網(wǎng)絡(luò)空間的安全綜合治理模型淺析

□ 文 張玉芳

人們對(duì)信息的需求和信息技術(shù)的飛速發(fā)展，促成了由計(jì)算機(jī)技術(shù)和通信技術(shù)結(jié)合發(fā)展起來(lái)的網(wǎng)絡(luò)技術(shù)，由此支撐著的既“虛擬又實(shí)在”的網(wǎng)絡(luò)空間呈迅速蔓延之勢(shì)。它的出現(xiàn)超過(guò)人類迄今為止任何一項(xiàng)科技對(duì)人類社會(huì)影響的深度和廣度。架構(gòu)在現(xiàn)實(shí)世界之中的“虛擬空間”，人們參與其中形成了網(wǎng)絡(luò)空間社會(huì)。

回顧二十多年的發(fā)展歷程，我國(guó)互聯(lián)網(wǎng)始終保持健康快速發(fā)展的良好態(tài)勢(shì)，并將持續(xù)發(fā)揮對(duì)經(jīng)濟(jì)高質(zhì)量發(fā)展的引領(lǐng)作用。我國(guó)互聯(lián)網(wǎng)普及率的持續(xù)提升和充沛的互聯(lián)網(wǎng)基礎(chǔ)資源保有量，為互聯(lián)網(wǎng)蓬勃發(fā)展提供了土壤。從1997年到2018年，我國(guó)網(wǎng)民數(shù)量從62萬(wàn)增長(zhǎng)至8.29億，互聯(lián)網(wǎng)普及率從0.03%增長(zhǎng)至59.6%，網(wǎng)站數(shù)量從1500個(gè)增長(zhǎng)至523萬(wàn)個(gè)。截至2018年12月，我國(guó)域名總數(shù)為3792.8萬(wàn)。這些數(shù)據(jù)充分表明，我國(guó)互聯(lián)網(wǎng)運(yùn)行總體平穩(wěn)、穩(wěn)中有進(jìn)的態(tài)勢(shì)沒(méi)有改變，發(fā)展的潛力依然巨大。

信息技術(shù)的發(fā)展與廣泛應(yīng)用，已經(jīng)深刻地改變了人們的生活、生產(chǎn)與管理方式，對(duì)推進(jìn)國(guó)家現(xiàn)代化、推動(dòng)社會(huì)文明的發(fā)展，發(fā)揮著日益重要的作用。由于信息技術(shù)本身的特殊性，因此在整個(gè)信息化進(jìn)程中，也帶來(lái)了巨大的信息安全風(fēng)險(xiǎn)。信息安全問(wèn)題涉及到國(guó)家安全、社會(huì)公共安全和公民個(gè)人安全的方方面面。

一、當(dāng)前我國(guó)“信息安全”面臨的挑戰(zhàn)

隨著我國(guó)融入世界經(jīng)濟(jì)發(fā)展的大循環(huán)中，我國(guó)面對(duì)的是一個(gè)更加開放的數(shù)字化、網(wǎng)絡(luò)化和信息化的發(fā)展環(huán)境。經(jīng)濟(jì)全球化以及信息技術(shù)與網(wǎng)絡(luò)技術(shù)的高度融合發(fā)展，在給我國(guó)帶來(lái)難得的發(fā)展機(jī)遇的同時(shí)，也對(duì)我國(guó)的信息安全提出了嚴(yán)峻的挑戰(zhàn)。

1.政治安全：當(dāng)前全世界都在面臨著三種勢(shì)力（分裂勢(shì)力、極端宗教勢(shì)力和恐怖勢(shì)力）的威脅。這些勢(shì)力如果利用國(guó)際交通、通訊以及金融設(shè)施來(lái)擾亂國(guó)內(nèi)正常的社會(huì)生活或進(jìn)行恐怖襲擊，會(huì)嚴(yán)重威脅我國(guó)的國(guó)家安全，破壞國(guó)家主權(quán)與領(lǐng)土完整，導(dǎo)致社會(huì)混亂與動(dòng)蕩。

2.科技安全：有的國(guó)家還通過(guò)非法獲取和改動(dòng)他國(guó)信息，如通過(guò)制網(wǎng)權(quán)和技術(shù)優(yōu)勢(shì)侵入他國(guó)核心部門網(wǎng)絡(luò)，竊取信息或采用計(jì)算機(jī)病毒銷毀他國(guó)信息。目前我國(guó)進(jìn)口的大量信息產(chǎn)品，包括軟硬件、網(wǎng)絡(luò)和操作系統(tǒng)的核心系統(tǒng)和編程邏輯都掌握在進(jìn)口國(guó)手中。有關(guān)國(guó)家完全可以憑借技術(shù)優(yōu)勢(shì)搞信息霸權(quán)，對(duì)我國(guó)的國(guó)家安全造成威脅。

