1、782022 年第 23 期总第 425 期新 传 媒VIEW ON PUBLISHING数字出版技术安全的现状与优化路径分析文/周映 汪鑫【摘 要】数字出版技术应用潜在和已经遇到的安全威胁有对门户网站的攻击、对业务网站的攻击、对内部数据的攻击以及伴随新技术应用产生的负面影响,上述安全问题的出现是理念缺位、制度缺失和举措缺乏的结果,为此,应坚持统筹发展和安全的基本理念,优化数字出版技术顶层设计,在技术升级、数据治理、标准宣贯和队伍培养等方面下功夫,以切实做到数字出版的安全发展、高质量发展。【关键词】数字出版技术;数字出版安全;数字出版高质量发展【作者单位】周映,中国联合网络通信有限公司软件研究
2、院;汪鑫,北京第二外国语学院文化与传播学院。【中图分类号】G230.7 【文献标识码】A 【DOI】10.16491/45-1216/g2.2022.23.015党的二十大报告指出,要统筹发展和安全,贯彻总体国家安全观,推进国家安全体系和能力现代化,把维护国家安全贯穿党和国家工作各方面全过程。数字出版作为国家文化产业的核心领域,如何保证统筹发展和安全,如何建构数字出版的安全体系和提升安全能力,既属于文化安全考虑的范畴,又属于科技安全涉及的范畴。数字出版安全,宏观层面包括意识形态安全、文化安全、技术安全等,微观层面包括内容安全、技术安全和运维安全等,而在诸多安全之中,数字技术安全、技术应用安全既
3、是重要保障,又是亟须补齐的短板。数字出版技术应用安全,是指在应用数字技术、发展数字出版过程中所涉及的有关安全理念、制度和实践的总和。数字出版技术应用安全是数字出版发展的底线,是数字出版高质量发展的基本保障以及题中应有之义。数字出版高质量发展,首先是安全的发展,应在主流意识形态、核心价值观的主导和引导下,坚持技术理性主义,充分发挥数字出版技术的正价值,加快建构由技术应用安全和“信息安全、数据安全、内容安全、文化安全、意识形态安全等所构成的安全防控体系”1。一、数字出版技术安全现状2022年6月,西北工业大学遭受美国NSA网络攻击后所出具的调查报告显示,近年来美国NSA下属TAO对我国国内的网络目
4、标实施了上万次网络恶意攻击,其利用网络攻击武器平台、零日漏洞及其控制的网络设备持续扩大攻击范围和规模2。由此,网络安全、技术应用安全再次成为话题焦点进入人们的视野。就数字出版而言,客观来讲,数字出版技术应用的过程,也是一个不断处理发展和安全关系的过程,是不断增强技术安全意识、提高技术风险防范能力、建构技术安全防控体系的过程。实践中,数字出版发展的不同阶段,都出现过因为技术安全而影响发展的案例,或者说因为解决了技术安全问题而提高自身发展能力的案例。综合来看,数字出版技术应用过程中所遇到的安全威胁主要包括以下几种类型。第一,对门户网站进行攻击。主要表现为利用出版社门户网站漏洞攻击和篡改网页;采用分
5、布式拒绝服务攻击(DDoS),在同一时间攻击数量很多的计算机,致使攻击目标无法正常使用,门户网站服务暂停或中止;利用恶意爬虫软件攻击网站内容和结构,进行网站792022 年第 23 期总第 425 期新 传 媒VIEW ON PUBLISHING伪造和网站克隆;设置网页木马作为攻击跳板,随时攻入系统甚至进入出版社内网。第二,对业务网站进行攻击。如利用应用中的注册入口和身份登录非法获取用户账号信息、利用应用的查询服务大批量下载和盗取大规模公众信息数据、利用勒索病毒软件加密正常应用中的文件等。其中,勒索病毒软件一度入侵过多家知识服务提供商,它们通过电子邮件、网页挂马、程序木马等形式到达业务网站,上
6、传本机信息并下载公钥进行加密,被攻击的网站因为没有私钥所以无法解密。第三,攻击内部数据。攻击出版社内部财务、管理数据的情况并不多见,但通过零日漏洞攻击来窃取出版经营管理数据、涉密数据的情形理论上是存在的。这些安全威胁、网络攻击近年来呈现以下特征。首先,零日攻击3常态化。所谓零日攻击,又称零时差攻击或零日漏洞攻击,即发现安全漏洞后被立即恶意利用、展开攻击。据统计,零日漏洞的攻击数量逐年翻倍增加,2020年的36个零日漏洞中有27个为web零日漏洞攻击,2021年的90个零日漏洞中有超过80个web零日漏洞攻击,零日漏洞在近年的攻击中占有较大比重,已成为常态化的攻击手段。其次,攻击工具私有化。攻击
