1.4 理解信息安全、网络安全与网络空间安全
信息安全、网络安全和网络空间安全是近年来国内外非传统安全领域出现频度较高的词语,在各国的安全战略和政策文件、相应的国家管理机构名称、新闻媒体的文字报道、理论学术研究的名词术语中,以及在各类相关的活动用语中,这几个概念交叉出现,但逻辑边界并不清晰。以下依据近年来全球信息安全领域的文献资料,并结合与之相关的实践活动,对这些概念及其相互关系做初步探讨。
1. “信息安全”概念的起源
信息安全的实践在世界各国早已出现,但一直到20世纪40年代,通信保密才进入学术界的视野。20世纪50年代,科技文献中开始出现“信息安全”一词,至20世纪90年代,“信息安全”逐步进入各国和各地区的政策文献,相关的学术研究文献也逐步增加。总部设在美国佛罗里达州的国际信息系统安全认证组织将“信息安全”划分为10大领域,包括物理安全、业务连续和灾难重建计划、安全结构和模式、应用和系统开发、通信和网络安全、访问控制领域、密码学领域、安全管理实践、操作安全、法律合规和道德规划。可见“信息安全”概念所涉的范围很广,在各类物理安全的基础上包括了通信和网络安全的要素。据文献,1990年成立的德国联邦信息技术安全局(BSI)是“信息安全”出现在机构名称中较早的例子。1992年3月欧盟理事会通过了“关于信息系统安全领域的第92/242/EEC号决定”,这是欧盟较早的信息安全政策,也是“信息安全”一词出现在政策文件中较早的例子。1994年2月中华人民共和国国务院出台了第一部关于计算机信息安全的法规《中华人民共和国计算机信息系统安全保护条例》;1996年2月,法国成立了“法国信息系统安全服务中心”。以上法规或机构名称中均用到了“信息系统安全”。“信息安全”不仅成为机构和政策用词,也逐渐细化为专指某一领域或某一方面的信息安全问题。
进入21世纪,“信息安全”一词出现的范围不断扩大,在各类文献中出现的频次也不断增加,“信息安全”成为各国安全领域聚焦的重点,既有理论的研究,也有国家秘密、商业秘密和个人隐私保护的探讨;既有信息安全技术标准的制定,也有国际行为准则的起草。总之,信息安全已成为全球总体安全和综合安全最重要的非传统安全领域之一。
2. 对“信息安全”概念的理解
所谓“信息安全”也就是要保护“信息”的“安全”的意思,所以,要明确“信息安全”的概念,首先要理解什么是“信息”。我们举一个例子,你现在所读的这本书中包含着“信息”,那么,这里的“信息”指的是什么呢?指的是本书中每一页含有文字的纸张,还是指这些纸张上面的汉字,或是指纸张上这些文字依据作者的思路,按照特定顺序排列以后所包含的意思呢?很显然,我们说的“信息”是指这些文字按照一定排列组合后所包含的意思。因此“信息”是一个虚无缥缈的概念,它并不存在实体。
“信息”有一个特点,即它不能凭空存在,“信息”必须存在于一定的介质上,比如文字、纸张、计算机、光盘、U盘等都可以作为存储“信息”的介质,我们也把这些介质称为“信息资产”。“信息”会在各种“信息资产”之间流动,即进行信息的传播。同样的“信息”既可以存储在不同的信息资产上,也可以转换成电子数据。“信息”的另一个特征是它像人的生命一样,存在生命周期。“信息”的生命周期是指创建信息、存储信息、使用信息、转移信息以及销毁信息等过程。因此这也对我们保护“信息”提出了比较高的要求,我们需要针对“信息”在其生命周期过程当中的各个环节进行有效保护,才能够使得“信息”足够安全。
另外一个值得讨论的问题是,既然“信息”不能独立存在,需要依附在“信息资产”上才能够保存。那么,是不是所有的资产都有“信息”呢?实际上正是如此,物理世界中的所有资产都包含信息,例如桌子、板凳、椅子、电灯等,这些看似并不是很重要的东西其实也包含着信息。举个例子,会议室的会议桌包含什么“信息”呢?至少它包含桌子的长、宽、高、材质、特性等方面的“信息”。虽然对于坐在那儿开会的员工来说,这些“信息”的意义和价值不大,但是对于会议桌的生产厂商来说,却是有价值的信息。
所以所有物理资产都包含了“信息”,其区别的关键在于信息资产的价值大小有所不同。那么对于“信息安全”这个概念来说,我们要做的就是保护有价值的信息资产的安全,这也是“信息安全”保护的基本逻辑。也就是说我们首先要在组织范围内找出所有的信息资产,再在其中发现最有价值的信息资产部分,然后对这部分最有价值的信息资产进行全生命周期的保护,这样才能起到保护组织信息安全的作用。另外一个问题是,“信息安全”需要保护信息资产的哪些东西呢?根据ISO27001标准对“信息安全”的定义可知,要保护信息资产的“保密性、完整性和可用性”,这是“信息安全”被广泛认可的一种概念。我们一定要正确地理解“信息安全”的这样一个定义。所谓“保密性”是指信息不被泄露,“完整性”是指保护信息不被非授权篡改,“可用性”是指保护信息资产不被破坏,导致信息资产的不可用,或者业务系统的中断。
