【 摘 要 】 从基本概念、适用范围、业务内涵、工作特点等多个层面、多个维度分析探讨了信息安全与保密科技之间存在的同源异流、分化交错、包含覆盖、分叉独立等复杂关系,分析了保密科技发展趋势,提出了保密科技可为信息安全拓展新的发展方向和产业空间的观点,并提出保密科技产品研发三大门栏条件。
【 关键词 】 信息安全;秘密;国家秘密;保密;保密科技
1 引言
信息技术的迅猛发展,信息化的全面推进,在推动人类社会迈向信息社会、人类活动转向现代化、使人类社会的政治、经济、军事、科技、文化等各方面发生深刻变革的同时,也给人类社会带来了严峻的信息安全问题。信息安全问题已经成为事关国家安全的重大问题。此外,在涉及国家秘密的各行业领域,给国家秘密的保护也带来很多新的风险和挑战。因此,既需要运用信息安全技术来保护全社会的信息安全,更需要运用保密科技来保护国家秘密的安全。
由于对信息安全与保密科技认知上、理念上的混淆和偏差,往往使得人们将“信息安全”与“保密”混为一谈,具体表现在几个方面。
(1)由于信息技术的广泛运用,计算机及其网络的广泛使用,计算机、移动存储介质、网络、现代信息化办公设备的使用成为失泄密事件的高发区域,很多失泄密事件的发生几乎均与信息技术的应用直接相关,因此许多人认为“保密”就是“信息安全”,做好了“信息安全”就可做好“保密工作”。(2)在“信息安全”概念的“安全属性”(比如完整性、保密性、可用性、可控性、不可抵赖性等)中,已经含有“保密性”,因此,搞好“信息安全”,自然而然就可解决“保密”的问题。WwW.11665.COM(3)试图完全用“信息安全”的理论、理念、方法、技术、产品来解决“保密”问题。
实际上,“信息安全”与“保密”并不完全是一码事,两者之间存在一种同源异流、同根异叶、相互依存、紧密缠绕、既有重叠又有分叉的复杂关系。理清这种关系,更新一些认知理念,对信息安全技术、保密科技的发展,对信息安全产业空间的拓展,尤其是对保护国家秘密,有着重要意义。本文试图抛砖引玉,从多种维度、多个层面梳理“信息安全”与“保密科技”之间的关系,以期引起人们思维在该方向的延伸,为拓展信息安全产业空间、促进保密科技自觉发展提供认知上的借鉴。
2 基本概念辨析
2.1 “信息安全”基本概念
2.1.1基本定义
对于信息安全,学界、业界曾提出多种定义,欧共体、bs7799 cia学说、国家标准gb/t 9387.2—1995(idt iso 7498-2—1989)《信息处理系统 开放系统互连 基本参考模型第二部分: 安全体系结构》等均曾对其作出定义。有的定义强调的是一种在安全保障活动中能抵御风险、确保安全属性的能力;有的定义强调的是信息内容的安全属性,或者说是所处的一种状态;有的定义强调的是一种多维多构件、多种行为的综合体。视角各异,各有侧重。
狭义的信息安全是指信息内容的机密性、完整性和不可否认性,主要研究加密和认证等信息内容保护算法以及相关的防护技术。狭义信息安全还可包括与意识形态相关的内容安全。
广义的信息安全通常指信息系统本身的安全以及信息在采集、加工、传递、存储和应用等过程中的机密性、完整性、可用性、可控性和不可否认性以及相关意识形态的内容安全。
2.1.2内涵及属性
信息安全包括计算机信息系统安全和信息内容安全两个层面。每个层面的安全可用若干安全属性来表述。信息系统的安全属性包括信息系统的安全性、可用性、可靠性等。信息内容的安全属性包括信息的保密性、完整性、可用性、可控性、抗抵赖性等。
上述“信息安全”专指与计算机信息系统直接相关的安全保护活动的总和。
2.2 “秘密”基本概念
一般意义上的“秘密”,是指个人或集团为保护自身的安全和利益,在一定的时间内需要加以隐蔽、保护、限制,只限一定范围人员知悉而不让外界知悉的事项的总称。“秘密”具有三大特点(或者说构成秘密的基本要素):一是利益相关性;二是隐蔽性;三是时空限定性。
人类任何社会活动中的所有事项均有可能成为“秘密”。所以“秘密”内涵极其广泛,“秘密”的类型也多种多样,比如国家秘密、军事秘密、工作秘密、商业秘密、个人隐私等。
2.3 “国家秘密”基本概念
国家秘密
