安全通论——刷新网络空间安全观(txt+pdf+epub+mobi电子书下载)


发布时间:2020-07-24 06:06:37

点击下载

作者:杨义先,钮心忻

出版社:电子工业出版社

格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT

安全通论——刷新网络空间安全观

安全通论——刷新网络空间安全观试读:

前言

开天辟地生易经,合纵连横信息论;安全世界诸侯乱,谁成一统谁成神。

所谓“安全通论”,顾名思义,就是在一定的范围内建立统一的安全基础理论。此书的范围,指理工科范围,即不含心理学、社会学、经济学、管理学等领域。此书的安全含义,就是指信息安全或网络空间安全。

你肯定会怀疑,这样的理论存在吗?答案当然是存在,不但存在,而且已经存在了数千年;不但存在了数千年,而且还在不断具体化,不断突破新领域,不断涌现新版本。不信你看,早在人类还没有文字的时候,伏羲就用几根小棍子摆出了八卦图,这可以说是人类历史的第一部,也是涉及面最广的一部“安全通论”了。后来,约在3200年前,周文王(公元前1152年—公元前1056年)又对伏羲的“安全通论”进行了“改版”,写成了64卦的《易经》,于是完成了指导宇宙万事万物的“安全通论”。再后来,又过了约1000年,孔子对《易经》进行了精心注解,并将其作为群经之首。如果将“吉”看作安全,将“凶”看作不安全的话,那么《易经》这部“安全通论”的“核心定理”便可以总结为“吉中有凶,凶中含吉;凶极吉来,吉极有凶”。对该“核心定理”,周文王虽未给出精确的数学证明,但是数千年来的事实已多次反复证明了其正确性!它甚至已经演化成了辩证法的精髓:物极必反!特别需要指出的是,《易经》还是中华文化之源。可见,安全通论对我们是多么的重要!

在医学领域,第一部“安全通论”叫《黄帝内经》,大约成书于先秦至西汉年间(公元前21世纪至公元8年)。虽然该书作者不详,但它的“核心定理”却是很明确的,即阴阳五行说——“水生木,木生火,火生土,土生金,金生水”或“水克火,火克金,金克木,木克土,土克水”。当然,也可以形象地总结为“通则不痛,痛则不通”,只不过此处将“不生病”看作安全,将“生病”看作不安全而已。

在军事领域,第一部“安全通论”叫《孙子兵法》,它成书于2500多年前。如果将“胜”看作安全,将“败”看作不安全,那么孙武的“安全通论”本身就已非常精练,区区6000余字含有13篇基本法则:始计篇、作战篇、谋攻篇、军形篇、兵势篇、虚实篇、军争篇、九变篇、行军篇、地形篇、九地篇、火攻篇、用间篇。当然,现在孙武“安全通论”的应用已经不仅仅限于军事领域了,甚至成为当代商家的必读经典,因为商场如战场嘛。

古人在不同领域,从不同层次和深度创立了各种版本的“安全通论”,推动着人类文明不断向前发展。其实,即使到了近代和现代,人类也还在继续着这方面的探索。

约250年前,经济学鼻祖亚当·斯密也撰写了一部非常著名、一直畅销至今的“安全通论”,简称《国富论》。在激烈的自由市场竞争中,如果将“竞争成功”看作安全,而将“竞争失败”看作不安全,那么亚当·斯密的“安全通论”便可形象地概括为一句话:看不见的手。更详细地说,就是“人人都试图用其资本来使其生产品获得最大价值。一般来说,他并不企图增进公共福利,也不清楚增进的公共福利有多少,他所追求的仅仅是个人安乐和个人利益,但当他这样做的时候,就会有一双看不见的手,引导他去达到另一个目标,而这个目标绝不是他所追求的东西。由于追逐他个人的利益,却经常促进了社会利益,其效果比他真正想促进社会效益时所得到的效果为大”。亚当·斯密“安全通论”中的各种改进和充实层出不穷,甚至已经发展成多门学科,如数量经济学、经济数学、一般均衡理论等。

约150年前,达尔文创立的“进化论”其实就是生物界的“安全通论”。如果将生物种群的“灭绝”看作不安全,“生存”看作安全,那么达尔文“安全通论”的“核心定理”便可以总结为“物竞天择,适者生存”或“自然选择是生物进化的动力”。当然,达尔文“安全通论”的影响力已经不仅仅限于生物界了,甚至跨越了自然科学和社会科学,极大地改变了人类的世界观。

前面介绍的所有“安全通论”案例,大多出自人文或社科领域。但是,别误会,其实“安全通论”在自然科学界也比比皆是。

完全由抽象数学公式写成的“安全通论”,名叫“博弈论”,它由计算机之父冯·诺依曼等科学家于1944年最终创立,它已成为现代数学的一个新分支,也是运筹学的重要内容。如果将斗争(或竞争)中的“获胜”当作安全,“失败”当作不安全(当然,这里的“安全”或“不安全”不再有明显的界限,而是由具体的数字量化描述,行话叫“收益函数”或“权重”),那么冯·诺依曼“安全通论”就主要研究公式化的激励结构间的相互作用,研究具有斗争(或竞争)现象的数学理论和方法,研究对抗游戏中个体的预测行为和实际行为及其优化策略等。该理论的核心定理便是著名的“纳什均衡定理”。如今,冯·诺依曼“安全通论”已被生物学家用来理解和预测进化论的某些结果;被经济学家用作标准分析工具之一,并在金融学、证券学等领域扮演着重要角色;被社会科学家用于处理国际关系、政治学、军事战略等学科的重要问题。

在现代通信中,如果将“1比特信息被无误差地传输到收信端,比如1传成1或0传成0”看作安全,而将“信息被传错,即1传成0或0传成1”看作不安全,那么此种情形下的“安全通论”便是众所周知的“信息论”,它于1948年由天才科学家克劳德·艾尔伍德·香农创立。该理论的核心只有两个定理,其一是“信道编码定理”,其二是“信源编码定理”。如今,香农“安全通论”已经成为IT领域的“指路明灯”,其重要性怎么描述也不过分。如果没有它,人类可能就无法进入所谓的信息时代、数字时代或网络时代。

如果将系统(准确地说是系统中的信息)的“失控”看作不安全,将“受控”看作安全,那么与之相应的“安全通论”便是如雷贯耳的“控制论”(其实应该叫“赛博学”),它由诺伯特·维纳等于1948年创立。虽然维纳版的“安全通论”没有明确的“核心定理”,但是它却再一次彻底刷新了人类的世界观,揭示了系统的信息变换和控制过程。虽然一般系统具有物质、能量和信息三要素,但是维纳却只把物质和能量看作系统工作的必要前提,并不追究系统到底由什么物质构造或能量如何转换等,而是着眼于信息方面,研究系统行为方式的一般规律,特别是动态系统在变化的环境中如何保持平衡或稳定状态,即“受控”中有“失控”、“失控”中含“受控”的《易经》思想。与其他只研究特定物态系统,只揭示某一领域具体规律的专门科学相比较,维纳版“安全通论”是一门带有普遍性的横断科学,其思想和方法已渗透到了几乎所有自然科学和社会科学领域。

