前言:
数字化时代,云计算、物联网、人工智能、区块链以及未来新的技术驱动下创新成果,正在加速打破并重置原有定位和边界,企业、个人以及他们的数据,作为重要生产资料,都对商业和社会产生至关重要的作用。在这重新构造的数字世界里,因为数字快速进化的特性,网络空间将面临各领域的机遇和挑战,安全成为所有挑战中最重要的一环。
在最近几年,国家也接连出台几部重要的法律,例如网络安全法,是我国第一部全面规范网络空间安全管理方面问题的基础性法律;密码法,其颁布实施将极大提升密码工作的科学化、规范化、法治化水平;以及2004年实施的电子签名法和刚刚生效的数据安全法等,这些法律是我们安全领域的法律重器,也是让网络空间安全在法治轨道上健康运行的重要保障。
概述:
中心化生态,天生带着不信任。因为中心化的情况下,可以很自然的推导出来,中心制定的生态的规则是可能会变化的。在不信任市场中,中心方控制信息流动,导致信息不对称,柠檬市场极大可能形成,这就是对生态非常大的破坏。
以区块链案例为例,通过建立开放和标准的协议,良好的价值传递和激励机制,其底层使用密码技术构造分布式存储和共识机制,打造开放共享,安全可控的生态环境,其整个数据、交易、计算都是安全可信的,整个生态发展迅速,并且越来越壮大。
从区块链的实际案例可以看出,要想建立生态的开放的、可信的、安全可控的生态基础设施,密码技术是现在的最佳实现方式。
网络空间:
网络空间是指由计算机创建的虚拟信息空间,连接各种信息技术和网络主体的网络。对于网络空间生态来说,最基础的模型描述为主体(人)、生产资料(数据)、工具(系统),以及和其生产关系(拥有和使用的关系);
首先,不管是人、还是设备和系统,他们是网络使用的主体,其身份真实性是核心要素;其次,计算可信是网络空间安全的基础要素,其代表的是工具的可信性;其次,数据安全是网络空间安全的核心内涵,其代表数据的完整性、机密性和可用性;其次,系统安全是网络空间安全的保障,其代表的是系统的入侵容忍和零信任防护的程度;其次,生产关系是怎么保证数据的拥有权和使用权,其代表的是数据的真实性;整个体系构成了是保证网络空间的全面安全基础设施。
生态:
生态系统的定义是“一定区域中共同栖居着的所有生物与其环境之间由于不断进行物质循环和能量流动过程而形成的统一体”。作为一个生态系统,有三大机制。以自然生态系统为例,它之所以能够数亿年生生不息进化至今,得益于它的三大机制。
循环机制-自然界中的植物、动物和微生物之间相互连接,维持物质和能量的循环,让生态系统生生不息。
和谐机制-生物之间即相互依赖又相互制约,使得任何一个物种都不能占据垄断地位,以防过于强大造成繁衍环境的恶化,从而打破生态平衡。
进化机制-物竞天择、优胜劣汰的进化机制,保证了生态系统能朝着最理想的顶级群落的方向演化,顶级群落可以理解为最理想化的状态。
理解了自然生态系统的基本规律,我们对应的来看网络空间生态,有全新的视角。怎么保证生态的健康有序发展,有如下需要考虑的:
生态的基础:
存在一致认可协议和规范,构建生态服务的扩展性,让不同角色的参与者都可以在生态中生存。生态角色包括各种角色,如提供方、消费方、平台方、监管方等,这些角色可以灵活转换和派生;生产资料可以在各个角色中流动,构建良好的循环机制。
生态的平衡:
生态的有序、多赢的规则。需要配备相应地一套有序的的运转和激励规则,保证生态的正向滚动,同时让各方参与者在遵守规则的前提下可以获得相应的收益的和谐机制。
生态的多样性:
多样化的主体、工具和生产资料,促生多样化的生产力和生产关系,从而产生优胜劣汰的进化机制。
总的来说,生态的运转需要多样化角色一同参与,在同一套规则与功能下,可以自由地获取信息与收益,不同角色产生的信息可以被另外的角色消耗、转化成相应的收益。
开放是生态的必要条件:
自然生态属于开放系统,需要与外界进行物质能量交换。网络空间生态也一样,一定是具有“开放”的属性的。开放意味着接纳、多元化和共赢,一个生态在发展过程中不断吸收外部优质的能量,与其建立关系,不仅扩大了自身的包容性,也维护了生态的护城河,形成越来越大的生态。生态内的业务与服务,不全是唯一方提供,应该是有第三方的参与,而且第三方服务商的数量与质量是决定生态繁荣程度的重要指标。
(1)通用身份是“开放”的要素
生态的主要参与是人和组织,每个参与者需要其身份,这样才能建立物理世界和数字世界的对应,才能实现价值和数据的转移。
