随着信息技术与产业的发展和广泛应用,人类社会进入了信息化时代。在信息化时代,人们生活和工作在物理世界、人类社会和信息空间(Cyberspace)组成的三元世界中。
为了描述人们生活和工作的信息空间,人们创造了Cyberspace一词。
早在1982 年,加拿大作家威廉·吉布森在其短篇科幻小说《燃烧的铭》中创造了" Cyberspace" 一词,意指由计算机创建的虚拟信息空间。Cyberspace 在这里强调电脑爱好者在游戏机前体验到交感幻觉,体现了Cyberspace 不仅是信息的聚合体,也包含了信息对人类思想和认知的影响。此后30年,随着信息技术的快速发展和网络的广泛运用,Cyberspace 这一概念不断演化。2008 年,美国第54 号总统令对Cyberspace 进行了定义:" Cyberspace 是信息环境中的一个全球域,由独立且互相依存的IT 基础设施和网络组成,包括互联网、电信网、计算机系统,以及嵌入式处理器和控制器。"
目前在国内, Cyberspace 一词有多种翻译:信息空间、网络空间、网电空悔、数字世界等。有的甚至直接译音,称为赛博空间。
我们认为, Cyberspace 是信息时代人类般以生存的信息环境,是所有信息系统的集合。它以计算机和网络系统实现的信息化为特征。因此把Cyberspace翻译成信息空间或网络空间是比较好的。其中,信息空间突出了信息化的特征和核心内涵是信息,网络空间突出了网络互联的特征。
从信息论角度来看,系统是载体,信息是内涵。网络空间是所有信息系统的集合,是一种复杂巨系统。因此,网络空间存在更加严峻的信息安全问题。
网络空间安全的核心内涵仍是信息安全。没有信息安全,就没有网络空间安全。
目前学术界关于网络空间安全学科的定义和内涵,尚没有形成一个统一的说法。不同的学者根据自己的研究和理解,给出了不同的诠释。尽管这些诠释不尽相同,但是其主要内容却是相同的。
传统的信息安全强调信息(数据)本身的安全属性,认为信息安全主要包含:
· 信息的秘密性:信息不被未授权者知晓的属性;
· 信息的完整性:信息是正确的、真实的、未被篡改的、完整无缺的属性;
· 信息的可用性:信息可以随时正常使用的属性。
众所周知,能源、材料、信息是支撑现代社会大厦的三根支柱。在这三根支柱中能源和材料是具体的、物质的,而信息是抽象的、逻辑的。信息论的基本知识告诉我们,信息是内涵,系统是载体。信息不能脱离它的载体商孤立存在!因此我们不能脱离信息系统而孤立地谈论信息安全。而应当从信息系统安全的视角来审视和处理信息安全问题。
据此,从纵向来看,信息系统安全可以划分为以下四个层次:设备安全,数据安全,内容安全,行为安全。其中数据安全即是传统的信息安全。
1)设备安全
信息系统设备的安全是信息系统安全的首要问题。这里主要包括三个方面:
(1)设备的稳定性:设备在一定时间内不出故障的概率。
(2)设备的可靠性:设备能在一定时间内正常执行任务的概率。
(3)设备的可用性:设备随时可以正常使用的概率。
信息系统的设备安全是信息系统安全的物质基础。除了硬件设备外,软件系统也是一种设备,也要确保软件设备的安全。
2)数据安全
采取措施确保数据免受未授权的泄露、篡改和毁坏。
· 数据的秘密性:数据不被未授权者知晓的属性。
· 数据的完整性:数据是正确的、真实的、未被篡改的、完整无缺的属性。
· 数据的可用性:数据可以随时正常使用的属性。
信息系统的设备安全是信息系统安全的物质基础,但是仅仅有信息系统的设备安全是远远不够的。即使计算机系统的设备没有受到损坏,其数据安全也可能己经受到危害。如机密数据可能泄露,数据可能被篡改。由于危害数据安全的行为在银多情况下并不留下明显痕迹,因此常常在数据安全已经受到危害的情况下,用户还不一定能够发现。因此,必须在确保信息系统设备安全的基础之上,进一步确保数据安全。
