信息安全：從4A到4R林潤輝 謝宗曉

（南開大學商學院）

信息安全：從4A到4R林潤輝 謝宗曉

（南開大學商學院）

信息安全包含信息自身的安全、信息系統的安全及信息安全/信息系統安全引發的傳統安全三個層次的內涵。信息技術和網絡技術改變了人的思考方式和行為模式，改變了安全管理中技術與管理的角色。提高信息安全需要打造信息安全研究與實踐的知識價值鏈。

信息安全 傳統安全 信息系統 知識價值鏈

信息安全管理系列之四

網絡的普及為信息安全帶來了嶄新的視角和前所未有的挑戰。在信息技術發展日新月異的背景下，信息安全內涵結構的搭建，信息安全研究價值鏈的明確，都會為信息安全的理論研究和實踐探索打下堅實的基礎。本文對4A（Anytime Anywhere Any type of information to Anybody）的信息化時代，如何實現4R（Right information to Right people at Right time in Right place）的信息安全進行了重新思考。

謝宗曉（特約編輯）

信息，一個事物的本質，不確定性的削減，具有特定含義的數據；安全，一種狀態，一種風險控制的客觀狀態，或者一個主體預期的狀態。今天信息技術高度發展，使得4A（Anytime Anywhere Any type of information to Anybody）成為可能，但是實現4R（Right information to Right people at Right time in Right place），面臨新的挑戰。信息時代，4A不再是夢想，但我們的目標是實現4R，信息技術的發展使得我們不斷接近這個目標；信息安全問題就是錯誤的人在錯誤的時間、地點發布或者獲得錯誤的信息，并導致一定的后果。今天，信息技術和網絡技術讓信息安全問題更加“復雜”。

1 信息安全內涵的三個層次

1.1 第一個層次——信息（自身）的安全（Information Safety, IS-1）

信息安全問題自古就存在，早于現代信息技術，如過去對于藏寶圖的爭奪，以及“蔣干盜書”等通過信息誤導，削弱曹軍戰斗力等都是信息（自身）安全問題的例子?，F在，我們將信息視為資產，它對于正確決策、企業競爭、戰爭勝負至關重要。要提高信息的安全性，需要采取一些措施，被動措施包括藏匿、鎖閉、人工守衛看管、以及加密信息，主動措施包括釋放假的情報等，進行基于信息安全的博弈。從而實現信息自身安全，以及由于信息安全帶來的組織安全。

今天，信息化和全球化時代，信息成為組織的戰略性資源，信息安全更加重要；尤其是對于那些信息密集型組織，如輕資產公司，信息成為戰略核心資源，信息安全是組織生存、發展、創新之根本；所以，在物聯網、互聯網和社會網絡互動的時代，即時產生海量信息，信息質量需要鑒別，過載信息、虛假信息、無關信息、過時信息無處不在，這些信息自身就有安全問題。

同時我們也應看到，信息技術強化了信息自身的安全：加密、身份認證鑒別、電子簽名、數字時間戳、安全協議、系統和軟件管理、防火墻等，成為了（數字化）信息的防盜竊、防偵聽、防冒用、防抵賴、防篡改、防止時間糾紛的利器；分布式存儲以及鏡像、備份使得信息避免災險損害；傳感器等提高了信息采集質量；數據庫提高了數據的組織、管理、訪問、授權安全，數據倉庫及其挖掘技術提高了對于數據的清洗和管理能力，并可以在信息安全的基礎上進一步發揮信息的價值；這些是信息技術對于信息本身安全積極影響的主流。

當然，廣泛使用的信息技術、網絡技術，也使得組織產生了對于信息技術、信息系統的高度依賴性，導致信息攻擊的目標更加集中，使得攻擊的物理距離變得無足輕重，攻擊可以無處不在，所以也帶來了信息自身安全的風險。也就是說日益普及的信息技術和信息系統使得組織對于信息的管理過度依賴信息系統，信息系統的安全可能會影響信息本身的安全。這個問題確實存在。

