信息安全：從4A到4R林潤(rùn)輝 謝宗曉

（南開(kāi)大學(xué)商學(xué)院）

信息安全：從4A到4R林潤(rùn)輝 謝宗曉

（南開(kāi)大學(xué)商學(xué)院）

信息安全包含信息自身的安全、信息系統(tǒng)的安全及信息安全/信息系統(tǒng)安全引發(fā)的傳統(tǒng)安全三個(gè)層次的內(nèi)涵。信息技術(shù)和網(wǎng)絡(luò)技術(shù)改變了人的思考方式和行為模式，改變了安全管理中技術(shù)與管理的角色。提高信息安全需要打造信息安全研究與實(shí)踐的知識(shí)價(jià)值鏈。

信息安全 傳統(tǒng)安全 信息系統(tǒng) 知識(shí)價(jià)值鏈

信息安全管理系列之四

網(wǎng)絡(luò)的普及為信息安全帶來(lái)了嶄新的視角和前所未有的挑戰(zhàn)。在信息技術(shù)發(fā)展日新月異的背景下，信息安全內(nèi)涵結(jié)構(gòu)的搭建，信息安全研究?jī)r(jià)值鏈的明確，都會(huì)為信息安全的理論研究和實(shí)踐探索打下堅(jiān)實(shí)的基礎(chǔ)。本文對(duì)4A（Anytime Anywhere Any type of information to Anybody）的信息化時(shí)代，如何實(shí)現(xiàn)4R（Right information to Right people at Right time in Right place）的信息安全進(jìn)行了重新思考。

謝宗曉（特約編輯）

信息，一個(gè)事物的本質(zhì)，不確定性的削減，具有特定含義的數(shù)據(jù)；安全，一種狀態(tài)，一種風(fēng)險(xiǎn)控制的客觀狀態(tài)，或者一個(gè)主體預(yù)期的狀態(tài)。今天信息技術(shù)高度發(fā)展，使得4A（Anytime Anywhere Any type of information to Anybody）成為可能，但是實(shí)現(xiàn)4R（Right information to Right people at Right time in Right place），面臨新的挑戰(zhàn)。信息時(shí)代，4A不再是夢(mèng)想，但我們的目標(biāo)是實(shí)現(xiàn)4R，信息技術(shù)的發(fā)展使得我們不斷接近這個(gè)目標(biāo)；信息安全問(wèn)題就是錯(cuò)誤的人在錯(cuò)誤的時(shí)間、地點(diǎn)發(fā)布或者獲得錯(cuò)誤的信息，并導(dǎo)致一定的后果。今天，信息技術(shù)和網(wǎng)絡(luò)技術(shù)讓信息安全問(wèn)題更加“復(fù)雜”。

1 信息安全內(nèi)涵的三個(gè)層次

1.1 第一個(gè)層次——信息（自身）的安全（Information Safety, IS-1）

信息安全問(wèn)題自古就存在，早于現(xiàn)代信息技術(shù)，如過(guò)去對(duì)于藏寶圖的爭(zhēng)奪，以及“蔣干盜書”等通過(guò)信息誤導(dǎo)，削弱曹軍戰(zhàn)斗力等都是信息（自身）安全問(wèn)題的例子?，F(xiàn)在，我們將信息視為資產(chǎn)，它對(duì)于正確決策、企業(yè)競(jìng)爭(zhēng)、戰(zhàn)爭(zhēng)勝負(fù)至關(guān)重要。要提高信息的安全性，需要采取一些措施，被動(dòng)措施包括藏匿、鎖閉、人工守衛(wèi)看管、以及加密信息，主動(dòng)措施包括釋放假的情報(bào)等，進(jìn)行基于信息安全的博弈。從而實(shí)現(xiàn)信息自身安全，以及由于信息安全帶來(lái)的組織安全。