3)内容安全
内容安全是信息安全在政治、法律、道德层次上的要求。
(1)信息内容在政治上是健康的。
(2)信息内容符合国家的法律法规。
(3)信息内容符合中华民族优良的道德规范。
除此之外,广义的内容安全还包括信息内容保密、知识产权保护、信息隐藏和隐私保护等诸多方面。
如果数据中充斥着不健康的、违法的、违背道德的内容,即使它是保密的、未被篡改的,也不能说是安全的。因为这会危害国家安全、危害社会稳定、危害精神文明。因此,必须在确保信息系统设备安全和数据安全的基础上,进一步确保信息内容的安全。
4)行为安全
数据安全本质上是一种静态的安全,而行为安全是一种动态安全。
(1)行为的秘密性:行为的过程和结果不能危害数据的秘密性。必要时,行为的过程和结果也应是秘密的。
(2)行为的完整性:行为的过程和结果不能危害数据的完整性,行为的过程和结果是预期的。
(3)行为的可控性:当行为的过程出现偏离预期时,能够发现、控制或纠正。
信息系统的服务功能,最终是通过系统的行为提供给用户的。因此,只有确保信息系统的行为安全,才能最终确保系统的信息安全。行为体现在过程和结果之中,因此行为安全是一种动态安全。在信息系统中除了硬件之外,还有软件和数据。软件在静态存储时也是一种数据,而软件在运行时表现为程序的执行序列。程序的执行序列和相应的硬件动作构成了系统的行为。数据可以影响程序的执行走向,从而可以影响系统的行为。因此,信息系统的行为由硬件、软件和数据共同确定。所以,必须从硬件、软件和数据三方面来确保系统的行为安全。
早在20世纪70年代美匮军方就开始研究导弹系统的行为安全。行为安全的概念符合哲学上实践是检验真理唯一标准的基本原理,同时也符合我国政府的"安全可控"的信息安全策略。
为了表述简单,在不会产生歧义时可以直接将信息系统安全简称为信息安全。实际上,在多数情况下是不会产生歧义的,而且大家巳经这样称呼了。
综上,我们给出网络空间安全学科的内涵:网络空间安全学科是研究信息获取、信息存储、信息传输和信息处理领域中信息安全保障问题的一门新兴学科。
网络空间安全学科是计算机、电子、通信、数学、物理、生物、管理、法律和教育等学科交叉融合而形成的一门交叉学科。它与这些学科既有紧密的联系,又有本质的不同。网络空间安全学科己经形成了自己的内涵、理论、技术和应用,并服务于信息社会,从而构成一个独立的学科。
2015年6月,国务院学位委员会和教育部正式增设网络空间安全一级学科。
要确保信息安全,必须采取措施,必须付出代价。这代价就是资源:时间资源、空间资源和数据资源。所采取的安全措施主要包括法律措施、教育措施、管理措施和技术措施等。
确保信息安全是一个系统工程,必须综合采取各种措施才能奏效。一个系统只有所有子系统都是安全时才是安全的,只要有一个子系统不安全,则整个系统就不安全。虽然某种措施对付某种危害可能更有效,但是没有一种措施能全面解决信息安全问题。特别应当强调的是,绝不能忽视法律、教育、管理措施,在许多情况下它们的作用大于技术措施。
确保信息安全的技术措施包括信息系统的硬件系统安全技术、操作系统安全技术、数据库安全技术、软件安全技术、网络安全技术、密码技术、恶意软件防治技术、信息隐藏技术、信息设备可靠性技术,等等。在这些众多的技术措施中,信息系统的硬件系统安全和操作系统安全是信息系统安全的基础,密码和网络安全等技术是关键技术。而且,只有从信息系统的硬件和软件的底层做起,从整体上综合采取措施,才能比较有效地确保信息系统的安全。