安全通论第1章信息安全再认识课件.pptx

1、l如今，一提起信息安全保障，业界同行马上想到的，便是所谓的“信息安全六性”，即，真实性、保密性、完整性、可用性、不可抵赖性、可控制性等；但是，坦率地说，这只是低层次的工程思维！l如果“网络空间安全学科”永远都被这“六性”牵着鼻子走的话，那么，今天的“六性”，明天可能就会扩展成“七性”，再后来便是“八性”、“九性”等；相应地，解决这些“性”的方法，也会越来越多，越来越专，越来越散。l于是，网络空间安全学科将被撕裂成越来越细的“碎片”，以至于最终大家都迷失方向，像无头苍蝇一样乱撞，不断消耗着全社会的人力、物力和财力，导致攻防双方共输的局面。因此，若想建立网络空间安全学科的“统一基础理论”，就必须站

2、在更高的角度，重新来认识信息安全。l早在两千多年前，老祖宗的黄帝内经就指出“上医治未病，中医治欲病，下医治已病”。可是，直到如今，全世界的信息安全专家们，都只想到“治已病”；偶尔也有几人在考虑“治欲病”；但几乎没人考虑“治未病”！安全通论想在“治未病”方面，做一点尝试，希望对后来者有用。l虽然本章有点像文科内容，但是，但它其实非常重要，而且，还很难、很新鲜；估计许多信息安全专家，过去都没有认真思考过，甚至没见过本章的部分内容。这也许正是信息安全界摆脱纯工程思维所缺少的关键，因为，若想研究信息安全，首先必须舍得花精力，努力搞清楚，到底什么是安全。l然而至今，包括我自己在内的所谓信息安全专家，严格

3、说来都好像名不符实！准确地说，我们不是“安全”专家，而是“不安全”专家。因为，我们几乎没研究过“安全”，而是在全力以赴研究“不安全”，甚至被“不安全”牵着鼻子走：今天，黑客在东边制造了“不安全”，于是，呼啦一下，大家就奔东边；明天西边“不安全”，哗，西边又枪炮齐鸣。可就是没人理睬“安全”，甚至根本不关心“安全”到底是什么！l对以人身安全保障等为目标的“安全工程学科”来说，本章内容简直就是入门知识，甚至是该专业本科生的必修基础课。1.安全的基本概念及特征2.从哲学的角度看安全3.安全面面观 4.安全系统的耗散结构演化 5.信息安全回头看 根据马斯洛需求层次理论，人类的需求可以像阶梯一样，从低到高

4、按层次分为五种，分别是：生理需求、安全需求、社交需求、尊重需求和自我实现需求。而安全需求又主要包括人身安全、健康保障、资源所有性、财产所有性、道德保障、工作职位保障、家庭安全等。马斯洛还认为，整个有机体其实就是一个追求安全的机制，人的感受器官、效应器官、智能和其他能量等，都主要是用来寻求安全的工具；甚至，还可以把科学和人生观都看成满足安全需要的一部分。书名安全通论的另一个秘密：为啥没叫“信息安全通论”新华字典说：安全，指没危险、不出事故。其中，“安”字是指不受威胁、没有危险，即所谓无危则安；“全”字是指完满、完整、齐备或指没有伤害、无残缺、无损坏、无损失等，可谓无损则全。因此，“安全”通常是指

5、人员免受伤害，财产没有损失，设备未被破坏等状态。韦氏大词典对安全的定义是：没有伤害、损伤或危险，不遭受危害或损害的威胁，免除了危害、伤害或损失的威胁。如果只看权威字典，那么，“安全”的概念就相当清楚了。可是，如果再要以理工科的标准来追问：什么才算“安”，什么才是“全”的话；那么，就很难办了！因为，无论是“安”也好，“全”也罢，它们都是形容词；而理工科领域中，很少（甚至几乎没有）以形容词为研究对象的学科。若不信，你掰指头算算，数学、物理、化学、计算机、光学、电子学等等，哪一门学问的研究对象不是名词或动词！因为，一旦遇到形容词，理工科就没法量化了，当然就更难深入研究了！这也许就是过去信息安全界，刻

6、意回避“安全”的某些模糊内涵的原因吧。但是，如果从入门处就把“安全”割裂成多个概念之并的话，那就根本不可能有统一的安全基础理论了。所以，下面就来认真分析一下安全的理工科本质。安全的定义：安全的定义：安全是一个动态过程或状态，其目标是使人和物不受伤害；安全也是一种理念，即，人和物不受伤害的理想状态；安全还是一种特定的技术状态，即满足一定指标要求的物态，这也是过去信息安全界关注的重点。安全与人密切相关，因此，安全性与人性也不可分离。而人性包括自然属性和社会属性，因此，安全也有其相应的自然属性和社会属性。安全的自然属性包括：安全的自然属性包括：安全是人的生理与心理需要，是由生存欲望决定的自我保护意识

