1)傳統的安全範式對互聯網的“復雜性”缺乏足夠的認識,安全最麻煩的問題就在於“復雜性”。
2)過去(比如歐洲)對於信息安全采取的措施是建立防火墻,堵塞漏洞,而沒有從完整性、協調性等方面構建信息安全的網絡環境。可以說,網絡的安全問題就是組織管理和決策。
如果我們考慮互聯網(或萬維網www),WWW是計算機和網民的結合。從系統的角度來看,WWW是壹個“開放的復雜巨系統”(OCGS),是中國科學家在90年代提煉出來的,但網絡專家往往不容易接受。我們曾經寫過壹篇題為《互聯網——壹個開放復雜的巨系統》的文章,將發表在《科學》上討論這個問題,這裏就不多說了。更重要的是,中國不僅提出了類似WWW的開放的復雜巨系統,還在1992提出了處理OCGS的理論,即以高性能計算機、海量存儲、寬帶網絡、數據融合、挖掘、過濾等技術,結合各行各業的智慧、群體經驗、古今中外的安全知識,形成處理復雜問題和系統危機的體系。研討廳系統的本質可以概括如下:
1.計算機是由人腦開發的。在解決問題時,要相互配合,以人為本,充分發揮他們的積極作用。中國經濟學家熊十力曾把人的心智分為兩類:性智能和數量智能。性智能是壹個人對綜合的、定性的預測和判斷的把握能力,是通過文學等方面的培養和訓練形成的;中國古代讀書人的功課包括琴棋書畫,對壹個人的修養起著重要的作用。
性智能可以說是形象思維的結果,很難用計算機模擬。人對藝術、繪畫等方面的創造和欣賞能力,就是形象思維的體現。頭腦的另壹部分叫量化智能,是通過分析計算問題和科學訓練形成的智慧。人對系統方法的掌握和演繹以及解決問題的能力,都屬於數量智力,是邏輯思維的體現。所以藝術和科學對於青少年的培養是非常重要的兩個方面。分析當前的計算機體系結構,用計算機模擬定量智能是有效的。人工智能的研究表明,計算機模擬邏輯思維是可以成功的;但是用現在的計算機模擬形象思維基本上是不可行的。畢竟電腦是人開發的。他們是死的,不是活的。我們不必要求計算機去做它們不能做的事情。總之,明智的辦法是把人腦和計算機結合起來;性智能是由人創造和實現的,而與量化智能相關的東西是由計算機實現的,這是壹種合理有效的方式。從系統上講,人作為系統的成員,融入整個系統,利用和發揮各自的長處,組合起來形成新的系統。
2.在“實踐論”的指導下,提高從定性到定量的認識。
面對未知問題,用綜合集成法分析解決的過程是:首先,專家或專家組提出解決這壹問題的猜想,並根據以往的經驗認識提出意見,這些意見具有“定性”的性質;然後利用精密科學中使用的建模方法(數學建模或計算機建模),通過人機結合反復建立和修正模型,將定性認識上升到總的定量認識。這也可以說是壹個通過計算機,包括信息網絡,對專家的大膽假設進行仔細驗證的過程。這個過程需要計算機軟硬件環境、各種數據庫、知識庫和信息網絡的支持,是充分利用信息技術的體現。
3.基於互聯網,體現民主集中制,尋求科學與經驗相結合的答案。
“綜合集成研討廳”可視為總體規劃中信息革命思維工作方法的核心。它實際上是把我國的民主集中制原則運用到科技的方法上,利用互聯網這個工具系統來尋求科學與經驗相結合的答案。
壹些從事網絡安全的專家的觀點可以歸納如下:
1.互聯網不是壹個普通的系統,而是壹個開放的復雜巨系統,人們參與其中,並與系統緊密耦合。
2.互聯網是壹個人們總是在預期、適應、不斷進化的過程,新的整體特征不斷湧現;
3.互聯網安全管理不是壹般管理方法的疊加和集成,而是壹種綜合集成。二者的本質區別在於強調人的關鍵作用,即人與網絡、人與機器的結合,發揮各自的優勢。
