Cyber security與assurance的內涵及中譯名

南湘浩

(東方斯泰克信息技術研究院，北京 101399)

科技名詞中有具體名詞和抽象名詞。具體名詞的定義，無論是音譯也好意譯也好，很少產生歧義。但是，抽象名詞則不同，因為抽象名詞涉及該名詞所涵蓋的范圍，如果定義不準，則產生理解上的偏差。筆者從計算機通信發展的歷史環境，對信息安全領域常用的兩個名詞cyber security和assurance進行分析，考察其所涵蓋的范圍和含義的變化。

20世紀80年代的局域網(local net):一個終端向另一個終端開放，組成了局域網。局域網的出現產生了共享資源，即網絡和數據庫。不同用戶共享一個資源，便產生了安全策略的概念，規定了共享資源的使用原則和控制原則。開始，丹寧(Denning)在Data Security(《數據安全》)一書中定義的策略是discretion(隨意)和mandatory(委托)，而中國的定義是自主控制和強制控制。后來，在美國國防部的“橘皮書”中第一次具體定義了mandatory控制方法，將人員和數據劃分等級的“多級控制”，將通信保密推進到信息安全(information security)新的年代。

20世紀90年代的互聯網(internet):一個局域網向另一個局域網開放，組成了互聯網。在克林頓政府時代，仍叫信息安全時代，但信息安全除信息本身之外還包括了信息系統的安全，并認為互聯網的安全單靠幾個部門不行，要依靠全體網民的共同維護，稱深層次防御戰略，其策略是assurance(把握)。

21世紀初的網際網(cyber net):物聯網(internet of things)的出現，使世界面臨信息網絡向非信息網絡開放的新問題，甚至面臨固定互聯網、移動電話網、防偽物聯網互相開放的新問題。由此可見，cyberspace將包括辦公網絡、交易網絡、社保網絡、醫保網絡、支付網絡、防偽網絡以及數字家庭、智慧城市、智能電網等，由信息網絡和非信息網絡構成新的空間。2005年布什政府第一次明確提出cyber security，其安全策略仍為assurance，但將過去的被動防御策略改為主動管理的策略。

對cyber的解釋有很多不同版本，有社會學角度的解釋，也有技術角度的解釋。這里用的是技術角度的“網際”概念。網際能否準確涵蓋cyber所指的范圍，可以討論，但是，至少在信息安全領域中，其研究對象和cyber所涵蓋范圍是基本吻合的，而且2006年網際網絡(cyber net)、網際安全(cyber security)、網際空間(cyber space)等詞已經有了各自的定義，并被越來越多的人所接受。互聯網初期，曾經出現過“網際網”的提法，不過此時的“網際”指的是局域網之間的界限，而現在的“網際”則指的是不同類型網絡之間的界限，不會引起混亂。

局域網是國外發明的，國外早就研究了局域網的安全策略，而那時我們連“網”都沒有見過，對策略的研究更無從談起。因此新名詞只能從“翻譯”開始，但最終要變成自己的名詞。上面已提到，局域網的安全策略，美國人定義了discretion和mandatory。我們不是研究怎么翻譯，而是研究什么含義。直譯的中文應是“隨便控制”和“委托控制”，但是研究其實質，指的是“自主控制”和“強制控制”。中國的這個策略使用至今，給人以明晰的概念。因此，準確地說，中國的技術名詞應該是“定義”出來的，而不應該是簡單“翻譯”出來的。

“自主控制”是從美國人那里受到啟發，最終變成自己的確定的名詞，而美國人卻始終沒有找出表達“自主”的合適名詞，只是后來把discretion(隨我的意)改為assurance(自我把握)。在這種情況下，我們容易犯兩種錯誤，一種是將專用名詞當成普通名詞，將assurance翻譯成“保障”，當然，在計劃經濟的思維模式下，“自我保障”的概念變為“官方保障”的策略，一直誤導中國的信息安全;另一種是將中國早已做出的準確定義(如“自主”)向動搖不定的美國定義靠攏(如“assurance”)。

至于將cyber音譯成“賽博”，難給人以明晰的概念，因為cyber在英美國家的定義本身很不確定，因此音譯只能由糊涂到糊涂，不產生任何新的啟示，失去了定義的意義。有人將cyberspace稱網絡空間，網絡空間的英文應是networkspace，顯然cyber空間和network空間不是同一個空間，因此網絡空間的提法是不合適的。

中文善于表達“意”，抽象表達是中文的特點，但是過分的抽象，往往做出不切實際的定義。比如，中文的“信息”和英文的information，“信息”是可以“化”的，即信息化，而information是不能“化”的，顯然兩者所指的范疇不相同。“信息”本是information的抽象，從本來的意義上，將cyber理解為“信息”是最合適不過了，只可惜我們已經把“信息”用濫了。