只有向前沒有退路的信息安全

文｜本刊記者 于小雅

企業(yè)不是實施部署了信息安全就萬無一失，因為在信息安全領域，沒有絕對的安全，需要平衡在安全上的投資與回報。很多企業(yè)認為既然花了錢，就應該確保絕對安全，不出任何問題，這顯然是不現(xiàn)實的。安全并不是說沒有什么問題，而是說即使出現(xiàn)問題，也都在企業(yè)可接受的范圍內(nèi)，不會對企業(yè)造成明顯的損失。所以企業(yè)要認清自己的安全范圍，然后予以相應的投入，實現(xiàn)兩者之間的平衡。

身在IT領域的人應該都有感覺，近幾年來，國內(nèi)企業(yè)信息化的建設速度非常快，建設規(guī)模也越來越大。IT人在投身信息化大躍進浪潮的同時，也開始被企業(yè)的信息化所困擾。由于信息化系統(tǒng)越來越復雜，但網(wǎng)絡管理、安全管理的相關人員并不會成比例的增長，因此信息化系統(tǒng)和信息化維護人員兩者的投入比例嚴重失調(diào)。

將信息安全當成企業(yè)的生產(chǎn)要素

溢信科技研發(fā)總監(jiān)黃凱曾認為棱鏡門讓更多的企業(yè)開始正視安全問題，開始將注意力放到企業(yè)內(nèi)部的信息安全上，警惕那些可能造成數(shù)據(jù)泄露的漏洞。

那么如何能有效的防止數(shù)據(jù)泄露呢？首先企業(yè)應該具備數(shù)據(jù)泄露的防護觀念。有些企業(yè)領導認為“安全不重要，安全只花錢不賺錢”。企業(yè)要將信息安全當做是一種生產(chǎn)要素，在當前這樣高度信息化的社會里，信息對于企業(yè)的作用與人力、資金、設備等傳統(tǒng)生產(chǎn)要素相比，漸漸趨于平衡，對企業(yè)的影響力空前提高。對于很多產(chǎn)業(yè)來說，信息實際就是企業(yè)的命脈。黃凱表示，很多企業(yè)易被眼下的平靜所迷惑，看不到潛在的風險。在安全界有一個海因里希法則：當一個企業(yè)有300個隱患或違章，必然要發(fā)生29起輕傷或故障，在這29起輕傷事故或故障當中，有一起重傷、死亡或重大事故。很多企業(yè)只看到最后的一起重大事故，這樣就會錯過最佳的風險防御時機，亡羊補牢悔之晚矣。

因此，預防往往比亡羊補牢更節(jié)約成本。現(xiàn)實中很多企業(yè)因為忽略了信息安全問題，結(jié)果釀成了悲劇，雖然亡羊補牢，但是也付出了沉重代價，這些代價比當初預防所花費的要多很多。普華永道香港風險管理及內(nèi)部控制服務冼嘉樂表示：“隨著中國經(jīng)濟不斷增長和愈加全球化，中國企業(yè)正受到以信息安全漏洞謀利之人的更多關注。隨著業(yè)務的擴展，企業(yè)要應對日益增加的信息安全威脅，同時兼顧好信息安全治理、流程與技術(shù)之間的平衡。”

目前信息安全事故的應對成本正在飆升，全球上升了18%，亞太地區(qū)上升了28%。在中國大陸和香港，2013年因信息安全事故導致的平均經(jīng)濟損失高達每起180萬美元。如2013年支付寶轉(zhuǎn)賬信息被谷歌抓取、搜狗手機輸入法漏洞導致大量用戶信息泄露、圓通百萬客戶信息遭泄露等信息安全事件泄露出去的信息就如潑出去的水，覆水難收，還不如提早加強信息安全建設。

企業(yè)不是實施部署了信息安全就萬無一失，因為在信息安全領域，沒有絕對的安全，需要平衡在安全上的投資與回報。很多企業(yè)認為既然花了錢，就應該確保絕對安全，不出任何問題，這顯然是不現(xiàn)實的。安全并不是說沒有什么問題，而是說即使出現(xiàn)問題，也都在企業(yè)可接受的范圍內(nèi)，不會對企業(yè)造成明顯的損失。所以企業(yè)要認清自己的安全范圍，然后予以相應的投入，實現(xiàn)兩者之間的平衡。

根據(jù)IOUG的調(diào)查，目前約有七成企業(yè)表示他們明確了解哪些數(shù)據(jù)庫當中包含有敏感或者受管信息。這一結(jié)果與三年前相比出現(xiàn)了顯著改善。回想2010年，只有一半多一點的受訪企業(yè)能夠自信地作出這樣的回應。這一點不僅對于設置控制機制意義重大，同時也會在控制手段部署完成后確保企業(yè)自身以更為主動的姿態(tài)發(fā)現(xiàn)泄露事故——而不會傻傻等著外部組織發(fā)現(xiàn)并提醒此類事故的發(fā)生。

