广泛地说,由于信息原因导致的人身安全、健康保障、资源所有性、财产所有性、道德保障、工作职位保障、家庭安全等问题,都是信息安全问题。一旦出现了这些问题中的任何一个,便都可以断言“不安全”。
但是,要想深入理解信息安全,首先回忆一下信息的定义。维纳说:“信息就是信息,不是物质也不是能量。不承认这点的唯物论,在今天就不能存在下去。”该定义揭示了信息的重要地位。信息、物质和能量是客观世界的三大构成要素,所以,信息安全其实是与物质安全和能量安全并列的三大安全之一。信息安全就是要“确保信息原形及其所有可能化身都没有危险、不受威胁、不出事故”。
前面各节讨论的安全,当然对信息安全也有效。但是,它们主要局限于物质安全或能量安全。所以,本节的“信息安全”就不能完全照搬前面各节的一般安全,而必须结合信息的特点,这样才能真正搞清楚到底什么是信息安全(当然,也等价地指网络安全、网络空间安全等)。
首先,以人身事故或自然灾害等为代表的物质安全或能量安全,其实是“由于物质或能量失控对人的身心造成的损害”。这里的“失控”,既包括过度,也包括不足。比如:洪水算是失控,是由水量过度引起的失控;干旱也算失控,是由水量不足引起的失控。相比之下,信息安全就比较抽象了。从字面上看,信息安全也可以解释为“信息失控后对人的身心造成的损害”。当然,信息既不是物质,也不是能量,所以信息失控只会直接损害人的“心”,而不可能像物质和能量那样,直接损害人的“身”。当然,“心”的直接损害一般也都会对“身”造成间接损害,但这已不是信息安全的研究范畴了,至少不是重点。
物质和能量失控的主要原因基本上都是自然的或无意的,如地震或火灾(极个别杀人、放火等犯罪行为除外);而与此相反,信息失控基本上都是人为因素造成的(极个别设备老化等事故除外)。信息失控,既包括“过度型信息失控”,如黑客的DDoS攻击,又包括“不足型信息失控”,如由勒索软件引起的“用户无法阅读自己的信息”等。
除了直接伤害的对象(是“心”而非“身”)不同之外,由于信息的其他特性,也使得信息安全大别于物质安全和能量安全。比如,信息的快速传播特性造成了谣言失控等信息安全问题,信息的共享特性造成了失密等信息安全问题。
信息安全还有一个特点,那就是其安全问题出现的场景不同,主要出现在网络系统中,因此又叫网络安全或网络空间安全。当然,这里的网络系统所指的内容也很多。比如:①人员子系统,又可细分为黑客子系统、红客子系统、用户子系统或它们的可能组合的人员子系统等;②网络系统,又可分为局域网子系统、城域网子系统、互联网子系统或它们的可能组合网络系统等;③人网融合系统,包括各类人员和网络的可能融合系统等。
信息的不同特征也会导致不同的信息安全问题,例如以下方面。
(1)信息的普遍性(当然就导致信息安全的普遍性)。如今,有事物的地方就必然存在信息,所以信息在自然界和人类社会是广泛存在的。信息存在于尚未确定的,即有变数的事物之中,已确定的事物则不含信息。这里“已确定的事物”意指事物没有意外变化,其存在是确定的,并且也是预先知道的。因此,重复的叙述不会提供任何信息;“尚未确定的事情”意指存在着某种变数,有多种可能状态,而且预先不知道(或不全知道)究竟会出现哪种状态。事物存在的可能状态越多就越不确定,对其变化就越难掌握。于是,事物一旦从不确定变为确定,我们就可获得越多的信息;相反,某事物如果基本确定,甚至已经确定,那么它包含的信息就很少,甚至没有信息。
(2)信息的客观性(这是信息的第一特性)。信息是对客观事物的反映。由于事物的存在和变化不以人们的意志为转移,所以反映这种存在和变化的信息同样也是客观的,不随人们的主观意志而改变。如果人为篡改信息,那么信息就会失去其价值,甚至不再是信息了。对信息的最基本要求就是要符合客观实际,即准确性。由信息的客观性而引起的信息安全问题,非常复杂,因为安全具有浓厚的主观特色,从而使得信息安全在主观和客观之间摇摆不定,很难分析。
(3)信息的动态性(当然也导致信息安全的动态性)。信息会随着事物的变化而变化。信息的内容、形式、容量也会随时改变。这是因为客观事物是不断运动变化的,存在着多种可能状态,因而作为标志事物运动形式的信息也就会随之不断产生和流通,并按新陈代谢的规律涌现新信息,淘汰老信息。
(4)信息的时效性(当然也导致信息安全的时效性)。信息的这一特性来源于客观事物的动态性。事前的预测、事中的及时反馈都能对决策产生直接影响,从而改变事物的发展方向。信息的使用价值会随时间的流逝而衰减,信息越及时,其价值就越大;反之,过时的信息就没什么价值了。这是因为,信息作为一种宝贵资源为决策提供依据。获取信息是为了利用信息,而只有及时的信息,才能被利用。信息的价值在于及时传递给更多需求者,所以,信息必须具有新内容、新知识。“新”和“快”是信息的重要特征。事物发展变化的速度决定了相关信息的有效期和价值衰减速度。事物发展变化越快,相应信息的有效期就越短,价值衰减得也越厉害。
(5)信息的可识别性(绝大部分信息安全技术都是基于该特性才能发挥作用的)。信息是可识别的,识别又可分为直接识别和间接识别。直接识别,指通过人的感官的识别;间接识别,指通过各种测试手段的识别。不同的信息源有不同的识别方法。信息识别包括对信息的获取、整理、认知等。要想利用信息,就必须先识别信息。
(6)信息的可传递性(绝大部分信息安全问题都发生在信息的传递过程中)。通过各种媒介,信息可在人与人、人与物、物与物之间传递。可传递性是信息的要素,也是信息的明显特征;没有传递就没有信息,就失去了信息的有效性。同样,传递的快慢对信息的效用影响极大。
(7)信息的可共享性(该特性是众多信息安全问题的祸根)。该特性是指,同一信息可在同一时间被多个主体共有,而且还能够无限复制、传递。可共享性,是信息最重要的本质特征,因为物质和能量都不具有该特性。此外,信息的可传递性也为共享搭建了桥梁。信息共享的结果就是人们能收到的信息越来越多,甚至出现“信息爆炸”。于是,如何准确、快速地获取信息,如何高效存储信息,如何适当处理信息等都将成为未来的重要课题。
(8)信息的知识性(实际上信息安全中所谓的信息泄露就是由其知识性引起的)。借助信息便能获得相关知识,消除认知缺陷,由不知转化为知,由知之甚少转化为知之较多。因此,我们可以独立于具体事物来获取和利用信息。这样,如果获得了信息,也就获得了关于事物的知识。虽然信息不等于知识,但信息中却包含着知识。
(9)信息的可开发性(信息安全中的所谓大数据安全问题便源于此特性)。信息作为一种资源,取之不尽,用之不竭,因而可不断探索和挖掘。由于客观事物的复杂性和事物之间的相关性,反映事物本质和非本质的信息常常交织在一起,再加上它们会受到历史的和认识能力的局限,因而需要不断开发,不断利用。
此外,信息的可存储性引来了信息安全存储问题;信息的可匿名性激发了网络上的诸多犯罪行为等。
总之,信息的以上特性,既给人类带来了许多好处,但同时又引发了相应的安全问题。
似乎信息的可度量性是没有引起信息安全问题的唯一特性!