APP下载

数字出版技术安全的现状与优化路径分析

2022-02-24周映汪鑫

出版广角 2022年23期
关键词:数字发展

周映?汪鑫

【摘要】数字出版技术应用潜在和已经遇到的安全威胁有对门户网站的攻击、对业务网站的攻击、对内部数据的攻击以及伴随新技术应用产生的负面影响,上述安全问题的出现是理念缺位、制度缺失和举措缺乏的结果,为此,应坚持统筹发展和安全的基本理念,优化数字出版技術顶层设计,在技术升级、数据治理、标准宣贯和队伍培养等方面下功夫,以切实做到数字出版的安全发展、高质量发展。

【关  键  词】数字出版技术;数字出版安全;数字出版高质量发展

【作者单位】周映,中国联合网络通信有限公司软件研究院;汪鑫,北京第二外国语学院文化与传播学院。

【中图分类号】G230.7【文献标识码】A【DOI】10.16491/j.cnki.cn45-1216/g2.2022.23.015

党的二十大报告指出,要统筹发展和安全,贯彻总体国家安全观,推进国家安全体系和能力现代化,把维护国家安全贯穿党和国家工作各方面全过程。数字出版作为国家文化产业的核心领域,如何保证统筹发展和安全,如何建构数字出版的安全体系和提升安全能力,既属于文化安全考虑的范畴,又属于科技安全涉及的范畴。数字出版安全,宏观层面包括意识形态安全、文化安全、技术安全等,微观层面包括内容安全、技术安全和运维安全等,而在诸多安全之中,数字技术安全、技术应用安全既是重要保障,又是亟须补齐的短板。

数字出版技术应用安全,是指在应用数字技术、发展数字出版过程中所涉及的有关安全理念、制度和实践的总和。数字出版技术应用安全是数字出版发展的底线,是数字出版高质量发展的基本保障以及题中应有之义。数字出版高质量发展,首先是安全的发展,应在主流意识形态、核心价值观的主导和引导下,坚持技术理性主义,充分发挥数字出版技术的正价值,加快建构由技术应用安全和“信息安全、数据安全、内容安全、文化安全、意识形态安全等所构成的安全防控体系”[1]。

一、数字出版技术安全现状

2022年6月,西北工业大学遭受美国NSA网络攻击后所出具的调查报告显示,近年来美国NSA下属TAO对我国国内的网络目标实施了上万次网络恶意攻击,其利用网络攻击武器平台、零日漏洞及其控制的网络设备持续扩大攻击范围和规模[2]。由此,网络安全、技术应用安全再次成为话题焦点进入人们的视野。

就数字出版而言,客观来讲,数字出版技术应用的过程,也是一个不断处理发展和安全关系的过程,是不断增强技术安全意识、提高技术风险防范能力、建构技术安全防控体系的过程。实践中,数字出版发展的不同阶段,都出现过因为技术安全而影响发展的案例,或者说因为解决了技术安全问题而提高自身发展能力的案例。

综合来看,数字出版技术应用过程中所遇到的安全威胁主要包括以下几种类型。第一,对门户网站进行攻击。主要表现为利用出版社门户网站漏洞攻击和篡改网页;采用分布式拒绝服务攻击(DDoS),在同一时间攻击数量很多的计算机,致使攻击目标无法正常使用,门户网站服务暂停或中止;利用恶意爬虫软件攻击网站内容和结构,进行网站伪造和网站克隆;设置网页木马作为攻击跳板,随时攻入系统甚至进入出版社内网。第二,对业务网站进行攻击。如利用应用中的注册入口和身份登录非法获取用户账号信息、利用应用的查询服务大批量下载和盗取大规模公众信息数据、利用勒索病毒软件加密正常应用中的文件等。其中,勒索病毒软件一度入侵过多家知识服务提供商,它们通过电子邮件、网页挂马、程序木马等形式到达业务网站,上传本机信息并下载公钥进行加密,被攻击的网站因为没有私钥所以无法解密。第三,攻击内部数据。攻击出版社内部财务、管理数据的情况并不多见,但通过零日漏洞攻击来窃取出版经营管理数据、涉密数据的情形理论上是存在的。

