信息安全是沒(méi)完沒(méi)了的攻防較量,雖然能力不斷提升����,問(wèn)題卻絲毫沒(méi)有根除,這種矛與盾的演義有無(wú)意義?信息安全是不是完全市場(chǎng)����,政府采購(gòu)有無(wú)必要對(duì)私企或上市公司設(shè)限或另眼相看?這些問(wèn)題都急需尋找答案。
企業(yè)的困惑反映了信息安全的嚴(yán)峻性���。一是認(rèn)識(shí)不足��,信息安全這種防御性的工作往往是說(shuō)起來(lái)重要,做起來(lái)次要����,除非吃到了苦頭�。二是信任不夠�,信息安全服務(wù)天然是潛在的第三方服務(wù),在信任制度不健全的情況下�����,企業(yè)與用戶難以有效合作��。三是機(jī)制不靈��,在對(duì)付正義與邪惡?jiǎn)栴}上����,往往以技術(shù)對(duì)抗技術(shù),于是“道高一尺���,魔高一丈”�����,無(wú)休無(wú)止���,惡性病毒���、黑客攻擊、垃圾郵件以及不良信息內(nèi)容依舊招搖過(guò)市����,而企業(yè)照例會(huì)借機(jī)講更多危言聳聽(tīng)的故事,引起消費(fèi)用戶的恐懼心理����,贏得社會(huì)的贊助。四是規(guī)則模糊���,無(wú)論企業(yè)還是個(gè)人都在期待構(gòu)建有效率有張力的管理體制�����。
整體看����,信息安全既是戰(zhàn)場(chǎng)�,又是商場(chǎng)。信息安全企業(yè)不僅要與同行競(jìng)爭(zhēng)����,還要與無(wú)形的敵人戰(zhàn)斗���。但是這個(gè)敵人其實(shí)在為信息安全提供商機(jī)���,同業(yè)競(jìng)爭(zhēng)者才是真正的敵人�����,正是這種奇怪的關(guān)系構(gòu)成信息安全生態(tài)�����,因此不要迷信信息安全企業(yè)總會(huì)站在政府和百姓一邊�����。其實(shí)從政府或公眾的角度看問(wèn)題�,信息安全與市場(chǎng)服務(wù)是可以區(qū)分的�。不能也不應(yīng)該把保護(hù)信息安全完全寄于信息安全市場(chǎng)。市場(chǎng)就是市場(chǎng)�����,它有著自己的規(guī)律,而信息安全必須運(yùn)行在公權(quán)力的軌道上����。
第一,推行法治���。眼下在建的虛擬世界如同實(shí)體世界一樣需要法治��,而且因?yàn)樾畔⒌牟粚?duì)稱性�,更需要法治的存在�����。信息安全如果囿于技術(shù)���,政府和公眾都沒(méi)有優(yōu)勢(shì)�����,因?yàn)閿橙丝傇诎堤�,而你在明處�。但是,一旦回歸法律層面����,借助國(guó)家機(jī)器�,正義總可以絕對(duì)占上風(fēng)����,而敵人變得手無(wú)寸鐵,治理便容易得多��。企業(yè)家坦言���,法治到位,信息安全問(wèn)題會(huì)減少80%��,集中力量解決余下的問(wèn)題就簡(jiǎn)單多了����。法治需要良法,而我國(guó)信息安全法規(guī)缺少基本法����,體系零散,操作性不強(qiáng)��。當(dāng)務(wù)之急是以立法明晰信息安全的界線����、底線和權(quán)力���、義務(wù)。當(dāng)然�����,信息安全畢竟不同于一般的執(zhí)法���,需要加強(qiáng)網(wǎng)絡(luò)技術(shù)隊(duì)伍建設(shè)�。同時(shí)探索建立信息安全服務(wù)外包機(jī)制�,把一些經(jīng)考查的信息安全企業(yè)納入管理范疇,共同參與治理����。
第二,構(gòu)筑誠(chéng)信���。信息安全反映了嚴(yán)肅的社會(huì)關(guān)系���。公共組織、企業(yè)或個(gè)體都是社會(huì)細(xì)胞�����,建立友好的社會(huì)關(guān)系尤為重要。在政府的引導(dǎo)下�,由公共組織或第三方組織建立信息安全標(biāo)準(zhǔn)和信用體系,強(qiáng)調(diào)企業(yè)在信息安全方面的社會(huì)責(zé)任��,提高企業(yè)和個(gè)人的違約成本���,保護(hù)信息弱者的利益不受損害�。鼓勵(lì)建立基于合約形式的法律保障�,建立服務(wù)或被服務(wù)對(duì)待原則��。比如�����,對(duì)短信推送廣告這種有違信息安全的行為可以實(shí)行有償化管理�,杜絕垃圾短信的困擾。在推進(jìn)大數(shù)據(jù)應(yīng)用的進(jìn)程中����,盡快完善相關(guān)的數(shù)據(jù)應(yīng)用規(guī)范,處理好保護(hù)個(gè)人隱私和利用信息資源的關(guān)系�。規(guī)范信息系統(tǒng)工程建設(shè)和軟件企業(yè)行為����,制訂信息安全自律條款�,建立黑名單制度。建立信息安全舉報(bào)和追溯平臺(tái)��,讓那些侵害信息安全的公司或黑客無(wú)處遁形���。
第三��,倡導(dǎo)自覺(jué)�。信息安全需要冷靜�。既不要因?yàn)樾畔踩娘L(fēng)險(xiǎn)而過(guò)度恐懼,而被一些熱衷炒作的企業(yè)牽著鼻子走�����,也不要過(guò)于輕視而忽略了應(yīng)有的防護(hù)�����,門(mén)戶洞開(kāi)�,引狼入室。自我防護(hù)是最容易被忽視的���,調(diào)查發(fā)現(xiàn)94%的攻擊能夠利用基本的“網(wǎng)絡(luò)衛(wèi)生”手段阻止�����。信息安全責(zé)任一半在自身���,政府應(yīng)當(dāng)建立一把手責(zé)任制和嚴(yán)格的安全制度��,在出現(xiàn)問(wèn)題時(shí)有管控預(yù)案和補(bǔ)救措施�����。企業(yè)和個(gè)人信息系統(tǒng)����,需要作一些定期體檢��,包括對(duì)加密技術(shù)的更新維護(hù)����。在制度健全的前提下�����,大力推廣云服務(wù)方式,實(shí)現(xiàn)信息安全統(tǒng)一管理���,把技術(shù)問(wèn)題交給高素質(zhì)的IT專家���。
..
|
