下载掌阅APP,畅读海量书库
立即打开
2016年11月7日,中华人民共和国主席令(第五十三号)公布《中华人民共和国网络安全法》(简称为《网络安全法》,下同),这是我国对网络空间实施管辖权的第一部法律,也是迄今为止我国网络安全领域相关问题的基本法。该法已于2017年6月1日起正式实施。《网络安全法》是全国人民代表大会为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进我国经济社会在信息化过程中健康发展而专门制定的法律。
2016年11月是一个时间上的分水岭。此后,在中国,网络空间的概念被正式赋予了法定内涵。也正因此,有关企业网络安全相关话题的讨论,就应自觉且不可避免地,要在网络空间的概念环境之中展开才更有意义。此外,在网络空间概念环境中讨论企业网络安全话题,也具有相当的现实意义,因为,今天的一切正是网络空间的一部分。如果不正视这个问题,依旧把企业网络安全问题局限在企业内部或者局限在企业的某个信息系统之上进行讨论,则难免会有盲人摸象式的无奈和掩耳盗铃式的尴尬。这种漠视网络空间的世界观所导致的方法论问题或者企业在网络安全问题上采取“鸵鸟政策”的做法,在我国坚持和完善中国特色社会主义制度、推进国家治理体系和治理能力现代化的进程中,恐怕将会寸步难行。本书把这种观念上的变化,称为网络空间世界观。
定义1 网络空间世界观,是指人们因为网络空间的存在而对世界持有的基本看法和观点。
这是一种世界观对网络空间环境的适应。在本书的讨论范围内,将使用上述定义来描述人们对网络空间的判断的反应,包括处在什么样的位置、用什么样的时间、空间观念去看待与分析网络空间等。由于人的世界观具有实践性,会根据环境变化或因对环境的认知而不断更新。因此,此处的定义中并没有严格区分到底是人对网络空间的认知补充或改变了人已有的世界观,还是人可以在网络空间中逐渐形成新的世界观。
关于“企业”的含义
作为开始,有必要首先讨论一下“企业”的含义。后续的所有讨论,都将在此限定的含义范围内展开。本书尽可能地为每个术语提供外文对照词以便于读者理解。在没有特殊说明的情况下,这些对照词将通常采用英文形式给出,并且会以加注括号的形式示意。
一般来说,“企业”是一个经济学范畴的术语,通常是指各种独立的、营利性的组织。但是,近几十年来经常在信息技术(IT)应用领域的书籍、资料中看到诸如:企业架构(Enterprise Architecture)、企业计算(Enterprise Computing)、企业应用(Enterprise Applications)、企业网络安全(Enterprise Cybersecurity)、企业建模(Enterprise Modeling)等术语。这往往会给普通读者造成困扰,即:这些术语指代的内容都只适用于企业环境吗?是否也可以适用于其他场合?或者,比如针对“企业安全”,是不是还应该有“政府安全”“学校安全”“医疗卫生机构安全”“社会团体组织安全”之类的术语?显然在不同的场合或为了不同的需要,肯定有上述各种不同的“安全”,其中的含义肯定都不相同。
一定的技术应用具有一定的适用范围和应用场合。例如,信息化技术无论是在政府、学校、医院、社会团体,还是在汽车制造、矿产开采、金融行业、通信行业等各种形态的组织中应用,都不会有本质上的差别,不能因为某台通用型电子计算机(例如便携式计算机)是用在了学校的办公室而与用在了某幢写字楼里就有了本质的不同。又比如,基础电信运营商的手机信号,不会因为其覆盖范围的不同而有本质的不同。所以,即便考察了前述那些术语的内容,也没有发现它们具有对某种通用技术进行行业区别的意思。
从传播学的角度来看,似乎有一种现象:中文中冠以“企业”的有关信息技术领域的术语,通常都是来自于对英文“Enterprise”的直译,但其内容却基本和经济领域不相关。在原生的中文语境中,类似结构的术语的含义却往往被限定在“企业”一词的经济学含义之内,或者与“企业”一词的经济学含义强相关。例如,“企业经营”“企业管理”“企业文化”等术语,通常意义上分别是指企业的经营、企业的管理、企业的文化之类的含义。它们所表达的概念,限定在经营性组织从事经济活动的范畴之内。又比如,“企业安全”一词,通常意义上也是指企业的经营安全、生产安全、财务安全之类的概念,而并不单独指代企业的网络安全。因此,有必要在本书讨论的范围内给“企业”明确一个定义:一方面,是为了更好地兼容其他技术资料,尊重已有的表述习惯,方便读者与其他书籍资料的对接;另一方面,也是为了厘清概念,帮助读者更好地体会网络安全的含义。
定义2 企业,是指处于社会当中的,由若干元素因相互间的一定目的而联系形成的聚合。
在本书讨论范围内,不将“企业”的含义限定在经济学范畴内,而将“企业”的含义基本等价于“组织”或“团体”等名词的通常含义。可以用上述定义中的“企业”来泛指各种独立的营利性组织(或团体)和非营利性组织(或团体)。但是,反之不然。这主要是为了避免混淆。不可将“组织”或“团体”等的概念用上述定义替代。
此处所指的“组织”(或团体)首先是一种合法意义上的存在,进而是一种由其自身的任务和目的来决定的存在。并且,倾向于指代那些承担了艰巨而重大的社会使命,追求创新、开拓、进取理念的组织(或团体)。营利性组织(或团体)是指通常含义上的独立的公司等,非营利性组织(或团体)是指政府机构、科研院所、社会团体等。
上述定义的英文对照词仍然是“Enterprise”。在这里顺便简单提一下,在美国的信息技术领域,确实可能存在一种习惯使用“Enterprise”一词的传统(也可能是某种文化现象)。对其含义的理解,不妨从描述信息系统结构的角度入手:将由较底层的信息系统组成的更大规模的“人—机协作系统”及其组织形式,统称为“企业”(Enterprise)。
2015年12月16日,习近平主席向全世界提出共同构建网络空间命运共同体的“五点主张”。2016年12月27日,《国家网络空间安全战略》颁布,首次明确了中国网络空间安全战略的基本方针和主要任务,进一步丰富和发展了习近平主席关于推进全球互联网治理体系变革的“四项原则”和构建网络空间命运共同体的“五点主张”,勾勒了构建网络空间的中国方案。至此,构建网络空间成为新时期中国社会发展的关键内容。
目前一般认为,中文的“网络空间”一词,出自对英文“Cyberspace”一词的翻译和使用。虽然Cyberspace一词最早的汉译对应词是“赛博空间”,但大约在2011年前后,新华社的稿件中将Cyberspace翻译为“网络空间”。在那之后,“网络空间”一词被广泛接受。自2015年左右开始,在信息化技术领域和其他一般语境(非学界书面用语)下,基本上用“网络空间”替代了“赛博空间”。
对于“网络空间”概念的认识和理解,目前大致有两种观点。一种是“词源”派,主要是从考据“Cyberspace”一词的文字根源和构词轨迹的变迁来认识“网络空间”;另一种是“技术”派,主要从互联网工程技术和互联网作用下的经济社会发展流变来认识“网络空间”,包括早期的“赛博空间”的概念。本书在此对两者都做一些简要介绍。
(1)“词源”派观点
据一些考证,“Cyberspace”一词最早于1982年出现在加拿大科幻小说作家威廉·吉布森(William Ford Gibson)先生的短篇小说《燃烧的铬》( Burning Chrome )之中。原文满含诗意,描述了Cyberspace,渲染出某种哲学启蒙的意境。后来,这个词随着他于1984年出版的小说《神经漫游者》( Neuromancer )引起轰动而被大众所熟悉。这部小说曾获英语科幻文学界的三大主要奖项:雨果奖(Hugo Award)、星云奖(Nebula Award)和菲利普·狄克奖(Philip K. Dick Award)。据说吉布森先生在1985年用《神经漫游者》的版税买下他人生中的第一台电子计算机之前“对计算机一无所知”,他是依靠自己的听闻和想象创造出了笔下的赛博空间(Cyberspace)。
Cyberspace在词源上应该是受到了Cybernetics的影响。Cybernetics一词由诺伯特·维纳(Norbert Wiener)博士在其著作《控制论》( Cybernetics )中首先使用。据他本人的回忆录记载,Cybernetics这个词是“一种对人类,对人类关于宇宙和社会的知识的全新阐释”。语言学者通常认为Cybernetics一词应是来源于古希腊语κυβερνάω(kybernan),原意为“掌舵”。英文词缀“Cyber-”即来源于Cybernetics。据希腊语原意理解,Cybernetics本意为控制(船的)航行(to navigate)。单从字面意思来看,Cyberspace有“可航行的空间”的意思,进而可将其引申为“可探索、可认知的世界”。自20世纪50年代起,Cyber的含义开始变得复杂,涉及计算机科学、神经生物学、人工智能、哲学等多个领域以及它们之间不确定的交叉领域。对此感兴趣的读者不妨阅读小说《神经漫游者》来进一步体会。
(2)“技术”派观点
这一类观点中,Cyberspace的含义大致经历两个阶段。
第一个阶段是“赛博空间”阶段。从威廉·吉布森先生首创的Cyberspace概念肇始,大约是在与当时美国社会的一些激进思潮的相互启发的作用下,逐渐出现了一种后来被称为“赛博朋克”(Cyberpunk)的文化现象,影响深远。其代表是1991年9月《科学美国人》( Scientific American )出版的《通信、计算机和网络:如何在网络空间中工作、娱乐和发展》( Communications , Computers , and Networks : How to Work , Play and Thrive in Cyberspace )的专刊,刊载了米奇·卡普尔(“Mitch Kapor”,Mitchell David Kapor)先生的文章“网络空间的公民自由”( Civil Liberties in Cyberspace ),文章使用了“Cyberspace”一词,较为系统地阐述了有关概念。根据其文意推测,Cyberspace是指“赛博空间”,即存在于计算机网络中的虚拟世界和自由世界。20世纪80年代中期至90年代后期,“赛博空间”的概念和“乌托邦主义”,以及“朋克”文化现象存在较大关联性。
第二个阶段是“网络空间”阶段。代表是2001年2月发布的美国国家安全54号总统令( National Security Presidential Directives , NSPD)或2001年10月发布的美国国土安全23号总统令( Homeland Security Presidential Directives , HSPD),其对Cyberspace的定义是:“连接各种信息技术的网络,包括互联网、各种电信网、各种计算机系统,及各类关键工业中的各种嵌入式处理器和控制器”。这类观点大多立足于计算机技术、通信技术或与之相关的技术领域,相关理解被限定在相对狭义的技术层面,并且在很大程度上服务于国家安全领域政治、军事层面。
(3)本书观点
本书认为网络空间是一种实在空间,是一种虚拟的实在,是一种自为的世界,不是非现实的空间,不是一个依赖于人的想象才能被认知的非自在的(或可能是非自然的)抽象空间。在网络空间之中,人把(利用信息技术构建的)网络作为一种介质和工具进行使用,同时,这种(由人利用信息技术构建的)网络又构成人存在于现代现实社会之中的一种必要条件。因此,给出如下定义。
定义3 网络空间是指行为体以及行为体的活动在信息技术作用下使得社会发生延伸和拓展而形成的空间。
在这个定义中不严格区分行为体是否具有人类属性,构成网络空间的行为体不仅仅是自然人或自然人组成的行为实体,也可以泛指人造物,例如人工智能及各种其他智能工具的集合等。此外,还可以把“网络—实体系统”(Cyber-Physical Systems, CPS)、物联网(Internet of Things, IoT)等,作为进一步的、更具象的网络空间概念的实例。
狭义的网络空间,只是指包含信息以及存储、传输和处理信息的系统。这些系统不单指国际互联网或某个计算机网络,还包括电信网络或工业控制系统,以及通过导向型介质(电缆和光纤)或非导向型介质(无线)访问电磁频谱的各种设备。这一类狭义的网络空间概念多见于某些技术性语境或场景,侧重于对网络空间的技术性把握,以美国军方的表达最有代表性。例如,马丁·利比基(Martin Libicki)博士在《网络威慑与网络战争》( Cyberdeterrence and Cyberwar )中,对网络空间做了结构性分析,认为网络空间由三层构成:①最下层的物理层,即构成网络信息系统的物质性基础;②中间的语法层,即系统设计者与使用者发给机器的指令、程序以及机器之间彼此交互所依赖的协议等;③最上层的语义层,主要指机器所含的信息以及一些服务于系统操作的信息。