这些安全威胁、网络攻击近年来呈现以下特征。首先,零日攻击[3]常态化。所谓零日攻击,又称零时差攻击或零日漏洞攻击,即发现安全漏洞后被立即恶意利用、展开攻击。据统计,零日漏洞的攻击数量逐年翻倍增加,2020年的36个零日漏洞中有27个为web零日漏洞攻击,2021年的90个零日漏洞中有超过80个web零日漏洞攻击,零日漏洞在近年的攻击中占有较大比重,已成为常态化的攻击手段。其次,攻击工具私有化。攻击者使用定制化工具进行攻击,针对不同业务目标采用不同的攻击方式、方法、技术和工具,专业性高、目的性强、成功率高,实现精准定向打击。再次,攻击特征隐身化。除了传统常见的攻击手段,攻击者还使用很多新的攻击技术,攻击手段变化多端。而传统的安全防护技术以特征识别为主,分析请求的数据包内容是否有恶意特征,一旦匹配则被认定为攻击事件。攻击者为了逃避传统防御的检测手段,隐藏自身特征和攻击特征(如哥斯拉、冰蝎等攻击工具),从而穿透防护系统进行攻击。最后,攻击防范常态化。出版业务系统将时刻面临各种有目的性和无目的性的攻击行为,需要花费大量的时间来研判攻击行为,网络安全运维工作压力较大,进一步加重了数字出版的安全防护负担。

值得关注的是,近年来数字出版发展基于“拿来主义”的技术路线,加速应用云计算、大数据、深度学习、人工智能、虚拟现实等数字技术,而在对这些新型数字技术习得的过程中,“数字技术应用所带来的负面性、安全问题将更加被重视,成为出版管理的难点,也是出版调控的重要考量”[4]。如大数据技术应用所带来的隐私泄露、数据滥用等问题,区块链技术应用存在的算力资源浪费、篡改威胁等问题,基于深度学习的深度伪造问题,人工智能快速发展所带来的著作权等问题,这些潜在的或已经发生的问题都是数字出版技术安全应用必须予以回应和解决的。

二、数字出版技术安全问题剖析

上述数字出版技术应用过程中所出现的种种问题,究其原因,在于数字出版技术安全的理念、制度和举措没有做到与时俱进,没有及时适应变化发展的数字出版实践。

1.理念缺位,思想上不重视

理念是行动的先导。数字出版安全意识不强,安全理念没有真正确立,是导致数字出版技术应用安全诸多问题出现的深层次原因。有关数字出版安全方面的认知,从实践经验归纳和理论思维抽象的成果角度来看,中国知网统计的相关论文仅有寥寥数篇文章。在数字出版发展早期阶段,有学者从网络出版安全技术研究的角度,提出由“数字信息、安全池、规则与标识的使用条件”[5]所组成的网络出版安全结构;在数字出版转型升级阶段,有学者提出通过VPN技术,“穿越Internet 建立出版社与分社、合作伙伴、远程用户之间安全访问,实现数字出版信息内容的安全可靠传输”[6];有专家从数据安全的角度,提出了基于RFID电子标识技术的数据安全隐患以及不挥发存储(XLPM)RFID技术解决方案[7];有学者提出从“价值观、技术观和法治观”[8]三个维度来建构数字出版文化安全观;有学者认为出版业要积极利用人工智能、区块链、5G技术等先进技术,构建“违法与不良出版信息特征库”,基于统一的标准、规则和程序,及时发现和处理不良内容以确保网络内容安全[9];有学者从技术价值论的视角,提出了坚持正确的技术价值观,坚守以人民为中心的技术应用立场,发挥数字技术正价值、削弱数字技术负价值[10]。综上可以发现,无论是实践还是理论层面,学界对数字出版技术安全理念的探索还处于初级阶段,明确提出并深刻认知数字出版技术安全意义、价值和重要性的研究成果并不多见。

