一、引 言
我们正在走进一个信息化社会,信息正在充斥着我们的工作和生活,改变着我们的生活方式和社会形态。面对面的交谈变成了缺少真实的视觉信息、表情信息的“文字聊天”。一个原来只是自言自语的行为,变成了可以迅速传播的广知信息。两个人面对面的私人谈话,信息可以得到充分保护,但是我们用网络进行,情况又会怎么样,我们不得不面临信息化带来的诸多问题,特别是信息领域的安全问题,更是引起社会方方面面的关注,而且将是一个长期的不断解决和不断变化的课题。它不仅是信息技术问题,也将涉及道德、法律问题,并成为社会公共安全的一部分。为了把信息领域的安全问题研究好,解决好,首先应建立一个科学、清晰的认知体系。
二、怎样界定“信息领域”
我们通常理解的“信息领域”是指通过电子、电磁、光技术对信息进行处理的整个领域。因此,“信息产业部”是国务院进行信息处理的所有产业领域实施监管的部门。社会的发展、技术的变化冲击着我们原来的认知体系,对我们分析问题和处理问题造成了一定的麻烦。例如,原来我们看的书藉、文章公开发售是出版范畴,可是现在寄生在电子产品或网络中的“电子图书”已经分不清是信息产品还是出版物了。原来在公共场所贴出一些非法告示,是一种刑事问题,由公安机关来处理。由于是公共场所,一般没有人承担连带的管理责任,但是如果在互联网上出现了类似的问题,是由当事人负责还是谁应该负一定的管理责任等都属于“信息领域”。因此,笔者认为应该从信息化社会发展的角度科学界定“信息领域”的范畴,明确技术归属,研究技术手段,建立完善的法制规范体系,使技术和社会得以健康有序地发展。
“信息是指能适合于通信、存贮或处理的形式表示的智能或知识”(引自国家标准GB/T14733.11-93《电信术语》,等效于国际电工词汇(IEV704))。因此,信息产业或信息领域是指对“信息”进行不同表达形式的处理,用电子、电磁、光形式“承载”、“贮存”、“转换”,就像在邮政系统处理信件一样,或者说如同出版过程的排版、印刷、装订、包运一样。但对于信息的内涵,也就是”智能或知识”是什么,用来干什么,似乎不在信息领域的范畴。实际情况告诉我们,一些信息的内涵已成为信息网络系统的“毒瘤”,严重威胁着网络的正常运转,还有一些信息内涵与社会意识形态相抵触,在网络里传播,造成许多社会问题。这种现象和控制手段又与信息网络技术分不开,因此对信息内涵的控制在一定程度上也应纳入信息领域的范畴。
三、什么是“信息领域”的安全
通常我们说“信息安全”或“网络、信息安全”想要表达的就是信息领域的安全。这种表达既不完整,也不确切,严格地讲“信息安全”或“网络、信息安全”与信息领域所涉及的整体安全是不相同的,我们已经感到不对信息领域的安全问题进行清晰的表达将会影响我们对相关问题的研究和解决,因此正确表达我们所谈及的范畴,对我们所要进行的研究非常重要。
1. 信息和信息安全
前面谈到“信息”是指“能以适合于通信、存贮或处理的形式表达的智能或知识”。信息安全应该是指那些“智能或知识”在通信、存贮或处理的各个过程中是否能得到妥善的、完好无损的保护。其安全特征表现在那些“智能或知识”无论是什么,都不能被盗窃,丢失,修改,被错误投递,无法朔源。也就是说信息安全是“信息”本身在一个特定的信息系统中从发生到终了,可靠存在的安全,就像信件投递一样,这封信不管它的内容写的是什么,在邮政系统,首先是确保信件能安全可靠地到达预期的目的地,并可以追朔回发信人。目前,为保证通信过程信息的安全,我们通常采用如身份鉴权、数据加密的措施。为了保证存贮的安全性,也采用身份鉴权访问、加密存贮、文件备份等措施。为了保证传输过程的安全,采用校验、纠错、编码方案的研究与选择等。从这个目标定位上来讲,“信息安全”的追求目标是信息网络或系统在承载一个信息时,确保它本身的安全。因此,“信息安全”是信息网络、系统的责任和义务。
“信息安全”的另一个意思,就是信息的内涵是否对其外部范畴的安全产生影响,也就是那些“智能或知识”有时存在着危害性,这种危害可能会导致网络系统的紊乱、瘫痪、功能失常。有一些“智能或知识”通过网络作为一种传播媒介,将那些与社会文化、社会道德、意识形态格格不入的“精神垃圾”,迅速传向社会的各个角落,如何阻止这些内容在网络上传播,也是我们面临的一大安全问题,就象发生在美国的“含碳疽菌的邮件”一样,阻止这样的邮件通过邮政系统传播,是技术发展面临的课题。