7、者使用定制化工具进行攻击,针对不同业务目标采用不同的攻击方式、方法、技术和工具,专业性高、目的性强、成功率高,实现精准定向打击。再次,攻击特征隐身化。除了传统常见的攻击手段,攻击者还使用很多新的攻击技术,攻击手段变化多端。而传统的安全防护技术以特征识别为主,分析请求的数据包内容是否有恶意特征,一旦匹配则被认定为攻击事件。攻击者为了逃避传统防御的检测手段,隐藏自身特征和攻击特征(如哥斯拉、冰蝎等攻击工具),从而穿透防护系统进行攻击。最后,攻击防范常态化。出版业务系统将时刻面临各种有目的性和无目的性的攻击行为,需要花费大量的时间来研判攻击行为,网络安全运维工作压力较大,进一步加重了数字出版的安全防
8、护负担。值得关注的是,近年来数字出版发展基于“拿来主义”的技术路线,加速应用云计算、大数据、深度学习、人工智能、虚拟现实等数字技术,而在对这些新型数字技术习得的过程中,“数字技术应用所带来的负面性、安全问题将更加被重视,成为出版管理的难点,也是出版调控的重要考量”4。如大数据技术应用所带来的隐私泄露、数据滥用等问题,区块链技术应用存在的算力资源浪费、篡改威胁等问题,基于深度学习的深度伪造问题,人工智能快速发展所带来的著作权等问题,这些潜在的或已经发生的问题都是数字出版技术安全应用必须予以回应和解决的。二、数字出版技术安全问题剖析上述数字出版技术应用过程中所出现的种种问题,究其原因,在于数字出版
9、技术安全的理念、制度和举措没有做到与时俱进,没有及时适应变化发展的数字出版实践。1理念缺位,思想上不重视理念是行动的先导。数字出版安全意识不强,安全理念没有真正确立,是导致数字出版技术应用安全诸多问题出现的深层次原因。有关数字出版安全方面的认知,从实践经验归纳和理论思维抽象的成果角度来看,中国知网统计的相关论文仅有寥寥数篇文章。在数字出版发展早期阶段,有学者从网络出版安全技术研究的角度,提出由“数字信息、安全池、规则与标识的使用条件”5所组成的网络出版安全结构;在数字出版转型升级阶段,有学者提出通过VPN技术,“穿越Internet 建立出版社与分社、合作伙伴、远程用户之间安全访问,实现数字出
10、版信息内容的安全可靠传输”6;有专家从数据安全的角度,提出了基于RFID电子标识技术的数据安全隐患以及不挥发存储(XLPM)RFID技术解决方案7;有学者提出从“价值观、技术观和法治观”8三个维度来建构数字出版文化安全观;有学者认为出版业要积极利用人工智能、区块链、5G技术等先进技术,构建“违法与不良出版信息特征库”,基于统一的标准、规则和程序,及时发现和处理不良内容以确保网络内容安全9;有学者从技术价值论的视角,提出了坚持正确的技术价值观,坚守以人民为中心的技术应用立场,发挥数字技术正价值、削弱数字技术负价值10。综上可以发现,无论是实践还是理论层面,学界对数字出版技术安全理念的探索还处于初
11、级阶段,明确提出并深刻认知数字出版技术安全802022 年第 23 期总第 425 期新 传 媒VIEW ON PUBLISHING意义、价值和重要性的研究成果并不多见。具体来讲,数字出版技术安全理念和意识层面尚须改进两个方面。一方面,增强安全意识,强化数字出版安全发展的理念。安全是前提、基础和底线,没有数字出版安全,就没有数字出版发展,更谈不上高质量发展。数字出版安全是包含意识形态安全、文化安全、技术安全等在内的安全体系,其中,技术安全居于特殊重要的地位,也是意识形态安全和文化安全的重要屏障。以往的产业界和科研界对数字出版意识形态安全和文化安全强调较多,而对数字出版技术安全的着力和关注较少。
