网络安全与传统安全是分别发生在虚拟空间和物理空间的两类安全问题,但由于物联网的广泛存在,虚拟世界和物理世界已经打通,网络空间的安全问题日益向政治、经济、文化、社会、生态、国防等领域传导渗透,带来很多新威胁和新挑战。随着工业互联网和5G的发展普及,许多网络攻击都可能变成物理伤害。网络攻击可以导致一个国家发生大面积停电事件,带来重大经济损失和社会动荡。如果城铁系统或联网汽车遭到黑客控制,则可能危及乘客生命。2021年2月,某黑客获得了美国佛罗里达州奥兹马水处理系统的访问权限,并试图增加该公共供水网络中的氢氧化钠浓度,给当地居民的生命健康造成了重大威胁。暗网是互联网中的阴暗角落,在这里,毒品、人口贩卖、雇凶伤人都可作为交易内容,疏于治理的网络空间成为伤害人身安全的大本营。物理世界和网络空间紧密交织,传统安全与网络安全相辅相成,需要同步开展规划、建设和运行。
网络空间安全对国家安全有深刻影响。关键信息基础设施的破坏将给国计民生带来严重后果;网络舆论平台成为政治势力“认知域作战”的发力点;网络间谍针对政府、军队和科技企业的信息设施展开广泛的探测渗透。进入大数据时代,海量的碎片化、模糊化数据汇聚到一起,通过关联分析可以洞察到隐藏的国家情报。随着网络和数字技术向社会空间愈加深入的延伸,网络安全日益成为国家安全的支柱,并被列为国家安全体系的重要组成部分。
2014年2月27日,习近平总书记在中央网络安全和信息化领导小组第一次会议上发表重要讲话,指出“没有网络安全就没有国家安全”。这一论断将网络安全上升到国家安全的重要层面,成为我国网络安全事业发展的里程碑。2014年4月15日,习近平总书记在中央国家安全委员会第一次全体会议上首次提出总体国家安全观这一重大战略思想:坚持总体国家安全观,走出一条中国特色国家安全道路。新时代国家安全体系总体国家安全观涵盖16种安全,分别为政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、网络安全、生态安全、资源安全、核安全、海外利益安全、生物安全、太空安全、极地安全、深海安全等。2022年10月16日,习近平总书记在中国共产党第二十次全国代表大会报告中针对健全国家安全体系这一任务提出,“完善重点领域安全保障体系和重要专项协调指挥体系,强化经济、重大基础设施、金融、网络、数据、生物、资源、核、太空、海洋等安全保障体系建设”,显示了网络安全从属国家安全体系的重要定位。
企业关注网络安全的根本理由是避免经济损失。网络安全事件是大概率的灰犀牛现象,事件造成的损失是客观存在的。勒索攻击可以致瘫企业的业务过程,数据泄露会让企业名声扫地、麻烦缠身,核心技术的失窃会让企业失去市场优势。然而,企业损失能在多大程度上传递为相关决策者的个人损失?这一“传导率”在很大程度上决定了企业加强安全保障的积极性。小企业的传导率可看作百分百,小企业的管理者们对网络事件损失理应最为敏感,但同时这类企业受限于预算和专业性,未必有能力做好防护。大企业的传导率则取决于组织架构、信息透明度和追责力度等多重因素,过低的传导率会让决策层对网络安全麻木不仁。此外,对风险的误判、专业性的匮乏和执行力的不足都会让企业失去防范风险的最佳时机。
合规义务是诸多大企业开启安全建设的直接动力。许多国家的法律法规都对企业提出了安全合规要求,规定了企业承担的安全保障义务和必须采取的措施。虽然合规不等于安全,但大量企业以合规为动机迈出了安全建设的第一步,仍具有积极意义。
