從行為信息安全研究到行為網絡安全研究

謝宗曉（南開大學商學院）李康宏（揚州大學商學院）

從行為信息安全研究到行為網絡安全研究

謝宗曉（南開大學商學院）
李康宏（揚州大學商學院）

本文對信息安全研究的主要方向進行了梳理，由此給出了行為信息安全研究所處的位置，并介紹了該研究領域的關注點。最后，討論了在網絡空間中個體行為所表現的不同特征，指出研究趨勢必然從行為信息安全研究過渡到行為網絡安全研究。

網絡空間安全網絡安全信息安全行為信息安全研究行為網絡安全研究

1　信息安全的主要研究方向

1.1密碼學（cryptography）

從之前的討論中，我們可以看出，“信息安全”的詞匯隨著“載體”或者“關注點”保持了持續的變化，從“通信安全”“計算機安全”，到“網絡安全（network security）”直至“信息安全”［1］，本質都是為了保護最核心的資產，即“信息”。ISO/IEC 27000：2014中對信息安全的定義為：保證信息的保密性（confidentiality）、完整性（integrity）和可用性（availability）；另外也可包括例如真實性（authenticity）、可核査性（accountability）、不可否認性（non-repudiation）和可靠性（reliability）等。

這其中的諸多安全屬性主要依靠密碼學的相關技術或機制解決［2］，具體如表1所示，表中的數據來自GB/T 9387.2—1995 / ISO 7498-2：1989。

表1　安全服務與安全機制

因此，一直以來，密碼學都是信息安全最重要的研究方向之一。在通信安全時代及其之前，載體方面主要防止竊聽，這并不需要形成單獨的學科，最重要的安全措施是加密傳輸，但是在計算機與信息系統出現之后，僅靠消息加解密已經不能解決所有的問題，更重要的是，在信息大爆炸的時代，這不現實也沒必要。

信息安全引起廣泛重視，一個很重要的原因還是信息系統的普及。圍繞信息系統，存在兩個最重要的研究方向，即關注如何設計信息系統的計算機科學與技術領域，以及關注如何應用信息系統的信息系統管理領域，具體如圖1所示。

圖1　幾個信息安全學科之間的關系

通過圖1，也給出了解決信息安全問題的兩種主要途徑：一是技術，即通過安全防護系統加固現有的信息系統；或者二，通過管理，即通過信息安全制度加強對個體行為的約束。

1）在GB/T 5271.8—2001中“保密性”和“機密性”是混用的，可以不區分。

1.2起源于計算機領域的安全防護系統研發

防火墻、防病毒和入侵檢測系統（Intrusion Detection Systems，IDS）等信息安全防護系統研發是目前實踐中最常見的手段，也是研究領域的熱點之一。按照Basie von Solms［3，4］對信息安全實踐的劃分，技術部署是最早出現的浪潮。當然，在今天的信息安全實踐中，已經不再可以區分技術手段還是管理手段，更多的是關注安全目標，例如，在ISO/ IEC 27001：2013中，一個安全控制目標所對應的不僅是技術，也包括管理。

1.3起源于管理學領域的信息系統安全管理

單純的技術不會解決任何問題，在目前信息安全業界已經得到公認［5］。首先，技術不是萬能的，不能解決所有的問題；此外，即使是技術系統，最終需要人去操作，依然需要相應的制度或策略。例如，防火墻策略的配置。即使在“最技術”的密碼學領域，BruceSchneier也曾經指出“再強的密碼算法也抵不過前克格勃的美女”［6］。

2　為什么研究重點會轉移到行為信息安全

2.1安全機制中最薄弱的環節

普遍認為，人是安全機制中最薄弱的環節，航空領域的諸多事故基本證實了這一點。在集中計算時代，每一個管理員都如同飛行員一樣，都是專業人員，這種脆弱性表現的并不突出。但是在個人PC廣泛普及的時代，人在安全機制中的脆弱性就暴露無遺。

以信息安全風險評估為例。在集中計算的時代，信息安全風險評估并沒有完整的流程，而是一系列的檢查表（checklist）［7］，例如PD3000系列。這實際是最經濟，也是最有效的方式之一，例如在其他行業，醫療領域的新生兒阿普加（Apgar）評分表2），原理不復雜，但是有效地降低了新生兒死亡率，到現在仍然應用于臨床。再如，飛行員做安全檢查的主要依據是一系列的檢查表。但是，要使定性的檢查表有效，一個重要前提是操作者是專業人員，因此當分布式計算時代來臨的時候，檢查表就不再能夠有效地發揮作用?；蛘哒f，基于主觀判斷的檢查表并不適用于非專業人員，于是促生了現在常用的“經典六因素法”（資產，威脅，脆弱性，控制措施，可能性和影響），信息安全風險評估成了規范的流程/方法，檢查表只是其中的一個技術工具。

2.2行為信息安全研究出現的必然性

在很多行業，從對技術的關注轉向對人的關注也是一個必然過程，在每個人都可以操作的系統中表現的尤為明顯，主要因為：第一，技術是新生事物，而不是必然存在的，因此在發展的開始階段，更多地考慮技術進步，但是技術一旦成熟，如何應用就成了關注的重點；第二，技術的進步在某種程度上是可控的，是一個不斷迭代的過程，但是人類本身的進步卻是緩慢的，在短時間內不會超越生理極限，而且以系統論的觀點來看，越復雜的系統，可能越不可靠，人恰恰是最復雜的系統。

此外，限定只有專業人員操作的行業可以通過規范操作等途徑來加強管理，例如航空業，但是每個人都可以操作的信息系統則很難實現，行為表現出更大的復雜性且操作者不能挑選。在航空安全等領域，人類工效學（ergonomics）或人因因素（human factors）主要是針對專業人員，使用者或者旅客等對安全的影響有限。