其实,在不同领域,为了不同目的,人们还创立了多种其他版本的“安全通论”,包括但不限于:1968年贝塔朗菲等创立的“一般系统论”,1969年普里戈金等创立的“耗散结构理论”;20世纪70年代哈肯等创立的“协同学理论”,艾肯等创立的“超循环理论”,塞曼等创立的“突变论”;此外,还有诸如“混沌理论”“分形理论”等都可以在某种程度上纳入“安全通论”的范畴。

与上面创立不同版本“安全通论”的所有伟人相比,本书作者可能比较渺小。但是,“位卑未敢忘忧国”,毕竟在赛博时代,在人们一刻也不能离开的网络空间中,以黑客为代表的破坏者们已经把全世界的用户搞得焦头烂额,以至于全球安全专家(红客)随时都在忙于“救火”:黑客造病毒,红客就得杀病毒;黑客破密码,红客就得忙着加密;黑客非法进入系统,红客就得研制防火墙;黑客兵来,红客就得将挡;黑客水来,红客就得土掩。总之,网络空间安全已经被分裂成至少十余个“几乎互不搭界”的分支,网络安全专家也被逼成了“高级工匠”,以至于谁也没精力考虑网络空间安全是否存在统一的基础理论,以及如何建立这样的统一基础理论等核心问题。作者不才,甘愿冒此风险,第一个吃螃蟹,来认真探索构建“网络空间安全基础理论”或“信息安全基础理论”的课题。

因此,本书所指的“安全通论”,实际上是“信息安全通论”或“网络空间安全通论”。但是,一方面为了使书名简洁,另一方面也由于书中的许多思路和方法来自于其他学科的“安全通论”,而且许多结果也能推广到其他学科的“安全通论”,所以采用了“安全通论”作为书名。

虽然本书篇幅已经不小(数百页之多),但我们仍然觉得“安全通论”没有最终完成,因为理想的“安全通论”应该是:(1)要么像香农的《信息论》那样,仅仅由1篇文章和少数几个(2个)定理搞定。(2)要么像冯·诺依曼的《博弈论》那样,虽然篇幅巨大(1000多页),但核心定理只有一个(纳什均衡定理)。

那为什么在“安全通论”没有最终成熟之前,我们就决定出版此书呢?原因有四:(1)到目前为止,本书的某些结果已经足以刷新过去的许多安全观念,有利于网络空间安全的攻防双方改进各自的思路和方法。这也是本书为什么要增加一个副标题“刷新网络空间安全观”的原因。(2)从纯学术角度看,本书的内容已经画出了一个完整的闭环。虽然这个闭环还不是很完美(主要是不够精练),但却已能自圆其说,一个网络空间安全基础理论体系已经清晰可见。第1章,从理、工、哲、经、管等角度,论述了安全的本质,特别再次剖析了信息安全,为后续各章指明了方向。第2章,利用数学方法,从“我”的角度,在锁定时间和对象的情况下,将主观问题客观化,抽象地描述了安全本质和逻辑结构,即安全经络图。第3章,揭示了网络空间安全的第一主角(黑客)的本质及其最佳攻击战略、战术和生态演变规律。第4章,揭示了另一主角(红客)的量化实质(安全熵的维护者),用图灵机给出了安全问题的主观和客观描述,并给出了红客是否最佳的判别标准。网络空间安全的核心是“对抗”,接下来的第5~13章,是本书的主体,在第1~4章的基础上,对网络空间中的安全对抗进行了全面而系统的量化论述,包括各种攻防的可达极限、最佳攻防策略算法、宏观态势、中观态势、对抗的演化规律,以及由红客、黑客和用户三者形成的安全生态演变规律。特别地,发现了“信息论”和“博弈论”的异常密切联系,实现了“三论”融合,还顺便给出了困扰人们数十年的所谓“多用户信息论的信息容量极限计算”的博弈论解。另外,还对维纳提出的“对话问题”首次给出了数学模型和博弈论解答。第14~16章,分别就三种特殊的安全攻防进行了单独研究,其实相应的研究方法也可以扩展到其他安全领域。(3)单凭作者自身的能力(甚至是全球安全界的努力,因为他们根本无暇“抬头看路”,只顾“埋头拉车”,正努力成为“合格的网络建筑师”),几乎不可能将如此厚厚一本专著浓缩成一篇短文,甚至一个定理(当然,这并不意味着我们将放弃这方面的努力)。与其自己关门苦想,还不如公开所有秘密,吸引全球特殊兴趣者共同奋斗,为网络空间创建“安全通论”。毕竟,像香农、维纳或冯·诺依曼这样的英雄人物,全世界几百年才可能出几位,而且即便这些天才,也是在前人成果的基础上才最终成功的。我们甘愿做无名的铺路石,为“安全通论”的最终成熟做出应有的奉献。(4)还有一个不用回避的原因(虽然不那么高尚),那就是本书的副产品——科普书籍《安全简史》,刚一出版就引起了轰动,热销程度完全出人意料。因此,我们便想趁机推出《安全通论》,希望某位现在还是安全外行的潜在的“香农”(如博弈论专家、经济学家、系统论专家、数学家,甚至某位中学生等)能够偶然读到此书,并最终奇迹般地完成“安全通论”。

此外,世界观对方法论的影响在本书中也表现得淋漓尽致。因此,即使你不关心网络空间安全,本书也许仍然对你的科研工作有所启发。比如:全书其实通篇都充满了“控制论”思想,虽然并没有在定理上体现出来(因为“控制论”本身就没有定理);第3章、第5~7章压根儿就是“信息论”的巧妙应用;第2章和第4章完全可以看成“系统论”的一部分;第7~9章显然来自“博弈论”;第10章及以后各章无处不见“耗散结构理论”“协同学理论”和“突变论”的影子。总之,本书完成后,我们才发现,“安全通论”几乎等价于“控制论”的一种具体应用!这虽然确实出乎我们的意料,但这真的是自然形成的,并非作者刻意为之,更不是想拉“控制论”的大旗作虎皮。其实在国内,现在“控制论”都快被大家遗忘了。

本书是作者“闭关”五年,潜心研究的结果,但是由于作者能力有限,书中难免有不足之处,诚心欢迎大家批评指正,真心希望“安全通论”健康成长!作者 杨义先 钮心忻2017年10月19日于花溪第1章 信息安全再认识