具体来讲,数字出版技术安全理念和意识层面尚须改进两个方面。一方面,增强安全意识,强化数字出版安全发展的理念。安全是前提、基础和底线,没有数字出版安全,就没有数字出版发展,更谈不上高质量发展。数字出版安全是包含意识形态安全、文化安全、技术安全等在内的安全体系,其中,技术安全居于特殊重要的地位,也是意识形态安全和文化安全的重要屏障。以往的产业界和科研界对数字出版意识形态安全和文化安全强调较多,而对数字出版技术安全的着力和关注较少。另一方面,增强统筹意识,实现数字出版统筹发展和数字出版安全。对数字出版发展的关注和着力始终是数字出版的主线,如何在数字化转型升级、深度融合发展的基础上提质增效,是数字出版发展的目标所在;但如何坚持正确的安全观,以发展保安全,以安全促发展,实现数字出版发展质量、结构、规模、速度、效益和安全的统一,则是数字出版业须正视并花大气力解决的问题,是不能回避的长远问题。

2.制度缺失,安全体系未建立

鉴于理念缺位,数字出版技术安全制度体系也没能及时建立起來。前述数字出版意识形态安全、文化安全得到了重视,由此意识形态责任制、网络意识形态责任制等制度性安排在出版实践中有充分的体现,而有关数字出版技术安全的体制机制还处于轮廓勾勒期。

从数字出版技术安全的视角来看,贯穿数字出版技术习得、技术采纳、技术应用、技术运维、技术反馈和技术迭代全过程的数字出版技术安全制度体系有待建立和健全。数字出版技术习得制度,应关注拟学习和掌握的技术是否与出版发展方向相一致,这是事关数字出版安全发展的重要问题,方向不对则不宜习得,方向正确方可在习得的基础上采纳。数字出版技术采纳制度,应对拟采纳的新技术进行安全性评估,在确保不影响文化安全、意识形态安全的基础上方可引入。数字出版技术应用制度,涉及技术部署、运用的具体过程,应考虑安全性问题,如对现有的技术环境是否构成威胁、是否会打破现有技术安全平衡等。数字出版技术运维制度,要考量技术运营维护过程中对安全硬件、安全软件的适配性设置,及时补充和新增安全软硬件。数字出版技术迭代过程,要考虑新技术迭代对原有数字出版产品服务功能的安全性影响,以功能稳定、数据安全为要务,切忌因新技术迭代导致原有数据丢失或链接被篡改等情况发生。

3.举措单一,难以有效应对

关于数字出版技术安全举措,既往的做法较为单一、粗暴化,未能做到具体情况具体分析和精准施策。

出版机构采取的数字技术安全措施因网站种类而不同。对于门户网站,出版机构可选择在重大节假日断网、停网,这种简单直接的方式虽然能够起到阻隔网络攻击的效果,但是对于出版品牌维护、正常出版服务的提供等造成了不良影响。对于业务网站,出版机构一般会购置一些网络安全防护设备以确保信息安全和数据安全,但是具体到内外网隔离、内部数据和外部数据分级防护、异地机房数据备份、有效应对动态自动化攻击等方面则显得力不从心,以致勒索病毒、网页篡改等问题时常出现。

合作方技术安全举措是出版机构关注的盲区,往往也处于不可控状态。一方面,对采取技术外包或技术合作路线的出版机构而言,持续地、不间断地关注基于网络的增值知识服务运行状态是长期任务之一。增值知识服务的网页链接、AR内容、VR视频等部署于技术商网站,那么,如何确保该技术商处于正常运营状态、在运营商经营异常时如何采取及时措施、在增值知识服务链接异变时如何快速应急处置等,这些问题往往是数字出版技术安全应优先考虑和紧急处理的内容。另一方面,如何弘扬诚信文化,确立诚信机制,是对技术商提出的要求。技术商应建立诚信长效机制,确保对出版机构和读者用户的诚信服务供给,确保在数字出版产品服务有效期内始终提供正常的、安全的、稳定的技术服务,避免合作中止服务中断、公司停业服务中断甚至出现网络攻击等情况。