7、，这是安全存在的主动因索；对各种灾难的无奈，促使人类不得不随时关注安全。这虽然是被动因素，但它与前面的主动因素相结合，就决定了“安全是人类的永恒主题”。安全安全的的社会社会属性属性包括：包括：社会安定、有序、进步，始终是全人类追求的目标，而实现这一目标的前提就是安全，这是社会促进安全的正向作用。但是，人类的某些社会活动（如，政治、军事、文化、社交等），可能会直接或间接地破坏安全，这便是社会对安全的逆向作用；安全的安全的社会社会属性属性（续）（续）：特别是信息安全中的所有破坏力量，几乎都来自于人类自己，更准确地说，来自各种黑客行为。所以说，网络空间安全，其实是人（红客）与人（黑客）的对抗。严格来

8、讲，安全的社会属性就是：在安全要素中，“人与人相互关联”的演化规律和过程。本课程只限于从理工科范围内来考虑这种对抗，准确地说：在理工科范围内（不含心理学、社会学、经济学、管理学等），在几乎没有任何限制的前提下（比如，不限设备、环境和人员等），揭示了黑客攻防和安全演化的若干根本规律。这些规律可以适用于网络空间安全的各主要分支。关于黑客心理学和黑客管理学将另行考虑。安全的安全的自然属性与社会自然属性与社会属性属性之间的关系之间的关系：安全的自然属性与社会属性是不可分割的，只能用系统的观点来研究安全各要素间动态的、有机的联系，才能正确把握安全的发展动态及其规律（这句看似平常的话很关键，它甚至决定了本

9、书安全通论的走向；而过去信息安全界的系统论观念，却非常淡薄）。因此，安全的系统属性正是其自然属性和社会属性的耦合点；并且，这种耦合过程，始终会受到一定时期、一定条件的约束；即，人们所能接受的安全标准，也是在不断变化和调整的。安全的基本特征主要有如下七个：安全的基本特征主要有如下七个：（1）必要性和普通性：安全是人类生存的必要前提，而不安全的因素却又是客观存在的，并且还十分普遍。包括网络空间在内，在人类活动的一切领域中，都必须努力减少失误、降低风险，尽量使物趋向于本质安全化，使人能控制和减少灾害，维护人与物、人与人、物与物相互间的协调运转。（提醒：过去网络空间安全界，很少从这种人、物、环境之间的

10、协调作用去考虑问题！）安全的基本特征主要有如下七个：安全的基本特征主要有如下七个：（2）随机性：“安全”描述的是一种状态，带有很大的模糊性、不确定性的状态。“安全状态”具有动态特征，它是随时间而变化的。安全状态的存在和维持时间、地点及其动态平衡的方式都带有随机性。如果安全条件发生变化，人与环境间的关系失调，那么，安全问题就会随时发生。安全的基本特征主要有如下七个：安全的基本特征主要有如下七个：（3）相对性：“安全”与“不安全”的界线，并不是绝对的，或者说，“绝对安全”的状态根本不存在。任何事物都包含着不安全的因素，“安全”只是一个相对概念。在实践中，人们客观上会自觉或不自觉地认可某种安全水平。

11、当实际状况达到该水平时，就认为是安全的；否则，就认为不安全。安全的程度和标准取决于多种因素，包括但不限于：相关人员的生理和心理承受度、科技水平和政治经济状况、伦理道德和安全法学观念、物质和精神文明程度等。安全的基本特征主要有如下七个：安全的基本特征主要有如下七个：（4）局部稳定性：虽然不存在无条件的绝对安全，但有条件的局部安全还是可以达到的。网络空间安全的各种保障措施，就是想要实现并维持这种局部安全。（5）经济性：安全是可以产生经济效益的。一方面，安全可以直接减少损失；另一方面，安全还可以保障系统正常运行，从而间接创造价值。（6）复杂性：安全与否，取决于人与环境间相互关系的协调。人是安全的主体

12、，因此，人的复杂性，自然就导致了安全问题的极大复杂性。此处，人的复杂性至少体现在生物性和社会性两方面，比如，思维、行为、心理和生理等个体复杂性，以及人与人之间的社会复杂性等。（7）社会性：安全与社会的稳定直接相关。一方面，安全问题，特别是严重的安全问题，会成为影响社会安定的重要因素。另一方面，如果不出现安全问题，那么，社会各方都会受益。从安全的实现手段看，除了技术措施，还需要人的合作和环境的协同等，因此，安全系统其实是由人、物、人与物构成的复杂系统。这里：“人”是安全的主体和核心，是研究一切安全问题的出发点和归宿。人既是保护对象，又是危害因素，没有人的存在就不存在安全问题，比如，若无黑客就没有

13、网络空间安全问题。“物”是安全的保障条件，当然，也可能是危害的根源。“人与物”包括人与人、人与物的安全关系。这里的关系，既包括空间和时间的关系，又包括物质、能量与信息间的关系等。从根源上看，任何安全问题，都可归因于人与物（技术、环境）的综合或部分欠缺。从另一角度看，安全活动所追求的目标，也正是要保护人和物（技术、环境），修补相关欠缺。再次强调：上面介绍的“安全基本概念以及特征”，读起来很容易懂，但是，在今后研究和学习网络空间安全的技术知识时，很可能又会被理工科学者忽略，甚至遗忘；从而失去许多灵感的机会！一看本小节的题目，信息安全界的某些学者，可能就会不屑一顾；但是，如果你认真学过本小节后，就会

