第1章 信息系統(tǒng)安全概述

21世紀(jì)是信息時(shí)代，信息系統(tǒng)已成為社會(huì)發(fā)展的重要戰(zhàn)略資源，社會(huì)信息化更是被公認(rèn)為當(dāng)今世界發(fā)展潮流的支柱和核心。而信息系統(tǒng)的安全在信息社會(huì)中將扮演極為重要的角色，它直接關(guān)系到國(guó)家機(jī)關(guān)的運(yùn)作、企業(yè)經(jīng)營(yíng)和人們的日常生活。一般而言，傳統(tǒng)觀點(diǎn)認(rèn)為，信息安全是計(jì)算機(jī)、通信、物理、數(shù)學(xué)等領(lǐng)域的交叉學(xué)科，但在今天的高度信息化的社會(huì)里，信息系統(tǒng)在各行各業(yè)及社會(huì)的不同層面的廣泛應(yīng)用使得信息安全已不再純粹是技術(shù)問(wèn)題了。要有效地保障信息系統(tǒng)的安全，就需要用新的思維、從新的角度來(lái)重新看待、認(rèn)識(shí)、理解信息安全問(wèn)題。

作為本書的第1章，將從信息系統(tǒng)和信息安全的發(fā)展歷程開(kāi)始，介紹信息安全的相關(guān)概念、信息系統(tǒng)安全體系等內(nèi)容。通過(guò)學(xué)習(xí)和理解這些內(nèi)容，能夠整體地了解什么是信息系統(tǒng)，信息系統(tǒng)的安全問(wèn)題從何而來(lái)，信息系統(tǒng)安全體系如何架構(gòu)等。

1.1 信息安全簡(jiǎn)介

1.1.1 信息化與信息系統(tǒng)的發(fā)展情況

信息安全的目標(biāo)與計(jì)算機(jī)的發(fā)展密切相關(guān)，它并不是一個(gè)固定不變的概念，而是伴隨著計(jì)算機(jī)的發(fā)展而不斷變化的。因此，更多的了解計(jì)算機(jī)的發(fā)展歷史將有助于理解信息系統(tǒng)安全目標(biāo)的演變過(guò)程。

信息系統(tǒng)（Information System）是以提供特定信息處理功能、滿足特定業(yè)務(wù)需要為主要目標(biāo)的計(jì)算機(jī)應(yīng)用系統(tǒng)。現(xiàn)代化的大型信息系統(tǒng)都是建立在計(jì)算機(jī)操作系統(tǒng)和計(jì)算機(jī)網(wǎng)絡(luò)不斷發(fā)展的基礎(chǔ)上。因此，一直以來(lái)，信息安全的問(wèn)題都受到操作系統(tǒng)和網(wǎng)絡(luò)安全特征的影響。下面先回顧一下過(guò)去數(shù)十年來(lái)，計(jì)算機(jī)與操作系統(tǒng)和網(wǎng)絡(luò)技術(shù)的發(fā)展，以及它們的安全特征。

計(jì)算機(jī)自20世紀(jì)40年代誕生以來(lái)，在不斷發(fā)展的過(guò)程中，經(jīng)歷了四個(gè)重要階段的飛躍，與此同時(shí)操作系統(tǒng)也經(jīng)歷了相應(yīng)的變化。

（1）第一階段（20世紀(jì)40年代中期至50年代中期）。計(jì)算機(jī)由大量的繼電器和真空管組成，機(jī)器的使用是通過(guò)在插接板上連線的方式，來(lái)控制其基本功能。50年代初出現(xiàn)了穿孔卡片，取代了插接板，程序員將程序?qū)懺诳ㄆ希僮x入計(jì)算機(jī)。在這一階段，計(jì)算機(jī)體積龐大，只能進(jìn)行基本的數(shù)值運(yùn)算，沒(méi)有所謂的編程語(yǔ)言（包括匯編語(yǔ)言），更沒(méi)有操作系統(tǒng)的概念。此時(shí)的計(jì)算機(jī)無(wú)法存儲(chǔ)信息，功能極其有限，只用于科學(xué)計(jì)算，在某一時(shí)間段內(nèi)只能運(yùn)行一個(gè)程序，自然不存在所謂的信息安全問(wèn)題。

（2）第二階段（20世紀(jì)50年代中期至60年代中期）。計(jì)算機(jī)由晶體管組成，除了具備運(yùn)算功能外，由于采用了磁鼓和磁盤作為輔助存儲(chǔ)器，才具有了一定的存儲(chǔ)能力。因此，計(jì)算機(jī)不僅繼續(xù)用于科學(xué)計(jì)算，在商業(yè)和工程中也開(kāi)始得到應(yīng)用。此時(shí)的計(jì)算機(jī)體積變小但成本高，為了降低成本，采用了批處理系統(tǒng)方案。批處理系統(tǒng)是現(xiàn)代操作系統(tǒng)的前身。在這一階段人們開(kāi)始批量生產(chǎn)中小型計(jì)算機(jī)，但這種機(jī)器的成本仍然很高；它具備一定的運(yùn)算能力和存儲(chǔ)能力；在某一時(shí)間段內(nèi)，程序員輸入一批作業(yè)后機(jī)器開(kāi)始處理。這時(shí)的計(jì)算機(jī)，只能采用單用戶處理模式，因此除了擔(dān)心物理安全外，只需考慮作業(yè)與作業(yè)之間出現(xiàn)數(shù)據(jù)錯(cuò)寫的問(wèn)題，因此計(jì)算機(jī)面臨的風(fēng)險(xiǎn)和威脅都很有限。

（3）第三階段（20世紀(jì)60年代中期至70年代末）。計(jì)算機(jī)開(kāi)始發(fā)展為由集成電路組成，出現(xiàn)了只讀存儲(chǔ)設(shè)備，計(jì)算機(jī)技術(shù)高速發(fā)展，由此計(jì)算機(jī)也進(jìn)入了產(chǎn)品大規(guī)模生產(chǎn)的發(fā)展時(shí)期，小型機(jī)開(kāi)始崛起。為了降低成本，人們希望能將原來(lái)用于科學(xué)工程的數(shù)值運(yùn)算功能和用于商業(yè)的存儲(chǔ)打印功能結(jié)合起來(lái)。這時(shí)，IBM公司推出了操作系統(tǒng)這一解決思路，希望實(shí)現(xiàn)所有的軟件都能在所有的計(jì)算機(jī)上運(yùn)行。此時(shí)的操作系統(tǒng)所實(shí)現(xiàn)的關(guān)鍵功能就是“多道程序”和“分時(shí)系統(tǒng)”，“分時(shí)系統(tǒng)”晚于“多道程序”出現(xiàn)。這兩項(xiàng)功能就意味著在同一臺(tái)機(jī)器上，會(huì)有多個(gè)用戶運(yùn)行著多個(gè)進(jìn)程，分別處理和存儲(chǔ)不同的數(shù)據(jù)。這時(shí)的計(jì)算機(jī)體積進(jìn)一步變小，成本也大為降低；運(yùn)行速度和存儲(chǔ)能力不斷增強(qiáng)，能滿足多個(gè)用戶運(yùn)行多個(gè)程序，處理大量數(shù)據(jù)。在這一階段，計(jì)算機(jī)用戶除了考慮物理安全之外，還面臨著數(shù)據(jù)被竊取、用戶身份被盜用、不同進(jìn)程之間的安全影響等問(wèn)題。在20世紀(jì)70年代出現(xiàn)局域網(wǎng)后，安全問(wèn)題就變得更為復(fù)雜了。

（4）第四階段（20世紀(jì)80年代中期至今）。20世紀(jì)70年代以后，計(jì)算機(jī)集成電路的集成度從中小規(guī)模迅速發(fā)展到大規(guī)模、超大規(guī)模的水平，微處理器和微型計(jì)算機(jī)應(yīng)運(yùn)而生，各類計(jì)算機(jī)的性能迅速提高。操作系統(tǒng)也逐漸發(fā)展出命令行系統(tǒng)（如MS-DOS）、圖形操作界面系統(tǒng)（如 Windows 系統(tǒng)）、網(wǎng)絡(luò)操作系統(tǒng)和分布式操作系統(tǒng)。同時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)也從相對(duì)封閉的局域網(wǎng)發(fā)展為萬(wàn)維網(wǎng)。小型計(jì)算機(jī)、通用計(jì)算機(jī)和專用計(jì)算機(jī)的需求量急速增加，應(yīng)用范圍也相應(yīng)擴(kuò)大。人們不僅可以在同一臺(tái)機(jī)器上多用戶執(zhí)行多進(jìn)程，還能通過(guò)網(wǎng)絡(luò)遠(yuǎn)程控制和訪問(wèn)其他機(jī)器的文件與數(shù)據(jù)。通過(guò)網(wǎng)絡(luò)傳輸?shù)男畔⒘恳策_(dá)到驚人的程度。這時(shí)的信息系統(tǒng)所面臨的風(fēng)險(xiǎn)和威脅是空前復(fù)雜的。信息系統(tǒng)安全這一概念也從最初簡(jiǎn)單狹窄的物理安全、數(shù)據(jù)安全擴(kuò)展到其他更廣泛的領(lǐng)域，成為當(dāng)前所理解的“信息安全”。

