只有向前沒有退路的信息安全

文｜本刊記者 于小雅

企業(yè)不是實(shí)施部署了信息安全就萬無一失，因?yàn)樵谛畔踩I(lǐng)域，沒有絕對(duì)的安全，需要平衡在安全上的投資與回報(bào)。很多企業(yè)認(rèn)為既然花了錢，就應(yīng)該確保絕對(duì)安全，不出任何問題，這顯然是不現(xiàn)實(shí)的。安全并不是說沒有什么問題，而是說即使出現(xiàn)問題，也都在企業(yè)可接受的范圍內(nèi)，不會(huì)對(duì)企業(yè)造成明顯的損失。所以企業(yè)要認(rèn)清自己的安全范圍，然后予以相應(yīng)的投入，實(shí)現(xiàn)兩者之間的平衡。

身在IT領(lǐng)域的人應(yīng)該都有感覺，近幾年來，國(guó)內(nèi)企業(yè)信息化的建設(shè)速度非?？?，建設(shè)規(guī)模也越來越大。IT人在投身信息化大躍進(jìn)浪潮的同時(shí)，也開始被企業(yè)的信息化所困擾。由于信息化系統(tǒng)越來越復(fù)雜，但網(wǎng)絡(luò)管理、安全管理的相關(guān)人員并不會(huì)成比例的增長(zhǎng)，因此信息化系統(tǒng)和信息化維護(hù)人員兩者的投入比例嚴(yán)重失調(diào)。

將信息安全當(dāng)成企業(yè)的生產(chǎn)要素

溢信科技研發(fā)總監(jiān)黃凱曾認(rèn)為棱鏡門讓更多的企業(yè)開始正視安全問題，開始將注意力放到企業(yè)內(nèi)部的信息安全上，警惕那些可能造成數(shù)據(jù)泄露的漏洞。

那么如何能有效的防止數(shù)據(jù)泄露呢？首先企業(yè)應(yīng)該具備數(shù)據(jù)泄露的防護(hù)觀念。有些企業(yè)領(lǐng)導(dǎo)認(rèn)為“安全不重要，安全只花錢不賺錢”。企業(yè)要將信息安全當(dāng)做是一種生產(chǎn)要素，在當(dāng)前這樣高度信息化的社會(huì)里，信息對(duì)于企業(yè)的作用與人力、資金、設(shè)備等傳統(tǒng)生產(chǎn)要素相比，漸漸趨于平衡，對(duì)企業(yè)的影響力空前提高。對(duì)于很多產(chǎn)業(yè)來說，信息實(shí)際就是企業(yè)的命脈。黃凱表示，很多企業(yè)易被眼下的平靜所迷惑，看不到潛在的風(fēng)險(xiǎn)。在安全界有一個(gè)海因里希法則：當(dāng)一個(gè)企業(yè)有300個(gè)隱患或違章，必然要發(fā)生29起輕傷或故障，在這29起輕傷事故或故障當(dāng)中，有一起重傷、死亡或重大事故。很多企業(yè)只看到最后的一起重大事故，這樣就會(huì)錯(cuò)過最佳的風(fēng)險(xiǎn)防御時(shí)機(jī)，亡羊補(bǔ)牢悔之晚矣。

因此，預(yù)防往往比亡羊補(bǔ)牢更節(jié)約成本?，F(xiàn)實(shí)中很多企業(yè)因?yàn)楹雎粤诵畔踩珕栴}，結(jié)果釀成了悲劇，雖然亡羊補(bǔ)牢，但是也付出了沉重代價(jià)，這些代價(jià)比當(dāng)初預(yù)防所花費(fèi)的要多很多。普華永道香港風(fēng)險(xiǎn)管理及內(nèi)部控制服務(wù)冼嘉樂表示：“隨著中國(guó)經(jīng)濟(jì)不斷增長(zhǎng)和愈加全球化，中國(guó)企業(yè)正受到以信息安全漏洞謀利之人的更多關(guān)注。隨著業(yè)務(wù)的擴(kuò)展，企業(yè)要應(yīng)對(duì)日益增加的信息安全威脅，同時(shí)兼顧好信息安全治理、流程與技術(shù)之間的平衡?！?/p>

目前信息安全事故的應(yīng)對(duì)成本正在飆升，全球上升了18%，亞太地區(qū)上升了28%。在中國(guó)大陸和香港，2013年因信息安全事故導(dǎo)致的平均經(jīng)濟(jì)損失高達(dá)每起180萬美元。如2013年支付寶轉(zhuǎn)賬信息被谷歌抓取、搜狗手機(jī)輸入法漏洞導(dǎo)致大量用戶信息泄露、圓通百萬客戶信息遭泄露等信息安全事件泄露出去的信息就如潑出去的水，覆水難收，還不如提早加強(qiáng)信息安全建設(shè)。

