一 安全信息系统不存在

1.1安全信息系统
    首先，什么是安全信息系统？简单地说，安全是指一种能够识别和消除不安全因素的
能力，安全的需求是人类的基本需求。信息系统则由通信网络、计算机及各种应用组成。
广义的信息系统是一个复杂的人机系统，大体可以分成三部分：硬件（通信网络、安全设
备和计算机）、软件（支撑软件和应用软件）和人员（开发、使用、维护和管理人员）。

    信息安全是信息系统的核心问题。信息系统的主要价值不在于组成信息系统自身的软
硬件资源，而在于它所承载，处理，传送的各种信息。然而对于信息安全这一概念，学术
界尚无统一的定义。信息安全的一般性定义必须解决保护信息资产的需要，包括信息和物
理设备（例如计算机系统）。信息安全随着人类社会文明的发展，其地位逐渐上升，今天
信息安全问题已经成为公众的社会福利问题。
    信息安全的三个基本属性是保密性，完整性和可用性。然而可用性没有数学模型，无
法从理论上证明。关于信息安全的大部分研究集中在保密性上，事实上这是一种偏见，原
因在于最初对信息安全的需求主要来自军方。就目前来说，完整性已经变得越来越重要。
随着互联网和电子商务的发展，又出现了不可否认性的要求。90年代人们又提出了可控性
。这样保密性、完整性、可用性、不可否认性和可控性构成了信息安全的五大基本属性。

1.2安全信息系统并不存在
    作者认为安全信息系统并不存在。只有在实际应用中相对安全的信息系统，没有绝对
安全的信息系统。绝对安全的信息系统不仅在应用中而且在理论上也不存在。现实世界的
任何系统都是一串复杂的环节，而复杂性是安全的最大敌人。安全措施必须渗透到系统的
所有地方，包括它的各个组成部分和相互之间的连接。其中的一些，甚至连信息系统的设
计者、实现者和使用者都不知道。因此，不安全因素总是存在的，没有一个系统是完美的
。没有哪一项技术是灵丹妙药，因为产品的安全不等于系统的安全。任何安全技术甚至是
人类自身都有局限性。另一方面，尽管信息系统不可能实现绝对的安全，但是我们可以综
合使用各种安全技术，保证系统达到某种水平，使得相对于正常的使用和部分突发事件来
说信息系统是安全的。可以从两个不同角度来看这个问题。
1.2.1从概念上说
   一 信息安全的概念没有边界，对于信息安全学术界至今没有一个公认的定义。信息安
全的基础理论无解（如程序的正确性难以证明）。
   二 信息安全的核心技术－密码学－没有理论安全性，只有计算安全性（例如，任何公
钥密码算法都基于数学难题）
   三 信息系统是为应用服务的，不需要绝对的安全性；信息系统是有成本的，超过其成
本的安全措施没有意义。
   四 复杂性是安全的最大敌人。信息系统作为一个复杂的系统，其安全性同样遵循木桶
原理。即系统的安全性取决于系统中安全性最弱的环节。
   五 信息安全问题不是确定性问题，而是带有随机性的问题。威胁源是变化的，安全事
件的发生是非预知的。概率始终贯穿于加密技术、计算机安全、风险评估、对策，安全风
险是一种概率，安全本身也是一种概率。
   六 信息系统的安全性包括保密性、完整性、一致性、可靠性、可用性等等，现实的系
统需要在它们之间一个合理的折中。
   七 目前的安全技术只是针对现有问题的某种形式的修补，还没有从根源上解决安全问
题。现在的大部分安全问题根源在于传统冯诺依曼结构和现有操作系统的不安全性，研究
中的可信计算正是以安全终端为目标的。
   八 安全理论与安全实践之间存在差异。在安全理论方面有大量重大的理论支持，却可
能输于实践的检验。理论安全需要很多完美的假设和条件，现实应用中这些都很难达到，
因此两者的安全是有差距的。
1.2.2从信息系统的组成上说
    一 硬件脆弱性
   系统硬件的物理安全无法百分百的保证, 地震、火灾等天灾人祸的发生不可预测，后果
同样不可预测，硬件的电磁辐射使得系统中的信息有泄漏的可能。硬件冗余和（异地）备
份策略减小了系统出问题的概率，但是无法杜绝这种可能性。另外建设一个信息系统需要
考虑可以承受的成本，超过成本的硬件安全保障方案是没有实用价值的。
    二 软件脆弱性
   信息系统中软件的安全无法保证。软件正确性难以证明，形式化验证只能提高软件的可
靠性。另外就算每个软件是安全的，也不能保证把它们组合在一起还是安全的。系统支撑
软件如操作系统无法做到绝对的安全。应用软件的安全性不但依赖于软件抽象模型也依赖
于具体实现。即使理论上正确的软件，由于当前主流程序设计语言固有的模糊性，很难证
明软件的编码确实实现了跟理论上同等的安全性。当前各种应用软件的缺陷和漏洞不断被
发现。谁也无法保证某个软件没有漏洞的存在。
   三 数据脆弱性
    计算机中的数据有其自身的特点。数据的复制轻而易举，而且可以做到与源数据完全
相同。数据可以被监听，被电磁辐射泄漏，已删除数据可能被恢复。如果知道数据的格式
，很容易修改数据，破坏其完整性。恶意修改可能导致数据不可用。
   四 交互脆弱性
   信息安全是人机系统，而人不可能不出错。人虽然具有软硬件没有的主动性，却也引入
了更多的不确定因素和出错的可能。系统软件的开发人员可能由于疏忽引入各种漏洞。系
统管理员对系统配置不当会大大降低安全性。一个信息系统，如果工作人员操作失误或者
未遵守相关的规定，一切保护措施都有可能失去预想的作用。黑客利用社会工程学的方法
骗取系统的用户名和密码就是一个很能够说明问题的例子。
1.3 可以接受的“安全”信息系统
    信息系统投入使用就意味着风险的存在。例如如果允许合法用户访问计算机或者网络
就存在着被误用的风险，一种流行的说法是只有与网络无连接并且被封闭地锁在一个安全
的地方的计算机，才是相对安全的。这种方法使得计算机保密性得到提高，降低了安全风
险，但也使得计算机的可用性降低，软硬件资源几乎等于浪费，很难实现建立系统的目标
。对于一个信息系统，需要自顶向下，从属性出发来确定系统的安全需求，分析其安全风
险，最终实现风险管理。
    虽然不存在绝对安全的信息系统，但是我们可以通过各种技术手段，实现信息系统的
相对安全，使得对于实际应用来说这样的安全性足够了。不是去尝试建立一个万无一失的
信息系统，而是建立一个采用各种安全措施之后，残余风险在可以接受的范围内的信息系
统。
     系统而合理的使用信息安全技术，是使信息系统的安全达到令人满意的水平的关键，使用
不切实际的技术手段，其后果是相当严重的：轻者，会导致使用过多的投资建立起毫无实
际意义的超高水平的保护体系，浪费财力，使用不便；重者，它会发出错误的报警信号，
干扰正常的工作，而对真正的入侵行为却不能及时发现。作为解决这一问题的重要举措，
风险评估理应得到我们的重视和合理使用，把安全当作一个过程来看待。从而，建立起一
个相对安全的信息系统。

Nsun 2004