今天的計(jì)算機(jī)無(wú)論在體積、界面、計(jì)算能力方面都跟20世紀(jì)80年代的計(jì)算機(jī)有很大差別，但從計(jì)算機(jī)結(jié)構(gòu)、軟件結(jié)構(gòu)及計(jì)算模型等方面看來(lái)，今天的計(jì)算機(jī)系統(tǒng)跟 20多年前的計(jì)算機(jī)系統(tǒng)的差別并不大。然而，正當(dāng)計(jì)算機(jī)系統(tǒng)開(kāi)始朝著商品化發(fā)展時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)卻以更快的速度發(fā)展著。廉價(jià)的網(wǎng)絡(luò)設(shè)備與網(wǎng)絡(luò)服務(wù)使得網(wǎng)絡(luò)日益普及，網(wǎng)絡(luò)服務(wù)的滲透也悄然地為大型信息系統(tǒng)的廣泛應(yīng)用創(chuàng)造了前所未有的契機(jī)。

網(wǎng)絡(luò)的發(fā)展也對(duì)信息安全問(wèn)題帶來(lái)很大的沖擊。要了解信息安全的內(nèi)涵，不能不先了解計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展歷程。相比于計(jì)算機(jī)及操作系統(tǒng)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展并不完全同步，它也經(jīng)歷了四個(gè)階段。

（1）第一階段（20世紀(jì)60年代末期到70年代初期）。這一階段是計(jì)算機(jī)網(wǎng)絡(luò)的萌芽階段，計(jì)算機(jī)發(fā)展則處于第三階段前期，計(jì)算機(jī)世界被使用分時(shí)系統(tǒng)的巨型機(jī)所統(tǒng)治。人們通過(guò)只含顯示器和鍵盤的終端設(shè)備來(lái)使用主機(jī)。終端設(shè)備很像PC，但沒(méi)有它自己的CPU、內(nèi)存和硬盤。依靠終端設(shè)備，成百上千的用戶可以同時(shí)訪問(wèn)主機(jī)。分時(shí)系統(tǒng)將主機(jī)時(shí)間分成片，給用戶分配時(shí)間片。因此，終端設(shè)備之間無(wú)法直接進(jìn)行通信，所謂的計(jì)算機(jī)網(wǎng)絡(luò)還算不上真正意義上的網(wǎng)絡(luò)。

（2）第二階段（20世紀(jì)70年代中期到70年代末期）。這一階段是計(jì)算機(jī)局域網(wǎng)形成階段，計(jì)算機(jī)發(fā)展則處于第三階段后期，分時(shí)系統(tǒng)從巨型機(jī)逐漸應(yīng)用于中小型計(jì)算機(jī)，由此計(jì)算機(jī)之間相互連接，開(kāi)始形成一定的層次和組織體系，并慢慢地形成了計(jì)算機(jī)局域網(wǎng)。

（3）第三階段（20世紀(jì)80年代）。這一階段是計(jì)算機(jī)局部網(wǎng)絡(luò)發(fā)展的成熟階段，計(jì)算機(jī)局部網(wǎng)絡(luò)開(kāi)始走向產(chǎn)品化、標(biāo)準(zhǔn)化，形成了開(kāi)放系統(tǒng)的互聯(lián)網(wǎng)絡(luò)。為了使計(jì)算機(jī)之間的通信連接可靠，建立了分層通信體系和相應(yīng)的網(wǎng)絡(luò)通信協(xié)議，于是誕生了以資源共享為主要目標(biāo)的計(jì)算機(jī)網(wǎng)絡(luò)。由于網(wǎng)絡(luò)中的計(jì)算機(jī)之間具有數(shù)據(jù)交換的能力，使得在更大范圍內(nèi)，計(jì)算機(jī)之間能協(xié)同工作、實(shí)現(xiàn)分布處理甚至并行處理。聯(lián)網(wǎng)用戶之間直接通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)，進(jìn)行信息交換的通信能力也大大增強(qiáng)。

20世紀(jì)80年代初，隨著個(gè)人計(jì)算機(jī)（Personal Computer，PC）應(yīng)用的推廣，PC聯(lián)網(wǎng)的需求也隨之增大，各種基于PC 互聯(lián)的微機(jī)局域網(wǎng)紛紛出現(xiàn)。這個(gè)時(shí)期的微機(jī)局域網(wǎng)系統(tǒng)的典型結(jié)構(gòu)，是在共享媒質(zhì)通信網(wǎng)平臺(tái)上的共享文件服務(wù)器，即為所有聯(lián)網(wǎng) PC設(shè)置一臺(tái)專用的可共享的網(wǎng)絡(luò)文件服務(wù)器。每個(gè)PC用戶的主要任務(wù)仍在自己的PC上運(yùn)行，僅在需要訪問(wèn)共享磁盤文件時(shí)才通過(guò)網(wǎng)絡(luò)訪問(wèn)文件服務(wù)器，這體現(xiàn)了在計(jì)算機(jī)網(wǎng)絡(luò)中各計(jì)算機(jī)之間的協(xié)同工作。這種基于文件服務(wù)器的微機(jī)網(wǎng)絡(luò)對(duì)網(wǎng)內(nèi)計(jì)算機(jī)進(jìn)行了分工：PC面向用戶，微機(jī)服務(wù)器專用于提供共享文件資源。所以這種網(wǎng)絡(luò)實(shí)際上就是一種客戶機(jī)/服務(wù)器模式。

計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是非常復(fù)雜的系統(tǒng)，計(jì)算機(jī)之間相互通信涉及許多復(fù)雜的技術(shù)問(wèn)題。為實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)通信，計(jì)算機(jī)網(wǎng)絡(luò)采用的是分層解決網(wǎng)絡(luò)技術(shù)問(wèn)題的方法。但是，由于存在不同的分層網(wǎng)絡(luò)系統(tǒng)體系結(jié)構(gòu)，基于這些體系結(jié)構(gòu)開(kāi)發(fā)的產(chǎn)品之間很難實(shí)現(xiàn)互聯(lián)。為此，國(guó)際標(biāo)準(zhǔn)化組織（ISO）在1984年正式頒布了“開(kāi)放系統(tǒng)互聯(lián)基本參考模型”O(jiān)SI國(guó)際標(biāo)準(zhǔn)，使計(jì)算機(jī)網(wǎng)絡(luò)體系結(jié)構(gòu)實(shí)現(xiàn)了標(biāo)準(zhǔn)化。

（4）第四階段（20世紀(jì)90年代至今）。這一階段是計(jì)算機(jī)萬(wàn)維網(wǎng)的發(fā)展階段。進(jìn)入90年代，計(jì)算機(jī)技術(shù)、通信技術(shù)及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)得到了迅猛的發(fā)展。特別是 1993年美國(guó)宣布建立國(guó)家信息基礎(chǔ)設(shè)施后，全世界許多國(guó)家紛紛制定和建立本國(guó)的國(guó)家信息基礎(chǔ)設(shè)施，從而極大地推動(dòng)了計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，使計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展進(jìn)入了一個(gè)嶄新的階段。在90年代，全球以美國(guó)為主導(dǎo)的高速計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò)（即Internet）已經(jīng)成為人類最重要的、最大的通用計(jì)算機(jī)網(wǎng)絡(luò)。即使如此，Internet的發(fā)展并沒(méi)有停下來(lái)。美國(guó)政府又分別于1996年和1997年開(kāi)始，研究發(fā)展更加快速可靠的互聯(lián)網(wǎng)2（Internet 2）和下一代互聯(lián)網(wǎng)（Next Generation Internet）。

時(shí)至今日，Internet技術(shù)的高度成熟與滲透使得Internet成為各種大型分布式信息系統(tǒng)的系統(tǒng)結(jié)構(gòu)的一部分。網(wǎng)絡(luò)互聯(lián)、高速計(jì)算機(jī)網(wǎng)絡(luò)及移動(dòng)網(wǎng)絡(luò)正成為最新一代計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展方向。然而，網(wǎng)絡(luò)的高滲透與普及得益于Internet的開(kāi)放特點(diǎn)，可是信息安全的問(wèn)題也正因?yàn)镮nternet的開(kāi)放特點(diǎn)而變得越來(lái)越嚴(yán)峻。

1.1.2 信息系統(tǒng)安全的發(fā)展

從上面的簡(jiǎn)略介紹可知，隨著計(jì)算機(jī)操作系統(tǒng)和網(wǎng)絡(luò)的發(fā)展，人們所面臨的安全問(wèn)題也在不斷變化，信息安全的內(nèi)涵也相應(yīng)產(chǎn)生變化。本節(jié)將具體地講述信息安全的發(fā)展過(guò)程。

