随着计算机和网络技术的飞速发展以及应用程度的不断提高,信息安全问题已逐渐渗透到政治、经济、军事、社会生活等各个领域。目前,对网络的各类攻击与破坏与日俱增,每年全球因计算机网络的安全系统被破坏而造成的经济损失达数百亿美元。信息安全已成为国家网络经济发展的关键,作为国家与国防安全的重要组成部分,也培育出了一个新兴的产业领域。为了对信息安全产业有较为深刻的认识和把握,本文将从重点产品的演进分析信息安全产业的经济学特征和发展趋势,并提出在信息安全产品已经日渐丰富的今天,作为信息安全产业发展方向的信息安全测评等相关服务业,并应在考虑信息安全特点的基础上,不断发展和完善。
一、信息安全起源及其形成
根据美国国家安全系统委员会(CNSS,以前是美国国家安全电信和信息系统安全委员会)公布的标准,信息安全定义为保护信息及其重要元素,包括使用、存储和传输这些信息的系统和硬件。信息安全包括了信息安全管理、计算机和数据安全、网络安全等广阔的领域。要保护信息及其相关系统,用户必须采用诸如政策、认识、培训和教育、技术等手段。而信息安全产业正是在满足用户这些需求的过程中产生的。
1.信息安全的起源
Whitman和Mattord(2005年)认为,信息安全起源于计算机安全。自从第二次世界大战期间开发出第一代用于帮助分段计算代码的大型计算机以来,计算机安全的需求诞生了。
刚开始的时候,计算机安全就是要确保硬件和软件的物理位置远离外部威胁,当时主要的安全威胁在于偷盗物理设备,对系统产品进行间谍和破坏等活动,此时的安全问题更多是物质安全的问题。而随着软件的逐步发展,计算机安全的非物理问题出现了。早在20世纪60年代,在两个系统管理员分别对消息目志文件和密码文件进行操作时,一个软件障碍混合了这两个文件,结果每个输出文件都打印出了整个密码文件。由此,非物理的计算机安全问题浮出了水面,由此单纯的计算机安全开始向信息安全演进。
信息是重要的资产,信息的保密性、完整性和可用性对维持相关机构的竞争优势、现金流动、盈利性、合法性和商业形象等至关重要。当前,信息系统正面临着来自各方面越来越多的安全威胁,如,计算机诈骗、间谍、阴谋、破坏和火灾或水灾等。特别是计算机病毒、黑客袭击和拒绝服务攻击等对信息系统的损害已变得越来越巨大;安全事件越来越普遍;安全保障的任务越来越艰巨;安全防护人员的业务水平要求越来越高。随着社会信息化步伐的加快,人们对信息系统和信息服务的依赖性也越来越强,这意味着信息系统更容易受到安全威胁的攻击,而且,一旦被攻击,造成的影响也就越来越大。公众网与专用网的互联互通,各种信息资源的共享,又加大了实现信息安全访问控制的难度。分布式计算的趋势,在很大程度上,减弱了集中式安全控制的有效性。很多信息系统在设计时都没有充分考虑安全问题。2004年美国计算机安全学会和联邦调查局进行的计算机犯罪及安全调查发现,在过去的12个月内,79%的机构(主要是大公司和政府部门)反映发现了计算机漏洞安全,54%的机构因为计算机漏洞遭受损失的金额超过1.41亿美元。发现未授权使用计算机的为53%。
总的来看,信息安全之所以产生和存在,是因为有两种类型的行为存在:(1)威胁;(2)攻击。
Whitman和Mattord(2005年)将“威胁”定义为“机构的人员、信息和系统面对的危险”,并将其分为12类,分别是:(1)人为过失或失败行为:授权用户无意或非恶意的行为;(2)损害软件所有者的知识产权;(3)间谍或蓄意入侵行为:未授权的人获得了机构尽力保护的信息的访问权;(4)信息敲诈行为:攻击者或内部工作人员从计算机系统中窃取信息,在获得赎金后,将信息返还或允许不泄密;(5)蓄意破坏行为:对网站的攻击;(6)蓄意窃取行为;(7)蓄意软件攻击;(8)自然灾害;(9)服务质量差;(10)技术硬件故障或错误;(11)技术软件故障或错误;(12)技术淘汰。
