林潤輝 謝宗曉

（南開大學(xué)商學(xué)院）

從信息安全到網(wǎng)絡(luò)空間安全

林潤輝 謝宗曉

（南開大學(xué)商學(xué)院）

從網(wǎng)絡(luò)空間的概念出發(fā)，描述了從信息安全到網(wǎng)絡(luò)空間安全的趨勢，并討論了網(wǎng)絡(luò)空間安全（及其管理）的層次、特征及對策。

網(wǎng)絡(luò)空間安全 網(wǎng)絡(luò)安全 信息安全 網(wǎng)絡(luò)空間

謝宗曉 博士

“十二五”國家重點圖書出版規(guī)劃項目《信息安全管理體系叢書》執(zhí)行主編。自2003年起，從事信息安全風(fēng)險評估與信息安全管理體系的咨詢與培訓(xùn)工作。目前，已發(fā)表論文55篇，出版專著12本。

信息安全管理系列之二十六

在之前的系列文章中1），我們討論了信息安全的4A（Anytime Anywhere Any type of information to Anybody）到4R（Right information to Right people at Right time in Right place）。在此基礎(chǔ)上，從信息安全過渡到網(wǎng)絡(luò)空間安全的趨勢已經(jīng)不可避免，下文從網(wǎng)絡(luò)空間概念出發(fā)描述了這種趨勢。

謝宗曉（特約編輯）

從通信安全、計算機安全到網(wǎng)絡(luò)安全（NETSEC）、互聯(lián)網(wǎng)安全，直到今天的網(wǎng)絡(luò)空間安全[1]，信息安全越來越成為國家、社會、企業(yè)、個體關(guān)注的核心問題。這是因為安全是社會發(fā)展的前提，從系統(tǒng)論和信息論角度看，信息的安全是一切安全的基礎(chǔ)，而信息傳輸信道、信息處理設(shè)備、信息互聯(lián)架構(gòu)和信息存在空間的安全目的都仍是從各個角度保證信息的安全。

1 信息安全的三重空間

與自然空間和社會空間對應(yīng)的是網(wǎng)絡(luò)空間。網(wǎng)絡(luò)空間是一個由機器、用戶及其關(guān)系所組成的虛擬世界，這是一個建立在信息技術(shù)基礎(chǔ)之上的完整空間，這意味著人們生活在一個由自然、社會和（網(wǎng)絡(luò)）虛擬空間構(gòu)成的世界之中[2]。

其中自然空間是人類作為生物體的存在之本，自然空間造就了人類，盡管人類試圖影響環(huán)境、改造自然。社會空間與人類共同演進，包括自然組成部分的人類自身（自然人和社會人）及其塑造的社會-技術(shù)系統(tǒng)；網(wǎng)絡(luò)空間是人造空間，包括：1）所有的網(wǎng)絡(luò)信息技術(shù)設(shè)施；2）自然空間、社會空間對應(yīng)的數(shù)字化、虛擬化的映射（包括數(shù)字化的自然空間，各種反映自然的數(shù)字化要素，如Google Earth，Google Ocean，數(shù)字月球等）；數(shù)字化的社會空間，包括數(shù)字化的人、數(shù)字資產(chǎn)、數(shù)字化的組織等，如典型的虛擬空間第二人生（The second life）；3）其他所有數(shù)字化的數(shù)據(jù)、信息、知識等。

所以，信息技術(shù)革命以來人類創(chuàng)造的一切數(shù)字化的對象、內(nèi)容以及信息網(wǎng)絡(luò)設(shè)備、系統(tǒng)、技術(shù)設(shè)施都是網(wǎng)絡(luò)空間的內(nèi)容，它們也構(gòu)造了網(wǎng)絡(luò)空間。網(wǎng)絡(luò)空間包括了數(shù)字化的信息，網(wǎng)絡(luò)信息系統(tǒng)、網(wǎng)絡(luò)信息設(shè)備、網(wǎng)絡(luò)信息基礎(chǔ)設(shè)施以及數(shù)字化的自然空間和社會空間。

