| 出版日期:2003-12-22 总期号:1277 本年期号:96 |
|
 |
信息安全发展经历了三个阶段
—看信息安全技术、产品、方案、服务的发展 刘科全 信息安全涉及计算技术、密码技术、控制论和管理科学等多门学科,其核心价值链是以技术驱动产品,以产品构建方案,以方案支撑服务,以服务满足用户需求。信息安全技术、产品、方案和服务的内容与形式一直处在不断变化和不断发展之中,其发展变化趋势可以分别用三段论进行概括和描述。 安全技术发展经历了三段 信息安全主流技术发展经历了从非对称计算技术到密码保护技术,再到信任计算技术这三个阶段。在普及电脑的初期,主要依靠口令字、非标准存储格式等方法保护秘密信息,其安全原理是依靠信息的合法拥有者与系统外部人员之间掌握“钥匙信息”的不对称性实现的,我们称这个阶段为非对称计算技术阶段;随着网络的兴起,实体之间交换敏感信息需要新技术来进一步确保安全,于是古老的密码技术得到了迅猛的发展,依靠密码算法与密钥相结合来确保信息的机密性、完整性,以及实体身份的唯一性和操作与过程的不可否认性,我们称这个阶段为密码保护技术阶段;随着网络互联互通,特别是因特网的普及,全球范围内基于信任前提的网络设备与协议的标准化与构建化使信息交换极其容易,同时也造成密码保护成为不可加载或容易旁路的技术,人们于是将底层的计算技术与密码技术紧密结合,从而推动信息安全技术研究进入信任计算技术阶段。 安全产品发展经历了三段 信息安全产品发展经历了从被动防范到积极防御,再到可信计算这三个阶段。在信息化建设的初期,用户受到来自某一方面的安全威胁,则迫切希望解决这方面的安全问题,如系统总是被病毒所侵扰,于是购买防病毒产品则迫在眉睫,这一阶段里,厂商提供的产品是针对某一具体问题的解决方案,产品相互间完全独立,是一种“头疼医头,脚疼医脚”的状态,因此我们称为被动防范阶段;当信息系统越来越复杂,出现的安全问题种类也越来越多时,简单堆积防火墙、防病毒、IDS等产品出现的管理难题、协同难题和升级服务难题摆在了信息建设者的面前,企业和研究机构推出了安全关联解决方案和统一安全管理平台,通过这两类特殊产品把静止孤立的安全产品连成一个集预警、监控、保护、响应和恢复于一体的整体防御体系,我们称这一产品发展阶段为积极防御阶段;在积极防御阶段,信息系统的安全性已大为提升,但并未从网络体系框架上彻底解决安全问题,信息系统的安全属性都是后加上去的,而不是与生俱来的,因此缺乏先天的安全免疫力,于是人们开始建立新的安全体系标准,努力使所有的信息产品在出厂时就具备相应的安全属性,于是安全路由器、安全计算机、安全操作系统、安全数据库,以及安全中间件等产品必将应运而生, 我们将即将到来的这一阶段称为可信计算环境阶段。 安全方案发展经历了三段 信息安全方案发展经历了从外网安全方案到内网安全方案,再到应用安全方案这三个阶段。在最初的信息安全建设中,人们首先想到的是防止外部攻击,因而重点解决信息在广域网上传输的安全问题,以及本地网络与外部网络连接的边界安全问题,所以首先需要的是外网安全解决方案;之后用户认识到,一半以上的安全问题来自内部用户,细分安全域、系统加固和内网审计监控又会逐步成为安全建设的重点,这个阶段需要的是内网安全方案;随着外网安全方案和内网安全方案建设到位,在信息系统安全评估过程中又会发现关键应用系统中敏感信息仍然没有得到足够的保护,主机(或用户)到服务端的重要信息在传输、存储和处理过程中还可能被截取、篡改和破坏,于是推动信息安全建设进入应用安全方案阶段。 安全服务发展经历了三段 信息安全服务发展经历了从产品售后服务到构架方案服务,再到风险管理服务这三个阶段。在信息安全发展的初级阶段,用户仅仅需要面向信息安全产品的培训、安装和标准售后服务;之后用户要求安全建设者提供从物理安全到系统安全、网络安全、应用安全,直至管理安全的整体解决方案;到信息系统深入应用,以及信息安全威胁日益严峻今天,单纯的整体解决方案已经难以解决不断升级的信息安全问题,于是推动信息安全服务从方案构架服务阶段进入到风险管理服务阶段。用户要求信息安全提供商提供风险评估与资产评估服务,提供需求分析与安全策略设计服务,提供项目规划与方案设计服务,提供安全管理体系、技术体系和运作体系建设服务,以及提供安全运营外包服务。至此,信息安全逐步进入持续改善的良性发展阶段。 |
||||||||||||||||||||||||||
