從行為信息安全研究到行為網(wǎng)絡(luò)安全研究

謝宗曉（南開(kāi)大學(xué)商學(xué)院）李康宏（揚(yáng)州大學(xué)商學(xué)院）

從行為信息安全研究到行為網(wǎng)絡(luò)安全研究

謝宗曉（南開(kāi)大學(xué)商學(xué)院）
李康宏（揚(yáng)州大學(xué)商學(xué)院）

本文對(duì)信息安全研究的主要方向進(jìn)行了梳理，由此給出了行為信息安全研究所處的位置，并介紹了該研究領(lǐng)域的關(guān)注點(diǎn)。最后，討論了在網(wǎng)絡(luò)空間中個(gè)體行為所表現(xiàn)的不同特征，指出研究趨勢(shì)必然從行為信息安全研究過(guò)渡到行為網(wǎng)絡(luò)安全研究。

網(wǎng)絡(luò)空間安全網(wǎng)絡(luò)安全信息安全行為信息安全研究行為網(wǎng)絡(luò)安全研究

1　信息安全的主要研究方向

1.1密碼學(xué)（cryptography）

從之前的討論中，我們可以看出，“信息安全”的詞匯隨著“載體”或者“關(guān)注點(diǎn)”保持了持續(xù)的變化，從“通信安全”“計(jì)算機(jī)安全”，到“網(wǎng)絡(luò)安全（network security）”直至“信息安全”［1］，本質(zhì)都是為了保護(hù)最核心的資產(chǎn)，即“信息”。ISO/IEC 27000：2014中對(duì)信息安全的定義為：保證信息的保密性（confidentiality）、完整性（integrity）和可用性（availability）；另外也可包括例如真實(shí)性（authenticity）、可核査性（accountability）、不可否認(rèn)性（non-repudiation）和可靠性（reliability）等。

這其中的諸多安全屬性主要依靠密碼學(xué)的相關(guān)技術(shù)或機(jī)制解決［2］，具體如表1所示，表中的數(shù)據(jù)來(lái)自GB/T 9387.2—1995 / ISO 7498-2：1989。

表1　安全服務(wù)與安全機(jī)制

因此，一直以來(lái)，密碼學(xué)都是信息安全最重要的研究方向之一。在通信安全時(shí)代及其之前，載體方面主要防止竊聽(tīng)，這并不需要形成單獨(dú)的學(xué)科，最重要的安全措施是加密傳輸，但是在計(jì)算機(jī)與信息系統(tǒng)出現(xiàn)之后，僅靠消息加解密已經(jīng)不能解決所有的問(wèn)題，更重要的是，在信息大爆炸的時(shí)代，這不現(xiàn)實(shí)也沒(méi)必要。

信息安全引起廣泛重視，一個(gè)很重要的原因還是信息系統(tǒng)的普及。圍繞信息系統(tǒng)，存在兩個(gè)最重要的研究方向，即關(guān)注如何設(shè)計(jì)信息系統(tǒng)的計(jì)算機(jī)科學(xué)與技術(shù)領(lǐng)域，以及關(guān)注如何應(yīng)用信息系統(tǒng)的信息系統(tǒng)管理領(lǐng)域，具體如圖1所示。

圖1　幾個(gè)信息安全學(xué)科之間的關(guān)系

通過(guò)圖1，也給出了解決信息安全問(wèn)題的兩種主要途徑：一是技術(shù)，即通過(guò)安全防護(hù)系統(tǒng)加固現(xiàn)有的信息系統(tǒng)；或者二，通過(guò)管理，即通過(guò)信息安全制度加強(qiáng)對(duì)個(gè)體行為的約束。

1）在GB/T 5271.8—2001中“保密性”和“機(jī)密性”是混用的，可以不區(qū)分。

1.2起源于計(jì)算機(jī)領(lǐng)域的安全防護(hù)系統(tǒng)研發(fā)

防火墻、防病毒和入侵檢測(cè)系統(tǒng)（Intrusion Detection Systems，IDS）等信息安全防護(hù)系統(tǒng)研發(fā)是目前實(shí)踐中最常見(jiàn)的手段，也是研究領(lǐng)域的熱點(diǎn)之一。按照Basie von Solms［3，4］對(duì)信息安全實(shí)踐的劃分，技術(shù)部署是最早出現(xiàn)的浪潮。當(dāng)然，在今天的信息安全實(shí)踐中，已經(jīng)不再可以區(qū)分技術(shù)手段還是管理手段，更多的是關(guān)注安全目標(biāo)，例如，在ISO/ IEC 27001：2013中，一個(gè)安全控制目標(biāo)所對(duì)應(yīng)的不僅是技術(shù)，也包括管理。