企業(yè)部署新技術(shù)，更應注意安全

普華永道中國風險管理及內(nèi)部控制服務合伙人許森渠表示，“當前企業(yè)信息技術(shù)系統(tǒng)已經(jīng)變得更加復雜，云技術(shù)和移動設備使信息技術(shù)系統(tǒng)更加分散化，應對信息安全攻擊的成本也隨之上升。所以對企業(yè)高層管理者而言，將網(wǎng)絡犯罪和信息安全視為關鍵的業(yè)務問題，而非單純的信息技術(shù)或技術(shù)問題，變得愈加重要。”

近日，DCCI發(fā)布了《2013年中國移動安全透視報告》（以下簡稱報告）。報告引用安全管家的移動安全開放平臺——安管云開放平臺2013年的檢測數(shù)據(jù)，透視出中國移動安全的現(xiàn)狀與發(fā)展趨勢。報告不僅分析了2013年中國移動安全的變化以及闡述了安管云開放平臺在云—管—端移動生態(tài)下移動安全解決方案的價值，并對2014年移動安全的風險問題進行了預測。移動信息化打開了政企內(nèi)網(wǎng)與互聯(lián)網(wǎng)通道，而且由于移動終端眾多，政企單位面臨的信息安全風險急劇增高。隨著移動信息化運營經(jīng)驗的增多和產(chǎn)業(yè)界研究的深入，用戶對移動安全的風險認識更加充分，已經(jīng)開始全面認識到移動信息化過程中身份、設備、鏈路、數(shù)據(jù)、應用及操作系統(tǒng)等引入的移動安全風險，認識到移動信息化中安全風險無處不在，這直接推動用戶在移動信息化過程中必須慎重考慮移動安全的保障問題。從明朝萬達觀測到的移動信息化建設情況來看，移動安全作為移動信息化的基礎選項將在2014年成為趨勢。尤其是企業(yè)級的移動安全市場，這方面企業(yè)自身沒有安全經(jīng)驗，因此企業(yè)級移動安全受廠商影響非常大。但是，由于移動應用日趨復雜，企業(yè)對移動信息化管理的需求日漸增多，綜合型的移動安全解決方案更符合用戶需求。尤其是政企單位的移動應用呈現(xiàn)出快速增長的趨勢，針對單一移動應用進行移動安全投入因為重復投入和管理難度大的問題，已經(jīng)難以適應移動信息化的發(fā)展創(chuàng)新需求，部分移動信息化領先的企業(yè)已經(jīng)提出包括移動安全在內(nèi)的移動信息化基礎支撐平臺的建設規(guī)劃，企業(yè)級移動安全的建設必然隨之呈現(xiàn)平臺化的趨勢。

2013年中國移動互聯(lián)網(wǎng)民規(guī)模達6.85億，增長18.35%。然而，隨著移動互聯(lián)網(wǎng)的普及、網(wǎng)民規(guī)模的擴大，移動安全形勢也愈加嚴峻。據(jù)數(shù)據(jù)顯示：2013年新增移動惡意軟件69萬余個，新增惡意軟件數(shù)是2012年的五倍。在中國移動信息化加速發(fā)展的大環(huán)境下，很多大型企業(yè)已經(jīng)啟用了企業(yè)移動管理平臺，以便集中管理企業(yè)的移動智能終端設備，因此，移動安全不容忽視。

國產(chǎn)軟件產(chǎn)業(yè)亟待發(fā)展

在信息化與工業(yè)化的融合上升到國家戰(zhàn)略高度時，要確保信息安全必須多管齊下，其中很關鍵的一點就是要研發(fā)具有自主知識產(chǎn)權(quán)的軟件產(chǎn)品，并在市場上予以大范圍的推廣應用，充分發(fā)揮國產(chǎn)軟件的“安全、可靠、可控”特點，使其在信息安全的源頭上發(fā)揮頂梁柱作用。然而，我們不能否認的事實是，目前我國金融、電信、交通、能源等大型行業(yè)，乃至很多政府部門的基礎信息架構(gòu)，基本上都是基于國外跨國公司的硬件之上，而軟件系統(tǒng)也幾乎被國外產(chǎn)品所壟斷。

保衛(wèi)信息安全，就要求國產(chǎn)軟件產(chǎn)業(yè)快速發(fā)展。中國工程院院士倪光南認為，“國家對于基礎軟件的支持，對于關系到國家信息安全的重大核心技術(shù)，如基礎軟件、高端芯片等技術(shù)，國家的支持是非常重要的。因為過去這些市場是被跨國公司壟斷的，單靠個別企業(yè)來競爭，不容易成功，但有了核高基專項的支持就較易成功，是一種戰(zhàn)略的支持。國產(chǎn)軟件產(chǎn)業(yè)需要戰(zhàn)略支持，核高基就體現(xiàn)了國家的意志，用15年的時間來實現(xiàn)它。我相信中國有巨大的科技資源，有巨大的內(nèi)需市場，新一代信息產(chǎn)業(yè)技術(shù)發(fā)展又有利于我們發(fā)揮優(yōu)勢，所以國產(chǎn)軟件發(fā)展是能成功的。”

