網(wǎng)絡(luò)空間的安全綜合治理模型淺析

□ 文 張玉芳

人們對信息的需求和信息技術(shù)的飛速發(fā)展，促成了由計算機(jī)技術(shù)和通信技術(shù)結(jié)合發(fā)展起來的網(wǎng)絡(luò)技術(shù)，由此支撐著的既“虛擬又實在”的網(wǎng)絡(luò)空間呈迅速蔓延之勢。它的出現(xiàn)超過人類迄今為止任何一項科技對人類社會影響的深度和廣度。架構(gòu)在現(xiàn)實世界之中的“虛擬空間”，人們參與其中形成了網(wǎng)絡(luò)空間社會。

回顧二十多年的發(fā)展歷程，我國互聯(lián)網(wǎng)始終保持健康快速發(fā)展的良好態(tài)勢，并將持續(xù)發(fā)揮對經(jīng)濟(jì)高質(zhì)量發(fā)展的引領(lǐng)作用。我國互聯(lián)網(wǎng)普及率的持續(xù)提升和充沛的互聯(lián)網(wǎng)基礎(chǔ)資源保有量，為互聯(lián)網(wǎng)蓬勃發(fā)展提供了土壤。從1997年到2018年，我國網(wǎng)民數(shù)量從62萬增長至8.29億，互聯(lián)網(wǎng)普及率從0.03%增長至59.6%，網(wǎng)站數(shù)量從1500個增長至523萬個。截至2018年12月，我國域名總數(shù)為3792.8萬。這些數(shù)據(jù)充分表明，我國互聯(lián)網(wǎng)運(yùn)行總體平穩(wěn)、穩(wěn)中有進(jìn)的態(tài)勢沒有改變，發(fā)展的潛力依然巨大。

信息技術(shù)的發(fā)展與廣泛應(yīng)用，已經(jīng)深刻地改變了人們的生活、生產(chǎn)與管理方式，對推進(jìn)國家現(xiàn)代化、推動社會文明的發(fā)展，發(fā)揮著日益重要的作用。由于信息技術(shù)本身的特殊性，因此在整個信息化進(jìn)程中，也帶來了巨大的信息安全風(fēng)險。信息安全問題涉及到國家安全、社會公共安全和公民個人安全的方方面面。

一、當(dāng)前我國“信息安全”面臨的挑戰(zhàn)

隨著我國融入世界經(jīng)濟(jì)發(fā)展的大循環(huán)中，我國面對的是一個更加開放的數(shù)字化、網(wǎng)絡(luò)化和信息化的發(fā)展環(huán)境。經(jīng)濟(jì)全球化以及信息技術(shù)與網(wǎng)絡(luò)技術(shù)的高度融合發(fā)展，在給我國帶來難得的發(fā)展機(jī)遇的同時，也對我國的信息安全提出了嚴(yán)峻的挑戰(zhàn)。

1.政治安全：當(dāng)前全世界都在面臨著三種勢力（分裂勢力、極端宗教勢力和恐怖勢力）的威脅。這些勢力如果利用國際交通、通訊以及金融設(shè)施來擾亂國內(nèi)正常的社會生活或進(jìn)行恐怖襲擊，會嚴(yán)重威脅我國的國家安全，破壞國家主權(quán)與領(lǐng)土完整，導(dǎo)致社會混亂與動蕩。

2.科技安全：有的國家還通過非法獲取和改動他國信息，如通過制網(wǎng)權(quán)和技術(shù)優(yōu)勢侵入他國核心部門網(wǎng)絡(luò)，竊取信息或采用計算機(jī)病毒銷毀他國信息。目前我國進(jìn)口的大量信息產(chǎn)品，包括軟硬件、網(wǎng)絡(luò)和操作系統(tǒng)的核心系統(tǒng)和編程邏輯都掌握在進(jìn)口國手中。有關(guān)國家完全可以憑借技術(shù)優(yōu)勢搞信息霸權(quán)，對我國的國家安全造成威脅。