是一种特殊类型的秘密。《中华人民共和国保守国家秘密法》中的法定定义:国家秘密是关系国家的安全利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。
国家秘密作为一种特殊类型的“秘密”,理所当然具备一般意义上“秘密”的三大特点。构成国家秘密的三大要素(实质要素、程序要素、时空要素)中,“实质要素”和“时空要素”与一般意义上的“秘密”基本相同。但除此之外,国家秘密还具有区别于一般意义上“秘密”的六大独有特性:(1)利益相关特殊重要性;(2)涵盖范围宽泛性;(3)失泄漏途径、方式的多样性和刺探主体的强力性;(4)确立程序法定性;(5)保密工作方式的体系化和严密性;(6)保护要求、保护方法的严格性和强制性。
特点(1)、(2)、(3)决定了特点(4)、(5)、(6),从而决定了为保护国家秘密必须建立庞大健全的工作体系,必须以健全的法律法规和标准规范、管理规章和科学技术为支撑基础,必须严格依法行事、强制行事,不能随心而为、随意而为。
2.4 “保密”基本概念
广义的“保密”,简而言之就是指对秘密的保护,使“秘密”存在时间周期内始终处于“隐秘”和不为外人所知状态的所有活动的总和。
为了不陷入“泛密论”的研究沼地,本文所说“保密”,仅限于“国家秘密”的保护问题,专指国家秘密的保护及相关活动的总和。法定意义上的“保密”,是一种国家意志和国家行为,应严格区别于通常所说的保护商业秘密、保守个人隐私的行为。 “国家秘密”和“保密”的概念有着强烈的政治色彩和明确的政治属性(即具有很强的国家利益相关性和国家保密体制相关性),在保护要求、保护方法上有着明确的严格性和强制性。以“保守国家秘密”为目的的“保密”,与信息安全属性中的“保密性”所指保密,是有很大差异的,不能等同而视。所以,信息安全不能完全解决“保密”的问题;保护国家秘密,需要专门的保密科技。
2.5 “保密科技”基本概念
“保密科技”是指用于保护国家秘密的科学与技术的总称,是用于保护国家秘密所需的基本理论、学术体系、原理、方法、技术、产品以及相关的所有活动及其内容的总和。既可以理解为一门专门学问、一种知识体系,一种研究活动和研究成果的应用活动,同时也是一个研究、应用的过程。鉴于国家秘密的宽泛性、特殊性,保护国家秘密必然是一种十分复杂、艰难的活动,必须用保密科技做支撑。当然,保密科技的基本思想、基本原理可应用于其它类型秘密的保护。
保密科技的核心任务是深入研究保密基本理论、建立先进保密理念、研究先进保密技术,充分运用现代科学理论、技术,为构建我国特色的现代保密工作体系、为保护国家秘密提供先进、科学、适用的体系化保密科技理论、理念、技术及相关产品,将国家和军队保密相关要求以及单位保密管理规章的要求(包括分级控制要求、知悉范围控制要求等)落到实处,即采用技术手段确保国家秘密能够依法产生、使用、保护和管理,不被泄露、不被窃取、不被扩大知悉范围。
3 信息安全与保密科技之间的复杂关系
从上述基本概念的定义及其内在含义的辨析中,我们可以分析出信息安全与保密科技之间存在着比较复杂的关系。
3.1 信息安全技术与保密科技之间的同源异流关系
在与计算机信息系统直接相关的技术领域,信息安全与保密科技采用的底层技术基础是完全相同的,均基于二进制“0”、“1”的数字化逻辑处理技术,其底层技术原理和技术途径、实现方式和方法基本相同;但在被保护对象、防护对象、防护理念、防护目的目标要求、应用层功能架构、安全保密机理等诸多方面,具有比较大的差异。
从基本概念中安全属性的角度考量,信息安全五大属性中的“保密性”,是针对一般意义上的“秘密”的保护而言的,可涵盖和适合“秘密”三大特点的保护,属于等级保护的范畴,具有一定的普适性,但也具有一定程度上的随意性。
鉴于“国家秘密”的特殊性,信息安全中的“保密性”不能完全涵盖和适合“国家秘密”另外6大特点的保护活动,只能作为“保密”的基线和必要条件,而不能作为“保密”的充分条件。在实际工作中,通常是“要求安全的,不一定是要求保密的;而要求的保密的,则首先必须是安全的”。“保密”包含“安全”,且较“安全”要求更为严格苛刻。
