下载掌阅APP,畅读海量书库
立即打开
为了更深刻地理解安全实质,本节将不断变换角度,反反复复地从不同侧面给安全“画像”。虽然它们只是宏观定性的介绍,但是对于理解以后各章的定量研究将会很有帮助。对本节相关细节有兴趣的读者,可阅读《安全简史》 [3] 的第13章“安全管理学”、第14章“安全心理学”、第15章“安全经济学”、第17章“信息与安全”和第18章“系统与安全”。虽然《安全简史》看起来像科普书,但其实它的后半部分主要是给信息安全界补课,让大家向安全工程专业界学习,在研究信息安全之前,先努力搞清楚什么是安全。
1.从系统科学角度看安全
从该角度看见的安全称为“安全系统”或“安全系统论”。为避免深奥的系统论知识,我们先看一个故事。
有位国王特别擅长逻辑学,为彰显其缜密的思维,他制定了一条奇怪的法律:每个死囚在被处死前都要说一句话,如果这句话是真话,那他将被砍头;如果这句话是假话,那他将被绞死。
国王对这条法律很得意,因为按照逻辑,一句话要么是真话,要么是假话,不可能有第三种可能性。因此,死囚要么被砍头,要么被绞死。
可是有一次,聪明的系统安全学家被押赴刑场后,他却说:“我将要被绞死!”这下逻辑学国王傻眼了。因为,如果国王将系统安全学家绞死,那么“我将要被绞死”便是真话,但根据法律,“说真话将被砍头”;如果国王将系统安全学家砍头,那么“我将要被绞死”便是假话,但根据法律,“说假话将被绞死”。总之,无论国王如何行刑,他都会破坏自己的法律,从而陷入不能自拔的矛盾之中。
那么,这个矛盾是从哪里冒出来的呢?答案就是:从系统中冒出来的!在缺乏系统思维的情况下,如果最严谨的“逻辑学”都会出现漏洞的话,那就更别说安全等其他科学了。实际上,许多东西,从局部上看虽是天衣无缝,但从整体上重新考虑时便会漏洞百出,当然也就会引发相应的安全问题,用行话说,这便是安全系统的整体性。
同样,从孤立角度看是天衣无缝的东西,若从关联角度来看,就可能出现矛盾,用行话说,这便是安全系统的关联性。从低等级结构角度看是天衣无缝的东西,若从高等级结构角度来看就可能出现矛盾,用行话说,这便是安全系统的等级结构性。从静态角度看是天衣无缝的东西,若从动态角度去看就可能出现矛盾,用行话说,这便是安全系统的动态平衡性。从正时序看是天衣无缝的东西,若从逆时序去看就可能出现矛盾,用行话说,这便是安全系统的时序性。分散开来看是天衣无缝的东西,若从统一角度看就可能出现矛盾,用行话说,这便是安全系统的统一性。
总之,安全系统论的认识基础,就是所谓的“系统思维”,即对系统的整体性、关联性、等级结构性、动态平衡性、时序性、统一性等本质属性进行最优化,至少避免出现漏洞和矛盾,从而避免相应的安全问题。
安全系统论主要研究系统的安全分析、安全评价和安全控制。下面进行具体分析。
(1)系统安全分析。要提高系统的安全性,减少甚至杜绝安全事件,其前提条件之一,就是预先发现系统可能存在的安全威胁,全面掌握其特点,明确其对安全性的影响程度。于是,便可针对主要威胁,采取有效的防护措施,改善系统的安全状况。此处的“预先”意指:无论系统生命过程处于哪个阶段,都要在该阶段之前,进行系统的安全分析,发现并掌握系统的威胁因素。这便是系统安全分析的目标,即使用系统论方法辨别、分析系统存在的安全威胁,并根据实际需要对其进行定性、定量研究。