3.文化安全：信息技術(shù)和傳播媒介的發(fā)展，一方面加速了各種文化的傳播和相互吸收與融合；另一方面也使一個(gè)國(guó)家的文化道德、文化準(zhǔn)則和價(jià)值觀念受到?jīng)_擊。在網(wǎng)絡(luò)信息的影響下，人們的價(jià)值觀念和生活方式將會(huì)發(fā)生偏移，人們對(duì)本民族的歸屬感日益淡化，心理上的國(guó)家界限也趨于模糊。

總之，現(xiàn)代的信息安全涉及個(gè)人權(quán)益、企業(yè)生存、金融等方面的風(fēng)險(xiǎn)防范等。它是網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息內(nèi)容安全、信息基礎(chǔ)設(shè)施安全與公共信息安全的總和。

二、信息安全的屬性

安全基本含義可以解釋為客觀上不存在威脅，主觀上不存在恐懼。什么是信息安全?國(guó)內(nèi)外對(duì)信息安全的論述大致可以分成兩大類：一類是指具體的信息技術(shù)系統(tǒng)的安全；而另一類則是指某一特定信息體系（如一個(gè)國(guó)家的銀行信息系統(tǒng)、軍事指揮系統(tǒng)等）的安全。但有人認(rèn)為這兩種定義均失之于過(guò)窄，而應(yīng)把信息安全定義為：一個(gè)國(guó)家的社會(huì)信息化狀態(tài)不受外來(lái)的威脅與侵害，一個(gè)國(guó)家的信息技術(shù)體系不受外來(lái)的威脅與侵害。

信息安全首先應(yīng)該是一個(gè)國(guó)家宏觀的社會(huì)信息化狀態(tài)是否處于自主控制之下，是否穩(wěn)定的問(wèn)題，其次才是信息技術(shù)安全的問(wèn)題。所謂“信息安全”，在技術(shù)層次上的含義就是保證在客觀上杜絕對(duì)信息安全屬性的安全威脅使得信息的主人在主觀上對(duì)其信息的本源性放心。

信息安全有哪些屬性?

不管信息入侵者懷有什么樣的陰謀詭計(jì)、采用什么手段，但他們都要通過(guò)攻擊信息的以下幾種安全屬性來(lái)達(dá)到目的。信息安全的基本屬性有：

1.完整性（integrity）：完整性是指信息在存儲(chǔ)或傳輸?shù)倪^(guò)程中保持不被修改、不被破壞、不被插入、不延遲、不亂序和不丟失的特性。對(duì)于軍用信息來(lái)說(shuō)，完整性被破壞可能就意味著延誤戰(zhàn)機(jī)、自相殘殺或閑置戰(zhàn)斗力。破壞信息的完整性是對(duì)信息安全發(fā)動(dòng)攻擊的最終目的。

2.可用性（avaliability）：可用性是指信息可被合法用戶訪問(wèn)并能按要求順序使用的特性，即在需要時(shí)就可以使用的信息。對(duì)可用性的攻擊就是阻斷信息的可用性，例如破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行就屬于這種類型的攻擊。

3.保密性（confidentiality）：保密性是指信息不泄漏給非授權(quán)的個(gè)人和實(shí)體，或供其使用的特性。軍用信息的安全尤為注重信息的保密性（相比較而言，商用信息則更注重于信息的完整性）。

4.可控性（controlability）：可控性是指授權(quán)機(jī)構(gòu)可以隨時(shí)控制信息的機(jī)密性。美國(guó)政府所提倡的“密鑰托管”、“密鑰恢復(fù)”等措施就是實(shí)現(xiàn)信息安全可控性的例子。

5.可靠性（reliability）：可靠性指信息以用戶認(rèn)可的質(zhì)量連續(xù)服務(wù)于用戶的特性（包括信息的迅速、準(zhǔn)確和連續(xù)地轉(zhuǎn)移等），但也有人認(rèn)為可靠性是人們對(duì)信息系統(tǒng)而不是對(duì)信息本身的要求。

三、信息安全綜合治理模型

信息安全可以從面向數(shù)據(jù)的安全和面向使用者的安全兩個(gè)維度去考量。面向數(shù)據(jù)的安全概念是信息的保密性、完整性和可用性；而面向使用者的安全概念則是鑒別、授權(quán)、訪問(wèn)控制抗否認(rèn)性和可服務(wù)性以及基于內(nèi)容的個(gè)人隱私、知識(shí)產(chǎn)權(quán)等的保護(hù)。這兩者的結(jié)合就是信息安全體系結(jié)構(gòu)中的安全服務(wù)。而這些安全問(wèn)題又要依靠密碼、數(shù)字簽名、身份驗(yàn)證技術(shù)、防火墻、安全審計(jì)、災(zāi)難恢復(fù)、防病毒和防黑客入侵等安全機(jī)制措施加以解決。其中，密碼技術(shù)和管理是信息安全的核心，而安全標(biāo)準(zhǔn)和系統(tǒng)評(píng)估是信息安全的基礎(chǔ)。

