信息安全管理系列之十九 从行为信息安全研究到行为标准智库

　　“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。自2003年起，从事信息安全风险评估与信息安全管理体系的咨询与培训工作。目前，已发表论文42篇，出版专著12本。

　　信息安全管理系列之十九

　　1 信息安全的主要研究方向

　　1.1 密码学(cryptography)

　　从之前的讨论中，我们可以看出，“信息安全”的词汇随着“载体”或者“关注点”保持了持续的变化，从“通信安全”“计算机安全”，到“网络安全(network security)”直至“信息安全”[1]，本质都是为了保护最核心的资产，即“信息”。ISO/IEC 27000：2014中对信息安全的定义为：保证信息的保密性(confidentiality)、完整性(integrity)和可用性(availability);另外也可包括例如真实性(authenticity)、可核査性(accountability)、不可否认性(non-repudiation)和可靠性(reliability)等。

　　这其中的诸多安全属性主要依靠密码学的相关技术或机制解决[2]，具体如表1所示，表中的数据来自GB/T 9387.2—1995 / ISO 7498-2：1989。

　　因此，一直以来，密码学都是信息安全最重要的研究方向之一。在通信安全时代及其之前，载体方面主要防止窃听，这并不需要形成单独的学科，最重要的安全措施是加密传输，但是在计算机与信息系统出现之后，仅靠消息加解密已经不能解决所有的问题，更重要的是，在信息大爆炸的时代，这不现实也没必要。

　　信息安全引起广泛重视，一个很重要的原因还是信息系统的普及。围绕信息系统，存在两个最重要的研究方向，即关注如何设计信息系统的计算机科学与技术领域，以及关注如何应用信息系统的信息系统管理领域，具体如图1所示。

　　通过图1，也给出了解决信息安全问题的两种主要途径：一是技术，即通过安全防护系统加固现有的信息系统;或者二，通过管理，即通过信息安全制度加强对个体行为的约束。

　　1.2 起源于计算机领域的安全防护系统研发

　　防火墙、防病毒和入侵检测系统(Intrusion Detection Systems，IDS)等信息安全防护系统研发是目前实践中最常见的手段，也是研究领域的热点之一。按照Basie von Solms[3，4]对信息安全实践的划分，技术部署是最早出现的浪潮。当然，在今天的信息安全实践中，已经不再可以区分技术手段还是管理手段，更多的是关注安全目标，例如，在ISO/IEC 27001：2013中，一个安全控制目标所对应的不仅是技术，也包括管理。

　　1.3 起源于管理学领域的信息系统安全管理

　　单纯的技术不会解决任何问题，在目前信息安全业界已经得到公认[5]。首先，技术不是万能的，不能解决所有的问题;此外，即使是技术系统，最终需要人去操作，依然需要相应的制度或策略。例如，防火墙策略的配置。即使在“最技术”的密码学领域，BruceSchneier也曾经指出“再强的密码算法也抵不过前克格勃的美女”[6]。

　　2 为什么研究重点会转移到行为信息安全

　　2.1 安全机制中最薄弱的环节

　　普遍认为，人是安全机制中最薄弱的环节，航空领域的诸多事故基本证实了这一点。在集中计算时代，每一个管理员都如同飞行员一样，都是专业人员，这种脆弱性表现的并不突出。但是在个人PC广泛普及的时代，人在安全机制中的脆弱性就暴露无遗。

　　以信息安全风险评估为例。在集中计算的时代，信息安全风险评估并没有完整的流程，而是一系列的检查表(checklist)[7]，例如PD3000系列。这实际是最经济，也是最有效的方式之一，例如在其他行业，医疗领域的新生儿阿普加(Apgar)评分表2)，原理不复杂，但是有效地降低了新生儿死亡率，到现在仍然应用于临床。再如，飞行员做安全检查的主要依据是一系列的检查表。但是，要使定性的检查表有效，一个重要前提是操作者是专业人员，因此当分布式计算时代来临的时候，检查表就不再能够有效地发挥作用。或者说，基于主观判断的检查表并不适用于非专业人员，于是促生了现在常用的“经典六因素法”(资产，威胁，脆弱性，控制措施，可能性和影响)，信息安全风险评估成了规范的流程/方法，检查表只是其中的一个技术工具。

