引子

幾天前，我去銀行辦事。在等候服務的時候，聽到身邊兩位老大媽在閑聊。一位胖老太抱怨現在銀行人多排隊，辦一次事得等一個多小時。另一位瘦老太鼓動她去辦理網上銀行，說用了網銀很多事情如繳費買基金炒股票就都可以坐在家里上網辦理，不必跑銀行了。胖老太就說聽人講網上銀行不安全，壞人能從網上把賬戶的錢劃走。瘦老太說，你領了證書就安全，而且一定要領移動證書，裝在一個小鑰匙里可以帶著走的。有了它只有你自己才能動帳戶里的錢，壞人是劃不走錢的，保證安全沒問題……

聽了她們的閑聊深感欣慰。連普通市民都知道了利用數字證書保障網銀的安全，說明CFCA(及其同行們)通過這幾年在安全認證領域堅持工作，辛苦耕耘，安全意識深入人心，成效顯著。

不過另一方面，若是把安全與數字證書完全畫等號也是不對的，信息安全有著更多更廣泛的內涵。我們不必苛求老大媽們，但我們作為保障信息安全的專業(yè)工作者，還是要站在一定的高度，對信息安全有更為全面地了解，才能更好地完成我們的使命。

本文試圖從鳥瞰的角度，對信息安全的全貌以及與安全認證的關系作一簡單介紹。

信息安全技術發(fā)展的歷史

自從人類進入計算機和通信的信息時代，信息安全就始終陪伴著IT技術的發(fā)展而發(fā)展。信息安全技術經歷了三個時代：數據安全時代、網絡安全時代和交易安全時代。其主要的發(fā)展規(guī)律是：后一發(fā)展階段是前一發(fā)展階段的繼續(xù)和擴充，前一發(fā)展階段為后一發(fā)展階段筑起了堅實的基礎。

1.數據安全

多年以前，在網絡還沒有充分發(fā)展的時代，數據安全是IT系統(tǒng)的基本安全要求，最基礎的安全構件是機密性、完整性和訪問控制。數據安全采用軍用型的保密安全策略，人員和數據必須劃分為不同的等級。而數據安全的等級劃分以授權的方式進行，這是屬于一種由官方保證的體系。因為數據安全以機密性為主，所以其基礎技術是密碼技術。

2.網絡安全

上世紀后期，網絡蓬勃發(fā)展，網絡安全成為開放網絡時代的基本安全要求。其最基礎的安全構件是保護、探測、報告與響應。網絡安全以完整性為主，所采用的基本技術是防火墻、VPN加密隧道、IDS入侵檢測/入侵防護、防病毒等，因此其基礎是防護技術。網絡是公共設施，一般不劃分為等級，只有兩種劃分方式：采取了防護措施(以防火墻保護的秘密因特網協(xié)議路由器網siprnet)或沒有采取防護措施(沒有防火墻保護的非保密因特網協(xié)議路由器網niprnet)。

3.交易安全

隨著互聯(lián)網在各行各業(yè)被越來越廣泛地應用起來，信息安全技術也發(fā)展到了第三階段——交易安全時代。網絡交易時代的最基本安全要求是交易的可信性，最基礎的安全構件是：主體可信性，客體可信性，行為可信性。交易安全就是對交易過程提供可信性證明的過程，因此其基礎是行為可信認證理論。

“交易安全”毫無疑問將是未來信息安全要考慮的主要內容。

在第三代安全技術的研究中，有兩個技術是關鍵的，一個是代理技術，第二個是認證技術。 在一個系統(tǒng)中，數據安全、網絡安全、交易安全可能并存，但各自采取不同的安全策略。

信息安全的構架

信息安全的構架應該由三個維度組成。

第一個維度是安全區(qū)域的劃分。

在信息安全保障系統(tǒng)將網絡和信息系統(tǒng)，按照重要程度和涉密級別，劃分為核心安全域、重要安全域、一般安全域等不同級別的安全區(qū)域，有針對性地提供安全保障，內容包括域內計算環(huán)境安全、域邊界與互聯(lián)安全、通信傳輸安全等方面。

第二個維度是信息安全的層次化結構，它包括了：

數據安全—針對數據存儲和使用過程的安全控制，包括數據安全存儲、數據備份和恢復等機制;應用安全—針對應用系統(tǒng)計算資源的安全控制，包括用戶認證、授權和訪問控制、應用數據加密、應用訪問審計等機制;系統(tǒng)安全—在系統(tǒng)軟件層面上的安全控制，包括系統(tǒng)配置管理、安全補丁管理、病毒檢測和防治等機制;網絡安全—在網絡通信層面上的安全控制，包括網絡隔離、網絡訪問控制、網絡管理、網絡監(jiān)控、網絡安全傳輸等機制;物理安全—包括信息資產所處的環(huán)境安全、設備和介質安全等機制。

