1.1 網絡安全概念內涵

網絡空間安全（cyberspace security）是網絡空間作為信息環境中一個整體域的安全性。為澄清網絡空間安全的概念，需要先解釋何謂網絡空間以及何謂安全。

1.1.1 網絡空間

20世紀60年代，蘇聯政府考慮建立一個基于控制論原理的互聯計算機體系，用于增強計劃經濟資源調度的效果。1962年，蘇聯開啟了全國性的互聯網絡工程——全國自動化會計與系統處理系統（OGAS）計劃。OGAS的首席設計師維克托·格盧什科夫提出了一種三級網絡架構：一個位于莫斯科的網絡中心、約200個位于其他大城市的中級中心以及約20000個位于經濟重要部門的終端。這些計算機利用已有的電話設施進行實時通信，同時各終端間也可互相通信。格盧什科夫進一步提出利用OGAS實現電子支付，廢除紙幣，這在當時屬于非常先進的思想。然而在20世紀70年代，OGAS計劃未能得到充分支持，最終走向了失敗，蘇聯由此失去了引領互聯網發展的機會。

1971年，智利政府在阿連德總統任期內啟動了賽博協同控制（Synco）工程。這是一個聯網化的決策支持系統，意在輔助國家級經濟管理活動。Synco由控制室、經濟模擬器、工廠情況感知軟件和全國電報機網絡四部分組成。Synco的首席架構師是英國運籌學家斯塔福德·比爾。比爾支持阿連德的社會主義理想，支持工人自治權。Synco體現了他的組織控制論理念，主要目標之一就是將工業企業的決策權下放到工人中，最終發展出工廠的自我監管。1973年的軍事政變爆發后，阿連德殉職，Synco也隨之走向墳墓，其控制室遭到摧毀。

伴隨著其他國家的相繼失敗，由美國發起的因特網體系已難覓對手，最終取得了全球壟斷地位。1958年，因蘇聯人造衛星而頗感焦慮的美國政府在國防部下設先進研究計劃署（ARPA）。信息處理技術辦公室（IPTO）是ARPA的核心部門，關注計算機圖形、網絡通信、超級計算機等研究課題。1969年11月，在激烈的冷戰氛圍中，ARPA啟動阿帕網（ARPAnet）的研制，旨在支撐軍事指揮控制需求。20世紀70年代，阿帕網項目的研究人員逐漸發展出基于TCP/IP網絡協議族的因特網（Internet）技術。開放的因特網技術使得零散的網絡可以輕松互聯，迅速成為阿帕網的基本構建方法。1983年，阿帕網一分為二，用于民用科研目的的部分仍叫阿帕網，用于軍方通信的軍事網（MILNET）被分離出去，這標志著因特網轉型為軍民兩用技術。1986年，美國國家科學基金會（NSF）基于因特網技術建立起了NSFnet廣域網。此后，在NSF資助下，美國各大組織紛紛建立自己的局域網，并接入NSFnet，從而使NSFnet網絡快速膨脹。1990年6月，NSFnet徹底取代了阿帕網，成為一個龐大因特網的主干。1995年，NSFnet停止運作，但因特網仍在高速擴張。它不斷地跨越國界，開荒兼并，最終發展成全球一家獨大的計算機網絡，它的名字也被用作代表國際互聯網的專有名詞（the Internet）。

需要注意的是，因特網并非唯一的計算機網絡，計算機網絡也并不等同于網絡空間，而只是網絡空間的一層基礎設施。網絡空間亦稱賽博空間。賽博（cyber）一詞出自美國數學家諾伯特·維納1948年所造的新詞cybernetics（控制論）。1962年，美國學者唐納德·邁克爾再造新詞cybernation代表計算機化自動控制，于是cyber就成了與計算機有關的詞匯的前綴，例如相關科幻流派被稱作賽博朋克（cyberpunk）。1982年，加拿大籍科幻作家威廉·吉布森發表短篇小說《燃燒的鉻》(Burning Chrome)，首次使用了“賽博空間”（cyberspace）一詞，指代人體接入互聯計算機后所進入的幻化時空。1984年，威廉·吉布森發表了長篇科幻名著《神經漫游者》(Neuromancer)，讓賽博空間這一設定為大眾熟知。吉布森對賽博空間的解釋是“把日常生活排斥在外的一種極端的延伸狀況”。他說，“你可以從理論上完全把自己包裹在媒體中，可以不必再去關心周圍實際上在發生著什么”。從這里可以看出，賽博空間的含義包含著對現實物理空間的出離意味，是一個有著完整體系的虛擬世界。然而賽博空間又是從物理空間派生而來的，無法全然擺脫物理空間的支撐，就像火焰無法脫離燃料而獨存。

