1.2 網絡安全概念外延
1.2.1 網絡安全與物理安全
網絡安全與傳統安全是分別發生在虛擬空間和物理空間的兩類安全問題,但由于物聯網的廣泛存在,虛擬世界和物理世界已經打通,網絡空間的安全問題日益向政治、經濟、文化、社會、生態、國防等領域傳導滲透,帶來很多新威脅和新挑戰。隨著工業互聯網和5G的發展普及,許多網絡攻擊都可能變成物理傷害。網絡攻擊可以導致一個國家發生大面積停電事件,帶來重大經濟損失和社會動蕩。如果城鐵系統或聯網汽車遭到黑客控制,則可能危及乘客生命。2021年2月,某黑客獲得了美國佛羅里達州奧茲馬水處理系統的訪問權限,并試圖增加該公共供水網絡中的氫氧化鈉濃度,給當地居民的生命健康造成了重大威脅。暗網是互聯網中的陰暗角落,在這里,毒品、人口販賣、雇兇傷人都可作為交易內容,疏于治理的網絡空間成為傷害人身安全的大本營。物理世界和網絡空間緊密交織,傳統安全與網絡安全相輔相成,需要同步開展規劃、建設和運行。
1.2.2 網絡安全與國家安全
網絡空間安全對國家安全有深刻影響。關鍵信息基礎設施的破壞將給國計民生帶來嚴重后果;網絡輿論平臺成為政治勢力“認知域作戰”的發力點;網絡間諜針對政府、軍隊和科技企業的信息設施展開廣泛的探測滲透。進入大數據時代,海量的碎片化、模糊化數據匯聚到一起,通過關聯分析可以洞察到隱藏的國家情報。隨著網絡和數字技術向社會空間愈加深入的延伸,網絡安全日益成為國家安全的支柱,并被列為國家安全體系的重要組成部分。
2014年2月27日,習近平總書記在中央網絡安全和信息化領導小組第一次會議上發表重要講話,指出“沒有網絡安全就沒有國家安全”。這一論斷將網絡安全上升到國家安全的重要層面,成為我國網絡安全事業發展的里程碑。2014年4月15日,習近平總書記在中央國家安全委員會第一次全體會議上首次提出總體國家安全觀這一重大戰略思想:堅持總體國家安全觀,走出一條中國特色國家安全道路。新時代國家安全體系總體國家安全觀涵蓋16種安全,分別為政治安全、國土安全、軍事安全、經濟安全、文化安全、社會安全、科技安全、網絡安全、生態安全、資源安全、核安全、海外利益安全、生物安全、太空安全、極地安全、深海安全等。2022年10月16日,習近平總書記在中國共產黨第二十次全國代表大會報告中針對健全國家安全體系這一任務提出,“完善重點領域安全保障體系和重要專項協調指揮體系,強化經濟、重大基礎設施、金融、網絡、數據、生物、資源、核、太空、海洋等安全保障體系建設”,顯示了網絡安全從屬國家安全體系的重要定位。
1.2.3 網絡安全與企業經營
企業關注網絡安全的根本理由是避免經濟損失。網絡安全事件是大概率的灰犀牛現象,事件造成的損失是客觀存在的。勒索攻擊可以致癱企業的業務過程,數據泄露會讓企業名聲掃地、麻煩纏身,核心技術的失竊會讓企業失去市場優勢。然而,企業損失能在多大程度上傳遞為相關決策者的個人損失?這一“傳導率”在很大程度上決定了企業加強安全保障的積極性。小企業的傳導率可看作百分百,小企業的管理者們對網絡事件損失理應最為敏感,但同時這類企業受限于預算和專業性,未必有能力做好防護。大企業的傳導率則取決于組織架構、信息透明度和追責力度等多重因素,過低的傳導率會讓決策層對網絡安全麻木不仁。此外,對風險的誤判、專業性的匱乏和執行力的不足都會讓企業失去防范風險的最佳時機。
合規義務是諸多大企業開啟安全建設的直接動力。許多國家的法律法規都對企業提出了安全合規要求,規定了企業承擔的安全保障義務和必須采取的措施。雖然合規不等于安全,但大量企業以合規為動機邁出了安全建設的第一步,仍具有積極意義。