今天，信息化和全球化時(shí)代，信息成為組織的戰(zhàn)略性資源，信息安全更加重要；尤其是對(duì)于那些信息密集型組織，如輕資產(chǎn)公司，信息成為戰(zhàn)略核心資源，信息安全是組織生存、發(fā)展、創(chuàng)新之根本；所以，在物聯(lián)網(wǎng)、互聯(lián)網(wǎng)和社會(huì)網(wǎng)絡(luò)互動(dòng)的時(shí)代，即時(shí)產(chǎn)生海量信息，信息質(zhì)量需要鑒別，過(guò)載信息、虛假信息、無(wú)關(guān)信息、過(guò)時(shí)信息無(wú)處不在，這些信息自身就有安全問(wèn)題。

同時(shí)我們也應(yīng)看到，信息技術(shù)強(qiáng)化了信息自身的安全：加密、身份認(rèn)證鑒別、電子簽名、數(shù)字時(shí)間戳、安全協(xié)議、系統(tǒng)和軟件管理、防火墻等，成為了（數(shù)字化）信息的防盜竊、防偵聽(tīng)、防冒用、防抵賴、防篡改、防止時(shí)間糾紛的利器；分布式存儲(chǔ)以及鏡像、備份使得信息避免災(zāi)險(xiǎn)損害；傳感器等提高了信息采集質(zhì)量；數(shù)據(jù)庫(kù)提高了數(shù)據(jù)的組織、管理、訪問(wèn)、授權(quán)安全，數(shù)據(jù)倉(cāng)庫(kù)及其挖掘技術(shù)提高了對(duì)于數(shù)據(jù)的清洗和管理能力，并可以在信息安全的基礎(chǔ)上進(jìn)一步發(fā)揮信息的價(jià)值；這些是信息技術(shù)對(duì)于信息本身安全積極影響的主流。

當(dāng)然，廣泛使用的信息技術(shù)、網(wǎng)絡(luò)技術(shù)，也使得組織產(chǎn)生了對(duì)于信息技術(shù)、信息系統(tǒng)的高度依賴性，導(dǎo)致信息攻擊的目標(biāo)更加集中，使得攻擊的物理距離變得無(wú)足輕重，攻擊可以無(wú)處不在，所以也帶來(lái)了信息自身安全的風(fēng)險(xiǎn)。也就是說(shuō)日益普及的信息技術(shù)和信息系統(tǒng)使得組織對(duì)于信息的管理過(guò)度依賴信息系統(tǒng)，信息系統(tǒng)的安全可能會(huì)影響信息本身的安全。這個(gè)問(wèn)題確實(shí)存在。

1.2 第二個(gè)層次——信息系統(tǒng)的安全（Information Systems Security, IS-2）

信息系統(tǒng)是信息采集、加工、存儲(chǔ)、組織、管理、傳播的工具，是信息處理的硬件、軟件、網(wǎng)絡(luò)支撐體系的集合；信息系統(tǒng)的安全直接導(dǎo)致信息的安全；信息系統(tǒng)安全包括計(jì)算機(jī)、服務(wù)器、傳感器、網(wǎng)絡(luò)設(shè)備、移動(dòng)終端等設(shè)備的硬件安全，也包括操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)等的軟件安全，還包括整體的網(wǎng)絡(luò)安全；上述信息系統(tǒng)的安全影響它管理、運(yùn)行的信息自身的安全。比如組織信息集中管理之后，異地備份之前，火災(zāi)、地震等災(zāi)險(xiǎn)導(dǎo)致了一些銀行、證券公司服務(wù)器、數(shù)據(jù)庫(kù)損害，造成核心信息丟失，財(cái)產(chǎn)損失，甚至公司破產(chǎn)；“911”等危機(jī)事件也造成世貿(mào)中心眾多公司核心數(shù)據(jù)損毀，形成不可估量的損失；最近（2014年11月10日）美國(guó)互聯(lián)網(wǎng)安全企業(yè)發(fā)出警告，某品牌智能手機(jī)、平板電腦等產(chǎn)品的操作系統(tǒng)存在漏洞，黑客能夠誘使用戶給正版軟件“升級(jí)”，實(shí)則以冒牌軟件取代用戶原本安裝的正版軟件，從而盜取關(guān)鍵的用戶數(shù)據(jù)。信息系統(tǒng)的安全也導(dǎo)致和信息系統(tǒng)高度嵌入、連接的其他物理世界業(yè)務(wù)系統(tǒng)的安全，如基于網(wǎng)絡(luò)的全球金融系統(tǒng)安全，股票交易系統(tǒng)安全，直接影響對(duì)象的財(cái)務(wù)安全；地鐵、航空、交通系統(tǒng)直接影響交通秩序甚至生命安全。