Whitman和Mattord(2005年)将“攻击”定义为“一种利用漏洞来破坏控制系统的行为。它由能够毁坏或者窃取机构信息或者物质资产的威胁代理来完成。漏洞是控制系统中已经标识出来的缺陷,但没有对缺陷进行控制,或控制不再有效”。攻击的主要类型有:(1)恶意代码;(2)后门;(3)密码破译;(4)拒绝服务;(5)伪装成入侵者向计算机发送信息,而该消息的IP地址表明消息来自于一台可信赖的主机;(6)中间人或者TCP劫持攻击;(7)垃圾邮件;(8)邮件炸弹,即攻击者向目标发送大量的电子邮件;(9)能够监视在网络上传输的数据的程序或设备,几乎可以嵌入到任何地方;(10)社交工程:使用社交技能欺骗人们,将访问证书或者其他有价值的信息泄漏给攻击者;(11)利用缓冲区溢出的错误,控制目标系统,造成损害;(12)通过探测Web浏览器缓存的内容进行定时攻击。
正是由于这两大类行为的存在,使得想要排他性地保持系统的原样,变得非常困难。为了防止这两大类行为对系统产生恶性影响,不得不支付除了建设系统之外的费用来维持其正常的运行。而因此所产生的需求则诞生了围绕解决信息安全问题的信息安全产业。
2.三大类型的市场需求
信息安全区别于其他信息技术的最大特点之一,是确使系统及其内容保持不变。对于信息系统的威胁和攻击是随着计算机应用水平的提高而日益广泛和深入的,因此除了从产业起源来看形成产业的基本条件外,从用户层次分析信息安全的市场需求则是挖掘信息安全产业特点的另一个基本条件。
Whitman和Mattord(2005年)认为,总的来说,对于一个用户而言,信息安全应执行并实现3种功能:
(1)确保在用户的IT系统上实现的应用程序能安全地操作。
(2)保护用户收集并使用的数据。
(3)保护用户系统运转的能力。
3.市场竞争产品
针对以上三大类型的信息安全需求,肖红跃(2004)认为目前市场上信息安全产品分为6种,分别满足不同层次的用户要求:网络安全产品类;应用安全产品类;信息安全基础设施类;终端保密产品类;密码芯片与密码模块类;前沿密码理论、密码算法与安全体系结构。
将市场上现有的产品与技术与相应的市场需求相匹配,在满足用户需求的三个层面上的产品及技术类型分别是如表1所示:
表1 产品和技术类型与用户需求匹配表
二、从产品演进历程看信息安全产业的发展态势
1.杀毒软件产品的演进揭示信息安全的外部依赖性
最早勾勒出病毒程序的是电脑的先驱者John Von Neumann在他的一篇论文《复杂自动装置的理论及组识的进行》里。1975年,美国科普作家John Brunner写了一本名为《震荡波骑士》的书,该书第一次描写了在信息社会中,计算机作为正义和邪恶双方斗争的工具的故事,成为当年最佳畅销书之一。1977年夏天,Thomas.J.Ryan的科幻小说《P-1的春天》描写了一种可以在计算机中互相传染的病毒。而差不多在同一时间,美国著名的AT&T贝尔实验室中,3个年轻人在工作之余,很无聊的玩起一种游戏:彼此撰写出能够吃掉别人程序的程序来互相作战。这个叫做“磁芯大战”(core war)的游戏,进一步将电脑病毒“感染性”的概念体现出来。 1983年11月3日,一位南加州大学的学生弗雷德·科恩(Fred Cohen)在UNIX系统下,写了一个会引起系统死机的程序,但是这个程序并未引起一些教授的注意与认同。科恩为了证明其理论而将这些程序以论文发表,在当时引起了不小的震撼。科恩的程序,让电脑病毒具备破坏性的概念具体成形。1985年,在《科学美国人》的月刊中,专栏作家A.K.Dewdney在讨论“磁芯大战”与苹果二型电脑时,开始把这种程序称之为病毒。从此称这种具备感染或破坏性的程序为“病毒”。从1987年第一个电脑病毒C-BRAIN诞生到最近广为传播的木马、蠕虫病毒,各种病毒创作与反病毒程序不断推陈出新,目前已经有两代的病毒及杀病毒软件产品。
第一代病毒是随着操作系统的升级而演变的,总的来说经历了以下3个阶段:(1)DOS时代的著名病毒:如耶路撒冷(或叫“黑色星期五”)、米开朗基罗(Michelangelo)、猴子(Monkey)、音乐虫病毒(Music Bug)等;(2)Windows时期的著名病毒:如宏病毒、CIH病毒等;(3)Internet时期的病毒,如蠕虫、木马等。
第二代病毒则是随着浏览器而传播的。为了方便网页设计者在网页上能制造出更精彩的动画,让网页能更有空间感,几家大公司联手制定出Active X及Java的技术。而透过这些技术,甚至能够分辨你使用的软件版本,建议你应该下载哪些软件来更新版本,对于大部分的一般使用者来说,是颇为方便的工具。但若想要让这些网页的动画能够正常执行,浏览器会自动将这些Active X及Java applets的程序下载到硬盘中。在这个过程中,恶性程序的开发者也就利用同样的渠道,经由网络渗透到个人电脑之中。
