信息保障
出自 MBA智库百科(https://wiki.mbalib.com/)
信息保障(Information Assurance)
目錄 |
信息保障是美國國防部於20世紀90年代率先提出的,後經多次修改、完善,已得到世界範圍的廣泛認可。
就其本質來說,信息保障是一種保證信息和信息系統能夠安全運行的防護性行為,是信息安全在信息時代的新發展。信息保障的對象是信息以及處理、管理、存儲、傳輸信息的信息系統;目的是採取技術、管理等綜合性手段,使信息和信息系統具備機密性、完整性、可用性、可認證性、不可否認性,以及在遭受攻擊後的可恢復性。
信息安全問題始終伴隨著信息技術的發展而發展,先後經歷了早期的“通信保密”(COMSEC)、“信息系統安全”(1NFOSEC)和目前的“信息保障”三個階段。每個階段雖然在滿足的需求、關註的目標以及發展的技術等方面各不相同,但其根本出發點都是要保護信息,確保其能為己所用。
20世紀40、50年代,信息安全以通信保密為主體,要求實現信息的機密性。這一時期的信息安全需求基本來自軍政指揮體系方面的“通信保密”要求,主要目的是要使信息即使在被截獲的情況下也無法被敵人使用,因此其技術主要體現在加解密設備上。
20世紀60、70年代,隨著小規模電腦組成的簡單網路系統的出現,網路中多點傳輸、處理以及存儲的保密性、完整性、可用性問題成為關註焦點;電腦之間的信息交互,要求人們必須採取措施在信息存儲、處理、傳輸過程中,保護信息和信息系統不被非法訪問或修改,同時不能拒絕合法用戶的服務請求,其技術發展主要體現在訪問控制上。這時,人們開始將“通信安全”與“電腦安全”合併考慮,“信息系統安全”(1NFOSEC)成為研究熱點。
進入20世紀90年代,隨著網路技術的進一步發展,超大型網路迫使人們必須從整體安全的角度去考慮信息安全問題。網路的開放性、廣域性等特征把人們對信息安全的需求,延展到可用性、完整性、真實性、機密性和不可否認性等更全面的範疇。同時,隨著網路黑客、病毒等技術層出不窮、變化多端,人們發現任何信息安全技術和手段都存在弱點,傳統的“防火牆+補丁”這樣的純技術方案無法完全抵禦來自各方的威脅,必須尋找一種可持續的保護機制,對信息和信息系統進行全方位的、動態的保護。1989年美國卡內基·梅隆大學電腦應急小組開始研究如何從靜態信息安全防護向動態防護轉變。之後,美國防部在其信息安全及網路戰防禦理論探索中吸收了這一思想,並於1995年提出了“信息保障”概念。
總的來說,與以前的信息安全概念相比,信息保障概念的範圍更加寬泛。從理念上看,以前信息安全強調的是“規避風險”,即防止發生並提供保護,破壞發生時無法輓回;而信息保障強調的是“風險管理”,即綜合運用保護,探測、反應和恢復等多種措施,使得信息在攻擊突破某層防禦後,仍能確保一定級別的可用性、完整性、真實性、機密性和不可否認性,並能及時對破壞進行修複。再者,以前的信息安全通常是單一或多種技術手段的簡單累加,而信息保障則是對加密,訪問控制、防火牆、安全路由等技術的綜合運用,更註重入侵探測和災難恢復技術。
信息保障是防禦範疇的信息作戰
信息作戰是信息時代聯合作戰必不可少的作戰樣式。美軍信息作戰的主要目的是保護美軍的信息和信息系統,干擾和破壞敵方的信息和信息系統,從而獲取並保持信息優勢,並有效地將其轉換為決策優勢,最終為聯合部隊提供競爭優勢。在美軍2006年版的《聯合信息作戰條令》中,信息作戰包括5大“核心能力”(包括電子戰,電腦網路攻擊、心理戰、軍事欺騙和作戰保密)以及“支援能力”(包括信息保障、物理安全、物理攻擊、反情報等)和“相關能力”(包括公共事務、軍民關係和外交支持等)。信息作戰就是綜合運用這些能力,影響、破壞、擾亂和剝奪敵方決策能力,同時保護己方信息和信息系統的一種作戰行動。
2006年版的《聯合信息作戰條令》是這樣解釋“信息保障”的綜合利用各種保護和防護措施,包括檢測、響應、恢復等,確保信息和信息系統的可用性、完整性、真實性、機密性和不可否認性。也就是說,信息保障的最終目的是要確保信息能為己方所用,即使其受到攻擊或破壞,也能被及時有效的恢復。其中,可用性,是指信息要能按照授權被訪問和使用。破壞信息可用性的基本方法是利用某種方式阻斷信息(如破壞網路和有關係統)。完整性,是指信息不被竄改、破壞和丟失,保證信息的完整性是信息安全的基本要求,破壞信息的完整性是進行信息攻擊的主要目的之一。可控性,是指要保證信息系統能以人們可接受的質量水平持續運行,並提供有效的信息服務。機密性,是指不能讓信息泄露給非授權用戶和實體,即使被截獲也無法使用。不可否認性,是指要能保證對收發信息的雙方的身份和事實進行確認,任何一方在以後都不能抵賴曾處理過特定數據這一事實。
由此可見,信息作戰是信息環境下,以信息和信息系統為作戰對象的多種軍事行動的集合,它既包括防禦保護也包括進攻打擊,而信息保障重在防禦,即保護信息環境中可為己方使用的信息和信息系統。