14、对安全通论后面有更深刻的理解。实际上，本课程处处都是“世界观决定方法论”的案例，因为，从不同的角度看安全，就会有不同的研究方法：信息论、博弈论、控制论、系统论、耗散结构理论、协同学、超循环理论、突变论、混沌理论、分形理论、集合论、均衡理论、图灵机理论、概率论等，都只不过是工具而已。而过去信息安全界的主要问题之一，可能就是：大部分人并没有认真考虑过到底什么是“安全”，相关教材也基本忽略了这方面的知识，而一入门就鼓励大家冲到计算机旁去敲键盘。如此一来，当然就容易迷路呀！所以，现在请暂时忘掉所有技术细节，从哲学的高度，重新审视一下“安全”：1）“安全”与“不安全”的统一性和矛盾性。“安全”确实很难研

15、究，甚至有时都不知道该如何下手，因为，“安全”经常是“说不清、道不明”的；但是，如果你能够把“不安全”搞清楚，那么，“安全”也就搞清楚了。因为，“安全”与“不安全”是一对矛盾，它们相伴相存。安全是相对的，不安全是绝对的 安全的相对性表现在三方面：首先，绝对安全的状态是不存在的，“安全”是相对于“不安全”的；其次，安全标准是因人、因事、因时、因物等而变化的，抛开环境谈安全是不现实的；第三，安全对人的认识而言，也具有相对性。“不安全”的绝对性表现在：任何事物一诞生，就存在不安全的可能性；在事物发展过程中，“不安全”度也许变大或变小，但决不会消失。“不安全”存在于一切系统的任何时间和空间中，无论技术

16、多先进、设施多完善，人与环境综合功能的残缺始终存在，不安全因素也始终存在。“安全”与“不安全”是一对矛盾：一方面，双方互相反对、互相排斥、互相否定，“安全”度越高“不安全”度就越低，反之亦然；另一方面，“安全”与“不安全”又互相依存，共同处于一个统一体中，存在着向对方转化的趋势。2）安全的系统观在人与环境（比如，赛博网等）构成的系统中，影响安全（或不安全）的因素很多，因果关系错综复杂。若要搞清安全（或不安全）的内在规律，就必须全面地分析各要素，对相关的开放、复杂大系统进行分析和综合。在多种安全（不安全）原因中，要区分主因和次因、内因和外因、直接原因和间接原因、客观原因和主观原因等。要集中力量，

17、抓住内部的主要矛盾，用系统的观点进行分析，充分考虑系统的整体性、有机性、层次性。2）安全的系统观 特别需要注意的是，系统整体的功能不等于各组成要素的性质和功能的简单叠加，而是大于部分之和，它具有其要素所不具有的性质和功能。尤其对“不安全”而言，一个“不安全漏洞”与另一“不安全漏洞”相加，并不等于（而是远远大于）两个“不安全漏洞”。2）安全的系统观 系统的整体性产生于系统内部各要素相互作用、相互联系的某种协同效应。系统整体性的强弱，由要素间协同作用的大小决定。因此，多种安全和不安全要素叠加在起时，整体影响力会大大增加；所以，为使系统总体功能向安全方向发展，就必须统筹各要素，增加安全因素的整体功能

18、，削弱“不安全”因素的整体功能。总之，在安全（或不安全）这个复杂的大系统中，有些要素处于主导地位和支配地位，有些要素处于从属地位和被支配地位；因此，需要充分考虑各要素之间的关系，以利于实现系统的整体安全。安全的系统观扮演着十分重要的角色；甚至可以说：若没有安全的系统观，就不可能有安全通论3）安全中的质变与量变从哲学角度看，“变化”分为两种：“量变”与“质变”。现借用安全工程学科的术语，将安全的“量变”称为“流变”，而将“质变”称为“突变”。在安全领域，流变与突变是普遍存在的；只不过，人们对流变的感觉不明显，而突变则会产生严重的不安全事件。流变是一种缓慢的变化过程，突变则是流变过程的中断，是质的

19、飞跃。流变和突变也是相互统一的，这主要表现在如下三个方面：3）安全中的质变与量变 流变与突变既是相对的，又是相互依存的。从安全角度看，没有绝对的流变与突变，因为：离开了流变，就无所谓突变；离开了突变，流变也无从谈起。事实上，要想明确区分流变和突变也是很困难的，因为安全过程始终保持着一定的连续性，总是存在中间的过渡环节。总之，无论在空间、时间、结构、形态、物质、能量、信息等的变化方面，流变和突变都只有相对意义。3）安全中的质变与量变流变和突变的层次性。针对具体的对象，安全的流变和突变总是联系着某个具体的物质、能量、信息层次。在同一层次上，流变和突变，有其具体的表现形式，可以进行严格的界定；因此，