定义3的概念更倾向于将人的因素引入网络空间的概念当中。可以将狭义的网络空间概念看作是广义网络空间概念演变路径上所经历的一个阶段。网络空间具有动态性,行为体之间的关系也是网络空间的组成部分,既有信息技术进步自身所带来的结构上的发展,也包括各行为体的活动所展现出的过程性。曼纽尔·卡斯特尔(Manuel Castells)博士曾经有一句名言“空间不是社会的拷贝,空间就是社会”,与此类似,网络空间也具有社会性——网络空间相对于人类生存的物理空间而言,可以被称为人类生存的第二空间。
第五域(The Fifth Domain)
网络安全空间也被称作是第五域。这一概念较早出现在2011年7月美国国防部发布的《网络空间行动战略》( Strategy for Operating in Cyberspace )。该文件将网络空间称为与陆、海、空(大气层内)、天(大气层外)并列的第五个可供人类进行战争的领域(Domain of Operations)。第五域的概念大致起源于1999—2009年间美国针对网络空间以及本国关键基础设施安全保障问题的一系列研究。第五域的概念可被宽泛地引申为:网络空间是第五个关乎国家安全的竞争领域或第五个国家主权领域。沈昌祥院士曾经于2014年指出,“网络空间已经成为陆、海、空、天之后的第五大主权领域空间,也是国际战略在军事领域的演进,对我国网络安全提出了严峻的挑战。”
伴随着社会信息化的发展进程,人类在物理空间的政治、经济、文化、军事等活动将被投射到网络空间中,物理空间和网络空间将会相互融合发展,即网络空间也可以并且正在以各种不同的形态和方式反过来影响和控制物理空间的运行,体现出一种互相控制的关系。例如,对网络空间中大量数据的应用,可以作为改造和优化物理空间的工具。随着网络空间的构建,物理世界已有的国际秩序和治理体系、法律和道德、经济关系和经济活动等,都将进入一个全新的发展阶段。
不知从何时起,出现了网络安全和信息安全的“鸿沟”,谈及安全,就要分成两个“安全”,甚至多种多样的“安全”。因此,有必要探究一下如何理解安全。
“安全”一词,古已有之,但是其含义却在不断演变并且变得越来越丰富。
例如,《新华字典》对“安全”词条的基本解释是“没有危险,不受威胁,不出事故”(其他主要中文字典和词典的解释大致与此相同)。“安”字本意是指稳定,比象建筑物的周正和平衡,后逐渐引申出:人处在自由自在、心情放松的状态或(属于人的)物处在使人感到心情放松的状态的意思。“全”字本意是指完整、没有瑕疵,大致是描述某种行动的结果处在理想的状态,后逐渐引申出:停止损失或者修理复原等意思。据推测,汉字“全”出现的年代可能远远晚于“安”字,证据之一是至今尚未发现(或解读出)“全”字的甲骨文字形。所以,在中国历史上,可能有很长一段时期,没有“安全”二字。现代意义上“安全”的意思,通常用“安”一字就足以表达了。据目前已知中文文献记载,“安全”二字最早出现在《易林》里的一句占辞之中。该书是一本有关“易”的书籍,作者是焦赣(字延寿)。书成于中国西汉时代,距今已有约2100年。
现在,在安全领域,英文中的“Security”一词已被广泛作为中文“安全”一词的对照词使用。英文“Security”一词,是自西历16世纪中期由拉丁语引入并变化而来。有三种含义:①它源自拉丁文“securus”,本意是指“免于焦虑的”“免于照顾的”“(情绪)放松的”,作为形容词使用;②源自拉丁文“securitas”,本意指“处于安全(状态)的条件”“安全的东西”,作为名词使用;③本意“确保”“确定”,作为动词使用。至西历20世纪中叶,其含义中又扩展出“国家和人身的安全”的意思。《牛津词典》( Oxford English Dictionary )对“Security”词条的基本解释是“保护、担保;感觉愉快;抵押品”(其他主要英文词典的解释大致与此相同)。
通过上面的简单追溯,大致可以看出,无论中、西方“安”“全”或“安全”的含义演变都经历了这样一个过程(或演变路径):从描述人本能感受到的自身的某种状态,到描述人自身某种行为结果的某种状态,再到描述人周边宏观环境内的某种和人或人群相关的状态。安全概念的形成,始终围绕着人、人所处的自然环境和人所处的社会环境这三个方面的因素。因此,“安全”从一开始就应当是一个“关于人”的话题,其后逐渐扩展到那些能够和人发生相互作用或联系的环境。
考察这个演变路径,可能会发现一个现象,就是往往很难直接说清楚“安全”的准确含义,而是通常会用间接的方法,排除什么是“不安全”;之后,与不安全相对的自然就是安全。例如,与安全相对的是危险、危害、损失等,所以就采用否定其对立面的方式对其进行肯定——安全是没有危险、不受危害或损失,免除了遭受危害的威胁。
那么,为什么会出现这种现象?是偶然巧合吗?会不会还有更深层次的意义?
首先,安全的范畴非常之大,用一一列举的方法进行说明或者用面面俱到的方法进行描述,必然会需要比较大的篇幅才行,而且往往还会遗漏某些内容,所以就不如用“假之假为真”的逻辑方法进行处理,会简便许多。这是第一个层面的原因,但这可能仅仅只是一个技术原因、一个基于文字表达技巧的原因。
其次,不安全的情况相对于什么是安全的,可能会更直观地被人们所认识,因为人们日常所能接触的环境都是相对安全的环境。不安全的环境已经淘汰了人或物(即,适者生存)或者被人逆淘汰(即被改造)了。所以,用一个更加容易被人理解的概念去描述一个不易被人理解的概念,效果可能会更好一些。这是第二个层面的原因,一个基于认知规律的原因。
最后,人们对安全的认识一直伴随着社会的发展进程而被不断丰富和完善。客观上,对安全的评价标准也就会跟着发生变化。而这种变化通常很难进行量化或者量化的标准具有不确定性,这就会在概念上造成一些争议,留下模糊地带。所以,用一些相对概念进行比较和阐释,就不失为一种实用的方法了。这可能是第三个层面的原因,基于方法论与世界观的原因。
进一步讨论
在对安全的概念的理解上,人们惯用一种基于“逆向思维”的方法,这种方法是从事安全工作所最为常用和最为有效的方法。同时,进行逆向思维还是一种从事安全工作所必需的、实用工作习惯。安全界那句“不知攻焉能防”的名言就非常生动地诠释了这种思维方法的重要性。现实当中的安全工作在很大程度上都是在研究不安全的问题,试图通过处理不安全的情况来换得安全的结果。人们的潜意识里通常认为安全问题是有限的,不存在无限的不安全的可能性,认为不安全的要比安全的更明确,也更容易处理,研究不安全远比研究安全要更容易取得成效。但非常遗憾的是,这种实用主义的方法论可能最终并不能让人们取得预期的效果。疑点之一就是,人们遇到的安全问题并没有越来越少,相反,却是越来越多且越来越棘手。特别是,身处开放系统、巨系统、耗散结构的场景下——也就是人们处在网络空间的条件下,原本“有限”的不安全可能就会因为数量增多、范围变广而变得相对无限起来,逆向思维的方法是否还依然有效,就很值得人们去研究。
当我们树立网络空间世界观之后,就更应该深入思考相关的问题。
说起“网络安全”,就会让人想到“信息安全”“信息网络安全”“网络信息安全”“信息内容安全”“网络与信息安全”“网络空间安全”等若干形式相近的术语。这些术语的含义有的相互交叉涵盖,有的甚至相互嵌套,出现在各种场合之中,让人莫衷一是。因此,很是有必要进行一番梳理。需要声明的是,不论哪个术语的定义都是经过了实践检验,本书无意质疑这些术语的定义是否准确,而是试图从不同语言环境和不同文化环境的角度,简要地梳理一些现象,希望能够找到这些术语含义流变的蛛丝马迹,借以来说明或规范当前网络空间环境下安全概念的范畴,以方便后续的讨论。
大致而言,造成这种混乱的原因主要有两个:一是因为不同时期对外文资料的不同翻译方法和翻译习惯所引起的混乱;另一个是因为对翻译而来的术语望文生义,依据传统的使用习惯而引起了不同程度的混乱。
对于第一个原因,主要表现在对一些术语的翻译没有很好地结合语境和上下文的文意,单纯从字面意思进行了直译。例如,对英文Network Safety和Network Security进行中文翻译,通常都会翻译为“网络安全”,但严格来讲,两者的含义并不相同。又比如,对英文Networking Security的中文翻译同样还是可以翻译为“网络安全”,而这个“网络安全”的含义和前面的两个“网络安全”的含义也不相同。当然,随着安全学科的发展,越来越多的专业人士已经能够准确地区别外文资料中不同术语之间的细微区别并体现在了翻译的结果上,这类问题正在慢慢减少。但是,存量的资料中还是会存在这个问题。
对于第二个原因,主要是因为汉语存在独特的性质而导致某些术语在翻译过程中出现了表意偏差。本书将这种因为不同语言的固有属性原因而引起译文表意偏差的问题,称为“转译陷阱”问题。汉语不同于西方语言,从西方语法的角度来说,汉语“无词性”,不以句为本位而是以字或以句子逻辑链接(语序)为本位,这是汉语的一个独特性质。在汉语中经常会有一些由翻译而来的短语或专业术语的词义,与汉语原有的同形词汇的词义发生杂糅。因此,遇到转译陷阱问题时,那些通过直译而来的专业术语很容易在不同的场景中,使非专业背景的读者根据习惯而望文生义。
“转译陷阱”问题不同于“语义扩展”问题。后者是因为某些汉语的原生词汇,被后来引入的某些外来语的译文扩展了词义。两者的不同在于,转译陷阱问题的存在使得转译而来的专业术语在使用过程中给专业人员带来了一定程度上的表意方面的困扰;而语义扩展问题则只是扩展了原有词汇的含义,但通常不会给专业人员的使用造成明显的干扰。
定义4 转译陷阱是指翻译过程中由于不同语言的固有属性,导致译文的语义理解出现偏差的现象。
例如,英文“Network Security”和“Networking Security”被按照惯例翻译为“网络安全”时,就会出现转译陷阱问题。事实上,如果它们被分别翻译为“网络的安全”和“组网的安全”会更贴切一些。按照中文习惯,上述的“网络安全”既可以表示“网络的”安全,也可以“整体地”表示网络安全。前者可以表示所特指的某一个网络的安全,既可指网络系统范围内的安全,也可以指网络系统本身的安全,还可泛指网络相关概念范畴内的安全。后者可以表示整个网络安全领域的意思,或者表示网络处于安全的状态。无论译文是哪种含义,都和原文的含义有一些出入。此时,再基于译文去理解后续内容恐怕就不是那么容易了。
再简单举个例子:按照中文习惯,在结合上下文的情况下,表意的名词通常可以在一定程度上被简化表达。例如,短语“计算机网络的信息安全问题”,可被简化表达为“计算机网络信息安全问题”;短语“计算机网络信息安全问题”可被简化表达为“网络信息安全问题”;短语“网络信息安全问题”可被简化表达为“网络安全问题”或“信息安全问题”;短语“网络安全问题”或短语“信息安全问题”都可被简化表达为“安全问题”。此时,在安全专业人士看来,“安全问题”“网络安全问题”或“信息安全问题”所要表达的含义已经和原句“计算机网络的信息安全问题”有了明显的不同。如果说此时尚可以借助原文的上下文语境进行理解而不至于造成混乱。那么,一旦脱离原有的上下文环境,从原文中引出一部分内容用在别的地方,那么引文的含义则会很容易被混淆。这种情况在日常环境中很常见。比如,为传达布置工作,某些文件需引述上级文件或者领导人讲话的内容,往往会进行缩写或者只是摘录部分内容,这就很容易带来因简化表达而出现的问题,并且还可能会随着一级一级地传达而不断放大其中的偏差。
不太可能找到一个“标准”的方法来处理“转译陷阱问题”。事实上,既不需要这样做也没必要这样做。现阶段,在我国网络安全领域,舶来词还比较多。希望读者朋友们在接触相关文献资料时要尽可能结合所阅读资料的上下文语境来理解。随着经验的增加,应该就能够很好地适应或应对这些转译陷阱问题。
接下来,不妨稍微深入一些讨论一下前面提到的那几个容易混淆的术语的含义。
(1)信息安全
“信息安全”的概念发端于计算机科学(Computer Science, CS)领域,后来逐渐延展至信息技术(Information Technology, IT)领域,其内涵从早期的通信保密(Secure Communications)逐步发展为计算机安全(Computer Security)、计算机信息系统安全(Security of Computer Information Systems)以及今天广泛意义上的信息及信息系统安全(Information Security, InfoSec)。通信保密和保密通信(Communications Security, COMSEC)的内容不同,后者涵盖的范围更广。