对不同的信息资产来说,它们对这“三性”保障的要求程度是不一样的。这个我们要深刻理解。哪些信息资产对“保密性”的要求最高呢?比如企业的机密、公司的账本、可口可乐的配方等重要的内部资料,这样的资料的保密性要求就非常高;那么什么样的信息资产对“完整性”的要求比较高呢?要保障信息不能被非授权篡改,比如在真实的工作场景中有一类数据起到了类似证据的作用,在保护这类信息、数据时,它的“完整性”要求就是最高的,比如我们日常工作的一些巡检记录、系统日志、发票单据等。那么哪类信息资产的“可用性”要求是最高的呢?这当然指的是信息系统这种类型的信息资产了。对于组织来说,业务系统和信息系统中流转的数据是最重要的,那么其“可用性”的要求也就是最高的。因此很多企业对IT运维的要求是满足全年系统运行的“可用性”指标,比如99.999%或者99.9999%。这代表这些系统必须全年无休,不允许长时间“宕机”,在一年365天的运行中只允许0.001%或0.0001%的时间中断。正确地理解“信息安全”概念中的这“三性”,才能有效地开展、推进安全建设的工作,才可以清晰地了解不同“信息资产”保护侧重点的不同。还有一个问题是,“信息安全”中只有这“三性”需要保护吗?当然不是!保障信息资产的保密性、完整性和可用性仅是当前对“信息安全”的定义,随着时代的变化,它也会发生变化,如真实性、不可抵赖性、可控性等属性,是未来需要进一步衍生的。又比如网络谣言问题、网络诈骗问题、安全可信问题等目前不属于这“三性”的范畴,但它们同样是信息安全需要处理的领域,有待在未来进一步拓展定义。
信息安全作为一个大的概念,也引申出了一系列相关的概念,如信息主权、信息疆域、信息战等。所谓信息主权是指一个国家对本国的信息传播系统和传播数据内容进行自主管理的权利,是信息时代国家主权的重要组成部分,由此也形成了“信息疆域”的概念,即与国家安全有关的信息空间及物理载体。信息战的概念则折射出信息安全与网络安全概念是前后相续和相互交织的。信息战的研究始于20世纪90年代初,1990年沈伟光的《信息战》一书问世,较早地提出了“信息战”的新概念,1994年温·施瓦图提出了“电子珍珠港事件”随时可能发生的警告。
3. 信息安全与网络安全、网络空间安全的联系与区别
随着全球社会信息化的深入发展和持续推进,相比物理的现实社会,网络空间所代表的数字社会在各个领域所占的比重越来越大,有的已经超过了半数,数量的增长带来了质量的变化,以数字化、网络化、智能化、互联化、泛在化为特征的数字社会给信息安全带来了新技术、新环境和新形态。相比传统信息安全主要体现在现实物理社会的情况,如今信息安全更多地体现在网络安全领域,反映在跨越时空的网络系统和网络空间,以及全球化的互联互通之中。
在20世纪60年代互联网发端之际,美国国防部高级研究计划署便将位于不同研究机构和大学的4台主要计算机互联起来。20世纪70年代,这样的互联进一步扩展至英国和挪威,逐步形成了互联网。20年后的1994年4月,中国北京中关村的教育与科研示范网通过美国公司接入互联网国际专线。随着互联网在全世界的普及与应用,信息安全便更多地聚焦于网络数字世界,网络带来的诸多安全问题成为信息安全发展的新趋势和新特点。在进入21世纪的10多年中,20世纪90年代广泛使用的“信息安全”一词已逐步与网络安全和网络空间安全并用,而网络安全与网络空间安全使用的频度不断增强,这在发达国家的文献中尤为突出。尽管“信息安全”至今仍然是人们常用的概念,但随着2002年世界经济合作与发展组织通过了关于信息系统和网络安全的指南文件,特别是在2003年,美国发布了网络空间战略的国家文件,“网络安全”和“网络空间安全”开始成为较“信息安全”更被社会和业界所聚焦和关注的概念,这些概念在理论研究和实践中也使用得更加频繁。
那么信息安全、网络安全和网络空间安全这三个概念,究竟应当如何理解并区分呢?
较之军事、政治和外交的传统安全而言,信息安全、网络安全、网络空间安全都属于非传统安全,是20世纪末至21世纪初以来人类所面临的日益突出的共同安全问题。三者都聚焦于安全,只是出发点和侧重点有所差别。信息安全使用最早,可以是线下和线上的信息安全,既可以指称传统的信息系统安全和计算机安全等类型的信息安全,也可以指称网络安全和网络空间安全,但无法完全替代网络安全和网络空间安全的内涵。网络安全可以指称信息安全或网络空间安全,但侧重点是线上安全和网络社会安全。而网络空间安全的侧重点是与陆、海、空、太空等并行的空间概念,并一开始就具有军事性质。
信息安全、网络安全与网络空间安全三者也有不同。它们对应的英文名称反映了三者的视角不同,“信息安全”对应的英文是“Information Security”,“网络安全”对应的英文是“Network Security”,“网络空间安全”对应的英文是“Cyber Security”或“Security in Cyberspace”。从三者对应的英文名称可以看出,信息安全所反映的安全问题基于“信息”,网络安全所反映的安全问题基于“网络”,网络空间安全所反映的安全问题基于“空间”,这正是三者的不同点。当然现在国内很多地方会把“网络空间安全”缩写为“网络安全”,这里的“网络安全”就是“Cyber Security”,而不是传统的“Network Security”了。
综上所述,信息安全、网络安全和网络空间安全这三者之间既有相互交叉的部分,也有各自独特的部分。信息安全可以泛指各类信息安全问题,网络安全可以指称网络所带来的各类安全问题,网络空间安全则特指与陆域、海域、空域、太空并列的全球五大空间中的“网络空间”安全问题。在新形势下信息安全必须注入网络的新要素,这揭示了互联网时代信息安全必须关注网络空间安全的新战略,论述了网络安全与信息化之间的紧密联系,为我们认识信息安全、网络安全和网络空间安全这三者概念的异同提供了新视野。