字;亦或是听说身边朋友的信用卡被盗刷。

隐私是人类最基本、最神圣的权利之一。而信息安全 关乎到每个公民的人身和个人财产。随着法制的健全和公民意识的觉醒，越来越多的国人开始非常注重自己的信息安全和个人隐私。但在当下的新互联网时代，各国的法典都亟待修改，隐私的定义正被颠覆，在法律、哲学、道德、技术等层面上，隐私的边界正越来越模糊。个人的信息安全问题也处于岌岌可危之中。《人民日报》有这样的评论,“没有隐私,何谈安全;没有安全,又何来幸福感。公民个人信息是不容侵犯的领地。我们银行从业人员便是处于一个如此重要的位置 。如何做

1

到恪尽职守，严以律己，让每位客户放心满意信任，是我们每个浦发人都应思考的问题。 近期大家都能看到一些触目惊心的案例，几个银行的营业员他们把客户非常隐秘的信息倒卖给了不法分子，通过研究这些出卖掉的客户生日、电话号码、家庭信息、银行帐户，犯罪分子可以在最快的时间内推测出来他的密码有可能是多少，当受害人还没有反应过来的时候，受害人账上的三千万就已经消失了。犯罪分子丁某通过互联网购买大量他行人行征信报告，伙同他人冒用持卡人名义，先后报打多家银行客服电话，利用征信报告信息通过身份验证，获得持卡人名下信用卡卡号，并将卡主预留的手机号改为其控制的手机号，之后，2人使用支付宝快捷支付平台，盗刷25名持卡人信用卡资金合计94万元。如果说平时我们可以对于那些垃圾短信、垃圾推销电话可以忍的话，那么如果出现这些情况，我们还能够忍受吗,

究其原因， 问题源头出在一些银行等单位中的工作人员利用工作的便利很容易接触到大量的公民个人信息，通过中介、交易平台再被调查公司等使用者购买，一条完整的利益链条就此形成。

庆幸的是，本着对客户信息和个人隐私安全的负责，浦发银行卡中心有着完善的信息安全守则，例如:《征信业管理条例》，《上海浦东发展银行信用卡中心员工信息安全守则》，《桌面清理与办公室信息安全政策》，每月的《系统密码安

2

全月度提醒》，《卡中心信息安全教育邮——关于信用卡客户信息安全管理风险的提示》等等。当然光靠制度和文件，如果不认真实行落到实处，即便再完善的守则仍会变成一纸空文。

作为一名刚入职不久的员工，卡中心的认真实施信息安全的态度给我留下深刻的印象，也培养了我的安全意识与良好的从业习惯。不仅仅是停留在普通的讲讲政策，学学法规，开开会议这些“形式主义”上，更是真切的有深入解释说明，

有考试，有检查，有资深老师的提醒与带教。入职不久时，我也曾对这些规定比较随意马虎，也多少不能理解繁琐的信息安全条例内容，但通过几周的培训与带教老师的认真指导，让我明白了这份工作的责任和义务，对客户信息安全和个人隐私的承诺。

发达国家通常流传着这样的话:“要像珍惜自己的生命一样维护个人的信用记录”。而作为我们银行从业人员，“要像珍惜别人的生命一样维护客户的信息资料安全”除了提高自我的法律法规知识和道德素质修养，需要认识到，每一份的征信安全，都会影响到每一位顾客的人身财产安全。“因为信赖,所以选择。”这是每位客户从无数同行中选择了我们的原因，我们每个员工所要做的，是严守客户的信息安全和个人隐私，用真诚和责任来回应这份信赖。

3

陈希立

百度搜索“就爱阅读”,专业资料,生活学习,尽在就爱阅读网92to.com,您的在线图书馆

4

范文五：信息安全的发展

论文题目：信息安全技术综述

2013

科技文献检索期末论文 ——信息安全的发展 学院：计算机科学与信息技术 专业：信息安全 班级：信息101 学号：1008060174 姓名：沈小珊 分数： 年6月10日

摘要：

随着信息化建设步伐的加快，人们对信息安全的关注越来越高。信息安全技术的内涵也越来越广，从主机的安全技术发展到网络体系结构的安全，从单一层次的安全发展到多层次的立体安全。信息安全不仅关系到个人，企事业单位，还关系到国家安全。回顾信息安全技术的发展历史，必将给予我们启示和思考。

关键字：

信息安全技术应用 发展历史 安全危机

引言：

在这学期的课程中，蒋老师以形象生动的语言向我们讲述了“什么是信息安全”、“信息安全都包括那些内容”，并就一些“数字签名”“身份认证”、“主动攻击、被动攻击”等专业术语进行了解释。同时，自开学以来，自己也在备考计算机网络技术的等级考试，在备考当中也了解一些关于网络安全的知识，并阅读了一些关于网络安全发展的书籍，对信息安全技术的应用有了初步了解。