(2)系统安全评价。系统安全评价要以系统安全分析为基础,通过分析和了解来掌握系统存在的安全威胁。系统安全评价不必对所有威胁采取措施,而是通过评价掌握系统安全风险的大小,以此与预定的系统安全指标相比较,如果超出指标,则应对系统的主要风险因素采取控制措施,使其降低至标准范围之内。
(3)系统安全控制。只有通过强有力的安全控制和管理手段,才能使安全分析和评价产生作用。当然,这里的“控制”需要从系统的完整性、相关性、有序性出发,对系统实施全面、全过程的风险控制,以实现系统的安全目标。
用系统论方法去研究安全时,需要重点关注以下五个方面。
第一,要从系统整体性观点出发,从系统的整体考虑,解决安全威胁的方法、过程和要达到的目标。比如,对每个子系统安全性的要求,要与实现整个系统的安全功能和其他功能的要求相符合。在系统研究过程中,子系统和系统之间的矛盾以及子系统与子系统之间的矛盾,都要采用系统优化方法,寻求各方面均可接受的满意解。同时,要把系统论的优化思路贯穿到系统的规划、设计、研制、建设、使用、报废等各个阶段中。
第二,突出本质安全,这是安全保障追求的目标,也是系统安全的核心。由于安全系统论中将人、网、环境等看成一个“系统”,因此,不管是从研究内容还是从系统目标来考虑,核心问题都是本质安全,即研究实现系统本质安全的方法和途径。
第三,人网匹配。在影响系统安全的各种因素中,最重要的是人网匹配。
第四,经济因素。基于安全的相对性,安全投入与安全状况是彼此相关的,即安全系统的“优化”受制于经济。但是,基于安全经济的特殊性(安全投入与业务投入的渗透性、安全投入的超前性与安全效益的滞后性、安全效益评价的多目标性、安全经济投入与效用的有效性等),就要求在考虑系统目标时要有超前的意识和方法,要有指标(目标)的多元化的表示方法和测算方法。
第五,安全管理。系统安全离不开管理,而且管理方法必须贯穿于安全的规划、设计、检查与控制的全过程。
总之,“安全系统论”就是要用系统论的方法,从系统内容出发,研究各构成部分存在的安全联系,检查可能发生的安全事件的危险性及其发生途径,通过重新设计或变更操作来减少或消除危险性,把安全事件发生的可能性降到最低。
2.从控制论角度看安全
从该角度看见的安全,称为“安全控制”或“安全控制论”(其实,“控制论”本该叫“赛博学”,但为了避免读者分心,我们仍然沿袭传统;对此有兴趣的读者,可阅读《安全简史》 [3] 的第16章“正本清源话赛博”)。
安全控制的一般步骤为:
首先,建立安全的判断标准。
其次,衡量安全的实际情况与预定目标之间的偏差,确定如何纠正该偏差。
最后,采取相应的安全管理、安全教育和安全工程技术等措施,消除隐患。
安全控制的基本原则包括:
第一,闭环控制原则。从输入到输出,通过信息反馈进行决策,并控制输入,由此形成一个完整的控制过程,称为闭环控制。闭环控制要讲究目的性和效果性,要有评价、反馈和决策。
第二,动态控制原则。只有正确、适时地进行安全控制,才能收到预期效果。动态控制原则要求无论从技术上还是从管理上,都要有自组织、自适应的功能。
第三,分级控制原则。对系统的各组成部分(子系统)要采用分级控制,分主次进行管理。各子系统可以自我调整和控制。
第四,分层控制原则。安全事件的控制有六个层次:根本的预防性控制、补充性控制、防止危害扩大的预防性控制、维护性能的控制、经常性控制和紧急性控制。该原则要求安全控制、管理和技术的实现要有阶梯性和协调性,要采取多层控制,以增加可靠度。
安全控制的方法,主要有四种:
