網(wǎng)信安全基本要素、相互關(guān)系與對策思考

劉懷彥 丁 凱

當(dāng)今世界，網(wǎng)絡(luò)和信息技術(shù)蓬勃發(fā)展，產(chǎn)業(yè)信息化數(shù)字化規(guī)模不斷擴大，網(wǎng)信技術(shù)與實體經(jīng)濟深度融合.網(wǎng)信技術(shù)正在加速融合到政治、經(jīng)濟、軍事和文化等各個領(lǐng)域，網(wǎng)信安全也面臨嚴峻威脅.網(wǎng)信安全的責(zé)任已經(jīng)歷史性地、責(zé)無旁貸地擺在我們面前.習(xí)近平總書記指出：“沒有網(wǎng)絡(luò)安全就沒有國家安全”.習(xí)總書記關(guān)于建設(shè)網(wǎng)絡(luò)強國加強網(wǎng)信工作的一系列論述，科學(xué)地闡述了事關(guān)網(wǎng)信事業(yè)長遠發(fā)展的一系列重大理論和實踐問題，為把握信息革命歷史機遇、加強網(wǎng)信安全明確了方向，具有深遠的意義.

“十四五”規(guī)劃和 2035 年遠景目標明確提出：“保障國家數(shù)據(jù)安全，加強個人信息保護”.此背景下，國家密集發(fā)布了《密碼法》《個人信息保護法(草案)》《數(shù)據(jù)安全法(草案)》等.數(shù)字化轉(zhuǎn)型需要大量的新技術(shù)支撐，云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)和面向移動終端的移動云、計算云服務(wù)等新型網(wǎng)絡(luò)基礎(chǔ)設(shè)施大量采用，網(wǎng)絡(luò)的接入人員和設(shè)備的越來越多樣化和復(fù)雜化，越來越多的業(yè)務(wù)開放導(dǎo)致網(wǎng)絡(luò)暴露面不斷增加，數(shù)據(jù)資產(chǎn)在多樣化的業(yè)務(wù)、平臺、設(shè)備、用戶之間持續(xù)流動.企業(yè)已經(jīng)不存在單一的、易識別的、明確的安全邊界，企業(yè)的安全邊界正在逐漸瓦解，網(wǎng)信安全面臨巨大挑戰(zhàn).

做好數(shù)字經(jīng)濟時代的網(wǎng)信安全，需要厘清網(wǎng)信安全的基本要素及相互關(guān)系.對企業(yè)流轉(zhuǎn)的數(shù)字資產(chǎn)進行全面安全管控，需要打破物理邊界的傳統(tǒng)理念，采用密碼加密技術(shù)，建立邏輯集中管控的新思路.信息化的基本要素是數(shù)據(jù)共享，信息化條件下的網(wǎng)信安全任務(wù)就是精確控制共享邊界.在共享與安全中安全是重點，這是我們關(guān)于網(wǎng)信安全的兩點論.

1 網(wǎng)信安全的基本要素及其關(guān)系

網(wǎng)信系統(tǒng)是一個由 “人”通過“設(shè)備”與“網(wǎng)絡(luò)”交互“數(shù)據(jù)信息”的復(fù)雜系統(tǒng).廣義的網(wǎng)信系統(tǒng)包括人、設(shè)備(設(shè)備上部署的操作系統(tǒng)及應(yīng)用軟件)、數(shù)據(jù)信息和網(wǎng)絡(luò)4個基本要素，基本邏輯關(guān)系是人通過設(shè)備，經(jīng)過傳輸網(wǎng)絡(luò)，產(chǎn)生并使用數(shù)據(jù)信息，網(wǎng)信安全由人、設(shè)備(軟件系統(tǒng))、數(shù)據(jù)信息和網(wǎng)絡(luò)的安全組成.在這個系統(tǒng)中“人”是核心，數(shù)據(jù)信息是重點，設(shè)備(操作系統(tǒng)及應(yīng)用軟件)和傳輸網(wǎng)絡(luò)是載體和橋梁.四者缺一不可，任何一個環(huán)節(jié)不安全都可能導(dǎo)致整體的不安全，我們還應(yīng)該突出抓好人和數(shù)據(jù)的安全.這是我們關(guān)于網(wǎng)信安全的重點論.