　　2.2 行为信息安全研究出现的必然性

　　在很多行业，从对技术的关注转向对人的关注也是一个必然过程，在每个人都可以操作的系统中表现的尤为明显，主要因为：第一，技术是新生事物，而不是必然存在的，因此在发展的开始阶段，更多地考虑技术进步，但是技术一旦成熟，如何应用就成了关注的重点;第二，技术的进步在某种程度上是可控的，是一个不断迭代的过程，但是人类本身的进步却是缓慢的，在短时间内不会超越生理极限，而且以系统论的观点来看，越复杂的系统，可能越不可靠，人恰恰是最复杂的系统。

　　此外，限定只有专业人员操作的行业可以通过规范操作等途径来加强管理，例如航空业，但是每个人都可以操作的信息系统则很难实现，行为表现出更大的复杂性且操作者不能挑选。在航空安全等领域，人类工效学(ergonomics)或人因因素(human factors)主要是针对专业人员，使用者或者旅客等对安全的影响有限。

　　在这种背景下，国际信息处理联合会(International Federation for Information Processing，IFIP) TC8/WG11和TC11/WG133)在2013年定义了行为信息安全研究方向[8]，主要关注信息安全中的个体行为。行为信息安全在学科中的位置如图2所示。

　　行为信息安全研究大致起源于1990年，期间经历了产生、发展、形成和定义等阶段，在后续的文章中，我们将陆续介绍。

　　在实践中，流行的信息安全架构已经将个体行为的要素考虑在内，例如，ISO/IEC 27001：2013中，“A.7人力资源安全”从人员任用的角度考虑信息安全;“A.9.3 用户责任”从用户角度考虑访问控制问题。因此，信息系统安全管理的研究重点已经从“怎么做系统”转化为“怎么用系统”。

　　3 网络空间中个体行为的虚拟化

　　行为信息安全研究的主要关注点还是停留在“物理人”，随着网络空间(cyberspace)的发展，更多的威胁来自“虚拟人”[9]，虽然虚拟人是建立在物理人的基础上，但是两者的个体行为表现出很明显的区别。图3给出了物理人与虚拟人关系的示例。

　　与现实世界相比较，网络空间中的个体行为主要有如下特征：

　　(1)在网络空间中，个体数量众多，行为也更多样化。在物理世界，人的数量是有限的，但是在网络空间中，一个人可以同时以各种表现迥异的角色出现，例如，在微博同时开几个账号，以不同的身份发表言论。单个的虚拟人在网络空间中的行为可能比物理世界的人要简单得多，但是由于数量众多所带来的多样性更难以预测。实践已经证明，在网络空间中，个体更容易表现出极端行为或非主流小众行为，虽然这些极端行为不能直接造成人身伤害，但是极端的言论具有很大的危害。

　　(2)在网络空间中，个体违规能力更弱，但是违规意愿更强。在现实世界中，每一个人都有一定的违规能力，即使是弱者。但是在网络空间中，绝大部分的人都属于技术上的菜鸟，并不具备违规能力，因此表现出的弱者特征更加明显，例如发牢骚、发表威胁性的言论等。心理学的诸多研究表明，人在感受到威胁时更容易表现出攻击性，加上缺乏足够的能力或解决途径，因此在网络空间中，语言暴力往往更加突出。同时，由于违规能力弱，更容易导致“抱团取暖”，从而容易形成群体行为。

　　(3)在网络空间中，个体更具备机会主义特征。现实世界的秩序已经形成，机会主义缺乏足够的土壤。但是在网络空间中，违规的成本更低，甚至可以反复“复活”，新游戏规则下，个体更具备机会主义特征。例如，在现实世界中，一个人在街上发牢骚，出于自保，一般不会有太多响应，除非引起足够的共鸣。在网络空间中不同，这种“见义勇为”的成本很低，围观者甚至将辨别事实的步骤都省略了就参与进来。

　　综上所述，由于个体行为所表现出的不同特征，个体信息安全行为研究应该过渡到行为网络安全研究，从而对网络空间中的个体行为给与更多的关注。

　　作者：谢宗晓 李康宏 来源：中国标准导报 2016年8期<