1.3 第三個(gè)層次——信息自身安全、信息系統(tǒng)安全（或者通過(guò)信息自身安全）引致的傳統(tǒng)安全（Traditional Security derived from IS-1 and/or IS-2, IS-3）

其表現(xiàn)為傳統(tǒng)的生命、財(cái)產(chǎn)安全，行業(yè)關(guān)聯(lián)的生產(chǎn)安全、交通安全、金融安全，乃至國(guó)家、社會(huì)安全等。

網(wǎng)絡(luò)攻擊、無(wú)人機(jī)的應(yīng)用，使得網(wǎng)絡(luò)戰(zhàn)、信息戰(zhàn)成為新升級(jí)的戰(zhàn)爭(zhēng)模式，致使信息自身的安全直接影響生命、財(cái)產(chǎn)安全，乃至國(guó)防安全；公司的信息安全直接影響決策準(zhǔn)確性，以至公司興衰；地震預(yù)報(bào)信息、謠言等直接影響民眾情緒和公共秩序與安全；信息系統(tǒng)深度嵌入業(yè)務(wù)系統(tǒng)，金融信息系統(tǒng)不安全，會(huì)導(dǎo)致銀行系統(tǒng)崩潰，引致財(cái)產(chǎn)安全和社會(huì)混亂；交通信息系統(tǒng)故障，會(huì)導(dǎo)致交通事故，引致生命、財(cái)產(chǎn)安全；電網(wǎng)信息系統(tǒng)問(wèn)題，會(huì)形成能源事故，引致社會(huì)運(yùn)行癱瘓。

當(dāng)然，各類信息系統(tǒng)也通過(guò)對(duì)于信息的管理強(qiáng)化了組織的傳統(tǒng)安全，如防火警報(bào)系統(tǒng)提升了防火安全，傳感器、視頻監(jiān)控提高了有形財(cái)產(chǎn)安全的等級(jí)，瓦斯傳感器和煤礦爆炸預(yù)警系統(tǒng)提高了采掘作業(yè)的生產(chǎn)安全能力。

以上信息安全的三個(gè)層次相互關(guān)聯(lián)、相互影響，形成了信息安全管理的核心和分析基礎(chǔ)。

2 信息安全管理面臨的新挑戰(zhàn)

信息技術(shù)改變了安全管理中技術(shù)與管理的角色，因?yàn)樾畔⒓夹g(shù)改變了人的思考方式和行為模式。

2.1 信息技術(shù)改變了人們對(duì)于安全的理解

隱私（涉及個(gè)人信息安全）的邊界在模糊和變化；公司組織對(duì)于專利等知識(shí)產(chǎn)權(quán)的理解在發(fā)生變化，在保護(hù)知識(shí)產(chǎn)權(quán)的同時(shí)，提出了反專利權(quán)濫用運(yùn)動(dòng)，甚至一些公司利用信息、數(shù)據(jù)公開(kāi)，通過(guò)開(kāi)放式創(chuàng)新去獲取信息共享收益。自由軟件運(yùn)動(dòng)、開(kāi)源運(yùn)動(dòng) （開(kāi)發(fā)源代碼促進(jìn)會(huì)），共享知識(shí)產(chǎn)權(quán)運(yùn)動(dòng)等也屬于此類。

