从生产安全体系视角看数据安全

发布时间:2019-07-19 15:10 作者:全知科技来源: 点击:加载中...次

　　引子

互联网的发展一日千里，安全技术随着互联网的发展，出现的新场景、新技术、新名称都越来越多；从GDPR到AI安全，从物联网安全到大数据安全；但对网络安全整个体系的阐述，基本还是沿用着最早的信息安全的理念，如CIA三要素来描述我们在网络空间的安全体系；但对于很多新型的网络安全问题，信息安全体系已有局限，我们如何来去思考未来的网络空间的体系呢？同时，这些新的变化带来挑战的同时也带来新的机会，作为安全从业人员，我们如何能看到未来安全的终局，洞悉这个快速变化的时代的方向？

　　一、由信息安全到网络安全再到网络空间安全

现代意义的网络安全，从19世纪开始，利用电子技术来传输信息的技术就逐步产生，随之用在了军事和国家事务等领域。由之带来了最早的电子通讯的信息安全问题，在这个阶段，是围绕传统的信息存储和传输时的机密性问题，核心技术是加密技术。

20世纪四十年代，计算机出世，第一代计算机以计算为核心，第二代计算机是以事务处理为核心，第三代计算机是以信息处理(文字、图片)为核心，第四代计算机以各种场景的信息交互为核心。传统信息安全由以前电子信息传输时代的信息安全的机密性要求，结合计算、事务、信息处理和信息交互的需求，扩展为机密性、完整性、可用性(CIA)3要素、以及后来的抗抵赖性、真实性、可靠性、可控性等要素。目前我们传统计算机网络安全都是基于这个模型体系来构建的。这些安全要素的核心是把计算机网络系统看做一种资产，强调如何保护而资产所有者对计算机网络系统拥有信息与计算机网络系统的所有权与控制权。本质而言，是围绕着资产形成相应的保护边界，防御外部对信息和计算机&；网络进行未经授权的访问、控制和使用。如下图就是一种经典的网络安全边界保护体系：物理安全，网络和传输安全、主机系统安全、应用安全、主机和应用使用&；存储的信息载体的安全。

从21世纪开始，我们进入到网络空间时代。由于互联网的渗透，网络作为信息沟通基础设施，把越来越多的人、越来越多的物链接在一起，很多个人的生活也开始依赖互联网，而组织/企业、国家也越来越多的利用互联网来开展组织与国家的行为。这个时候，产生的各种新型的网络安全问题，已经很难用信息安全的体系(即使是向IT设施扩展后的信息安全的内涵)来解决，比如利用舆论诱导、网络暴力、黄牛刷单、薅羊毛，利用数据分析影响选民政治投票等等。

这些新的网络安全是什么？为什么我们用传统的信息安全体系应对这些问题时无能为力呢？无论信息安全，还是扩展到IT设施的网络安全，都是在强调信息或者信息相关的计算机网络系统作为一个有价值的事物，作为合法所有者对其的所有权与控制权，本质而言是一种资产/财产安全。然后网络空间把人类和人类组织活动映射上来之后，这些新的安全问题，其实还是人类和人类组织在实体世界就已经存在的安全问题，很多安全问题并不一定是一种资产安全视角。我们需要从更本质的角度去理解人类和人类组织在物理世界的安全，才能理解在网络空间的新形势的安全，以及思考未来网络空间安全的演化路径。

　　二、用不变思考变化/从过去思考未来

世界上的一切发展与变化，都可以用一些更基础的不变的东西去理解和思考。变化的往往是新的场景、新的技术，但不变的是人性、以及围绕着人性形成的认知体系和商业价值；掌握了不变的东西，我们在面对变化的不确定未来时，可以掌握变化之中不变的脉路。

安全是指人或事物没有受到威胁、没有危险、危害、损失的发生的状态。但我们首先需要理解所有的安全问题都和某个主体的利益有关，一亿光年外的超新星爆发把他周围的物质都炸没了我们也不会认为是一个安全问题。也就是说只有危险、危害、损失影响到某个人或人组成的组织、种族、国家的主体利益时，才成为一个特定的安全问题。

因此我们可以站在不同的维度的主体利益维度去看个体安全、组织安全、国家或种族的安全、人类共同体安全。

　　2.1 个体安全

个体的安全核心包含3层，第一层是个人的人身安全，包括生命、身体、健康、人身自由并由此拓展的相关影响人身安全的生活环境的安全。第二层则是个人拥有的财产安全，第三层则是个人作为社群物种的社会心理安全，包括隐私、受尊重等。

　　2.2 组织安全

一个组织是围绕特定价值主张实现自身价值的。组织的安全也包括3层，第一层是组织的财务安全/组织存续安全，任何组织的正常运转都以资金为基础，财务状况则决定了组织的生死。第二层则是组织的价值实现安全，组织需要通过一系列的活动，来实现自身价值的。需要保障组织自身价值实现的过程。第三层则是组织的社会安全，组织是一个社会性团体，能否存在和正常运转，并获得社会认同，需要具备一定的社会安全基础。

2.3 国家或种族安全

国家代表了一个更加整体的利益，包含了领土和主权的安全、对外利益(如国家贸易、国家投资)的安全、对内的社会秩序(社会、经济、金融)的安全，以及国家发展空间(资源、科技)的安全。

2.4 人类共同体安全

这一块很少提及，但随生物技术、AI技术的发展，人类作为一些共同体，会形成一些安全共识。

我们从人类在实体世界的安全需求视角去看，安全的种类很多。当我们把信息和计算机网络系统作为一种财产时，信息安全或网络安全这种财产视角的安全体系是匹配的，但当人和组织在网络空间活动，会把其他层次的安全问题也带到这个网络空间，就可能超出资产这种维度的。

(责任编辑：安博涛)