从行为信息安全研究到行为网络安全研究

2016-09-13 06:18谢宗晓南开大学商学院李康宏扬州大学商学院
中国质量与标准导报 2016年8期
关键词:检查表网络空间信息系统

谢宗晓(南开大学商学院)李康宏(扬州大学商学院)

从行为信息安全研究到行为网络安全研究

谢宗晓(南开大学商学院)
李康宏(扬州大学商学院)

本文对信息安全研究的主要方向进行了梳理,由此给出了行为信息安全研究所处的位置,并介绍了该研究领域的关注点。最后,讨论了在网络空间中个体行为所表现的不同特征,指出研究趋势必然从行为信息安全研究过渡到行为网络安全研究。

网络空间安全网络安全信息安全行为信息安全研究行为网络安全研究

1 信息安全的主要研究方向

1.1密码学(cryptography)

从之前的讨论中,我们可以看出,“信息安全”的词汇随着“载体”或者“关注点”保持了持续的变化,从“通信安全”“计算机安全”,到“网络安全(network security)”直至“信息安全”[1],本质都是为了保护最核心的资产,即“信息”。ISO/IEC 27000:2014中对信息安全的定义为:保证信息的保密性(confidentiality)、完整性(integrity)和可用性(availability);另外也可包括例如真实性(authenticity)、可核査性(accountability)、不可否认性(non-repudiation)和可靠性(reliability)等。

这其中的诸多安全属性主要依靠密码学的相关技术或机制解决[2],具体如表1所示,表中的数据来自GB/T 9387.2—1995 / ISO 7498-2:1989。

表1 安全服务与安全机制

因此,一直以来,密码学都是信息安全最重要的研究方向之一。在通信安全时代及其之前,载体方面主要防止窃听,这并不需要形成单独的学科,最重要的安全措施是加密传输,但是在计算机与信息系统出现之后,仅靠消息加解密已经不能解决所有的问题,更重要的是,在信息大爆炸的时代,这不现实也没必要。

信息安全引起广泛重视,一个很重要的原因还是信息系统的普及。围绕信息系统,存在两个最重要的研究方向,即关注如何设计信息系统的计算机科学与技术领域,以及关注如何应用信息系统的信息系统管理领域,具体如图1所示。

图1 几个信息安全学科之间的关系

通过图1,也给出了解决信息安全问题的两种主要途径:一是技术,即通过安全防护系统加固现有的信息系统;或者二,通过管理,即通过信息安全制度加强对个体行为的约束。

1)在GB/T 5271.8—2001中“保密性”和“机密性”是混用的,可以不区分。

1.2起源于计算机领域的安全防护系统研发

防火墙、防病毒和入侵检测系统(Intrusion Detection Systems,IDS)等信息安全防护系统研发是目前实践中最常见的手段,也是研究领域的热点之一。按照Basie von Solms[3,4]对信息安全实践的划分,技术部署是最早出现的浪潮。当然,在今天的信息安全实践中,已经不再可以区分技术手段还是管理手段,更多的是关注安全目标,例如,在ISO/ IEC 27001:2013中,一个安全控制目标所对应的不仅是技术,也包括管理。

1.3起源于管理学领域的信息系统安全管理

单纯的技术不会解决任何问题,在目前信息安全业界已经得到公认[5]。首先,技术不是万能的,不能解决所有的问题;此外,即使是技术系统,最终需要人去操作,依然需要相应的制度或策略。例如,防火墙策略的配置。即使在“最技术”的密码学领域,BruceSchneier也曾经指出“再强的密码算法也抵不过前克格勃的美女”[6]。

2 为什么研究重点会转移到行为信息安全

2.1安全机制中最薄弱的环节

普遍认为,人是安全机制中最薄弱的环节,航空领域的诸多事故基本证实了这一点。在集中计算时代,每一个管理员都如同飞行员一样,都是专业人员,这种脆弱性表现的并不突出。但是在个人PC广泛普及的时代,人在安全机制中的脆弱性就暴露无遗。