如今,一提起信息安全保障,业界同行马上想到的便是所谓的“信息安全六性”,即真实性、保密性、完整性、可用性、不可抵赖性、可控制性,而且全球信息安全专家都正将主要精力聚焦于如何实现该“六性”。必须承认,专家们没错,而且在当前情况下,这可能还是唯一正确的选择。但是,坦率地说,这只是低层次的工程思维!实际上,如果“网络空间安全学科”永远都被这“六性”牵着鼻子走的话,那么今天的“六性”明天可能就会扩展成“七性”,再后来便是“八性”“九性”等。相应地,解决这些“性”的方法也会越来越多,越来越专,越来越散。于是,网络空间安全学科将被撕成越来越细的“碎片”,以至于最终大家都迷失方向,像无头苍蝇一样乱撞,不断消耗着全社会的人力、物力和财力,导致攻防双方共输的局面。因此,若想建立网络空间安全学科的“统一基础理论”,就必须站在更高的角度重新来认识信息安全。

早在两千多年前,老祖宗的《黄帝内经》就指出“上医治未病,中医治欲病,下医治已病”。可是,直到如今,全世界的信息安全专家都只想到“治已病”,偶尔也有几人在考虑“治欲病”,但几乎没人考虑“治未病”!本书想在“治未病”方面做一点尝试,希望对后来者有用。为了表述方便,本书交替使用“信息安全”“网络安全”或“网络空间安全”等词汇,虽然它们略有区别,但是从建立统一安全基础理论角度来看,就没必要再做细分了。

本章对信息安全界来说是非常重要的,而且还比较新鲜,估计许多信息安全专家过去都没有认真思考,甚至没见过本章的部分内容。这也许正是信息安全界摆脱纯工程思维所缺少的关键,因为若想研究信息安全,就必须首先舍得花精力,努力搞清楚到底什么是安全。然而至今,包括作者在内的所谓信息安全专家,严格说来都好像名不副实!准确地说,我们不是“安全”专家,而是“不安全”专家。因为,我们几乎没研究过“安全”,而是在全力以赴研究“不安全”,甚至被“不安全”牵着鼻子走。今天,黑客在东边制造了“不安全”,于是呼啦一下,大家都奔东边;明天西边“不安全”,轰隆,西边又枪炮齐鸣;可就是没人理睬“安全”,甚至根本不关心“安全”到底是什么!

当然,对以人身安全保障等为目标的“安全工程学科”来说,本[1,2]章内容简直就是入门知识,甚至是该专业本科生的必修基础课。可见,不同学科之间真的需要深入交流、相互学习。第1节安全的基本概念及特征

根据马斯洛需求层次理论,人类的需求可以像阶梯一样,从低到高按层次分为五种,分别是生理需求、安全需求、社交需求、尊重需求和自我实现需求。而安全需求又主要包括人身安全、健康保障、资源所有性、财产所有性、道德保障、工作职位保障、家庭安全等。马斯洛还认为,整个有机体其实就是一个追求安全的机制,人的感受器官、效应器官、智能和其他能量等都主要是用来寻求安全的工具,甚至还可以把科学和人生观都看成满足安全需要的一部分。《新华字典》对安全的解释是:安全,指没危险、不出事故。其中:“安”字是指不受威胁、没有危险,即所谓无危则安;“全”字是指完满、完整、齐备或指没有伤害、无残缺、无损坏、无损失等,可谓无损则全。因此,“安全”通常是指人员免受伤害、财产没有损失、设备未被破坏等状态。《韦氏大词典》对安全的定义是:没有伤害、损伤或危险,不遭受危害或损害的威胁,免除了危害、伤害或损失的威胁。

如果只看权威字典,那么,“安全”的概念就相当清楚了。可是,如果再要以理工科的标准来追问什么才算“安”,什么才是“全”,那么就很难办了。因为,无论是“安”也好,“全”也罢,它们都是形容词,而理工科领域中,很少有(甚至几乎没有)以形容词为研究对象的学科。若不信,你掰指头算算,数学、物理、化学、计算机、光学、电子学等,哪一门学问的研究对象不是名词或动词?一旦遇到形容词,理工科就没法量化了,当然就更难深入研究了。这也许就是过去信息安全界刻意回避“安全”的某些模糊内涵的原因吧。但是,如果从入门处就把“安全”割裂成多个概念,那就根本不可能有统一的安全基础理论了。所以,下面就来认真分析“安全”的理工科本质。

其实,安全是一个动态过程或状态,其目标是使人和物不受伤害;安全也是一种理念,即人和物不受伤害的理想状态;安全还是一种特定的技术状态,即满足一定指标要求的物态,这也是过去信息安全界关注的重点。

安全与人密切相关,因此安全性与人性也不可分离。而人性包括自然属性和社会属性,因此安全也有其相应的自然属性和社会属性。

安全的自然属性包括:(1)安全是人的生理与心理需要,或者说,是由生存欲望决定的自我保护意识,这是安全存在的主动因素。(2)对各种灾难的无奈促使人类不得不随时关注安全,这虽然是被动因素,但它与前面的主动因素相结合,就决定了“安全是人类的永恒主题”。

安全的社会属性也包括两方面:(1)社会安定、有序、进步始终是全人类追求的目标,而实现这一目标的前提就是安全,这是社会促进安全的正向作用。(2)人类的某些社会活动(如政治、军事、文化、社交等)可能会直接或间接地破坏安全,这便是社会对安全的逆向作用。特别是信息安全中的所有破坏力量,几乎都来自于人类自己,更准确地说,来自于各种黑客行为。

所以说,网络空间安全,其实是人(红客)与人(黑客)的对抗。严格来讲,安全的社会属性就是在安全要素中,“人与人相互关联”的演化规律和过程。

当然,安全的自然属性与社会属性是不可分割的,只有用系统的观点来研究安全各要素间动态的、有机的联系,才能正确把握安全的发展动态及其规律(这句看似平常的话很关键,它甚至决定了本书的走向;而过去信息安全界的系统论观念却非常淡薄)。因此,安全的系统属性正是其自然属性和社会属性的耦合点,并且这种耦合过程始终会受到一定时期、一定条件的约束,即人们所能接受的安全标准也是在不断变化和调整的。

