工程哲學信息安全論文

前言：尋找寫作靈感？中文期刊網用心挑選的工程哲學信息安全論文，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

1以“三元論”的視角審視信息安全管理體系

1.1科學、技術和工程“三元論”

Mitcham提出工程哲學（EngineeringPhilosophy）詞匯，并闡述哲學對工程的重要性，但是他認為工程處于技術之下，是技術的一部分，而李伯聰教授則認為科學、技術和工程是彼此獨立的個體，彼此既有聯系又有區別，科學、技術和工程“三元論”是工程哲學得以成立的基礎。科學活動是以探索發現為核心的活動，技術活動是以發明革新為核心的活動，工程活動是以集成建構為核心的活動。人們既不應把科學與技術混為一談，也不應把技術與工程混為一談。工程并不是單純的科學應用或技術應用，也不是相關技術的簡單堆砌和剪貼拼湊，而是科學要素、技術要素、經濟要素、管理要素、社會要素、文化要素、制度要素以及環境要素等多要素的集成、選擇和優化。“三元論”明確承認科學、技術與工程存在密切的聯系，而且突出強調它們之間的轉化關系，強調“工程化”環節對于轉化為直接生產力的關鍵作用、價值和意義，強調應努力實現工程科學、工程技術和工程實踐的有機互動與統一。

1.2信息安全管理體系的工程本質及特點

信息安全管理體系是基于業務風險方法，來建立、實施、運行、監視、評審、保持和改進信息安全的，包括組織結構、方針策略、規劃活動、職責、實踐、程序、過程和資源等內容。信息安全管理體系的支撐標準為ISO/IEC27000標準族。在ISO/IEC27000標準族中，不但給出了“建立、實施、運行、監視、評審、保持和改進信息安全的”“基于業務風險（的）方法”，而且還給出了信息安全管理體系的要求、實用規則、審核指南以及相關安全域的具體指南等。例如，僅GB/T22081-2008/ISO/IEC27002:2005信息安全管理實用規則，就包括了11個控制域，39個控制目標，133項控制措施。信息安全管理體系可在不同的學科中找到其淵源，在實施框架上，信息安全管理體系應用了質量管理中的Plan-Do-Check-Act的戴明環，在具體的控制措施上，則包括了密碼學、人員安全以及各類信息安全技術，其研究的特點是將科學思維、工程思維和社會思維相結合，但更強調工程思維的“設計”理論。工程研究活動不同于科學研究活動的基本特征就是“設計”。工程設計活動包括對象設計和過程設計。例如，建造水壩的壩體設計是對象設計，如何實施就是過程設計，在信息安全中，設計組織自己的信息安全管理體系是對象設計，設計如何部署是過程設計。

2信息安全管理體系的演化過程與規律

2.1信息安全管理體系的起源和發展

信息安全管理體系是建立在體系（System）化基礎上的“最佳實踐集”，到國際標準的正式公布，大致經歷了3個階段。第一階段為過度關注技術，忽略人的作用的“技術浪潮”階段，在這個階段涌現出了大量的信息安全技術產品，例如，防火墻、防病毒和入侵檢測系統（IDS）等。第二階段為強調人的作用的“管理浪潮”階段，在這個階段大部分企業開始設置專職的信息安全管理崗位，以加強對個人行為的控制。第三階段即“體系階段”，在體系階段信息安全以目標為導向，不再局限于手段的應用，而是技術、制度和人員管理等各個方面的有機結合。這個階段是信息安全的工程化階段，體現了工程的實踐性、經驗性、繼承性、創造性和系統性等特點。

2.2信息安全管理體系的動力和機制分析

信息安全管理體系的產生和發展過程是一個“需求驅動”的過程。AlvinToffler在其經典著作《第三次浪潮》中，將人類發展史劃分為第一次浪潮的“農業文明”，第二次浪潮的“工業文明”以及第三次浪潮的“信息社會”。在信息社會時代，“信息”成為重要的生產資料，價值非凡，因此面臨諸多風險，為保護信息，安全需求的出現是必然的。科學與技術的進步是信息安全管理體系的推動力。新密碼算法的產生，各類以“信息技術解決信息安全”的思路涌現，為信息安全管理體系的產生奠定了基礎。信息安全產生的本質原因是信息技術的發展和應用，反過來，解決信息安全問題又依賴于信息技術的發展。例如，速度更快，與防火墻形成聯動的入侵檢測系統。國家政策是信息安全管理體系應用的導向力。任何工程活動都是在社會大系統中開展的，都要接受國家（政府）的引導和調控。對工程創新的應用，企業的認識往往是滯后的，因此，國家出臺了一系列引導性政策。例如：商務部印發的商資發［2006］556號及商資函［2006］110號，以及各地方政府的鼓勵引導政策。