总结电脑病毒的演变可以勾画出以下示意图(见图1)。
图1 电脑病毒的演变层次
Lehman和Juan F.Ramil(2003)认为软件产品是通过理论层次和对现实问题观察和解决这两个层次的同时演进而不断升级完善的(见图2)
图2 对软件产品进化理论形成的一种认识
图2表明了软件产品是一种通过对现实问题的解决而形成并不断优化的产物。对于杀毒软件所代表的信息安全产品而言,这种由于现实问题存在才产生的特点则愈加显著,因此能够断言,信息安全产品具有很强的外部依赖性。区别于一般的为了满足自然条件下的生理或心理需求而产生并形成的为了满足自然需求的产品,信息安全产品不是一种自然产品,而是一种社会产品,是伴随着计算机和网络社会的产生和发展而形成的,因此对于这类社会产品特点和趋势的把握,就要从其所依赖的计算机和网络社会的特点去把握。
2.四代防火墙技术进化历程显示信息安全产业的主动防御趋势
防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,Internet防火墙服务也属于类似的用来防止外界侵入的。它可以防止Internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙具有五大基本功能:过滤进、出网络的数据,管理进出网络的访问行为,封堵某些禁止行为,通过防火墙的信息内容和活动和对网络攻击进行检测和告警。
Internet的迅猛发展,使得防火墙产品在短短的几年内异军突起,很快形成了一个产业:1995年,刚刚面市的防火墙技术产品市场量还不到1万套;到1996年底,就猛增到10万套;据国际权威商业调查机构的预测,防火墙市场将以173%的复合增长率增长,2007年底将达到150万套,市场营业额将从1995年的1.6亿美元上升到2006年的9.8亿美元。
纵观防火墙近年来的发展,可以将其划分为如下4个阶段(即四代):
第一代:基于路由器的防火墙;
第二代:用户化的防火墙工具套;
第三代:建立在通用操作系统上的防火墙;
第四代:将网关与安全系统合二为一的防火墙。
伴随着Internet的飞速发展,防火墙技术与产品的更新步伐必然会加强,从产品及功能上防火墙产品的动向和趋势可能是:
(1)从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。
(2)过滤深度会不断加强,从目前的地址、服务过滤,发展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤,并逐渐有病毒扫描功能。
(3)利用防火墙建立专用网是较长一段时间用户使用的主流,IP的加密需求越来越强,安全协议的开发是一大热点。
(4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。
(5)对网络攻击的检测和各种告警将成为防火墙的重要功能。
(6)安全管理工具不断完善,特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。
另外伴随着防火墙技术的不断发展,人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、VPN的功能与CA的功能、接口的数量、成本等几个方面。
与杀毒软件对于病毒发展依赖性的不同,防火墙的演进历程向研究者揭示的是信息安全产品的全面性和开放性特点。四代防火墙产品的演进路径是从简单单一的路控制到全面防范的过程。
第一代强调路控制,且由于信息在网络上是以明文方式传送的,所以黑客可以在网络上伪造假的路由信息欺骗防火墙,以进入网络内部。为了克服第一代路由器防火墙技术仅是网络安全的一种应急措施的弱点,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。但是由于第二代防火墙是纯软件产品,无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求,并带来配置和维护过程复杂费时,对用户的技术要求高,全软件实现,使用中出现差错的情况很多等问题,迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品,即第三代防火墙产品。第四代防火墙产品是融网关与安全系统为一体的,因此具有更广泛的防御外部威胁和进攻的能力。