以房地產(chǎn)行業(yè)為例，以國產(chǎn)某家軟件企業(yè)為首的國內(nèi)軟件廠商，已經(jīng)占據(jù)了該行業(yè)95%的信息化應用，任何的國外軟件廠商卯足了勁都打不進去。為什么？因為該軟件廠商已經(jīng)把房地產(chǎn)項目和物業(yè)管理的種種需求都摸透了，他們能夠幫客戶配置出各種應用，他們認真細致地針對這個行業(yè)進行了深入的需求研究，涉及到每一個業(yè)務和每一個環(huán)節(jié)。國內(nèi)軟件企業(yè)要靜下心把每個行業(yè)先弄透，因為行業(yè)的發(fā)展歸根結(jié)底并不是技術(shù)驅(qū)動，而是需求驅(qū)動。國外一些企業(yè)做得非常強大，究其原因就是每個行業(yè)都有非常成熟的解決方案，它們是把一個行業(yè)又一個行業(yè)“啃”下來的，絕對不是一蹴而就，因此國內(nèi)軟件廠商在期望政府扶持力度更大的同時，還需要自身付出更多的努力。

法律是信息安全防護的最終目標

目前，世界各國政府正在尋求提高信息安全的法律手段。以美國為例，美國1987年通過了《計算機安全法》，1998年5月又發(fā)布了《使用電子媒介作傳遞用途的聲明》，將電子傳遞的文件視為與紙介質(zhì)文件相同。其后，又頒布了《保衛(wèi)美國的計算機空間——保護信息系統(tǒng)的國家計劃》、《電子簽名全球與國內(nèi)貿(mào)易法案》，分別確定了保護信息系統(tǒng)的目標和范圍，保證了原始信息或文件內(nèi)容在傳遞過程中的真實性。再如日本，信息安全保障是日本綜合安全保障體系的核心，先后出臺了《21世紀信息通信構(gòu)想》和《信息通信產(chǎn)業(yè)技術(shù)戰(zhàn)略》。日本從2000年2月13日起開始實施《反黑客法》，規(guī)定擅自使用他人身份及密碼侵入電腦網(wǎng)絡的行為都將被視為違法犯罪行為，最高可判處10年監(jiān)禁。

上世紀90年代以來，隨著計算機網(wǎng)絡的持續(xù)、快速發(fā)展，信息網(wǎng)絡技術(shù)在國民經(jīng)濟和社會各領域得到了廣泛的延伸和應用。2002年11月14日，黨的十六大報告提出了“以信息化帶動工業(yè)化，以工業(yè)化促進信息化”的新型工業(yè)化發(fā)展道路，確立了新形勢下我國國民經(jīng)濟和社會發(fā)展的戰(zhàn)略目標。

長期以來，我國習慣于采取規(guī)范性文件的方式，進行任務的布置或者國家意志的貫徹與落實，忽視了法律在預防和處置信息安全問題上應當發(fā)揮的作用和功能；忽視信息安全立法的理論研究，缺乏信息安全立法的宏觀規(guī)劃和體系設計，信息安全立法至今尚未列入全國人大未來立法計劃，網(wǎng)絡系統(tǒng)、業(yè)務應用與信息內(nèi)容之間的行政監(jiān)督管理事權(quán)尚未嚴格分界，信息安全監(jiān)督管理的行政架構(gòu)重復并沖突。

在個人信息保護領域，我國許多省市都已經(jīng)制定了有關個人信息保護的地方性法規(guī)。此外，全國人大常委會、國務院及其他部委也制定了若干專門領域的個人信息保護規(guī)定。例如，在網(wǎng)絡信息保護方面，有《全國人民代表大會常務委員會關于加強網(wǎng)絡信息保護的決定》、工信部制定的《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》；在金融信息保護方面，國務院制定了征信業(yè)管理條例等。另外，我國刑法亦規(guī)定有“非法獲取個人信息罪”和“非法買賣、提供公民個人信息罪”。

個人信息、企業(yè)信息、國家機密將成為信息時代洪流中敏感的元素，這些敏感元素最大的威脅就是遭遇來自個人、企業(yè)甚至是國家政府的竊取、竊聽甚至是控制。完善法律是遏制邪惡的重要力量，但要確實的抵抗邪惡，主動防護必不可少，而采用具有針對性的加密軟件則是最好的選擇。