购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

前言

一直以来,我总想写一本网络安全方面的普及性读物,虽然几次动笔,却都因为种种原因放下了,而且由于多次搬家和更换计算机,一些写好的内容也不知道保存在哪里了。一个搞安全的人士,自己写的东西却保护不好,说来真是有点丢人,好在脑子里想的东西还没有丢失。

以什么作为书的名字呢?我想来想去,开始想用“网络安全的哲学观”作为书名。这是因为本书的核心内容是对网络安全的认识论和方法论进行归纳,并提出一些业界学者没有提过的说法。用哲学观来命名并不是为了炒作,而是想让读者更容易理解安全的本质。书稿完成后,我邀请了一些内行和外行来“拍砖”,大家的共同意见是,这本书讲的是网络安全,不是哲学,用“哲学观”命名有些不妥,于是改成了现在的名字:网络空间安全。

取这个名字还有一层考虑,现在做网络安全的人往往是在“术”的层面上研究得很透彻,而对于网络安全的整体认识却很肤浅。许多人是从自己对某个“术”的理解出发来阐述网络安全观的,而本书力图让外行和内行都能对网络安全有全面的、本质的认识。

网络安全实际上是现实社会安全在网络领域的映射,或者说是大数据在现实社会安全规则中的映射。

为什么要写这本书呢?习近平总书记曾指出,“没有网络安全就没有国家安全”,可见网络安全有多重要。可在相当长的一段时间里,只有专业人员在研究网络安全,而大多数人则觉得网络安全太过神秘,往往敬而远之。一些管理人员对网络安全特别重视,可是不知道从哪里入手,只能听从专业人员的意见,而有些专业人员未必真正了解网络安全的体系。2012年,《信息安全与通信保密》发表了我的一篇文章,题目是《信息保障切忌花钱买破坏》。这不是在哗众取宠,也不是耸人听闻。真的有很多企业花了不少钱,结果却没有达到安全的目的,制定的策略反而与“安全保护”背道而驰。这篇文章就是在听了某专业人员的“经验”介绍后有感而发的。

对于一些人,特别是在国家机关中承担着一些责任的公务人员来说,了解必要的网络安全知识对于维护国家安全非常重要。2017年,中共中央办公厅发布《党委(党组)网络安全工作责任制实施办法》,规定了领导干部在网络安全中的责任,提出了相关的要求。不过,如果由于专业人员业务不过硬而导致了安全事件,而公务人员还要承担责任,这样真的有点冤。

专业人员中确实有相当一部分人并没有真正理解网络安全概念,更没有从体系上建立完整的网络安全知识结构。结果是头痛医头,脚痛医脚,甚至有些人看到别人买什么,自己就去买什么,对买来的产品也没有部署正确的策略,导致“防火墙”成了“放火墙”。笔者曾亲历过一个安全事件,就是因为防火墙没有做安全策略,甚至连防火墙的日志都没开,结果在系统被入侵后,不但没有记录入侵者的IP地址,还导致服务器所记录的IP地址变成了这个防火墙的地址,很好地“保护”了犯罪嫌疑人。

此外,一些安全厂商只专注于卖自家的产品,不关心用户真正的网络安全需求,并没有让产品有效地发挥作用。

写这本书的目的就是让相关的读者树立正确的安全思想,从哲学层面建立安全保护思想体系。对于非专业人员,根据这样的思想能够判别保护策略是不是正确,方法是不是得当,并可以督促相关的专业人员按照正确的策略进行保护。

本书特别强调要按数据的安全属性来制定保护策略,并根据相应的保护策略制定整体方案,将总体策略分解到系统的各个层面执行。这些东西看起来很复杂,但是普通读者都可以理解。比如,需要很强保密措施的文件,就不允许级别较低的人阅读,在现实社会中也是这样执行的。那么,如果在网络中设置的访问控制策略与之不符,非专业人员也是有能力识别的,我们按现实社会中的规则一样可以检查出问题。