第三個維度是信息安全的生命周期。

信息安全保障體系，是針對網絡和信息系統(tǒng)生命周期的各階段(系統(tǒng)設計、系統(tǒng)實現、運行維護等)，全程提供安全控制，既包括了針對安全事件的事先預防保護機制，也包括了安全事件發(fā)生時的檢測和響應機制，同時還包括了安全事件發(fā)生后的應急恢復措施，以達到安全保障的目標。這樣，三維架構的信息安全保障是層次化、全方位、全時空的，可以有效地防止和抵御各類攻擊和安全事件的發(fā)生。

圖1信息安全保障體系結構

信息安全保障的具體措施

下列幾項具體措施可以稱之為信息安全的利器：

◆防火墻。它在內部網絡與不安全的外部網絡之間設置障礙，阻止外界對內部資源的非法訪問，防止內部對外部的不安全訪問。主要技術有：包過濾技術，應用網關技術，代理服務技術。防火墻能夠較為有效地防止黑客利用不安全的服務對內部網絡的攻擊，并且能夠實現數據流的監(jiān)控、過濾、記錄和報告功能，較好地隔斷內部網絡與外部網絡的連接。實踐中常采用多極異構、雙機熱備的防火墻保護網絡邊界的安全;

◆入侵檢測系統(tǒng)(Intrusion Detection Syetem， IDS)。它通過收集和分析計算機網絡或計算機系統(tǒng)中若干關鍵點的信息，檢查網絡或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟件與硬件的組合便是IDS。嚴密部署網絡入侵檢測系統(tǒng)IDS以及病毒網關，能夠有效對來自外部網絡環(huán)境的網絡蠕蟲病毒和黑客攻擊行為進行檢測和響應;

◆根據不同的網絡通信介質環(huán)境，采用不同的加密設施和加密機制。如使用對稱密碼的加密機、使用公鑰密碼和對稱密碼的PKI/SSL安全傳輸等，有效地保護了通信傳輸安全;

◆采用基于PKI的數字證書認證機制以及第三方權威的認證中心的服務，除了能夠在交易發(fā)生時進行強身份認證外，還保證了交易信息的真實性、完整性、私密性和不可否認性;

◆在信息系統(tǒng)中部署單機版或網絡版的分布式殺毒系統(tǒng)，可以有效地遏制病毒危害;

◆采用VPN(Virtual Private Network)，即“虛擬專用網絡”技術。VPN的核心就是利用公共網絡建立虛擬私有網。它可以通過特殊的加密的通訊協(xié)議(如IPSec)，在連接在Internet上的位于不同地方的兩個或多個企業(yè)內部網之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，但是它并不需要真正的去鋪設光纜之類的物理線路。虛擬專用網可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸。

◆信息系統(tǒng)使用可靠的物理安全保護設施(機房環(huán)境、基礎設施、安全保衛(wèi)、通信鏈路等);

◆一整套安全策略、安全管理制度、操作規(guī)范以及周到的安全組織、安全審計、安全監(jiān)督

圖2信息安全保障的措施

網絡安全認證在信息安全中的地位

從上述信息安全保障體系架構中我們可以看到，網絡安全認證只是這個龐大復雜架構中的一個環(huán)節(jié)。認證是為了保障安全，但認證并不等于安全。信息系統(tǒng)的安全必須全方位、全時空、多層次地加以保護，才能達到目的。

當然，我們也同時看到，安全認證在信息安全，特別是交易安全中占有極其重要的地位。因為在處理互聯(lián)網的事務中最基本安全要求是交易的可信性，既包括交易主體的可信性，也包括交易客體(即交易內容)的可信性。所以我們在為眾多網上業(yè)務系統(tǒng)設計安全方案時，總是把安全認證作為信息安全保障的主要措施，放在方案的首位。

還有一點需要指出，安全認證與其他安全措施相互之間也具有互補的性質。就像打防御戰(zhàn)一樣，第一道防線被攻破了，還有第二道、第三道防線頂著。在網上銀行交易中，不法分子利用木馬程序竊取了客戶的口令、賬號等個人信息，這等于攻破了第一道防線，但是網銀系統(tǒng)如果采用了嚴格的數字證書認證機制，不法分子沒有用戶的數字證書，就無法進行轉帳交易，還是達不到竊取用戶存款的目的。

【編輯推薦】

1. 保障企業(yè)信息安全VLAN交換機選購分析
2. 中國信息安全大會會議背景