3.文化安全：信息技術(shù)和傳播媒介的發(fā)展，一方面加速了各種文化的傳播和相互吸收與融合；另一方面也使一個國家的文化道德、文化準(zhǔn)則和價值觀念受到?jīng)_擊。在網(wǎng)絡(luò)信息的影響下，人們的價值觀念和生活方式將會發(fā)生偏移，人們對本民族的歸屬感日益淡化，心理上的國家界限也趨于模糊。

總之，現(xiàn)代的信息安全涉及個人權(quán)益、企業(yè)生存、金融等方面的風(fēng)險防范等。它是網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息內(nèi)容安全、信息基礎(chǔ)設(shè)施安全與公共信息安全的總和。

二、信息安全的屬性

安全基本含義可以解釋為客觀上不存在威脅，主觀上不存在恐懼。什么是信息安全?國內(nèi)外對信息安全的論述大致可以分成兩大類：一類是指具體的信息技術(shù)系統(tǒng)的安全；而另一類則是指某一特定信息體系（如一個國家的銀行信息系統(tǒng)、軍事指揮系統(tǒng)等）的安全。但有人認(rèn)為這兩種定義均失之于過窄，而應(yīng)把信息安全定義為：一個國家的社會信息化狀態(tài)不受外來的威脅與侵害，一個國家的信息技術(shù)體系不受外來的威脅與侵害。

信息安全首先應(yīng)該是一個國家宏觀的社會信息化狀態(tài)是否處于自主控制之下，是否穩(wěn)定的問題，其次才是信息技術(shù)安全的問題。所謂“信息安全”，在技術(shù)層次上的含義就是保證在客觀上杜絕對信息安全屬性的安全威脅使得信息的主人在主觀上對其信息的本源性放心。

信息安全有哪些屬性?

不管信息入侵者懷有什么樣的陰謀詭計、采用什么手段，但他們都要通過攻擊信息的以下幾種安全屬性來達(dá)到目的。信息安全的基本屬性有：

1.完整性（integrity）：完整性是指信息在存儲或傳輸?shù)倪^程中保持不被修改、不被破壞、不被插入、不延遲、不亂序和不丟失的特性。對于軍用信息來說，完整性被破壞可能就意味著延誤戰(zhàn)機(jī)、自相殘殺或閑置戰(zhàn)斗力。破壞信息的完整性是對信息安全發(fā)動攻擊的最終目的。

2.可用性（avaliability）：可用性是指信息可被合法用戶訪問并能按要求順序使用的特性，即在需要時就可以使用的信息。對可用性的攻擊就是阻斷信息的可用性，例如破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行就屬于這種類型的攻擊。

3.保密性（confidentiality）：保密性是指信息不泄漏給非授權(quán)的個人和實體，或供其使用的特性。軍用信息的安全尤為注重信息的保密性（相比較而言，商用信息則更注重于信息的完整性）。

4.可控性（controlability）：可控性是指授權(quán)機(jī)構(gòu)可以隨時控制信息的機(jī)密性。美國政府所提倡的“密鑰托管”、“密鑰恢復(fù)”等措施就是實現(xiàn)信息安全可控性的例子。

5.可靠性（reliability）：可靠性指信息以用戶認(rèn)可的質(zhì)量連續(xù)服務(wù)于用戶的特性（包括信息的迅速、準(zhǔn)確和連續(xù)地轉(zhuǎn)移等），但也有人認(rèn)為可靠性是人們對信息系統(tǒng)而不是對信息本身的要求。

三、信息安全綜合治理模型

信息安全可以從面向數(shù)據(jù)的安全和面向使用者的安全兩個維度去考量。面向數(shù)據(jù)的安全概念是信息的保密性、完整性和可用性；而面向使用者的安全概念則是鑒別、授權(quán)、訪問控制抗否認(rèn)性和可服務(wù)性以及基于內(nèi)容的個人隱私、知識產(chǎn)權(quán)等的保護(hù)。這兩者的結(jié)合就是信息安全體系結(jié)構(gòu)中的安全服務(wù)。而這些安全問題又要依靠密碼、數(shù)字簽名、身份驗證技術(shù)、防火墻、安全審計、災(zāi)難恢復(fù)、防病毒和防黑客入侵等安全機(jī)制措施加以解決。其中，密碼技術(shù)和管理是信息安全的核心，而安全標(biāo)準(zhǔn)和系統(tǒng)評估是信息安全的基礎(chǔ)。