安全主要有以下七个基本特征:(1)安全的必要性和普遍性。安全是人类生存的必要前提,而不安全的因素却又是客观存在的,并且还十分普遍。包括网络空间在内,在人类活动的一切领域中,都必须努力减少失误、降低风险,尽量使物趋向于本质安全化,使人能控制和减少灾害,维护人与物、人与人、物与物相互间的协调运转。(2)安全的随机性。安全描述的是一种状态,带有很大的模糊性、不确定性。所以,安全状态具有动态特征,它是随时间而变化的。安全状态的存在和维持时间、地点及其动态平衡的方式都带有随机性。如果安全条件发生变化,人与环境间的关系失调,那么安全问题就会随时发生。(3)安全的相对性。安全与不安全的界限并不是绝对的,或者说,绝对安全的状态根本不存在。任何事物都包含着不安全的因素,安全只是一个相对概念。在实践中,人们客观上会自觉或不自觉地认可某种安全水平。当实际状况达到该水平时,就认为是安全的,否则就认为不安全。安全的程度和标准取决于多种因素,包括但不限于相关人员的生理和心理承受度、科技水平和政治经济状况、伦理道德和安全法学观念、物质和精神文明程度等。(4)安全的局部稳定性。虽然不存在无条件的绝对安全,但有条件的局部安全还是可以达到的。网络空间安全的各种保障措施就是想要实现并维持这种局部安全。(5)安全的经济性。安全是可以产生经济效益的。一方面,安全可以直接减少损失;另一方面,安全还可以保障系统正常运行,从而间接创造价值。(6)安全的复杂性。安全与否,取决于人与环境间相互关系的协调。人是安全的主体,因此,人的复杂性自然就导致了安全问题的极大复杂性。此处,人的复杂性至少体现在生物性和社会性两方面,如思维、行为、心理和生理等个体复杂性,以及人与人之间的社会复杂性等。(7)安全的社会性。安全与社会的稳定直接相关。一方面,安全问题,特别是严重的安全问题会成为影响社会安定的重要因素;另一方面,如果不出现安全问题,那么社会各方都会受益。

从根源上看,任何安全问题都可归因于人与物(技术、环境)的综合或部分欠缺。从另一角度看,安全活动所追求的目标,也正是要保护人和物(技术、环境),修补相关欠缺。从安全的实现手段看,除了技术措施,还需要人的合作和环境的协同等,因此,安全系统其实是由人、物、人与物构成的复杂系统。这里,“人”是安全的主体和核心,是研究一切安全问题的出发点和归宿。人既是保护对象,又是危害因素,没有人的存在就不存在安全问题。比如,若没有黑客也就没有网络空间安全问题。“物”是安全的保障条件,当然,也可能是危害的根源。“人与物”包括人与人、人与物的安全关系。这里的关系既包括空间和时间的关系,又包括物质、能量与信息间的关系等。第2节从哲学角度看安全

看到本节的标题,信息安全界的某些学者可能会不屑一顾。但是,看过本节后,你就会对后面各章有更深刻的理解。实际上,本书处处都是“世界观决定方法论”的案例,因为,从不同的角度看安全就会有不同的研究方法,而信息论、博弈论、控制论、系统论、耗散结构理论、协同学、超循环理论、突变论、混沌理论、分形理论、集合论、均衡理论、图灵机理论、概率论等都只不过是工具而已。过去信息安全界的主要问题之一可能就是:大部分人并没有认真考虑过到底什么是“安全”。相关教材也基本忽略了这方面的知识,而是一入门就鼓励大家冲到计算机旁去敲键盘。如此一来,当然就容易迷路了。

现在请暂时忘掉所有技术细节,从哲学的高度重新审视一下“安全”。

1.“安全”与“不安全”的统一性和矛盾性“安全”确实很难研究,甚至有时都不知道该如何下手,因为“安全”经常是说不清、道不明的;但是,如果能够把“不安全”搞清楚,那么“安全”也就搞清楚了。因为,“安全”与“不安全”是一对矛盾,它们相伴相存。安全是相对的,不安全是绝对的。

安全的相对性表现在三方面:

首先,绝对安全的状态是不存在的,安全是相对于不安全的。

其次,安全标准是因人、因事、因时、因物等而变化的,抛开环境谈安全是不现实的。

最后,安全对人的认识而言,也具有相对性。

不安全的绝对性表现在:任何事物一诞生,就存在不安全的可能性;在事物发展过程中,不安全度也许变大或变小,但绝不会消失。不安全存在于一切系统的任何时间和空间中,无论技术多先进、设施多完善,人与环境综合功能的残缺都始终存在,不安全因素也始终存在。

安全与不安全是一对矛盾:一方面,双方互相反对、互相排斥、互相否定,安全度越高不安全度就越低,反之亦然;另一方面,安全与不安全又互相依存,共同处于一个统一体中,存在着向对方转化的趋势。

2.安全的系统观

在人与环境(如赛博网等)构成的系统中,影响安全(或不安全)的因素很多,因果关系错综复杂。若要搞清安全(或不安全)的内在规律,就必须全面地分析各要素,对相关的开放、复杂大系统进行分析和综合。在多种安全(不安全)原因中,要区分主因和次因、内因和外因、直接原因和间接原因、客观原因和主观原因等。要集中力量抓住内部的主要矛盾,用系统的观点进行分析,充分考虑系统的整体性、有机性、层次性。

特别需要注意的是,系统整体的功能不等于各组成要素的性质和功能的简单叠加,而是大于部分之和,它具有其要素所不具有的性质和功能。尤其对不安全而言,一个不安全漏洞与另一不安全漏洞相加,并不等于(而是远远大于)两个不安全漏洞。

系统的整体性产生于系统内部各要素相互作用、相互联系的某种协同效应。系统整体性的强弱由要素间协同作用的大小决定。因此,多种安全和不安全要素叠加在一起时,整体影响力会大大增加。所以,为使系统总体功能向安全方向发展,就必须统筹各要素,增加安全因素的整体功能,削弱不安全因素的整体功能。

在安全(或不安全)这个复杂的大系统中,有些要素处于主导地位和支配地位,有些要素处于从属地位和被支配地位,因此需要充分考虑各要素之间的关系,以利于实现系统的整体安全。在本书中,安全的系统观扮演着十分重要的角色,甚至可以说,若没有安全的系统观,就不可能有“安全通论”。

3.安全中的质变与量变

从哲学角度看,变化分为两种:量变与质变。现借用安全工程学科的术语,将安全的量变称为流变,而将质变称为突变。在安全领域,流变与突变是普遍存在的,只不过人们对流变的感觉不明显,而突变则会产生严重的不安全事件。

流变是一种缓慢的变化过程,突变则是流变过程的中断,是质的飞跃。流变和突变也是相互统一的,这主要表现在以下三个方面:

一是流变与突变既是相对的,又是相互依存的。从安全角度看,没有绝对的流变与突变。离开了流变,就无所谓突变;离开了突变,流变也无从谈起。事实上,要想明确区分流变和突变也是很困难的,因为安全过程始终保持着一定的连续性,总是存在中间的过渡环节。总之,在空间、时间、结构、形态、物质、能量、信息等的变化方面,流变和突变都只有相对意义。