12、另一方面,增强统筹意识,实现数字出版统筹发展和数字出版安全。对数字出版发展的关注和着力始终是数字出版的主线,如何在数字化转型升级、深度融合发展的基础上提质增效,是数字出版发展的目标所在;但如何坚持正确的安全观,以发展保安全,以安全促发展,实现数字出版发展质量、结构、规模、速度、效益和安全的统一,则是数字出版业须正视并花大气力解决的问题,是不能回避的长远问题。2制度缺失,安全体系未建立鉴于理念缺位,数字出版技术安全制度体系也没能及时建立起来。前述数字出版意识形态安全、文化安全得到了重视,由此意识形态责任制、网络意识形态责任制等制度性安排在出版实践中有充分的体现,而有关数字出版技术安全的体制机制还
13、处于轮廓勾勒期。从数字出版技术安全的视角来看,贯穿数字出版技术习得、技术采纳、技术应用、技术运维、技术反馈和技术迭代全过程的数字出版技术安全制度体系有待建立和健全。数字出版技术习得制度,应关注拟学习和掌握的技术是否与出版发展方向相一致,这是事关数字出版安全发展的重要问题,方向不对则不宜习得,方向正确方可在习得的基础上采纳。数字出版技术采纳制度,应对拟采纳的新技术进行安全性评估,在确保不影响文化安全、意识形态安全的基础上方可引入。数字出版技术应用制度,涉及技术部署、运用的具体过程,应考虑安全性问题,如对现有的技术环境是否构成威胁、是否会打破现有技术安全平衡等。数字出版技术运维制度,要考量技术运营
14、维护过程中对安全硬件、安全软件的适配性设置,及时补充和新增安全软硬件。数字出版技术迭代过程,要考虑新技术迭代对原有数字出版产品服务功能的安全性影响,以功能稳定、数据安全为要务,切忌因新技术迭代导致原有数据丢失或链接被篡改等情况发生。3举措单一,难以有效应对关于数字出版技术安全举措,既往的做法较为单一、粗暴化,未能做到具体情况具体分析和精准施策。出版机构采取的数字技术安全措施因网站种类而不同。对于门户网站,出版机构可选择在重大节假日断网、停网,这种简单直接的方式虽然能够起到阻隔网络攻击的效果,但是对于出版品牌维护、正常出版服务的提供等造成了不良影响。对于业务网站,出版机构一般会购置一些网络安全防
15、护设备以确保信息安全和数据安全,但是具体到内外网隔离、内部数据和外部数据分级防护、异地机房数据备份、有效应对动态自动化攻击等方面则显得力不从心,以致勒索病毒、网页篡改等问题时常出现。合作方技术安全举措是出版机构关注的盲区,往往也处于不可控状态。一方面,对采取技术外包或技术合作路线的出版机构而言,持续地、不间断地关注基于网络的增值知识服务运行状态是长期任务之一。增值知识服务的网页链接、AR内容、VR视频等部署于技术商网站,那么,如何确保该技术商处于正常运营状态、在运营商经营异常时如何采取及时措施、在增值知识服务链接异变时如何快速应急处置等,这些问题往往是数字出版技术安全应优先考虑和紧急处理的内容
16、。另一方面,如何弘扬诚信文化,确立诚信机制,是对技术商提出的要求。技术商应建立诚信长效机制,确保对出版机构和读者用户的诚信服务供给,确保在数字出版产品服务有效期内始终提供正常的、安全的、稳定的技术服务,避免合作中止服务中断、公司停业服务中断甚至出现网络攻击等情况。三、数字出版技术应用安全的对策路径及时有效地制定和落实数字出版技术安全对策路径,既是数字出版企业高质量发展的自身需要,812022 年第 23 期总第 425 期新 传 媒VIEW ON PUBLISHING又是贯彻落实出版业发展规划的题中应有之义。出版业“十四五”时期发展规划对于出版业、数字出版的发展与安全进行了较为全面的规定,这是宏观层面的出版安全治理,我们需要明确微观层面的数字出版安全治理是什么?出版企业应该如何落实上述规划的规定,如何提升数字出版技术安全应用水平?一般来说,微观层面的数字出版安全治理,是指数字出版企业围绕维护安全、巩固安全、增强安全所采取的一系列理念、制度和实践的总和。其中,数字出版意识形态安全治理是根本,数字出版文化安全治理是灵魂,数字出版经济安全治理是基础,而数字出版技术安全治理是核心。数字出版技术