2. 网络安全
我们先考虑一下网络安全所追求的目标。笔者认为,网络安全所追求的目标就是:确保网络能够正常地实施其预期的功能,不能出现网络功能紊乱、部分功能丧失、网络瘫痪或异常情况。因此,网络安全应包括与网络相关的电气类安全和网络自身所涉及的信息内涵类的安全。
网络是由许多的网络设备组成的,为了确保网络的电气类安全,网络设备要采取措施(如加保安单元)防止雷电等过电压过电流或网络造成的伤害;严格规定设备间的电气、接口要求和防护措施,防止信号电平的过载,阻抗失衡等可能导致的网络系统紊乱;严格限制电磁干扰的产生以及积极采取抗电磁干扰的措施,防止电磁兼容方面引起的安全问题。加强对网络设备的质量控制、安装维护的质量控制,以及建立网络系统的冗余机制和应急机制,防止设备缺陷、故障或突发事件引起的网络瘫痪。
为了保证网络的正常运行,必须谨慎地研究设计网络系统所使用的软件,防止在软件中出现漏洞。特别要防止来自网络某个结点的恶意信息内容对系统软件的篡改,也就是我们常说的“网络病毒”。网络黑客实际上在与网络软件设计者和工程师进行“智慧”上的较量,这种较量是通过软件所承载的信息内涵来进行的。为了防止这些“病毒”的传播和发作,除了对软件进行加固,使其有更多的智慧以外,还需增加必要的阻止它们通过的各种手段,如增加“防火墙”。
四、信息领域安全问题应引入的基本概念
为了对信息领域的安全问题进行系统、深入的研究、笔者建议采用以下概念对其进行科学的划分:
1.信息(information)
信息是能以适合于通信、存储或处理的形式表达的智能或知识。“信息”是一种抽象概念,它表述了人类所拥有和使用的智慧和认知,既可以借助于电子、电磁、光作为媒介被存储起来,又可以变换媒介形式进行传输、处理、转化,并以不同的表达形式(如声音、图像、文字、气味、触觉刺激等)作用于人的感官。信息的转换、处理、存储、传输都离不开我们所称的“信息技术设备”。
2.信息域(information field)
信息域是指智能或知识以电子、电磁、光的形式传输、处理、存储或转换的所有过程。也就是说,信息域包含了“智能或知识”转换为以电子、电磁或光的形式表达,一直到它再由电子、电磁或光的形式转换为人的感官所能接受的形式的整个历程。包含了对信息进行加工处理、传输、转换的各种工具、设备和过程,也包含了信息内涵和对信息的内在属性进行检测、查验、识别、控制的各种手段。
3.信息域安全(security of information field)
信息域安全是指信息域所涉及的与稳定、秩序、期望相抵触的所有安全的总和。表示信息域安全程度所追求的目标是:在信息域内对信息进行加工处理、转换、传输的所有过程都处在一种稳定、可靠、不发生紊乱、功能失效或瘫痪状态;信息始终受到预期的保护;信息的内在属性在进入信息域、驻留在其中或逸出信息域时,受到适当的认证,以保证其与信息域内系统的相容性以及与社会意识形态的相容性。
4.网络域(network field)
网络域是指若干点通过连接构成信息转换、处理、传输、存储的整个过程。网络域包含在信息域之内,是以若干点的连接为特征进行信息处理和通信的过程,网络域内既包含了组成网络的硬件设备和线路、网络设备运行的软件系统和滞留在网络中的信息及其内涵,也包含了对信息内在属性进行检测、查验、识别、控制的各种手段。
5.网络(network)
网络是若干点通过连接构成信息转换、处理、传输、存储的设施。网络既包含了组成网络的硬件设备和线路,也包含了网络设备运行的软件系统。
6.网络安全(security of network )
网络安全是指所有涉及与网络稳定、可靠、正常运转相抵触的安全总和。网络安全关注的是网络本身的健康和安全,既要考虑网络硬件的稳定可靠性,也要考虑网络软件的稳定可靠性,以及网络的容错能力、应急能力。可以把网络安全分为“网络体安全”和“网络智安全”。
7.网络体安全(safety of network body)
网络体安全是指网络硬件设备和连接在避免电气、电磁、光等物理因素所导致的网络功能紊乱或系统瘫痪,保证其稳定可靠的属性。
网络体安全是网络安全的物理基础。网络体安全的目标是:保证网络硬件能够正常地实施预期的功能,防止出现功能紊乱、网络瘫痪或异常情况。因此,必须认真对待网络设备的质量和可靠性,关键环节应有容错机制和应急措施。例如,如果没有有效的保护措施,一个雷电就可能导致网络的瘫痪。