然而,許多業內人士片面強調企業的網絡安全治理對業務活動的保障作用,卻回避了它對業務的破壞作用。如果小區保安為了防止壞人混入就盲目使用暴力或其他非法手段,雖然也完成了任務,但背離了崗位設置的初心。實際上,網絡安全措施存在“雙刃劍”效應,在試圖阻止威脅行為的同時,也會對合法的業務活動構成阻礙,這就好比醫療手段在對抗疾病的同時對人體自身也產生了醫源性損傷。這種破壞力連同安全體系的建設成本,共同構成了網絡安全體系的“耗損”。為了實施強有力的身份控制,用戶可能會被迫接受煩瑣的認證流程,從而降低了業務開展的效率;為了防范敏感數據資源失竊,企業可能會對數據訪問范圍進行嚴格的限制,并采取冗長的數據申請和審批環節,使一些合理的數據利用活動開展困難,甚至讓人“知難而退”。企業權限管理經常采用最小權限原則,即僅賦予員工執行其任務的必要權限,這對于防范內部威脅、構建縱深防御具有重要意義。然而,人們常常會回避的事實是,員工所執行的任務是動態的、多變的,他們需要的權限也存在不確定性和可變性。最小權限原則給員工樹立了一道狹小的圍墻,并假裝這個空間恰到好處,讓員工“游刃”卻不“有余”。但現實中員工會束手束腳,“碰壁”將時常發生。即使員工找到了充分理由去申請擴大權限,也不可避免地會被額外的審批流程拖慢進度。回憶一下網絡安全的可用性目標,一些惡意的對手正是通過DoS(拒絕服務)攻擊、數據加密、篡改刪除等方式破壞信息系統的可用性,意在讓組織運作減緩或崩潰。DoS中的字母D多被譯作拒絕,但其實應釋作剝奪、阻斷之意,而過于嚴苛的安全措施恰是對業務構成了剝奪和阻斷。網絡安全體系既可以保障組織免遭DoS攻擊,也可以倒戈成為DoS威脅的源頭,做一些“親者痛、仇者快”的事情。過于壓抑的網絡安全措施最終會對網絡安全本身造成阻斷。牛津大學的研究人員采訪了一些安全響應專家,發現信息保密因素會阻礙安全事件調查。比如,安全專家針對網絡入侵事件的應急調查可能需要掌握網絡拓撲信息,但企業經常將其網絡拓撲列為敏感信息,安全專家未必有相關的知悉權限,尤其是供應商的專家會更加不受信任,于是事件調查在此碰壁[6]。另一個例子是,各大站點不斷要求用戶增加登錄口令的長度和復雜度,超出了普通用戶的記憶能力,以至于很多人在多個站點使用同樣的密碼,甚至有些開發者用戶會直接將口令上傳到代碼庫,為黑客攻擊制造了機會。
網絡安全體系的耗損不僅局限于運營層面,也最終會上升到企業的戰略層面。當一項業務的經濟效益達不到它的合規成本和安全成本時,對于追求效益的企業而言,這項業務將難逃凋零的命運。當一個個業務板塊紛紛被安全合規成本拖垮時,企業自身也走向衰亡。而另一些企業過于擔心安全合規風險,而導致缺乏作為。例如,一方面,今天數據被認定為重要的生產要素,國家鼓勵數據資源的開放、共享和交易;另一方面,數據安全的概念已深入人心,數據的流轉勢必產生安全風險,數據保護的法律法規也像達摩克利斯之劍一樣懸在數據交易者的談判桌上。因此,一些未必違法的數據交易,因為當事人沒有能力證明其合法而被放棄;一些掌握了寶貴數據資源的企業,因為不能容忍數據流動風險而放棄了數據開放戰略,讓數據的價值埋沒,也讓自身失去了機遇。如果因為厭惡安全風險而追求絕對安全,則會產生另一個方向上的風險,即因業務不作為而導致的風險,筆者將這一規律稱作“風險雙刃性”。
網絡安全工作是艱難的,如何在安全效果和安全耗損之間達到兼顧是一個充滿挑戰的課題,但仍可嘗試。首先,應建立正確的網絡安全觀,意識到安全策略的制定必須穩妥、折中,可通過樹立“風險雙刃性”意識改變過去那種片面厭惡風險的企業文化。正如習近平總書記曾強調的,“網絡安全是相對的而不是絕對的。沒有絕對安全,要立足基本國情保安全,避免不計成本追求絕對安全,那樣不僅會背上沉重負擔,甚至可能顧此失彼”。其次,可以通過技術優化手段,在保證安全效果的前提下降低安全耗損,或者在同等的安全耗損下改善安全效果。例如,通過企業的數字化轉型,讓安全控制措施與日常業務共同納入一個便捷的數字化生態,輔以體系化的安全運營工具,可以切實改善安全運營效率;又如,通過零信任架構智能化區分風險高低,規避對用戶的過度干擾,以求在強化整體安全效果的同時保障用戶體驗。最后,可以持續改良管理,不斷度量和改善經營流程,只有足夠敏捷靈活的管理生態才能讓嚴格的安全控制措施保持低耗損。當審批足夠便捷時,即使是最小權限原則下的頻繁審批也會變得可以接受。