（1）單機(jī)單用戶時(shí)期（20世紀(jì)40年代至60年代中期）。這時(shí)還處于最簡(jiǎn)單的情況，即一臺(tái)機(jī)器、一個(gè)用戶、一個(gè)進(jìn)程。這種情況下就不存在計(jì)算機(jī)的安全問(wèn)題，而只有物理安全的問(wèn)題。但即使是物理安全，在60年代出現(xiàn)中小型機(jī)之前，因?yàn)橛?jì)算機(jī)體積巨大，用戶也不用考慮計(jì)算機(jī)會(huì)被偷走的問(wèn)題。60年代初計(jì)算機(jī)出現(xiàn)了多進(jìn)程運(yùn)行的情況，但仍不存在真正意義上的信息安全問(wèn)題，主要還是物理安全問(wèn)題。計(jì)算機(jī)安全只需考慮不同進(jìn)程的保護(hù)、防止進(jìn)程出錯(cuò)、將一個(gè)進(jìn)程的數(shù)據(jù)錯(cuò)寫到另一個(gè)進(jìn)程的地址空間里。因?yàn)橹挥幸粋€(gè)用戶，即使一個(gè)進(jìn)程可能在另一個(gè)進(jìn)程里修改復(fù)制數(shù)據(jù)，但因?yàn)閮蓚€(gè)進(jìn)程屬于一個(gè)用戶，沒(méi)有偷自己數(shù)據(jù)的必要，就并不用擔(dān)心數(shù)據(jù)泄露的問(wèn)題。為了防止數(shù)據(jù)錯(cuò)寫，操作系統(tǒng)設(shè)定一個(gè)進(jìn)程就只能在一個(gè)地址空間里寫讀，超出了規(guī)定地址的進(jìn)程時(shí)會(huì)被自動(dòng)終止。因此這時(shí)的計(jì)算機(jī)安全考慮比較簡(jiǎn)單。

（2）單機(jī)多用戶時(shí)期（20世紀(jì)60年代末至80年代末）。從60年代末開(kāi)始，大型機(jī)和分時(shí)系統(tǒng)開(kāi)始應(yīng)用。此時(shí)情況是在同一臺(tái)機(jī)器上多用戶運(yùn)行多進(jìn)程，共用文件系統(tǒng)、CPU 等資源。因此，人們開(kāi)始擔(dān)心這些文件系統(tǒng)、CPU的安全，除了仍然存在進(jìn)程干擾數(shù)據(jù)錯(cuò)寫的問(wèn)題之外，還擔(dān)心一個(gè)用戶會(huì)偷看、復(fù)制或篡改另一個(gè)用戶的數(shù)據(jù)。

在20世紀(jì)90年代初，大學(xué)里所有教師、學(xué)生都共用一個(gè)服務(wù)器，來(lái)做實(shí)驗(yàn)、設(shè)計(jì)考試題目、交作業(yè)論文等，這就很容易產(chǎn)生安全問(wèn)題。例如，一個(gè)學(xué)生可能會(huì)利用文件系統(tǒng)的漏洞到老師的文件夾里偷看考試題目。為了應(yīng)對(duì)這一情況，這一階段的安全保護(hù)措施主要是把所有數(shù)據(jù)的保護(hù)職責(zé)交給了機(jī)器，由操作系統(tǒng)來(lái)保護(hù)數(shù)據(jù)。操作系統(tǒng)進(jìn)行用戶身份認(rèn)證和訪問(wèn)控制，它知道所有用戶的權(quán)限、能訪問(wèn)的文件范圍及使用CPU的時(shí)限（以前由于CPU資源緊張，對(duì)每個(gè)用戶有使用CPU時(shí)間的限制）等。

此時(shí)的信息安全采取集中式管理，由操作系統(tǒng)來(lái)具體實(shí)現(xiàn)，因此，信息安全就相當(dāng)于是計(jì)算機(jī)安全。

（3）多機(jī)多用戶時(shí)期（20世紀(jì)80年代末至今）。在80年代出現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)后，一般情況變成了多臺(tái)機(jī)器上多用戶的多進(jìn)程之間的交互與訪問(wèn)，還出現(xiàn)了由多臺(tái)機(jī)器構(gòu)建而成的分布式系統(tǒng)，此時(shí)安全問(wèn)題就更加復(fù)雜。例如，在90年代的網(wǎng)上銀行系統(tǒng)里，銀行用戶利用便攜式計(jì)算機(jī)，通過(guò) Internet 網(wǎng)絡(luò)連上銀行的業(yè)務(wù)服務(wù)器，進(jìn)行網(wǎng)上銀行轉(zhuǎn)賬查詢等操作。當(dāng)連上網(wǎng)上銀行業(yè)務(wù)服務(wù)器后，便攜式計(jì)算機(jī)成了整個(gè)網(wǎng)上銀行系統(tǒng)的一部分，也就變成網(wǎng)上銀行服務(wù)信息系統(tǒng)的一個(gè)外延模塊。但便攜式計(jì)算機(jī)和網(wǎng)上銀行服務(wù)軟件系統(tǒng)分屬于不同的主體（Subject），這就是新出現(xiàn)的安全問(wèn)題。由于出現(xiàn)多臺(tái)機(jī)器分由不同的人員或組織管理，而這些管理人員或組織相互之間并不信任，所以就出現(xiàn)了新的安全問(wèn)題。

在以上的網(wǎng)上銀行系統(tǒng)的案例中，服務(wù)器、數(shù)據(jù)庫(kù)及賬戶、金額、用戶密碼等關(guān)鍵數(shù)據(jù)由銀行進(jìn)行管理并負(fù)責(zé)，用戶密碼及安裝在個(gè)人計(jì)算機(jī)上的客戶端等由客戶自己管理并負(fù)責(zé)。在進(jìn)行網(wǎng)上銀行交易時(shí)，銀行要認(rèn)證用戶身份、確認(rèn)用戶權(quán)限，然后再執(zhí)行用戶要求；銀行還要對(duì)所有訪問(wèn)網(wǎng)上銀行的用戶進(jìn)行訪問(wèn)控制，不能讓用戶隨意訪問(wèn)業(yè)務(wù)數(shù)據(jù)庫(kù)以修改關(guān)鍵數(shù)據(jù)，如賬戶金額等。同時(shí)，用戶也會(huì)擔(dān)心銀行的系統(tǒng)不安全，怕賬戶數(shù)據(jù)丟失或者被篡改，面臨著財(cái)務(wù)損失的風(fēng)險(xiǎn)。

當(dāng)前，正是由于計(jì)算機(jī)網(wǎng)絡(luò)和分布式系統(tǒng)的發(fā)展，機(jī)器由不同的人員或組織進(jìn)行分布式管理，機(jī)器之間的交互、網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)量越來(lái)越龐大，對(duì)人們的影響也越來(lái)越巨大，因此信息安全的內(nèi)涵大為擴(kuò)充，已經(jīng)不僅是計(jì)算機(jī)安全、信息技術(shù)的問(wèn)題，而是擴(kuò)展為組織安全、業(yè)務(wù)安全等管理問(wèn)題。

1.1.3 安全需求的來(lái)源

如1.1.2節(jié)所說(shuō)，由于計(jì)算機(jī)安全管理從集中式的OS（Operating System）處理，變成了多系統(tǒng)多組織的分布式管理；各組織所用的大型分布式信息系統(tǒng)的功能也不僅限于20 世紀(jì) 60年代的數(shù)值運(yùn)算和存儲(chǔ)打印，因此，信息系統(tǒng)在實(shí)際應(yīng)用中就會(huì)面臨著千差萬(wàn)別的情況。

同時(shí)，信息系統(tǒng)的存在的意義主要是為了支持機(jī)構(gòu)達(dá)到其管理目標(biāo)和業(yè)務(wù)運(yùn)營(yíng)，關(guān)鍵還在于為其業(yè)務(wù)運(yùn)行和機(jī)構(gòu)目標(biāo)服務(wù)，在構(gòu)建信息系統(tǒng)過(guò)程中所考慮的各種因素也必須以此為核心。因此，在進(jìn)行實(shí)際的信息系統(tǒng)構(gòu)建時(shí)，技術(shù)人員都需進(jìn)行相應(yīng)的安全需求分析。信息系統(tǒng)的安全需求是根據(jù)信息系統(tǒng)要滿足的安全目標(biāo)而來(lái)的，而安全目標(biāo)又是由其機(jī)構(gòu)和業(yè)務(wù)的管理目標(biāo)而來(lái)的。

在進(jìn)行安全需求分析時(shí)，先根據(jù)數(shù)據(jù)自身性質(zhì)（Information Type）確定其安全需求。當(dāng)安全保護(hù)措施被破壞（如數(shù)據(jù)被篡改、非法獲取）時(shí)，信息系統(tǒng)和擁有該信息系統(tǒng)的機(jī)構(gòu)將遭受不同程度的負(fù)面影響。安全需求分類，就是根據(jù)數(shù)據(jù)安全保護(hù)被破壞時(shí)所造成的影響對(duì)數(shù)據(jù)進(jìn)行分類。這是安全需求分類的概念，但如何具體保障安全需求呢？