企業(yè)不是實(shí)施部署了信息安全就萬無一失，因?yàn)樵谛畔踩I(lǐng)域，沒有絕對(duì)的安全，需要平衡在安全上的投資與回報(bào)。很多企業(yè)認(rèn)為既然花了錢，就應(yīng)該確保絕對(duì)安全，不出任何問題，這顯然是不現(xiàn)實(shí)的。安全并不是說沒有什么問題，而是說即使出現(xiàn)問題，也都在企業(yè)可接受的范圍內(nèi)，不會(huì)對(duì)企業(yè)造成明顯的損失。所以企業(yè)要認(rèn)清自己的安全范圍，然后予以相應(yīng)的投入，實(shí)現(xiàn)兩者之間的平衡。

根據(jù)IOUG的調(diào)查，目前約有七成企業(yè)表示他們明確了解哪些數(shù)據(jù)庫(kù)當(dāng)中包含有敏感或者受管信息。這一結(jié)果與三年前相比出現(xiàn)了顯著改善?；叵?010年，只有一半多一點(diǎn)的受訪企業(yè)能夠自信地作出這樣的回應(yīng)。這一點(diǎn)不僅對(duì)于設(shè)置控制機(jī)制意義重大，同時(shí)也會(huì)在控制手段部署完成后確保企業(yè)自身以更為主動(dòng)的姿態(tài)發(fā)現(xiàn)泄露事故——而不會(huì)傻傻等著外部組織發(fā)現(xiàn)并提醒此類事故的發(fā)生。

企業(yè)部署新技術(shù)，更應(yīng)注意安全

普華永道中國(guó)風(fēng)險(xiǎn)管理及內(nèi)部控制服務(wù)合伙人許森渠表示，“當(dāng)前企業(yè)信息技術(shù)系統(tǒng)已經(jīng)變得更加復(fù)雜，云技術(shù)和移動(dòng)設(shè)備使信息技術(shù)系統(tǒng)更加分散化，應(yīng)對(duì)信息安全攻擊的成本也隨之上升。所以對(duì)企業(yè)高層管理者而言，將網(wǎng)絡(luò)犯罪和信息安全視為關(guān)鍵的業(yè)務(wù)問題，而非單純的信息技術(shù)或技術(shù)問題，變得愈加重要?！?/p>

近日，DCCI發(fā)布了《2013年中國(guó)移動(dòng)安全透視報(bào)告》（以下簡(jiǎn)稱報(bào)告）。報(bào)告引用安全管家的移動(dòng)安全開放平臺(tái)——安管云開放平臺(tái)2013年的檢測(cè)數(shù)據(jù)，透視出中國(guó)移動(dòng)安全的現(xiàn)狀與發(fā)展趨勢(shì)。報(bào)告不僅分析了2013年中國(guó)移動(dòng)安全的變化以及闡述了安管云開放平臺(tái)在云—管—端移動(dòng)生態(tài)下移動(dòng)安全解決方案的價(jià)值，并對(duì)2014年移動(dòng)安全的風(fēng)險(xiǎn)問題進(jìn)行了預(yù)測(cè)。移動(dòng)信息化打開了政企內(nèi)網(wǎng)與互聯(lián)網(wǎng)通道，而且由于移動(dòng)終端眾多，政企單位面臨的信息安全風(fēng)險(xiǎn)急劇增高。隨著移動(dòng)信息化運(yùn)營(yíng)經(jīng)驗(yàn)的增多和產(chǎn)業(yè)界研究的深入，用戶對(duì)移動(dòng)安全的風(fēng)險(xiǎn)認(rèn)識(shí)更加充分，已經(jīng)開始全面認(rèn)識(shí)到移動(dòng)信息化過程中身份、設(shè)備、鏈路、數(shù)據(jù)、應(yīng)用及操作系統(tǒng)等引入的移動(dòng)安全風(fēng)險(xiǎn)，認(rèn)識(shí)到移動(dòng)信息化中安全風(fēng)險(xiǎn)無處不在，這直接推動(dòng)用戶在移動(dòng)信息化過程中必須慎重考慮移動(dòng)安全的保障問題。從明朝萬達(dá)觀測(cè)到的移動(dòng)信息化建設(shè)情況來看，移動(dòng)安全作為移動(dòng)信息化的基礎(chǔ)選項(xiàng)將在2014年成為趨勢(shì)。尤其是企業(yè)級(jí)的移動(dòng)安全市場(chǎng)，這方面企業(yè)自身沒有安全經(jīng)驗(yàn)，因此企業(yè)級(jí)移動(dòng)安全受廠商影響非常大。但是，由于移動(dòng)應(yīng)用日趨復(fù)雜，企業(yè)對(duì)移動(dòng)信息化管理的需求日漸增多，綜合型的移動(dòng)安全解決方案更符合用戶需求。尤其是政企單位的移動(dòng)應(yīng)用呈現(xiàn)出快速增長(zhǎng)的趨勢(shì)，針對(duì)單一移動(dòng)應(yīng)用進(jìn)行移動(dòng)安全投入因?yàn)橹貜?fù)投入和管理難度大的問題，已經(jīng)難以適應(yīng)移動(dòng)信息化的發(fā)展創(chuàng)新需求，部分移動(dòng)信息化領(lǐng)先的企業(yè)已經(jīng)提出包括移動(dòng)安全在內(nèi)的移動(dòng)信息化基礎(chǔ)支撐平臺(tái)的建設(shè)規(guī)劃，企業(yè)級(jí)移動(dòng)安全的建設(shè)必然隨之呈現(xiàn)平臺(tái)化的趨勢(shì)。

