理性看待信息時代的網絡安全威脅
2018年06月05日
信息技術對我們的時代意義獨特��。過去10年間���,在信息革命的推動下,國際關系的基本環(huán)境發(fā)生了較大變化�。信息似乎已滲透到現(xiàn)代生活的方方面面,并占據(jù)主導地位�,以至于我們現(xiàn)今所處的時代經常被稱為“信息時代”,現(xiàn)代社會的復雜性和多變性�����,通常也被視為信息革命帶來的結果。
如何理解“網絡安全”的內涵
目前并沒有關于信息時代網絡安全的確切定義��,我們可以列舉被它涵蓋的問題來充實這一概念的內涵����。網絡安全首先包含“矛”與“盾”兩個方面,一方面是攻擊活動�,例如信息戰(zhàn)、網絡犯罪和網絡恐怖主義等;另一方面是自衛(wèi)活動����,例如信息保障和關鍵信息基礎設施保護(CIIP)。這兩個方面的共同點在于:它們都與信息基礎設施相關���。信息基礎設施不僅包括相對容易掌握的物理設施���,例如寬帶網絡、計算機�����、電視���、電話等����,也包括了同樣重要的非物質的、難以捕捉的(網絡)成分�,如基礎設施中流動的信息和內容,以及據(jù)此產生的知識和提供的服務���。因此����,將信息時代網絡安全威脅限定為虛擬攻擊或事故并不正確��,針對信息基礎設施的攻擊有可能是物理的�����,當然也可能來自網絡的黑客工具���。
復雜多變并非這個時代的特色。和現(xiàn)在一樣�����,歷史上其他時代科技日新月異的發(fā)展也在挑戰(zhàn)那個時代個人與社會的適應能力,帶來各種新的“威脅”���。新技術帶來的各類安全威脅無疑是引人注目的����,但我們應當認識到�,要分析信息時代的網絡安全威脅,一定要結合實際����,充分了解當前技術和政策發(fā)展的原因和影響,而不是沉浸于對技術“失控”的假設中���。
信息時代的網絡安全同信息技術的變革緊密相關�。自20世紀末以來�,網絡威脅主要來自兩個方面,一方面是現(xiàn)代社會過度依賴不安全的信息系統(tǒng)�,另一方面是網絡威脅的影響范圍在不斷擴大。信息通信技術成本下降��,實用性增加���,使用更加方便�,這些變化推動信息通信技術大規(guī)模傳播和滲透到我們的生活中來。其結果就是人們的日常生活��、工作���、經濟運作和大量個人交往都越來越依賴于這些技術���。如今還有很多網絡空間的行為主體并不愿意承認國家法律框架,而是想要隱藏在匿名的網絡空間中��。網絡危險分子能力和影響范圍的不斷增長��,對國家安全形成了較大威脅����。由于他們破壞力強大,而且需要的工具簡單易獲取����,只要略通黑客網絡技術的人就可以使用。
信息對國家安全的重要性得到了普遍關注
作為全球信息基礎設施網的核心一環(huán)�,網絡的技術環(huán)境天然就是不安全的,因為所有連入了全球信息基礎設施的計算機都是這個網絡的一部分����。所以從理論上說,所有連入網絡的設備都可能被攻擊和入侵�����。最初也正是對信息基礎設施的廣泛依賴����,讓人們開始關注信息對國家安全的重要性。
眾所周知����,最早出現(xiàn)的網絡是上個世紀60年代的阿帕網(ARPAnet),美國國防部設立了這個項目�,目的是創(chuàng)建一個在核戰(zhàn)爭或自然災害損毀了大部分組件的情況下,依然能運作的���,并且覆蓋全國的計算機網絡��。在接下來的20年里���,有所升級的網絡開始被學術機構、科學家和政府部門運用于研究和通信��。但是在設計之初,所有構成今天互聯(lián)網的早期網絡協(xié)議都是開放靈活的�����,安全性并未被考慮在內�����。從1988年世界上第一個蠕蟲病毒誕生���,到“沖擊波”“熊貓燒香”等���,從物理層面到應用層面,網絡信息系統(tǒng)的脆弱性一次次引起世人的關注���。
從計算機網絡最初興起開始��,它就成為了現(xiàn)代社會的核心要素之一����,甚至很多時候抽象意義上的網絡已經成為了現(xiàn)代生活的代名詞����。計算機和電信的結合����,再加上高級計算機系統(tǒng)����、數(shù)據(jù)庫�、電信網絡等在全球范圍內的普遍應用,使得電子信息隨手可及��,并且將信息革命擴大到了當前的宏偉規(guī)模�����。