1.3起源于管理學(xué)領(lǐng)域的信息系統(tǒng)安全管理

單純的技術(shù)不會(huì)解決任何問(wèn)題，在目前信息安全業(yè)界已經(jīng)得到公認(rèn)［5］。首先，技術(shù)不是萬(wàn)能的，不能解決所有的問(wèn)題；此外，即使是技術(shù)系統(tǒng)，最終需要人去操作，依然需要相應(yīng)的制度或策略。例如，防火墻策略的配置。即使在“最技術(shù)”的密碼學(xué)領(lǐng)域，BruceSchneier也曾經(jīng)指出“再?gòu)?qiáng)的密碼算法也抵不過(guò)前克格勃的美女”［6］。

2　為什么研究重點(diǎn)會(huì)轉(zhuǎn)移到行為信息安全

2.1安全機(jī)制中最薄弱的環(huán)節(jié)

普遍認(rèn)為，人是安全機(jī)制中最薄弱的環(huán)節(jié)，航空領(lǐng)域的諸多事故基本證實(shí)了這一點(diǎn)。在集中計(jì)算時(shí)代，每一個(gè)管理員都如同飛行員一樣，都是專(zhuān)業(yè)人員，這種脆弱性表現(xiàn)的并不突出。但是在個(gè)人PC廣泛普及的時(shí)代，人在安全機(jī)制中的脆弱性就暴露無(wú)遺。

以信息安全風(fēng)險(xiǎn)評(píng)估為例。在集中計(jì)算的時(shí)代，信息安全風(fēng)險(xiǎn)評(píng)估并沒(méi)有完整的流程，而是一系列的檢查表（checklist）［7］，例如PD3000系列。這實(shí)際是最經(jīng)濟(jì)，也是最有效的方式之一，例如在其他行業(yè)，醫(yī)療領(lǐng)域的新生兒阿普加（Apgar）評(píng)分表2），原理不復(fù)雜，但是有效地降低了新生兒死亡率，到現(xiàn)在仍然應(yīng)用于臨床。再如，飛行員做安全檢查的主要依據(jù)是一系列的檢查表。但是，要使定性的檢查表有效，一個(gè)重要前提是操作者是專(zhuān)業(yè)人員，因此當(dāng)分布式計(jì)算時(shí)代來(lái)臨的時(shí)候，檢查表就不再能夠有效地發(fā)揮作用。或者說(shuō)，基于主觀判斷的檢查表并不適用于非專(zhuān)業(yè)人員，于是促生了現(xiàn)在常用的“經(jīng)典六因素法”（資產(chǎn)，威脅，脆弱性，控制措施，可能性和影響），信息安全風(fēng)險(xiǎn)評(píng)估成了規(guī)范的流程/方法，檢查表只是其中的一個(gè)技術(shù)工具。

2.2行為信息安全研究出現(xiàn)的必然性

在很多行業(yè)，從對(duì)技術(shù)的關(guān)注轉(zhuǎn)向?qū)θ说年P(guān)注也是一個(gè)必然過(guò)程，在每個(gè)人都可以操作的系統(tǒng)中表現(xiàn)的尤為明顯，主要因?yàn)椋旱谝唬夹g(shù)是新生事物，而不是必然存在的，因此在發(fā)展的開(kāi)始階段，更多地考慮技術(shù)進(jìn)步，但是技術(shù)一旦成熟，如何應(yīng)用就成了關(guān)注的重點(diǎn)；第二，技術(shù)的進(jìn)步在某種程度上是可控的，是一個(gè)不斷迭代的過(guò)程，但是人類(lèi)本身的進(jìn)步卻是緩慢的，在短時(shí)間內(nèi)不會(huì)超越生理極限，而且以系統(tǒng)論的觀點(diǎn)來(lái)看，越復(fù)雜的系統(tǒng)，可能越不可靠，人恰恰是最復(fù)雜的系統(tǒng)。