以信息安全风险评估为例。在集中计算的时代,信息安全风险评估并没有完整的流程,而是一系列的检查表(checklist)[7],例如PD3000系列。这实际是最经济,也是最有效的方式之一,例如在其他行业,医疗领域的新生儿阿普加(Apgar)评分表2),原理不复杂,但是有效地降低了新生儿死亡率,到现在仍然应用于临床。再如,飞行员做安全检查的主要依据是一系列的检查表。但是,要使定性的检查表有效,一个重要前提是操作者是专业人员,因此当分布式计算时代来临的时候,检查表就不再能够有效地发挥作用。或者说,基于主观判断的检查表并不适用于非专业人员,于是促生了现在常用的“经典六因素法”(资产,威胁,脆弱性,控制措施,可能性和影响),信息安全风险评估成了规范的流程/方法,检查表只是其中的一个技术工具。

2.2行为信息安全研究出现的必然性

在很多行业,从对技术的关注转向对人的关注也是一个必然过程,在每个人都可以操作的系统中表现的尤为明显,主要因为:第一,技术是新生事物,而不是必然存在的,因此在发展的开始阶段,更多地考虑技术进步,但是技术一旦成熟,如何应用就成了关注的重点;第二,技术的进步在某种程度上是可控的,是一个不断迭代的过程,但是人类本身的进步却是缓慢的,在短时间内不会超越生理极限,而且以系统论的观点来看,越复杂的系统,可能越不可靠,人恰恰是最复杂的系统。

此外,限定只有专业人员操作的行业可以通过规范操作等途径来加强管理,例如航空业,但是每个人都可以操作的信息系统则很难实现,行为表现出更大的复杂性且操作者不能挑选。在航空安全等领域,人类工效学(ergonomics)或人因因素(human factors)主要是针对专业人员,使用者或者旅客等对安全的影响有限。

在这种背景下,国际信息处理联合会(International Federation for Information Processing,IFIP) TC8/WG11 和TC11/WG133)在2013年定义了行为信息安全研究方向[8],主要关注信息安全中的个体行为。行为信息安全在学科中的位置如图2所示。

图2 行为信息安全研究在学科中的位置示意

2) Apgar是肤色(appearence)、心率(pulse)、对刺激的反应(grimace)、肌张力(activity)和呼吸(respiration)五个英文单词的首字母组合。

3)国际信息处理联合会的技术委员会中,第8技术委员会为信息系统,其中第11工作组为信息系统安全研究。该工作组与第11技术委员会的第13工作组联合研发,第11技术委员为信息处理系统中的安全与隐私保护,第13工作组为信息系统安全研究。

行为信息安全研究大致起源于1990年,期间经历了产生、发展、形成和定义等阶段,在后续的文章中,我们将陆续介绍。

在实践中,流行的信息安全架构已经将个体行为的要素考虑在内,例如,ISO/IEC 27001:2013中,“A.7人力资源安全”从人员任用的角度考虑信息安全;“A.9.3 用户责任”从用户角度考虑访问控制问题。因此,信息系统安全管理的研究重点已经从“怎么做系统”转化为“怎么用系统”。

3 网络空间中个体行为的虚拟化

行为信息安全研究的主要关注点还是停留在“物理人”,随着网络空间(cyberspace)的发展,更多的威胁来自“虚拟人”[9],虽然虚拟人是建立在物理人的基础上,但是两者的个体行为表现出很明显的区别。图3给出了物理人与虚拟人关系的示例。

图3 物理人与虚拟人关系示例

与现实世界相比较,网络空间中的个体行为主要有如下特征:

