十一 结论

第三部分：结论

    不存在绝对安全的信息系统。理论上的安全性与现实使用的安全性之间差距巨
大。信息安全是动态的概念，存在某一时期相对应用来说足够安全的信息系统。安全的概
念应该拓宽，能够顺利完成预定目标和任务的系统就可以认为是安全的。
    在现实世界中，安全性涉及到过程，它涉及到预防性技术，也涉及到检测和反
应过程，以及一个完整的追查和监控犯罪的侦查机制。安全性不是产品，它本身是一个过
程。要使我们的数字系统安全，就必须完整构建这个过程。同时可以认为，这样一个过程
是随着技术的发展不断循环，永无止境的。
    安全信息系统的各个方面都有自身的问题，没有一种技术是完美无缺的，安全
技术和入侵技术都在不停的发展过程中。人有局限性，技术也有局限性，但是人们对于信
息安全的追求没有止境。
    复杂性是安全的最大敌人，而信息系统是复杂的。简单的技术往往能取得出人
意料的效果，甚至有一种技术上的美感。单独的技术不可能满足系统的所有需求，综合各
种不同技术，构建一个具有相对安全性的系统是可能的。
    所以必须坚持积极防御方针，从源头进行防范，开发安全操作系统，可信计算
机系统等。这方面还有很多的工作要做。
    重视风险评估的作用。以风险评估来指导安全信息系统的建设，从系统设计之
初就考虑系统的风险模型和风险管理，选择适合系统安全需求的安全措施，从而建立起一
个建设成本和残余风险都可以接受的信息系统，完成系统预定的建造目的。
    信息系统必须始终重视人的作用。系统的开发、使用、维护、管理都体现了人
的作用。人是第一位的，技术是第二位的。发挥人的主观能动性可以部分弥补当前的系统
在人工智能方面的不足。同时要看到人的局限性。

参考文献：
1、《应用密码学》 (第二版)                         Bruce Schneier
2、《网络信息安全的真相》                          Bruce Schneier
3、《操作系统安全导论》                            卿斯汉 刘文清 刘海峰
4、《密码编码学与网络安全---原理与实践》（第三版） William Stallings
5、《序列密码的设计与分析》                        吕述望 范修斌 周玉洁
6、《Security in Computing(Third Edition)》      Charles P.Pfleeger   Shari Lawrence Pfleeger
7、《网络安全原理与技术》                          冯登国
8、《网络安全技术概论》                            南湘浩
9、《加密与解密》（第二版）                        段钢