此外，限定只有專(zhuān)業(yè)人員操作的行業(yè)可以通過(guò)規(guī)范操作等途徑來(lái)加強(qiáng)管理，例如航空業(yè)，但是每個(gè)人都可以操作的信息系統(tǒng)則很難實(shí)現(xiàn)，行為表現(xiàn)出更大的復(fù)雜性且操作者不能挑選。在航空安全等領(lǐng)域，人類(lèi)工效學(xué)（ergonomics）或人因因素（human factors）主要是針對(duì)專(zhuān)業(yè)人員，使用者或者旅客等對(duì)安全的影響有限。

在這種背景下，國(guó)際信息處理聯(lián)合會(huì)（International Federation for Information Processing，IFIP） TC8/WG11 和TC11/WG133）在2013年定義了行為信息安全研究方向［8］，主要關(guān)注信息安全中的個(gè)體行為。行為信息安全在學(xué)科中的位置如圖2所示。

圖2　行為信息安全研究在學(xué)科中的位置示意

2） Apgar是膚色（appearence）、心率（pulse）、對(duì)刺激的反應(yīng)（grimace）、肌張力（activity）和呼吸（respiration）五個(gè)英文單詞的首字母組合。

3）國(guó)際信息處理聯(lián)合會(huì)的技術(shù)委員會(huì)中，第8技術(shù)委員會(huì)為信息系統(tǒng)，其中第11工作組為信息系統(tǒng)安全研究。該工作組與第11技術(shù)委員會(huì)的第13工作組聯(lián)合研發(fā)，第11技術(shù)委員為信息處理系統(tǒng)中的安全與隱私保護(hù)，第13工作組為信息系統(tǒng)安全研究。

行為信息安全研究大致起源于1990年，期間經(jīng)歷了產(chǎn)生、發(fā)展、形成和定義等階段，在后續(xù)的文章中，我們將陸續(xù)介紹。

在實(shí)踐中，流行的信息安全架構(gòu)已經(jīng)將個(gè)體行為的要素考慮在內(nèi)，例如，ISO/IEC 27001：2013中，“A.7人力資源安全”從人員任用的角度考慮信息安全；“A.9.3 用戶責(zé)任”從用戶角度考慮訪問(wèn)控制問(wèn)題。因此，信息系統(tǒng)安全管理的研究重點(diǎn)已經(jīng)從“怎么做系統(tǒng)”轉(zhuǎn)化為“怎么用系統(tǒng)”。

3　網(wǎng)絡(luò)空間中個(gè)體行為的虛擬化

行為信息安全研究的主要關(guān)注點(diǎn)還是停留在“物理人”，隨著網(wǎng)絡(luò)空間（cyberspace）的發(fā)展，更多的威脅來(lái)自“虛擬人”［9］，雖然虛擬人是建立在物理人的基礎(chǔ)上，但是兩者的個(gè)體行為表現(xiàn)出很明顯的區(qū)別。圖3給出了物理人與虛擬人關(guān)系的示例。

圖3　物理人與虛擬人關(guān)系示例

與現(xiàn)實(shí)世界相比較，網(wǎng)絡(luò)空間中的個(gè)體行為主要有如下特征：

（1）在網(wǎng)絡(luò)空間中，個(gè)體數(shù)量眾多，行為也更多樣化。在物理世界，人的數(shù)量是有限的，但是在網(wǎng)絡(luò)空間中，一個(gè)人可以同時(shí)以各種表現(xiàn)迥異的角色出現(xiàn)，例如，在微博同時(shí)開(kāi)幾個(gè)賬號(hào)，以不同的身份發(fā)表言論。單個(gè)的虛擬人在網(wǎng)絡(luò)空間中的行為可能比物理世界的人要簡(jiǎn)單得多，但是由于數(shù)量眾多所帶來(lái)的多樣性更難以預(yù)測(cè)。實(shí)踐已經(jīng)證明，在網(wǎng)絡(luò)空間中，個(gè)體更容易表現(xiàn)出極端行為或非主流小眾行為，雖然這些極端行為不能直接造成人身傷害，但是極端的言論具有很大的危害。