信息安全存在并作用于自然空間、社會空間和網(wǎng)絡(luò)空間三重空間中。信息自身的安全存在于所有三重空間中，信息系統(tǒng)安全存在于社會空間和網(wǎng)絡(luò)空間二重空間中，網(wǎng)絡(luò)空間安全包括網(wǎng)絡(luò)空間中的信息自身安全、網(wǎng)絡(luò)信息系統(tǒng)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全，以及虛擬自然空間、虛擬社會空間的結(jié)構(gòu)和運行安全。網(wǎng)絡(luò)空間安全的引致安全會從網(wǎng)絡(luò)空間擴散到社會空間以及自然空間。

網(wǎng)絡(luò)攻擊、無人機的應(yīng)用，使得網(wǎng)絡(luò)戰(zhàn)、信息戰(zhàn)成為新升級的戰(zhàn)爭模式，致使信息自身的安全直接影響生命、財產(chǎn)安全，乃至國防安全；地震預(yù)報信息、謠言等直接影響民眾情緒和公共秩序與安全；信息系統(tǒng)深度嵌入業(yè)務(wù)系統(tǒng)，金融信息系統(tǒng)不安全，會導(dǎo)致銀行系統(tǒng)崩潰，引致財產(chǎn)安全和社會混亂；交通信息系統(tǒng)故障，會導(dǎo)致交通事故，引致生命、財產(chǎn)安全；電網(wǎng)信息系統(tǒng)問題，會形成能源事故，引致社會運行癱瘓。所以網(wǎng)絡(luò)空間中存在安全問題，網(wǎng)絡(luò)安全的引致安全也會滲透到社會空間中；同時信息安全引致的核電事故、核威脅、核打擊后果，排放事故、化石能源控制不利等也會帶來環(huán)境污染、生態(tài)破壞。相反基于系統(tǒng)控制的滴灌技術(shù)、系統(tǒng)，分布式能源系統(tǒng)，以及新能源和自動駕駛技術(shù)和系統(tǒng)會有效減少和緩解自然空間中的環(huán)境和生態(tài)風(fēng)險。

網(wǎng)絡(luò)空間安全問題會通過信息安全、信息系統(tǒng)安全擴散到社會空間、自然空間中。

2 網(wǎng)絡(luò)空間安全與管理

網(wǎng)絡(luò)空間安全包括四個方面：一是網(wǎng)絡(luò)空間中一切數(shù)字化信息自身的安全（網(wǎng)絡(luò)空間中信息自身安全：包括網(wǎng)絡(luò)空間中的信息內(nèi)容；數(shù)字化的自然空間和社會空間，即以數(shù)字化形式存在的自然和社會映射）；二是網(wǎng)絡(luò)信息系統(tǒng)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全［網(wǎng)絡(luò)空間信息系統(tǒng)安全（硬件/實體、軟件和服務(wù)）］；三是網(wǎng)絡(luò)空間中數(shù)字化社會、數(shù)字化自然的運行安全；四是上述網(wǎng)絡(luò)空間安全問題的引致安全，引致安全存在于社會空間和自然空間中。

三重空間的信息安全是相互聯(lián)系和互動的，網(wǎng)絡(luò)空間安全會導(dǎo)致社會空間和自然空間的引致安全，同時自然空間的問題如地震、太陽輻射等也會引發(fā)網(wǎng)絡(luò)信息系統(tǒng)安全，影響網(wǎng)絡(luò)空間安全；社會空間中的安全問題，如人為破壞、黑客攻擊、超負荷訪問也會影響網(wǎng)絡(luò)空間運行，導(dǎo)致網(wǎng)絡(luò)空間安全和網(wǎng)絡(luò)空間信息安全問題。

3 網(wǎng)絡(luò)空間安全的層次

如同社會（空間）安全管理一樣，也可以從個體、組織和國家、國際組織等層面分析網(wǎng)絡(luò)空間及網(wǎng)絡(luò)空間安全問題。

3.1 網(wǎng)絡(luò)空間安全個體層次分析

隱私屬于個體信息安全內(nèi)容，一旦個人隱私信息數(shù)字化，隱私信息便同時存在于社會空間和網(wǎng)絡(luò)空間中，網(wǎng)絡(luò)空間管理有效，有助于數(shù)字化隱私信息的保護。如果保護不利，網(wǎng)絡(luò)空間個體層面信息安全風(fēng)險隨之提高，這類問題多數(shù)由于社會空間和網(wǎng)絡(luò)空間接口問題（制度、管理手段等）形成，這會增加個人信息安全的風(fēng)險。