一般而言，信息安全的理論研究涉及如機(jī)密性、完整性、真實(shí)性、抗抵賴性等基本屬性。安全需求的目標(biāo)，就是要確保信息系統(tǒng)有足夠的保護(hù)措施以達(dá)到這些基本屬性，所以這些基本屬性也稱為“安全目標(biāo)”。但這些理論上的定義卻不一定能滿足實(shí)際需要。

機(jī)構(gòu)一般需要從自身的實(shí)際情況考慮，在安全風(fēng)險(xiǎn)與系統(tǒng)成本之間做出平衡。因此，不同的組織機(jī)構(gòu)（甚至在同一組織機(jī)構(gòu)的不同部門）都會(huì)因?yàn)闃I(yè)務(wù)特點(diǎn)對(duì)某些安全屬性更為重視。所以，從屬于不同機(jī)構(gòu)的信息系統(tǒng)就很可能有不一樣的安全目標(biāo)。例如，一般企業(yè)的電子商務(wù)系統(tǒng)和國(guó)家部門的電子政務(wù)系統(tǒng)之間的安全需求就有很大的區(qū)別。信息系統(tǒng)的不同部分又有不一樣的安全目標(biāo)，例如，在信息系統(tǒng)中，業(yè)務(wù)處理子系統(tǒng)會(huì)更關(guān)注于業(yè)務(wù)連續(xù)性，而數(shù)據(jù)庫(kù)系統(tǒng)會(huì)關(guān)注于數(shù)據(jù)的機(jī)密性，子系統(tǒng)之間的數(shù)據(jù)傳輸部分又會(huì)關(guān)注于完整性和不可抵賴性。

因此，在構(gòu)建一個(gè)安全信息系統(tǒng)之前，首先，要分析機(jī)構(gòu)對(duì)于安全的理解是怎樣的，機(jī)構(gòu)的領(lǐng)導(dǎo)者和管理人員希望信息系統(tǒng)能滿足機(jī)構(gòu)的哪一方面的安全需求；然后，才能談安全標(biāo)準(zhǔn)、安全技術(shù)等概念的具體實(shí)現(xiàn)。

可是，機(jī)構(gòu)的管理人員一般不一定是安全專家或技術(shù)專家，那么，如何來(lái)獲取和分析他們對(duì)于安全的需求呢？如何讓來(lái)自不同領(lǐng)域的人員對(duì)信息系統(tǒng)所要實(shí)現(xiàn)的安全目標(biāo)達(dá)成共識(shí)呢？如何在構(gòu)建設(shè)計(jì)信息系統(tǒng)的過(guò)程中，對(duì)于每一個(gè)安全需求是否得到實(shí)現(xiàn)和評(píng)估效果進(jìn)行跟蹤呢？這些疑問(wèn)促使信息系統(tǒng)研究者和設(shè)計(jì)者去尋求一種工具，這種工具將便于他們理解機(jī)構(gòu)的業(yè)務(wù)目標(biāo)、信息需求、技術(shù)環(huán)境現(xiàn)狀、解決方案等信息，以實(shí)現(xiàn)安全信息系統(tǒng)的建構(gòu)。

針對(duì)這需要，利用企業(yè)體系結(jié)構(gòu)（Enterprise Architecture，EA）這個(gè)信息管理領(lǐng)域的概念來(lái)解決管理人員與技術(shù)人員的溝通問(wèn)題。作為一個(gè)信息管理的工具，EA 提供一個(gè)抽象描述企業(yè)信息體系的多視角的框架，能更有效地把信息安全的問(wèn)題引入這個(gè)多視角的框架里，讓不同部門的人員溝通、了解并得到更符合實(shí)際需要的分析。本書利用了 EA這一方法來(lái)進(jìn)行安全需求的獲取和分析，EA的相關(guān)內(nèi)容將在第 3章中具體講述。

1.1.4 信息系統(tǒng)安全問(wèn)題的困境

在了解信息系統(tǒng)的構(gòu)建過(guò)程之前，還需要了解當(dāng)前信息系統(tǒng)在安全方面所面臨的困境。當(dāng)前大部分的信息系統(tǒng)一般采用分布式的實(shí)現(xiàn)結(jié)構(gòu)，因此本節(jié)主要講述分布式系統(tǒng)的安全問(wèn)題。分布式系統(tǒng)的安全問(wèn)題至少包括以下四種情況。

（1）監(jiān)聽(tīng)和篡改。分布式系統(tǒng)內(nèi)的數(shù)據(jù)易受監(jiān)聽(tīng)和篡改，主要是因?yàn)楝F(xiàn)代網(wǎng)絡(luò)的開(kāi)放性和缺少集中式的管理。網(wǎng)絡(luò)的開(kāi)放性的原因包括網(wǎng)絡(luò)媒質(zhì)的物理開(kāi)放和網(wǎng)絡(luò)傳輸協(xié)議標(biāo)準(zhǔn)的開(kāi)放。這些開(kāi)放性導(dǎo)致數(shù)據(jù)很容易被不懷好意的人員攔截、竊聽(tīng)，或者被嵌入其他數(shù)據(jù)以破壞其完整性。

另外，非集中式管理是指在分布式系統(tǒng)中不同的機(jī)器通常從屬于不同的管理人員，并且常常應(yīng)用不同的身份認(rèn)證機(jī)制和安全策略，并且不同的服務(wù)器之間也無(wú)法保證絕對(duì)的信任關(guān)系。

（2）假冒身份和擅自泄露信息。由于采取非集中式管理，不同的機(jī)器有不同的管理人員、身份認(rèn)證機(jī)制和安全策略，因此，用戶在登錄分布式系統(tǒng)時(shí)，可以較輕易地假冒身份或者泄露信息。

（3）程序模塊運(yùn)行在不同機(jī)器上，因此信息必須在開(kāi)放網(wǎng)絡(luò)間傳輸。原因是分布式系統(tǒng)在概念上是軟件進(jìn)程的分布，其物理前提是構(gòu)成系統(tǒng)的大量機(jī)器的分布。以網(wǎng)上銀行為例，其用戶模塊在個(gè)人 PC 上，業(yè)務(wù)處理應(yīng)用模塊在銀行服務(wù)器中，數(shù)據(jù)庫(kù)在數(shù)據(jù)服務(wù)器上。因此，各項(xiàng)進(jìn)程分布在多臺(tái)機(jī)器上，信息通過(guò)網(wǎng)絡(luò)來(lái)傳輸，這就加劇了安全隱患。

（4）系統(tǒng)資源由特定的服務(wù)器（Dedicated Server）管理。數(shù)據(jù)資源、系統(tǒng)資源都由特定的服務(wù)器管理，如郵件、數(shù)據(jù)庫(kù)等，通過(guò)網(wǎng)絡(luò)使用這些數(shù)據(jù)也帶來(lái)很多安全問(wèn)題。又如，身份認(rèn)證服務(wù)由特定的服務(wù)器通過(guò)開(kāi)放的網(wǎng)絡(luò)提供，這樣就會(huì)身份認(rèn)證的機(jī)制在一臺(tái)機(jī)器上開(kāi)始，但卻在另一臺(tái)機(jī)器上進(jìn)行驗(yàn)證，跟身份認(rèn)證相關(guān)的敏感信息就不可避免地需要在開(kāi)放的網(wǎng)絡(luò)上傳輸，從而帶來(lái)非常棘手的安全問(wèn)題。同樣的問(wèn)題也存在于數(shù)據(jù)存儲(chǔ)服務(wù)過(guò)程中，即數(shù)據(jù)存儲(chǔ)在一臺(tái)機(jī)器上，又由另一臺(tái)機(jī)器上的進(jìn)程來(lái)處理。

基于以上的問(wèn)題和原因，便可知道，單純依靠操作系統(tǒng)的安全措施是不夠的。在理想情況下，分布式系統(tǒng)需要對(duì)所有的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行加密，每一個(gè)交易客戶端都需要與服務(wù)器端進(jìn)行雙向的身份認(rèn)證（Two-way Authentication）。分布式系統(tǒng)的安全問(wèn)題需要強(qiáng)有力的安全保護(hù)策略，這與傳統(tǒng)的操作系統(tǒng)的保護(hù)很不一樣。