二是流变和突变的层次性。针对具体的对象,安全的流变和突变总是联系着某个具体的物质、能量、信息层次。在同一层次上,流变和突变有其具体的表现形式,可以进行严格的界定,因此不同层次的流变和突变有其不同的表现形式。针对某种具体的安全变化过程,在低层次可能是突变,而在高层次则只属于流变。比如,某人隐私信息泄露后,对当事者来说,就是突变;而对整个网络空间来说,则只是流变而已。

三是流变和突变的相互转化。在一定条件下,流变可以转化为突变,突变也可以转变为流变。比如,网络舆情的发展过程,起初只是流变,一旦发酵到某种程度就会突变,甚至引起社会动荡。另外,成功的网络安全应急处置其实就是将突变转化成流变。流变表现为微小而缓慢的量变,突变表现为显著而迅速的质变;在流变中往往也有部分质变,在质变中也伴随着量变。质变后,总会出现流变和突变的新周期,如此循环往复,以至无穷。看似安全的东西,由于某种随机因素的影响,猛然间可能会发生雪崩式的变化。突变向流变的转化往往是在突变后,在新的场景下出现平稳的变化状态,开始新的变化周期。这时微小的扰动和涨落对安全没有明显的影响。

4.安全事件的必然性和偶然性

在对待安全问题时,必须处理好必然性与偶然性之间的关系。对于有利的偶然因素,应创造条件促其发生,不能守株待兔;对于有害的偶然因素,应尽可能避免,并做好应急准备,做到有备无患,不能怀有侥幸心理。

5.安全问题的简单性和复杂性、精确性和模糊性

网络空间安全既复杂又简单,是复杂和简单的统一体。一方面,网络系统充满了多层次的安全和不安全矛盾,相互间形成了极为复杂的结构和功能,同时又与外界有诸多联系和相互作用;另一方面,网络系统又是可分解的,甚至分为简单要素、元素、单元。网络可看成许多单元的集合,网络间的联系和所遵循的基本规律,又是简单而机械的。

安全的精确性和模糊性,主要体现在:安全与不安全之间,没有精确的界限,只有一片模糊,但是这种模糊又可用精确的数字来解释。相对模糊的定性描述有利于制定和落实安全措施;但是,在技术装备方面,就不宜太模糊,否则就会降低安全度。安全需求不能精确描述,将会导致预想和实际状态之间的安全界限模糊。因此,在观察同一实际情况时,有人认为是安全的,有人却认为不安全。总之,在具体情况下,必须处理好安全的精确性和模糊性关系。

6.安全的哲学观

本书不打算讨论哲学本身,而是直接罗列安全的以下哲学观:(1)对待每一次安全事件,必须客观地分析其前因后果,达到主观与客观的统一,努力搞清事件从发生、发展到结束的全部过程,以便为今后积累经验和教训。(2)必须全面了解和具体分析目标网络的复杂联系,在众多联系中找出与安全相关的直接的、内部的、本质的、必然的联系,从而有利于把握网络安全的规律。(3)在动态中把握安全规律,即在考虑安全问题时必须加入时间概念。在动态中抓住安全发展的趋势,不断研究新情况和新问题;通过对未来安全的分析,加深对安全现状的认识。(4)网络安全的核心,就是黑客的“攻”与红客的“守”这对矛盾的运动变化和发展规律。

因此,区分主要矛盾和次要矛盾、矛盾的主要方面和次要方面就显得十分必要。矛盾在不同时期有不同的特性,这就使安全的发展显示出过程性和阶段性。矛盾的质,若发生变化,则安全状态也要发生根本变化。第3节安全面面观

为了更深刻地理解安全实质,本节将不断变换角度,反反复复地从不同侧面给安全“画像”。虽然它们只是宏观定性的介绍,但是对于理解以后各章的定量研究将会很有帮助。对本节相关细节有兴趣的[3]读者,可阅读《安全简史》的第13章“安全管理学”、第14章“安全心理学”、第15章“安全经济学”、第17章“信息与安全”和第18章“系统与安全”。虽然《安全简史》看起来像科普书,但其实它的后半部分主要是给信息安全界补课,让大家向安全工程专业界学习,在研究信息安全之前,先努力搞清楚什么是安全。

1.从系统科学角度看安全

从该角度看见的安全称为“安全系统”或“安全系统论”。为避免深奥的系统论知识,我们先看一个故事。

有位国王特别擅长逻辑学,为彰显其缜密的思维,他制定了一条奇怪的法律:每个死囚在被处死前都要说一句话,如果这句话是真话,那他将被砍头;如果这句话是假话,那他将被绞死。

国王对这条法律很得意,因为按照逻辑,一句话要么是真话,要么是假话,不可能有第三种可能性。因此,死囚要么被砍头,要么被绞死。

可是有一次,聪明的系统安全学家被押赴刑场后,他却说:“我将要被绞死!”这下逻辑学国王傻眼了。因为,如果国王将系统安全学家绞死,那么“我将要被绞死”便是真话,但根据法律,“说真话将被砍头”;如果国王将系统安全学家砍头,那么“我将要被绞死”便是假话,但根据法律,“说假话将被绞死”。总之,无论国王如何行刑,他都会破坏自己的法律,从而陷入不能自拔的矛盾之中。

那么,这个矛盾是从哪里冒出来的呢?答案就是:从系统中冒出来的!在缺乏系统思维的情况下,如果最严谨的“逻辑学”都会出现漏洞的话,那就更别说安全等其他科学了。实际上,许多东西,从局部上看虽是天衣无缝,但从整体上重新考虑时便会漏洞百出,当然也就会引发相应的安全问题,用行话说,这便是安全系统的整体性。

同样,从孤立角度看是天衣无缝的东西,若从关联角度来看,就可能出现矛盾,用行话说,这便是安全系统的关联性。从低等级结构角度看是天衣无缝的东西,若从高等级结构角度来看就可能出现矛盾,用行话说,这便是安全系统的等级结构性。从静态角度看是天衣无缝的东西,若从动态角度去看就可能出现矛盾,用行话说,这便是安全系统的动态平衡性。从正时序看是天衣无缝的东西,若从逆时序去看就可能出现矛盾,用行话说,这便是安全系统的时序性。分散开来看是天衣无缝的东西,若从统一角度看就可能出现矛盾,用行话说,这便是安全系统的统一性。

总之,安全系统论的认识基础,就是所谓的“系统思维”,即对系统的整体性、关联性、等级结构性、动态平衡性、时序性、统一性等本质属性进行最优化,至少避免出现漏洞和矛盾,从而避免相应的安全问题。

