20世纪年代以前,人们认为信息安全就是通信保密,采用的保障措施就是加密和基于计算机规则的访问控制,这个时期被称为通信保密(COMSEC)时代,其时代标志是1949年Shannon发表的《保密通信的信息理论》。到了20世纪90年代,人们的认识加深了,大家逐步意识到数字化信息除了有保密性的需要外,还有信息的完整性、信息和信息系统的可用性需求,因此明确提出了信息安全就是要保证信息的保密性、完整性和可用性,这就进入了信息安全时代。
信息安全经历了(INFOSEC),其时代标志是1977年美国国家标准局公布的国家数据加密标准(DES)和1983美国国防部公布的可信计算机系统评价准则(TCSEC)。90年代后期到现在,认识进一步加深,信息安全在原来的概念上增加了信息和系统的可控性、信息行为的不可否认性要求,同时,人们也开始认识到安全的概念已经不局限于信息的保护,人们需要的是对整个信息和信息系统的保护和防御,包括了对信息的保护、检测、反应和恢复能力。于是出现了信息安全保障的概念:为了保障信息安全,除了要进行信息的安全保护,还应该重视提高安全预警能力、系统的入侵检测能力,系统的事件反应能力和系统遭到入侵引起破坏的快速恢复能力。区别于传统的加密、身份认证、访问控制、防火墙、安全路由等技术,信息保障强调信息系统整个生命周期的防御和恢复,同时安全问题的出现和解决方案也超越了纯技术范畴。由此形成了包括预警、保护、检测、反应和恢复五个环节的信息保障概念,即信息保障的WPDRR模型,信息安全进入信息保障时代,见图一所示。美国国家安全局制定的《信息保障技术框架》(IATF)则是这个时代的一个典型标志。
信息保障的核心思想是深层防御战略(Defense in Depth)。所谓深层防御战略就是采用一个层次化的、多样性的安全措施来保障用户信息及信息系统的安全。
如图二所示:
在深层防御战略(Defense in Depth)中,人、技术和操作是三个主要核心因素,要保障信息及信息系统的安全,三者不可或缺;从技术上讲深层防御战略体现为在包括主机、网络、系统边界和支撑性基础设施等多个网络环节之中如何实现预警、保护、检测、反应和恢复(WPDRR)这五个安全内容。
深层防御战略的含义是多方面的,它试图全面覆盖一个层次化的、多样性的安全保障框架。深层防御战略的核心目标就是在攻击者成功地破坏了某个保护机制的情况下,其它保护机制依然能够提供附加的保护。