计算机科学技术的不断发展促进了现代通信技术的发展,并且在不断与通信技术的融合发展中,形成了信息技术。信息技术是泛指可用于管理和处理信息的各种技术,但主要是指应用计算机科学和通信技术来设计、开发、实施和控制信息处理系统。从这个含义上讲,信息技术又可被理解为广泛采用计算机处理社会活动中的信息交流事务的技术。同时,将这种逐步广泛采用计算机处理社会活动中的信息交流事务的过程,称为信息化。正如梅棹忠夫(Tadao Umesao)先生所说的那样,“信息化是指通信现代化、计算机化和行为合理化的总称”。
因为计算机和信息化有这种历史发展脉络上的渊源和关联,所以,随着信息化进程的推进,以及在信息化过程人们不断加深对计算机安全相关问题的认识,最终一定程度上出现了“信息技术安全”(IT Security)的概念。信息化的重点(或者目的)在于“信息”而不在于“技术”,并且,在信息化过程中出现的安全问题也不仅仅是技术问题,有人因此得以将信息“技术”安全的概念范畴扩大——把IT Security的中的“Technology”去掉,变成了“Information Security”。翻译成中文,就是“信息安全”。
很不巧的是,翻译过程中出现了转译陷阱问题。按照中文表达习惯,“信息安全”字面意思理解可以指“信息的安全”,也可以“整体的”表示信息安全。前者可以特指某一条、某一类信息自身的安全情况或信息所归属的系统、环境的安全;后者可以泛指整个信息安全领域,或者,也可以“整体地”指“信息”处在安全的状态。结合历史环境和技术发展过程来看,“Information Security”也可以是指“信息化的安全”,不仅指信息在产生、存储、处理、传输、销毁等整个生命周期内各环节的安全,还可包括信息本身所表达的含义的安全(这种安全,可以认为是:人因为理解了信息所表达的含义后受到影响,改变了自身的社会活动能力)。
此外,由于有了对“信息安全”的字面意义的理解,还可以很自然地派生(扩展)出现“网络安全”“传输安全”“存储安全”……“某某安全”一系列各式各样的“安全”。
(2)网络安全
“网络安全”的含义稍微复杂一些,大概有四个层面的解释(依次记为含义1~4)。
第一个层面(含义1),指“网络安全”原本的含义,即计算机网络自身的安全,以及经由网络连接的计算机的安全。在这种含义下,网络安全和信息网络安全是同一内涵。由于信息安全(或信息化的安全)涵盖了管理和技术等多个方面,有些时候,为了特指信息安全中不涉及人的层面(即技术层面),而会使用网络安全这个术语;与此对应地,会使用术语“信息安全管理”来特指非技术层面的安全。上述“信息网络安全”一词,在中文环境中,可被简化表达为“网络安全”。
第二个层面(含义2),由于某些行业的独特专业背景而形成了特有的表达习惯。例如在通信行业,习惯上将通信网络简称为“网络”,用以指代为社会提供通信服务的“大网”。人们常说的互联网、Internet、客户专线、虚拟专用网等,都属于这个“大网”的范畴。所以,“大网”的安全,就被习惯性地称为“网络安全”。
第三个层面(含义3),通信技术因为自身信息化的缘故而发展成为现代通信技术。人们利用现代通信技术将传统的通信系统发展形成了无所不在的通信网络。人们的生活与通信网络的关系越来越紧密,网络成为现代社会不可或缺的基础。从通信网络或网络基础设施的视角而言,信息化就是网络化。“信息化的安全”此时就可以被理解为“网络化的安全”。从这个角度来说,网络安全泛指信息安全,可以理解为网络设施及其外延的信息安全。这只是在表达方式上,略微带有一些特定行业的习惯性色彩而已。顺便提一下,在使用术语“信息安全”的过程中也会经常遇到这种带有行业习惯的表达方式的问题。例如,企业中负责业务支撑信息化或企业管理信息化的人们更习惯用“信息安全”进行表达。在他们的概念里,网络就是指网络本身,不会将网络的概念外延到包含所承载的业务。所以对他们而言,网络安全不是信息安全,而是包含于信息安全。再比如,在金融行业,涉及网络安全的工作通常归属在信息科技范畴内,因此,习惯上也是使用“信息安全”进行表达(当然,一定程度上,这和金融行业十分关注用户信息保护的历史沿革有关)。
第四个层面(含义4),“网络安全”一词在《网络安全法》生效后被赋予新的内涵。比如,《中华人民共和国网络安全法》的英文译法就是 Cyber Security Law of the People's Republic of China , 即认为网络安全等同于“Cybersecurity”。发布于2016年12月的《国家网络空间安全战略》之中就明确将网络空间安全简称为网络安全。再比如,由于法律名称采用了“网络安全”的表达方式,因此,有些研究者为了保持与法律的一致,而将原本的“信息安全”一词更新成了“网络安全”。2019年5月,国家标准化管理委员会发布了新修订的《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019),其原本的名称是《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239—2008)。
在国内外文献中常见:①在特指信息内容安全方面时,通常使用术语“信息内容安全”或“网络信息安全”;②在特指大数据安全保护、用户数据保护或隐私信息保护方面的内容时,通常使用术语“数据安全”;③在泛指网络的安全和数据安全的时候,可以使用术语“网络与信息安全”。当然,这些都只是习惯用法,具体含义还应该结合其文意。图1-1展示了本节所辨析的几个概念之间的关系。
•图1-1 网络安全相似概念关系示意图
本书倾向于:①使用“网络安全”(含义3或含义4,对照词为“Cybersecurity”)来进行泛指,以便和大的语境相适应并尽量避免歧义;②将含义1和含义2之下的“网络安全”称为狭义的网络安全(对照词为“Network Security”)。
网络空间是一种由社会与信息化了的社会两者交互融合而形成的空间。虽然它不单纯指物理空间,但也具有客观性。网络空间可能是超物理空间的存在,和人的行为和思想具有超距离或无距离的关联性,但它依然具有自己的物理基础。为了简化相关内容的讨论,本书仅从网络空间的一种可能的构型入手展开相关话题。
如图1-2所示为一种可能的网络空间结构模型(该图为正视图投影)。本书采用分层的方法,将网络空间划分为5个层次进行理解并将这种理解称为“网络空间分层结构模型(The Layers Model of Cyberspace Architecture, LMCA)”。这5个层次从顶到底依次是:(人类)行为关系层、(人类与网络空间的接口)适配层、数据层、计算层和物理层。“层”既是一种组件,也是一种逻辑概念。
定义5 网络空间分层结构模型是指用层次化的方法理解网络空间的可能结构。
•图1-2 一种可能的网络空间结构模型:分层结构
“分层(Layers)”对于理解互联网具有十分重要的作用。根据开放系统互连参考模型(Open Systems Interconnection Reference Model, OSI-RM),互联网可以被视为拥有7层结构。根据用以实现互联网模型的TCP/IP族的概念,互联网可以分为4层。因此,由于目前已知的网络空间是构建在互联网的基础之上,所以,自然也就继承了互联网及IT系统的分层结构。既然网络空间是可以分层的,那就不妨综合考查它的形态、内容、功能等方面的特征,对其进行分层。
1)行为关系层是网络空间分层结构模型的顶层,是人类社会所在的层级。这一层主要描述人类个体(或团体)之间经由网络空间的作用而建立或被影响的社会关系。网络空间的存在对人类个体(或团体)行为发生作用和影响,人类的角色可以投射到网络空间之中形成虚拟角色;而反过来,虚拟角色也可以借由某种形式(例如,人工智能体)融入人类社会之中。在这一层级,自然意义上的人类和人工智能体的界限可能会彼此浸润,变得越来越模糊。这一层级有可能是未来更高层级的过渡层级。
2)适配层指人类的角色与网络空间内的虚拟角色之间的投射关系,需要在物质层面靠某种人—机交互的界面来完成,这就是第二层(也可以称其为接口层),主要描述人类如何进出网络空间。例如,移动互联网客户端App,或者,其他人类活动的场景所使用的应用软件。
3)数据层主要描述人类及其虚拟角色在网络空间中的逻辑形态。网络空间自身的运行会产生大量的数据。这些数据既包括不同的人类角色或虚拟角色因为自身的行为或活动而产生的数据,也包括需要人类理解的其他数据。此处所说的“数据”并不是指具体的某个网络传输中的载荷内容,也不单指存储于某种介质之中的比特,而是指一种宏观意义上的可以被人类理解的信息集合。比如,大数据(Big Data)就是数据层的重要组成成分。
4)计算层指承载网络空间实体功能的组件所组成的层级。这一层主要描述网络空间所需功能的实现方式和运行规则(协议),包括很多子层,例如传感器层、数据链路层、网络层、传输层、应用层、服务层等。
5)物理层指物理空间中的物质实体,由所有承载逻辑功能的硬件和所有完成人类预期指令动作的硬件构成。在描述每个硬件时,还包括该硬件在三维空间中的地理位置信息。此外,在这一层级,也涉及网络空间与自然环境的能量交换问题,有可能是未来更基础层级的过渡层级。
如果说网络空间分层结构模型是一种“纵向”的概念,大致描绘了网络空间中的信息承载、信息流动和网络空间整体运作的某种框架性的概念,那么,还有一种“横向”的概念,即信息基础设施(Information Infrastructure, II),可以视作这种框架性概念的另一种可能的描述方法。网络空间可以由若干信息基础设施构成其物理基础和应用软件基础,对现实社会的运行具有决定性的支撑作用甚至是保障作用。在信息基础设施之上,施加各种不同的应用或者更加细分场景的应用,则可以构建出更多的“区域”。可以将这些不同区域的总和理解为网络空间。所以,信息基础设施可以被认为是一种“横向”概念或者“分域”的概念。某种信息基础设施就是网络空间的一个子集,但在其内部,同样可以具有分层的结构。网络空间分层结构模型可以兼容信息基础设施的模型,两者并不存在根本性的不同。如果狭义地理解信息基础设施,可以粗略地将信息基础设施归为网络安全分层结构模型中的中下层(即数据层、计算层和物理层),或者,也可以简要地归为计算层。
“信息基础设施”原本指电信网络的基础设施,较早见于美国1991年版的《高性能计算法案》( The High-performance Computing Act of 1991)。其后,又出现了关键信息基础设施(Critical Information Infrastructure, CII)的概念并逐渐被广泛采纳和接受。
在网络空间分层结构模型的基础上,可以初步理解网络空间安全所具有的一般特征,即网络空间安全遵循以人为本的原则,否则,网络空间安全就毫无意义。
原则1 以人为本原则:网络空间安全中,人是根本动因,一切都需考虑“人”这个因素。
此处所讲“以人为本”有三个层面的含义:①网络空间安全是对“人”才有意义,或者说,网络空间安全存在目的性,其目的就是满足“人”的安全需求;②网络空间安全存在过程性,需要“人”作为主体来驱动它,“人”不能超然于“安全”之外;③网络空间安全存在对抗性,安全是“人”和“人”较量的结果,也是这种较量过程的本身。
人创造了网络空间并且居于网络空间的顶层,没有人或没有人的需要和目的,就没有网络空间。在自然环境中安全就已经成为人的一种基本需求,自然会随着人构建网络空间的过程而被投射到网络空间之中。在网络空间之中,安全需求依然是自然的,是伴随着人的自然存在而存在的。同时,人的存在也是社会性的存在,社会关系表征着人所存在的过程,网络空间作为人实现自身社会存在的一种方式,也将会存在社会关系。有社会关系就会有社会活动,例如政治、军事、文化等,这些社会活动都会随着由人(或人组成的团体)的生存欲望所决定的自我保护意识而投射到他们在网络空间中的行为之上,这些行为——即人在网络空间内寻求安全的活动——也就成了网络空间安全的重要内容。网络空间安全和传统社会中的安全问题,必然存在以“人”为耦合点的联系。总体而言,网络空间安全就是为了让人在网络空间之内,处在受保护的过程里、让人处于安全的状态下、让人有安全感。
传统上,网络安全通常包含5个属性:机密性、完整性、可用性、可控性和不可否认性。而在网络空间安全的范畴中,还应当包括自限性(Self-lockout),即网络空间应当与人类社会之间在技术层面设置有保护机制,网络空间的失陷不应当给人类社会造成(实质)伤害。
