安全三角形

　　安全是一个非常广泛的概念，受到广泛的关注，受到中央的高度重视。过去人们讲安全，主要指生命、财产的安全。进入信息时代，又加了一条：信息安全。究竟谁需要保证生命、财产和信息安全呢？国家需要保证生命、财产和信息安全，企业需要，个人也需要。这就形成了安全三角形，如图所示。

　　
　　 国家安全，无论如何是第一位的。当国家受到外国侵略，国家民族存亡的关键时刻，人民生命、财产的损失，将无法估量。现在我国有7千多亿美元的美国国债，这是国际财产的安全问题。贪官污吏大量侵吞国家财富，也是国家财产安全的大问题。我国的国土资源完全归国家所有，任何外国或国内个人对国土资源的威胁都是国家安全的问题。在信息方面，50年代“五反”运动时，就有“反盗窃国家经济情报”一项。关于“诺曼底登陆”的一个假情报，让希特勒败下阵来。国民党高官身边的地下共产党的情报是我们解放战争胜利的重要因素。到今天，外部盗窃我国国防机密、从内部泄露国家机密的事件，还是不断发生。另一方面，通过网络发布动摇共产党执政地位的有害信息，也危及国家安全。
　　企业也有安全问题。山西等地煤矿事故频发，导致生命、财产的重大损失。2008年10月20日起微软声称，实行新的盗版验证通知，有媒体披露微软在华盗版用户高达数千万。这次行动当时被网友称为“史上最严厉的在华反盗版”行动。“不选用我的正版，我就1小时黑屏1次。”这就是所谓的“黑屏事件”。这是微软公司采取的保护它信息安全的措施。不管它对不对，它是为了它的信息安全。效果如何，另当别论。不过，它实际上是流产了。
　　个人的安全问题，也很明显。2009年北京时间6月1日14时，一架从巴西里约热内卢起飞的法航飞机失事，机上228人全部遇难。2009年6月17日至20日，湖北省石首市发生了因酒店厨师非正常死亡而导致数万群众围观、道路被堵塞事件。这是由人身伤亡事件引起。2008年12月某地东城温塘居民袁某的账号，发现少了4.9万元，而银行存折和银行卡一直都在他身边。另一个陌生女子却拿着存折在增城某银行成功将钱取走。2006年4月21日22时，被告人许霆来到广州市天河区黄埔大道某银行的ＡＴＭ取款机取款。取出1000元后，他惊讶地发现银行卡账户里只被扣了1元， 狂喜之下，许霆先后取款 171笔，合计17．5万元。许霆于2008年12月被广州市中院以盗窃罪判处无期徒刑。不管这案件判得对不对，反正这都是个人的安全问题。
　　既然国家、企业、个人都有生命、财产、信息的安全问题，那么就共有9类安全问题。这9类问题之间是相互关联的。国家花大钱、大家最关注的，目前在国内，主要是国家的安全。这当然不错。但是，忽略企业和个人的安全，也是不恰当的。譬如，个人隐私是文明人的精神性人身要素，隐私权不受侵犯是文明人的基本需要，是大多数文明国家的共识。这9类问题之间，是相辅相成、互相促进的，但也有相互矛盾的。2009年5月19日，工信部发表《关于计算机预装绿色上网过滤软件的通知》（工信部软【2009】226号），2009 年7月起新售个人电脑须预装上网过滤软件，即“绿坝-花季护航”的绿色上网软件。目的是防止青少年浏览不良信息。此事在国内外引起热烈讨论，人称“绿坝事件”。这是企图由国家来保个人信息安全。这里的问题是：也许国家是好意，但个人应该有选择的自由。我可以不用你给我提供的方式，来保证我的信息安全。国家要强加给我，也许反而使我觉得不安全。
　　安全的问题很复杂。以上谈的基本上都是社会科学里的事情。那么，技术在这里起什么作用呢？技术起保障作用。煤矿安全监控系统是为了保障煤矿安全，铁路信号系统是为了保障铁路行车安全，银行安全防范系统保障银行安全。这牵涉到很多方面。单就信息安全来说，应该包括计算安全、数据安全、系统安全和网络安全。每一项都有许多详细的技术内容，在这里不想多说。有兴趣的读者，可以去看2006年我在《中国传媒科技》上发表的系列文章。有一点需要补充。数据安全是要使信息免受未授权的泄露、篡改和毁坏。使信息免受未授权的泄露，就是信息的机密性。使信息免受未授权的篡改就是信息的完整性。为使信息免受未授权的毁坏，就要保证信息的可用性。第二次世界大战中由于盟军破译了希特勒的密码而打了胜仗。那时的信息都是通过电报的报文，是一种字符文件。通过密码加密，来保证信息安全。其技术称之为密码术。我没把它称为“密码学”，因为密码学完全是数学。而密码术不但要让不该得到信息的人得不到信息，还要让该得到信息的人总能得到信息。这就难了。
　　2008年美国司法部有人把敏感的财政数据通过几幅图像泄露出去。因为图像、视频文件里有许多无关位，利用它们就可以传送机密信息。例如，一颗树的图像里面隐藏了一幅猫的图像。美国国防部对此很重视，称之为 steganography，台湾把它翻译成“资讯隐藏”技术。这就不是密码术能解决的问题了。
　　应该注意，技术问题的解决总不是绝对的，总有破译的可能。他今天未能破译，并不代表他明天仍然不能破译。所以，守卫者和攻击者的加密和破译技术都在前进，恰恰是要在这种不断前进的过程中，来保证我们的信息安全。所谓“道高一尺，魔高一丈。”最近美国军方宣布，正式成立新“网络战司令部”，进行数字战争，防护针对美军计算机网络的安全威胁。可见网络安全对国家安全多么重要。然而，我们既然不能给出“安全”的一个形式定义，我们也就无法给出保证安全问题的一般的最后的彻底的解。我们应该在保证安全的道路上不断前进。我们应该欣赏的是这个过程，而不是最终的结果。