保密科技中与计算机信息系统直接相关的技术领域——信息保密技术(比如电子密级标识技术、涉密属性区分技术、分级控制技术等),是从信息安全技术中分化派生出来的一个新分支,由于其特殊重要性和产业市场的特殊性,将成为信息安全技术的重要发展方向之一。
3.2 信息安全与保密科技之间的适用领域关系
3.2.1适用范围之间的分化交错、重叠覆盖关系
保密科技与信息安全的适用范围(作用域)既有重叠交织,更有差异和分叉。两者之间这种纠结关系,如图1所示。
从图1可看出,信息安全技术的适用范围,从行业领域来讲,适用于所有行业/业务领域(即不管是否涉及国家秘密,所有行业均适用),具有普适性;从应用领域(或技术领域)来讲,主要集中在直接涉及计算机信息系统的应用/技术领域,并且同时适用于涉及国家秘密的计算机信息系统和不涉及国家秘密的计算机信息系统。
从行业/业务领域来讲,保密科技主要适用于涉密行业/业务领域(即涉及国家秘密的党政机关、国防军工、军队以及其它相关的行业/业务领域),并不完全适用于所有行业领域,普适性稍弱于信息安全。
从应用/技术领域来讲,保密科技既适用于与计算机信息系统直接相关的应用/技术领域的信息安全与信息保密,也适用于不与计算机信息系统直接相关的应用/技术领域的安全与保密。其适用范围较信息安全技术更宽。
在直接涉及计算机信息系统的应用/技术领域,保密科技同时适用于涉密行业领域的涉密信息系统和非密信息系统;在这块应用/技术领域,与信息安全完全重叠和交织,但还存在特殊之处。保密科技涉及的涉密信息系统,属于信息安全等级保护制度中“重要信息系统”中的专门一种特殊、专门类型的信息系统,实行分级保护;保密科技涉及的非密信息系统,虽属信息安全等级保护范围,但较非密行业/业务领域的非密信息系统,其防护和管控又有一些特殊的要求。
当然,保密科技中与计算机信息系统直接相关的信息保密技术,是从信息安全技术中派生、分化出来的一个新的学术、技术分支;与信息安全技术相比,虽然其底层技术支撑基础相同,但在很多层面有着很大不同的丰富内涵。
从图1所示两者关系来看,在涉密行业/业务领域的计算机信息系统相关应用/技术领域,保密科技已经完全涵盖信息安全技术的所有内涵,并且具有更丰富、更特殊、更严格的内容。所以,完全可以将信息安全技术纳入保密科技范畴。
3.2.2业务内涵之间的分叉独立关系
在涉密领域中与计算机信息系统相关的技术/应用领域,保密科技既要采用信息安全技术解决信息安全问题,更需要采用信息保密技术解决信息保密问题,包括保密管理、保密检查、分级控制、知悉范围控制等等。
在涉密领域中不与计算机信息系统直接相关的技术/应用领域,保密科技需要解决保密管理、防窃听、防窃视、防窃照、防窃录、防窃取、防窃收、防窃复制、各类涉密载体的防护与管控以及维修与销毁、涉密场所、涉密活动、涉密人员的防护与管控及保密检测与管理等问题。在这一块,基本与信息安全技术不直接相关。 保密科技的研究和发展,需要创造性地集成运用保密科学理论与技术、计算机软硬件技术及网络技术、通信技术、信息安全技术、微电子技术、自动控制技术、实体安防技术、物联网技术、rfid技术、声光磁电纸质载体处理技术以及相关人文科学领域的诸多知识。可见,保密科技的内涵实际上涵盖了一个非常庞杂的科学技术群。
3.3 信息安全与保密科技之间的差异关系
信息安全与保密科技之间在业务管理、工作方法上存在诸多差异,主要体现在几个方面:(1)系统保护等级的划分方式;(2)系统定级方法;(3)适用的管理法规标准;(4)系统保护要求;(5)支撑作用;(6)涉及的技术领域;(7)主管机关。
4 保密科技发展方向趋势
在中央、国家、军队对保密工作极端重视的强大力量推动下,保密科技蓬勃发展,保密管理人员认识、水平、能力不断提升,对保密科技产品的要求,正从在形式上合规、解决浅层次问题转变到实质上符合要求、解决深层次问题,向综合性、体系化、全程化、可持续发展方向发展。保密科技的研究与发展、现行信息安全技术与产品的升级换代是必然趋势。
4.1 保密科技相关技术点位发展趋势
在“新技术背景下”和