簡(jiǎn)單來(lái)說(shuō)，在開(kāi)放式系統(tǒng)中，安全需求包括：信息不能被惡意篡改，不能向未經(jīng)授權(quán)方泄露信息，信息傳輸雙方的身份認(rèn)證可信。要滿足這些安全需求，信息系統(tǒng)所實(shí)行的安全措施仍基于“加密”和“簽名”。一般來(lái)說(shuō)，這些密碼模塊在身份認(rèn)證、密鑰交換、安全數(shù)據(jù)交換中的使用，從而確保信息系統(tǒng)安全措施有效地提供基本的安全服務(wù)（機(jī)密性、身份認(rèn)證、完整性、不可抵賴性）。然而，必須再三強(qiáng)調(diào)的是，這四個(gè)方面并不等于安全本身，而僅僅是安全的服務(wù)。正如之前解釋的，很多現(xiàn)實(shí)的信息系統(tǒng)往往針對(duì)性地只滿足一部分的安全屬性。因?yàn)樵趯?shí)際情況下，信息系統(tǒng)的安全需求是一個(gè)管理與技術(shù)需求的平衡。這個(gè)平衡的判斷在很大程度上受到機(jī)構(gòu)的治理（Governance）、業(yè)務(wù)、成本與風(fēng)險(xiǎn)等因素的影響。

正是由于當(dāng)前的分布式系統(tǒng)存在這樣的安全問(wèn)題，有效的安全措施需要由機(jī)構(gòu)多方面獲取和分析安全需求，并基于風(fēng)險(xiǎn)考慮來(lái)建構(gòu)和實(shí)施能夠滿足組織和系統(tǒng)安全需求的信息系統(tǒng)。

1.2 信息系統(tǒng)安全基本概念

可以預(yù)見(jiàn)將來(lái)會(huì)有越來(lái)越多的信息系統(tǒng)被應(yīng)用于各種單位、機(jī)構(gòu)中。無(wú)論是電子政務(wù)、電子商務(wù)或者其他業(yè)務(wù)信息系統(tǒng)，一般都會(huì)通過(guò)互聯(lián)網(wǎng)進(jìn)行分布式的信息交換。可以說(shuō)，基于網(wǎng)絡(luò)的新一代大型信息系統(tǒng)必將得到越來(lái)越廣泛的應(yīng)用。1.1節(jié)從信息系統(tǒng)及信息安全的發(fā)展歷史、安全需求的來(lái)源，以及當(dāng)前所面臨的安全問(wèn)題等方面，對(duì)信息系統(tǒng)和信息安全做了概括性描述。為了能更清晰有序地理解信息安全的概念，本節(jié)將進(jìn)一步介紹安全、信息安全、信息系統(tǒng)、分布式系統(tǒng)、信息系統(tǒng)安全等幾個(gè)基本概念。

1.2.1 信息安全的相關(guān)概念

本節(jié)主要探討信息系統(tǒng)安全所涉及的三個(gè)概念：安全、信息安全、信息系統(tǒng)安全。

（1）安全。首先，我們探討什么是安全？國(guó)家標(biāo)準(zhǔn)（GB/T 28001）對(duì)“安全”給出的定義是“免除了不可接受的損害風(fēng)險(xiǎn)的狀態(tài)”，也就是防備危害和其他損害。例如，國(guó)家安全是指保護(hù)主權(quán)、資產(chǎn)、資源和人民安全的多層次系統(tǒng)。這只是廣義上的概念性的安全，與安全相對(duì)應(yīng)的，是風(fēng)險(xiǎn)、威脅這兩個(gè)定義。不同的機(jī)構(gòu)會(huì)面臨不同的風(fēng)險(xiǎn)和威脅，因此，安全具有不同的具體含義。

（2）信息安全。相對(duì)于安全而言，信息安全是一個(gè)更為具體的概念，也是在計(jì)算機(jī)出現(xiàn)之后才特別受到廣泛重視的一個(gè)概念。由于信息安全在政府和企業(yè)系統(tǒng)的普遍重視，眾多國(guó)內(nèi)外的標(biāo)準(zhǔn)化組織都把信息安全納入其標(biāo)準(zhǔn)體系中。然而在不同的標(biāo)準(zhǔn)體系中，信息安全卻有不盡相同的定義。這在某程度上也印證了之前提到的問(wèn)題，就是“安全”沒(méi)有絕對(duì)的定義，而且受環(huán)境與業(yè)務(wù)等因素的影響。

例如，根據(jù)美國(guó)國(guó)家安全系統(tǒng)委員會(huì)（Committee on National Security Systems，CNSS）所發(fā)布的標(biāo)準(zhǔn)，定義：“信息安全（Information Security）就是保護(hù)信息及其關(guān)鍵要素，包括使用、存儲(chǔ)以及傳輸信息的系統(tǒng)和硬件”。CNSS信息安全概念的基礎(chǔ)是CIA，即機(jī)密性（Confidentiality）、完整性（Integrity）、可用性（Availability）。

再如，根據(jù)ISO/IEC 27000:2005《信息安全管理體系原理與術(shù)語(yǔ)》中對(duì)“信息安全”（Information Security）定義為“保護(hù)、維持信息的機(jī)密性、完整性和可用性，也可包括真實(shí)性、可核查性、抗抵賴性、可靠性等性質(zhì)”。

從具體的需求分析，信息安全則可以涉及物理安全、操作安全、通信安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、安全管理等多個(gè)方面的概念。

（3）信息系統(tǒng)安全。然而，以上所提及的信息安全的幾個(gè)概念等都是理論上的定義，在現(xiàn)實(shí)的工程應(yīng)用中這些理論上的概念與機(jī)構(gòu)的實(shí)際需求還可能存在較大的差距。信息系統(tǒng)安全是一個(gè)更為具體的實(shí)際概念，因?yàn)樾畔⑾到y(tǒng)是為實(shí)現(xiàn)不同業(yè)務(wù)目標(biāo)的應(yīng)用系統(tǒng)。因此，在理解信息系統(tǒng)安全時(shí)，必須從機(jī)構(gòu)的組織層面、從應(yīng)用角度來(lái)理解。信息系統(tǒng)安全的最終目標(biāo)還是為了支持、促進(jìn)所屬機(jī)構(gòu)的長(zhǎng)遠(yuǎn)發(fā)展，因此在評(píng)價(jià)信息系統(tǒng)是否安全時(shí)，需要考慮以下幾個(gè)問(wèn)題：信息系統(tǒng)是否滿足機(jī)構(gòu)自身的發(fā)展目的或使命要求？信息系統(tǒng)是否能為機(jī)構(gòu)的長(zhǎng)遠(yuǎn)發(fā)展提供安全方面的保障？機(jī)構(gòu)在信息安全方面所投入的成本與所保護(hù)的信息價(jià)值是否平衡？什么程度的信息系統(tǒng)安全保障在給定的系統(tǒng)環(huán)境下能保護(hù)的最大價(jià)值是多少？信息系統(tǒng)如何達(dá)到有效地實(shí)現(xiàn)安全保障？等等。

機(jī)構(gòu)的安全目標(biāo)一般是指：信息系統(tǒng)遵守了國(guó)家的相關(guān)安全法律法規(guī)，遵循了行業(yè)內(nèi)的相關(guān)標(biāo)準(zhǔn)，能確保機(jī)構(gòu)運(yùn)轉(zhuǎn)正常，能持續(xù)性地提供給支撐業(yè)務(wù)所需的服務(wù)功能。也就是說(shuō)，信息系統(tǒng)所提供的功能提高了業(yè)務(wù)的競(jìng)爭(zhēng)力，能為機(jī)構(gòu)的長(zhǎng)遠(yuǎn)發(fā)展提供安全保障和支持，同時(shí)，從成本效益角度分析來(lái)看，在安全方面所投入的成本與所防范的風(fēng)險(xiǎn)威脅上是平衡的。

為了深入理解信息系統(tǒng)安全與信息安全的差異，下面將對(duì)信息系統(tǒng)進(jìn)行更具體的介紹，信息系統(tǒng)的特征決定了信息系統(tǒng)安全需要考慮的主要內(nèi)容。

1.2.2 信息系統(tǒng)概述

信息系統(tǒng)是以提供特定信息處理功能、滿足特定業(yè)務(wù)需要為主要目標(biāo)的計(jì)算機(jī)應(yīng)用系統(tǒng)。現(xiàn)代化的大型信息系統(tǒng)都是建立在計(jì)算機(jī)操作系統(tǒng)和計(jì)算機(jī)網(wǎng)絡(luò)不斷發(fā)展的基礎(chǔ)上的，典型的信息系統(tǒng)都屬于分布式系統(tǒng)中的一種。一般而言，分布式系統(tǒng)的定義是“一個(gè)硬件或軟件組件分布在網(wǎng)絡(luò)計(jì)算機(jī)上，通過(guò)消息傳遞進(jìn)行業(yè)務(wù)處理和操作協(xié)調(diào)的系統(tǒng)”。這個(gè)簡(jiǎn)單的定義基本覆蓋了所有網(wǎng)絡(luò)化的信息系統(tǒng)。同一個(gè)網(wǎng)絡(luò)中的計(jì)算機(jī)可能在空間上存在一定距離，可能在同一棟樓或同一個(gè)房間，但也有可能位于不同的五大洲上。一般而言，分布式系統(tǒng)具有以下幾個(gè)典型特征。