信息安全可分為技術(shù)安全、監(jiān)察安全、管理安全、立法安全、認(rèn)知安全，即本文提出的信息安全治理模型（如圖1所示）。

技術(shù)安全包括實(shí)體安全軟件安全、數(shù)據(jù)安全、運(yùn)行安全；監(jiān)察安全包括監(jiān)控查驗(yàn)（發(fā)現(xiàn)違規(guī)、確定入侵、定位損害和監(jiān)控）和犯罪起訴（起訴、量刑）；管理安全包括技術(shù)管理安全、行政管理安全和應(yīng)急管理安全；立法安全即有關(guān)信息安全的政策法令、法規(guī)；認(rèn)知安全即有關(guān)信息安全的宣傳和教育。

基于上述模型，參考國(guó)際標(biāo)準(zhǔn)，在建設(shè)國(guó)家信息基礎(chǔ)設(shè)施時(shí)就應(yīng)當(dāng)都要遵從的九項(xiàng)原則：

圖1 網(wǎng)絡(luò)與信息安全治理模型

負(fù)責(zé)原則：網(wǎng)絡(luò)的所有者、提供者和用戶以及其他有關(guān)方面應(yīng)當(dāng)明確各自對(duì)信息安全的責(zé)任。

知曉原則：網(wǎng)絡(luò)的所有者、提供者和用戶以及其他有關(guān)方面應(yīng)當(dāng)能夠了解網(wǎng)絡(luò)安全方面的措施、具體辦法和工作程序。

道德原則：在提供和使用以及保障網(wǎng)絡(luò)安全性時(shí)應(yīng)當(dāng)尊重他人的權(quán)利和合法的權(quán)益。

多方原則：網(wǎng)絡(luò)安全方面的措施、具體辦法和工作程序應(yīng)當(dāng)考慮到所有相關(guān)的問(wèn)題，其中包括技術(shù)、行政管理、組織機(jī)構(gòu)、運(yùn)行、商業(yè)、教育和法律等方面的問(wèn)題。

配比原則：安全水平、費(fèi)用以及安全措施、具體辦法和工作程序應(yīng)當(dāng)與網(wǎng)絡(luò)的價(jià)值和可靠程度以及可能造成損害的嚴(yán)重程度和發(fā)生概率成合適的比例，即適度安全原則。

綜合原則：網(wǎng)絡(luò)安全方面的措施、具體辦法和工作程序之間應(yīng)當(dāng)相互協(xié)調(diào)一致，而且與其他措施、具體辦法和工作程序互相協(xié)調(diào)一致。

及時(shí)原則：國(guó)內(nèi)外機(jī)構(gòu)都應(yīng)當(dāng)及時(shí)協(xié)調(diào)一致來(lái)保障網(wǎng)絡(luò)的安全。

重新評(píng)價(jià)原則：定時(shí)對(duì)網(wǎng)絡(luò)的安全措施重新進(jìn)行評(píng)價(jià)。由于當(dāng)前高科技的發(fā)展速度十分迅速，有些安全措施沒(méi)過(guò)多久就會(huì)過(guò)時(shí)，甚至完全失效，因此在過(guò)一段時(shí)間之后，必須對(duì)已有的安全措施作一次全面的評(píng)審，以期跟上技術(shù)的發(fā)展。

民主原則：網(wǎng)絡(luò)的安全應(yīng)當(dāng)兼顧信息和數(shù)據(jù)的流動(dòng)和合法使用，并相互兼容。

為了構(gòu)筑21世紀(jì)的國(guó)家信息安全保障體系，有效地保障國(guó)家安全、社會(huì)穩(wěn)定和經(jīng)濟(jì)發(fā)展，要使我們的信息化現(xiàn)代化的發(fā)展不受影響，就必須克服眾多的信息安全問(wèn)題，以化解日益嚴(yán)峻的信息安全風(fēng)險(xiǎn)。要長(zhǎng)期致力于增強(qiáng)廣大公眾的信息安全意識(shí)，提升信息系統(tǒng)研究、開發(fā)、生產(chǎn)、使用維護(hù)和提高管理人員的素質(zhì)和能力。盡快培養(yǎng)信息安全方面的專門人才，加大信息安全教育的普及力度，樹立國(guó)民的信息安全意識(shí)，建設(shè)好國(guó)家的信息安全防線?！?/p>