然而,许多业内人士片面强调企业的网络安全治理对业务活动的保障作用,却回避了它对业务的破坏作用。如果小区保安为了防止坏人混入就盲目使用暴力或其他非法手段,虽然也完成了任务,但背离了岗位设置的初心。实际上,网络安全措施存在“双刃剑”效应,在试图阻止威胁行为的同时,也会对合法的业务活动构成阻碍,这就好比医疗手段在对抗疾病的同时对人体自身也产生了医源性损伤。这种破坏力连同安全体系的建设成本,共同构成了网络安全体系的“耗损”。为了实施强有力的身份控制,用户可能会被迫接受烦琐的认证流程,从而降低了业务开展的效率;为了防范敏感数据资源失窃,企业可能会对数据访问范围进行严格的限制,并采取冗长的数据申请和审批环节,使一些合理的数据利用活动开展困难,甚至让人“知难而退”。企业权限管理经常采用最小权限原则,即仅赋予员工执行其任务的必要权限,这对于防范内部威胁、构建纵深防御具有重要意义。然而,人们常常会回避的事实是,员工所执行的任务是动态的、多变的,他们需要的权限也存在不确定性和可变性。最小权限原则给员工树立了一道狭小的围墙,并假装这个空间恰到好处,让员工“游刃”却不“有余”。但现实中员工会束手束脚,“碰壁”将时常发生。即使员工找到了充分理由去申请扩大权限,也不可避免地会被额外的审批流程拖慢进度。回忆一下网络安全的可用性目标,一些恶意的对手正是通过DoS(拒绝服务)攻击、数据加密、篡改删除等方式破坏信息系统的可用性,意在让组织运作减缓或崩溃。DoS中的字母D多被译作拒绝,但其实应释作剥夺、阻断之意,而过于严苛的安全措施恰是对业务构成了剥夺和阻断。网络安全体系既可以保障组织免遭DoS攻击,也可以倒戈成为DoS威胁的源头,做一些“亲者痛、仇者快”的事情。过于压抑的网络安全措施最终会对网络安全本身造成阻断。牛津大学的研究人员采访了一些安全响应专家,发现信息保密因素会阻碍安全事件调查。比如,安全专家针对网络入侵事件的应急调查可能需要掌握网络拓扑信息,但企业经常将其网络拓扑列为敏感信息,安全专家未必有相关的知悉权限,尤其是供应商的专家会更加不受信任,于是事件调查在此碰壁 [6] 。另一个例子是,各大站点不断要求用户增加登录口令的长度和复杂度,超出了普通用户的记忆能力,以至于很多人在多个站点使用同样的密码,甚至有些开发者用户会直接将口令上传到代码库,为黑客攻击制造了机会。
网络安全体系的耗损不仅局限于运营层面,也最终会上升到企业的战略层面。当一项业务的经济效益达不到它的合规成本和安全成本时,对于追求效益的企业而言,这项业务将难逃凋零的命运。当一个个业务板块纷纷被安全合规成本拖垮时,企业自身也走向衰亡。而另一些企业过于担心安全合规风险,而导致缺乏作为。例如,一方面,今天数据被认定为重要的生产要素,国家鼓励数据资源的开放、共享和交易;另一方面,数据安全的概念已深入人心,数据的流转势必产生安全风险,数据保护的法律法规也像达摩克利斯之剑一样悬在数据交易者的谈判桌上。因此,一些未必违法的数据交易,因为当事人没有能力证明其合法而被放弃;一些掌握了宝贵数据资源的企业,因为不能容忍数据流动风险而放弃了数据开放战略,让数据的价值埋没,也让自身失去了机遇。如果因为厌恶安全风险而追求绝对安全,则会产生另一个方向上的风险,即因业务不作为而导致的风险,笔者将这一规律称作“风险双刃性”。
网络安全工作是艰难的,如何在安全效果和安全耗损之间达到兼顾是一个充满挑战的课题,但仍可尝试。首先,应建立正确的网络安全观,意识到安全策略的制定必须稳妥、折中,可通过树立“风险双刃性”意识改变过去那种片面厌恶风险的企业文化。正如习近平总书记曾强调的,“网络安全是相对的而不是绝对的。没有绝对安全,要立足基本国情保安全,避免不计成本追求绝对安全,那样不仅会背上沉重负担,甚至可能顾此失彼”。其次,可以通过技术优化手段,在保证安全效果的前提下降低安全耗损,或者在同等的安全耗损下改善安全效果。例如,通过企业的数字化转型,让安全控制措施与日常业务共同纳入一个便捷的数字化生态,辅以体系化的安全运营工具,可以切实改善安全运营效率;又如,通过零信任架构智能化区分风险高低,规避对用户的过度干扰,以求在强化整体安全效果的同时保障用户体验。最后,可以持续改良管理,不断度量和改善经营流程,只有足够敏捷灵活的管理生态才能让严格的安全控制措施保持低耗损。当审批足够便捷时,即使是最小权限原则下的频繁审批也会变得可以接受。