2.2 信息技術(shù)影響安全管理的手段和效果

安全管理可以從技術(shù)層面和管理層面入手，傳統(tǒng)安全管理包括人防（制度、管理手段）和技防（技術(shù)手段），信息安全涉及的安全對(duì)象“信息”直接和人的意識(shí)、決策和行為相關(guān)，信息安全涉及的技術(shù)支撐“IT和IS”是信息安全的技術(shù)支持和技術(shù)載體，這使得信息安全管理需要重新考慮人防與技防的關(guān)系，人、組織、制度、技術(shù)對(duì)于信息安全的影響更加“復(fù)雜”，厘清他們的影響機(jī)理更具有挑戰(zhàn)性。所以，對(duì)于信息安全的研究，要回到人、信息、安全、信息技術(shù)的本源，因?yàn)樾畔⒓夹g(shù)改變著人與信息的關(guān)系，信息又影響著人對(duì)安全的認(rèn)識(shí)，甚至在某些領(lǐng)域安全方面，交給機(jī)器可靠，還是交給人可靠的問(wèn)題，信息安全領(lǐng)域的人機(jī)分工問(wèn)題，都引起了新的討論。

3 信息安全研究與實(shí)踐的知識(shí)價(jià)值鏈

鑒于信息安全的多個(gè)層次及其相互影響，以及信息時(shí)代，人、信息、安全、制度、技術(shù)的內(nèi)在聯(lián)系，信息安全成為一個(gè)更具魅力的研究和實(shí)踐領(lǐng)域，等待我們?nèi)ヌ剿鳌?/p>

3.1 建立信息安全的系統(tǒng)模型

系統(tǒng)模型包括信息安全問(wèn)題的誘因、信息安全的三層次內(nèi)容（對(duì)象），以及信息安全的主體（對(duì)于誰(shuí)的安全）。

如上分析，信息安全有三個(gè)層次：信息（自身）的安全;信息系統(tǒng)的安全，信息系統(tǒng)安全導(dǎo)致的信息安全;信息安全和信息系統(tǒng)安全引致的傳統(tǒng)（生命、財(cái)產(chǎn)、物質(zhì)、社會(huì)、心理）安全。

信息安全問(wèn)題的誘因包括環(huán)境因素和人的因素，環(huán)境因素需要區(qū)分是災(zāi)險(xiǎn)還是其他不可抗力；人的因素比較復(fù)雜，需要區(qū)分惡意動(dòng)機(jī)，還是無(wú)意的行為導(dǎo)致安全問(wèn)題。惡意又包括盜竊、破壞、攻擊行為引發(fā)的信息安全，無(wú)意行為則包括違規(guī)，以及無(wú)知和無(wú)意識(shí)。針對(duì)不同的誘因需要不同的信息安全管理措施。

還要考慮信息安全承受主體的因素，即誰(shuí)是信息安全定義主體和信息安全問(wèn)題后果的承受主體，這可以是國(guó)家、政府、包括企業(yè)在內(nèi)的各類組織，以及個(gè)人，從這個(gè)角度分為國(guó)家信息安全、領(lǐng)域信息安全、企業(yè)（組織）信息安全以及個(gè)人信息安全（如隱私）等；信息安全效果可以分為客觀安全如規(guī)范安全、實(shí)質(zhì)安全、規(guī)律安全以及承受主體的主觀安全，如感知安全。

信息安全的系統(tǒng)模型可以幫助我們識(shí)別信息安全的目標(biāo)、邊界，要素及其關(guān)系，從而從利益相關(guān)者、過(guò)程等角度設(shè)計(jì)管理機(jī)制，實(shí)現(xiàn)信息安全目標(biāo)。

3.2 研究信息安全的利益相關(guān)者模型和過(guò)程模型

以企業(yè)信息安全為例，需要回答哪些主體是信息安全的利益相關(guān)者。首先哪些是信息安全的誘發(fā)主體，如攻擊者、黑（駭）客、竊密者；哪些是信息安全外部積極主體，如監(jiān)管者、信息安全服務(wù)提供者；哪些是內(nèi)部利益相關(guān)者，包括信息安全的承受主體、企業(yè)法人以及責(zé)任者，如企業(yè)首席執(zhí)行官（CEO）、首席信息官（CIO），還包括IT部門、信息安全部門、業(yè)務(wù)部門，直至各位員工；進(jìn)一步分析是誰(shuí)誘發(fā)信息安全問(wèn)題？誰(shuí)承擔(dān)后果或責(zé)任？誰(shuí)設(shè)計(jì)制度、采取措施？誰(shuí)引入、開(kāi)發(fā)技術(shù)去管理信息安全？信息安全目標(biāo)如何受到內(nèi)部主體的影響和多大程度受到外部監(jiān)管主體（政府、上層組織、集團(tuán)總部、行業(yè)協(xié)會(huì)）的影響？不同組織信息安全的利益相關(guān)者的角色和影響機(jī)理不同，也展現(xiàn)了信息安全多彩的現(xiàn)實(shí)圖景。

