第1章 网络空间语境下的“网络安全”
2016年11月7日,中华人民共和国主席令(第五十三号)公布《中华人民共和国网络安全法》(简称为《网络安全法》,下同),这是我国对网络空间实施管辖权的第一部法律,也是迄今为止我国网络安全领域相关问题的基本法。该法已于2017年6月1日起正式实施。《网络安全法》是全国人民代表大会为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进我国经济社会在信息化过程中健康发展而专门制定的法律。
2016年11月是一个时间上的分水岭。此后,在中国,网络空间的概念被正式赋予了法定内涵。也正因此,有关企业网络安全相关话题的讨论,就应自觉且不可避免地,要在网络空间的概念环境之中展开才更有意义。此外,在网络空间概念环境中讨论企业网络安全话题,也具有相当的现实意义,因为,今天的一切正是网络空间的一部分。如果不正视这个问题,依旧把企业网络安全问题局限在企业内部或者局限在企业的某个信息系统之上进行讨论,则难免会有盲人摸象式的无奈和掩耳盗铃式的尴尬。这种漠视网络空间的世界观所导致的方法论问题或者企业在网络安全问题上采取“鸵鸟政策”的做法,在我国坚持和完善中国特色社会主义制度、推进国家治理体系和治理能力现代化的进程中,恐怕将会寸步难行。本书把这种观念上的变化,称为网络空间世界观。
定义1 网络空间世界观,是指人们因为网络空间的存在而对世界持有的基本看法和观点。
这是一种世界观对网络空间环境的适应。在本书的讨论范围内,将使用上述定义来描述人们对网络空间的判断的反应,包括处在什么样的位置、用什么样的时间、空间观念去看待与分析网络空间等。由于人的世界观具有实践性,会根据环境变化或因对环境的认知而不断更新。因此,此处的定义中并没有严格区分到底是人对网络空间的认知补充或改变了人已有的世界观,还是人可以在网络空间中逐渐形成新的世界观。
关于“企业”的含义
作为开始,有必要首先讨论一下“企业”的含义。后续的所有讨论,都将在此限定的含义范围内展开。本书尽可能地为每个术语提供外文对照词以便于读者理解。在没有特殊说明的情况下,这些对照词将通常采用英文形式给出,并且会以加注括号的形式示意。
一般来说,“企业”是一个经济学范畴的术语,通常是指各种独立的、营利性的组织。但是,近几十年来经常在信息技术(IT)应用领域的书籍、资料中看到诸如:企业架构(Enterprise Architecture)、企业计算(Enterprise Computing)、企业应用(Enterprise Applications)、企业网络安全(Enterprise Cybersecurity)、企业建模(Enterprise Modeling)等术语。这往往会给普通读者造成困扰,即:这些术语指代的内容都只适用于企业环境吗?是否也可以适用于其他场合?或者,比如针对“企业安全”,是不是还应该有“政府安全”“学校安全”“医疗卫生机构安全”“社会团体组织安全”之类的术语?显然在不同的场合或为了不同的需要,肯定有上述各种不同的“安全”,其中的含义肯定都不相同。
一定的技术应用具有一定的适用范围和应用场合。例如,信息化技术无论是在政府、学校、医院、社会团体,还是在汽车制造、矿产开采、金融行业、通信行业等各种形态的组织中应用,都不会有本质上的差别,不能因为某台通用型电子计算机(例如便携式计算机)是用在了学校的办公室而与用在了某幢写字楼里就有了本质的不同。又比如,基础电信运营商的手机信号,不会因为其覆盖范围的不同而有本质的不同。所以,即便考察了前述那些术语的内容,也没有发现它们具有对某种通用技术进行行业区别的意思。
从传播学的角度来看,似乎有一种现象:中文中冠以“企业”的有关信息技术领域的术语,通常都是来自于对英文“Enterprise”的直译,但其内容却基本和经济领域不相关。在原生的中文语境中,类似结构的术语的含义却往往被限定在“企业”一词的经济学含义之内,或者与“企业”一词的经济学含义强相关。例如,“企业经营”“企业管理”“企业文化”等术语,通常意义上分别是指企业的经营、企业的管理、企业的文化之类的含义。它们所表达的概念,限定在经营性组织从事经济活动的范畴之内。又比如,“企业安全”一词,通常意义上也是指企业的经营安全、生产安全、财务安全之类的概念,而并不单独指代企业的网络安全。因此,有必要在本书讨论的范围内给“企业”明确一个定义:一方面,是为了更好地兼容其他技术资料,尊重已有的表述习惯,方便读者与其他书籍资料的对接;另一方面,也是为了厘清概念,帮助读者更好地体会网络安全的含义。
定义2 企业,是指处于社会当中的,由若干元素因相互间的一定目的而联系形成的聚合。
在本书讨论范围内,不将“企业”的含义限定在经济学范畴内,而将“企业”的含义基本等价于“组织”或“团体”等名词的通常含义。可以用上述定义中的“企业”来泛指各种独立的营利性组织(或团体)和非营利性组织(或团体)。但是,反之不然。这主要是为了避免混淆。不可将“组织”或“团体”等的概念用上述定义替代。
此处所指的“组织”(或团体)首先是一种合法意义上的存在,进而是一种由其自身的任务和目的来决定的存在。并且,倾向于指代那些承担了艰巨而重大的社会使命,追求创新、开拓、进取理念的组织(或团体)。营利性组织(或团体)是指通常含义上的独立的公司等,非营利性组织(或团体)是指政府机构、科研院所、社会团体等。
上述定义的英文对照词仍然是“Enterprise”。在这里顺便简单提一下,在美国的信息技术领域,确实可能存在一种习惯使用“Enterprise”一词的传统(也可能是某种文化现象)。对其含义的理解,不妨从描述信息系统结构的角度入手:将由较底层的信息系统组成的更大规模的“人—机协作系统”及其组织形式,统称为“企业”(Enterprise)。