劉鋒：技術達人秀3

清華同方電腦總工程師劉鋒

如果細分信息安全體系，這個體系在某些方面就類似于工廠的制造質量認證體系，包括設計端、制造端、檢測端等一系列制度體系。其中，最容易被忽視，但最不應該被忽視的就是體系出現(xiàn)問題后的反饋（包含檢討和改正）機制。只有擁有完善的反饋機制，信息安全體系才能被稱之為完整的體系。

從理論上講，反饋機制的存在意義是為了防范信息安全體系中可能出現(xiàn)的漏洞。在技術實踐中，出現(xiàn)安全問題可能性較大的環(huán)節(jié)是在信息的安全傳遞上。一般而言，信息傳遞的安全性主要與信息的加密手段和管控手段有關，其中，身份鑒別顯得尤為重要。

要保證信息安全，首先要確保信息內容本身是安全的。在信息傳遞過程中，如何管理和傳輸信息、如何將其準確無誤地傳到指定使用者的手中、信息使用者擁有何種權限所涉及的安全關口，便是身份鑒別。在實際操作過程中，身份鑒別具體涉及的領域包括信息在使用過程中操作的安全性以及使用者個人信息（包括個人隱私、身份數(shù)據(jù)、敏感信息等方面）的安全保護。

為了最大程度地維護信息安全，IT業(yè)界在硬軟件安全兩方面都采取了相應的技術手段（如加密機和加密軟件），通過加密和解密數(shù)據(jù)，既保證信息安全可靠，未被篡改地傳遞到正確的目的地，又保證信息在傳遞過程中免于出現(xiàn)泄露。

在預防攜帶信息的機器本身造成信息泄露方面，目前業(yè)界常用的技術方法是營造保密環(huán)境，比如建立具有電磁屏蔽功能的機房，防止電腦主機和顯示器通過電磁波泄露信息，又如在IT產品中放置加解密設備，通過安全密鑰非常規(guī)傳輸，即不走傳統(tǒng)的電話網、傳真、互聯(lián)網等電子方式傳遞。

傳統(tǒng)的信息傳遞方式在信息傳遞過程中都要經過很多跳躍的節(jié)點，而隨著信息技術不斷發(fā)展，通過這些電子途徑的信息代碼在經過這些節(jié)點時都是無法被使用者緊密控制的，很容易被還原成原始的數(shù)字信號。所以，這個環(huán)節(jié)并不夠安全。信息數(shù)據(jù)使用環(huán)節(jié)的安全性主要是指安全鑒別接收者身份，確保將信息傳到指定地點、指定終端機、指定使用者。

目前，如何保證信息能夠按照技術要求的特定方式安全傳遞，是擺在相關管理機構面前的重要課題。政府機關日常的信息安全流程重點是在信息重新被解讀后如何控制其再傳播。（梁爽）