2.3信息安全管理體系的工程演化特點、方式和規律

對比國外，信息安全管理體系在國內發展體現出了明顯的跳躍性，這種跳躍性不但體現在信息工程領域，也表現在其他諸多領域。國內一般不會沿襲其循序漸進的路線，而是直接引用國外的先進經驗或者在國外已有的原型上進行模仿開發。在科學、技術和工程3個領域內，與文化、制度、歷史等環境因素聯系最緊密的就是工程。在信息安全領域內，作為基礎科學的密碼學，其算法“放之四海而皆準”，不會因東西方文化的不同而顯現不同的特征，絕大部分技術亦如此。但在工程層次，不同的文化制度有時會產生大相徑庭的結果，例如，騰訊QQ本來是模仿國際聊天軟件ICQ，但是經過十幾年的發展后，ICQ，MSN等點對點國外聊天軟件均瀕臨破產，但QQ在線用戶卻在2010年突破1億。信息安全管理體系雖然修改自國際標準，但也顯現出鮮明的文化特征。例如更強調保密性，和國外用戶相比，更多的認證取向等。

3信息安全管理體系的工程思維與工程方法論

3.1信息安全管理體系的工程思維

科學思維是“反映性思維”“發現性思維”，體現理論理性的認識，工程思維是“構建性思維”“設計性思維”和“實踐性思維”，體現實踐理性的認識?？茖W家通過科學思維發現外部世界中已經存在的事物和自然規律，工程師在工程活動中創造出自然界中從來沒有的工程構建物，工程設計是以價值當事人的特定需要為出發點,以構建某種與主體需要相符合的實體為歸宿的籌劃。信息安全管理體系標準族的GB/T22080-2008/ISO/IEC27001:2005原文中特別強調：“采用ISMS應當是一個組織的一項戰略性決策。一個組織ISMS的設計和實施受其需求和目標、安全要求、所采用的過程以及組織的規模和結構的影響，且上述因素及其支持系統會不斷發生變化。按照組織的需求實施ISMS是本標準所期望的，例如，簡單的情況可采用簡單的ISMS解決方案。”信息安全管理體系的部署過程也專門設有信息安全風險評估，目的就是找到企業實際存在的問題，然后“對癥下藥”。

3.2信息安全管理體系的工程方法論

信息安全管理體系應用了PDCA戴明環，與A.D.Hall的系統工程方法略有差別，但在本質上是遵循這個基本框架的。

4結語

信息安全管理體系既包括數論、密碼學和近世代數等科學元素，也包括軟件開發技術、單片機技術和網絡技術等技術元素，在工程哲學的視野下，是建立在一系列科學與技術基礎上的集成創新。在工程創新成為創新活動主戰場的今天，對其進行哲學分析，顯得尤為重要。這其中包括以下幾點。首先，要辯證地對待便利性與安全性的問題。正確利用信息系統，不僅是技術問題，也是哲學命題。堅持用“兩點論”的觀點看待便利性和安全性，在信息化發展的不同階段，正確分析主要矛盾和次要矛盾。在信息化發展初期，信息系統尚未大規模使用，主要矛盾是便利性，提高效率，但到現在，信息安全事件層出不窮，美國甚至成立了網絡戰爭司令部，信息戰成為攻擊手段之一，安全性就成了主要矛盾，“兩點論”是有重點的兩點論，要在看到主次矛盾和矛盾的主次方面的同時，分清主次，抓住主要矛盾和矛盾的主要方面。其次，從信息安全管理體系演化規律中發現集成創新的一般規律?？茖W、技術轉化為現實生產力的功能一般都要通過工程這一環節，因此，在我國建設創新型國家戰略的實施過程中，工程創新是一個關鍵性的環節。只有從大量的工程中發現工程創新的一般規律，從工程哲學的角度加以分析、歸納和引導，才能創新信息安全管理體系建設，發揮我國信息化發展的后發優勢。

作者：劉鵬照 官海濱 謝宗曉 單位：青島職業技術學院南開大學商學院