安全系统论主要研究系统的安全分析、安全评价和安全控制。下面进行具体分析。(1)系统安全分析。要提高系统的安全性,减少甚至杜绝安全事件,其前提条件之一,就是预先发现系统可能存在的安全威胁,全面掌握其特点,明确其对安全性的影响程度。于是,便可针对主要威胁,采取有效的防护措施,改善系统的安全状况。此处的“预先”意指:无论系统生命过程处于哪个阶段,都要在该阶段之前,进行系统的安全分析,发现并掌握系统的威胁因素。这便是系统安全分析的目标,即使用系统论方法辨别、分析系统存在的安全威胁,并根据实际需要对其进行定性、定量研究。(2)系统安全评价。系统安全评价要以系统安全分析为基础,通过分析和了解来掌握系统存在的安全威胁。系统安全评价不必对所有威胁采取措施,而是通过评价掌握系统安全风险的大小,以此与预定的系统安全指标相比较,如果超出指标,则应对系统的主要风险因素采取控制措施,使其降低至标准范围之内。(3)系统安全控制。只有通过强有力的安全控制和管理手段,才能使安全分析和评价产生作用。当然,这里的“控制”需要从系统的完整性、相关性、有序性出发,对系统实施全面、全过程的风险控制,以实现系统的安全目标。

用系统论方法去研究安全时,需要重点关注以下五个方面。

第一,要从系统整体性观点出发,从系统的整体考虑,解决安全威胁的方法、过程和要达到的目标。比如,对每个子系统安全性的要求,要与实现整个系统的安全功能和其他功能的要求相符合。在系统研究过程中,子系统和系统之间的矛盾以及子系统与子系统之间的矛盾,都要采用系统优化方法,寻求各方面均可接受的满意解。同时,要把系统论的优化思路贯穿到系统的规划、设计、研制、建设、使用、报废等各个阶段中。

第二,突出本质安全,这是安全保障追求的目标,也是系统安全的核心。由于安全系统论中将人、网、环境等看成一个“系统”,因此,不管是从研究内容还是从系统目标来考虑,核心问题都是本质安全,即研究实现系统本质安全的方法和途径。

第三,人网匹配。在影响系统安全的各种因素中,最重要的是人网匹配。

第四,经济因素。基于安全的相对性,安全投入与安全状况是彼此相关的,即安全系统的“优化”受制于经济。但是,基于安全经济的特殊性(安全投入与业务投入的渗透性、安全投入的超前性与安全效益的滞后性、安全效益评价的多目标性、安全经济投入与效用的有效性等),就要求在考虑系统目标时要有超前的意识和方法,要有指标(目标)的多元化的表示方法和测算方法。

第五,安全管理。系统安全离不开管理,而且管理方法必须贯穿于安全的规划、设计、检查与控制的全过程。

总之,“安全系统论”就是要用系统论的方法,从系统内容出发,研究各构成部分存在的安全联系,检查可能发生的安全事件的危险性及其发生途径,通过重新设计或变更操作来减少或消除危险性,把安全事件发生的可能性降到最低。

2.从控制论角度看安全

从该角度看见的安全,称为“安全控制”或“安全控制论”(其实,“控制论”本该叫“赛博学”,但为了避免读者分心,我们仍然[3]沿袭传统;对此有兴趣的读者,可阅读《安全简史》的第16章“正本清源话赛博”)。

安全控制的一般步骤为:

首先,建立安全的判断标准。

其次,衡量安全的实际情况与预定目标之间的偏差,确定如何纠正该偏差。

最后,采取相应的安全管理、安全教育和安全工程技术等措施,消除隐患。

安全控制的基本原则包括:

第一,闭环控制原则。从输入到输出,通过信息反馈进行决策,并控制输入,由此形成一个完整的控制过程,称为闭环控制。闭环控制要讲究目的性和效果性,要有评价、反馈和决策。

第二,动态控制原则。只有正确、适时地进行安全控制,才能收到预期效果。动态控制原则要求无论从技术上还是从管理上,都要有自组织、自适应的功能。

第三,分级控制原则。对系统的各组成部分(子系统)要采用分级控制,分主次进行管理。各子系统可以自我调整和控制。

第四,分层控制原则。安全事件的控制有六个层次:根本的预防性控制、补充性控制、防止危害扩大的预防性控制、维护性能的控制、经常性控制和紧急性控制。该原则要求安全控制、管理和技术的实现要有阶梯性和协调性,要采取多层控制,以增加可靠度。

安全控制的方法,主要有四种:

第一,信息方法。该方法完全撇开研究对象的具体结构和运动形态,把系统的有目的性运动过程(如安全保障过程)抽象为信息传递和转换过程。通过对信息流程的分析和处理,来揭示某一复杂系统运动过程(如安全保障过程)的规律,获得事物整体的知识,特别是其中信息接收、传递、处理、存储和使用的变换过程。与传统的经验方法不同,信息方法并不对事物进行剖析,而是仅仅综合考察信息流程。信息的普遍存在性和高度抽象性决定了信息方法应用范围的广泛性。

第二,黑箱方法。所谓黑箱方法,就是在客体结构未知(或假定未知)的前提下,给黑箱以输入,从而得到相应的输出;并通过分析输入和输出的关系来研究客体的方法。比如,把网络系统看成“黑箱”,将“攻”看成输入,系统反应为输出;再将“防”作为另一输入,达到所需的安全输出,并以此来探讨它们的对应关系。此时,不对箱子的性质和内容做任何假定,而只是确定某些作用于它的手段,并以此对箱子进行作用,使人与箱子形成一个耦合系统,并通过输入/输出数据来建立相应的数学模型,推导出内部联系。黑箱方法研究的不是箱子本身,而是人与箱子形成的耦合系统。

第三,反馈方法。这是一种“以原因和结果的相互作用来进行整体把握”的方法,其特点是:根据过去操作的情况去调整未来行为。所谓“反馈”,就是将系统的输出结果再返回到系统中去,并和输入一起调节和控制系统的再输出的过程。如果前一行为结果加强了后来行为,就称为正反馈;如果前一行为结果削弱了后来行为,就称为负反馈。反馈在输入、输出间建立起了动态的双向联系。

反馈方法就是“用反馈概念去分析和处理问题”的方法。它成立的客观依据在于原因和结果的相互作用,原因引起结果,结果也反作用于原因。因而,对因果的科学把握必须把结果的反作用考虑在内。比如,计算机病毒的查杀过程,就是一个典型的基于反馈法的安全保障措施。首先,及时获取网上的病毒反馈;其次,“对症下药”研制相应的杀毒软件;最后,继续监视网络情况等。

第四,功能模拟法。它暂时撇开系统的结构、要素、属性,而只是单独研究行为,并通过“行为功能”来把握系统的结构和性质。该方法的依据是维纳的如下重要发现:“从结构上看,技术系统与生物系统都具有反馈回路,表现在功能上则都具有自动调节和控制功能。这就是这两种看似截然不同的系统之间所具有的相似性、统一性。确切地说,一切有目的的行为都可以看作需要负反馈的行为。”