（2）在網(wǎng)絡(luò)空間中，個(gè)體違規(guī)能力更弱，但是違規(guī)意愿更強(qiáng)。在現(xiàn)實(shí)世界中，每一個(gè)人都有一定的違規(guī)能力，即使是弱者。但是在網(wǎng)絡(luò)空間中，絕大部分的人都屬于技術(shù)上的菜鳥(niǎo)，并不具備違規(guī)能力，因此表現(xiàn)出的弱者特征更加明顯，例如發(fā)牢騷、發(fā)表威脅性的言論等。心理學(xué)的諸多研究表明，人在感受到威脅時(shí)更容易表現(xiàn)出攻擊性，加上缺乏足夠的能力或解決途徑，因此在網(wǎng)絡(luò)空間中，語(yǔ)言暴力往往更加突出。同時(shí)，由于違規(guī)能力弱，更容易導(dǎo)致“抱團(tuán)取暖”，從而容易形成群體行為。

（3）在網(wǎng)絡(luò)空間中，個(gè)體更具備機(jī)會(huì)主義特征。現(xiàn)實(shí)世界的秩序已經(jīng)形成，機(jī)會(huì)主義缺乏足夠的土壤。但是在網(wǎng)絡(luò)空間中，違規(guī)的成本更低，甚至可以反復(fù)“復(fù)活”，新游戲規(guī)則下，個(gè)體更具備機(jī)會(huì)主義特征。例如，在現(xiàn)實(shí)世界中，一個(gè)人在街上發(fā)牢騷，出于自保，一般不會(huì)有太多響應(yīng)，除非引起足夠的共鳴。在網(wǎng)絡(luò)空間中不同，這種“見(jiàn)義勇為”的成本很低，圍觀者甚至將辨別事實(shí)的步驟都省略了就參與進(jìn)來(lái)。

綜上所述，由于個(gè)體行為所表現(xiàn)出的不同特征，個(gè)體信息安全行為研究應(yīng)該過(guò)渡到行為網(wǎng)絡(luò)安全研究，從而對(duì)網(wǎng)絡(luò)空間中的個(gè)體行為給與更多的關(guān)注。

［1］謝宗曉. 信息安全、網(wǎng)絡(luò)安全及賽博安全相關(guān)詞匯辨析［J］.中國(guó)標(biāo)準(zhǔn)導(dǎo)報(bào)， 2015（12）：30-32.

［2］GB/T 9387.2—1995/ISO7498-2：1989信息處理系統(tǒng)開(kāi)放系統(tǒng)互連基本參考模型第2部分：安全體系結(jié)構(gòu)

［3］Basie von Solms.Information security—the third wave［J］. Computer& Security 2000 （19）： 615-620.

［4］Basie von Solms. Information security—The fourth wave［J］. Computer& Security 2006（25）165-168.

［5］林潤(rùn)輝，李大輝，謝宗曉，等. 信息安全管理理論與實(shí)踐［M］. 北京：中國(guó)質(zhì)檢出版社/中國(guó)標(biāo)準(zhǔn)出版社，2015.

［6］Bruce Schneier. 應(yīng)用密碼學(xué)：協(xié)議算法與C源程序［M］.吳世忠，等譯，北京：機(jī)械工業(yè)出版社，2000.

［7］趙戰(zhàn)生，謝宗曉. 信息安全風(fēng)險(xiǎn)評(píng)估［M］. 2版. 北京：中國(guó)質(zhì)檢出版社/中國(guó)標(biāo)準(zhǔn)出版社，2015.

［8］Crossler R E，Johnston A C，Lowry P B，et al. Future directions for behavioral information security research［J］. Computers & Security.2013（32）： 90-101.

［9］謝宗曉. 關(guān)于網(wǎng)絡(luò)空間（cyberspace）及其相關(guān)詞匯的再解析［J］. 中國(guó)標(biāo)準(zhǔn)導(dǎo)報(bào)，2016（02）：26-28.

From Behavioral InfoSec Research to Behavioral Cybersecurity Research

Xie Zongxiao （ Business School， Nankai University ）
Li Kanghong （ Business College，Yangzhou University）

This paper summarized the main directions of information security research， and introduced the focus of Behavioral InfoSec Research. Finally， we discussed the different characteristics of the individual behavior in cyberspace， and proposed that the research trend should shift from Behavioral InfoSec Research to Behavioral Cybersecurity Research.

cyberspace security， cybersecurity， information security， Behavioral InfoSec Research， Behavioral Cybersecurity Research