信息安全可分為技術(shù)安全、監(jiān)察安全、管理安全、立法安全、認(rèn)知安全，即本文提出的信息安全治理模型（如圖1所示）。

技術(shù)安全包括實體安全軟件安全、數(shù)據(jù)安全、運(yùn)行安全；監(jiān)察安全包括監(jiān)控查驗（發(fā)現(xiàn)違規(guī)、確定入侵、定位損害和監(jiān)控）和犯罪起訴（起訴、量刑）；管理安全包括技術(shù)管理安全、行政管理安全和應(yīng)急管理安全；立法安全即有關(guān)信息安全的政策法令、法規(guī)；認(rèn)知安全即有關(guān)信息安全的宣傳和教育。

基于上述模型，參考國際標(biāo)準(zhǔn)，在建設(shè)國家信息基礎(chǔ)設(shè)施時就應(yīng)當(dāng)都要遵從的九項原則：

圖1 網(wǎng)絡(luò)與信息安全治理模型

負(fù)責(zé)原則：網(wǎng)絡(luò)的所有者、提供者和用戶以及其他有關(guān)方面應(yīng)當(dāng)明確各自對信息安全的責(zé)任。

知曉原則：網(wǎng)絡(luò)的所有者、提供者和用戶以及其他有關(guān)方面應(yīng)當(dāng)能夠了解網(wǎng)絡(luò)安全方面的措施、具體辦法和工作程序。

道德原則：在提供和使用以及保障網(wǎng)絡(luò)安全性時應(yīng)當(dāng)尊重他人的權(quán)利和合法的權(quán)益。

多方原則：網(wǎng)絡(luò)安全方面的措施、具體辦法和工作程序應(yīng)當(dāng)考慮到所有相關(guān)的問題，其中包括技術(shù)、行政管理、組織機(jī)構(gòu)、運(yùn)行、商業(yè)、教育和法律等方面的問題。

配比原則：安全水平、費(fèi)用以及安全措施、具體辦法和工作程序應(yīng)當(dāng)與網(wǎng)絡(luò)的價值和可靠程度以及可能造成損害的嚴(yán)重程度和發(fā)生概率成合適的比例，即適度安全原則。

綜合原則：網(wǎng)絡(luò)安全方面的措施、具體辦法和工作程序之間應(yīng)當(dāng)相互協(xié)調(diào)一致，而且與其他措施、具體辦法和工作程序互相協(xié)調(diào)一致。

及時原則：國內(nèi)外機(jī)構(gòu)都應(yīng)當(dāng)及時協(xié)調(diào)一致來保障網(wǎng)絡(luò)的安全。

重新評價原則：定時對網(wǎng)絡(luò)的安全措施重新進(jìn)行評價。由于當(dāng)前高科技的發(fā)展速度十分迅速，有些安全措施沒過多久就會過時，甚至完全失效，因此在過一段時間之后，必須對已有的安全措施作一次全面的評審，以期跟上技術(shù)的發(fā)展。

民主原則：網(wǎng)絡(luò)的安全應(yīng)當(dāng)兼顧信息和數(shù)據(jù)的流動和合法使用，并相互兼容。

為了構(gòu)筑21世紀(jì)的國家信息安全保障體系，有效地保障國家安全、社會穩(wěn)定和經(jīng)濟(jì)發(fā)展，要使我們的信息化現(xiàn)代化的發(fā)展不受影響，就必須克服眾多的信息安全問題，以化解日益嚴(yán)峻的信息安全風(fēng)險。要長期致力于增強(qiáng)廣大公眾的信息安全意識，提升信息系統(tǒng)研究、開發(fā)、生產(chǎn)、使用維護(hù)和提高管理人員的素質(zhì)和能力。盡快培養(yǎng)信息安全方面的專門人才，加大信息安全教育的普及力度，樹立國民的信息安全意識，建設(shè)好國家的信息安全防線?！?/p>