(1)在网络空间中,个体数量众多,行为也更多样化。在物理世界,人的数量是有限的,但是在网络空间中,一个人可以同时以各种表现迥异的角色出现,例如,在微博同时开几个账号,以不同的身份发表言论。单个的虚拟人在网络空间中的行为可能比物理世界的人要简单得多,但是由于数量众多所带来的多样性更难以预测。实践已经证明,在网络空间中,个体更容易表现出极端行为或非主流小众行为,虽然这些极端行为不能直接造成人身伤害,但是极端的言论具有很大的危害。

(2)在网络空间中,个体违规能力更弱,但是违规意愿更强。在现实世界中,每一个人都有一定的违规能力,即使是弱者。但是在网络空间中,绝大部分的人都属于技术上的菜鸟,并不具备违规能力,因此表现出的弱者特征更加明显,例如发牢骚、发表威胁性的言论等。心理学的诸多研究表明,人在感受到威胁时更容易表现出攻击性,加上缺乏足够的能力或解决途径,因此在网络空间中,语言暴力往往更加突出。同时,由于违规能力弱,更容易导致“抱团取暖”,从而容易形成群体行为。

(3)在网络空间中,个体更具备机会主义特征。现实世界的秩序已经形成,机会主义缺乏足够的土壤。但是在网络空间中,违规的成本更低,甚至可以反复“复活”,新游戏规则下,个体更具备机会主义特征。例如,在现实世界中,一个人在街上发牢骚,出于自保,一般不会有太多响应,除非引起足够的共鸣。在网络空间中不同,这种“见义勇为”的成本很低,围观者甚至将辨别事实的步骤都省略了就参与进来。

综上所述,由于个体行为所表现出的不同特征,个体信息安全行为研究应该过渡到行为网络安全研究,从而对网络空间中的个体行为给与更多的关注。

[1]谢宗晓. 信息安全、网络安全及赛博安全相关词汇辨析[J].中国标准导报, 2015(12):30-32.

[2]GB/T 9387.2—1995/ISO7498-2:1989信息处理系统开放系统互连基本参考模型第2部分:安全体系结构

[3]Basie von Solms.Information security—the third wave[J]. Computer& Security 2000 (19): 615-620.

[4]Basie von Solms. Information security—The fourth wave[J]. Computer& Security 2006(25)165-168.

[5]林润辉,李大辉,谢宗晓,等. 信息安全管理理论与实践[M]. 北京:中国质检出版社/中国标准出版社,2015.

[6]Bruce Schneier. 应用密码学:协议算法与C源程序[M].吴世忠,等译,北京:机械工业出版社,2000.

[7]赵战生,谢宗晓. 信息安全风险评估[M]. 2版. 北京:中国质检出版社/中国标准出版社,2015.

[8]Crossler R E,Johnston A C,Lowry P B,et al. Future directions for behavioral information security research[J]. Computers & Security.2013(32): 90-101.

[9]谢宗晓. 关于网络空间(cyberspace)及其相关词汇的再解析[J]. 中国标准导报,2016(02):26-28.

From Behavioral InfoSec Research to Behavioral Cybersecurity Research

Xie Zongxiao ( Business School, Nankai University )
Li Kanghong ( Business College,Yangzhou University)

This paper summarized the main directions of information security research, and introduced the focus of Behavioral InfoSec Research. Finally, we discussed the different characteristics of the individual behavior in cyberspace, and proposed that the research trend should shift from Behavioral InfoSec Research to Behavioral Cybersecurity Research.

cyberspace security, cybersecurity, information security, Behavioral InfoSec Research, Behavioral Cybersecurity Research

猜你喜欢
检查表网络空间信息系统
企业信息系统安全防护
煤矿掘进工作面粉尘治理工作的理论研究
脊髓损伤神经学分类国际标准检查表2019版最新修订及解读
网络空间并非“乌托邦”
基于区块链的通航维护信息系统研究
信息系统审计中计算机审计的应用
军地联动共治涉军舆情 打造清朗网络空间
网络空间“云作战”模型及仿真分析研究
整车产品工程设计阶段的质量管理研究
基于ADC法的指挥信息系统效能评估