信息安全
信息安全是计算机科学中一个具有悠久历史的领域。甚至在任务批处理大行其道的时代,用户就开始关注存放于计算机中的数据的安全问题。计算机是否存放在一个物理安全的地方?在一个新的任务被装载前,存储器是否已被清空?操作者的错误或硬件失效是否会导致数据的丢失?
1960年左右,随着第一代多道程序分时系统的出现,操作系统的设计者就已经对信息保护问题有了深刻的实践认知。他们设计出各种方式对主存储器进行分区,从而保证不同程序的代码和数据不会混淆在一起。这其中,虚拟存储器是最复杂的一种机制。他们发明了分层文件系统,使得用户可以真正地管理他们的文件,并设定其他用户对这些文件的访问权限。他们发明了密码系统以避免未经授权的用户使用计算机。他们构造了多种结构,以避免特洛伊木马或其他恶意软件对系统和数据的干扰和破坏。他们发明了多种访问控制机制,使得机密信息无法写入公共文件中。他们创建了针对计算机操作者的各种操作策略,以保护数据和防范入侵。自1970年以来,人们已经广泛认识到,保证信息的安全是操作系统设计者一项责无旁贷的任务(Denning 1971,Saltzer and Schroeder 1975)。
20世纪70年代的ARPANET、80年代的Internet、90年代的万维网(World Wide Web)提供了一种世界范围的信息共享网络,也使得信息的丢失或偷盗成为一个更加现实的问题。密码系统在信息安全和身份验证中承担了核心角色(Denning 1982)。设计者在实践中遇到并应对各种问题,比如:数据库记录保护、密码保护、基于生物信息的用户验证、反入侵保护、入侵检测、病毒/蠕虫/恶意软件的防范、多层安全系统、信息流管理、匿名事务、信任分级准则、数据恢复等。法律实践专家开始遇到越来越多的针对计算机系统的犯罪行为,并开始唤醒每个人对个人信息重要性的认识。然而,很少有人认真对待这个问题。为了能够更快地交付新的系统,很多开发者开始降低对信息安全的重视程度。他们认为,等到信息安全问题真正出现后再亡羊补牢,也未为迟也。这种观点注定是错误的。大量可被轻易入侵的系统出现在重要的业务活动中,这些系统缺乏对信息保护的系统性考虑,因而对各种(善意、恶意或无意的)操作采取了宽松容忍的策略。
随着越来越多的金融数据、人事数据、个人隐私数据以及公司数据被存储在可在线访问的计算机中,对这些数据的恶意入侵行为出现了极大地增加。安全专家已经开始担忧信息战争的可能性(Denning 1998)。隐私专家则向公众奋力疾呼保护个人隐私数据的重要性,这关系到我们每个人的基本自由(Garf?inkel 2001)。在1999年,公众开始普遍担心“千年虫”问题有可能导致网络的崩溃,这个问题产生的原因是在计算机中一个年份数据被存储为两位而不是四位十进制数。自此以后,人们开始关注到信息网络的脆弱性问题以及保证信息安全的重大挑战。多国专家开始忧虑大规模的信息攻击行为有可能导致世界经济甚至人类文明的毁灭(Schneier 2004,2008,Clark 2012)。