在网络空间不同的层,安全的概念会相应地有不同的侧重内容。比如,“物理层”重点关注的是保护“物”不受人为或环境影响的破坏;“计算层”重点关注的是保护人的通信、交流等不受人为影响的破坏;“数据层”重点关注的是控制人的数据被人为破坏的风险;“适配层”重点关注的是保护人的虚拟身份;“行为关系层”重点关注的是社会活动的正常、有序等。不同的层之间需要彼此联系,需要系统地看待,不能因为分层就画地为牢。网络空间安全是一个整体。
网络空间安全的范围极广,国内外的学者给出的定义还未能统一,这也证明了网络空间安全的复杂性和前沿性。图1-3展示了一种基于LMCA的网络空间安全概念框架。
在这个概念框架中,层与层之间存在依高低顺序逐层兼容包含的关系,较高一层的内容包含较低一层的内容,较低一层的内容支撑较高一层的内容。例如,在网络空间安全研究范围内会涉及国家安全相关的内容,而国家安全的构成中又可细分为政治安全、经济安全、文化安全、社会安全、国防安全等专门的领域。又如,在经济安全领域内又会继续细分能源、交通、通信、金融等不同的行业领域。在不同的行业领域里,还可继续细分出涉及人(或由人组成的团体)作为主体直接或间接参与的社会关系。与这些社会关系对应的内容就处在行为关系层。在这一层,需要考虑的是各种主体(如企业)间在网络化的环境中(或借助网络化手段)的竞争、冲突、调和、合作乃至某种程度的认同和融合(同化)等。而想达到这些目的,社会关系的各个主体就需要向下一层寻求具体的方法和手段,即在适配层来完成自身行为目的的目标选定与实现目的所需工具的组装,需要确认对手的身份、明确场景、找到合适的切入途径(业务)等。而这些选定目标、组装工具(包括制造工具)的方法和手段,也需要更具体的技术细节,需要利用信息化技术来实现。以此类推,逐层向下细化并具体实施。
•图1-3 网络空间安全概念框架示意图
网络空间的存在已经是不争的事实。企业是社会的组成单元和有机体,也是网络空间的组成部分。网络安全(从本节起,本书将使用“网络安全”代指“网络空间安全”)话题中的重要内容之一,就是讨论网络空间环境下企业的网络安全。在今天的时代,企业的日常运作以及业务流转已经不可能离开网络空间的环境。因此可以说,企业的网络安全,甚至就是相当程度上的企业安全,关乎企业的生存和发展。虽然“企业安全”的含义范畴要大于“企业的网络安全”,但本书不严格区分“企业安全”和“企业的网络安全”这两种表达之间的差别,在不进行特意声明的情况下,认为两种表达方式的含义等价。
网络空间肇始于互联网的蓬勃发展。尤其是互联网的商业化应用(互联网经济),在事实上逐步促成了网络空间的形成。正是经济基础决定上层建筑,互联网经济的基础催生了网络空间的政治博弈,并且,由于这种博弈而引发的诸多边际效应,反过来又在深刻地影响社会,并影响到企业。企业在网络空间时刻面临生存问题。此处所说企业的生存问题不是指企业的经营和运作比没有网络空间时要艰难,而是说,网络空间中有一种力量在不断地将原有的社会关系持续地碎片化。在这种碎片化过程的冲击下,人力、资本、科技、资源和市场等这些关乎企业生存的要素所依赖的经济、技术、社会、政治、法律环境甚至自然资源环境都将存在不确定性。这种不确定性的存在,甚至对国家安全这样的宏大结构也会有所撼动。习近平主席指出:“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。”
这就决定了企业对网络安全问题要比以往任何时候都应该更加重视。
我国是社会主义国家,在中国共产党的领导下,国家的各项事业和中华民族的伟大复兴取得巨大发展。自2012年11月中国共产党的第十八次全国代表大会召开以来,以习近平为核心的党中央高度重视网络与信息安全工作,推动网络安全和信息化发展取得了历史性成就、发生了历史性变革。网络安全的顶层设计逐步显现并日臻完善。
2012年12月,全国人民代表大会常务委员会做出了加强网络信息保护的决定,为加强网络信息保护提供了法律依据,是贯彻落实党的十八大关于加强网络社会管理,推进网络依法规范有序运行要求的重要举措。2016年11月《中华人民共和国网络安全法》颁布并于2017年6月正式实施。2016年12月,我国开始实施国家网络空间安全战略,目的是维护国家在网络空间的主权、安全和发展利益。2017年8月,国务院发布《关于进一步扩大和升级信息消费持续释放内需潜力的指导意见》,明确要求深入推进互联网管理和网络信息安全保障体系建设,加强移动应用程序和应用商店网络安全管理。2017年10月,习近平总书记在向中国共产党第十九次全国代表大会所做的报告中明确提出,“加强互联网内容建设,建立网络综合治理体系,营造清朗的网络空间”“完善国家安全战略和国家安全政策”。2018年3月,中央网信办和中国证监会联合印发《关于推动资本市场服务网络强国建设的指导意见》,鼓励完善网信产业链条,参与全球资源整合,提升技术创新和市场竞争能力。2019年7月,工业和信息化部等十部门联合印发了《加强工业互联网安全工作的指导意见》,明确要在2020年年底初步建立并在2025年基本建立较为完备的工业互联网安全保障体系。2019年10月《中华人民共和国密码法》颁布并于2020年1月1日起施行。
从宏观的政策环境和国家战略要求来看,开展网络安全工作已经成为全社会不可突破的底线。开展网络安全工作是国家意志的体现,是国家战略的要求,是每个企业所应尽的义务和责任。无论在我国境内的任何行业的企业,都应自觉学习、接纳、树立和坚持总体国家安全观以形成自身的网络空间安全观,遵从法律法规的要求,自觉服从服务于国家战略的需要,正确对待和妥善解决自身所面临的网络空间环境中的各类安全问题。对企业而言,这恰恰也是谋求自身新发展的机遇。
企业在网络空间之中时刻受到来自内外部的威胁,有些威胁是传统威胁的网络化,而有些威胁是在网络空间所特有。传统威胁是指来自竞争对手或某些利益诉求者所驱动的有目的的竞争、牵制和冲突等行为,这些行为都可以在网络空间实施,甚至还可以升级出更多更新的花样,形成一些网络空间特有的威胁形式。
威胁可以来自企业内外。威胁的主体可以是“天灾”也可以是“人祸”。总体而言,在网络空间环境下,“人祸”的可能性会更大,甚至这种由人引发的威胁是企业所面临的主要威胁。威胁的对象不一定在企业内部,也可以在企业外部。例如,威胁对象可以是企业自身,也可以是被威胁企业的上下游合作伙伴(供应商或采购商)、被威胁企业的客户或服务对象等。
来自实体空间(第一空间)的威胁(称为“传统威胁”)是企业可以直观感受到的威胁,来自网络空间的威胁(称为“非传统威胁”)就未必会那么直观。非传统威胁有三个主要特征区别于传统威胁:①隐蔽性,非传统威胁可以不经由实体显性存在或被察觉,可以潜伏、隐藏、混杂、伪装、冒充在企业的内部或企业的服务对象之中;②泛在性,非传统威胁不仅可以是某个企业的有针对性的威胁,还可以是某个行业甚至整个国家利益的针对性威胁;③不确定性,非传统威胁的主体的身份可以是不确定的、不能确定的,甚至是不可确定的。无论哪种威胁,它们都是企业生存和发展过程所必须面对的挑战,是企业处于被动位置且不得不应对的问题。这是一种压力,同时也是一种动力,可以帮助企业的决策者提早动手,早做应对。当然,如果听之任之的话,企业必然遇到各种各样的困难。
可通过以下两组数据感受网络安全威胁所带来的影响。
例一,根据普华永道(Pricewaterhouse Coopers, PwC)会计师事务所于2018年4月公布的《2018全球经济犯罪调查》( PwC's Global Economic Crime and Fraud Survey 2018)报告显示:①在过去两年(自2016年)以来49%的全球企业曾经遭遇经济犯罪事件,较2016年调查增加13%并且创下历史新高;②最常见的几种经济犯罪方式是挪用资产(45%)、网络犯罪(31%)、消费者诈欺(29%)以及不当的商业行为(28%)等;③大多数外部肇事者和企业的关系亦敌亦友,包括代理商、共享服务提供者、供应商和客户。
例二,根据埃森哲(Accenture)公司于2019年1月发布的《护航数字经济:重塑互联网信任》( Accenture Securing the Digital Economy , Reinventing the Internet for Trust )研究报告显示,针对全球13个国家(分别是澳大利亚、巴西、加拿大、中国、法国、德国、印度、意大利、日本、西班牙、瑞士、英国和美国)的年收入超过10亿美元企业的1711位高级管理者(其中,首席执行官占61%、首席运营官占20%、首席创新官占9%、首席战略官占9%)调研发现:①有67%的受访中国企业表示其业务对于互联网的依赖与日俱增,网络风险也随之上升,各种网络犯罪将会威胁业务运营、创新和增长,影响新产品和新服务的推广,最终将会给企业造成数万亿美元的损失;②全球范围内,高科技行业所面临的风险最高,潜在损失达7530亿美元,其次是生命科学与汽车行业,潜在损失分别是6420亿美元和5050亿美元。
更多关于企业面临的非传统威胁话题,可参见本书的“企业的安全环境”一节(1.7.1节)。
网络空间给企业的发展带来威胁的同时,同时也带来了新的发展机遇,所谓“危机”是也。这就好比一条船航行在未知的大海,是探索新的世界发现新大陆还是沉没在惊涛骇浪之中,排除运气的偶然因素之外,更多的是依靠船长和水手的决心、经验、能力以及船体自身的技术性能来决定。企业就好比这条船,网络空间就好比这未知的大海,做好网络安全工作,就是排除了那一点点运气之后所获得的探索新世界、发现新大陆、获得新发展的必然保障。
企业可以在开展网络安全工作的过程中得到自身发展的内生动力,可以在实现自我保护的同时,获得追求新市场或新发展空间的能力。首先,开展网络安全工作是合规达标的过程,就是凝聚企业心力的过程,也是形成或促进企业文化的过程。合规意味着企业的内部管理符合最佳实践,达标意味着操作流程顺畅,机制运转灵便,这是“船长”和“水手”们凝聚决心、汇聚经验、提升能力的过程。其次,开展网络安全工作是满足行业准入的要求。比如,对上市公司而言,公司进行有效的安全治理是对资本市场的承诺之一。最后,开展网络安全工作取得效果,可以将信任感传递给企业的合作伙伴以及服务对象。这是“船体”技术性能水平的标志。不是说每个企业都要研发自己的网络安全技术,而是说,每个企业在网络空间的环境下应当具备保护自己业务的网络安全保障能力。对安全漠不关心的企业大致是两种情况,一种是还挣扎在生存线上,无暇顾及安全;另一种是沉浸于生存需求的满足感之中,满足于现状。无论是哪种情况,可能都不会获得良好的发展。
举个可能不太恰当的例子:某A是个菜贩(俗称“卖菜的”)。有一天,地面儿上的网安要求他做等保。于是,某A懵了:“我一个卖菜的需要做啥等保”?姑且不论A是否知道等保是什么,单就这件事,可以这样来理解什么是等保:假如,A的卖菜业务只是线下形式(路边或菜市场摆摊等),那么等保护工作基本上和他没什么关系。但是,如果他的业务扩展到了线上(比如在某小区附近,支持居民用App下订单,按单送到指定位置),那他的业务就涉及了用户信息保护、用户行为分析等网络安全问题。这些安全问题小到会对A的经营造成麻烦(例如,被“薅羊毛”),大到会对公共安全造成威胁(例如,隐私泄露)。所以网安要求A开展等保工作不是没有道理。由此可见,连卖菜的小贩搬上互联网后都需要做好安全工作,就更不用说那些像模像样的企业了。
网络安全对于企业安全的价值体现在,网络安全的角色正在从企业安全的旁观者、参与者向引领者的角色演进。此处的“旁观者”是指“一旁观望的人、不相干的人或袖手旁观的人”。但是,本节所要讨论的“旁观者”是指“从旁边观看或者观察的人”,引申为那个“旁观者清”的人——那个以冷静、深邃的目光来洞察全局的人。
绝大多数企业的网络安全都起源于企业的IT安全。这就造成了一种现状,要么网络安全是从属于IT部门,要么网络安全是企业内部处于从属地位的部门。虽然我国《网络安全法》对企业开展网络安全工作给出了硬性约束,但是,如果安全部门被企业管理者理解为是一个成本中心,那安全部门就会始终是那个在企业管理架构中处于从属位置的部门。
从这个意义上来说,需要一个“旁观者”以客观的视角和专业的知识来帮助企业的最高管理者尽快地理解身边的世界——至少是要弄明白:为什么企业的网络安全作为企业的内部工作事项需要被以法律的形式对企业进行硬性约束?为什么企业管理的实践与网络安全法律的要求之间会存在如此明显的差距?安全部门到底应不应该是一个成本中心?
