信息安全范式与数据安全

20世纪80年代，随着个人计算机大规模普及应用，人类社会信息化进入了1.0数字化阶段。在这一阶段，从关注计算机安全逐步发展到强调数字化信息的安全，传统信息安全范式随之产生。1998年5月，美国克林顿政府颁布《第63号总统决策指令》，相较于20世纪80年代美国《计算机安全法》，该指令将之前侧重的计算机安全扩展到信息安全。2002年12月，美国颁布《联邦信息安全管理法》，将“信息安全”界定为“保护信息和信息系统不受未经授权的获取、使用、披露、破坏、修改或者销毁”，以确保信息的完整性、保密性和可用性。保密性是指“维护信息获取和披露的授权限制，包括保护个人隐私和专有信息的方法”；完整性是指“防止不当的信息修改或破坏，包括确保信息的不可否认性和真实性”；可用性是指“确保信息的及时以及可靠的获取与使用”。由该定义可知，信息的可用性可以涵盖信息的可靠性。
可以发现，传统信息安全范式在定义信息安全时主要侧重信息自身安全，包括了三个基本要素：保密性、完整性和可用性。需要指出的是，我国关于信息安全的理解，一直以来既强调信息自身安全，又强调信息内容安全。信息内容安全是指信息的内容和传播，应该符合一国的价值观、意识形态和法律法规，不得损害国家安全和社会稳定。2015年1月，中国与俄罗斯等国向联合国提交新版《信息安全国际行为准则》，就强调“不利用信息通信技术和信息通信网络干涉他国内政，破坏他国政治、经济和社会稳定”等。笔者认为可以将信息内容安全的基本要素称为“正当性”。本文将信息自身安全称为“狭义的信息安全”，将信息自身安全与信息内容安全统称为“广义的信息安全”。
在信息技术环境下，“狭义的信息安全”往往与“数据自身安全”不加区分的使用。根据ISO/IEC信息技术国际标准的定义，数据是指“为便于交流、解释或处理，对信息的可再解释的形式化表示”，信息是指“关于客体（如事实、事件、事物、过程或思想，包括概念）的知识，在一定场景中具有特定的意义”。我国国家标准借鉴该国际标准定义，作出了类似的界定。可以发现，数据本身不强调对于人的意义，但信息则强调可以被人所认知和解读的意义。在信息和网络技术环境下，数据就是比特形式的数字化符号，而这种数字化符号则用于表示信息。此时，数据就是信息的载体，信息就是数据的内涵。因此，狭义的信息安全即信息自身安全，就是指作为信息载体的数据的自身安全。


文章摘自网络，如有侵权，请联系删除