2013年中國(guó)移動(dòng)互聯(lián)網(wǎng)民規(guī)模達(dá)6.85億，增長(zhǎng)18.35%。然而，隨著移動(dòng)互聯(lián)網(wǎng)的普及、網(wǎng)民規(guī)模的擴(kuò)大，移動(dòng)安全形勢(shì)也愈加嚴(yán)峻。據(jù)數(shù)據(jù)顯示：2013年新增移動(dòng)惡意軟件69萬余個(gè)，新增惡意軟件數(shù)是2012年的五倍。在中國(guó)移動(dòng)信息化加速發(fā)展的大環(huán)境下，很多大型企業(yè)已經(jīng)啟用了企業(yè)移動(dòng)管理平臺(tái)，以便集中管理企業(yè)的移動(dòng)智能終端設(shè)備，因此，移動(dòng)安全不容忽視。

國(guó)產(chǎn)軟件產(chǎn)業(yè)亟待發(fā)展

在信息化與工業(yè)化的融合上升到國(guó)家戰(zhàn)略高度時(shí)，要確保信息安全必須多管齊下，其中很關(guān)鍵的一點(diǎn)就是要研發(fā)具有自主知識(shí)產(chǎn)權(quán)的軟件產(chǎn)品，并在市場(chǎng)上予以大范圍的推廣應(yīng)用，充分發(fā)揮國(guó)產(chǎn)軟件的“安全、可靠、可控”特點(diǎn)，使其在信息安全的源頭上發(fā)揮頂梁柱作用。然而，我們不能否認(rèn)的事實(shí)是，目前我國(guó)金融、電信、交通、能源等大型行業(yè)，乃至很多政府部門的基礎(chǔ)信息架構(gòu)，基本上都是基于國(guó)外跨國(guó)公司的硬件之上，而軟件系統(tǒng)也幾乎被國(guó)外產(chǎn)品所壟斷。

保衛(wèi)信息安全，就要求國(guó)產(chǎn)軟件產(chǎn)業(yè)快速發(fā)展。中國(guó)工程院院士倪光南認(rèn)為，“國(guó)家對(duì)于基礎(chǔ)軟件的支持，對(duì)于關(guān)系到國(guó)家信息安全的重大核心技術(shù)，如基礎(chǔ)軟件、高端芯片等技術(shù)，國(guó)家的支持是非常重要的。因?yàn)檫^去這些市場(chǎng)是被跨國(guó)公司壟斷的，單靠個(gè)別企業(yè)來競(jìng)爭(zhēng)，不容易成功，但有了核高基專項(xiàng)的支持就較易成功，是一種戰(zhàn)略的支持。國(guó)產(chǎn)軟件產(chǎn)業(yè)需要戰(zhàn)略支持，核高基就體現(xiàn)了國(guó)家的意志，用15年的時(shí)間來實(shí)現(xiàn)它。我相信中國(guó)有巨大的科技資源，有巨大的內(nèi)需市場(chǎng)，新一代信息產(chǎn)業(yè)技術(shù)發(fā)展又有利于我們發(fā)揮優(yōu)勢(shì)，所以國(guó)產(chǎn)軟件發(fā)展是能成功的?！?/p>