20、不同层次的流变和突变，有其不同的表现形式。针对某种具体的安全变化过程，在低层次可能是突变，而在高层次上则只属于流变。比如，某人隐私信息泄露后，对当事者来说，就是突变；而对整个网络空间来说，则只是流变而已。（注：这里又揭示了信息安全界过去的一个问题：大家其实在做“信息载体”的安全，而非“信息安全”）3）安全中的质变与量变 流变和突变的相互转化。在一定条件下，流变可以转化为突变，突变也可以转变为流变。比如，网络舆情的发展过程，起初只是流变；一旦发酵到某种程度后，就会突变，甚至引起社会动荡。另一方面，成功的网络安全应急处置，其实就是将突变转化成了流变。流变表现为微小而缓慢的量变，突变表现为显著而迅速

21、的质变；在流变中往往也有部分质变，在质变中也伴随着量的变化。质变后，总会出现流变和突变的新周期，如此循环往复，以至无穷。看似安全的东西，由于某种随机因素的影响，猛然间可能会发生雪崩式的变化。突变向流变的转化往往是在突变后，在新的场景下，出现平稳的变化状态，开始新的变化周期。这时微小的扰动和涨落，对安全没有明显的影响。4）安全事件的必然性和偶然性 在对待安全问题时，必须处理好必然性与偶然性之间的关系。对于有利的偶然因素，应创造条件促其发生，不能“守株待兔”；对于有害的偶然因素，应尽可能避免，并做好应急准备，做到有备无患，不能怀有侥幸心理。5）安全问题的简单性和复杂性，精确性和模糊性l网络空间安全

22、既复杂，又简单，是复杂和简单的统一体：l 一方面，网络系统充满了多层次的安全和不安全矛盾，相互间形成了极为复杂的结构和功能；l 另一方面，网络系统又是可分解的，甚至分为简单要素、元素、单元。网络可看成许多单元的集合，网络间的联系和所遵循的基本规律，又是简单而机械的。l安全的精确性和模糊性，主要体现在：安全与不安全之间，没有精确的界限，只有一片模糊；但是，这种模糊，又可用精确的数字来解释。l 相对模糊的定性描述，有利于制订和落实安全措施；但是，在技术装备方面，就不宜太模糊，否则就会降低安全度。l 安全需求若不能精确描述，将会导致预想和实际状态之间的安全界限模糊。l 因此，在观察同一实际情况时，有

23、人认为是安全的，有人却认为不安全。l 总之，在具体情况下，必须处理好安全的精确性和模糊性关系。6）安全的哲学观本课程不打算讨论哲学本身，而是直接罗列安全的如下4种哲学观：对待每一次安全事件，必须客观地分析其前因后果，达到主观与客观的统一。，努力搞清事件从发生、发展到结束的全部过程，以便为今后积累经验和教训。必须全面了解和具体分析目标网络的复杂联系，在众多联系中，找出与安全相关的直接的、内部的、本质的、必然的联系。，从而有利于把握网络安全的规律6）安全的哲学观在动态中把握安全规律，即，在考虑安全问题时，必须加入时间概念。在动态中抓住安全发展的趋势，不断研究新情况和新问题；通过对未来安全的分析，加

24、深对安全现状的认识。网络安全的核心，就是黑客的“攻”与红客的“守”，这对矛盾的运动变化和发展规律。因此，区分主要矛盾和次要矛盾、矛盾的主要方面和次要方面，就显得十分必要。矛盾在不同时期便有不同的特性，这就使安全的发展显示出过程性和阶段性。矛盾的质，若发生变化，则安全状态也要发生根本变化。为了更深刻地理解安全实质，本小节将不断变换角度，反反复复地，从不同侧面给“安全”画像。虽然它们只是宏观定性的介绍，但是，对于理解随后各章的定量研究，将会很有帮助。对本节相关细节有特殊兴趣的读者，可阅读安全简史的第13章（安全管理学）、第14章（安全心理学）、第15章（安全经济学）、第17章（信息与安全）和第18

25、章（系统与安全）。安全简史一书虽然看起来像科普，但是，其实它的后半部分，主要是给信息安全界补课，让大家向“安全工程专业”界学习；在研究信息安全之前，先努力搞清楚“什么是安全”。一、一、从从系统科学角度看安全系统科学角度看安全 有位国王特别擅长逻辑学，为彰显其缜密的思维，他制定了一条奇怪的法律：每个死囚在被处死前，都要说一句话。如果这句话是真话，那他将被砍头；如果这句话是假话，那他将被绞死。国王对其“法律”很得意，因为，按照逻辑：每句话要么是真话，要么是假话，不可能有第三种可能性。因此，死囚犯将要么被砍头，要么被绞死。可是，有一次，聪明的系统安全学家被押赴刑场后，他却说：“我将要被绞死”！这下，