3.2 組織層面的網(wǎng)絡(luò)空間安全

組織包括企業(yè)組織、非營利組織和政府組織，體現(xiàn)在社會空間中各類組織運行需要網(wǎng)絡(luò)空間支撐，組織越來越多的數(shù)字資產(chǎn)、資源存在于其對應(yīng)的網(wǎng)絡(luò)空間中，組織在相互滲透的社會空間和網(wǎng)絡(luò)空間中存在，組織也有了社會空間和網(wǎng)絡(luò)空間的邊界。同時，不同組織的網(wǎng)絡(luò)空間相互滲透和結(jié)合，組織需要定義自身網(wǎng)絡(luò)空間邊界，明確與其他組織的網(wǎng)絡(luò)空間接口和在上一層次網(wǎng)絡(luò)空間嵌入的協(xié)議和標準，實現(xiàn)社會空間中實體組織和網(wǎng)絡(luò)空間中虛擬組織（組織在網(wǎng)絡(luò)空間映射和投影）的聯(lián)動；推動企業(yè)電子商務(wù)、組織電子服務(wù)、政府電子政務(wù)的深化，推動O2O的深化；同時關(guān)注組織社會空間信息安全和網(wǎng)絡(luò)空間信息安全，方能實現(xiàn)真正的信息安全。

3.3 國家層面的網(wǎng)絡(luò)空間安全

國家主權(quán)決定了網(wǎng)絡(luò)主權(quán)，需要定義國家網(wǎng)絡(luò)空間的主權(quán)邊界，但國家地理邊界和網(wǎng)絡(luò)主權(quán)邊界相互聯(lián)系又不完全相同，比如基于國家安全考慮將一些數(shù)據(jù)服務(wù)器位于國境內(nèi)的要求成為基于社會空間和地理邊界確定網(wǎng)絡(luò)空間權(quán)力邊界的操作方式，此時兩種邊界統(tǒng)一；同時一個國家的跨國公司、使領(lǐng)館、海外組織使得信息、數(shù)據(jù)、設(shè)備等網(wǎng)絡(luò)空間邊界突破國家邊界，在全球網(wǎng)絡(luò)空間中形成一個多維、立體、彈性、邊界模糊、時變的空間結(jié)構(gòu)子網(wǎng)。所以國家層面的網(wǎng)絡(luò)空間安全，要強調(diào)網(wǎng)絡(luò)主權(quán)，同時要直面網(wǎng)絡(luò)空間邊界確定的難度和根據(jù)具體安全問題進行界定和管理的原則。

4 網(wǎng)絡(luò)空間安全管理的特征

網(wǎng)絡(luò)空間安全管理的內(nèi)容包括網(wǎng)絡(luò)空間中的信息內(nèi)容管理，即信息自身安全（數(shù)據(jù)，信息，知識庫，專利，程序），網(wǎng)絡(luò)信息系統(tǒng)安全（操作系統(tǒng)、軟件系統(tǒng)安全，硬件網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全，云安全），網(wǎng)絡(luò)空間運行的制度體系安全，以及源自網(wǎng)絡(luò)空間影響的社會空間、自然空間的引致安全。

信息安全的多層次內(nèi)涵、網(wǎng)絡(luò)空間安全多層次結(jié)構(gòu)，以及三重空間的嵌套和滲透，使得網(wǎng)絡(luò)空間安全重要而復(fù)雜。隨著信息數(shù)字化程度深化，自然空間，尤其社會空間運行的數(shù)字化程度加深，對于網(wǎng)絡(luò)基礎(chǔ)設(shè)施依賴程度日益提高，網(wǎng)絡(luò)空間安全成為信息安全問題的核心和關(guān)鍵。網(wǎng)絡(luò)空間的安全管理，呈現(xiàn)了如下特征。

（1）網(wǎng)絡(luò)空間中技術(shù)基礎(chǔ)設(shè)施結(jié)構(gòu)網(wǎng)絡(luò)化。互聯(lián)網(wǎng)、萬維網(wǎng)呈現(xiàn)無標度網(wǎng)絡(luò)結(jié)構(gòu)，定點攻擊盡顯脆弱性，結(jié)構(gòu)特征決定網(wǎng)絡(luò)空間安全風(fēng)險更具系統(tǒng)性，信息安全問題具有跨空間傳染性，這都增加了網(wǎng)絡(luò)空間安全問題的風(fēng)險。