雖然上世紀90年代末互聯(lián)網泡沫的破滅曾一度為高科技狂熱降溫���,但信息革命的工具依然在快速進化����。一些專家認為����,未來的主要技術趨勢包括自動化、移動性����、微型化���、全球網絡以及計算機和網絡的普及化,而更值得關注的是��,這些趨勢將會帶來哪些安全問題����。既然網絡威脅主要來自于對全球信息基礎設施的惡意使用,那么技術環(huán)境(現(xiàn)在和未來)的特點勢必會影響我們對威脅的理解�����。尤其是網絡領域破壞性事件的不斷增多�����,微軟操作系統(tǒng)的壟斷地位和這一系統(tǒng)持續(xù)存在的安全漏洞�,都說明信息技術領域存在較為嚴重的安全問題。
網絡威脅具有不確定性
有的專家并不認同網絡威脅的嚴重性�����,在討論究竟何時會發(fā)生對社會造成實質威脅的網絡事件時��,他們難以達成一致,尤其是在未知因素過多的情況下��。首先��,面對有預謀的攻擊時�����,各國關鍵基礎設施的易損程度目前還具有爭議����。
要真正了解關鍵基礎設施面對網絡攻擊時的脆弱性���,就需要一個更詳細的評估�,包括測評每一個目標設施的冗余����、正常故障率和響應率,核心功能對公共網絡的接入程度����,以及臨界操作時的人力控制、監(jiān)控和干預水平等��。但這種評估往往不太容易實現(xiàn),除了難以獲得數(shù)據(jù)以外����,評估困難還因為單靠數(shù)據(jù)并不能創(chuàng)造臨界條件?����;A設施或服務的臨界值永遠不可能靠經驗數(shù)據(jù)提前測量�,只能在危機發(fā)生以后,以規(guī)范流程進行事后獲取��。
網絡威脅是難以理解和證實的���,對這種威脅的分析方法需要建立在建設性心態(tài)和主觀本體論之上���。有效的分析方法應當關注關鍵行動者們怎樣達成共識,并確定什么才是需要他們共同應對的安全威脅�,而不是假設威脅是普遍存在并且客觀可測量的。要理解信息革命對國際關系和安全的影響��,關鍵要看政策制定者和專家們怎樣看待技術環(huán)境的特點���,以及它對國際安全的影響�。
參與主體多元化是網絡問題復雜化的根源
互聯(lián)網的商業(yè)化加劇了網絡的不安全性。信息技術安全面臨了來自市場的阻力���,對安全的投資沒有直接回報�����,產品上市時也不允許采取過多安全措施����。因此�����,安全通常就成為功能的犧牲品��。
今天�����,很多國家對權力的壟斷已被打破���,大量非政府組織、社會團體和其他非國立的跨國網絡正在許多領域同國家力量競爭���。政策制定的主體正在從單個變?yōu)槎鄠€�����,將主要利益相關者納入決策過程已是必然趨勢����。
信息基礎設施保護政策的混合化正反映了參與主體的多元化。在網絡威脅領域����,個人、企業(yè)或地區(qū)通常都會承擔維護“業(yè)務連續(xù)性”和保護國家乃至國際安全的責任�����。出于技術原因�,提前應對潛在攻擊者非常困難,所以保護措施通常都注重預防最小化攻擊帶來的損失���。除了對保護目標和保護方法的基本看法以外����,各種利益相關者持有的不同概念和觀點也會影響他們的保護措施��。無論是私營、公立還是二者混合����,不同的組織并不一定總能就問題的本質達成共識。
信息時代的網絡安全同其他時代相比究竟有何區(qū)別?這個問題有一個簡單的回答��,那就是:“如果我們認為有����,那就有?�!边@里���,我們指出了核心政策制定者們想法的重要性���,并據(jù)此給出了這樣一種建設性的答案��,即行為主體的想法和理解會對政策的制定過程起導向作用�����,并最終影響政府決策���。因此�,(國家、地區(qū)和國際)法律����、協(xié)議和行為規(guī)范都會被政策制定者對威脅的理解所左右,所以它們對信息時代的網絡安全都有較大影響�。不必要的“網絡恐慌”不利于應對威脅,解決問題的方法之一就是更多地從經濟和市場角度審視威脅���,從而降低網絡安全問題所帶來的社會危害����。
江蘇國駿信息科技有限公司在信息網絡安全�、運維平臺建設、動漫設計�、軟件研發(fā)、數(shù)據(jù)中心領域具備十多年的行業(yè)沉淀��。公司遵循信息安全整體性的IATF模型����,從“人員素養(yǎng)”、“制度流程”、“技術產品”三個視角提供全面����、可信的方案,業(yè)務涵蓋咨詢����、評估、規(guī)劃��、管控����、建設、培訓等��。
江蘇國駿信息科技有限公司——全面可信的信息安全服務商�。