26、逻辑学国王傻眼了。因为，如果国王将系统安全学家绞死，那么遗嘱“我将要被绞死”便是真话；但根据法律，“说真话将被砍头”。如果国王将系统安全学家砍头，那么遗嘱“我将要被绞死”便是假话；但根据法律，“说假话将被绞死”。总之，无论国王如何行刑，他都会破坏自己的法律，从而陷入不能自拔的矛盾之中。那么，这个矛盾是从哪里冒出来的呢？答案就是：该矛盾是从系统中冒出来的！在缺乏系统思维的情况下，如果最严谨的“逻辑学”都会出现漏洞的话，那就更别说安全等其它科学了。实际上，许多东西，从局部上看虽是天衣无缝，但从整体上重新考虑时，便会漏洞百出，当然也就会引发相应安全问题；用行话说，这便是安全系统的整体性。同样，从孤立

27、角度看是天衣无缝的东西，若从关联角度来看，就可能出现矛盾；用行话说，这便是安全系统的关联性。从低等级结构角度看是天衣无缝的东西，若从高等级结构角度来看，就可能出现矛盾；用行话说，这便是安全系统的等级结构性。从静态角度看是天衣无缝的东西，若从动态角度去看时，就可能出现矛盾；用行话说，这便是安全系统的动态平衡性。从正时序看是天衣无缝的东西，若从逆时序去看，就可能出现矛盾；用行话说，这便是安全系统的时序性。分散开来看是天衣无缝的东西，若从统一角度看，就可能出现矛盾；用行话说，这便是安全系统的统一性。总之，安全系统论的认识基础，就是所谓的“系统思维”，即，对系统的整体性、关联性，等级结构性、动态平衡性

28、、时序性、统一性等本质属性，进行最优化，至少避免出现漏洞和矛盾，从而，避免相应的安全问题。安全系统论主要研究系统的安全分析、安全评价和安全控制这三个方面。具体地说：安全安全系统论主要研究系统论主要研究系统系统以下以下3 3个方面个方面系统安全分析：要提高系统的安全性，减少甚至杜绝安全事件，其前提条件之一，就是预先发现系统可能存在的安全威胁，全面掌握其特点，明确其对安全性的影响程度。于是，便可针对主要威胁，采取有效的防护措施，改善系统的安全状况。此处的“预先”意指：无论系统生命过程处于哪个阶段，都要在该阶段之前，进行系统的安全分析，发现并掌握系统的威胁因素。这便是系统安全分析的目标，即，使用系统

29、论方法辨别、分析系统存在的安全威胁，并根据实际需要，对其进行定性、定量研究。安全安全系统论主要研究系统论主要研究系统系统以下以下3 3个方面个方面系统安全评价：系统安全评价要以系统安全分析为基础，通过分析和了解，来掌握系统存在的安全威胁。系统安全评价，不必对所有威胁采取措施，而是通过评价，掌握系统安全风险的大小，以此与预定的系统安全指标相比较：如果超出指标，则应对系统的主要风险因素采取控制措施，使其降低至标准范围之内。系统安全控制：只有通过强有力的安全控制和管理手段，才能使安全分析和评价产生作用。当然，这里的“控制”，需要从系统的完整性、相关性、有序性出发，对系统实施全面、全过程的风险控制，以

30、实现系统的安全目标。二、二、从系统科学角度看从系统科学角度看安全安全时，需要关注五个方时，需要关注五个方面：面：第1，要从系统整体性观点出发，从系统的整体考虑，解决安全威胁的方法、过程和要达到的目标。比如，对每个子系统安全性的要求，要与实现整个系统的安全功能和其它功能的要求相符合。在系统研究过程中，子系统和系统之间的矛盾、以及子系统与子系统之间的矛盾，都要采用系统优化方法，寻求各方面均可接受的满意解。同时，要把系统论的优化思路贯穿到系统的规划、设计、研制、建设、使用、报废等各个阶段中。第2，突出本质安全，这是安全保障追求的目标，也是系统安全的核心。由于安全系统论中，将人、网、环境等看成一个“系

31、统”，因此，不管是从研究内容还是从系统目标来考虑，核心问题都是本质安全，即，研究实现系统本质安全的方法和途径。第3，人网匹配。在影响系统安全的各种因素中，最重要的是人网匹配。第4，安全管理。系统安全离不开管理，而且管理方法必须贯穿于安全的规划、设计、检查与控制的全过程。第5，经济因素。由于安全的相对性，所以，安全投入与安全状况是彼此相关的，即，安全系统的“优化”受制于经济。但是，由于安全经济的特殊性（安全投入与业务投入的渗透性、安全投入的超前性与安全效益的滞后性、安全效益评价的多目标性、安全经济投入与效用的有效性等），就要求在考虑系统目标时，要有超前的意识和方法，要有指标（目标）的多元化的表示