（1）物理分布。同一個(gè)信息系統(tǒng)內(nèi)，不同的硬件、軟件和固件會(huì)被布置在不同的計(jì)算機(jī)上，大型的信息系統(tǒng)的這些計(jì)算機(jī)會(huì)被部署在不同的物理地點(diǎn)。這是分布式系統(tǒng)的一個(gè)最基本的特征。

當(dāng)不同計(jì)算機(jī)面臨物理分布的情況時(shí)，進(jìn)程間進(jìn)行必需的通信交互、數(shù)據(jù)傳輸、信息管理、時(shí)間同步時(shí)，就會(huì)面臨諸多安全問(wèn)題。

（2）環(huán)境多變。大型的信息系統(tǒng)會(huì)由于機(jī)構(gòu)的業(yè)務(wù)不同而被部署在不同的位置和環(huán)境下，因此，分布式信息系統(tǒng)會(huì)面臨應(yīng)用環(huán)境不同的現(xiàn)狀。例如，信息系統(tǒng)或者其中的某一部分，在應(yīng)用于稅務(wù)電子政務(wù)時(shí)，作為網(wǎng)上辦稅的客戶終端可能被布置在公眾辦稅大廳中；當(dāng)被用做存儲(chǔ)公眾的稅務(wù)信息的數(shù)據(jù)中心時(shí)，可能被放在實(shí)現(xiàn)物理保護(hù)的安全機(jī)房里。分布式信息系統(tǒng)由于機(jī)構(gòu)業(yè)務(wù)和要實(shí)現(xiàn)的功能不同，應(yīng)用于不同的環(huán)境，則會(huì)面臨不同的安全問(wèn)題。

比如，嘗試考慮輸入信息的完整性問(wèn)題。當(dāng)信息系統(tǒng)位于公眾辦稅大廳時(shí)，理論上在辦稅大廳的任何人都有可能利用客戶終端輸入一些數(shù)據(jù)。如果對(duì)于數(shù)據(jù)輸入功能沒(méi)有進(jìn)行授權(quán)和限制，那么這種情況下的數(shù)據(jù)完整性問(wèn)題就要比位于安全機(jī)房并實(shí)現(xiàn)了門禁管理的信息系統(tǒng)的情況要更多地加以關(guān)注。

由此可見(jiàn)，即使是同一套信息系統(tǒng)，當(dāng)部署在不同的環(huán)境中時(shí)，就會(huì)面臨不同的風(fēng)險(xiǎn)威脅。因此，機(jī)構(gòu)需要針對(duì)信息系統(tǒng)的具體情況分析其安全需求，并做出相應(yīng)的安全策略和保護(hù)措施。

（3）分布式管理。一般而言，信息系統(tǒng)的不同機(jī)器都有可能由不同的組織或人員管理。由于是分布式管理，因此無(wú)法確保每個(gè)機(jī)器上的輸入都受到同樣適當(dāng)?shù)氖跈?quán)和限制的保護(hù)。

具體來(lái)說(shuō)，如果分布式信息系統(tǒng)內(nèi)的不同機(jī)器是由不同的組織或人員管理，這些管理者都會(huì)在他們所管理的計(jì)算機(jī)內(nèi)采取不同的具體安全策略與機(jī)制來(lái)限制和約束數(shù)據(jù)輸入功能。例如，對(duì)于由部門 A 負(fù)責(zé)的計(jì)算機(jī)，相應(yīng)的安全管理制度要求是：“必須要經(jīng)過(guò)部門負(fù)責(zé)人批準(zhǔn)后，才能由專門負(fù)責(zé)信息數(shù)據(jù)輸入的工作人員進(jìn)行相關(guān)操作；在輸入的同時(shí)，需要有兩名以上的人員進(jìn)行監(jiān)督；輸入和修改的數(shù)據(jù)要有具體的日志記錄以便事后進(jìn)行責(zé)任追究。”與此同時(shí)，部門B所負(fù)責(zé)的計(jì)算機(jī)沒(méi)有實(shí)行與部門A相同的安全策略，并且部門內(nèi)部共用一個(gè)公開(kāi)的計(jì)算機(jī)用戶名和用戶密碼，也沒(méi)有安排專人負(fù)責(zé)輸入，也沒(méi)有監(jiān)督和事后追究的措施。很明顯部門B的管理缺乏適當(dāng)?shù)氖跈?quán)、限制和監(jiān)督。因此，如果部門A的機(jī)器需要依靠部門B的人員在部門B的機(jī)器上做數(shù)據(jù)輸入，即使部門A采用了更強(qiáng)的安全保護(hù)也是于事無(wú)補(bǔ)的。

可見(jiàn)，信息系統(tǒng)的分布式部署就可能產(chǎn)生相應(yīng)的分布式管理的問(wèn)題，而不同的管理就有可能會(huì)有寬嚴(yán)程度不一的管理措施，在管理要求不高的部門內(nèi)，就會(huì)存在對(duì)信息輸入的授權(quán)、監(jiān)督和追究所缺乏的安全漏洞。

與此相應(yīng)的是，分布式管理也存在責(zé)任追究的問(wèn)題。正是由于不同的管理可能會(huì)有寬嚴(yán)程度不一的管理要求，在有些管理要求不高的部門，由于缺乏對(duì)于信息輸入的授權(quán)和監(jiān)督，缺少相關(guān)的日志文檔記錄，自然就很難實(shí)現(xiàn)對(duì)事后的責(zé)任追究。

1.2.3 大型網(wǎng)絡(luò)信息系統(tǒng)的安全挑戰(zhàn)

以上簡(jiǎn)要介紹了信息系統(tǒng)由于自身的分布式特征所面臨的安全挑戰(zhàn)。然而，信息系統(tǒng)安全又不僅限于此。當(dāng)前的信息系統(tǒng)多為大型信息系統(tǒng)，也多用于支撐和促進(jìn)大型機(jī)構(gòu)的業(yè)務(wù)運(yùn)作與長(zhǎng)遠(yuǎn)發(fā)展。例如，政府部門、學(xué)校、大型企業(yè)等，這種應(yīng)用也就意味著大型信息系統(tǒng)所面臨的安全挑戰(zhàn)并非僅僅是信息系統(tǒng)本身的安全挑戰(zhàn)和風(fēng)險(xiǎn)，它也可以影響到整個(gè)機(jī)構(gòu)的管理與運(yùn)作。

因此，信息系統(tǒng)安全的構(gòu)建和管理應(yīng)從業(yè)務(wù)運(yùn)營(yíng)乃至機(jī)構(gòu)管理的角度來(lái)看待這一問(wèn)題。從這些角度看安全問(wèn)題的本質(zhì)，除了之前提到的業(yè)務(wù)風(fēng)險(xiǎn)外，還需要考慮以下幾個(gè)主要的風(fēng)險(xiǎn)因素：法律風(fēng)險(xiǎn)、財(cái)務(wù)風(fēng)險(xiǎn)和商譽(yù)風(fēng)險(xiǎn)。

（1）法律風(fēng)險(xiǎn)。試用電子銀行系統(tǒng)或電子政務(wù)等現(xiàn)實(shí)例子來(lái)理解法律風(fēng)險(xiǎn)的問(wèn)題。當(dāng)信息系統(tǒng)用于支持電子銀行或電子政務(wù)時(shí)，信息系統(tǒng)必定會(huì)在業(yè)務(wù)處理過(guò)程中收集一些必要的用戶或客戶信息。一般來(lái)說(shuō)，用戶都不會(huì)太擔(dān)心這些信息會(huì)被泄露或者濫用，因?yàn)橐话愕你y行服務(wù)或政務(wù)服務(wù)都有相關(guān)的法律保護(hù)用戶的權(quán)益。通常法律條文會(huì)要求服務(wù)機(jī)構(gòu)的信息系統(tǒng)妥當(dāng)?shù)乇Ｗo(hù)用戶信息，以確保用戶的隱私不會(huì)泄露。一旦這些信息被泄露后，用戶或客戶就可以依據(jù)相關(guān)的法律追究擁有信息系統(tǒng)的機(jī)構(gòu)的責(zé)任。可見(jiàn)機(jī)構(gòu)所面臨的風(fēng)險(xiǎn)并非是信息系統(tǒng)本身的安全風(fēng)險(xiǎn)，也不是純粹技術(shù)上的風(fēng)險(xiǎn)，而是機(jī)構(gòu)需要承擔(dān)的法律責(zé)任。因此，在當(dāng)前這個(gè)越來(lái)越重視個(gè)人隱私的環(huán)境下，威脅會(huì)導(dǎo)致機(jī)構(gòu)遭受損失，甚至?xí)捎谙到y(tǒng)漏洞而面臨法律風(fēng)險(xiǎn)。在作者曾經(jīng)參與過(guò)的多個(gè)電子銀行和電子政務(wù)安全信息系統(tǒng)項(xiàng)目里，從其實(shí)踐的經(jīng)驗(yàn)便明確地告訴我們，絕大部分的機(jī)構(gòu)領(lǐng)導(dǎo)對(duì)系統(tǒng)安全的首要目標(biāo)就是確保信息系統(tǒng)提供的電子服務(wù)能依從相關(guān)的法律法規(guī)要求，避免承擔(dān)日后可能面對(duì)的法律責(zé)任。