“道、法、术、器”是中国古代道家的思想,可以用其类比下网络安全中的不同层面。简单而言,“道”是对规律和本质的基本认识,本书力图在网络安全的本质和规律上提出笔者的认识。“法”是指法律或者方法,在网络安全中,“法”指方法,本书从现实社会中获得启示,对安全方法进行了归纳。“术”是实现的技术,本书介绍了网络安全的支撑性技术。“器”在网络安全中就是产品。

必须说明的一点是,本书主要讨论的是以计算机作为主要连接设备的网络安全,虽然提及了一些万物互联的安全,但是没有把更多的讨论纳入其中。万物互联以及以网络为基础的智慧城市、工业控制等方面的安全问题更加复杂。万物互联之后,会把网络空间与现实社会高度融合在一起,许多现实社会中的安全问题也融入其中,本书对此不进行过多讨论。

本书共分为12章。第1~3章主要讨论网络安全的“道”:第1章旨在让读者认识网络安全,主要是对网络安全进行概述;第2章介绍计算机与网络的一些基础知识,算是我提过的“道”;第3章介绍我国网络安全的国际环境,特别是Internet域名解析可能会导致的安全问题和供应链安全问题。第4~11章讲的是“法”,介绍从现实社会中映射过来的实现安全的基本方法。第12章讲的是“术”,即网络安全的支撑性技术。而产品作为“器”则融合到了各章内容中。

本书中第一次给一些概念下了定义,由于是第一次,并且笔者才疏学浅,因此难免会有错误或者不严谨之处,这些内容仅供读者参考,并希望通过大家的讨论逐步完善。定义这些概念不是为了标新立异,而是试图让非专业的读者能从哲学层面理解网络安全,而不被披着神秘面纱的网络安全吓到。

本书虽然是为非专业人员写的,但是对于专业人员来说也是有价值的。许多专业人员只专注于某个领域,不一定真正建立了网络安全的思想体系,我想让这部分读者通过阅读本书在头脑中构建起整体的安全体系,并理解自己的专业领域在整个安全体系中的地位和作用。

杨义先教授在撰写《安全简史》一书时曾对我说,他力图实现“外行人看着不觉深,内行人看着不觉浅”的目标。他是大学者,是一位真正的学问家,我当然不敢与他相比,但这也是我写这本书时追求的目标。

本书第一稿中80%的内容都是在飞机上或者候机厅里完成的,从贵阳到北京的飞行时间一般是2小时40分钟,飞机上没有电话、微信的打扰,正好可以用来写东西。我的老伴给予了我很多鼓励,由于在飞机上无法查阅网络资料,我只能从大脑中向外输出内容,这时候她会表扬我!可同时,我也不得不承认一个人的知识、智慧是有限的,并且我是半路出家,原来的研究领域是无线电通信,对网络安全的理解还不够,可能会有一些错误的认识——这不是客气,也不是故作谦虚。希望读者多多“拍砖”,目的是把网络安全真正地理解透彻。

我还要感谢一批小朋友,他们是:湖南金盾测评中心的熊璐、王上源、彭晓涛,贵阳的胡丹,安赛科技的于忠臣,元心科技的孙涵,贵阳国卫信安的钱秋雨、张丽,福州天目数据的何雪连等。他们当中有懂网络安全的人,也有不懂网络安全甚至不懂计算机的人,我让他们当第一读者并提出意见,然后再对本书进行修改。同时,他们在语言、文字,甚至标点符号方面也提出了修改意见。

我要特别感谢曾在IBM负责安全维护的专家徐欢,以及中国信息安全研究院的副院长左晓栋。他们都抽出时间来审阅书稿,并提出了相应的修改意见,他们对完善本书做出了卓越的贡献。我国网络安全界的专家赵战生老师也对书稿提出了宝贵的修改意见。

对本书有较大贡献的还有:中国关键信息基础设施技术创新联盟的秘书长田霞对全书进行了统筹和修改,并加了各章的小结;福州天目数据的施明语参与了各章的写作,并提出了很好的修改意见。另外,熊璐代表湖南金盾测评中心为本书提出了相应的修改意见。

陆宝华
2022年11月20日 l/UZRBUQEkkGx5VgeIOM/5gzBf85XtTitUAKjfE7zcsWWsne+K5XnAvsQu79gI4D

点击中间区域
呼出菜单
上一章
目录
下一章
×