32、方法和测算方法。总之，“安全系统论”就是要用系统论的方法，从系统内容出发，研究各构成部分存在的安全联系，检查可能发生的安全事件的危险性及其发生途径，通过重新设计或变更操作，来减少或消除危险性，把安全事件发生的可能性降低到最小程度。二、二、从从控制论控制论角度看角度看安全安全 从从该角度看见的该角度看见的“安全安全”，称为，称为“安全控制安全控制”或或“安全安全控制论控制论”（其实，（其实，“控制论控制论”本该叫本该叫“赛博学赛博学”的，但的，但为了避免读者分心，我们仍然沿袭传统；对此有特殊兴为了避免读者分心，我们仍然沿袭传统；对此有特殊兴趣的读者，可读趣的读者，可读安全简史安全简史的第的第16

33、16章）章）安全控制的一般步骤为3步：首先，建立安全的判断标准；其次，衡量安全的实际情况与预定目标之间的偏差，确定如何纠正该偏差；最后，采取相应安全管理、安全教育以及安全工程技术等措施，消除隐患。二、二、从从控制论控制论角度角度看看安全安全 安全控制的基本原则包括四个：（1）闭环控制原则。从输入到输出，通过信息反馈进行决策，并控制输人，由此形成一个完整的控制过程，称为闭环控制，它要讲究目的性和效果性，要有评价、反馈和决策。（2）动态控制原则。只有正确、适时地进行安全控制，才能收到预期效果。动态控制原则要求无论从技术上，还是从管理上，都要有自组织、自适应的功能。（3）分级控制原则。对系统的各组成

34、部分（子系统），要采用分级控制，分主次进行管理。各子系统可以自我调整和控制。（4）分层控制原则。安全事件的控制，有六个层次：根本的预防性控制、补充性控制、防止危害扩大的预防性控制、维护性能的控制、经常性控制以及紧急性控制。该原则要求安全控制、管理和技术的实现，要有阶梯性和协调性，要采取多层控制，以增加可靠度。安全控制的方法，主要有四种：（1）信息方法。该方法完全撇开研究对象的具体结构和运动形态，把系统的有目的性运动过程（比如，安全保障过程），抽象为信息传递和转换过程；通过对信息流程的分析和处理，来揭示某一复杂系统运动过程（比如，安全保障过程）的规律，获得事物整体的知识，特别是其中信息接收、传递

35、、处理、存储和使用的变换过程。与传统的经验方法不同，信息方法并不对事物进行解剖分析，而是仅仅综合考察信息流程。信息的普遍存在性和高度抽象性，决定了信息方法应用范围的广泛性。（2）黑箱方法。所谓黑箱方法，就是在客体结构未知（或假定未知）的前提下，给黑箱以输入，从而得到相应的输出；并通过分析输入和输出的关系，来研究客体的方法；比如，把网络系统看成“黑箱”，将“攻”看成输入，系统反应为其输出；再将“防”作为另一输入，达到所需的安全输出；并以此来探讨它们的对应关系。此时，不对箱子的性质和内容作任何假定，而只是确定某些作用于它的手段。并以此对箱子进行作用，使人与箱子之间形成一个耦合系统；并通过输入输出数

36、据，建立相应的数学模型，推导出内部联系。黑箱方法研究的不是箱子本身，而是人与箱形成的耦合系统。（3）反馈方法。这是一种“以原因和结果的相互作用来进行整体把握”的方法，其特点是：根据过去操作的情况，去调整未来行为。所谓“反馈”就是将系统的输出结果，再返回到系统中去，并和输入一起调节和控制系统的再输出的过程。如果前一行为结果加强了后来行为，称为正反馈；如果前一行为结果削弱了后来行为，称为负反馈。“反馈”在输入输出间，建立起了动态的双向联系。反馈方法就是“用反馈概念，去分析和处理问题”的方法；它成立的客观依据在于原因和结果的相互作用。不仅原因引起结果，结果也反作用于原因。因而，对因果的科学把握，必须

37、把结果的反作用考虑在内。比如，计算机病毒的查杀过程，就是一个典型的基于反馈法的安全保障措施：首先，及时获取网上的病毒反馈；然后，“对症下药”研制相应的杀毒软件；接着，再继续监视网络情况等。（4）功能模拟法。它暂时撇开系统的结构、要素、属性，而只是单独研究行为，并通过“行为功能”来把握系统的结构和性质。该方法的依据，是维纳的如下重要发现：“从结构上看，技术系统与生物系统都具有反馈回路，表现在功能上则都具有自动调节和控制功能。这就是这两种看似截然不同的系统之间所具有的相似性、统一性。确切地说，一切有目的的行为都可以看作需要负反馈的行为。”功能模拟法具有如下三个特点：特点）以行为相似为基础。它认为，

38、系统最根本的内容就是行为，即：在与外部环境的相互作用中，所表现出的系统整体应答。因此，两个系统间最重要的相似，就是行为上的相似。在建立模型的过程中，可以撇开结构，而只抓取行为上的等效，从而达到功能模拟的目的。比如，在网络空间安全保障过程中，许多未知攻击的防御，就得依赖于分析各种大数据异常行为。特点2）模型本身成为目的，而非手段；甚至将模型看成“具有生物目的性”的机器。而在传统模拟中，模型只是把握原型的手段；对模型的研究，目的是获取原型的信息。但在功能模拟中，模拟却基于行为，以功能为目的。又比如，在安全对抗中，建立相应的攻防模型也很关键。特点3）从功能到结构的技术路线。它首先把握的是整体行为和功