第一,信息方法。该方法完全撇开研究对象的具体结构和运动形态,把系统的有目的性运动过程(如安全保障过程)抽象为信息传递和转换过程。通过对信息流程的分析和处理,来揭示某一复杂系统运动过程(如安全保障过程)的规律,获得事物整体的知识,特别是其中信息接收、传递、处理、存储和使用的变换过程。与传统的经验方法不同,信息方法并不对事物进行剖析,而是仅仅综合考察信息流程。信息的普遍存在性和高度抽象性决定了信息方法应用范围的广泛性。
第二,黑箱方法。所谓黑箱方法,就是在客体结构未知(或假定未知)的前提下,给黑箱以输入,从而得到相应的输出;并通过分析输入和输出的关系来研究客体的方法。比如,把网络系统看成“黑箱”,将“攻”看成输入,系统反应为输出;再将“防”作为另一输入,达到所需的安全输出,并以此来探讨它们的对应关系。此时,不对箱子的性质和内容做任何假定,而只是确定某些作用于它的手段,并以此对箱子进行作用,使人与箱子形成一个耦合系统,并通过输入/输出数据来建立相应的数学模型,推导出内部联系。黑箱方法研究的不是箱子本身,而是人与箱子形成的耦合系统。
第三,反馈方法。这是一种“以原因和结果的相互作用来进行整体把握”的方法,其特点是:根据过去操作的情况去调整未来行为。所谓“反馈”,就是将系统的输出结果再返回到系统中去,并和输入一起调节和控制系统的再输出的过程。如果前一行为结果加强了后来行为,就称为正反馈;如果前一行为结果削弱了后来行为,就称为负反馈。反馈在输入、输出间建立起了动态的双向联系。
反馈方法就是“用反馈概念去分析和处理问题”的方法。它成立的客观依据在于原因和结果的相互作用,原因引起结果,结果也反作用于原因。因而,对因果的科学把握必须把结果的反作用考虑在内。比如,计算机病毒的查杀过程,就是一个典型的基于反馈法的安全保障措施。首先,及时获取网上的病毒反馈;其次,“对症下药”研制相应的杀毒软件;最后,继续监视网络情况等。
第四,功能模拟法。它暂时撇开系统的结构、要素、属性,而只是单独研究行为,并通过“行为功能”来把握系统的结构和性质。该方法的依据是维纳的如下重要发现:“从结构上看,技术系统与生物系统都具有反馈回路,表现在功能上则都具有自动调节和控制功能。这就是这两种看似截然不同的系统之间所具有的相似性、统一性。确切地说,一切有目的的行为都可以看作需要负反馈的行为。”
功能模拟法具有以下三个特点。
一是以行为相似为基础。该方法认为,系统最根本的内容就是行为,即在与外部环境的相互作用中所表现出的系统整体应答。因此,两个系统间最重要的相似就是行为上的相似。在建立模型的过程中,可以撇开结构而只抓取行为上的等效,从而达到功能模拟的目的。比如,在网络空间安全保障过程中,许多未知攻击的防御就依赖于分析各种大数据异常行为。
二是模型本身成为目的,而非手段,甚至将模型看成“具有生物目的性”的机器。而在传统模拟中,模型只是把握原型的手段,对模型的研究目标是获取原型的信息;但在功能模拟中,模拟却基于行为,以功能为目的。又比如,在安全对抗中,建立相应的攻防模型非常关键。
三是从功能到结构的技术路线。它首先把握的是整体行为和功能,而不要求结构的先行知识。但它并不否认结构决定功能,同时也不满足于行为和功能,它总是进而要求从行为和功能过渡到结构研究,获得结构知识。比如,在序列密码分析时,用线性移位寄存器去模拟未知的非线性密钥生成器的过程,便是从功能到结构的过程。
此外,还可从管理学、经济学、风险学、人机学、法学、心理学、行为学和文化、教育等角度,来重新审视“安全”,并将获得完全不同的“剖面图景”。有兴趣的读者,可阅读参考文献[1,2]。