大多数企业的管理者都不是网络安全专家,甚至也可以说,企业的管理者没有必要是网络安全领域的专家。但是,在网络空间的环境下又不得不考虑企业安全的问题,企业的最高管理者最好找到一位网络安全专家来当自己的参谋,帮助自己获取必要的专业意见来进行决策,甚至是辅助自己进行一定的管理工作。企业的管理者关注的永远是利益(对于营利组织来说就是经营活动所带来的利润,对于非营利组织来说就是运作过程所带来的收益和影响),只要通过网络安全工作能够带来利益或者减少损失,就有必要存在这样一位参谋。事实上,2018年以来国内很多大型企业已经意识到了这个问题,专门设立了首席安全官(Chief Security Officer, CSO)或首席信息安全官(Chief Information Security Officer, CISO)这样一个职位并聘请合适的人作为董事会或者最高管理者的专业参谋。本书不严格区分两者,并且在某些场合,首席安全官也可能被称作“首席网络安全官”(Chief Cybersecurity Officer, CCO/CCSO)。
现实情况可能还稍微有些复杂。因为CSO毕竟还是处在企业的常规管理体系之中,参谋的作用可能并不会完全发挥出来。这一点,可以从下面两个问题的讨论中得到启发。
第一个问题,为什么这些被请来的安全专家只能当参谋而不是当管理者?这个问题其实很难回答,大致的情况是:一方面,不是安全专家不可以担任企业管理者的职位,而是安全专家相对更熟悉安全专业领域,从客观、中立的角度提出安全专业意见可能比完全介入企业的运营更有实际意义,特别是在非网络空间环境的条件下,这种倾向更明显一些。从长远来看,不排除安全专家担任管理者职位的可能。另一方面,在网络空间环境下,企业在内部治理结构上根据分权和授权的原则,应当有一种趋势,就是将企业运营和安全监管分作两个层面来对待,即:将企业主要业务相关的运营工作划作一个层面,称为业务部门;将企业的安全管理、安全防御、危机处理等工作划作另一个层面,称为安全部门。两个部门在同一种制度约束下总归企业的最高管理者(或管理机构)管辖。这时,安全专家作为企业管理者的参谋作用和地位就显而易见了,因为只有他才适合作为最高管理者的代表在业务部门和安全部门之间进行协调和沟通,同时,评估两个部门的意见与法律、技术之间的差距并为最高管理者提供专业参考建议。
第二个问题,为什么需要一位参谋来客观、中立地看待安全问题而避免介入企业的实际业务运营之中?原因大致有:一方面,网络安全的专业工作需要管理、控制和测度方面的授权,存在“岗位互斥”原则,不可将指令和执行合二为一,否则,管理者很难确认安全部门所提的要求是否是适合的,以及那些对企业而言所必需的安全要求是否已经在业务部门被正确执行。另一方面,企业的业务运营往往关乎企业的利益,因此业务部门的话语权通常会大于那些对它有克制和消减作用的部门。从控制风险的角度来说,就需要一位“懂行”的人,一位没有“利益纠葛”的人来做出客观的评价。安全专家作为参谋,恰恰就是这样的角色和定位,可以发挥这个作用;否则,发展和安全的整体平衡就很容易被打破。第三个方面,因为网络安全工作是一项综合性较强的工作,需要达到何种安全要求和如何落实安全要求之间存在巨大的差异,存在一定的专业技术门槛,在企业的决策过程中需要在一定程度上尊重安全领域的专业意见。因此,需要中立于企业实际业务运营的安全专家做出客观的评价。
此外,这位“参谋”的定位很重要。如果他没有得到授权、不受尊重,那他就没有机会做到“独立”观察、“独立”思考、“独立”建议,最终也就基本没有机会做到“旁观者清”。这样一位“旁观者”,可能更适合是企业最高管理者的网络安全事务助手,可以没有管理层级上的限制,只需就企业的网络安全事务向最高管理者发挥影响即可,如此,称这位参谋是企业最高管理者在网络安全领域的首席智囊可能也不为过。
这位“首席智囊”可以只被授予最高的或最终的建议权而不被授予决策权。同时,企业必须要有配套的、有效的机制来保证这种来自首席智囊的专业建议会得到应有的尊重。否则,如果“首席智囊”的建议总是被忽视或者被不友好地对待,那么这位本该冷静的“旁观者”恐怕也就“冷静”不下来了,最终将可能失去耐心并失去继续留在这个企业的必要性。从这个角度来说,这位“首席智囊”对企业最高管理者来说,应该是“亦师亦友”。
首席安全官制度起源于美国,是在借鉴首席信息官(Chief Information Officer, CIO)制度取得巨大成功的经验基础之上发展而来的,目前仍处在不断探索和发展的过程之中。有必要深入了解一下美国的做法,即通过考查首席安全官制度在美国的由来和发展,对启发我们开展相关工作,具有很现实的借鉴意义。
(1)CISO制度在美国的发展
按照历史脉络来看,美国的首席安全官制度是由首席信息官制度按照“工商企业→政府部门→军队→社会”的历程逐渐发展完善而来。大致经历四个阶段。
第一阶段: 萌芽阶段(约1980—1995年)。1981年,威廉·R.辛诺特(William R. Synnott)先生和威廉·H.格鲁伯(William H. Gruber)博士最先提出了首席信息官的概念。之后,美国一些工商企业采纳他们的建议尝试设立了首席信息官并在不长的时间内大幅提高了信息化系统的资源利用率和员工工作效率,显著提升了企业竞争力。在这一阶段,首席信息安全官的部分职责由首席信息官以保护计算机系统安全的名义代为履行,安全并未独立成为一个专业而受到人们重视。
第二阶段: 起始阶段(约1995—2009年)。美国联邦政府根据美国《克林哥-柯恩法案/信息技术管理改革法案》确立政府首席信息官制度,开始陆续在美国联邦政府各部和各州政府设立首席信息官并成立联邦首席信息官委员会。在这一阶段首席信息官制度得到发展壮大。首席信息安全官通常在首席信息官的监督管理之下开始履行自身的职责。信息安全开始成为独立专业。
第三阶段: 成长阶段(约2009—2016年)。2001年“9·11事件”之后,美国政府高度重视网络空间在国家安全方面的重要意义,以国家信息化带动军队信息化,推动军事信息系统与国家信息基础设施紧密接轨,开辟并逐步构建了网络空间战场。2016年,美国在其国家首席信息官职位之下设立国家首席信息安全官(U. S. CISO)。在这一阶段,首席信息安全官开始独立于首席信息官,单独负责网络安全事务。其层级在名义上处在首席信息官之下,但是已经明确将涉及网络安全的事务授权给首席信息安全官进行管理。
第四阶段: 发展阶段(约自2016年起)。首席信息安全官的层级得到了较大幅度的提升,开始统筹网络空间安全事务。未来,在2025—2030年,首席信息安全官或首席安全官的层级将有可能处在首席信息官之上。
(2)CISO在我国的发展
我国的大致情况是:自2006年前后,在国家层面开始部署和推进企业建立首席信息官制度。2007年2月,国务院国有资产监督管理委员会(以下简称国资委)、国家信息化领导小组联合发布的《关于加强中央企业信息化工作的指导意见》,要求有条件的中央企业要设立总信息师(CIO)岗位。2009年4月,国资委发布《关于进一步推进中央企业信息化工作的意见》,明确提出建立首席信息官(CIO)制度,设立信息化专职管理部门。2014年11月,工业和信息化部发布《企业首席信息官制度建设指南》,同时和国资委联合下发文件推动央企首席信息官制度建设。2016年12月,教育部、人力资源和社会保障部、工业和信息化部印发《制造业人才发展规划指南》,要求提高制造业人才的关键能力和素质,到2020年全面实行首席信息官制度。2019年8月,中央网信办网络安全协调局副局长在第七届互联网安全大会(ISC 2019)开幕式上致辞时表示“要加强关键信息基础设施供应链和重要数据的安全管理,逐步建立首席网络安全官、网络安全审查、数据出境评估等制度,扎实推动网络安全信息共享、监测预警和应急处置等工作。”
(3)美国经验带给我们的启发
前面颇费了些篇幅来介绍有关首席信息官的发展历程,就是想尽可能使读者体会到,企业安全在其发生、发展的过程中自然选择了“旁观者”。已有的实践也证实,没有安全观就没有安全官,并且,随着安全观的提升,首席安全官的作用也将更大。展望未来,现代意义上的首席安全官将会是企业中的高级管理人员,负责确保企业在网络空间环境下得到充分保护,被授权为达到上述目的而:①建立和维护企业的安全战略、规划和计划;②建立适当的标准并统筹采取控制措施,指导员工确定、开发、实施和维护整个企业的内部流程以减少网络安全风险;③就网络安全事件向企业最高管理者提出决策建议;④评估企业在网络安全合规性要求方面的情况并与有关网络空间安全管理机构保持联系。
首席安全官正朝着“旁观者”的角色方向发展。
简单谈一下在现实中,企业里那些对网络安全袖手旁观的人和部门。企业中的网络安全工作在相当长的一段时间内都被认为是计算机管理部门的工作。后来,随着信息化工作的推进,网络安全工作又被认为是信息化管理部门的工作。到了网络空间时代,网络安全工作被认为是安全部门的工作。
总是有种倾向,认为安全就是安全部门的事、安全就是安全人员的事,出了安全问题就是安全部门没有尽到责任——把安全部门当成“养老院”,把安全人员当成“替罪羊”——没“事”就闲着、空着,有“事”就顶到“风口”。有监管或检查就用“安全部门”和“安全人员”去搪塞应付,有不合规的问题也是迎检不力而不是企业有管理缺失或不足。
还比如,在企业内部,非IT部门只负责使用IT手段或者提出IT需求,至于是不是需要在业务过程和需求中考虑安全保护的问题则毫不关心。而在IT部门内部,负责服务器的员工只管自己的服务器的安全(如计算机病毒查杀),负责IT承载网络的员工只管自己的网络设备的安全(如设备负载控制),负责数据库的员工只管自己的数据库的安全(如账号口令),负责应用软件的员工只管自己的应用程序的安全(如账号口令)。
这种情况,正是应了“旁观者效应”的论断,将网络安全“划出片儿、切成段儿、分成块儿”来分头负责,最后就是谁也不负责。
旁观者效应(或责任分散效应)是指:对某一件事来说,如果是员工被要求单独完成任务,那该员工的责任感就会相对较强,会做出相对积极的反应。而如果是要求一个群体共同完成任务,则群体中的每个员工的责任感就会变弱,面对困难或遇到责任时往往就会退缩或躲避。
