浅谈信息空间的安全

郟　晖　王　宇

随着全球信息化建设的迅猛发展，信息技术开始越来越融入到各行各业和人们的社会生活中，信息安全也从最初的点到点通信保密进入到信息安全和信息保障时代。无论是通信保密、计算机安全、信息安全还是信息保障，都关注的是通信领域的信息安全问题，是覆盖在通信和计算机概念下的信息安全。但是近年来，随着信息技术进入到社会生活的方方面面，信息安全的发展越来越多地和一个国家的社会、经济和军事利益结合在一起，信息安全技术已从单一的信息领域扩展到经济、政治、军事、意识形态和文化等多个方面，信息安全有了更加广义的定义。2003年美国公布《赛博空间国家战略》提出信息空间概念。信息空间是技术、组织和观念三维组合，其包括一个国家的政治、军事、经济和文化的电子信息总和，是一个国家的神经中枢。针对信息空间的攻击行为将对国家安全和人们日常生活构成严重威胁，严重危害国家机构的正常运作。信息安全正在扩展到信息空间安全，其研究的内容和范围也有了很大延伸，国家关键基础设施，经济建设、意识文化、国防建设成为安全领域研究的新重点。信息空间所关注的安全问题，给信息安全研究带来新挑战。

主要安全风险分析

1. 针对关键基础设施的攻击

现代化的国家日益依赖通信系统来维系政治和经济的正常运作。随着互联网技术的广泛使用，各国必不可少的关键性基础设施（能源、水利、交通、食品物流、电信、银行和金融、医疗服务和政府职能等）开始变得不堪一击。网络恐怖分子只要控制国家或机构基础设施的控制系统，便可通过“网中网”潜入其中，给国家和组织机构的运转造成灭顶之灾。

1998年3月美国马萨诸塞州的一位少年通过侵入Bell Atlantic电话公司的网络，切断了对当地机场控制塔的重要服务，一度使该机场引导飞机降落的控制系统失灵。2000年美国一个男孩入侵罗斯福水坝的数据采集与监控系统，险些淹没下游的菲尼克斯城。2000年澳大利亚人Vitek Boden利用Internet、无线电台和盗窃的控制软件，将100万公升的污水排放到昆士兰州Maroochydore的河流与沿海水域中，以报复当地政府拒绝聘用他。2003年美国第一能源公司的数据采集与监控系统的状态估计功能发生故障，造成美国东部和加拿大大部分地区停电29小时，经济损失高达300亿美元。

2． 窃取个人隐私

近几年，个人信息秘密泄露事件比比皆是。处于信息化时代，电脑、互联网、手机这些先进的电子设备，在给我们的工作生活带来便利的同时，也随时“准备着出卖”自己的主人。更可怕的是，因为信息社会网络和通讯的发达，个人的私密信息会以难以想像的速度和程度蔓延、传播开来。不要以为个人隐私泄密离我们很远，也不要以为黑客不会敲你的门。在商业利益的驱动下，通过互联网和现代信息化手段提供的先进技术，你的个人信息早已经被人当成一种商品频繁被买卖交易。现在就有不少人抱怨，自己的电话号码、生日、住址、职业、保险状况总是被很多陌生人所知，经常被商业推销电话骚扰。这背后的一个事实是，大量个人信息正在通过互联网等渠道被盗取和传播。

互联网上个人隐私遭到侵犯的事件时有发生。最严重的情形，包括信用卡信息被盗用，造成直接经济损失，或者家庭信息联系被人利用，受到骚扰甚至被骗，造成人身伤害，这在近期的“艳照门”事件中已经被充分展示。个人信息被企业用于开展各种营销活动，这是一种普遍的现象，几乎每时每刻都在发生。2005年，由于一个中间业务公司的安全漏洞，美国最大的信用卡公司之一万事达公司4000万用户的银行资料被黑客获得，酿成美国最大规模信用卡用户信息泄密案。2007年底，英国税务海关总署遗失了两张共含有2500万份英国银行账户资料的光盘，至今下落不明，一旦落入黑客手中，后果不堪设想。

3．侵犯知识产权

互联网的发展为人们带来诸多便利的同时，也带来了诸多烦恼。许多人现在都非常关心互联网时代的知识产权侵权问题。知识产权的侵权形式多种多样，包括伪造作品（软件）、设计、模型和商标等。

数字信息方便复制，为非法复制培育了市场。软件、音乐和视频影片发行商为此损失了数百亿美元。在互联网出现之前，知识产权侵权问题的治理相对简单，因为那时的知识产品需要依附有形的载体来传播，大家经常提到的就是盗版书，盗版磁带，盗版光盘等，治理的方法常常是将这些物理载体销毁；追查盗版的责任人也相对容易，只需顺藤摸瓜即可。对于这种形式的盗版，各个国家都有完善的法规，虽然屡禁不止，但是造成的危害在可以控制的范围之内。