39、能，而不要求结构 的先行知识。但它并不否认结构决定功能，同时它也不满足于行为和功能，它总是进而要求从行为和功能过渡到结构研究，获得结构知识。比如，在序列密码分析时，用线性移位寄存器去模拟未知的非线性密钥生成器的过程，便是从功能到结构的过程。此外，还可从管理学、经济学、风险学、人机学、法学、心理学、行为学和文化、教育等角度，来重新审视“安全”，并将获得完全不同的“剖面图景”。这便是所谓的“安全面面观”。虽然本课程后面的相关章节中，我们将量化地分析网络空间安全的耗散演化规律，但是，本小节我们将不涉及具体的公式推导，而是重点归纳安全系统的耗散结构特征（即，开放的，动态的，非线性的，远离原始状态的等）

40、、耗散结构的形成与演化等。（提醒：对耗散结构理论不熟悉的读者，可参见文献4，为了不分散注意力，我们就不在此介绍相关入门知识了。不过，即使对耗散结构理论不熟悉，也基本不影响对后面内容的理解；毕竟，安全通论的跨界幅度确实太大，各位没必要担心基础知识不足；实际上，在可见的将来，也不可能有许多人能迅速补足这些基础。这也是我们提倡大家今后带着问题，反复回头学习本章的原因之一。）安全系统为什么是开放的？安全系统是由人、设备和环境三大部分组成的系统。其中人的因素，作为安全系统的主体因素，必须与外界发生物质、能量和信息的交换，而安全需求又是人的本性；因此，人类在与外界进行物质、能量和信息交换时，必然就会将安全

41、因素放在重要位置来考虑，这就决定了安全系统的开放性，即，安全系统将与外界同时进行物质、能量和信息交换（当然，如果考虑的是网络空间安全，那么，由于赛博网络本身的开放性，更决定了网络安全系统的开放性）安全系统为什么是动态的？一方面，人类对安全的需求本身就是动态的，不断提高的，所以，安全系统也是动态的；另一方面，任何系统都具有动态特性，当然也就导致了安全系统的动态性。安全系统为什么是非线性的？安全系统的非线性特征，表现在如下两个方面：其一，如果安全系统是单纯的线性系统，那么就不会出现突变，没有突变就不会有突发灾难，这便从反面论证了安全系统是非线性的；其二，当构成安全系统的各种因素变化时，并不会与系统

42、运行结果进行线性对应。安全系统为什么是远离原始态的？安全系统的原始态，意指其中的安全因素处于熵、自由度、无序度最大的无组织、无结构的状态。具体表现为：人、设备、环境三部分的混乱状态，即，人的安全意识淡薄、安全教育落后、安全管理很差，人的行为不安全、物的状态不安全、或人与物的相互作用有潜在危险，缺乏安全防护等。在这种原始状态下，安全风险很大，发生安全事件的概率最大，处于事故频发状态。但是，由于对安全的天然需求，人类自然会不断改善自己的不安全行为，调整物的不安全状态，加强安全管理和教育，重视自身的防护等；这些自发的、零碎的安全措施，会减少安全问题的发生，降低人类受到的伤害；即，人类会被动地摆脱高危

43、状态，相应地，安全系统会被动地摆脱原始状态。其实，安全系统之所以会远离原始态，主要是由安全系统本身的属性所决定的；因为，事物的内因是推动事物发展的动力，而安全属性就是安全系统的内因。安全系统为什么是远离原始态的？安全系统的原始态，意指其中的安全因素处于熵、自由度、无序度最大的无组织、无结构的状态。具体表现为：人、设备、环境三部分的混乱状态，即，人的安全意识淡薄、安全教育落后、安全管理很差，人的行为不安全、物的状态不安全、或人与物的相互作用有潜在危险，缺乏安全防护等。根据安全系统的上述开放性、动态性、非线性、远离原始状态性等，就可知：安全系统具备了形成耗散结构的必要条件，但是，它们并非充分条件，

44、所以，下面分三个方面来论证安全系统为什么能够形成耗散结构：原因安全系统剩余熵的增减。安全系统的开放性，确保了它能够与外界进行物质、能量和信息的交换，因此，安全系统有机会输入负熵流或输出正熵流，使得安全系统剩余熵增加或减少。对于安全系统来说，熵增大就意味着安全系统的混乱度增大，这时就隐含着不安全因素；当条件成熟时，隐患便会转变成安全事故。安全系统与外界进行物质、能量、信息交换，如果这些交换合适（即，安全保障措施适当）的话，那么，安全系统就可从外界吸收有序的、功能结构完整的物质流、能量流和信息流，而这些流的加入，将使安全系统的熵减少。另外，不仅能从外界吸收负熵流，而且安全系统也能向外界排放出自身的