在科幻文學語境之外，究竟何謂網絡空間？各種觀點從不同的角度給出了多種定義。2006年，美軍參謀長聯席會議出臺的《網絡空間國家軍事戰略》給出的定義是：網絡空間是一個作戰域，其特征是通過互聯的互聯網上的信息系統和相關的基礎設施，應用電子技術和電磁頻譜產生、存儲、修改、交換和利用數據。這個定義充滿了軍事對抗色彩，局限性明顯。2008年1月，美國政府的一份行政令（NSPD-54/HSPD-23）將網絡空間定義為：網絡空間是信息技術基礎設施的相互依賴的網絡，包括互聯網、電信網絡、計算機系統和關鍵工業的嵌入式處理器及控制器。這個定義被廣泛引用，但它單純強調了網絡空間的基礎設施層面，忽視了信息、資源和社會層面，顯得片面。2014年，俄羅斯聯邦的《網絡安全戰略構想》給出了一個定義：信息空間是指與形成、創建、轉換、傳遞、使用、保存信息活動相關的，能夠對個人和社會認知、信息基礎設施和信息本身產生影響的領域；網絡空間是指信息空間中基于互聯網和其他電子通信網絡溝通渠道、保障其運行的技術基礎設施，以及直接使用此渠道和設施的任何形式的人類活動（個人、組織、國家）的領域。俄羅斯版的網絡空間定義強調了通信設施層面和社會層面，而“信息空間”的定義則更接近人們通常所理解的網絡空間的全部內涵。

在2016年張煥國等人發表的《網絡空間安全綜述》一文中，網絡空間被定義為所有信息系統的集合，是人類生存的信息環境，人在其中與信息相互作用、相互影響。在2018年方濱興院士發表的《定義網絡空間安全》一文中，網絡空間被定義為“構建在信息通信技術基礎設施之上的人造空間，用以支撐人們在該空間中開展各類與信息通信技術相關的活動。其中，信息通信技術基礎設施包括互聯網、各種通信系統與電信網、各種傳播系統與廣電網、各種計算機系統、各類關鍵工業設施中的嵌入式處理器和控制器。信息通信技術活動包括人們對信息的創造、保存、改變、傳輸、使用、展示等操作過程，及其所帶來的對政治、經濟、文化、社會、軍事等方面的影響”。楊小牛院士團隊在2018年發文提出網絡空間“三分論”的思想，根據我國國情，將網絡空間劃分為公共互聯網、黨政軍保密網、關鍵基礎設施網共三大類，指出要對三類網絡分而治之[1]。在2021年《網絡空間安全——理解與思考》一文中，馮登國院士對網絡空間的定義是：網絡空間是一個由相關聯的基礎設施、設備、系統、應用和人等組成的交互網絡，利用電子方式生成、傳輸、存儲、處理和利用數據，通過對數據的控制，實現對物理系統的操控并影響人的認知和社會活動[2]。文章指出，網絡空間實際上是一個屏幕后的特殊宇宙空間，在這個空間中，物聯網使得虛擬世界與物理世界加速融合，云計算使得網絡資源與數據資源進一步集中，泛在網（ubiquitous network）保證人、設備和系統通過各種無線或有線手段接入整個網絡，各種網絡應用、設備、系統和人逐漸融為一體。從我國相關法律政策可以看出，我國政府立法保護的網絡空間主要指以互聯網為主體，外延到移動互聯網、工業控制網等與國家公民息息相關的網絡的組合，更接近于學術研究中各類網絡視角和信息視角定義的統稱[3]。

