（南开大学商学院）

信息安全：从4A到4R林润辉 谢宗晓

（南开大学商学院）

信息安全包含信息自身的安全、信息系统的安全及信息安全/信息系统安全引发的传统安全三个层次的内涵。信息技术和网络技术改变了人的思考方式和行为模式，改变了安全管理中技术与管理的角色。提高信息安全需要打造信息安全研究与实践的知识价值链。

信息安全 传统安全 信息系统 知识价值链

信息安全管理系列之四

网络的普及为信息安全带来了崭新的视角和前所未有的挑战。在信息技术发展日新月异的背景下，信息安全内涵结构的搭建，信息安全研究价值链的明确，都会为信息安全的理论研究和实践探索打下坚实的基础。本文对4A（Anytime Anywhere Any type of information to Anybody）的信息化时代，如何实现4R（Right information to Right people at Right time in Right place）的信息安全进行了重新思考。

谢宗晓（特约编辑）

信息，一个事物的本质，不确定性的削减，具有特定含义的数据；安全，一种状态，一种风险控制的客观状态，或者一个主体预期的状态。今天信息技术高度发展，使得4A（Anytime Anywhere Any type of information to Anybody）成为可能，但是实现4R（Right information to Right people at Right time in Right place），面临新的挑战。信息时代，4A不再是梦想，但我们的目标是实现4R，信息技术的发展使得我们不断接近这个目标；信息安全问题就是错误的人在错误的时间、地点发布或者获得错误的信息，并导致一定的后果。今天，信息技术和网络技术让信息安全问题更加“复杂”。

1 信息安全内涵的三个层次

1.1 第一个层次——信息（自身）的安全（Information Safety, IS-1）

信息安全问题自古就存在，早于现代信息技术，如过去对于藏宝图的争夺，以及“蒋干盗书”等通过信息误导，削弱曹军战斗力等都是信息（自身）安全问题的例子。现在，我们将信息视为资产，它对于正确决策、企业竞争、战争胜负至关重要。要提高信息的安全性，需要采取一些措施，被动措施包括藏匿、锁闭、人工守卫看管、以及加密信息，主动措施包括释放假的情报等，进行基于信息安全的博弈。从而实现信息自身安全，以及由于信息安全带来的组织安全。

今天，信息化和全球化时代，信息成为组织的战略性资源，信息安全更加重要；尤其是对于那些信息密集型组织，如轻资产公司，信息成为战略核心资源，信息安全是组织生存、发展、创新之根本；所以，在物联网、互联网和社会网络互动的时代，即时产生海量信息，信息质量需要鉴别，过载信息、虚假信息、无关信息、过时信息无处不在，这些信息自身就有安全问题。

同时我们也应看到，信息技术强化了信息自身的安全：加密、身份认证鉴别、电子签名、数字时间戳、安全协议、系统和软件管理、防火墙等，成为了（数字化）信息的防盗窃、防侦听、防冒用、防抵赖、防篡改、防止时间纠纷的利器；分布式存储以及镜像、备份使得信息避免灾险损害；传感器等提高了信息采集质量；数据库提高了数据的组织、管理、访问、授权安全，数据仓库及其挖掘技术提高了对于数据的清洗和管理能力，并可以在信息安全的基础上进一步发挥信息的价值；这些是信息技术对于信息本身安全积极影响的主流。

当然，广泛使用的信息技术、网络技术，也使得组织产生了对于信息技术、信息系统的高度依赖性，导致信息攻击的目标更加集中，使得攻击的物理距离变得无足轻重，攻击可以无处不在，所以也带来了信息自身安全的风险。也就是说日益普及的信息技术和信息系统使得组织对于信息的管理过度依赖信息系统，信息系统的安全可能会影响信息本身的安全。这个问题确实存在。