防火墙产品所揭示的信息安全产业除了开放性和不断向全面防止攻击所演进的趋势外,还蕴含着一个非常重要的潜在趋势,及信息安全产品已经从依赖于威胁和攻击而进行被动防御,而开始向主动防御转变。
3.密码技术的发展标志信息安全的多学科交叉特征
从最初的加密通信发展到目前的网络信息加密,信息加密技术一直伴随着信息技术的发展而发展。作为计算机信息保护的最实用和最可靠的方法,信息加密技术被广泛应用到信息安全的各个领域。现代密码学的发展,是信息加密技术已经不再依赖于对加密算法本身的保密,而是通过在统计学意义上提高破解的成本来提供高加密算法的安全性。随着计算机网络不断渗透到各个领域,包括数字签名、身份鉴别、网络认证等由密码学派生出来的新技术和应用则随之扩大。王宝会(2006年)等认为,密码技术在信息技术领域要实现的基本功能包括:
(1)机密性:即仅有发送方和指定的接收方能够理解传输的报文内容,窃听者可以截获到加密了的报文,但是不能还原出原来的信息;
(2)鉴别:发送方和接受方都能证实通信过程所涉及的另外一方,通信的另一方确实具有其所声称的身份,即第三者不能冒充发送方和接收方,发送方和接收方都能对对方的身份进行鉴别;
(3)报文完整性:通信双方需要确保其通信内容在传输过程中没有改变;
(4)不可否认性:通信双方在受到通信对方的报文后,还要证实报文确实来自所宣称的发送方,发送方也不能再发送报文后否认自己发过报文。
密码学的发展历史大致为以下3个阶段:
第一阶段:这段时间的密码学更多是一种艺术,而不是一门科学。密码学专家常常是凭借直觉和信念来进行密码设计和分析,而不是推理证明。如最早应用替代的凯撒密码。
第二阶段:1949年Shannon发表的“保密系统的信息理论”一文为对称密码系统建立了理论基础,从此密码学成为一门科学。人们将此阶段使用的加密方法称为传统加密方法,其安全性依赖于密匙的秘密性,而不是算法的秘密性。1977年美国国家标准局正式公布实施了美国的数据加密标准(DES),公开它的加密算法,并批准用于非机密单位和商业上的保密通信,密码学的神秘面纱从此揭开。
第三阶段:1976年Diffie和Hellman的“密码学的新方向”一文导致了密码学上的新革命。他们首次证明了在发送端和接收端无密匙传输的保密信息是可能的,从而开创了公匙密码学的新纪元。密码学的踪影遍布数学许多分支,如数论、概率统计、近世代数、信息论、椭圆曲线理论、算法复杂性理论、自动机理论和编码理论等都可以在密码学中找到各自的位置。
因此,密码技术是多种学科和技术推动的综合产物。在集成这些多学科的同时,它的高科技性也得到了社会和市场的认同。
三、信息安全产业的发展呼唤信息安全测评
2004年,公安部公共信息网络安全监察局与中国计算机安全专业委员会共同举办了全国首次信息网络安全状况调查活动。在对7072家分布在政府、金融证券、教育科研、电信、广电、能源交通、国防和商贸企业等重要信息网络、信息系统使用单位的安全管理情况进行了调查后发现,2003年5月至2004年5月,有58%的单位发生过信息安全事件,其中遭受计算机病毒、蠕虫和木马程序破坏的情况最为突出,占安全事件总数的79%,垃圾邮件占到36%,拒绝服务、端口扫描和篡改网页等网络攻击情况占到总数的43%。其中发生网络安全事件比例最高的是教育科研(69%),交通运输(68%),互联网和信息技术(66%),制造(65%)等。调查表明,近年来使用单位对信息网络安全管理工作的重视程度普遍提高,80%的被调查单位有专职或兼职的安全管理人员,12%的组织建立了安全组织,有2%的单位请信息安全服务企业提供专业化的安全服务。瑞星公司发布的基于互联网的《2007上半年中国大陆地区电脑病毒疫情&互联网安全报告》也表明,信息安全已经日益成为一个影响到国民经济生产和生活的重要产业。在信息安全产品蓬勃发展,客户已经应接不暇的今天,如何量身定做地设定安全方案,并且适当地购买产品,服务于自身的信息安全需求,是一个逐步形成的市场需求,而这就需要专业的信息安全测评来满足。