信息安全實(shí)踐的多樣性、復(fù)雜性，要求我們進(jìn)行信息安全的系統(tǒng)研究，這需要廣大同仁的共同努力，打造信息安全研究與實(shí)踐的知識(shí)價(jià)值鏈。

3.3 信息安全相關(guān)基礎(chǔ)科學(xué)的研究

研究?jī)?nèi)容包括信息、安全、信息安全、信息安全管理的內(nèi)涵和本質(zhì)，尤其具有挑戰(zhàn)性和深意的研究課題包括：信息技術(shù)和信息安全的關(guān)系，信息和安全的關(guān)系，信息與安全感知的關(guān)系，信息安全三個(gè)層次內(nèi)涵間的關(guān)系，是否各類引致安全都源于本質(zhì)上的信息安全？信息安全是否是其他安全的基礎(chǔ)？以及跨層次的信息安全及其傳遞問(wèn)題，等等。

（1）信息安全知識(shí)和規(guī)律方面

我們需要關(guān)心信息安全尤其是組織信息安全管理的知識(shí)基礎(chǔ)，信息安全管理是一個(gè)制度問(wèn)題、技術(shù)問(wèn)題，還是綜合問(wèn)題，這似乎達(dá)成了共識(shí)；是一個(gè)治理問(wèn)題（信息權(quán)的制度設(shè)計(jì)和實(shí)施），還是管理問(wèn)題，需要進(jìn)一步探討；我們可以向密碼學(xué)、犯罪學(xué)、醫(yī)學(xué)、學(xué)習(xí)理論、安全科學(xué)借鑒什么？同樣通過(guò)信息安全的研究我們可以給相關(guān)領(lǐng)域做出什么理論貢獻(xiàn)？

（2）信息安全（最佳）實(shí)踐和標(biāo)準(zhǔn)方面

信息安全管理也是一個(gè)實(shí)踐總結(jié)提升的過(guò)程，需要結(jié)合科學(xué)和規(guī)律研發(fā)信息安全標(biāo)準(zhǔn)和規(guī)范，基于此，信息安全標(biāo)準(zhǔn)得以推廣；產(chǎn)業(yè)層面進(jìn)入制度、管理、技術(shù)創(chuàng)新擴(kuò)散周期，企業(yè)組織進(jìn)入信息安全制度、信息安全技術(shù)規(guī)劃—引進(jìn)—實(shí)施—改進(jìn)的循環(huán)，如此往復(fù)，推動(dòng)信息安全管理、技術(shù)標(biāo)準(zhǔn)的不斷成熟和演進(jìn)。

全球范圍內(nèi)，信息安全領(lǐng)域面臨新的挑戰(zhàn)。我國(guó)信息技術(shù)進(jìn)入應(yīng)用的關(guān)鍵階段，信息安全問(wèn)題及其重要性日益凸顯。迫切需要各界攜手共同打造信息安全管理的知識(shí)價(jià)值鏈，通過(guò)信息安全知識(shí)、信息、經(jīng)驗(yàn)、最佳實(shí)踐共享，將信息安全管理研究和實(shí)踐探索結(jié)合起來(lái)，推動(dòng)中國(guó)信息安全的進(jìn)步，推動(dòng)信息安全從4A到4R的發(fā)展。

Information Security: from 4A to 4R

Lin Runhui Xie Zongxiao
( Business School, Nankai University )

Information security consists of information safety, information system security and traditional security which is derived from information security. Information technology and network technology has changed people's way of thinking and behavior patterns, and changed the roles of technology and institution in information security management. Improving information security needs to build knowledge value chain of information security research and practice.

information security, traditional security, information system, knowledge value chain