在短短不足二十年的时间内,计算机网络以惊人的速度渗透到人类社会各个层面,人类已经全面地跨入了信息化、网络化时代。信息与网络正以前所未有的方式悄然改变着人们日常生活的组织方式、经济的运作方式以至国家安全的保障方式。
在这个信息化的时代,任何受计算机驱动的系统都可能遭遇到入侵与破坏,由此可以得出一个可怕的信号——任何保存有敏感信息的计算机系统一旦遭遇入侵和破坏,则会对国家、集体或个人利益带来灾难性的损失。因此,信息安全受到了越来越高的重视。
安全,就是在寻求平衡
那么,什么才能叫做信息安全呢?
简单地说,在网络环境里的安全指的是一种能够识别和消除不安全因素的能力。换言之,抵御不安全事物的能力就是安全。
安全的一般性定义要求必须解决保护单位财产的需要,包括敏感信息和物理设备(例如计算机本身)。
而信息安全的负责人必须决定谁有权在什么时候,在具体的设备上进行怎样的操作才算是合适的。当涉及到单位内部安全的时候,还得知道,在部门与部门之间,所谓“合适操作”的定义都是不同的。任何一个具有网络的单位都必须具备解决适宜性、从属性和物理安全问题的安全政策。
那么,百分之百的安全是否就真的存在呢?曾经有专家开玩笑说,只有绝对跟网络没有任何连接,而又被锁在一个很安全的地方(并且将钥匙扔掉)的计算机,才能叫做一台安全的计算机。
由此我们可以看出,所谓的“安全”,只是一个相对的概念。绝对的“安全”,所带来的是绝对的“不可用”。安全,就是在寻求平衡。我们想要的安全,就是使用有效而不会给那些真正想要取得信息的用户以增加多余的负担。一旦你所提出的安全方案过于繁杂,用户便会对这一系列的安全措施产生厌烦心理,从而自己对这些安全措施产生规避,这就导致安全体系从内部被突破,黑客便会通过用户们有意无意的规避行为进行入侵。因此,拥有一个过分繁杂的安全政策将导致比没有安全政策还要低效的安全。