1.2.4 網絡安全與信息化
1963年,日本學者梅棹忠夫在《信息產業論》一書中描繪了“信息革命”和“信息化社會”的前景,預見到信息科學技術的發展和應用將會引起一場全面的社會變革,并將人類社會推入“信息化社會”。1997年4月,我國首屆全國信息化工作會議提出了信息化和國家信息化的定義:“信息化是指培育、發展以智能化工具為代表的新的生產力并使之造福于社會的歷史過程。國家信息化就是在國家統一規劃和組織下,在農業、工業、科學技術、國防及社會生活各個方面應用現代信息技術,深入開發廣泛利用信息資源,加速實現國家現代化進程。”
網絡安全和信息化簡稱為“網信”。2014年2月27日,習近平總書記在中央網信領導小組第一次會議上深刻闡述了網絡安全與信息化之間的辯證關系,提出了“網絡安全和信息化是一體之兩翼、驅動之雙輪,必須統一謀劃、統一部署、統一推進、統一實施”這一重要論斷。此后,我國政策文件明確將網絡安全提升到同信息化并列的地位,如《“十四五”國家信息化規劃》強調“推動網絡安全與信息化發展協調一致、齊頭并進,統籌提升信息化發展水平和網絡安全保障能力”。目前中央和地方黨組織均有設立網絡安全和信息化委員會辦公室,同時也掛牌同級行政機構的互聯網信息辦公室,這些辦公室統稱網信部門。法律和行政法規中的“網信部門”特指“互聯網信息辦公室”,這是因為相關文件不涉及黨內機構的職責。此外,軍事學文獻中“網信”另有含義,一般是指用于指揮控制的“網絡信息體系”。
網絡安全和信息化必須是相輔相成的,既不能忽視網絡安全冒險推進信息化,也不能以網絡安全為名遏制信息化的發展。這種網信一體理念在宏觀和微觀層面都具有深刻的科學內涵。從技術角度講,信息與通信技術(ICT)是網絡安全能力的來源和支柱,信息系統既是網絡安全功能的保護目標,又是網絡安全能力賴以生存的土壤。不僅信息化的發展有賴于網絡安全能力的保障,網絡安全能力的建設也以完善的信息化水平為前提。低下的軟件工程能力無法產生優秀的攻防對抗武器。從人才的角度講,信息系統安全的保障工作,除了依靠專業的網絡安全從業者之外,其實更多依靠的是網絡安全領域之外的ICT工程師。例如,如果軟件開發過程中就強化軟件設計規范,加強代碼審計,就能有效減少產品漏洞。基礎的IT運維工作是安全運營的基石,雖然這些運維工程師并不需要認同自己是網絡安全從業者。從工程的角度講,如果信息系統具有優秀的工程架構和充分的冗余性設計,那它就自然具備了高度的網絡韌性,本身就可以預防多種攻擊,或者在遭到攻擊破壞后能夠快速恢復。這就好比壁虎斷尾求生的本領,讓它更具生命力,這種本領并不涉及同天敵打打殺殺的戰斗力,正如網絡韌性也未必涉及攻防對抗活動。從運營的角度講,組織的信息治理工作與安全治理工作在很大程度上是共通、一致的。例如,企業的信息管理工作需要日常摸排資產和人員情況,企業數據安全合規治理和風險態勢感知也必須以持續摸排企業數據資產、網絡資產和人力資產為前提。信息治理與安全治理的集約化融合不僅是提升運營效率的基本手段,也是確保安全運營效果的重要前提。
1.2.5 網絡安全與數字化
數字化(digitization)這一提法在20世紀的電子工程學科即已出現,是指模擬信號的數值化轉態。這一過程的本質是建立設備對信號強度這類語義的“理解”能力,從而讓數字電路設備以更加靈活的方式廣泛參與信號處理,加速了電子信息科學的發展。進入21世紀以來,信息技術和互聯網不斷重塑著經濟形態和社會生態,此時又出現了“數字化”(digitalization)的呼聲。從字面看,digitalization同digitization的區別在于前者具有使動和賦能意味。新的數字化概念體現為對各類業務流程的改造,改善運營方式和效率,但這僅是潛在結果而非本質特征,用于給數字化下定義是不合適的。