信息安全测评即是信息安全风险评估,它是信息安全管理的基础和关键环节。通过开展信息安全风险评估,对网络和信息系统的资产价值、潜在的安全威胁、薄弱环节、防护措施等进行分析,可以发现信息系统中存在的主要安全问题,并找到解决这些问题的方法,有针对性的进行信息安全管理。虽然信息安全的风险不可能完全避免,但通过安全测评工作可以控制、化解和规避可能出现的风险。
信息安全风险评估是从风险管理角度出发,运用定性、定量的分析方法和手段,系统地分析信息和信息系统等资产所面临的人为的和自然的威胁,以及威胁事件一旦发生可能遭受的危害程度,有针对性的提出抵御威胁的安全等级防护对策和整改措施,从而最大限度地减少经济损失和负面影响。信息安全测评的主要概念有资产、资产价值、可用性、业务战略、机密性、信息安全风险、信息系统、检查评估、完整性、数据完整性、系统完整性、组织、残余风险、自评估、安全措施、安全需求、危险、脆弱性等。
信息安全风险测评的内涵包括,(1)信息安全建设和管理的科学方法:(2)分析确定风险的过程;(3)信息安全建设的起点和基础;四是建立一种适度安全的制度。
信息安全风险评估的两种方式是自评估和检查评估。以风险评估为核心的风险管理是一个可以在系统生命周期各主要阶段实施的重复过程。它涉及了信息系统生命周期的5个环节分别是规划阶段的风险评估、设计阶段的风险评估、实施阶段的风险评估、运行维护阶段的风险评估和废弃阶段的风险评估。
早在20世纪80年代,美、英、德、法等西方国家纷纷制定了本国的信息安全评测认证制度,并积极开展测评认证标准领域的合作。经过近20年的努力,终于在1999年5月形成了既考虑共同的技术基础,又兼顾各国信息安全主权的国际化标准,即信息技术安全性评估准则(简称CC),最终接纳为国际标准的为CC2.1版本。1997年,我国开始组织有关单位跟踪CC发展,在CC成为国际标准后,我国即着手制定对应的国家标准,并于2001年12月1日起正式实施信息安全的国家标准GB/T18336。后期,由国家信息中心信息安全研究与服务中心,国家保密技术研究所、中科院信息安全国家重点实验室等单位又联合起草了《信息安全风险评估指南》,作为指导信息安全测评工作的重要指导文件。
信息安全产业正在不断地发展完善中,就像IBM等重要的硬件厂商已经逐步转向以信息服务和咨询为主一样,信息安全产业中的服务和咨询也将逐渐成为产业的重要发展方向,而其中,以信息安全测评为起点的知识密集型服务则将是一个首先开启的领域。通过对信息安全产品的演进分析,我们得出了信息安全产业的外部依赖性、主动防御性和多学科交叉的产业特征和发展趋势,这也为信息安全测评的思路设计、标准运用和风险评估提出了更为深入的要求。除了标准要不断的完善和修订以适应快速发展的信息安全产业外,具体的信息安全测评工作要适度鼓励开展,为创造一个高效安全的信息化环境提供有力的保障。
目前我国的信息化建设在关键技术、关键设备上还受制于人,通过开展风险评测,运用专门的技术去检测、发现可能存在的后门和漏洞,是十分必要的防范措施。
信息安全等级保护工作(1)是国家对信息系统信息安全等级的强制性规定,信息安全评测工作是设定安全等级、评价等级、等级调整的重要方法和手段;通过信息安全评测工作可以确定信息系统所面临的威胁和自身的弱点,由此判断风险所在,为等级保护工作的定级提供依据。(2)评测工作可以对已有信息系统的安全等级保护情况进行评估,依据已确定等级的相关保护要求,对系统的保护效果、潜在风险进行评估,评估其是否到达了等级保护的要求。(3)当信息系统发生变更,可以通过风险评测工作了解和确定风险的变更,为等级保护措施提供依据。
对信息安全风险评测工作要注意防范几个误区:(1)风险评测存在着唯一正确的结果;(2)风险评测可以发现组织存在的任何信息安全问题;(3)风险评测是一劳永逸的事情;(4)风险评测就是漏洞扫描等。真正做到建立起信息安全“风险管理”的概念,解决信息安全问题,就是如何在组织内部成功地实施信息安全风险管理的问题。
