信息安全是沒完沒了的攻防較量���,雖然能力不斷提升,問題卻絲毫沒有根除�,這種矛與盾的演義有無意義?信息安全是不是完全市場,政府采購有無必要對私企或上市公司設限或另眼相看?這些問題都急需尋找答案�。
企業(yè)的困惑反映了信息安全的嚴峻性。一是認識不足����,信息安全這種防御性的工作往往是說起來重要,做起來次要�����,除非吃到了苦頭���。二是信任不夠���,信息安全服務天然是潛在的第三方服務,在信任制度不健全的情況下��,企業(yè)與用戶難以有效合作�。三是機制不靈����,在對付正義與邪惡問題上��,往往以技術(shù)對抗技術(shù)��,于是“道高一尺�����,魔高一丈”��,無休無止�,惡性病毒��、黑客攻擊�、垃圾郵件以及不良信息內(nèi)容依舊招搖過市,而企業(yè)照例會借機講更多危言聳聽的故事�����,引起消費用戶的恐懼心理�,贏得社會的贊助。四是規(guī)則模糊�,無論企業(yè)還是個人都在期待構(gòu)建有效率有張力的管理體制�。
整體看����,信息安全既是戰(zhàn)場,又是商場�����。信息安全企業(yè)不僅要與同行競爭���,還要與無形的敵人戰(zhàn)斗����。但是這個敵人其實在為信息安全提供商機�,同業(yè)競爭者才是真正的敵人,正是這種奇怪的關(guān)系構(gòu)成信息安全生態(tài)�����,因此不要迷信信息安全企業(yè)總會站在政府和百姓一邊�。其實從政府或公眾的角度看問題,信息安全與市場服務是可以區(qū)分的�����。不能也不應該把保護信息安全完全寄于信息安全市場。市場就是市場�,它有著自己的規(guī)律,而信息安全必須運行在公權(quán)力的軌道上�。
第一,推行法治����。眼下在建的虛擬世界如同實體世界一樣需要法治,而且因為信息的不對稱性�,更需要法治的存在。信息安全如果囿于技術(shù)�,政府和公眾都沒有優(yōu)勢�����,因為敵人總在暗處�,而你在明處。但是�,一旦回歸法律層面,借助國家機器����,正義總可以絕對占上風,而敵人變得手無寸鐵����,治理便容易得多����。企業(yè)家坦言�,法治到位,信息安全問題會減少80%��,集中力量解決余下的問題就簡單多了�����。法治需要良法����,而我國信息安全法規(guī)缺少基本法,體系零散�,操作性不強。當務之急是以立法明晰信息安全的界線���、底線和權(quán)力�����、義務����。當然,信息安全畢竟不同于一般的執(zhí)法���,需要加強網(wǎng)絡技術(shù)隊伍建設�����。同時探索建立信息安全服務外包機制��,把一些經(jīng)考查的信息安全企業(yè)納入管理范疇��,共同參與治理�����。
第二,構(gòu)筑誠信����。信息安全反映了嚴肅的社會關(guān)系。公共組織�����、企業(yè)或個體都是社會細胞,建立友好的社會關(guān)系尤為重要���。在政府的引導下�����,由公共組織或第三方組織建立信息安全標準和信用體系����,強調(diào)企業(yè)在信息安全方面的社會責任����,提高企業(yè)和個人的違約成本,保護信息弱者的利益不受損害��。鼓勵建立基于合約形式的法律保障�,建立服務或被服務對待原則。比如���,對短信推送廣告這種有違信息安全的行為可以實行有償化管理���,杜絕垃圾短信的困擾�����。在推進大數(shù)據(jù)應用的進程中����,盡快完善相關(guān)的數(shù)據(jù)應用規(guī)范���,處理好保護個人隱私和利用信息資源的關(guān)系����。規(guī)范信息系統(tǒng)工程建設和軟件企業(yè)行為��,制訂信息安全自律條款����,建立黑名單制度。建立信息安全舉報和追溯平臺�,讓那些侵害信息安全的公司或黑客無處遁形。
第三���,倡導自覺。信息安全需要冷靜��。既不要因為信息安全的風險而過度恐懼,而被一些熱衷炒作的企業(yè)牽著鼻子走��,也不要過于輕視而忽略了應有的防護��,門戶洞開��,引狼入室����。自我防護是最容易被忽視的,調(diào)查發(fā)現(xiàn)94%的攻擊能夠利用基本的“網(wǎng)絡衛(wèi)生”手段阻止���。信息安全責任一半在自身����,政府應當建立一把手責任制和嚴格的安全制度�����,在出現(xiàn)問題時有管控預案和補救措施��。企業(yè)和個人信息系統(tǒng)��,需要作一些定期體檢�,包括對加密技術(shù)的更新維護�。在制度健全的前提下�,大力推廣云服務方式,實現(xiàn)信息安全統(tǒng)一管理�,把技術(shù)問題交給高素質(zhì)的IT專家。
..
|