（2）財(cái)務(wù)風(fēng)險(xiǎn)。財(cái)務(wù)風(fēng)險(xiǎn)仍然是從機(jī)構(gòu)的管理角度來(lái)看待這一問(wèn)題的。以上市公司的信息系統(tǒng)為例，上市公司的年度或季度財(cái)務(wù)報(bào)表在正式公布之前，在公司內(nèi)都屬于機(jī)密數(shù)據(jù)，因?yàn)橐坏┰谡焦贾靶孤督o外界，便很可能造成公司股價(jià)極大的波動(dòng)，可能使得公司遭受極大的財(cái)務(wù)風(fēng)險(xiǎn)。

（3）商譽(yù)風(fēng)險(xiǎn)。商譽(yù)風(fēng)險(xiǎn)是指，如果機(jī)構(gòu)的信息系統(tǒng)存在一些風(fēng)險(xiǎn)或面臨挑戰(zhàn)，會(huì)對(duì)機(jī)構(gòu)本身的業(yè)務(wù)信譽(yù)或名聲造成一定的影響。仍以網(wǎng)上銀行為例，假設(shè)某一銀行的網(wǎng)上銀行系統(tǒng)存在漏洞被黑客攻擊，造成了客戶賬上的金額被盜竊或者轉(zhuǎn)移。這時(shí)銀行一般有兩種處理辦法可以選擇：一是承認(rèn)網(wǎng)上銀行系統(tǒng)本身存在漏洞，銀行需要為客戶的損失承擔(dān)責(zé)任，并由銀行來(lái)賠償客戶財(cái)產(chǎn)上的損失。如果信息系統(tǒng)面臨這樣的黑客威脅，銀行就必然面臨著財(cái)務(wù)風(fēng)險(xiǎn)。二是銀行會(huì)選擇盡可能證明網(wǎng)上銀行系統(tǒng)不存在安全漏洞的問(wèn)題，堅(jiān)持是客戶自己對(duì)銀行賬號(hào)管理不善或者錯(cuò)誤操作等原因?qū)е伦约旱呢?cái)產(chǎn)損失。如果銀行長(zhǎng)期這么做，這家銀行的商譽(yù)就必定受到很大的影響。因此，特別是對(duì)用于電子商務(wù)系統(tǒng)的機(jī)構(gòu)而言，信息系統(tǒng)的安全挑戰(zhàn)中也面臨著商譽(yù)風(fēng)險(xiǎn)。

由此可見(jiàn)，從機(jī)構(gòu)層面來(lái)看，信息系統(tǒng)所面臨的安全風(fēng)險(xiǎn)，并不是單純幾個(gè)抽象理論的安全屬性，而是實(shí)實(shí)在在的與機(jī)構(gòu)目標(biāo)相關(guān)、為機(jī)構(gòu)業(yè)務(wù)服務(wù)、實(shí)現(xiàn)機(jī)構(gòu)利益的過(guò)程中所面臨的風(fēng)險(xiǎn)。工程人員在構(gòu)建信息系統(tǒng)的過(guò)程中，切不可忘了這一前提。

1.3 信息系統(tǒng)安全體系概述

以上內(nèi)容概述性地介紹了信息系統(tǒng)和信息安全的相關(guān)歷史和概念及現(xiàn)狀。為了更深入系統(tǒng)地了解信息系統(tǒng)安全的基本概念，本節(jié)主要介紹信息系統(tǒng)安全體系的概念及組成，這將有助于從技術(shù)、管理、標(biāo)準(zhǔn)、法規(guī)等方面來(lái)理解信息系統(tǒng)安全。

1.3.1 信息系統(tǒng)安全體系

機(jī)構(gòu)為了實(shí)現(xiàn)其管理目標(biāo)，需要構(gòu)建和部署符合機(jī)構(gòu)發(fā)展需要的信息系統(tǒng)。信息系統(tǒng)需要符合機(jī)構(gòu)在業(yè)務(wù)、信息、解決方案及技術(shù)等方面多個(gè)維度的目標(biāo)。其中，安全目標(biāo)是技術(shù)方面的目標(biāo)之一。為了實(shí)現(xiàn)安全目標(biāo)，信息系統(tǒng)需要部署與安全相關(guān)的物理組件和邏輯組件。而這些與安全相關(guān)的組件便構(gòu)成了常見(jiàn)的信息系統(tǒng)安全體系（Information Systems Security Architecture， ISSA）。

一般而言，ISSA主要包括四個(gè)方面：

· 信息系統(tǒng)安全技術(shù)體系；

· 信息系統(tǒng)安全管理體系；

· 信息系統(tǒng)安全標(biāo)準(zhǔn)體系；

· 信息系統(tǒng)安全法律法規(guī)。

圖 1-1所示的信息系統(tǒng)安全體系框架顯示了這幾個(gè)方面的關(guān)系。這一框架將有助于信息系統(tǒng)安全的全面實(shí)現(xiàn)，完整的信息系統(tǒng)安全體系應(yīng)圍繞著以上四個(gè)方面展開(kāi)。具體而言，即以法律法規(guī)作為安全目標(biāo)和安全需求的依據(jù)；以標(biāo)準(zhǔn)規(guī)范體系作為檢查、評(píng)估和測(cè)評(píng)的依據(jù)；以管理體系作為風(fēng)險(xiǎn)分析與控制的理論基礎(chǔ)與處理框架；以技術(shù)體系作為風(fēng)險(xiǎn)控制的手段與安全管理的工具。

在接下來(lái)的幾節(jié)中將逐一介紹這幾個(gè)與安全相關(guān)的體系，以及它們?cè)跇?gòu)建安全信息系統(tǒng)時(shí)的相互關(guān)系。

1.3.2 信息系統(tǒng)安全技術(shù)體系

信息系統(tǒng)安全技術(shù)體系是對(duì)實(shí)現(xiàn)安全信息系統(tǒng)所采用的安全技術(shù)的構(gòu)建框架，包括：信息系統(tǒng)安全的基本屬性，信息系統(tǒng)安全的組成與相互關(guān)系，信息系統(tǒng)安全等級(jí)劃分，信息系統(tǒng)安全保障的基本框架，信息系統(tǒng)風(fēng)險(xiǎn)控制手段及其技術(shù)支持等。

從具體的應(yīng)用軟件構(gòu)建劃分，信息系統(tǒng)安全技術(shù)體系分為傳輸安全、系統(tǒng)安全、應(yīng)用程序安全和軟件安全。一個(gè)常見(jiàn)的理解是信息系統(tǒng)安全技術(shù)體系的角度。根據(jù)所涉及技術(shù)的不同，可將信息系統(tǒng)安全技術(shù)體系粗略地分為以下幾項(xiàng)技術(shù)：

· 信息系統(tǒng)硬件安全；

· 操作系統(tǒng)安全；

· 密碼算法技術(shù)；

· 安全協(xié)議技術(shù)；

· 訪問(wèn)控制管理；

· 安全通信技術(shù)；

· 應(yīng)用程序安全；

· 身份識(shí)別和認(rèn)證管理技術(shù)；

· 入侵監(jiān)測(cè)技術(shù)；

· 防火墻技術(shù)等安全信息系統(tǒng)的構(gòu)建技術(shù)。

這些技術(shù)都是構(gòu)建安全信息系統(tǒng)的必要模塊，而且必須合理有序地連接起來(lái)，形成一個(gè)支撐安全信息系統(tǒng)的技術(shù)平臺(tái)。

圖1-2所示的信息系統(tǒng)安全技術(shù)體系框架，可以幫助了解這些安全模塊在實(shí)際構(gòu)建安全信息系統(tǒng)時(shí)它們之間的相互關(guān)系。

1.3.3 信息系統(tǒng)安全管理體系

一個(gè)機(jī)構(gòu)的信息系統(tǒng)安全管理體系，是從機(jī)構(gòu)的安全目標(biāo)出發(fā)，利用機(jī)構(gòu)體系結(jié)構(gòu)這一工具分析并理解機(jī)構(gòu)自身的管理運(yùn)行架構(gòu)，并納入安全管理理念，對(duì)實(shí)現(xiàn)信息系統(tǒng)安全所采用的安全管理措施進(jìn)行描述，包括信息系統(tǒng)的安全目標(biāo)、安全需求、風(fēng)險(xiǎn)評(píng)估、工程管理、運(yùn)行控制和管理、系統(tǒng)監(jiān)督檢查和管理等方面，以期在整個(gè)信息系統(tǒng)開(kāi)發(fā)生命周期內(nèi)實(shí)現(xiàn)機(jī)構(gòu)的全面可持續(xù)的安全目標(biāo)。其中，機(jī)構(gòu)體系結(jié)構(gòu)將在第3章詳細(xì)介紹，信息系統(tǒng)開(kāi)發(fā)生命周期將在第16章詳細(xì)介紹。