“旁观者效应”的反作用,会加重人们安全意识的不足。只有正视问题的症结所在,辅以制度约束,那些企图逃避安全责任的人才没有了行动机会或在出现问题后很快就会得到有效的纠正。如果网络空间有了这种规则约束,那么那些不能尽到安全义务的企业,也就没有了存在机会。坦率来说,从竞争的目的而言,竞争的对手之间可能都会乐见对方出现弱点从而丧失竞争优势。由此推论,那些对自身网络安全问题放任自流的企业一定会成为网络空间中的熵,最终将处在价值链的末梢,逐渐被淘汰。
安全的问题越来越宏大,涉及的主体越来越多,主体之间的关系纷繁复杂却又不都是那么直观,这种情况和我们生存所依赖的自然生态环境的概念有些相似。因此,本书尝试提出“企业的安全生态”(Enterprise Cybersecurity Ecology, ECE)概念来理解企业网络安全工作的内在规律并寻求可行之路。
此处的“企业的安全生态”,主要指企业的网络安全生态。这里,使用“生态”一词,是一个借用,或者说是一种比喻。如果把企业看成一个世界(一定的时空范围),企业中的各个部门或专业条线以及员工就是这个世界中的生物群落或有机体,这样就相当于构成了一个生态系统(或生态圈)。具体到企业的网络安全工作场景,就可以称其为企业的网络安全生态或企业的安全生态(以下简称为“安全生态”)。
对安全生态的理解可以有不同方法,大致来说可以有两种:一种是“系统论”,侧重对安全生态结构和运行机制的理解,而将安全生态看作是一个生态“系统”;另一种是“环境论”,侧重对安全生态的环境效应的理解,而将安全生态看作是一个生态“环境”。环境效应是指,企业的运作(经营)效果与自身开展安全工作本身对外输出的影响和企业因网络安全原因受外界的影响之间的关联作用。
(1)“系统论”的观点
一般来说,构成一种生态需要三种要素,即生态主体、生态环境和生态调节。从功能上说,生态主体可分为生产者(加工者)、消费者以及分解者等几类不同的基本角色。生态环境是指生态主体共同生存和生活的一定的时空范围以及所包含的供生态主体所需的物质、能量和信息。生态调节泛指某些机制或规律,决定着生态主体在生态环境中的行为或活动,如自我调节、(负)反馈调节机制等。此外,一个生态系统还存在代谢机制,可以分为单向流动机制、简单循环机制和完全循环机制。具备完全循环机制的生态系统是代谢封闭系统,可持续运转。仅有单向流动或简单循环机制的生态系统是代谢开放系统,不可持续运转。生态系统中,不同生态主体或生态群落之间都遵循一种“位置原则”,彼此竞争又相互合作,使得生态系统整体具有达到某种动态的稳定状态的趋势,体现出一定“弹性”,能够自身维持内部平衡。这种“位置原则”又可被称为“生态位法则”,是指生态系统中的主体都拥有自己的角色和地位,在生态系统中占据一定的空间和资源并发挥一定的功能,即有价值,或者值得存在。
参考这种“系统论”的观点,企业的安全生态应当可以是一种生态系统,是一种开放的复杂巨系统。
定义6 企业的安全生态(系统)是指在企业在其运作的范围和时间内,内部各部门或专业条线及员工,为了企业自身网络安全的目的,通过彼此间的相互配合与影响而形成的相互依赖的动态平衡(系统)。
其中,企业的各个部门或专业条线以及企业的员工构成企业的安全生态系统的主体;企业及来自企业内、外部的“业务需求”“安全需求”“监管要求”等安全专业资源以及企业的“人”“财”“物”“时间”等基础性资源构成安全生态系统的生态环境;安全事件处置、挑战应答机制或应力机制等构成安全生态系统的生态调节。主体之间遵从“位置原则”,为了企业整体的利益和各自的利益而彼此竞争又相互配合。
定义7 挑战应答机制(或应力机制)是指企业由于外因(竞争、监管、破坏)作用而面临危机时,企业管理者和企业内部各部门或员工之间产生相互协作,以抵抗这种外因的作用并试图使企业从危机状态过渡到没有危机的状态。
挑战应答机制可以是人为设定的机制,也可以是自发形成的机制。例如,通过设置专职的安全部门来应对安全挑战,就是一种人为设定的机制;员工在日常的工作中主动检举揭发来源不明的软件或恶意程序等,就是一种自发形成的机制。
(2)“环境论”的观点
如果从更加宏观的角度来看,企业是处在更大、更宏观的生态系统之中,行业、社会等都可以是生态系统,网络空间安全本身也可以是一种生态系统。根据“位置原则”,企业所在的(竞争)位置和所面临的竞争关系,就更加显性地体现在其所处的更为宏观的生态系统的“生态环境”之中。同样,对于立足于企业的安全部门来说,也处在企业的安全生态系统之中,安全部门或专业相对于其依托的周边“环境”表现有一定的独立性。这些“环境”包括文化环境、制度环境、组织环境等。
“环境论”的观点更加关注企业的安全生态所处在的一系列内、外部环境以及企业竞争过程中受“位置原则”支配的问题。
本书认为,上述对企业的安全生态的两种理解并不是本质上对立的两种观点,它们只是立足点和关注角度不同,倾向于融合上述两种观点。事实上,安全生态理论还在快速发展之中,在合理性论证、必要性论证、必然性论证以及方法论的研究和实践等诸多方面还面临诸多挑战,其本身还有待进一步完善。
企业的安全环境包括内部安全环境和外部安全环境,和企业的安全生态环境存在交集但内涵又不完全一样。企业的内部安全环境基本上就是企业的安全生态环境,而其形成和存在,在很大程度上是由企业的外部安全环境来推动和决定。
1.内部安全环境
定义8 企业的内部安全环境,是指存在于企业内部的有利于保障企业实现自身利益目标的各种物质的或非物质的因素的总和。
“物质的因素”可以简单理解为日常办公或开展工作所需的物质基础,如工作场所、工具、能源等。“非物质的因素”是指组织机构、工作流程,以及管理者和普通员工的关于网络安全的基本价值观、企业文化、工作氛围等。这里,“环境”的概念是指相对于“人”(员工)本身而言的各种存在,它反映的是企业安全范畴内所拥有的客观物质条件、所处在的工作状况和所具备的实际工作能力,是企业保持自身安全的内在基础。
组织机构主要是指企业的安全管理部门与其他部门之间在人员组织、职责划分、任务衔接等方面的相互关系的具体形式。一个企业的组织机构中,网络安全部门的位置,直观反映了企业最高管理者对网络安全的认识水平和对网络安全工作的重视程度,能在很大程度上表征该企业网络安全水平的高低。甚至可以说,企业的组织结构是决定企业内部安全环境的直接原因。组织机构和工作流程是相互匹配的一对“搭档”,有“足够的合适的人”才能“做成该做的事”。
企业文化,或可称为文化氛围,主要是指企业的所有员工所共同拥有的一个思想观念和管理风貌,包括价值标准、生存哲学、思想教育、行为准则、礼仪典礼、企业形象等。企业文化中关于网络安全部分的内容,是构成内部安全环境的重要组成部分,可以被称为企业的“安全文化”。当代企业在自己的企业文化中建设、容纳、提升自己的安全文化,会调动员工(不仅是专职网络安全工作的员工)从事安全工作的积极性和创造力,提升企业的凝聚力,有利于强化员工对企业的归属感和认同感,促进自发应力机制的形成和强化。同时,企业的员工还会向外部辐射这种情感从而能够美化企业的外在形象并提升企业合法性。此处所说的“企业合法性”泛指企业在具有特定的价值观或社会规范的体系(如网络空间)内开展运营活动或施行的行为,被广泛地认为具有恰当性和正当性。
企业(安全)文化是形成内部安全环境过程中指向“人心”的根本性的因素。它是那部分“软性”的约束力量,是企业制定战略与成功实施战略的重要条件和手段。如果在企业文化中,从传统上就漠视网络安全或者根本就不存在企业的安全文化,那么,内部安全环境将会失去“土壤”。
内部安全环境的“好”与“不好”,对企业的安全生态具有重要意义。好的内部环境中,各部门会形成网络安全工作的合力,在合力的作用下,网络安全工作会屡创佳绩,内部环境会持续向好,这会形成一个理想的良性循环和持续自我优化的过程。相反,一个不好的内部环境中,各部门对网络安全工作推诿扯皮、互相掣肘,会严重销蚀企业的活力,造成人浮于事或者各自为政的局面。在缺乏合力与向心力的情况下,网络安全工作将举步维艰,为企业的正常运营和可持续发展留下隐患。进而,企业会在内外部压力的作用下问题频出,还很可能会形成恶性循环。内部安全环境的恶化,最终会导致企业安全生态的分崩离析。
2.外部安全环境
企业,无论其规模的大小,都处在一种外部安全环境之中。这种外部安全环境通常由5个方面的因素构成。
(1)客户因素
这可能是构成企业外部安全环境的核心因素。任何一个企业都不会对自家客户(或服务对象)的需求置若罔闻,自然对客户的安全需求也不会例外。客户对安全的需求可能并不会非常明显,或者并不会非常迫切,这是客户根据自身对外界环境的感知和对自我价值的判断来决定的。但是,这并不能成为企业不重视客户安全的理由。对企业的选择权在客户而不在企业自己,毕竟,市场对资源的配置会起决定性作用。企业的客户对自身所使用的产品或服务的安全需求或所需要达到的安全目的,对企业的生存和发展构成重要影响,是构成企业的外部安全环境的重要组成部分。
(2)监管因素
监管因素即合规性要求或合法性要求,是社会对企业的硬性要求。同时,企业所处行业,或企业的同行们之间,对彼此的约束和共处,也构成了客观上的对彼此的监管因素。监管因素的存在不以企业的意志为转移,是来自强制力或企业不可抗力的因素,是构成企业外部安全环境的重要组成部分。
(3)供应链因素
供应链因素侧重于陈述一个事实,即没有哪个企业可以从头到尾完全地依赖自身的能力而存在于“市”或“世”。几乎每个企业都会购买或使用来自企业外部的软件、硬件或服务。几乎每个企业都需要依赖上游的供应和下游的消费,来完成自身的业务。不同的企业在这样的社会分工和协作中,成为“链条”的一环或一段。事实上,单从这个角度来说,应该就能直观地理解现代企业都是处在一种“环境”之中。甚至,成功的企业还能在一定程度上塑造环境并从涵养环境的过程中获得巨大的收益。特别是,在网络空间的环境下,越来越多的企业会使用云服务,或将自身的一些服务需求社会化,通过购买专业服务的方式来降低自身的成本,这就不可避免地将自身原本封闭的运营环境进行了外化,从而不得不在运营过程中需要考虑到外部的环境因素。从另一个角度来说,每个企业都会被它的上、下游企业要求在安全方面要达标或合规并证明它自身的安全性,以便这些上、下游企业能够最终向它们的客户保证或追溯自身的安全性。有关供应链因素的内容,也可以被归入第三方安全风险管理的范畴。