功能模拟法具有以下三个特点。

一是以行为相似为基础。该方法认为,系统最根本的内容就是行为,即在与外部环境的相互作用中所表现出的系统整体应答。因此,两个系统间最重要的相似就是行为上的相似。在建立模型的过程中,可以撇开结构而只抓取行为上的等效,从而达到功能模拟的目的。比如,在网络空间安全保障过程中,许多未知攻击的防御就依赖于分析各种大数据异常行为。

二是模型本身成为目的,而非手段,甚至将模型看成“具有生物目的性”的机器。而在传统模拟中,模型只是把握原型的手段,对模型的研究目标是获取原型的信息;但在功能模拟中,模拟却基于行为,以功能为目的。又比如,在安全对抗中,建立相应的攻防模型非常关键。

三是从功能到结构的技术路线。它首先把握的是整体行为和功能,而不要求结构的先行知识。但它并不否认结构决定功能,同时也不满足于行为和功能,它总是进而要求从行为和功能过渡到结构研究,获得结构知识。比如,在序列密码分析时,用线性移位寄存器去模拟未知的非线性密钥生成器的过程,便是从功能到结构的过程。

此外,还可从管理学、经济学、风险学、人机学、法学、心理学、行为学和文化、教育等角度,来重新审视“安全”,并将获得完全不同的“剖面图景”。有兴趣的读者,可阅读参考文献[1,2]。第4节安全系统的耗散结构演化

虽然本书后面的相关章节中将量化地分析网络空间安全的耗散演化规律,但本节将不涉及具体的公式推导,而是重点归纳安全系统的耗散结构特征(即开放的、动态的、非线性的、远离原始状态的等)、耗散结构的形成与演化等。对耗散结构理论不熟悉的读者,可阅读参考文献[4]。为了不分散读者的注意力,在此就不介绍相关入门知识了。

安全系统为什么是开放的?

因为安全系统是由人、设备和环境三大部分组成的系统。其中,人的因素作为安全系统的主体因素,必须与外界发生物质、能量和信息的交换,而安全需求又是人的本性。因此,人类在与外界进行物质、能量和信息交换时,必然就会将安全因素放在重要位置来考虑,这就决定了安全系统的开放性,即安全系统将与外界同时进行物质、能量和信息交换(当然,如果考虑的是网络空间安全,那么赛博网络本身的开放性更决定了网络安全系统的开放性)。

安全系统为什么是动态的?

一方面,人类对安全的需求本身就是动态的、不断提高的,所以安全系统也是动态的;另一方面,任何系统都具有动态特性,当然也就导致了安全系统的动态性。

安全系统为什么是非线性的?

其实,安全系统的非线性特征,表现在以下两个方面:

第一,如果安全系统是单纯的线性系统,那么就不会出现突变,没有突变就不会有突发灾难,这便从反面论证了安全系统是非线性的。

第二,当构成安全系统的各种因素变化时,并不会与系统运行结果进行线性对应。

安全系统为什么是远离原始状态的?

此处,安全系统的原始状态是指其中的安全因素处于熵、自由度、无序度最大的无组织、无结构的状态。具体表现为人、设备、环境三部分的混乱状态,即人的安全意识淡薄、安全教育落后、安全管理很差,人的行为不安全,物的状态不安全或人与物的相互作用有潜在危险、缺乏安全防护等。在这种原始状态下,安全风险很大,发生安全事件的概率最大,处于事故频发状态。但是,由于对安全的天然需求,人类自然会不断改善自己的不安全行为,调整物的不安全状态,加强安全管理和教育,重视自身的防护等。这些自发的、零碎的安全措施会减少安全问题的发生,减少人类受到的伤害,即人类会被动地摆脱高危状态,相应地,安全系统会被动地摆脱原始状态。其实,安全系统之所以会远离原始态,主要是由安全系统本身的属性所决定的,因为事物的内因是推动事物发展的动力,而安全属性就是安全系统的内因。

根据安全系统的上述开放性、动态性、非线性、远离原始状态性等,可知安全系统具备了形成耗散结构的必要条件,但是它们并非充分条件,所以下面分三个方面来论证安全系统为什么能够形成耗散结构。(1)安全系统剩余熵的增减。安全系统的开放性确保了它能够与外界进行物质、能量和信息的交换,因此,安全系统有机会输入负熵流或输出正熵流,使得安全系统剩余熵增加或减少。对于安全系统来说,熵增大就意味着安全系统的混乱度增大,这时就隐含着不安全因素,当条件成熟时,隐患便会转变成安全事故。安全系统与外界进行物质、能量、信息交换,如果这些交换合适(即安全保障措施适当),那么安全系统就可从外界吸收有序的、功能结构完整的物质流、能量流和信息流,这些流的加入将使安全系统的熵减少。另外,安全系统不仅能从外界吸收负熵流,而且也能向外界排放出自身的多余物,即无序的、功能结构散失的多余物,也就是正熵流。无论是吸收负熵流还是排出正熵流,都会使安全系统的熵减少,从而安全度提高;反之,如果熵被增加了,那么系统的安全度就会降低。当然,剩余熵的增减,只是安全系统的量变积累,不能达到质的飞跃,即不能仅仅通过剩余熵的增减来实现安全系统结构的转化,这里还需要另一个条件,就是突变,它来自于安全系统的非线性。(2)安全系统的扰动。此处的扰动是指安全系统的各个影响因素在其稳定态的微小波动,即以稳定态为中心,上下左右做微小的偏离(即变化)。安全系统的扰动可归因于人类行为的随机性、设备安全状态的随机性、环境变化的随机性,以及人与设备、人与环境、设备与环境相互作用的随机性,还有人、设备和环境三者间相互作用的随机性等。如果安全系统的剩余熵被极大地减少,那么安全系统将处于远离原始状态。这时,如果被某个微小的扰动激发,而且该激发处于远离原始状态的非线性区,并使得该非线性的相互作用在各安全要素之间产生协同作用和相干效应,就有可能使安全系统从杂乱无章变为井然有序。在正常情况下,安全系统中的扰动不会造成重大影响。但是在远离原始状态,且扰动又出现在非线性区时,微小的扰动就有可能造成系统质的变化,即质的飞跃、层次结构的更换,这便是所谓的“蝴蝶效应”。总之,安全系统中的扰动和远离原始状态的非线性相互作用,是安全系统从远离原始状态向耗散结构转变的决定性作用。(3)安全系统的耗散结构形成。从前面的论述,我们可以将安全系统的耗散结构形成过程归纳为:从安全系统的原始状态出发,由于人类自身的安全需求,人们将千方百计改善安全状况,脱离原始安全状态,从而不断减少安全系统的剩余熵,甚至使得该剩余熵达到很低的程度,以至于安全事件的频率大幅度减少,但并未从根本上改变高危状态,只能称为“远离原始状态的安全系统”。对于处于脱离但并未完全脱离原始状态的安全系统,这时系统中的各种因素都在非线性区内进行扰动,并最终在某个诱因的激发下,安全系统突变到另一种全新的安全状态。这时的安全状态便是自组织的、功能性的、结构性的,相应地就形成了安全系统的耗散结构。总之,非线性是安全系统产生自组织行为的内因,若无这个内因,扰动将不可能形成安全系统的耗散结构,从无序到有序的过程也将不会发生。安全系统通过自身的扰动、非线性、原始状态,在没有外界的特定干预下,形成空间、时间或功能上有序的耗散结构。该行为称为自组织行为,该结构称为自组织结构。