信息系統(tǒng)安全管理體系范圍廣闊，主要包括以下內(nèi)容：

· 安全目標(biāo)確定；

· 安全需求獲取與分類；

· 風(fēng)險(xiǎn)分析與評(píng)估；

· 風(fēng)險(xiǎn)管理與控制；

· 安全計(jì)劃制定；

· 安全策略與機(jī)制實(shí)現(xiàn)；

· 安全措施實(shí)施。

信息系統(tǒng)安全管理體系框架圖如圖1-3所示。

信息系統(tǒng)的構(gòu)建主要基于安全目標(biāo)和風(fēng)險(xiǎn)。因?yàn)樽鳛橐惶诪闄C(jī)構(gòu)業(yè)務(wù)提供服務(wù)的信息系統(tǒng)，在它的構(gòu)建過(guò)程中，工程人員首先要考慮信息系統(tǒng)在安全方面需要滿足哪些安全目標(biāo)，然后再分析評(píng)估所面臨的風(fēng)險(xiǎn)。因此，信息系統(tǒng)安全管理體系要建構(gòu)在安全目標(biāo)和風(fēng)險(xiǎn)管理的基礎(chǔ)之上。

信息系統(tǒng)安全管理體系各組成部分的關(guān)系具體如下：

（1）信息系統(tǒng)的安全目標(biāo)由與國(guó)家安全相關(guān)的法律法規(guī)、機(jī)構(gòu)組織結(jié)構(gòu)、機(jī)構(gòu)的業(yè)務(wù)需求等因素確定；

（2）將安全目標(biāo)細(xì)化、規(guī)范化為安全需求，安全需求再按照信息資產(chǎn)（如業(yè)務(wù)功能、數(shù)據(jù)）的不同安全屬性和重要性進(jìn)行分類；

（3）安全需求分類后，要分析系統(tǒng)可能受到的安全威脅和面臨的各種風(fēng)險(xiǎn)，并對(duì)風(fēng)險(xiǎn)的影響和可能性進(jìn)行評(píng)估，得出風(fēng)險(xiǎn)評(píng)估結(jié)果；

（4）根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，選擇不同的應(yīng)對(duì)措施和策略，以便管理和控制風(fēng)險(xiǎn)；

（5）制定安全計(jì)劃；

（6）設(shè)定安全策略和相應(yīng)的實(shí)現(xiàn)策略的機(jī)制；

（7）實(shí)施安全措施。

很明顯，在信息系統(tǒng)安全管理體系的組成部分里，有很多的管理概念與管理過(guò)程并不屬于技術(shù)的范疇，但同時(shí)卻是選擇技術(shù)手段的依據(jù)。例如，信息資產(chǎn)的重要性、風(fēng)險(xiǎn)影響的評(píng)估、應(yīng)對(duì)措施的選擇等問(wèn)題，都需要機(jī)構(gòu)的最高管理層對(duì)機(jī)構(gòu)的治理、業(yè)務(wù)的需要、信息化的成本效益、開(kāi)發(fā)過(guò)程管理等問(wèn)題上做出管理決策。所以，從機(jī)構(gòu)目標(biāo)的角度看，信息安全管理并不是單純的技術(shù)管理，它也涉及整個(gè)機(jī)構(gòu)長(zhǎng)遠(yuǎn)發(fā)展的管理（Administration）。

在本書中，由于篇幅所限，安全管理主要圍繞著安全需求和風(fēng)險(xiǎn)兩個(gè)關(guān)鍵概念進(jìn)行闡述，分別在第2～7章中介紹相關(guān)的信息系統(tǒng)安全管理的內(nèi)容。

1.3.4 信息系統(tǒng)安全標(biāo)準(zhǔn)體系

標(biāo)準(zhǔn)是技術(shù)發(fā)展的產(chǎn)物，它又進(jìn)一步推進(jìn)技術(shù)的發(fā)展。完整的信息系統(tǒng)安全標(biāo)準(zhǔn)體系，是建立信息系統(tǒng)安全體系的重要組成部分，也是信息系統(tǒng)安全體系實(shí)現(xiàn)規(guī)范化管理的重要保證。

信息系統(tǒng)安全標(biāo)準(zhǔn)體系是對(duì)信息系統(tǒng)安全技術(shù)和安全管理的機(jī)制、操作和界面的規(guī)范，是從技術(shù)和管理方面以標(biāo)準(zhǔn)的形式對(duì)有關(guān)信息安全的技術(shù)、管理、實(shí)施等具體操作進(jìn)行的規(guī)范化描述。

除了安全標(biāo)準(zhǔn)體系能對(duì)信息安全的技術(shù)、管理、實(shí)施進(jìn)行規(guī)范之外，國(guó)家及行業(yè)的相關(guān)安全標(biāo)準(zhǔn)規(guī)范也明確地規(guī)定了安全的根本目標(biāo)和安全需求。因此，機(jī)構(gòu)在構(gòu)建信息系統(tǒng)之前，必須先明確機(jī)構(gòu)的安全目標(biāo)和安全需求，確保將要實(shí)現(xiàn)的信息系統(tǒng)安全特性真正地符合機(jī)構(gòu)的目標(biāo)，此時(shí)，國(guó)家法律法規(guī)和標(biāo)準(zhǔn)規(guī)范就將作為制定目標(biāo)和需求的依據(jù)。信息系統(tǒng)安全標(biāo)準(zhǔn)體系框架如圖1-4所示。

1.3.5 信息系統(tǒng)安全法律法規(guī)

信息系統(tǒng)安全法律法規(guī)是信息系統(tǒng)安全體系中極為重要的組成部分，也是信息系統(tǒng)安全必須遵循的基線。

為了控制機(jī)構(gòu)保密和安全風(fēng)險(xiǎn)，了解一個(gè)機(jī)構(gòu)的法律責(zé)任和道德義務(wù)至關(guān)重要。現(xiàn)代社會(huì)中，法律訴訟案件極為常見(jiàn)，為了避免刑事懲罰，降低民事責(zé)任所帶來(lái)的財(cái)務(wù)損失，機(jī)構(gòu)所構(gòu)建的信息系統(tǒng)在設(shè)計(jì)、實(shí)施和管理上必須遵守機(jī)構(gòu)所在國(guó)家的信息安全相關(guān)的法律法規(guī)，以及相關(guān)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。

因此，信息安全從業(yè)人員必須理解當(dāng)前的法律環(huán)境，及時(shí)了解出臺(tái)的相關(guān)法律、規(guī)則。只有符合法律規(guī)定和標(biāo)準(zhǔn)要求，適當(dāng)?shù)厥褂眯畔⒓夹g(shù)和信息安全技術(shù)，才能使信息系統(tǒng)為實(shí)現(xiàn)機(jī)構(gòu)的首要目標(biāo)起到積極作用。

信息系統(tǒng)安全法律法規(guī)的具體內(nèi)容將在第5部分“信息系統(tǒng)安全標(biāo)準(zhǔn)規(guī)范與法律法規(guī)”中的第13、14章詳細(xì)介紹。

1.4 小結(jié)

前面從技術(shù)、管理、標(biāo)準(zhǔn)、法律法規(guī)等四個(gè)體系介紹了信息系統(tǒng)安全體系的各組成部分和作用。至此，信息系統(tǒng)安全體系可以通過(guò)一個(gè)包含以上四個(gè)體系的整體框架來(lái)描述、理解。

圖 1-1所示的是信息系統(tǒng)安全體系框架，深入理解這一框架，將有助于信息系統(tǒng)安全的全面實(shí)現(xiàn)。完整的信息系統(tǒng)安全體系應(yīng)圍繞著以上四個(gè)方面展開(kāi)。具體而言，即以法律法規(guī)作為安全目標(biāo)和安全需求的依據(jù)；以標(biāo)準(zhǔn)規(guī)范體系作為檢查、評(píng)估和測(cè)評(píng)的依據(jù)；以管理體系作為風(fēng)險(xiǎn)分析與控制的理論基礎(chǔ)與處理框架；以技術(shù)體系作為風(fēng)險(xiǎn)控制的手段與安全管理的工具。

作為本書的第1章，本章從信息系統(tǒng)和信息安全的發(fā)展歷程開(kāi)始，讓讀者了解信息安全的相關(guān)概念、信息系統(tǒng)安全體系等內(nèi)容。通過(guò)學(xué)習(xí)和理解這些內(nèi)容，我們能夠整體地了解什么是信息系統(tǒng)，信息系統(tǒng)的安全問(wèn)題從何而來(lái)，信息系統(tǒng)安全體系大致如何。本章也簡(jiǎn)要介紹了本書的目標(biāo)、范圍和閱讀對(duì)象，這也便于讀者能對(duì)本書有全面的認(rèn)識(shí)。