(4)竞争对手因素
这其实是一种在竞争中此消彼长的过程所带来的影响。只要企业有同行进行竞争,就无法回避这个因素。从经济的角度来看,性价比更优的企业总是占有优势,同时,为了巩固并扩大自己的优势,一定会通过设置行业门槛(或称为“确立标准”)的方法为竞争对手或潜在的竞争者“制造麻烦”。安全,即是这种门槛的重要组成内容,是竞争过程中,领先者的技术优势的主要表现领域,也是领先者发挥优势超越对手的先锋领域。还存在另外一种情况,就是某种形式的“行业同盟”的存在,形成“寡头”“垄断”可能会抵消部分竞争因素,即以“卖方市场”的方式牺牲客户对自身安全利益的诉求。这种情况下虽然在某个行业中能够形成小气候,但是无论是哪个“同盟”企业,终究都不能脱离社会(网络空间)而单独存在,还要在更大的环境中面临竞争。
这个话题还涉及一些生态系统中生态主体多样性的问题,此处不多讨论,留待后续。本书持略微保守一些的观点,倾向于将竞争对手因素也作为企业外部安全环境的一部分加以识别和考虑。
(5)恶意势力因素
恶意势力因素主要包括互联网黑色产业、敌对破坏势力等。互联网黑色产业(简称“黑产”,例如职业“薅羊毛”的“羊毛党”),在一些企业的管理者看来,可能还仅仅是一种“寄生”在企业某种业务之上的“癣疥之疾”,虽然会造成一些损失,但通过媒体的放大也不啻为一种有效的话题营销,可能最终并不是什么坏事。但是,凡事有度,姑且不论那些因为自身能力问题被“薅羊毛”的企业所付出的资金成本和机会成本,单就那些心存侥幸容忍“薅羊毛”的企业来说,“羊毛党”们有组织、有规模、有分工地来企业“挖矿”,绝对不会是来当“活雷锋”,他们的背后一定都有自己的利益目的。事实上,“黑产”绝不仅仅是“薅羊毛”这么温柔,在利益的驱使下,他们会走得更远——不仅仅是对一个企业进行破坏——还会给一定范围内的互联网用户(或网络空间的人类角色)都造成损失,如遂行诈骗、控制(引导)舆论等。“黑产”的方法可以被敌对破坏势力用来作为工具,而敌对破坏势力难免也会收编一定的“黑产”作为外围,不一而足。“黑产”可能和敌对破坏势力并没有什么技术上的严格界限,都是企业在一定条件下所不得不面对的破坏者,是不可回避的外部安全环境的一部分。
以上5个因素并不是完全独立的发挥作用,很多情况下是作为整体来影响企业,在企业边界之外形成企业必须面对的安全环境。
外部安全环境的严苛与否,对企业的安全生态具有关键意义。严苛的外部安全环境一定会催化企业安全生态的形成和进化。反之,友好的外部安全环境会在很大程度上延缓甚至是限制企业安全生态的发展。事实上,如果没有来自网络空间这种特殊时间—空间之内的威胁,安全可能也就不会成为一个问题——至少不会是一个很大的问题——企业的安全生态就是因应这种人为挑战而出现和存在的。和内部安全环境的恶化会最终导致安全生态的分崩离析不同,外部安全环境的恶化,反而会刺激企业安全生态的茁壮成长。
3.内外安全环境之间的关系
企业无法左右自身所处的外部安全环境。对企业而言,为了生存和有效应对这种来自外部安全环境的挑战,更现实的做法应该是想办法去适应这种环境,为应对外部压力而不断地调整自身内部的环境,聚集生态,就像自然界之中的生物演化那样。最终,足够强的企业,还可以被自身安全生态所使能,甚至可以获得改造自身外部安全环境的能力。
一方面,外部安全环境的压力可以在很大程度上塑造或驱动企业内部安全环境中的非物质因素。企业出于自身需要,必须首先要能够足够准确地感受到这些压力,进而对压力做出最恰当的反应,最后通过企业的运营和服务过程,理想情况下会以负反馈的方式输出到外部环境之中,以试图减轻企业面临的压力或使企业走出危机。这就要求,企业的内部组织机构、工作流程、安全文化、工作氛围等都需要具有一定的功能效果——出于企业可对外部安全环境输入的压力做出最恰当的反应的需要。
这其实是一种“环境选择”的观点。在这种“选择”过程之初,企业的管理者并不知道什么反应才是“恰当”的,恰恰是经过付出代价的“试错”之后,最终留下来的,才是“恰当”的。可以用一个中国的成语“亡羊补牢”来形容这种过程。这说明,企业内部安全环境的形成,可以是对外部环境的一种适应。即企业内外安全环境之间的关系中,外部安全环境通常处于主导位置。
另一方面,由于企业的内部安全环境可以通过自身的运营和服务过程向外部环境(当然,也包括对外部安全环境)施加反馈作用,所以,在企业内外安全环境之间的关系中,内部安全环境也并非只能处于从属位置,两者之间也可此消彼长,存在一定的相互制约的可能。这应当是一种动态平衡,也可以说是内部安全环境对外部安全环境的特异性选择。应当注意到,企业的外部安全环境并不总是一成不变,或者说,企业的外部安全环境存在不稳定性。
这种不稳定性,一是由于其自身也处在更宏大范围的生态系统之中而可能受到其中的应力机制的影响所导致;二是由于企业的内部安全环境的改善可以反过来对外部安全环境施加影响所导致,这种影响也可以被称为“博弈机制”。
例如,为了应对“羊毛党”时不时来“薅”企业“羊毛”的这种来自企业外部安全环境的压力,某企业甲选择了招募专门的业务安全团队进行对抗的策略,形成了安全部门与业务部门根据营销任务随时组建联合任务团队的内部安全环境。在形成这种内部安全环境之后,甲企业的大型线上营销活动都会事先经过审慎的安全评估并在活动期间设有专门的实时监控进行全程保障。并且,甲企业的安全部门和监管机构、执法力量日常保持着良好、密切的工作联系。这种情况下,“羊毛党”对甲企业展开行动的成本被大幅提高,以至于最终不得不放弃对甲企业展开行动而是将“黑手”伸向了内部安全环境远差于甲企业的乙企业(甲的同行竞争对手)。在这个例子中,甲企业的内部安全环境在与“羊毛党”的博弈过程中,暂时居于上风,从而加剧了甲企业外部安全环境的不稳定并最终在客观上恶化了竞争对手乙企业的外部安全环境,即企业内外安全环境之间的关系中,内部安全环境对外部安全环境具有一定的选择作用。
企业的内外安全环境之间有直接或间接的联系,不宜将两者孤立地看待。本书在此仅简单地做出一些定性描述。更多细节,例如,基于定量方法给出一些关系模型的内容,有待后续补充完善。
网络空间条件下,企业涵养自身的安全生态,不仅是一种明智之举,更可能是一种无奈的被动之举。良好的安全生态将会发挥出巨大的结构性作用,会为企业的持久发展赋予能力和能量,是企业建立安全生态所得到的红利。可将这种作用过程称为“安全赋能”。
能够获得安全赋能的前提,是企业已经建立安全生态,表现在三个方面:①建立了基本恰当的安全组织;②建立了覆盖企业全体的安全文化;③具备了必要的网络安全技术手段条件。
定义9 安全赋能,是指企业通过自身的网络安全生态,使其利益相关方去获得或发展安全感(或安全保障) 。
其中,“利益相关方”不仅仅是指企业的客户、合作伙伴、监管机构等企业“外部”的群体(或角色),更重要的,还包括普通员工、管理者、领导者、所有者等这些企业“内部”的群体(或角色)。
也可以将企业作为整体来看,则安全赋能就是企业的一种“自我赋能”,是直面网络安全挑战的自力图强。自我赋能也包括企业的内部群体(角色)作为安全生态的一部分而对自己赋能,这是因为自我赋能的过程就是自我提升的过程,赋能过程的“受体”(相对地,安全生态就是赋能过程的“供体”)可以首先是自己,其次,可以外化、复制、传播到更宏大的框架范围内。自我赋能和给他人赋能,在本质上并没有太多不同之处。
从另外一个角度来说,安全赋能可以被视为是一种“同化”行为。企业通过这种同化行为可以获得更加丰富的生态环境,可以构建并维持生态主体的多样性,从而更有利于自身安全生态的稳定。最终,企业通过安全赋能还可获得改造自身外部安全环境的能力。
安全赋能包括两个层面的含义,一是能力层面,二是能量层面。能量层面的“能量”,主要是指心理学意义上的能量,是指与企业利益相关方的人员的心理能量。
本书假设两个层面的含义之间并没有先后顺序或递进的关系,暂不对不同层面之间的关系进行阐述,仅就其大致含义进行说明。
1.“能力层面”
“能力”的内涵会因为其主体的身份或角色的不同而不同。对企业“内部”角色而言,“能力”包括完成工作所需的专业技术能力、管理能力和职业化能力(自主学习能力、执行能力、沟通能力)等。对于企业“外部”角色而言,“能力”包括达成自身目的的能力、选择的能力等。这当中也包含由经验而凝结的技巧。
从能力层面来看,安全赋能是企业安全生态对企业内外的相关主体(利益相关方)赋予了必要的网络安全经验(知识)和网络安全保障技能。也可以更宏观地来理解,安全赋能使企业利益相关方被赋予了获得安全感的能力。即,企业内外的相关主体获得了并可发展出能够正确认识网络安全问题,能够对自己或弱者进行一定程度的网络安全保护的能力。
在这一层面,安全赋能所赋之“能”的来源是企业独有的网络安全知识(体系)。这个网络安全知识(体系)包括一切可以接触到的通用的网络安全知识(如学校里学来的、培训机构里学来的等),还包括本企业独有的网络安全知识(由企业运作过程中积累的经验,经过萃取和提炼,沉淀形成)。当然,形成这种独有的网络安全知识(体系)的前提是网络安全成为企业运作过程中获得正式认可和广泛接受的技能和专业,能够在企业的运作过程中发挥作用。
此外,安全赋能的方式,在能力层面大致会是一种类似“言传身教”的模式,即赋能过程的受体,通过跟随学习赋能过程的供体所展现或提供的示范而获得能力。通常,宜宏观地将安全生态整体认为是赋能过程的供体,而不宜微观地将安全生态中的某个主体认为是赋能过程的供体。
例如,某范围内的大型企业的安全部门配合客户服务部门除了与客户进行常规的业务(即企业运作目的所涉及的服务)接触以外,还对客户输出业务相关的网络安全技术和安全保障标准,免费指导客户参照安全保障标准建设自身的生态系统、为客户提供技术指导、参与客户的安全保障过程管理等。这就是一种企业对客户进行安全赋能的形式。受到赋能的客户,自然延展了该企业的安全生态。安全赋能在整体上有助于为该企业形成更加友好的运作环境。
2.“能量层面”
