邱实 牟承晋:网信空间的数据安全与虚实学 - 昆仑策
邱实 牟承晋:网信空间的数据安全与虚实学
2021-06-20
曾经,美国国家安全局(NSA) 被戏谑为“无此部门”(No Such Agency) 。NSA与美军网站司令部合署,同一个指挥官,指挥执行不同的任务。 NSA的公开期刊“下一波浪潮”(The Next Wave) ,在2021年2月14日发表的主题为“虚实学”(Deception Research) :用科学揭示真相,也包括用科学制造假象。编者按说:
在互联网 (Internet,下同) 的早期,彼得•施泰纳 (Peter Steiner) 在《纽约人》 (New Yorker) 杂志上发表的一幅取笑浏览网页用户的漫画被广泛流传:一只狗坐在电脑前对另一只狗说,“在互联网上,没人知道你是狗。”
虽然这幅漫画引起了大部分从事技术的读者笑声,但是它指出了互联网体系结构中的一个严重的认知问题,以及流经互联网的信息在不了解来源和意图以及实际身份的情况下,是否容易影响受众和人类的行为。目前,与过去不同的是,在人工智能(AI)发展的驱动下,复杂的算法有可能伪造虚假账户,并生成大量令人信服的内容,传播虚构和误导性信息,影响公众舆论、选举,甚至影响国家安全。当今源源不断提供的信息涌现,以及社交网络放大内容的推波助澜,使最终用户比以往更难区分可信信息与为恶意目的制作和分发的内容。情报分析人员也面临着同样的挑战,因为他们必须确定数据和信息是否准确,来源是否可靠,如果未能发现虚假信息,则安全风险更大。
一、美西方崇拜的《孙子兵法》之“诡道”
被美西方奉为“兵学圣典”、“战争艺术”(Artof War) 的我国《孙子兵法》“始计篇”开篇即说:“兵者,诡道也。故能而示之不能,用而示之不用,近而示之远,远而示之近。”
All warfare is based on deception. Hence, when we are able to attack, we must seem unable; when using our forces, we must appear inactive; when we are near, we must make the enemy believe we are far away; when far away, we must make him believe we are near.
所有的战争都是以欺骗为基础。因此,当我们能够攻击时,必须显得疲软无力;在我们调动军队时,必须表现出按兵不动;接近时,要让敌方认为我们在远处;远离时,要让敌方认为我们在近处。
关键是,“诡道”被翻译成Deception,这个英文单词在汉语的解释里,包含着欺骗、诡计、骗局的意境和语境。 在2012年1月26日发布的美军教令“军事始计”中,第一章(总则)开篇就引用《孙子兵法》(始计篇)的“故能而示之不能,用而示之不用,……攻其无备,出其不意。”并给出“军事始计”(Military Deception,简称MILDEC) 的目的,目标和标的。 大数据时代,随着网信空间的斗争演变深化态势,在建立“信息优势”和“决策优势”的背后,应运而生地崛起一门新兴应用学科,即“虚实学”(Deception Research) 。 在网信空间,“信息优势”(Information Advantage) 和“决策优势”(Decision Advantage) 是信息战(Information Warfare) 和情报战(Intelligence Warfare) 行动预期达到的目的,以及能力转型的目标。但是,在实施过程中(呈现日趋严重的)虚假信息(或情报)的攻防不可避免。“虚实学”(Deception Research) 是研究科学的(基础)方法及实践有效的(手段)工具,排除或缓解信息中的垃圾和情报中的干扰(防),或者推送信息垃圾和生成情报干扰(攻)。 基于《孙子兵法》的战略思维和战术思想,“虚实学”是数字化斗争或竞争中的“诡道”学,是网信空间攻防所必须具备的“科学艺术”,是现代战争(乃至未来战争)中“非常规”的内涵。精粹在于:在“知彼知己”中去伪存真,在“百战不殆”中出其不意。 因此,《孙子兵法》的“始计”,在当今的信息环境(或网信空间)中得到发扬光大,不仅仅是战略思维和战术思想的指导,而且成为网信安全科学中的一个新兴研究领域,即“虚实学”,包括机器学习、人工智能、社交网络等科学、技术、工程和数学,以及风险管理和协同指挥的交叉学科及实践;所引导的研发方向和形成的前沿效应,被称为是“下一波浪潮”(The Next Wave) 。
三、美国国家安全局的“虚实学”研究