首先，網(wǎng)信安全的各個環(huán)節(jié)都與人密切相關(guān)，人既是網(wǎng)信安全的守護者，也是網(wǎng)信安全的破壞者.所以人是保證網(wǎng)信安全的內(nèi)在決定性因素.

其次，數(shù)據(jù)信息是網(wǎng)信安全的重要因素.數(shù)字信息是數(shù)字經(jīng)濟的生產(chǎn)要素，所以如何確保數(shù)字信息的全生命周期安全存儲、有序傳遞、不被截獲、破譯或篡改，成為網(wǎng)信安全的重要任務(wù).

第三，數(shù)字信息傳遞途徑是網(wǎng)信安全的保障因素.從拓撲定義上看，數(shù)字信息傳遞途徑的集合組成網(wǎng)絡(luò).從功能上看，網(wǎng)絡(luò)主要就是保證暢通.從這個意義上講網(wǎng)絡(luò)安全是網(wǎng)信安全的保障.

第四，終端設(shè)備包括軟件系統(tǒng)是數(shù)字信息的采集、運算、處理、運載和轉(zhuǎn)換工具，所以“工具”的安全是保障網(wǎng)信安全的重要因素.這4個基本要素構(gòu)成的網(wǎng)信安全系統(tǒng)主次分明，相輔相成，缺一不可.

2 網(wǎng)信安全的思考與對策

在人員管理方面，要通過教育解決人們“想”安全、“要”安全和“會”安全的問題.要加強政治和文化教育，增強公民的網(wǎng)信安全觀念，遵守網(wǎng)信安全法紀.在手段建設(shè)上，要綜合運用非對稱、非線性、非傳統(tǒng)思維，將教育、檢查、處罰等手段相結(jié)合，對人和 IT 系統(tǒng)的行為進行合規(guī)性審計，最大程度地從人的角度消除非授權(quán)訪問、無意犯錯、有意數(shù)據(jù)竊取、破壞等內(nèi)部和外部威脅因素.

在網(wǎng)絡(luò)安全方面，要實現(xiàn)最小化的網(wǎng)絡(luò)訪問控制，縮小業(yè)務(wù)的暴露面.察覺和遏制利用軟硬件漏洞進行的攻擊，發(fā)現(xiàn)和阻止通過釣魚、社會工程學(xué)等手段竊取憑證，突破邊界進入邏輯內(nèi)網(wǎng)，并橫向移動伺機竊取、篡改、勒索數(shù)據(jù)信息.因此我們必須也只有通過密碼學(xué)技術(shù)，構(gòu)建網(wǎng)絡(luò)的邏輯安全域，對網(wǎng)絡(luò)中所有資源的訪問請求進行高強度的身份驗證和細粒度權(quán)限管控，重構(gòu)以身份為基石的信任體系.

在設(shè)備(軟件系統(tǒng))的安全方面，一方面加強源頭管控，對軟件和硬件基礎(chǔ)設(shè)施提高可控性替代(優(yōu)先采用可控性高的國內(nèi)產(chǎn)品)，杜絕潛在的后門；對軟件系統(tǒng)的開發(fā)過程進行安全管理，對軟件系統(tǒng)進行安全檢測和認證.另一方面對于安全性未知的軟件系統(tǒng)要進行嚴格的安全測試和管控.并通過沙箱、容器等新技術(shù)構(gòu)建軟件的邏輯安全運行平臺，隔離對主機系統(tǒng)的影響，降低未知風(fēng)險發(fā)生的概率.還要加強設(shè)備自身的安全性，安裝必要的安全軟件，形成完備的日志及行為審計記錄，同時對數(shù)據(jù)導(dǎo)入導(dǎo)出進行嚴格的安全管控.