(2)API是“开放”的工具
在不影响生态稳定性的前提下,生态基础设施提供的API是决定其开放程度的主要因素,既直接决定了第三方所提供服务的范围与形态,间接影响产品生态繁荣程度的重要因素。
(3)数据受控使用是“开放”的基础
数据的非授权使用和滥用问题,最终会损害到生态中参与的主体,反而会逐渐让大家都关闭自己的能力和数据,劣币驱逐良币,限制创新的可能性,让生态走向封闭,所以,数据必须受控使用。
综上所述,网络空间生态可以近似理解为一个公开标准和协议的“社会”,各主体遵守协议,构造和使用基础设施,其包含业务计算和数据使用能力的API,充分赋能第三方,为用户提供更优质产品体验。这是一种近乎完美的极致的形态,不再是满足一方经营的需求,更能够影响与帮助关联企业,为用户服务。
安全可信是开放的前提条件
数据对当今的经济、社会发展和科技创新具有重大价值,但是围绕着数据的性质、权属和利用规则的缺失构成了数字经济发展的最大障碍。为了促进数据应用,加强数据治理,更好发挥作为未来数据的功能和作用,需要合理合法地使用数据,以及发掘潜在商机,创新商业模式。所以,主体和数据的安全可信就非常重要,主要体现在:
身份的可信
身份的可信包括实体物理身份转化为数字身份的物理身份核验系统、数字身份签发系统两个内容。
规则的可信
数字世界的规则就是计算,需要保证在任何时候,相同输入都有按照预期的相同的输出。
数据的安全
数据安全包括完整性、机密性、真实性;完整性是确保数据不能被恶意篡改,保障其作为凭据的可信性;机密性是保护数据信息不被非授权用户非法获取;真实性是对信息的关键行为进行记录,生成抗抵赖的证据;
数据的受控流转和使用
通常,我们都通过系统来保证数据的授权使用,既然是开放环境,数据不能一直保留在受控区域。数据出来后,需要防止数据被截留和倒卖,限制数据信息的流转范围,避免非法用户的恶意访问。
隐私
数据在开放环境中,需要保护数据之间的关联关系不被恶意获得和分析,仅靠数据加密难以完全阻挡隐私信息泄露风险,需要良好的数据隐私信息保护的方法。
密码技术是安全可信的最佳实现路径:
当前解决安全可信的技术手段有很多种,但是最为安全、最为有效、最为经济、最为可靠的还是现代密码技术手段,这既是由网络的内在安全要求所决定,也是由密码技术与生俱来的基本安全属性所决定的。
网络主体的身份真实性
基于PKI体系的数字证书认证技术。数字证书认证技术的核心是公钥密码技术,按照公钥密码基础设施(PKI)的技术架构,可以通过为私钥持有者签发公钥密码数字证书来鉴别网络实体的身份,进而实现身份、数据、行为的可信。
规则的确定性
可以把执行逻辑写成代码,通过密码保证的可信执行环境或者不可篡改代码存储和共识等方式,可以实现规则的公开透明性,保证规则的确定性。
数据的完整性、机密性、真实性
完整性:数据完整性由数据包含的数字签名实现。数据的创建和使用过程由主体对数据信息进行数字签名;
机密性:数据加密采用数字信封技术实现。在数据创建时加密,在查看数据时解密。数字信封充分利用了公钥密码机制在密钥管理方面的灵活性,实现应用层灵活的数字加密构成。
真实性:基于公钥密码,通过数据涉及的多个主体的签名确保了数据生产和流转的真实性。将主体和数据绑定,确保数据确实来自于这个主体,防止有人假冒别人生产数据。
数据受限流转和使用
在中心化系统的时候,我们都使用访问控制的方式来解决数据的使用安全性。但是,在开放环境中,为了既支持数据保护,又支持数据的使用,通过隐私计算的设施,可以做到最大限度保护数据而支持数据的计算和分析,常见技术有同态密码、多方计算等。
隐私
为保护个人和企业的隐私,混淆和切断关联分析线索,需要对个人和企业的身份信息隐私化处理,并且动态化。通过对称加密密码技术,实现可还原的动态隐私身份信息。也可以通过DID技术,实现身份id和证书的对应关系。
现实例子
以电子发票为例子,对于单一数据,除了支付数据外,它是影响力最大的数据了。由于很强的国家背书,发票生态不仅仅在商事、财务和税务业务上,还用在保险、保修、证据、保理背书、信用分析、供应链金融等各种场景。生态虽然发展的很迅速,但是发展的不是很健康,实际上,出现了大量企业和个人的发票数据泄漏,数据被第三方截流和未授权使用的情况,导致个人隐私滥用,企业商业机密泄漏,甚至威胁到国家安全。急需要使用技术和管理手段,在安全可控的情况下,继续支撑发票生态的健康发展。