三、数字出版技术应用安全的对策路径

及时有效地制定和落实数字出版技术安全对策路径,既是数字出版企业高质量发展的自身需要,又是贯彻落实出版业发展规划的题中应有之义。

《出版业“十四五”时期发展规划》对于出版业、数字出版的发展与安全进行了较为全面的规定,这是宏观层面的出版安全治理,我们需要明确微观层面的数字出版安全治理是什么?出版企业应该如何落实上述规划的规定,如何提升数字出版技术安全应用水平?一般来说,微观层面的数字出版安全治理,是指数字出版企业围绕维护安全、巩固安全、增强安全所采取的一系列理念、制度和实践的总和。其中,数字出版意识形态安全治理是根本,数字出版文化安全治理是灵魂,数字出版经济安全治理是基础,而数字出版技术安全治理是核心。数字出版技术安全治理可从基本理念、顶层设计、实践路径三个方面展开。

1.坚持统筹发展和安全的基本理念

数字出版高质量发展要确立安全发展的理念。数字出版发展首先是安全的发展,数字出版新发展格局的构建要实现更为安全的发展,安全发展是数字出版高质量发展的题中应有之义、基本底线和重要保障。

围绕安全发展的理念,数字出版高质量发展要坚持统筹兼顾,实现数字出版全过程各领域各环节协同高效的发展,实现发展质量、效益、结构、规模、速度和安全相统一。数字出版高质量发展,要实现数字出版数据开发共享应用水平提升,实现出版业信息、数据和网络安全水平显著提升,实现行业发展安全保障能力提升。数字出版高质量发展,要加快建构技术先进安全的产业体系和市场体系,提高先进技术的应用能力和应用水平。

2.优化数字出版技术安全顶层设计

数字出版技术安全要坚持总体安全观,以意识形态安全为根本,以文化安全为灵魂,以经济安全为基础,以技术安全为核心。数字出版技术安全的顶层设计要具备全局性、决定性、关联性、可操作性特征:就全局性而言,数字出版技术安全顶层设计要涵盖数字出版产品、技术、运维等产业链基本环节,要有效统筹涉及数字出版技术安全的人力、物力、财力和智力要素,要正确处理好数字出版安全和数字出版调节、数字出版治理之间的相互关系;就决定性而言,技术安全的战略布局、模式设计、运行体系要坚持顶层决定底层、高端决定低端的基本原则;就关联性而言,数字出版技术编辑、数字出版技术安全资金投入、数字出版技术安全设备、数字出版技术安全智库建议等是相互联系、相互作用的有机统一整体,须相得益彰;就可操作性而言,数字出版技术安全顶层设计要综合采取物理安全措施和技术安全措施,明确专门机构、专门负责人、完整的运行体系以及定期的反馈迭代机制,确保数字出版技术习得、采纳、应用、反馈、运维、迭代等各环节的安全。

3.增强数字出版技术安全的实践路径

数字出版技术安全的实践路径有很多,主要包括以下几个方面。

第一,积极推动数字安全技术升级。随着前述自动化攻击越来越肆虐,对数字出版数据安全、正常业务开展构成日益严重的威胁,以“动态防御”为基本理念的数字安全技术将成为出版机构安全防护的首选。具体可在动态封装、动态验证、动态混淆和动态令牌四个方面进行部署(见图1)。其一,动态封装技术对网页底层代码进行封装,隐藏攻击入口,使攻击者无法预测服务器行为。其二,动态验证技术在网页内插入对客户端环境的动态检查代码,且每次均随机选取检测项目与数量,以增加应用的不可预测性,以及攻击者或自动化工具假冒合法客户端的难度。其三,动态混淆技术对网页上敏感的传输数据进行动态混淆,将敏感的用户名和密码等信息全部混淆,防止通过中间人攻击等行为进行伪造请求、恶意代码注入、窃听或篡改交易内容。其四,动态令牌技术通过对合法请求授予一次性令牌,保障业务逻辑的正确执行,且有效防御惡意爬虫、网页后门、APT攻击与应用层 DDoS等自动化攻击行为。