8.网络智安全(security of network intelligence)
网络智安全是指网络系统软件在避免由于软件缺陷、外部软件侵入等导致的网络功能紊乱或系统瘫痪,保证其稳定可靠的属性。
网络智安全是网络安全的一部分。“网络智”是指网络中隶属于“智慧”范畴的那部分,是网络系统运转必须的“智能和知识”,通常以软件的形式来表达,类似于人大脑中的思维。随着网络技术的发展和变化,网络智在网络中将发挥越来越重要的作用,其本身的安全可靠性也将越来越重要。
9.信息安全(security of information)
信息安全是指所有涉及信息在网络域中转换、处理、传输、存储过程的安全性,以及信息内涵与其外部范畴的相容性。
信息安全是信息域安全的一部分,信息安全涉及网络安全,而网络又对信息的安全负有责任。信息安全可分为“信息体安全”和“信息智安全”。
10.信息体安全(security of information carrier)
信息体安全是指信息本身在网络域中及其界面得以保证其完整、真实、不可盗用、不可错用,以及可朔源的属性。
信息体安全是信息安全的一部分。当一种“智能或知识”作为一种信息在网络域的边界交付给网络域进行处理、存储、传输以及在另一处边界转换逸出时,网络都有责任保证其得到有效的保护。就像邮政网络系统传递信件一样,不仅受到技术上的保护,还应该受到法律上的保护。
11.信息智安全(security of information intelligence)
信息内涵,即信息体所携带的“智能或知识”与网络智安全的相容性,以及与社会意识形态的相容性属性。
信息智安全是信息安全的一部分。“信息智”是指信息所携带的“智慧或认知”。以往它多以出版物、广播影视作品和软件产品的形式存在,但是随着信息化及网络技术的发展,它的产生、存在和传播形式正在发生着变化。在传输过程中,信息智一般表达为“消息”、“信号”。我们现在必须在信息域的范畴内认真对待其对网络和社会的安全性。
图1是信息域及其基本概念的示意图。
五、对信息域安全问题研究的思考
1.信息域安全是信息化社会面临的新问题,必须受到全社会的高度重视
随着信息及网络的广泛应用,我们原来的社会意识、生活方式、道德和法律也会受到极大的动摇。例如,面对面的谈话是处在一个视觉信息、表情和肢体信息以及丰富的言语属性信息的多维真实的交互过程。然而,假如在网络时代当你面对一个视觉信息、表情和肢体动作信息,以及言语信息被完全虚化的对象,而你并不清楚你面临的一切的时候,我们的法律、道德、技术和规则将如何。因此,我们有理由建立类似《交通安全法》一样建立一个“信息域安全”法律法规体系。法律法规是制约人们社会行为的准则,信息域安全仅仅建立在技术手段上是行不通的。就像是为了安全,即便把木门换成铁门,如果没有强有力的《刑法》和《治安条例》,也挡不住小偷的任意破坏。
要特别注意提高全社会文明使用网络的道德修养,形成一个良好的信息、网络应用环境,就像我们为了有一个良好道路交通秩序,大家都自觉遵守和维护交通规则一样。
2.开展有关“信息域安全”方法论的研究,使安全问题得到全面、系统的解决
出了“黑客”,我们就研究“黑客”的问题。出了“窃听”,我们就研究“窃听”的问题。在一个案例中,我们一会儿认为要解决网络的安全问题,一会儿又感到这个问题又与信息内涵有关系。这使我们意识到“信息域”的安全是一个多方位的复杂问题,需要分门别类地研究和解决。同时,在网络环境中既要考虑安全,又要考虑互联、开放、经济、方便、快捷,不能顾此失彼。我们需要将其分层分片地去研究和解决问题。如将信息域安全分为网络体安全、网络智安全、信息体安全和信息智安全。通过对方法论的研究,建立系统的信息域安全研究体系。
3.关于信息域安全框架的考虑(见图2)
六、结束语
信息领域的安全是信息化社会的重要问题和安全保障,应引起社会各界的高度重视,许多新问题需要深入研究,以建立与社会发展相适应的法律体系、道德规范、网络架构和信息管制体系,使得信息化的进程不因信息领域的安全问题而受阻。
何桂立 信息产业部电信研究院泰尔实验室主任,教授级高工
转载请注明:落伍老站长 » 关于信息领域安全的基本问题(2004年06月09日)何桂立