一、信息安全危机的出现

信息安全的概念的出现远远早于计算机的诞生，但计算机的出现，尤其是网络出现以后，信息安全变得更加复杂，更加“隐形”了【1】【19】【20】。现代信息安全区别于传统意义上的信息介质安全，一般指电子信息的安全【2】。

从1936年英国数学家A . M .Turing发明图灵机， 到1942年 世界上第一台电子计算机ABC研制成功，再到1945年现代计算机之父，冯·诺依曼第一次提出存储程序计算机的概念，以及后来的第一条跨越大西洋的电话电缆敷设完成。这些都为网络技术的发展奠定了基础。

20世纪80年代开始，互联网技术飞速发展，然而互联网 威胁也随之而来。世界上公认的第一个在个人电脑上广泛流行的病毒于1986年初诞生，被命名为大脑(C-Brain)。编写该病毒的是一对巴基斯坦兄弟，两兄弟经营着一家电脑公司，以出售自己编制的电脑软件为生。由于当地盗版软件猖獗，为了防止软件被

任意非法拷贝，同时也为了追踪到底有多少人在非法使用他们的软件，在1986年年初，他们编写了“大脑（Brain）”病毒，该病毒运行在DOS操作系统下，通过软盘传播。世界上首个计算机病毒就这样产生。

随后，1988年11月3日被成为“黑色星期四”的一天，一个美国年轻人Robert Morris 把一个“蠕虫”病毒程序放到了Internet上，导致了上千台网上计算机瘫痪。这个称为“Morris 蠕虫”程序的出现改变了许多人对Internet安全性的看法，引起了人们对计算机网络安全的重视。信息安全革命也随之爆发。【3】 【4】

【5】【6】【40】【41】【47】

目前信息安全问题是全世界需要共同面对的问题 ， 特别是在我国， 机构复杂庞大的各类政府机构、 企事业单位构建的信息系统 普遍存在着信息量大， 系统类目繁多， 用户的计算机使用能力千差万别等问题。在信息安全防护方面， 普通用户仅使用杀毒软件和 防护墙， 计算机的信息安全意识十分薄弱

【7】。2 0 0 8 年， 普华永道公布的度全球信息安全调查报告中指出， 中国内地企业的信息安全防 护和管理比较落后， 特别是在信息安全与隐私保护等方面远远落后于印度【8】【28】【29】。同时金山公司出台的中国互联网安全报告冠示， 金山毒霸在2 0 0 8 年截获的新增病毒或木马已达 1 3 8 9 9 7 1 7 个， 较2 0 0 7 年相比增长了4 8 倍【9】。病毒和木马的疯狂增长已经成为不可不面对的信息安全问题。因此 ， 国家高技术研究发展计划( 8 6 3 计划) 已经将信息安全列为信息领域的重要内容， 同时信息安全已经成为“ 十 五” 国家科技攻关计划 七项任务中重要的发展方向【10】。此外， 针对目前存在的网络黑客等犯罪行为， 刑法中增加了针对此类问题处罚 的相关条款【11】。社会需求的E t 益增长， 使信息安全发展为一项世界性的新兴产业， 目前关于全球信息安全产品和服务的产值约为2 3 2 亿美元， 其中美国最多， 其次为欧盟【12】。而此方面我同的信息产业特别是信息安全的相关产业信息十分落后， 大量的问题急需解决。目前我国的信息安全主要存在以下问题：

1 ) 信息产业化程度较低， 信息技术对外依赖度高， 自主创新能力差。在我国， 信息技术特别是有关信息安全方面的技术和产 品， 基本来源于国外， 如构建信息网络需要的网管设备和软件。缺少资金的核心技术直接导致了我国的网络信息安全较差， 十分容 易受到攻击 ， 或者信息被截获和破坏。据调查 ， 目前

我国的网络在信息传递中主要存在被窃听、 干扰、 监视和破坏等各种信息安全 威胁， 目前我国网络安全呈现出较为脆弱的状态。

2 ) 信息技术和产品对外依赖度高是我国网络安全问题突出的主要原因。此外， 对引进的各类设备和软件没有进行必要的技术 改造和完善的管理也是造成信息安全的重要原因。在我国， 计算机水平普遍较低， 人们对计算机信息防护的意识十分薄弱， 许多政 府部门和企事业单位直接引进国外的设备和软件 ， 缺少对这些软件和设备进行必要的改造和检测， 造成人侵其网络信息系统， 截获 和破坏其信息， 造成部门信息的泄露。

