征文 | 顾伟:网络安全“值钱”吗?
顾伟
信息安全官
安进生物技术
目前担任世界500强生物制药公司信息安全官,负责公司日本及亚太地区所有业务部门相关联的信息安全、风险管理和合规隐私工作。曾参入亚太各国家和地区的隐私法汉化工作,包括香港、台湾、日本、澳大利亚、新加坡等,并于2018年入选IAPP亚太咨询董事会成员。
前言
笔者深耕网络安全行业说长不长,说短不短,也接近快15年了。网络安全值钱吗,或者是网络安全所谓的价值在哪里,这个问题其实一直萦绕在我心头。通过一系列摸索和整合,我设想了一个网络安全的价值层次模型。
首先,我重新来描述一下网络安全的概念和价值的定义,以及两者结合所产生的价值关系,也就是此文后面将要来讨论的价值层次模型。
网络安全按照我的理解,更应该被叫做网络空间安全,网络空间安全的英文名字是Cyberspace Security。早在1982年,加拿大作家威廉·吉布森在其短篇科幻小说《燃烧的铬》中创造了Cyberspace一词,意指由计算机创建的虚拟信息空间。
Cyberspace 在这里强调电脑爱好者在游戏机前体验到交感幻觉,体现了 Cyberspace 不仅是信息的简单聚合体,也包含了信息对人类思想认知的影响。此后,随着信息技术的快速发展和互联网的广泛应用,Cyberspace的概念不断丰富和演化。
2008 年,美国第54号总统令对Cyberspace 进行了定义:
Cyberspace 是信息环境中的一个整体域,它由独立且互相依存的信息基础设施和网络组成。包括互联网、电信网、计算机系统、嵌入式处理器和控制器系统。除了美国之外,还有许多国家也对 Cyberspace 进行了定义和解释,但与美国的说法大同小异。通常把 Cyberspace 翻译成网络空间。 因此,我们此处认知的网络安全,更准确的来说,应该称为网络空间安全。
而价值,在经济学中,被定义为商品的一个重要性质,它代表该商品在交换中能够交换得到其他商品的多少,价值通常通过货币来衡量,成为价格。这种观点中的价值,其实是交换价值的表现。而古典经济学则认为价值和价格并不等同。按照马克思主义政治经济学的观点,价值就是凝结在商品中无差别的人类劳动,即商品价值。马克思还将价值分为使用价值(给予商品购买者的价值)和交换价值(使用价值交换的量)。 但是广义上的价值不仅只是映射在经济学范畴,更多的是非经济学,人文,环境,法律,社会等隐性和间接价值。
按照我对马克思哲学方法论的理解。网络安全的价值在此处,便可以总结成三个层次的价值实现和五个维度的价值耦合。
三个层次分别是:现实社会, 现实社会中的人,现实社会关系及人的行为。
而五个维度分别是:
1.网络安全政策和战略
2.网络文化与社会
3.网络安全教育、培训和技能
4.法律和监管框架
5.标准、组织和技术
图1-1 是三个层次的价值展现图
图1-1
此图中,现实社会,现实社会的人和现实社会关系及人的行为都是价值输出的点,从中,我们可以攫取到不同类型的价值。当然价值也需要和五个以下价值维度耦合,从而得到更具体更实际的价值。
见图1-2
图1-2
其中现实社会可以和网络安全政策和战略耦合,产生网络安全国家层面的安全价值,在于政策和战略,网络安全之于国家安全,更是不可或缺的一部分。我们的习总书记就非常强调了这一点,而国家层面的网络安全博弈不仅仅是经济和政治力量,更是不同意识形态的附加能力的一较高下。
其中包含了提供国家级网络安全战略的价值,应对网络安全事件的价值,维持包括健康、安全、安全保障、经济和社会福利在内的重要的社会职能必不可少的资产和系统的价值,审查和更新国家危机管理应用程序、功能协议和标准的价值以及国家利益攸关方之间的数字冗余和冗余通信的价值。
现实社会和网络文化和社会的耦合,产生的是社会和文化的价值。个体、公众、民间和社会层次的参与者之间所存在的国家网络安全文化是以对有助于网络生态系统的成熟度和恢复力的价值观、态度和实践的共同的理解与接受为条件的。其中的价值可以包含–网络安全心态,对互联网的信任和信赖,用户对于线上个人信息保护的理解。
现实社会还可以和标准、组织和技术产生化学反应。为什么这么说? 因为目前就技术信息控制、互联网协议、密码标准、网络安全承诺、审查和认证程序等主题不断展开研究,各国都取得了大量的成果。而这些成果带来的不是新的技术推动生产力,便捷我们的生活,就是加固了我们的需求的可靠性和安全能力。而这些非但不应该被视作常规意义上安全引入的问题,更应该视作未来更要投入研究的价值课题。价值是随着需求而产生,也是催生需求的火种。
人和网络安全、教育、培训与技能的价值耦合可以产生的价值在于络安全教育、培训和意识提升活动以及对这些活动进行开发和提供的能力。具体可以举例,信息安全意识,网络安全教育框架和网络安全专业能力框架。这些的价值也就是以人的交互为原点,提供了更扩大的价值选择面。
其次,人还和法律法规框架产进行耦合,在社会或者我们更为熟悉的企业内部产生了化学反应,催化出不同法律价值。法的价值是指法律满足人类生存和需要的基本性能,即法律对人的有用性。法的价值是以法与人的关系作为基础的,是法对人所具有的意义。而这里的意义在于网络安全引出的法律法规框架,保护我们的基本权益。
比如:通讯安全性法律框架、隐私权、言论自由、网络人权、数据保护、儿童保护、消费者保护、知识产权以及实体和程序性网络犯罪立法。
最后,关系及人的行为也要被法律法规框架所制约,所有人的行为以及价值的体现需要在一个合法的框架执行。
当然,笔者把安全扩大到国家,安全,社会,法律,技术和文化的层面来解释网络安全价值,不是只想高屋建瓴,空中楼阁,只是看多了ROI (return on investment) 和 TCO( Total cost of ownership),定性的经验法,和定量的投资回报估算都不能作为代表网络安全价值的冰山一角。 价值在于扩大,价值在于延展,价值在于信任和认可。而我们要做的是首先信任自己创造的价值,再让别人信任我们所信任的价值。