1.2 第二個層次——信息系統的安全（Information Systems Security, IS-2）

信息系統是信息采集、加工、存儲、組織、管理、傳播的工具，是信息處理的硬件、軟件、網絡支撐體系的集合；信息系統的安全直接導致信息的安全；信息系統安全包括計算機、服務器、傳感器、網絡設備、移動終端等設備的硬件安全，也包括操作系統、數據庫、應用系統等的軟件安全，還包括整體的網絡安全；上述信息系統的安全影響它管理、運行的信息自身的安全。比如組織信息集中管理之后，異地備份之前，火災、地震等災險導致了一些銀行、證券公司服務器、數據庫損害，造成核心信息丟失，財產損失，甚至公司破產；“911”等危機事件也造成世貿中心眾多公司核心數據損毀，形成不可估量的損失；最近（2014年11月10日）美國互聯網安全企業發出警告，某品牌智能手機、平板電腦等產品的操作系統存在漏洞，黑客能夠誘使用戶給正版軟件“升級”，實則以冒牌軟件取代用戶原本安裝的正版軟件，從而盜取關鍵的用戶數據。信息系統的安全也導致和信息系統高度嵌入、連接的其他物理世界業務系統的安全，如基于網絡的全球金融系統安全，股票交易系統安全，直接影響對象的財務安全；地鐵、航空、交通系統直接影響交通秩序甚至生命安全。

1.3 第三個層次——信息自身安全、信息系統安全（或者通過信息自身安全）引致的傳統安全（Traditional Security derived from IS-1 and/or IS-2, IS-3）

其表現為傳統的生命、財產安全，行業關聯的生產安全、交通安全、金融安全，乃至國家、社會安全等。

網絡攻擊、無人機的應用，使得網絡戰、信息戰成為新升級的戰爭模式，致使信息自身的安全直接影響生命、財產安全，乃至國防安全；公司的信息安全直接影響決策準確性，以至公司興衰；地震預報信息、謠言等直接影響民眾情緒和公共秩序與安全；信息系統深度嵌入業務系統，金融信息系統不安全，會導致銀行系統崩潰，引致財產安全和社會混亂；交通信息系統故障，會導致交通事故，引致生命、財產安全；電網信息系統問題，會形成能源事故，引致社會運行癱瘓。

當然，各類信息系統也通過對于信息的管理強化了組織的傳統安全，如防火警報系統提升了防火安全，傳感器、視頻監控提高了有形財產安全的等級，瓦斯傳感器和煤礦爆炸預警系統提高了采掘作業的生產安全能力。

以上信息安全的三個層次相互關聯、相互影響，形成了信息安全管理的核心和分析基礎。

2 信息安全管理面臨的新挑戰

信息技術改變了安全管理中技術與管理的角色，因為信息技術改變了人的思考方式和行為模式。

2.1 信息技術改變了人們對于安全的理解

隱私（涉及個人信息安全）的邊界在模糊和變化；公司組織對于專利等知識產權的理解在發生變化，在保護知識產權的同時，提出了反專利權濫用運動，甚至一些公司利用信息、數據公開，通過開放式創新去獲取信息共享收益。自由軟件運動、開源運動 （開發源代碼促進會），共享知識產權運動等也屬于此類。

2.2 信息技術影響安全管理的手段和效果

安全管理可以從技術層面和管理層面入手，傳統安全管理包括人防（制度、管理手段）和技防（技術手段），信息安全涉及的安全對象“信息”直接和人的意識、決策和行為相關，信息安全涉及的技術支撐“IT和IS”是信息安全的技術支持和技術載體，這使得信息安全管理需要重新考慮人防與技防的關系，人、組織、制度、技術對于信息安全的影響更加“復雜”，厘清他們的影響機理更具有挑戰性。所以，對于信息安全的研究，要回到人、信息、安全、信息技術的本源，因為信息技術改變著人與信息的關系，信息又影響著人對安全的認識，甚至在某些領域安全方面，交給機器可靠，還是交給人可靠的問題，信息安全領域的人機分工問題，都引起了新的討論。

3 信息安全研究與實踐的知識價值鏈

鑒于信息安全的多個層次及其相互影響，以及信息時代，人、信息、安全、制度、技術的內在聯系，信息安全成為一個更具魅力的研究和實踐領域，等待我們去探索。

3.1 建立信息安全的系統模型

系統模型包括信息安全問題的誘因、信息安全的三層次內容（對象），以及信息安全的主體（對于誰的安全）。

如上分析，信息安全有三個層次：信息（自身）的安全;信息系統的安全，信息系統安全導致的信息安全;信息安全和信息系統安全引致的傳統（生命、財產、物質、社會、心理）安全。