在這種背景下，國際信息處理聯合會（International Federation for Information Processing，IFIP） TC8/WG11 和TC11/WG133）在2013年定義了行為信息安全研究方向［8］，主要關注信息安全中的個體行為。行為信息安全在學科中的位置如圖2所示。

圖2　行為信息安全研究在學科中的位置示意

2） Apgar是膚色（appearence）、心率（pulse）、對刺激的反應（grimace）、肌張力（activity）和呼吸（respiration）五個英文單詞的首字母組合。

3）國際信息處理聯合會的技術委員會中，第8技術委員會為信息系統，其中第11工作組為信息系統安全研究。該工作組與第11技術委員會的第13工作組聯合研發，第11技術委員為信息處理系統中的安全與隱私保護，第13工作組為信息系統安全研究。

行為信息安全研究大致起源于1990年，期間經歷了產生、發展、形成和定義等階段，在后續的文章中，我們將陸續介紹。

在實踐中，流行的信息安全架構已經將個體行為的要素考慮在內，例如，ISO/IEC 27001：2013中，“A.7人力資源安全”從人員任用的角度考慮信息安全；“A.9.3 用戶責任”從用戶角度考慮訪問控制問題。因此，信息系統安全管理的研究重點已經從“怎么做系統”轉化為“怎么用系統”。

3　網絡空間中個體行為的虛擬化

行為信息安全研究的主要關注點還是停留在“物理人”，隨著網絡空間（cyberspace）的發展，更多的威脅來自“虛擬人”［9］，雖然虛擬人是建立在物理人的基礎上，但是兩者的個體行為表現出很明顯的區別。圖3給出了物理人與虛擬人關系的示例。

圖3　物理人與虛擬人關系示例

與現實世界相比較，網絡空間中的個體行為主要有如下特征：

（1）在網絡空間中，個體數量眾多，行為也更多樣化。在物理世界，人的數量是有限的，但是在網絡空間中，一個人可以同時以各種表現迥異的角色出現，例如，在微博同時開幾個賬號，以不同的身份發表言論。單個的虛擬人在網絡空間中的行為可能比物理世界的人要簡單得多，但是由于數量眾多所帶來的多樣性更難以預測。實踐已經證明，在網絡空間中，個體更容易表現出極端行為或非主流小眾行為，雖然這些極端行為不能直接造成人身傷害，但是極端的言論具有很大的危害。

（2）在網絡空間中，個體違規能力更弱，但是違規意愿更強。在現實世界中，每一個人都有一定的違規能力，即使是弱者。但是在網絡空間中，絕大部分的人都屬于技術上的菜鳥，并不具備違規能力，因此表現出的弱者特征更加明顯，例如發牢騷、發表威脅性的言論等。心理學的諸多研究表明，人在感受到威脅時更容易表現出攻擊性，加上缺乏足夠的能力或解決途徑，因此在網絡空間中，語言暴力往往更加突出。同時，由于違規能力弱，更容易導致“抱團取暖”，從而容易形成群體行為。

（3）在網絡空間中，個體更具備機會主義特征?，F實世界的秩序已經形成，機會主義缺乏足夠的土壤。但是在網絡空間中，違規的成本更低，甚至可以反復“復活”，新游戲規則下，個體更具備機會主義特征。例如，在現實世界中，一個人在街上發牢騷，出于自保，一般不會有太多響應，除非引起足夠的共鳴。在網絡空間中不同，這種“見義勇為”的成本很低，圍觀者甚至將辨別事實的步驟都省略了就參與進來。

綜上所述，由于個體行為所表現出的不同特征，個體信息安全行為研究應該過渡到行為網絡安全研究，從而對網絡空間中的個體行為給與更多的關注。

［1］謝宗曉. 信息安全、網絡安全及賽博安全相關詞匯辨析［J］.中國標準導報， 2015（12）：30-32.

［2］GB/T 9387.2—1995/ISO7498-2：1989信息處理系統開放系統互連基本參考模型第2部分：安全體系結構

［3］Basie von Solms.Information security—the third wave［J］. Computer& Security 2000 （19）： 615-620.

［4］Basie von Solms. Information security—The fourth wave［J］. Computer& Security 2006（25）165-168.

［5］林潤輝，李大輝，謝宗曉，等. 信息安全管理理論與實踐［M］. 北京：中國質檢出版社/中國標準出版社，2015.

［6］Bruce Schneier. 應用密碼學：協議算法與C源程序［M］.吳世忠，等譯，北京：機械工業出版社，2000.

［7］趙戰生，謝宗曉. 信息安全風險評估［M］. 2版. 北京：中國質檢出版社/中國標準出版社，2015.

［8］Crossler R E，Johnston A C，Lowry P B，et al. Future directions for behavioral information security research［J］. Computers & Security.2013（32）： 90-101.

［9］謝宗曉. 關于網絡空間（cyberspace）及其相關詞匯的再解析［J］. 中國標準導報，2016（02）：26-28.

From Behavioral InfoSec Research to Behavioral Cybersecurity Research

Xie Zongxiao （ Business School， Nankai University ）
Li Kanghong （ Business College，Yangzhou University）

This paper summarized the main directions of information security research， and introduced the focus of Behavioral InfoSec Research. Finally， we discussed the different characteristics of the individual behavior in cyberspace， and proposed that the research trend should shift from Behavioral InfoSec Research to Behavioral Cybersecurity Research.

cyberspace security， cybersecurity， information security， Behavioral InfoSec Research， Behavioral Cybersecurity Research