此处所说的“能量”,大致是指一种能够对人的心理产生积极影响的力量,能使人的行为、态度、行动更具有建设性。这种建设性表现为,人在遇到挑战或困难时,能够保持开放、温和、认真、冷静的态度并最终寻找到可以战胜挑战或克服困难的方法。这种心理层面的能量是非物质的,不可见但真实存在,不仅难于用语言描述,而且甚至还不愿被人们提及。因为,人们通常会拒绝谈论那些无法用具体的或具有可操作性的术语来表达的任何内容。
从能量层面来看,安全赋能就是企业安全生态在心理层面使得企业内外的相关主体(利益相关方)因为获得了可靠的网络安全保障而得到信心,并且得到合法性方面的归属感(从众心理)。信心,是一种富有影响力的能量。利益相关方对安全的信心只能来源于可靠的技术和有效的管控。当人们对企业的运作过程充满信心之时,会更倾向于采取建设性的行动,倾向于与企业合作并保持相互利益的一致。这对企业而言,至关重要。企业的安全生态正是因为能够结构性地产生可预期的安全结果,而能够传递出巨大的安全信心,即会使这些利益相关方感到安全。这种信心的传递,无论是对企业的员工而言,还是对企业的客户和合作伙伴而言都尤为重要。毕竟,在大多数情况下,在激烈的竞争当中,焦虑远比信心更容易被获得并且更容易被传播。
从这个角度说,安全赋能就是让这些利益相关方能够获得并保持信心,积极参与或主动协同,为企业发展谋得利益和最优效果。这其实是一种“共赢”,在1.7.3节还会提到。
在这一层面,安全赋能可以有两个不同的方式。一是对企业“内部”角色而言,企业可以通过自身安全生态系统的细粒度划分,将日常工作领域内所面临的网络安全挑战封装为微观的“小安全生态”,授予他们明确的权和利,使他们有足够的意愿、资源和自由度来经营自己的“小安全生态”。这会使他们在自己的领域内最大限度发挥自身的安全潜能,用他们对网络安全工作的参与感、成就感来树立他们对企业整体网络安全的信心。二是对于企业“外部”角色而言,企业的安全生态就是一个为他们自己提供安全保障的场景,是一个透明、互动的平台,服务过程的安全信息可以高效快速流转,一切关注点都按需可见。甚至还可以通过企业的安全生态聚合更大范围内的资源为己所用。这种对网络安全的明确界定的相互期望,可以树立他们对企业的信心,使企业对他们进行安全赋能。
3.其他几个问题
在本节的结尾,还需要再简单提及三个相关问题。
第一,“赋能”这个词有可能存在转译陷阱问题。按照中文习惯,“赋”和“能”通常是作为两个词使用,而罕见“赋能”的用法。例如,在《新华字典》的解释中不存在“赋能”这个词条。而近二三年来这个词却频频出现在各种媒体之上,大有时髦之感。本书似乎也未能免俗,提出了“安全赋能”的概念,或许是被耳濡目染所致?根据公开资料,在媒体上大行其道的“赋能”大致是来源于 Team of Teams 一书的中文译本书名,而后“赋能”一词开始在中文环境中流行开来。先是出现在一些商业精英著作资料中的“管理赋能”“组织赋能”,而后出现在一些政策文件中的“产业赋能”“5G赋能”,最后泛化在各种场合有关创新的话题之中。“赋能”一词的英文对照词是Empower或Empowerment,通常的直译是“使……有能力”或引申为“授权”。因此推测,“赋能”是首译者采用意译法的结果。对于“赋能”的理解,可以是“激活、唤醒内在的某种东西,使能够”的意思,或者是“使某事成为可能或可行”的意思,还可以是字面的“给予能力、给予能量”的意思。
第二,作为对照,简单讨论一下企业的“安全使能”问题。“使能”和“赋能”两词的含义十分接近,“安全赋能”与“安全使能”的不同,主要体现在原则上的不同。“安全赋能”强调以人为本,重在调动人的内在积极性主动去寻求安全,是安全生态可持续发展的一种体现;而“安全使能”侧重的是客观的“能够”——哪怕是使人能够有条件做一些最终不符合他们利益的事情也在所不惜。例如,一些企业会寻求一些第三方安全服务提供者,利用服务者所具备的资质,通过为其提供能够“使得”他们达标的不真实评估资料,而方便他们在安全事项上变得“合规”。简单来说,“安全使能”是一种手段(或权宜之计),而“安全赋能”则是一种方法(或战略)。如果有必要将“安全赋能”和“安全使能”翻译成英文,则分别用Empowering of Cybersecurity和Enabling of Cybersecurity,可能会比较贴切一些。
第三,关于安全赋能概念的局限性问题。前面虽然从不同的层面提及了安全赋能可能是安全生态发展的趋势或结果,大致说明了针对谁赋能、赋什么能、用什么方式赋能以及赋能的收益如何等问题,但仍没有提出较为完整的方法和可操作流程——没有计算出通过安全赋能可以实现何种程度的价值回流、价值能够回流多久、回流多少,也没有说明安全赋能的运营方法,没有明确启动安全赋能或退出安全赋能的边界条件是什么等——还需要进一步的思考和实践。在这种情况下提出这样一个概念,其实也是冒着风险。这就好比一位商家在当众招徕顾客说:我有个好东西,能帮你,试试看?而作为顾客,可能大都会对此将信将疑。
安全赋能涉及企业的组织结构和管理模式,不同企业的安全赋能会有明显的不同,但是,作为一种愿望,总还可以尝试一下。本书倾向于认为,安全赋能是安全生态的必然结果,没有安全赋能能力的“安全生态”是不成熟的“生态”。
企业存在的目的就是完成自身的业务任务,业务不存在了,则企业也就没有了继续存在下去的理由。企业的最高管理者以及企业的管理团队和各个部门,为了完成企业的业务任务,将完成业务、优化业务、提升业务作为自身的首要工作内容来考虑,也无可厚非。但是,偏偏就在这个过程中,出现了一个“矛盾”——业务与安全之间的矛盾——不是所有企业中都有这种矛盾,但这种矛盾却是一个客观的常态。
1.关于业务和安全的矛盾
从事业务的人对工作的关注点总是聚焦在谋求业务的发展上,聚焦在谋求如何增加收入或者扩大业务受众上。他们的这种努力,归根结底就是谋求在其从事的业务的生命周期里尽可能多地获得收益——尽可能快速地度过业务成长期并尽可能延长业务成熟期。这是一种对效率的追求,是一种和时间赛跑、和机会博弈的较量。
对照一下:从事安全的人,他们对工作的关注点总是聚焦在谋求企业的安全上,聚焦在谋求如何减小损失或抑制运作过程(将要)面临的风险上。他们的这种努力,归根结底就是谋求在其服务的企业里,让一切都遵循法律、规范或有益的经验——尽可能地思虑周全不留漏洞并尽可能地留有后路以便降低不可预期的失败带来的损失。这首先是一种对价值的追求,进而是一种对概率的控制,是一种和风险共舞、和未知博弈的较量。
安全人员和业务人员在追求上都涉及公司的利益,前者是希望保有、保护、尽可能少损失,而后者是希望占有、占领、尽可能多的收入。本来是一件事的两面,无非是一个侧重守正,一个侧重创新,本质上他们没有对立的基础,但确实又往往存在矛盾。那么,问题出在了哪?
首先,人的认识能力存在局限。隔行如隔山,业务人员和安全人员各自的专业背景和职业定位不同,这不可避免地使彼此之间存在认知上的隔阂。这种隔阂在彼此缺乏信任感和有效沟通的情况下,会比较容易引起彼此的冲突。随着冲突的积累,事情的性质就会发生变化。
其次,企业管理者的价值观导向,对企业整体的价值观导向有很强的塑造作用,而且也存在认知能力的局限。坦率地讲,如果团队的领导决定冒险前进,那团队的成员又能有多大的能力可以选择稳妥地前进?当然,如果团队成员决定拒绝执行领导者的命令,导致团队危机,那就是另外的情形了。
最后,技术角度来说,要想安全就必要付出代价。这代价可能是成本方面的代价,也可能是机会方面的代价,还有可能是操作特性(或者叫客户体验)方面的代价(如简便性、快捷性等)。但是,企业无法准确衡量这些代价的大小,无法量化失去安全保障后会对企业造成多大的损害,这就使得企业无法获得所需的关键信息,无法就如何分配有限的资源做出理性的决策。这种情况下,如果工作人员所需的授权不足、威望不够,并且还没有趁手的工具来维持规则的权威,甚至规则都是缺失的,那谁又会去选择用阻力最大的方式来履行职责呢?
所以,这是个假性的矛盾。这个“矛盾”之所以是矛盾,几乎完全是由于人自身的认知能力不平衡的问题所造成。把业务和安全之间的“矛盾”说成是从事业务的人和从事安全的人之间由于工作产生的矛盾,可能更贴切一些——企业里提倡的“对事不对人”的职业精神被抛在脑后,从“针对事”演变成了“针对人”,甚至演变成企业内部的“江湖之争”。
2.共赢是理念,更是方法
业务和安全没有真正的矛盾,所以,“矛盾”必然可以化解。以安全生态的观点来看,业务人员和安全人员各有自己的生态位置,每位员工有自己的生态位置,每个岗位也有自己的生态位置。由于每个生态位占据生态环境中的一定量的资源并发挥一定的功能作用,所以,这些生态位之间不只是有竞争,还有合作,而且竞争有上限,合作有下限,否则,就会被生态系统淘汰。过度竞争会造成竞争主体之间不可调和的矛盾,过度合作(妥协)会造成生态系统的不可持续,两者各有其度。因此,这种动态的平衡所体现出的弹性可以很好地调和矛盾并维持整体稳定。这种整体稳定对生态中的所有主体都是有利的和最优的,也就是,所有主体处在了共赢状态。
如果将企业锐意进取的样子比作是一只雄鹰,那么业务和安全就是这只雄鹰的一体之两翼。如果将企业在攻坚克难的样子比作是一辆战车,那么业务和安全就是这辆战车的驱动之双轮。这“两翼”和“双轮”需要均衡发展,也必须要均衡发展。这种“发展观”是“国家安全观”的一部分,既是一段时期内我国境内的宏观政策方向,又是有理有据的经验总结,很是值得认真借鉴。安全是业务发展的保障,业务发展是安全的目的。安全需要业务配合,业务需要安全支持,这大概就是业务与安全共赢的写照。
引入了安全生态,共赢就从一种理念,变成了可供遵循和应用的方法。
网络空间并不是独立于人们的社会结构之外独立存在的新世界,而是在不断与现有社会融合发展着的新世界。企业是社会的组成单元,社会在进化,企业必将与之同步,或者反之亦然。企业将不可避免地需要谋求在网络空间之中的生存和发展。企业的网络安全从无到有至不断加强,可以在保护企业的同时也为企业的发展拓展新的蓝海。网络安全工作是管理艺术与工程技术的有机整体,有其专门的体系结构,需要系统地、动态地、有层次地去开展相关的工作。从专业的视角去审视企业的管理,以人为本是企业网络安全工作的首要原则,构建良好的生态是企业网络安全工作的战略方向和可行方法。业务发展和网络安全,可以共赢,也应当共赢。