信息安全問題的誘因包括環境因素和人的因素，環境因素需要區分是災險還是其他不可抗力；人的因素比較復雜，需要區分惡意動機，還是無意的行為導致安全問題。惡意又包括盜竊、破壞、攻擊行為引發的信息安全，無意行為則包括違規，以及無知和無意識。針對不同的誘因需要不同的信息安全管理措施。

還要考慮信息安全承受主體的因素，即誰是信息安全定義主體和信息安全問題后果的承受主體，這可以是國家、政府、包括企業在內的各類組織，以及個人，從這個角度分為國家信息安全、領域信息安全、企業（組織）信息安全以及個人信息安全（如隱私）等；信息安全效果可以分為客觀安全如規范安全、實質安全、規律安全以及承受主體的主觀安全，如感知安全。

信息安全的系統模型可以幫助我們識別信息安全的目標、邊界，要素及其關系，從而從利益相關者、過程等角度設計管理機制，實現信息安全目標。

3.2 研究信息安全的利益相關者模型和過程模型

以企業信息安全為例，需要回答哪些主體是信息安全的利益相關者。首先哪些是信息安全的誘發主體，如攻擊者、黑（駭）客、竊密者；哪些是信息安全外部積極主體，如監管者、信息安全服務提供者；哪些是內部利益相關者，包括信息安全的承受主體、企業法人以及責任者，如企業首席執行官（CEO）、首席信息官（CIO），還包括IT部門、信息安全部門、業務部門，直至各位員工；進一步分析是誰誘發信息安全問題？誰承擔后果或責任？誰設計制度、采取措施？誰引入、開發技術去管理信息安全？信息安全目標如何受到內部主體的影響和多大程度受到外部監管主體（政府、上層組織、集團總部、行業協會）的影響？不同組織信息安全的利益相關者的角色和影響機理不同，也展現了信息安全多彩的現實圖景。

信息安全實踐的多樣性、復雜性，要求我們進行信息安全的系統研究，這需要廣大同仁的共同努力，打造信息安全研究與實踐的知識價值鏈。

3.3 信息安全相關基礎科學的研究

研究內容包括信息、安全、信息安全、信息安全管理的內涵和本質，尤其具有挑戰性和深意的研究課題包括：信息技術和信息安全的關系，信息和安全的關系，信息與安全感知的關系，信息安全三個層次內涵間的關系，是否各類引致安全都源于本質上的信息安全？信息安全是否是其他安全的基礎？以及跨層次的信息安全及其傳遞問題，等等。

（1）信息安全知識和規律方面

我們需要關心信息安全尤其是組織信息安全管理的知識基礎，信息安全管理是一個制度問題、技術問題，還是綜合問題，這似乎達成了共識；是一個治理問題（信息權的制度設計和實施），還是管理問題，需要進一步探討；我們可以向密碼學、犯罪學、醫學、學習理論、安全科學借鑒什么？同樣通過信息安全的研究我們可以給相關領域做出什么理論貢獻？

（2）信息安全（最佳）實踐和標準方面

信息安全管理也是一個實踐總結提升的過程，需要結合科學和規律研發信息安全標準和規范，基于此，信息安全標準得以推廣；產業層面進入制度、管理、技術創新擴散周期，企業組織進入信息安全制度、信息安全技術規劃—引進—實施—改進的循環，如此往復，推動信息安全管理、技術標準的不斷成熟和演進。

全球范圍內，信息安全領域面臨新的挑戰。我國信息技術進入應用的關鍵階段，信息安全問題及其重要性日益凸顯。迫切需要各界攜手共同打造信息安全管理的知識價值鏈，通過信息安全知識、信息、經驗、最佳實踐共享，將信息安全管理研究和實踐探索結合起來，推動中國信息安全的進步，推動信息安全從4A到4R的發展。

Information Security: from 4A to 4R

Lin Runhui Xie Zongxiao
( Business School, Nankai University )

Information security consists of information safety, information system security and traditional security which is derived from information security. Information technology and network technology has changed people's way of thinking and behavior patterns, and changed the roles of technology and institution in information security management. Improving information security needs to build knowledge value chain of information security research and practice.

information security, traditional security, information system, knowledge value chain