當前,網絡空間正在經歷一次嬗變,在“內容空間”(content space)之上萌生出“語義空間”(semantic space),即建立計算機對業務流程的語義理解。所謂“數字”將不再是內容的序列化表達形式,而是語義內涵的載體。本輪數字化轉型的本質正是語義空間的大規模滋長過程,這一運動延續了科技解放人力的數百年歷史。在幾個世紀前的機械化變革中,人類駕馭熱力學,放大了自身力量。在電氣化革命中,人類借助電磁學和化學,釋放出了巨大能量。目前我們進入了信息化(informationization)時代。信息化有廣義和狹義之分,廣義的信息化涵蓋了后來的數字化、智能化過程。早期的信息化是狹義上的信息化(informatisation,不同于informationization),此時信息技術開始成為經濟社會的基礎設施,但仍停留在內容空間層面,業務運營大量依賴屏幕前的人腦和鍵盤上的雙手,文檔掃描、辦公套件等過渡技術被廣泛使用,機器對業務缺乏理解。如今的數字化轉型中,機器對業務流程任務、角色和上下文的語義理解越發清晰,讓語義空間日趨成形。于是,機器日趨廣泛地介入業務流程的決策和執行,持續卸載人工勞動,并為下一步的智能化轉型奠定基礎。在未來的智能化時代,人工智能不再局限于人臉識別、文本分類等少數典型任務場景,而是對社會空間和內容空間形成深度理解,在此基礎上建立起完備的語義空間,從而廣泛替代人類的決策力與執行力。數字化的另一重要特征是透明化,這意味著原先的灰色地帶將被照入陽光,勢必引發一定的排斥,這也為今天的某些數字化轉型項目埋下了失敗的伏筆。
數字化對網絡安全帶來的影響是雙面的。一方面,數字化帶來了新的暴露面和攻擊面,從而產生了新的安全風險;另一方面,數字化所催生的新技術將極大促進安全防御能力的提升。在數字化時代的安全防御場景下,資產探測取代了人工的資產申報,提升了信息資產臺賬的數據質量;統計機器學習模型開始替代安全專家對網絡威脅的人工判別,增強了安全團隊的戰斗力。雖然人的作用依然不可完全代替,但業務效率和效果已經因自動化水平的提升而有所改觀。當前,網絡安全行業仍是人才短缺狀態下的人力密集型行業,雖以自動化系統為保障對象,自身卻大量使用手工勞動。安全運營的成熟度,不僅取決于安全保障系統自身的建設水平,更重要的是常規業務流程要達到充分的數字化,否則其上的安全運營自動化就無從談起,繁重的安全感知和安全操作任務就難以實現。數字化轉型帶來的效率提升是網絡安全工作所必須牢牢抓住的機遇。
1.2.6 網絡安全與新興技術
大數據、人工智能、云計算、物聯網、5G等不斷涌現的新興技術拓展著網絡安全這一研究領域的邊界。每當一個叫X的新興技術火了起來,安全界多半會產生“X安全”這一相應話題。不過需要澄清的是,不論X代表何物,“X安全”通常具有多重含義。例如,Gartner在2019年發布的一份報告中將“AI安全”的含義解讀成三個方面,分別是人工智能賦能安全防御、人工智能惡意應用帶來的安全威脅以及人工智能自身安全。一般而言,可以將“X安全”分解為保障力、威脅性和暴露面這三個方面。保障力是指X對安全防護能力的增強作用,威脅性是指X對敵手的助力,暴露面對應X自身的安全風險。每出現一個新的X技術,就會產生對應的三個研究課題。當X代表云原生技術時,保障力是指基于云原生環境的安全保障能力,威脅性包括云原生環境中的易攻擊基礎設施,而暴露面則代表了云原生環境下的資產和脆弱性。不過,通常說的云原生安全關注的是云原生暴露面,研究如何對這些暴露面進行保障,但保障措施卻未必是云原生的。當X代表量子技術時,保障力可以包含量子保密通信技術,威脅性包括敵手的量子計算技術對加密算法和安全協議的威脅,暴露面可以指量子設施本身的安全性。