3 ) 一方面， 在我同普遍缺乏对网络信息安全保护的意识， 另一方面， 技术条件的落后造成我国网络信息安全的防护能 普遍偏 弱。我同目前信息化建设的速度十分惊人 ， 机会每个单位都有自己的网络信息网站， 尤其是“ 政府上网T程” 的全面推动， 目前各级 政府均有了自己的门户网站， 然而许多信息网站缺少防火墙设备、 安全审计系统 、 入侵监测系统等防护设备， 信息安全隐患十分明确.【13】

二、信息安全发展新动向

总体上讲，由于信息安全技术是以计算机技术为职称， 由此我国的信息安全技术的主要呈现出可信化、 网络化 、 标准化和集成化 四个趋势。【14】 可信化： 近年来 ， 传统的信息安全理念也难以应对严峻的计算机安全问题。因此 ， 信息安全会摈弃传统的计算机安全理念， 以 发展可信计算理念的信息安全为主要突破点 ， 即将安全芯片装入硬件平台上， 将原来的计算机变为“ 可信” 的计算平台。有关可信 计算机理念的信息安全已开始展开探索 ， 但是仍有许多问题有待进一步研究， 如基于T C P 的访问控制 、 基于T C P的安全操作系统、 基于T C P的安全中间件、 基于T C P 的安全应用等。

网络化： 目前信息安全中存在的问题如网络病毒、 木马等都是有网络化带来的， 网络的普及为人们带来便捷的信息传递的同 时， 也带来了一系列安全问题。因此网络信息安全的核心技术的研究和探索也是由网络应用 、 普及而引起的变革。因此网络是推动信息安全技术改革和创新的缘由， 是引发新技术出现和倡导新应用领域的原因， 未来网络化特别是网络安全管理和安全监测将 是信息安全技术发展的重要趋势。此外， 网络可生存性， 网络信任也需要重点研究和探

讨。

标准化 ： 各行各业都有 自己的标准 ， 目前信息安全各方面的标准的研究和制定在我国已经引起了足够的重视， 特别是 目前信息 安全技术的专利标准化已逐步被人们接受。我国要想发展 自己的信息安全技术， 并在全球范围内应用 ， 必须要高度重视信息安全 的的标准化工作 ， 特别是信息安全标准的的进一步细化研究以及相关政策的出台应引起政府和学术界的高度重视。如基于加密算 法、 签名算法等的密码算法类标准、 安全认证与授权类标准( P K I 、 P MI 、 生物认证) 、 安全评估类标准( 安全评估准则、 方法、 规范) 、 系 统与网络类安全标准( 安全体系结构 、 安全操作系统、 安全数据库、 安全路由器、 可信计算平台) 、 安全管理类标准( 防信息泄漏、 质量 保证 、 机房设计) 等。

集成化： 目前有关信息安全的技术和产品十分多， 多为单一功能， 这种信息安全产品的推广和应用较难。因此如何将过去多个单一功能的技术与产品， 融合为一个具有多功能的信息安全技术和产品成为未来发展的趋势。此外也可以开发多个功能相结合的 集成化产品， 不在开发单一功能的产品。此外 ， 信息安全产品的技术方面将向硬件化和芯片化的方面发展， 高安全度和高速率的硬 件和安全芯片也是未来信息安全技术发展的重要趋势。【16】【49】【50】【48】

四、总结

社会经济的快速发展， 各种信息安全问题的出现， 要求提高我国政府的宏观管理能力。特别随着信息安全新兴产业化的不断 推进， 以及我国对世界信息安全事务的认同和参与、 对信息安全的法律意识的增强 、 法治建设环境的日益完善， 政府在信息安全管 理上的发展速度也不断加快。我国目前存在的信息产业化程度较低 ， 信息技术对外依赖度高， 自主创新能力差 ， 对引进的各类设备 和软件没有进行必要的技术改造和完善的管理等问题使中国已经成为网络黑客攻击最严重的受害国之一。而通过改进网络安全 技术、 完善信息系统建设、 关键技术的创新和研发等一系列措施和策略对加强我国信息安全系统的构建具有重要的意义。

五、参考文献：

【1】将朝慧，武彤，邓少勋. 信息安全原理与技术[J]. 北京. 中国铁道出版

社. 2009.4.

【2】郭建军．浅谈计算机网络安全 [ J ] ．科协论坛 ，2008 ( 3 ) ．

【3

计算机科学基础（第 二版.北京： 北京邮电大学出版社，2005．

【4】李继灿 (编者), 谭浩强 (丛书主编). 微机原理与接口技术[J]. 北京.清 华大学出版社.20 1.7. 【5】王倍昌. 计算机病毒揭秘与对抗[J]. 电子工业出版社. (2011-10出版).