信息化条件下”,与窃密方进行“高技术对抗,高智商较量”,最有效的武器之一就是保密科技;运用先进保密科技装备消除失泄密隐患、堵塞失泄密漏洞,才是最有效的方式。因此,提升保密能力,保密科技的研究与发展必不可少;研究和把握保密科技发展趋势,对保密科技的研究与发展有着重要的引领意义。
现代保密工作的重点和难点问题是计算机信息系统以及与之紧密相关的技术点位的安全防护与保密管控。所以,计算机信息系统中保密科技的发展趋势更需要准确把握。今后若干年,保密科技领域的热点发展方向将体现在几个方面:(1)保密学基本理论、保密科技基本理论的研究与发展;(2)电子密级标识技术群、涉密与非密设备区分技术的研究;(3)“保密管理现代化、安全控制自动化”技术的研究;(4)综合性、集成化、一体化保密监管控制技术及其产品研发;(5)分级控制技术和知悉范围控制技术的研究及其应用;(6)解决当前热点难点问题的保密技术与产品研发;(7)相关技术与产品的评价方法研究;(8)深层次、体系化解决方案;(9)新技术在保密领域的应用研究;(10)保密科技产业的发展。
4.2 保密科技市场对研发团队的特殊要求——三大门栏条件
当前国内外信息安全保密领域的难点热点重点问题,涉及保密管理、技术、法律、法规、标准、用户以及保密工作中的一系列实际困难和问题,涉及人员多,涉及面广,涉及环节和场景多,泄密隐患多样而隐蔽,问题复杂,政策性强,是一个系统工程,难度极大。要想提出完善的保密科技解决方案,设计、开发出能真正实现全程精准管控、确保安全保密的产品,研发团队必须同时具备三个条件。
(1)需求分析门栏:在安全保密管理第一线长期工作,全面深入了解保密工作中所面临的实际情况和实际需求,且具备保密科学家思维特质和创新性体系化设计能力,思维严密,逻辑严谨,善于全面严谨的风险分析和需求分析,不但考虑现实需求,更要充分挖掘与其相关的潜在需求、周边需求以及关联需求,精于分析整理,能归纳提炼出安全保密防护和管控的普适性需求。
(2)技术设计遵标门栏:对国家、军队相关法律法规、标准规范、单位的安全保密管理规章制度的相关要求非常熟悉且能融会贯通其精神实质,充分运用现代保密科技基本理论和保密原理,能研究和设计出在精神实质层面符合保密科学原理和保密标准的保密技术和产品。
(3)技术研发门栏:了解和掌握国内外相关技术、产品和市场情况及其发展趋势,对相关技术非常熟悉,善于技术创新和体系化产品设计,能在风险分析、需求分析、技术体系和保密机理设计、产品形态及其应用方式设计、技术途径及其实现方式等环节真正做到“全面排查泄密隐患,着力研究根治之道”,在产品研发中完整准确实现设计思想。
5 结束语
泄密与反窃密斗争形势的日益严峻,国家、军队对保密工作的日益加强,将有力促进保密科技领域相关研究和技术与产品的繁荣发展。国家需要应对保密领域面临的严峻形势和挑战,国家保密能力需要不断提升,是保密科技市场发展的原动力。保密科技市场是一个比较特殊的市场,通常不为公众所熟知。与信息安全市场相比,具有完全不同的特点。
“保守国家秘密”特殊安全保密需求的强力牵引,必将引领和产生“保密”所需特殊的防护理念、安全保密机理、技术路线、实现方式、产品形态和应用模式。所以保密科技领域必然有着巨大的拓展创新空间、技术研发空间,保密科技的发展,必将为信息安全拓展一个巨大的市场机会和产业发展空间。
作者简介:
汤放鸣(1958-),男,毕业于国防科技大学,大学,学士;中国计算机学会信息保密专委会委员,国家保密科技测评中心中物院分中心总师,中物院信息化专家委委员,中物院信息安全技术中心总师,信息安全保密领域知名专家、学者;主持/参加it工程项目、研究课题近50项,公开发表论文20多篇,获部委级科技进步奖4次,获得/申报中国专利6项。
长期从事信息安全保密管理与技术研究及其组织管理工作,熟悉国家、军队信息安全保密相关法规和标准,了解保密工作领域实际需求和研究发展动态,擅长保密技术体系规划设计,主持、组织多项保密专项课题,前瞻性提出一系列信息安全、保密科技、保密学新理念、新观点,现主要从事保密学、保密科技基本理论、身份认证理论体
系学术研究以及携带外出移动存储介质和涉密笔记本电脑综合防护与保密管控技术、涉密应用系统安全保密管理研究等。