1.2 第二个层次——信息系统的安全（Information Systems Security, IS-2）

信息系统是信息采集、加工、存储、组织、管理、传播的工具，是信息处理的硬件、软件、网络支撑体系的集合；信息系统的安全直接导致信息的安全；信息系统安全包括计算机、服务器、传感器、网络设备、移动终端等设备的硬件安全，也包括操作系统、数据库、应用系统等的软件安全，还包括整体的网络安全；上述信息系统的安全影响它管理、运行的信息自身的安全。比如组织信息集中管理之后，异地备份之前，火灾、地震等灾险导致了一些银行、证券公司服务器、数据库损害，造成核心信息丢失，财产损失，甚至公司破产；“911”等危机事件也造成世贸中心众多公司核心数据损毁，形成不可估量的损失；最近（2014年11月10日）美国互联网安全企业发出警告，某品牌智能手机、平板电脑等产品的操作系统存在漏洞，黑客能够诱使用户给正版软件“升级”，实则以冒牌软件取代用户原本安装的正版软件，从而盗取关键的用户数据。信息系统的安全也导致和信息系统高度嵌入、连接的其他物理世界业务系统的安全，如基于网络的全球金融系统安全，股票交易系统安全，直接影响对象的财务安全；地铁、航空、交通系统直接影响交通秩序甚至生命安全。

1.3 第三个层次——信息自身安全、信息系统安全（或者通过信息自身安全）引致的传统安全（Traditional Security derived from IS-1 and/or IS-2, IS-3）

其表现为传统的生命、财产安全，行业关联的生产安全、交通安全、金融安全，乃至国家、社会安全等。

网络攻击、无人机的应用，使得网络战、信息战成为新升级的战争模式，致使信息自身的安全直接影响生命、财产安全，乃至国防安全；公司的信息安全直接影响决策准确性，以至公司兴衰；地震预报信息、谣言等直接影响民众情绪和公共秩序与安全；信息系统深度嵌入业务系统，金融信息系统不安全，会导致银行系统崩溃，引致财产安全和社会混乱；交通信息系统故障，会导致交通事故，引致生命、财产安全；电网信息系统问题，会形成能源事故，引致社会运行瘫痪。

当然，各类信息系统也通过对于信息的管理强化了组织的传统安全，如防火警报系统提升了防火安全，传感器、视频监控提高了有形财产安全的等级，瓦斯传感器和煤矿爆炸预警系统提高了采掘作业的生产安全能力。

以上信息安全的三个层次相互关联、相互影响，形成了信息安全管理的核心和分析基础。

2 信息安全管理面临的新挑战

信息技术改变了安全管理中技术与管理的角色，因为信息技术改变了人的思考方式和行为模式。

2.1 信息技术改变了人们对于安全的理解

隐私（涉及个人信息安全）的边界在模糊和变化；公司组织对于专利等知识产权的理解在发生变化，在保护知识产权的同时，提出了反专利权滥用运动，甚至一些公司利用信息、数据公开，通过开放式创新去获取信息共享收益。自由软件运动、开源运动 （开发源代码促进会），共享知识产权运动等也属于此类。

2.2 信息技术影响安全管理的手段和效果

安全管理可以从技术层面和管理层面入手，传统安全管理包括人防（制度、管理手段）和技防（技术手段），信息安全涉及的安全对象“信息”直接和人的意识、决策和行为相关，信息安全涉及的技术支撑“IT和IS”是信息安全的技术支持和技术载体，这使得信息安全管理需要重新考虑人防与技防的关系，人、组织、制度、技术对于信息安全的影响更加“复杂”，厘清他们的影响机理更具有挑战性。所以，对于信息安全的研究，要回到人、信息、安全、信息技术的本源，因为信息技术改变着人与信息的关系，信息又影响着人对安全的认识，甚至在某些领域安全方面，交给机器可靠，还是交给人可靠的问题，信息安全领域的人机分工问题，都引起了新的讨论。

3 信息安全研究与实践的知识价值链

鉴于信息安全的多个层次及其相互影响，以及信息时代，人、信息、安全、制度、技术的内在联系，信息安全成为一个更具魅力的研究和实践领域，等待我们去探索。

3.1 建立信息安全的系统模型

系统模型包括信息安全问题的诱因、信息安全的三层次内容（对象），以及信息安全的主体（对于谁的安全）。

如上分析，信息安全有三个层次：信息（自身）的安全;信息系统的安全，信息系统安全导致的信息安全;信息安全和信息系统安全引致的传统（生命、财产、物质、社会、心理）安全。