以房地產(chǎn)行業(yè)為例，以國(guó)產(chǎn)某家軟件企業(yè)為首的國(guó)內(nèi)軟件廠商，已經(jīng)占據(jù)了該行業(yè)95%的信息化應(yīng)用，任何的國(guó)外軟件廠商卯足了勁都打不進(jìn)去。為什么？因?yàn)樵撥浖S商已經(jīng)把房地產(chǎn)項(xiàng)目和物業(yè)管理的種種需求都摸透了，他們能夠幫客戶配置出各種應(yīng)用，他們認(rèn)真細(xì)致地針對(duì)這個(gè)行業(yè)進(jìn)行了深入的需求研究，涉及到每一個(gè)業(yè)務(wù)和每一個(gè)環(huán)節(jié)。國(guó)內(nèi)軟件企業(yè)要靜下心把每個(gè)行業(yè)先弄透，因?yàn)樾袠I(yè)的發(fā)展歸根結(jié)底并不是技術(shù)驅(qū)動(dòng)，而是需求驅(qū)動(dòng)。國(guó)外一些企業(yè)做得非常強(qiáng)大，究其原因就是每個(gè)行業(yè)都有非常成熟的解決方案，它們是把一個(gè)行業(yè)又一個(gè)行業(yè)“啃”下來的，絕對(duì)不是一蹴而就，因此國(guó)內(nèi)軟件廠商在期望政府扶持力度更大的同時(shí)，還需要自身付出更多的努力。

法律是信息安全防護(hù)的最終目標(biāo)

目前，世界各國(guó)政府正在尋求提高信息安全的法律手段。以美國(guó)為例，美國(guó)1987年通過了《計(jì)算機(jī)安全法》，1998年5月又發(fā)布了《使用電子媒介作傳遞用途的聲明》，將電子傳遞的文件視為與紙介質(zhì)文件相同。其后，又頒布了《保衛(wèi)美國(guó)的計(jì)算機(jī)空間——保護(hù)信息系統(tǒng)的國(guó)家計(jì)劃》、《電子簽名全球與國(guó)內(nèi)貿(mào)易法案》，分別確定了保護(hù)信息系統(tǒng)的目標(biāo)和范圍，保證了原始信息或文件內(nèi)容在傳遞過程中的真實(shí)性。再如日本，信息安全保障是日本綜合安全保障體系的核心，先后出臺(tái)了《21世紀(jì)信息通信構(gòu)想》和《信息通信產(chǎn)業(yè)技術(shù)戰(zhàn)略》。日本從2000年2月13日起開始實(shí)施《反黑客法》，規(guī)定擅自使用他人身份及密碼侵入電腦網(wǎng)絡(luò)的行為都將被視為違法犯罪行為，最高可判處10年監(jiān)禁。

上世紀(jì)90年代以來，隨著計(jì)算機(jī)網(wǎng)絡(luò)的持續(xù)、快速發(fā)展，信息網(wǎng)絡(luò)技術(shù)在國(guó)民經(jīng)濟(jì)和社會(huì)各領(lǐng)域得到了廣泛的延伸和應(yīng)用。2002年11月14日，黨的十六大報(bào)告提出了“以信息化帶動(dòng)工業(yè)化，以工業(yè)化促進(jìn)信息化”的新型工業(yè)化發(fā)展道路，確立了新形勢(shì)下我國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展的戰(zhàn)略目標(biāo)。

長(zhǎng)期以來，我國(guó)習(xí)慣于采取規(guī)范性文件的方式，進(jìn)行任務(wù)的布置或者國(guó)家意志的貫徹與落實(shí)，忽視了法律在預(yù)防和處置信息安全問題上應(yīng)當(dāng)發(fā)揮的作用和功能；忽視信息安全立法的理論研究，缺乏信息安全立法的宏觀規(guī)劃和體系設(shè)計(jì)，信息安全立法至今尚未列入全國(guó)人大未來立法計(jì)劃，網(wǎng)絡(luò)系統(tǒng)、業(yè)務(wù)應(yīng)用與信息內(nèi)容之間的行政監(jiān)督管理事權(quán)尚未嚴(yán)格分界，信息安全監(jiān)督管理的行政架構(gòu)重復(fù)并沖突。

在個(gè)人信息保護(hù)領(lǐng)域，我國(guó)許多省市都已經(jīng)制定了有關(guān)個(gè)人信息保護(hù)的地方性法規(guī)。此外，全國(guó)人大常委會(huì)、國(guó)務(wù)院及其他部委也制定了若干專門領(lǐng)域的個(gè)人信息保護(hù)規(guī)定。例如，在網(wǎng)絡(luò)信息保護(hù)方面，有《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》、工信部制定的《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》；在金融信息保護(hù)方面，國(guó)務(wù)院制定了征信業(yè)管理?xiàng)l例等。另外，我國(guó)刑法亦規(guī)定有“非法獲取個(gè)人信息罪”和“非法買賣、提供公民個(gè)人信息罪”。

個(gè)人信息、企業(yè)信息、國(guó)家機(jī)密將成為信息時(shí)代洪流中敏感的元素，這些敏感元素最大的威脅就是遭遇來自個(gè)人、企業(yè)甚至是國(guó)家政府的竊取、竊聽甚至是控制。完善法律是遏制邪惡的重要力量，但要確實(shí)的抵抗邪惡，主動(dòng)防護(hù)必不可少，而采用具有針對(duì)性的加密軟件則是最好的選擇。