這些年随着衆多安全标準的推廣普及，人們對信息安全的認知慢慢趨向一緻，到底什麼是「信息安全」在安全行業内，已經沒有什麼太大的分歧與争論了。所以今天這一篇，針對信息安全内涵隻是簡單做一個總結，沒有什麼新的東西。在信息安全外延方面，根據近些年安全行業的發展，談談自己的一些感受。

信息安全保護的對象是信息資産，信息資産是對組織有價值的信息及其載體。信息本身是無形的，它的存在需要借助于各種載體，因此，保護信息很大程度上是保護信息載體。信息價值越高，承載信息的載體價值也越高，所以，同樣的載體承載不同的信息，受保護的程度大不相同。

保護信息資産的安全，即保護信息資産的保密性（Confidentiality）、完整性（Integrity）和可用性（Availability），這三個安全屬性的關系見下圖：

保密性（Confidentiality）是保證信息不被非法獲取，通俗的講就是誰可以訪問，誰不能訪問，防止對信息未授權的訪問；完整性（Integrity）是保證信息不被非法篡改，通俗講就是誰可以修改，誰不能修改，防止對信息未授權的修改；可用性（Availability）是保證信息在需要的時候是可用的，通俗講就是信息在什麼時間可用，對誰可用，防止信息在業務需求的時候不可用。

信息安全CIA屬性之所以使用天平圖表示，因為天平的支撐以及天平的兩端的平衡，能夠很形象的表示三個屬性的關系。在三個屬性中完整性起到支撐作用，完整性出現問題（被篡改）後保密性、可用性可能不再有意義，比如口令被非法篡改後，口令的保密性也已經被破壞，同時口令也變得不再可用。而保密性和可用性則是一對平衡關系，保密性越強，可用性相對的會被削弱，可用性越強，保密性相對的也會被削弱。

另外，信息安全定義中防止「非法」洩漏、篡改與破壞，這裡面的「非法」的含義是違反安全的保護規則，符合規則屬于合法，違反了規則即是非法。所以，所謂的絕對安全是不存在的，安全保護是一個動态平衡的過程，在這個過程中保護規則是核心關鍵點，确定安全保護規則需要平衡業務需求與安全風險。

首先，信息安全邊界越來越模糊：最早信息安全僅僅關注信息資産免受威脅侵害，此時産生安全隐患的起因是信息資産，受影響的也是信息資産，這就是狹義的信息安全範疇。後來慢慢的發現，還有很多安全隐患起因并不是信息資産，而是其它領域出現隐患或問題導緻的，信息資産隻是受害者。信息安全的邊界會越來越難以界定，甚至将來信息安全可能無法單獨存在，而是逐漸成為業務或技術的一個重要屬性。

其次，信息安全威脅越來越多變：信息安全是一種伴生技術，新的技術應用就會帶來新的威脅，新的威脅驅動新的安全技術。随着互聯網、雲計算、大數據、區塊鍊、5G、物聯網新技術應用場景日益豐富，信息安全威脅也必然會越來越多變，而且絕大部分安全威脅是無法預知的，隻能通過不斷的總結經驗教訓，通過探索積累最佳實踐。

最後，信息安全防禦越來越被動：信息安全防禦與攻擊一直是非對稱性的，攻擊搞破壞找一個點入手很容易，安全防禦建體系面面俱到周期長、見效慢。新的技術由于利益驅動，最早往往應用于安全黑産，信息安全防禦能做到從容應對會變得越來越困難，或者所付出的成本會越來越高，道高一尺魔高一丈會越來越明顯。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!