信息安全问题的诱因包括环境因素和人的因素，环境因素需要区分是灾险还是其他不可抗力；人的因素比较复杂，需要区分恶意动机，还是无意的行为导致安全问题。恶意又包括盗窃、破坏、攻击行为引发的信息安全，无意行为则包括违规，以及无知和无意识。针对不同的诱因需要不同的信息安全管理措施。

还要考虑信息安全承受主体的因素，即谁是信息安全定义主体和信息安全问题后果的承受主体，这可以是国家、政府、包括企业在内的各类组织，以及个人，从这个角度分为国家信息安全、领域信息安全、企业（组织）信息安全以及个人信息安全（如隐私）等；信息安全效果可以分为客观安全如规范安全、实质安全、规律安全以及承受主体的主观安全，如感知安全。

信息安全的系统模型可以帮助我们识别信息安全的目标、边界，要素及其关系，从而从利益相关者、过程等角度设计管理机制，实现信息安全目标。

3.2 研究信息安全的利益相关者模型和过程模型

以企业信息安全为例，需要回答哪些主体是信息安全的利益相关者。首先哪些是信息安全的诱发主体，如攻击者、黑（骇）客、窃密者；哪些是信息安全外部积极主体，如监管者、信息安全服务提供者；哪些是内部利益相关者，包括信息安全的承受主体、企业法人以及责任者，如企业首席执行官（CEO）、首席信息官（CIO），还包括IT部门、信息安全部门、业务部门，直至各位员工；进一步分析是谁诱发信息安全问题？谁承担后果或责任？谁设计制度、采取措施？谁引入、开发技术去管理信息安全？信息安全目标如何受到内部主体的影响和多大程度受到外部监管主体（政府、上层组织、集团总部、行业协会）的影响？不同组织信息安全的利益相关者的角色和影响机理不同，也展现了信息安全多彩的现实图景。

信息安全实践的多样性、复杂性，要求我们进行信息安全的系统研究，这需要广大同仁的共同努力，打造信息安全研究与实践的知识价值链。

3.3 信息安全相关基础科学的研究

研究内容包括信息、安全、信息安全、信息安全管理的内涵和本质，尤其具有挑战性和深意的研究课题包括：信息技术和信息安全的关系，信息和安全的关系，信息与安全感知的关系，信息安全三个层次内涵间的关系，是否各类引致安全都源于本质上的信息安全？信息安全是否是其他安全的基础？以及跨层次的信息安全及其传递问题，等等。

（1）信息安全知识和规律方面

我们需要关心信息安全尤其是组织信息安全管理的知识基础，信息安全管理是一个制度问题、技术问题，还是综合问题，这似乎达成了共识；是一个治理问题（信息权的制度设计和实施），还是管理问题，需要进一步探讨；我们可以向密码学、犯罪学、医学、学习理论、安全科学借鉴什么？同样通过信息安全的研究我们可以给相关领域做出什么理论贡献？

（2）信息安全（最佳）实践和标准方面

信息安全管理也是一个实践总结提升的过程，需要结合科学和规律研发信息安全标准和规范，基于此，信息安全标准得以推广；产业层面进入制度、管理、技术创新扩散周期，企业组织进入信息安全制度、信息安全技术规划—引进—实施—改进的循环，如此往复，推动信息安全管理、技术标准的不断成熟和演进。

全球范围内，信息安全领域面临新的挑战。我国信息技术进入应用的关键阶段，信息安全问题及其重要性日益凸显。迫切需要各界携手共同打造信息安全管理的知识价值链，通过信息安全知识、信息、经验、最佳实践共享，将信息安全管理研究和实践探索结合起来，推动中国信息安全的进步，推动信息安全从4A到4R的发展。

Information Security: from 4A to 4R

Lin Runhui Xie Zongxiao
( Business School, Nankai University )

Information security consists of information safety, information system security and traditional security which is derived from information security. Information technology and network technology has changed people's way of thinking and behavior patterns, and changed the roles of technology and institution in information security management. Improving information security needs to build knowledge value chain of information security research and practice.

information security, traditional security, information system, knowledge value chain