第二,科学进行出版数据分层治理。在出版数据治理方面,为确保核心业务数据和高价值内部数据的安全性,首先须将内部数据和外部数据安全防护进行分层治理。对出版社资产数据、管理数据、流程数据等高度保密的内部数据,宜进行内外网隔离,严禁内部员工以外的人访问和使用;对数字出版产品服务的内容数据、交互数据和用户数据等核心业务数据,宜通过“线下+线上”“本地存储+云存储”等多样化方式进行保护,确保数据处于正常使用和运营状态。在实践中,越来越多出版社选择将业务数据通过公共云、私有云等方式进行云端部署,以防止鸡蛋放在一个篮子的悲剧出现;资金、技术实力较为雄厚的出版机构甚至采取异地机房部署的方式,以确保高价值数据的“双线下”安全防护。

第三,加大技术安全标准研制宣传贯彻力度。出版机构应围绕数字出版技术安全应用,因地制宜、因时制宜、因社制宜地研制、宣传和落实企业标准,将安全意识、安全理念传达至每一位员工。数字出版行业标准研制也应考虑信息安全、数据安全、内容安全等方面的标准数量和比例,及时将成功企业的成熟做法升级为共同经验,为出版业安全发展提供标准保障和依据。

第四,建立健全数字出版技术编辑队伍。数字出版编辑主要承担数字出版技术习得、采纳、应用、运维、反馈和迭代等工作任务。数字出版技术编辑的专业化分工、精细化发展,推动和促进自身分离出数字出版技术安全编辑这一角色类型。负责技术安全的数字出版编辑的规模、质量和比例应随着数字出版发展阶段、发展程度的提升而不断增加,从而为数字出版的安全发展、高质发展提供源源不断的人力资源和主体动力。

随着中国特色数字出版发展步入提质增效的关键阶段,对数字出版安全再怎么强调都不为过。只有从基本理念、顶层设计、体制机制、实践路径等方面不断强化数字出版安全能力建设,不断提升数字出版安全水平,不断推进数字出版安全治理体系健全,才能切实维护和巩固数字出版安全,真正实现数字出版的高质量发展、可持续发展。

|参考文献|

[1]张新新,钟慧婷. 出版业高质量发展的战略协同机制思考:基于协同论的视角[J]. 出版广角,2022(9):60-66.

[2]详情公布!西北工业大学遭美国国家安全局网络攻击[EB/OL]. (2022-09-05)[2022-12-09]. https://baijiahao.baidu.com/s?id=1743105570480063357&wfr=spider&for=pc.

[3]CHEN Ping, HU Zhisheng, XU Jun, et al. Feedback control can make data structure layout randomization more cost-effective under zero-day attacks[J]. Cybersecurity, 2018(1):13.

[4]张新新. 基于出版业数字化战略视角的“十四

五”数字出版发展刍议[J]. 科技与出版,2021(1):65-76.

[5]赵金楼,许驰. 网络出版的安全技术研究与实现[J]. 编辑之友,2007(6):67-69.

[6]郑阳平,衡军山. 数字出版安全网络的研究与实践[J]. 出版广角,2013(22):23-25.

[7]刘爱民. 图书出版业RFID电子标识技术的数据安全性研究[J]. 科技与出版,2017(4):82-84.

[8]杨皖宁. 应建构数字出版的文化安全观[J]. 科技与出版,2020(5):121-125.

[9]刘锦宏,罗金毅,宋明珍. 统筹安全与发展:基于国家网信战略的出版质量提升策略[J]. 出版广角,2022(5):29-32.

[10]张新新. 数字出版价值论(上):价值认知到价值建构[J]. 出版科学,2022(1):5-14.

猜你喜欢

数字发展
迈上十四五发展“新跑道”,打好可持续发展的“未来牌”
从HDMI2.1与HDCP2.3出发,思考8K能否成为超高清发展的第二阶段
数字
砥砺奋进 共享发展
改性沥青的应用与发展
成双成对
“会”与“展”引导再制造发展
携手同行 共建共享:怎么看我国发展不平衡
数字变变变