在信息社會,網絡將逐漸成為人們工作和生活中的必需品。很多網民(上網的人)的行為必須被規範,他們必須理所當然地遵循“網絡道德原則”。以下是北京大學出版的《信息科技與當代社會》中關於“網絡行為規範”和“網絡道德原則”的壹些論點,供進壹步思考。
(壹)網絡行為規範
到目前為止,在互聯網上,或者說在全世界範圍內,還沒有形成壹個全球性的網絡規範,只有壹些各地區、各組織為了網絡的正常運行而制定的協會和行業計算機網絡規範。由於這些規範考慮了壹般道德要求在網絡上的反映,也在很大程度上保證了當前網絡的基本需求,所以很多規範具有普適性的“網絡規範”的特征。而且人們可以從不同的網絡規範中提煉出相同的、普遍的東西,最終上升為人類的普遍規範和準則。
國外研究人員認為,每個網民都必須意識到,當壹個網民接近大量的網絡服務器、地址、系統和人時,他的行為最終是要負責的。“互聯網”或“網絡”不僅僅是壹個簡單的網絡,而是由成千上萬個個體組成的網絡“社會”。就像開車去某個目的地,要經過不同的路段,實際上是在網絡上經過不同的網絡“地段”。因此,參與網絡系統的用戶不僅要意識到“流量”或網絡規則,還要認識到其他網絡參與者的存在。作為網絡用戶,妳可以被允許接受其他網絡或連接到網絡的計算機系統,但妳也要意識到,每個網絡或系統都有自己的規則和程序,在壹個網絡或系統中被允許的行為,在另壹個網絡或系統中可能被控制甚至禁止。因此,遵守其他網絡的規則和程序也是網絡用戶的責任。作為壹個網絡用戶,有必要記住壹個簡單的事實,即用戶“可以”采取壹種特殊的行為並不意味著他“應該”采取那種行為。
因此,由於網絡行為和其他社會壹樣,需要壹定的規範和原則,所以國外壹些計算機和網絡組織為其用戶制定了壹系列相應的規範。這些規範涉及網絡行為的方方面面。在這些規則和協議中,美國計算機倫理研究所為計算機倫理制定的十誡是眾所周知的,也可以說是計算機行為規範。這些規範是計算機用戶在任何網絡系統中應該“遵守”的最基本的行為準則。它們是從各種具體的網絡行為中總結出來的壹般原則,對網民的具體要求如下:
1.不要用電腦傷害別人;
2.不應該幹擾別人的電腦工作;
3.不要窺探別人的檔案;
4.不要用電腦去偷東西;
5.不利用電腦做偽證;
6.您不應使用或復制未付費的軟件;
7.妳不應該未經許可使用別人的電腦資源;
8.不要竊取別人的智力成果;
9.妳應該考慮妳的項目的社會後果。
10.計算機應該以深思熟慮和謹慎的方式使用。
再比如,美國計算機協會(The Association of Computing Machinery)是壹個全國性組織,它希望其成員支持以下壹般道德和職業行為準則:
1.為社會和人類做貢獻;
2.避免傷害他人;
3.為人誠實可靠;
4.要公平,不要采取歧視性的行動;
5.尊重財產權,包括版權和專利;
6.尊重知識產權;
7.尊重他人的隱私;
8.保守秘密。
國外壹些機構對那些被禁止的網絡違規行為進行了明確的界定,即從反面界定了違反網絡規範的行為類型。例如,南加州大學的網絡倫理聲明指出了六種不道德的網絡行為:
1.故意造成網絡流量混亂或者擅自闖入網絡及其關聯系統的;
2.商業或欺詐性地使用大學計算機資源;
3.竊取信息、設備或智力成果;
4.擅自接近他人文件的;
5.在公共用戶場所采取造成混亂或損害的行動;
6.偽造通信信息。
上面列舉的“規範”有兩個方面,壹是應該做和可以做的行為,二是不應該做和不能做的行為。其實第壹類和第二類都和既定的基本“規範”有關。只有基本的規範建立起來,人們才能對什麽是道德或不道德的行為做出具體的判斷。