1963年,日本学者梅棹忠夫在《信息产业论》一书中描绘了“信息革命”和“信息化社会”的前景,预见到信息科学技术的发展和应用将会引起一场全面的社会变革,并将人类社会推入“信息化社会”。1997年4月,我国首届全国信息化工作会议提出了信息化和国家信息化的定义:“信息化是指培育、发展以智能化工具为代表的新的生产力并使之造福于社会的历史过程。国家信息化就是在国家统一规划和组织下,在农业、工业、科学技术、国防及社会生活各个方面应用现代信息技术,深入开发广泛利用信息资源,加速实现国家现代化进程。”
网络安全和信息化简称为“网信”。2014年2月27日,习近平总书记在中央网信领导小组第一次会议上深刻阐述了网络安全与信息化之间的辩证关系,提出了“网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施”这一重要论断。此后,我国政策文件明确将网络安全提升到同信息化并列的地位,如《“十四五”国家信息化规划》强调“推动网络安全与信息化发展协调一致、齐头并进,统筹提升信息化发展水平和网络安全保障能力”。目前中央和地方党组织均有设立网络安全和信息化委员会办公室,同时也挂牌同级行政机构的互联网信息办公室,这些办公室统称网信部门。法律和行政法规中的“网信部门”特指“互联网信息办公室”,这是因为相关文件不涉及党内机构的职责。此外,军事学文献中“网信”另有含义,一般是指用于指挥控制的“网络信息体系”。
网络安全和信息化必须是相辅相成的,既不能忽视网络安全冒险推进信息化,也不能以网络安全为名遏制信息化的发展。这种网信一体理念在宏观和微观层面都具有深刻的科学内涵。从技术角度讲,信息与通信技术(ICT)是网络安全能力的来源和支柱,信息系统既是网络安全功能的保护目标,又是网络安全能力赖以生存的土壤。不仅信息化的发展有赖于网络安全能力的保障,网络安全能力的建设也以完善的信息化水平为前提。低下的软件工程能力无法产生优秀的攻防对抗武器。从人才的角度讲,信息系统安全的保障工作,除了依靠专业的网络安全从业者之外,其实更多依靠的是网络安全领域之外的ICT工程师。例如,如果软件开发过程中就强化软件设计规范,加强代码审计,就能有效减少产品漏洞。基础的IT运维工作是安全运营的基石,虽然这些运维工程师并不需要认同自己是网络安全从业者。从工程的角度讲,如果信息系统具有优秀的工程架构和充分的冗余性设计,那它就自然具备了高度的网络韧性,本身就可以预防多种攻击,或者在遭到攻击破坏后能够快速恢复。这就好比壁虎断尾求生的本领,让它更具生命力,这种本领并不涉及同天敌打打杀杀的战斗力,正如网络韧性也未必涉及攻防对抗活动。从运营的角度讲,组织的信息治理工作与安全治理工作在很大程度上是共通、一致的。例如,企业的信息管理工作需要日常摸排资产和人员情况,企业数据安全合规治理和风险态势感知也必须以持续摸排企业数据资产、网络资产和人力资产为前提。信息治理与安全治理的集约化融合不仅是提升运营效率的基本手段,也是确保安全运营效果的重要前提。
数字化(digitization)这一提法在20世纪的电子工程学科即已出现,是指模拟信号的数值化转态。这一过程的本质是建立设备对信号强度这类语义的“理解”能力,从而让数字电路设备以更加灵活的方式广泛参与信号处理,加速了电子信息科学的发展。进入21世纪以来,信息技术和互联网不断重塑着经济形态和社会生态,此时又出现了“数字化”(digitalization)的呼声。从字面看,digitalization同digitization的区别在于前者具有使动和赋能意味。新的数字化概念体现为对各类业务流程的改造,改善运营方式和效率,但这仅是潜在结果而非本质特征,用于给数字化下定义是不合适的。