1.1.2 網絡空間與安全

在網絡空間中，安全通常指信息安全（information security，infosec）。信息安全起源于無線電時代的軍事通信保密要求，以密碼學為主要手段。因此，早期的security一詞特指信息保密，外國軍政機關密碼部門的牌匾常帶“安全”字樣，如美國國家安全局之名本意類似“國家通信保密局”。通信保密是密碼部門的公開職能，它們可能還需要嘗試對其他陣營的通信實施解密破譯，從而獲取信號情報。也就是說，這些“安全”機構反倒要靠破壞信息安全為生。為了同時從事兩相沖突的業務目標，有“安全”機構在密碼算法和加密機產品中秘密植入后門，然后在全球推廣，從而暗地里達到“對你保密、對我透明”的效果。這款產品遠銷世界各地，受到各國不知情客戶的長期支持和認可，直到后門一事遭媒體曝光，風波四起。所幸中國政府較為慎重，沒有跟風采買。

目前，業內公認的信息安全是指對信息資產的保密性（confidentiality）、完整性（integrity）和可用性（availability）三要素的保持，這三個要素合稱CIA。保密性是指信息資產不被未授權的用戶訪問或泄露。完整性用于描述信息資產不會未經授權而被篡改，若譯作“完好性”可能更容易正確理解?？捎眯杂脕矶攘恳咽跈嘤脩艉戏ㄔL問信息資產的機會。除了CIA三要素，更廣義的信息安全還包括可控性（controllability）、可靠性（reliability）、可鑒別性（authenticity）、可核查性（accountability）和不可否認性（nonrepudiation）等要素。可控性是指對信息和信息系統實施安全監控管理，防止非法利用信息和信息系統?？煽啃允蔷W絡信息系統能夠在規定條件下和規定時間內完成規定功能的特性。可鑒別性代表一個實體是其所聲稱實體的性質。可核查性是指確保從一個實體的行為能唯一地追溯到該實體的性質。不可否認性，也叫抗抵賴性，用于描述審計機制或舉證能力的存在，使信息源用戶對其操作無法進行事后否認。某些國家使用的術語信息保障（IA）在范圍上比CIA略大，還包括可鑒別性和不可否認性。

一個經常被忽視的信息安全目標是內容合規性（content compliance），即防止黃賭毒等有害內容產生和傳播的能力。內容合規性是世界各國進行網絡空間治理的重要內容。印度于2008年修訂《信息技術法》，規定對冒犯信息（offensive message）應予懲處，將網絡中的色情、兒童情色、暴恐和窺淫列入犯罪，并賦予執法機關對任意計算機信息加以截獲、監聽和解密的權限。英國2021年出臺的《在線安全法草案》(Draft Online Safety Bill)擬將有害內容納入立法。該草案引入了“傷害（harm）”的概念，它將“傷害”定義為“可能使具有普通情感的人產生重大生理或心理不利影響的事物”。2022年4月27日，美國國土安全部成立虛假信息治理委員，以“保護言論自由、公民權利、公民自由和隱私”為名開展互聯網輿論監管。

隨著20世紀末網絡技術和國際互聯網的興起，信息時代已經演進到網絡時代，在大眾認知中信息系統逐漸等同于網絡空間，而信息安全之稱謂也逐漸被網絡安全所替代。我國法律法規和政策文件曾長期采用“信息安全”一詞泛指網絡安全、信息網絡安全、網絡信息安全等概念，直到《網絡安全法》出臺之后，政策文件逐漸將“信息安全”調整為“網絡安全”[4]。人們通常說的網絡安全（cybersecurity）是網絡空間安全（cyberspace security）的簡稱，但有時特指計算機網絡安全（computer network security）。計算機網絡安全是網絡空間安全的分支，關注網絡通信層面的安全防御問題，如遠程訪問控制、網絡協議漏洞、網絡入侵檢測等機制。隨著網絡安全一詞的流行，信息安全的概念有了狹義化趨勢，開始特指主機CIA和內容合規等要素。

近年來，互聯網已從新興事物轉變為泛在設施，而數據則日益成為至關重要的生產要素，因此，有觀點認為我們已經從網絡時代邁入數據時代。一些業內人士開始采用以數據為中心的立場看待信息安全問題，并用廣義的數據安全（data security）術語泛指所有與數據相關的信息安全機制，使得數據安全概念幾乎涵蓋了整個網絡空間安全體系[5]。不過，為了減少歧義，本書仍對數據安全采取狹義的定義，只關注直接作用于動、靜態數據的保護機制。同時，本書下文中將對網絡安全、網絡空間安全和信息安全三個概念互換使用，取廣義含義，涵蓋網絡空間中的所有安全目標（見圖1-1）。