但是到了互联网时代，盗版问题发生了本质上的变化。首先载体由有形变为无形，复制一份信息产品然后在互联网上传播，边际成本为零，而且在极短的时间内就可以散布得很广；其次由于在互联网上实施盗版是如此简单，几乎所有的网民都可以成为盗版者和受益者，甚至实施盗版行为并不需要经济利益的驱动，再加上互联网的匿名性，追查盗版责任人几乎是一个不可能的任务（在特殊情况下，法律机构会花费很大力气追查，最终也能抓到盗版者，但是由于成本太高，也只能是起到一个震慑作用，无法推广）。近年来业内人士对互联网盗版问题也提出过一些应对的办法，但是目前来看，这些办法都收效甚微，互联网上的盗版行为甚至是愈演愈烈，甚至有些电影还没公映，就已经在互联网上广为流传了。

4．军事信息战

军事信息战一般指通过利用、改变和瘫痪敌方的信息、信息系统和以计算机为基础的网络，同时保护已方的信息、信息系统和以计算机为基础的网络不被敌方利用、改变和瘫痪，以获取信息优势，而采取的作战行动。多年以来，网络一直被视为商业和通信媒介的领域，和太空一样为非军事化。但随着军事信息化时代的前进，计算机和网络已逐渐成为军事技术和战术的重要组成部分。世界各国军方均开始计划获得网络作战能力，信息战已成为世界各国国防安全面临的主要威胁。信息战由于交战双方关系异常复杂，一般情况，任何有能力的对手，包括国家或者单个的罪犯，都不会使用他们自己的电脑发动战争，而会使用其他人的电脑。因此找出攻击的源头是个非常困难的问题，信息战成为一场无时无刻不在，并没有明确对手的战争。

在美国政府和军队内部，已将信息空间安全作为国家防务战略的一个重要领域，并认为信息空间战是美军所要面临的一项潜在性的重大威胁。美国参联会主席在2004年的国家军事战略报告中指出：美军必须有能力在陆、海、空、天以及信息空间同敌人展开作战。各军兵种必须有能力在这些战场保卫美国以及美国的全球利益。2007年4月，欧洲国家爱沙尼亚遭到一场大规模的网络袭击。黑客目标包括国会、政府部门、银行以至媒体的网站，其攻击规模广泛而且深纵，事件在国际军事界中广受注目，普遍被军事专家视为第一场国家层次的网络战争。2008年8月，俄格冲突期间，格鲁吉亚的网络系统也遭遇了不明对手攻击，军事信息系统遭到极大打击。

应对方略

信息空间安全问题不仅涉及基础设施的脆弱性所引发的风险，还涉及滥用信息技术造成的政治、经济、军事、社会、文化等多方面问题。信息空间安全的隐患来自多个方面，其解决方案是一项综合性工程，需要全社会的共同努力，从法律法规、管理体制、技术手段等各方面采取全面有效的措施。

1.针对主要风险，建立有效的管理体系

信息空间安全在管理方面上还很不健全。一是目前信息空间安全的不少领域还存在法律空白，需要及早制定信息空间安全法律法规体系。二是要积极推广信息安全管理标准，使信息安全管理规范化、制度化。三是要加强风险管理，建立一个完整的风险管理流程。信息空间安全不仅仅是技术工作，其主要目的是为保护目标提供安全保障，这就需要对保护目标所面临的内部和外部风险进行认真分析，并根据风险发生的概率和可能造成损失的严重程度，采取相应的管理和技术措施。四是要引入信息产品安全测评认证制度，制定了信息产品测评认证计划，在建立关键基础设施时，要认真考虑安全因素，进行有效、系统的安全测评认证。

2.培养人才，建立信息空间安全人才体系

信息空间安全是信息化健康发展的基础，是国家安全的重要组成部分。国家信息安全的竞争，归根到底是信息安全人才的竞争。因此信息空间安全人才培养也成为国家信息化建设的重要任务。安全人才培养应注重以下几方面 ：一是需要培养一支能保证国家与社会关键基础设施正常运作的具有较高信息安全专业知识的信息化建设和管理队伍，保障国家信息化建设的顺利开展。二是需要建立一支以国防安全为目标，能保证高涉密度军事信息安全的军事人才队伍，以保障国家军事战略安全。三是需要培养能服务于互联网政务和商务安全建设的应用型人才，保障电子商务和电子政务健康发展，促进国家 政治、经济生活的进步发展。四是由于信息空间安全涉及多学科交叉，其解决方案需要多学科共同合作。因此需要支持和鼓励其他领域的专家转入信息空间安全研究。为全面解决信息空间安全创造条件。

3.加强关键安全技术研究

在社会信息化高速发展的今天，人们对信息安全理论和技术的需求提出了越来越高的需求。信息空间安全是一个计算机科学、信息科学、军事学、社会政治学等相互交叉的学科，涵盖的研究领域很广。其发展也随着各相关科学技术的发展而发展。近年来量子密码、信息对抗、系统生存、可信计算、主动实时防护、应急响应、安全评估等技术成为安全领域研究的重点。在以上几个方向给予突破，将能有效提高一个国家的信息空间安全能力。

目前国内外关于信息空间安全的研究还没有形成完整体系，缺乏基础理论的原创性创新，这给我们国家带来了巨大的拓展空间。我们应该充分利用这个机会 ，对信息空间安全的基础理论问题进行系统和深入研究；努力攻克信息空间安全的基础性技术，在研究中取得全面的创新性成果和突破性进展，占领信息安全领域的制高点，推动我国信息建设实现跨越式和革命式发展。