2014年7月,美国国家安全局(NSA) 发起一项“安全的科学”(Science of Security,简称SOS) 计划,并持续地拓展研究和应用。且在过程中将开发的技术转移给开源(OSS) 社团。这是NSA设立“虚实学”领域研究工作的起步。 NSA探索了各种方法,包括:利用机器学习和人工智能技术检测媒体、社交网络、图像中的虚假行为以及来源的真伪,讨论构建强大的分类分析器以对抗网络攻击,研究有针对性的防御和出其不意的网络入侵等。 可见,“虚实学”不仅是基础性和前沿性的跨学科研究领域,而且具有现实性的实际需求,既是网信空间的攻(生成)与防(对抗)的特性转移,也是网信安全的属性转变。而网络信息空间的攻与防表现为非常规性(非杀伤性)状态,不仅边界、范围、路径模糊不清,且相互关联、合成衍生、动态演变,赋予了“诡道”(去伪存真+出其不意)新内容,有了更深层次、更复杂和更加不确定的内涵。 “虚实学”所面对的是数据和信息(及情报),主要来源于两个方面:1)公开(泄露),2)入侵(窃取)。 这就是说,在甄别虚假信息和错误信息的同时,必须加强对“安全数据”的识别、防护和保障。 运筹,一般是指对资源进行统筹安排,为决策者进行决策提供最优解决方案,以达到最有效的管理。信息环境中的运筹安全,是指对安全数据的风险管理能力,以及相应的责任。 2012年1月4日,美国参谋长联席会议发布修正后的教令,对“运筹安全”(Operations Security,简称OPSEC) 定义: ● “运筹安全”的目的,是避免或减少敌方获取我方关键信息的漏洞; ● “运筹安全”是一个迭代过程,以鉴别并采取措施保护敏感信息,包括: ● 在“运筹安全”教令的第一章(总则)开篇,引用了《孙子兵法》“虚实篇”如下内容: “我专为一,敌分为十,是以十攻其一也,则我众而敌寡。”意思是,我方集中兵力对付分散的敌人,就可形成以十倍之众去打击敌人一部分的优势。 If I am able to determine the enemy’s dispositions at same time I conceal my own, then I can concentrate and he must divide. 如果我们能在确定敌人部署的同时隐藏自己的部署,我们就能集中兵力分割敌人。 在网信空间,“我众而敌寡”指的是上述“信息优势”和“决策优势”。必须保障“安全数据”(我专为一),形成信息非对称的态势,即“信息优势”(敌分为十),进而达到“决策优势”。显然,这也是一个全局性和系统性的指挥和控制(以及治理和监管)“供应链”安全问题,以及形成对安全数据的“运筹安全”,“以十攻其一”,以十分的安全优势对付一分的危险或危害。 涉及与国家安全直接相关的核心、敏感、关键的重要数据,统称为“安全数据”。 尽管安全数据在国家部门和行业以及企业的业务运营中起着重要的作用,但却常常被忽视或混淆。原因是,缺乏对安全数据的认识,以至于往往把安全数据等同于或从属于信息技术(IT) 的应用。 安全数据和信息不是作为被摆设的“奢侈品”(Luxury Item) 。目前,对安全数据风险管理的问题,已超越了单纯的技术问题,且这个挑战普遍存在。 ● 安全数据,是指涉及与国家安全直接相关的核心、敏感、关键的重要数据,必须在可控范围内,指定类级规范使用,并落实实时监管、常态评估和适时调整。 ● 数据安全,是指在数据(包括商业秘密和个人隐私)的整个生命周期中的保密性、一致性和可用性,以及免于未经授权访问和破坏的保护过程。 换句话说,“安全数据”是国家网络信息安全的核心基础,“数据安全”是国家网络信息安全的生态环境;识别和确保安全数据的核心基础,才能健康发展数据安全的生态环境。 事实上,“安全数据”是在数据安全的过程中,逐渐地(被认识到)凸显其重要性和脆弱性,并上升为网络安全(暨国家安全)的主要和突出矛盾(攻与防,生成与对抗)。 2010年以来,美国自上而下地持续修正了对“安全数据”的战略和政策,包括:“受控非涉密信息”,“数据作为战略资产”,“以数据为中心”,“数据作为武器系统”等。不论是“虚实学”还是“运筹安全”,都是驱动“安全数据”系统性保障的具体措施,并指挥和指导、拉动与扩展高质量的“数据安全”(技术和过程)。 而在近10年中,俄罗斯对不应依赖国外的网信领域,进行了逐步替换自主可控的产品和服务,通过多次“断网”测试,使国内与国际的跨境网络数据流量比例,逐渐合理化。 但是,由于概念和认识的滞后,导致了指挥缺位、监管缺失、保障缺乏。我国的“安全数据”普遍存在“重应用,缺监管”的状况:关键信息基础设施安全数据被无类级、无差别地外包托管,不必要地跨境传输和境外存储,致使安全数据大量泄露(且被交易),致使国家网信空间安全的短板和差距日益扩大,风险和威胁日趋严峻。 任何网信安全事件的发生,都不可能是孤立的和独立的。 事件驱动以及问题导向,首先必须运用“叙事分析”(即“讲故事”),以期达到知其然亦知其所以然的“自圆其说”,避免被“就事论事”(或盲从经验、偏见臆断)的表象所误导。鉴于,网信空间是人造的,所存在和产生的问题必须且只能是由人解决,即是知识发现和知识更新以及知识创造。 一个基于叙事分析(Narrative Analysis) 的实践案例如下: 综上,在前所未有的斗争中,强化统一指挥,加强对国家安全数据的风险意识和风险管理,以及高质量地提升国家网络攻防一体化的应战、实战能力,至关重要、迫在眉睫! (作者:邱实,网络信息安全技术专家;牟承晋,昆仑策研究院高级研究员、中国移动通信联合会国际战略研究中心主任、浙江省北斗未来网际网络空间研究院首席研究员。来源:昆仑策网 【原创】 ,作者授权发布)
【昆仑策研究院】作为综合性战略研究和咨询服务机构,遵循国家宪法和法律,秉持对国家、对社会、对客户负责,讲真话、讲实话的信条,追崇研究价值的客观性、公正性,旨在聚贤才、集民智、析实情、献明策,为实现中华民族伟大复兴的“中国梦”而奋斗。 欢迎您积极参与和投稿。
电子邮箱: [email protected]
更多文章请看《昆仑策网》,网址:
http://www.kunlunce.cn
http://www.kunlunce.net
相关文章