信息安全范式与数据安全
20世纪80年代,随着个人计算机大规模普及应用,人类社会信息化进入了1.0数字化阶段。在这一阶段,从关注计算机安全逐步发展到强调数字化信息的安全,传统信息安全范式随之产生。1998年5月,美国克林顿政府颁布《第63号总统决策指令》,相较于20世纪80年代美国《计算机安全法》,该指令将之前侧重的计算机安全扩展到信息安全。2002年12月,美国颁布《联邦信息安全管理法》,将“信息安全”界定为“保护信息和信息系统不受未经授权的获取、使用、披露、破坏、修改或者销毁”,以确保信息的完整性、保密性和可用性。保密性是指“维护信息获取和披露的授权限制,包括保护个人隐私和专有信息的方法”;完整性是指“防止不当的信息修改或破坏,包括确保信息的不可否认性和真实性”;可用性是指“确保信息的及时以及可靠的获取与使用”。由该定义可知,信息的可用性可以涵盖信息的可靠性。
可以发现,传统信息安全范式在定义信息安全时主要侧重信息自身安全,包括了三个基本要素:保密性、完整性和可用性。需要指出的是,我国关于信息安全的理解,一直以来既强调信息自身安全,又强调信息内容安全。信息内容安全是指信息的内容和传播,应该符合一国的价值观、意识形态和法律法规,不得损害国家安全和社会稳定。2015年1月,中国与俄罗斯等国向联合国提交新版《信息安全国际行为准则》,就强调“不利用信息通信技术和信息通信网络干涉他国内政,破坏他国政治、经济和社会稳定”等。笔者认为可以将信息内容安全的基本要素称为“正当性”。本文将信息自身安全称为“狭义的信息安全”,将信息自身安全与信息内容安全统称为“广义的信息安全”。
在信息技术环境下,“狭义的信息安全”往往与“数据自身安全”不加区分的使用。根据ISO/IEC信息技术国际标准的定义,数据是指“为便于交流、解释或处理,对信息的可再解释的形式化表示”,信息是指“关于客体(如事实、事件、事物、过程或思想,包括概念)的知识,在一定场景中具有特定的意义”。我国国家标准借鉴该国际标准定义,作出了类似的界定。可以发现,数据本身不强调对于人的意义,但信息则强调可以被人所认知和解读的意义。在信息和网络技术环境下,数据就是比特形式的数字化符号,而这种数字化符号则用于表示信息。此时,数据就是信息的载体,信息就是数据的内涵。因此,狭义的信息安全即信息自身安全,就是指作为信息载体的数据的自身安全。
文章摘自网络,如有侵权,请联系删除