接下来,看看安全系统耗散结构是如何演化的,即如何走向新的、更高级、更有序的安全系统,或者如何走向更低级的、无序的、结构混乱的安全系统,或者安全系统耗散结构被破坏。下面从四个方面进行论述。

1.安全系统耗散结构如何维持

安全系统具有系统性、协调性、整体性和组织性。耗散结构的最本质特征就是消耗外界有序的物质、能量和信息,若没有消耗,耗散结构将不存在。这便决定了安全耗散结构维持的条件:由于安全系统本身的开放性和动态性,系统自身会产生熵增,即系统将变得越来越不安全,会自动向无序方向发展,会自动地变得越来越混乱,出现安全事故的危险度越来越高。由于安全系统的非线性,一旦出现危险涨落,将会激发安全灾难发生,从而反过来破坏安全系统的耗散结构。耗散结构若被破坏,则安全系统将回到原来的原始状态或近原始状态。因此,若要维持安全系统的耗散结构,首先必须保证开放性,然后让负熵流进入,同时排出正熵流。更进一步,定量地说,如果安全系统的剩余熵为正,那么安全系统的混乱度将增加;剩余熵若为负,则安全系统的有序度将增加;若剩余熵为零,则安全系统将处于稳定状态。换句话说,若要维持安全系统的耗散结构,则剩余熵不能为正。此处,剩余熵=安全系统的自然熵增-输入的负熵流-输出的正熵流。

2.安全系统耗散结构如何向高一级转化

在维持原有耗散结构,即剩余熵非正的情况下,如果进一步增加输入的负熵流,那么剩余熵将进一步降低,安全系统的有序度将进一步增加,此时的安全系统正在远离旧的耗散结构的稳定态。

随着负熵流的进一步输入,剩余熵进一步降低,安全系统的旧有耗散结构已经不能满足系统的安全需求,甚至可能阻碍和破坏局部新形成的更高一级的有序结构。这时的安全系统,可看作已经远离旧耗散结构这一稳定状态。

由于安全系统本身的非线性,再加上安全系统的安全涨落,假若该涨落发生在远离旧耗散结构的非线性区,那么安全系统将从旧的耗散结构,自组织突变为具有新结构、新功能、新特点的、更高级的耗散结构,从而实现安全系统耗散结构向高一级的转化。

在负熵流大量输入时,“不安全涨落”对于急于向更高级转变的安全系统是不起作用的,只有与安全系统状态相对应的“安全涨落”,才会发挥根本作用。这便是“历史潮流,顺之则昌,逆之则亡”的耗散结构解释吧。

那么,安全系统的上述转化动力是什么呢?其实,安全系统在从旧耗散结构向新耗散结构转化的过程中,会经历不稳定阶段。而该不稳定的原因是:在原有的、旧的耗散结构基础上,由于人们想进一步提高安全需求,而旧的耗散结构已经不能满足人们的安全需求,因此就出现了矛盾,该矛盾贯穿于整个转化过程之中。正是这种矛盾,推动了安全系统的上述转化。

由于人类的安全需求在不断提高,并且是永无止境的,所以安全系统向高级耗散结构转化的过程也是永无止境的。这就再一次证明了绝对安全是不存在的,或者说绝对安全作为一种极限的安全状态,各阶段的相对安全只能无限接近,但永远达不到。

3.安全系统耗散结构如何向低一级转化

安全系统耗散结构向低级的耗散结构转化的机制,其实类似于前述的向高一级的转化。当然,有一些本质的差别。

安全系统耗散结构的维持需要开放性来保证。当其开放性得不到保障时,就可能使安全系统远离耗散结构,并向低级转化。促使安全系统远离耗散结构稳定态的方式很多,但其核心只有一个,即剩余熵的变化。当安全系统与外界进行物质、能量、信息交换时,吸收负熵流和排出正熵流,都只是安全系统改变剩余熵的实现方式。安全系统的混乱度、有序度都以安全系统的剩余熵为基准:当剩余熵增大时,意味着安全系统的混乱度增大,安全系统处于比较无序的状态,各个安全因素将不会像以前那样有序地执行自己的安全职能。如果这种状况不及时制止,安全系统的剩余熵将会越来越大,甚至使得系统严重偏离原来的有序结构,即耗散结构。

处于远离耗散结构稳定态的安全系统,只要存在安全系统涨落(主要是指“不安全”涨落),而且该涨落出现在远离耗散结构的非线性区,那么安全系统就会由原来的耗散结构突变为更低级的耗散结构,即完成了安全系统耗散结构向低级的耗散结构的转化。

安全系统耗散结构也是一种用来约束安全系统各个因素的无形结构,以使各个安全因素执行各自的安全职能,从而保障安全性。当然,不同等级的耗散结构约束各个因素的能力也是不同的,所能达到的安全性也是不一样的。高级耗散结构所能达到的安全目标自然高于低级的耗散结构。

安全系统耗散结构约束各自安全因素的能力,不能根据安全系统各自因素的混乱程度来判断,而是要从各自完成安全任务的角度来考虑:安全任务完成得好的,约束力就强;反之,约束力就弱。当安全系统的剩余熵增大时,混乱度就跟着增大,各个安全因素的混乱度也增大,此时安全系统耗散结构约束各个安全因素的能力,相对来说就下降了,这些安全因素执行安全任务时,就不会那么到位,这时就会埋下安全事故隐患。在这种安全系统耗散结构下,这种隐患是本不该存在的,因为不同等级的耗散结构各有其相应的安全隐患。由于没有绝对安全的系统,所以事故隐患是永远存在的,只是随着耗散结构等级的提高事故隐患相应地减少,但绝不会完全消失。

对远离耗散结构的安全系统来说,这种偏向低级的耗散结构中孕育着大量的、本不该属于该等级耗散结构的安全隐患。如果安全系统

试读结束[说明:试读内容隐藏了图片]

下载完整电子书


相关推荐

最新文章


© 2020 txtepub下载