45、多余物，即无序的、功能结构散失的多余物，即，正熵流。无论是吸收负熵流，或是排出正熵流，都会使安全系统的熵减少，从而安全度提高；反之，如果熵被增加了，那么，系统的安全度就会降低。当然，剩余熵的增减，只是安全系统的量变积累，不能达到质的飞跃；即，不能仅仅通过剩余熵的增减，来实现安全系统结构的转化，这里还需要另一个条件，就是突变，它来自于安全系统的非线性。安全系统形成耗散结构的三个原因原因安全系统的扰动。此处的扰动，意指安全系统的各个影响因素，在其稳定态的微小波动，即，以稳定态为中心，上下左右做微小的偏离（即，变化）。安全系统的扰动，可归因于人类行为的随机性、设备安全状态的随机性、环境变化的随机性，

46、以及人与设备、人与环境、设备与环境相互作用的随机性，还有人、设备和环境三者间相互作用的随机性等。如果安全系统的剩余熵被极大地减少，安全系统将处于远离原始状态；这时，如果被某个微小的扰动激发，而且该激发处于远离原始状态的非线性区，并使得该非线性的相互作用在各安全要素之间产生协同作用和相干效应，那么，就有可能使安全系统，从杂乱无章变为井然有序。在正常情况下，安全系统中的扰动，不会造成重大影响；但是，在远离原始状态，且扰动又出现在非线性区时，微小的扰动就有可能造成系统质的变化，即，质的飞跃，层次结构的更换，这便是所谓的“蝴蝶效应”。总之，安全系统中的扰动和远离原始状态的非线性相互作用，是安全系统从远

47、离原始状态向耗散结构转变的决定性作用。原因安全系统的耗散结构形成。从前面的论述，我们可以将安全系统的耗散结构形成过程归纳为：从安全系统的原始状态出发，由于人类自身的安全需求，人们将千方百计改善安全状况，脱离原始安全状态，从而不断减少安全系统的剩余熵，甚至使得该剩余熵达到很低的程度，以至于安全事件的频率大幅度减少。但是，并未从根本上改变高危状态，只能称为“远离原始状态的安全系统”。对于处于脱离，但并未完全脱离，原始状态的安全系统，这时系统中的各种因素都在非线性区内进行扰动，并最终在某个诱因的激发下，安全系统突变到另一种全新的安全状态。这时的安全状态便是自组织的、功能性的、结构性的，相应的就形成了

48、安全系统的耗散结构。总之，非线性是安全系统产生自组织行为的内因，若无这个内因，扰动将不可能形成安全系统的耗散结构，从无序到有序的过程也将不会发生。安全系统通过自身的扰动、非线性、原始状态，在没有外界的特定干预下，形成空间、时间或功能上有序的耗散结构；该行为称为自组织行为，该结构称为自组织结构。接下来，看看安全系统耗散结构是如何演化的，即，如何走向新的、更高级、更有序的安全系统；或如何走向更低级的、无序的、结构混乱的安全系统；或者安全系统耗散结构被破坏。分四个方面（方面1：安全系统耗散结构如何维持？方面2：安全系统耗散结构如何向高一级转化；方面3：安全系统耗散结构如何向低一级转化；方面4：安全系

49、统耗散结构的破坏）方面1：安全系统耗散结构如何维持？安全系统具有系统性、协调性、整体性和组织性。耗散结构的最本质特征，就是消耗外界有序的物质、能量和信息；若没有消耗，耗散结构将不存在。这便决定了安全耗散结构维持的条件：由于安全系统本身的开放性和动态性，系统自身会产生熵增，即，系统将变得越来越不安全，会自动向无序方向发展，会自动地变得越来越混乱，出现安全事故的危险度越来越高。由于安全系统的非线性，一旦出现危险涨落，将会激发安全灾难发生，从而反过来破坏安全系统的耗散结构。耗散结构若被破坏，安全系统将回到原来的原始状态或近原始状态。因此，若要维持安全系统的耗散结构，首先必须保证开放性，然后，让负熵流

50、进入，同时排出正熵流。更进一步，定量地说，如果安全系统的剩余熵为正，那安全系统的混乱度将增加；剩余熵若为负，那安全系统的有序度将增加；若剩余熵为零，那安全系统将处于稳定状态。换句话说，若要维持安全系统的耗散结构，那么剩余熵不能为正。此处，剩余熵=安全系统的自然熵增-输入的负熵流-输出的正熵流。方面2：安全系统如何向高一级转化？在维持原有耗散结构的情况下，即，剩余熵非正的情况下，如果进一步增加输入的负熵流，那么剩余熵将进一步降低，安全系统的有序度将进一步增加；此时的安全系统正在远离旧的耗散结构的稳定态。随着负熵流的进一步输入，剩余熵进一步降低，安全系统的旧有耗散结构已经不能满足系统的安全需求，甚