当前,网络空间正在经历一次嬗变,在“内容空间”(content space)之上萌生出“语义空间”(semantic space),即建立计算机对业务流程的语义理解。所谓“数字”将不再是内容的序列化表达形式,而是语义内涵的载体。本轮数字化转型的本质正是语义空间的大规模滋长过程,这一运动延续了科技解放人力的数百年历史。在几个世纪前的机械化变革中,人类驾驭热力学,放大了自身力量。在电气化革命中,人类借助电磁学和化学,释放出了巨大能量。目前我们进入了信息化(informationization)时代。信息化有广义和狭义之分,广义的信息化涵盖了后来的数字化、智能化过程。早期的信息化是狭义上的信息化(informatisation,不同于informationization),此时信息技术开始成为经济社会的基础设施,但仍停留在内容空间层面,业务运营大量依赖屏幕前的人脑和键盘上的双手,文档扫描、办公套件等过渡技术被广泛使用,机器对业务缺乏理解。如今的数字化转型中,机器对业务流程任务、角色和上下文的语义理解越发清晰,让语义空间日趋成形。于是,机器日趋广泛地介入业务流程的决策和执行,持续卸载人工劳动,并为下一步的智能化转型奠定基础。在未来的智能化时代,人工智能不再局限于人脸识别、文本分类等少数典型任务场景,而是对社会空间和内容空间形成深度理解,在此基础上建立起完备的语义空间,从而广泛替代人类的决策力与执行力。数字化的另一重要特征是透明化,这意味着原先的灰色地带将被照入阳光,势必引发一定的排斥,这也为今天的某些数字化转型项目埋下了失败的伏笔。
数字化对网络安全带来的影响是双面的。一方面,数字化带来了新的暴露面和攻击面,从而产生了新的安全风险;另一方面,数字化所催生的新技术将极大促进安全防御能力的提升。在数字化时代的安全防御场景下,资产探测取代了人工的资产申报,提升了信息资产台账的数据质量;统计机器学习模型开始替代安全专家对网络威胁的人工判别,增强了安全团队的战斗力。虽然人的作用依然不可完全代替,但业务效率和效果已经因自动化水平的提升而有所改观。当前,网络安全行业仍是人才短缺状态下的人力密集型行业,虽以自动化系统为保障对象,自身却大量使用手工劳动。安全运营的成熟度,不仅取决于安全保障系统自身的建设水平,更重要的是常规业务流程要达到充分的数字化,否则其上的安全运营自动化就无从谈起,繁重的安全感知和安全操作任务就难以实现。数字化转型带来的效率提升是网络安全工作所必须牢牢抓住的机遇。
大数据、人工智能、云计算、物联网、5G等不断涌现的新兴技术拓展着网络安全这一研究领域的边界。每当一个叫X的新兴技术火了起来,安全界多半会产生“X安全”这一相应话题。不过需要澄清的是,不论X代表何物,“X安全”通常具有多重含义。例如,Gartner在2019年发布的一份报告中将“AI安全”的含义解读成三个方面,分别是人工智能赋能安全防御、人工智能恶意应用带来的安全威胁以及人工智能自身安全。一般而言,可以将“X安全”分解为保障力、威胁性和暴露面这三个方面。保障力是指X对安全防护能力的增强作用,威胁性是指X对敌手的助力,暴露面对应X自身的安全风险。每出现一个新的X技术,就会产生对应的三个研究课题。当X代表云原生技术时,保障力是指基于云原生环境的安全保障能力,威胁性包括云原生环境中的易攻击基础设施,而暴露面则代表了云原生环境下的资产和脆弱性。不过,通常说的云原生安全关注的是云原生暴露面,研究如何对这些暴露面进行保障,但保障措施却未必是云原生的。当X代表量子技术时,保障力可以包含量子保密通信技术,威胁性包括敌手的量子计算技术对加密算法和安全协议的威胁,暴露面可以指量子设施本身的安全性。