（2）網(wǎng)絡(luò)空間中信息內(nèi)容本身全部數(shù)字化，傳播速度快，一旦有漏洞，瞬間可能形成巨大損失；而數(shù)據(jù)開放又是共享和創(chuàng)新的前提，這使得網(wǎng)絡(luò)空間信息安全管理挑戰(zhàn)增加，難度提高。

（3）各個國家、各類組織網(wǎng)絡(luò)空間邊界模糊，界定困難。三重空間界面交織，國家、組織的網(wǎng)絡(luò)空間相互滲透，既要界定邊界，維護網(wǎng)絡(luò)空間主權(quán)和權(quán)利，實現(xiàn)安全的“分離”，又要順應(yīng)趨勢，定義“連接”，促進信息共享和價值共創(chuàng)。所以，針對網(wǎng)絡(luò)空間安全問題，定義可以管理的界面變得至關(guān)重要。

（4）網(wǎng)絡(luò)空間安全問題跨空間聯(lián)動，時變性強，復(fù)雜性高。網(wǎng)絡(luò)空間安全問題既可以在不同層次上轉(zhuǎn)化、延伸，也在三種空間之間滲透、擴散、放大，導(dǎo)致網(wǎng)絡(luò)空間安全風(fēng)險來源更加多樣化，傳導(dǎo)、擴散路徑多樣化，安全后果更加嚴重和具有外部性。

5 網(wǎng)絡(luò)空間安全管理的對策

基于上述特征，網(wǎng)絡(luò)空間安全管理需要新的策略：

（1）多點監(jiān)測、立體監(jiān)控。通過技術(shù)和管理手段，對于網(wǎng)絡(luò)空間內(nèi)容模塊、系統(tǒng)模塊和界面模塊進行多點監(jiān)測，立體監(jiān)控，隨時發(fā)現(xiàn)信息安全隱患、異動，實時預(yù)警，即時處理。

（2）是實施網(wǎng)絡(luò)空間安全分類、分層管理?；谛畔踩芾韮r值鏈界定安全問題屬性；從信息安全內(nèi)涵不同層面，網(wǎng)絡(luò)空間主體的不同層面，對于網(wǎng)絡(luò)空間安全問題進行針對性地分層管理；區(qū)分技術(shù)和管理角度，區(qū)分網(wǎng)絡(luò)空間安全問題來源，區(qū)別網(wǎng)絡(luò)空間安全管理主體，區(qū)分網(wǎng)絡(luò)空間安全問題對象，區(qū)分技術(shù)設(shè)施不同網(wǎng)絡(luò)拓撲結(jié)構(gòu)，區(qū)分信息安全風(fēng)險擴散機理，分類制定和采取不同的管理措施。

（3）圍繞網(wǎng)絡(luò)空間安全問題實施共同治理。網(wǎng)絡(luò)空間安全涉及社會空間眾多的利益相關(guān)者，包括各國各級政府、企業(yè)、用戶、非營利組織、 大學(xué)等技術(shù)供應(yīng)組織、網(wǎng)民等，不同層面網(wǎng)絡(luò)空間相互滲透、嵌套和集成，網(wǎng)絡(luò)空間安全需要共同的意識、協(xié)調(diào)的規(guī)則以及兼容的標準，需要一個網(wǎng)絡(luò)空間安全治理的對話、研究、規(guī)則制定和實施平臺，這是網(wǎng)絡(luò)空間安全保障的制度基礎(chǔ)。

[1]林潤輝，謝宗曉，甄杰，等. 網(wǎng)絡(luò)空間安全管理[M]. 北京：中國質(zhì)檢出版社/中國標準出版社，2017.

[2]張康之，向玉瓊. 網(wǎng)絡(luò)空間中的政策問題建構(gòu)[J]. 中國社會科學(xué)，2015（02）：123-138，205.

From Information Security to Cyberspace Security

Lin Runhui, Xie Zongxiao
( Business School, Nankai University )

Base on the concept of cyberspace, we propose a trend from information security to cyberspace security. The level, feature and countermeasure of cybersecurity is also included.

cyberspace security, cybersecurity, information security, cyberspace

1）林潤輝，謝宗曉. 信息安全：從4A到4R[J]. 中國標準導(dǎo)報，2015（05）：26-29.