???Wolfgang Spohn，“From Nash to Dependency Equilibria”，in Giacomo Bonanno，Benedikt Lowe，Wiebe van der Hoek(eds．)，Logic and the Foundations of Game and Decision Theory，Springer，2010，p．135，p．140，p．141．

在數(shù)據(jù)信息安全方面，要實現(xiàn)數(shù)據(jù)流轉(zhuǎn)過程中的全面數(shù)據(jù)加密及訪問控制，將加密從細粒度的單點業(yè)務(wù)層面遷移到運行平臺(設(shè)備、網(wǎng)絡(luò))的層面，對設(shè)備及網(wǎng)絡(luò)中的數(shù)據(jù)進行主動加密，建立主動的高強度邏輯安全域，實現(xiàn)數(shù)據(jù)全流程的共享和訪問控制.在默認情況下不信任網(wǎng)絡(luò)內(nèi)部和外部的任何人、任何設(shè)備、任何系統(tǒng)和任何應(yīng)用.要基于認證、授權(quán)和加密技術(shù)重構(gòu)數(shù)據(jù)訪問控制的信任基礎(chǔ)，并且這種授權(quán)和信任是動態(tài)的，可以基于對訪問主體的風(fēng)險度量(業(yè)務(wù)策略)進行跟蹤匹配與調(diào)整.

要實現(xiàn)高效的網(wǎng)信安全就要逐步揚棄物理隔離的思路，通過公共網(wǎng)建設(shè)無物理邊界的、邏輯隔離的網(wǎng)信系統(tǒng)，通過密碼學(xué)及訪問控制技術(shù)，實現(xiàn)業(yè)務(wù)及數(shù)據(jù)的邏輯集中管控.初期也可以在現(xiàn)有邊界安全體系的基礎(chǔ)上，加固構(gòu)建以業(yè)務(wù)為中心的邏輯安全體系.在設(shè)備層面構(gòu)建邏輯隔離的安全運行空間(終端安全域、云端安全域).在網(wǎng)絡(luò)層面構(gòu)建可控可信的網(wǎng)絡(luò)管道(網(wǎng)絡(luò)安全域)，使業(yè)務(wù)系統(tǒng)和普通系統(tǒng)、關(guān)鍵數(shù)據(jù)和普通數(shù)據(jù)實現(xiàn)邏輯隔離，以利于業(yè)務(wù)系統(tǒng)和數(shù)據(jù)在透明、隔離、加密、受控的安全域內(nèi)有序運行.

邏輯安全域最大程度地關(guān)閉業(yè)務(wù)運行中的安全風(fēng)險敞口，實現(xiàn)關(guān)鍵業(yè)務(wù)的一體化、全流程、全要素的立體網(wǎng)信安全防護，較好地解決共享與安全的矛盾，代表了網(wǎng)信安全今天和明天的發(fā)展方向.

3 結(jié) 語

信息時代對網(wǎng)絡(luò)安全的領(lǐng)軍者要求達到了前所未有的高度.網(wǎng)絡(luò)安全呼喚通哲理、懂技術(shù)、敢創(chuàng)新、善管理的領(lǐng)軍人物.一位老院士曾經(jīng)說過，如果說我們暫時出不了像喬布斯那樣的全才人物，至少我們可以組成具有同樣能力的團隊，帶領(lǐng)大家去完成同樣的使命.讓我們攜起手來努力提高文化素養(yǎng)，提升責(zé)任意識，創(chuàng)新網(wǎng)信安全理念，發(fā)展網(wǎng)信安全技術(shù)，培養(yǎng)網(wǎng)信安全人才，為建設(shè)網(wǎng)絡(luò)和信息化強國貢獻自己的力量.