信息安全基本概念（信息安全内涵与外延）

这些年随着众多安全标准的推广普及，人们对信息安全的认知慢慢趋向一致，到底什么是「信息安全」在安全行业内，已经没有什么太大的分歧与争论了。所以今天这一篇，针对信息安全内涵只是简单做一个总结，没有什么新的东西。在信息安全外延方面，根据近些年安全行业的发展，谈谈自己的一些感受。

信息安全保护的对象是信息资产，信息资产是对组织有价值的信息及其载体。信息本身是无形的，它的存在需要借助于各种载体，因此，保护信息很大程度上是保护信息载体。信息价值越高，承载信息的载体价值也越高，所以，同样的载体承载不同的信息，受保护的程度大不相同。

保护信息资产的安全，即保护信息资产的保密性（Confidentiality）、完整性（Integrity）和可用性（Availability），这三个安全属性的关系见下图：

保密性（Confidentiality）是保证信息不被非法获取，通俗的讲就是谁可以访问，谁不能访问，防止对信息未授权的访问；完整性（Integrity）是保证信息不被非法篡改，通俗讲就是谁可以修改，谁不能修改，防止对信息未授权的修改；可用性（Availability）是保证信息在需要的时候是可用的，通俗讲就是信息在什么时间可用，对谁可用，防止信息在业务需求的时候不可用。

信息安全CIA属性之所以使用天平图表示，因为天平的支撑以及天平的两端的平衡，能够很形象的表示三个属性的关系。在三个属性中完整性起到支撑作用，完整性出现问题（被篡改）后保密性、可用性可能不再有意义，比如口令被非法篡改后，口令的保密性也已经被破坏，同时口令也变得不再可用。而保密性和可用性则是一对平衡关系，保密性越强，可用性相对的会被削弱，可用性越强，保密性相对的也会被削弱。

另外，信息安全定义中防止「非法」泄漏、篡改与破坏，这里面的「非法」的含义是违反安全的保护规则，符合规则属于合法，违反了规则即是非法。所以，所谓的绝对安全是不存在的，安全保护是一个动态平衡的过程，在这个过程中保护规则是核心关键点，确定安全保护规则需要平衡业务需求与安全风险。

根据上述所讲的内容，可以看到信息安全是从结果进行定义的，也就是说不管什么原因导致的，只要信息资产的安全属性（CIA）被破坏，就属于信息安全的范畴了。信息安全这个特点，使得它外延在不断扩大，下面对此谈谈自己的一些感受。

首先，信息安全边界越来越模糊：最早信息安全仅仅关注信息资产免受威胁侵害，此时产生安全隐患的起因是信息资产，受影响的也是信息资产，这就是狭义的信息安全范畴。后来慢慢的发现，还有很多安全隐患起因并不是信息资产，而是其它领域出现隐患或问题导致的，信息资产只是受害者。信息安全的边界会越来越难以界定，甚至将来信息安全可能无法单独存在，而是逐渐成为业务或技术的一个重要属性。

其次，信息安全威胁越来越多变：信息安全是一种伴生技术，新的技术应用就会带来新的威胁，新的威胁驱动新的安全技术。随着互联网、云计算、大数据、区块链、5G、物联网新技术应用场景日益丰富，信息安全威胁也必然会越来越多变，而且绝大部分安全威胁是无法预知的，只能通过不断的总结经验教训，通过探索积累最佳实践。

最后，信息安全防御越来越被动：信息安全防御与攻击一直是非对称性的，攻击搞破坏找一个点入手很容易，安全防御建体系面面俱到周期长、见效慢。新的技术由于利益驱动，最早往往应用于安全黑产，信息安全防御能做到从容应对会变得越来越困难，或者所付出的成本会越来越高，道高一尺魔高一丈会越来越明显。

,