网络信息安全呼唤理论创新
2007-09-01 13:09:54 来源:WEB开发网理论与实践的错位
如果我们把信息安全比作喷发的火山,那么作为火山岩浆动力支撑的,应该是那些沉浸在底层涌动着的信息安全理论研究。由于这些年信息安全在全社会显得过于炽热,因而那些潜伏在底层的信息安全理论研究反而不为人们所知,甚至受到人们的忽视。
信息安全的阶段性假说
信息安全的理论问题是一个复杂的问题,表现在纯技术理论和综合战略理论等诸多方面。
在二十世纪的大部份时间,人们认为信息安全就是通信保密,针对专业化的攻击手段,采用的保护措施就是加密,把密码算法的强度做够就行了。什么是安全的?胜过攻击就是安全的。这个时期被称为通信保密(COMSEC)时代,其标志是1949年Shannon发表的《保密通信的信息理论》。这个时期的理论是建立在香农的《信息论》理论基础之上的。到了二十世纪九十年代前后,随着信息的发展和互联网的兴起,人们逐步意识到数字化信息除了有保密性的需要外,还有信息的完整性、信息和信息系统的可用性需求,因此明确提出了信息安全就是要保证信息的保密性、完整性和可用性。这一时期被描述为网络和信息安全阶段,其最基础的构件是CIA模型。详细划分的话又可前后两个区分,先是INFOSEC时期,其标志是1977年美国国家标准局公布的国家数据加密标准(DES)和1983年美国国防部公布的可信计算机系统评价准则(TCSEC)。此后从九十年代后期开始,信息安全在原来的概念上增加了信息和系统的可控性、信息行为的不可否认性要求,同时,人们也开始认识到安全的概念已经不局限于信息的保护,人们需要的是对整个信息和信息系统的保护和防御,包括对信息系统的保护、检测、反应和恢复能力,除了要重视提高安全预警能力、系统的入侵检测能力,系统的事件反应能力和系统遭到入侵引起破坏的快速快速恢复能力。安全表现为系统的安全,在这个阶段,主要面对的是威胁。什么是安全?能够应对这些威胁就是安全的。网络和信息安全以完整性策略为主,所用的基本技术是防火墙、VPN加密隧道、IDS入侵检测、防病毒等,因此其基础技术是防护技术。网络属于公共设施,一般不划分等级,只有采取了防护措施或没有采取防护措施之分,如:以防火墙保护的称SIPRNET,而没有防火墙保护的称NIPRNET等。
更多精彩
赞助商链接