【6】韩兰胜. 计算机病毒原理与防治技术[J] 华中科技大学出版社 (2010-11 出版)

【7】辛希孟. 信息技术与信息服务国际研讨会论文集：A集[C]. 北京：中国社 会科学出版社.1994.

【8】普华永道. 全球信息安全调查报告[N]. 2 0 0 8 年 【9】金山公司. 中国互联网安全报告冠示[N]. 2008年.

【10】张显龙. 全球视野下的中国信息安全战略[J] .北京： 清华大学出版社 (2013-02出版).

【11】戴宗坤. 信息安全法律与管理[J]. 重庆：重庆大学出版社 2005.

【12】中国计算机学会学术工作委员会.中国计算机科学技术发展报告 2005[J] 清华大学出版社 (2006-08出版)

【13】牛小彰． 信息安全概论[ M] ． 北京： 北京邮电大学出版社， 2 0 0 4 ．

【14】王佳. 信息场的开拓:未来后信息社会交互设计[J]. 北京： 清华大学出 版社 (2011-02出版)

【15】阙喜戎锐，龚向阳等． 信息安全原理及应用[ M ].北京：清华大学出版 社，2003．

【16】张谦,沙红,刘冰等.浅谈信息安全的发展趋势[J].北京:清华大学出 版.2009

【17】.教育信息化的新特点与新举措[J].外国中小学教育.1999

【18】蔡新春．校园网安全防范技术的研究与实现[D].合肥.合肥工业大学，2009

【19】谢希仁． 计算机网络[ M ] ． 5 版． 北京： 电子邮电出版社，2008．

【20】王协瑞． 计算机网络技术[ M ] ． 北京：高等教育出版社， 2 0 0 3 ．

【21】黎波．I P地址和子网掩码的分析及整合[ J ] ．北京：科技资讯，2009

【22】罗东.解析I P 地址原理及应用[J] 重庆文理学院学报：自然科学版，2007

【23】周丽娟.浅谈子网掩码与子网划分[ J ] ．山西财经大学学报， 2007

【24】吴煜煌.网络与信息安全教程 [ M ]．北京： 中国水利水电出版社2 00 6 ．

【25】黄昊.白晓波_ 网络信 息安全初探[ J ] .井冈山学院学报 ，2008

【26】郭建军． 浅谈计算机 网络安全 [ J ] ． 科协论坛 ， 2008

【27】倪惜珍 ． 信息安全与防范技术 ．中国计算机用户， l 9 9 9

【28】中国计算机学会学术工作委员会. 中国计算机科学技术发展报告[N]. 清 华大学出版社.2005

【29】中国信息安全产品测评认证中心.信息安全理论与技术[M].北京：人名邮 电大学出版社，2003.

【30】杨义先等.网络安全与理论技术[M].北京：人名邮电大学出版社，2003.

【31】徐爱国.网络安全[M].北京：北京邮电大学出版社，2007

【32】牛少章.网络安全概述[M].北京：北京邮电大学出版社，2004

【33】陈明.信息安全技术[M].北京：清华大学出版. 2007．

【34】谢冬青，冷建，熊伟.计算机网络安全教程[M].北京：电子工业出版社, 2007.

【35】石志国，谈冉，熊文龙.计算机病毒及其防治[M].北京：清华大学出版.2007

【36】王景中，徐小青.计算机通信信息安全技术[M].北京：清华大学出版. 2006．

【37】陈广三.网络与信息安全技术[M].北京：机械工业出版社，2007.

【38】连一峰，王航.网络攻击原理与技术[M].北京：科学出版社，2004.

【39】黄传河等.网络安全[M].武汉：武汉大学出版社，2004.

【40】王丽娜.信息隐藏技术与应用[M].武汉：武汉大学出版社，2004.

【41】傅建明，彭国军.计算机病毒分析与对抗[M].武汉：武汉大学出版社，2004.

【42】胡道元.网络安全[M].北京：清华大学出版. 2004．

【43】刘文清.操作系统安全[M].北京：清华大学出版. 2004．

【44】谭三.网络安全技术[M].北京：清华大学出版. 2004．

【45】刘克龙等.安全操作系统原理与技术.北京：科学出版. 2004．

【46】范红，冯登国..安全协议理论与方法[M].北京：科学出版. 2003．

【47】邱亮，孙亚刚.网络安全工具及案例分析[M].北京：电子工业出版社. 2004．

【48】何新华.信息安全技术及应用实验[M].北京：科学出版. 2004．

【49】网代潮等.信息安全管理平台与实验[M].北京：科学出版. 2005．

【50】张敏等.数据库安全[M]..北京：科学出版. 2005．

转载请注明出处范文大全网 » 信息安全内涵属性的系统性分析