只有向前没有退路的信息安全

2014-09-05 02:27于小雅

中国建设信息化 2014年4期

文｜本刊记者于小雅

企业不是实施部署了信息安全就万无一失，因为在信息安全领域，没有绝对的安全，需要平衡在安全上的投资与回报。很多企业认为既然花了钱，就应该确保绝对安全，不出任何问题，这显然是不现实的。安全并不是说没有什么问题，而是说即使出现问题，也都在企业可接受的范围内，不会对企业造成明显的损失。所以企业要认清自己的安全范围，然后予以相应的投入，实现两者之间的平衡。

身在IT领域的人应该都有感觉，近几年来，国内企业信息化的建设速度非常快，建设规模也越来越大。IT人在投身信息化大跃进浪潮的同时，也开始被企业的信息化所困扰。由于信息化系统越来越复杂，但网络管理、安全管理的相关人员并不会成比例的增长，因此信息化系统和信息化维护人员两者的投入比例严重失调。

将信息安全当成企业的生产要素

溢信科技研发总监黄凯曾认为棱镜门让更多的企业开始正视安全问题，开始将注意力放到企业内部的信息安全上，警惕那些可能造成数据泄露的漏洞。

那么如何能有效的防止数据泄露呢？首先企业应该具备数据泄露的防护观念。有些企业领导认为“安全不重要，安全只花钱不赚钱”。企业要将信息安全当做是一种生产要素，在当前这样高度信息化的社会里，信息对于企业的作用与人力、资金、设备等传统生产要素相比，渐渐趋于平衡，对企业的影响力空前提高。对于很多产业来说，信息实际就是企业的命脉。黄凯表示，很多企业易被眼下的平静所迷惑，看不到潜在的风险。在安全界有一个海因里希法则：当一个企业有300个隐患或违章，必然要发生29起轻伤或故障，在这29起轻伤事故或故障当中，有一起重伤、死亡或重大事故。很多企业只看到最后的一起重大事故，这样就会错过最佳的风险防御时机，亡羊补牢悔之晚矣。

因此，预防往往比亡羊补牢更节约成本。现实中很多企业因为忽略了信息安全问题，结果酿成了悲剧，虽然亡羊补牢，但是也付出了沉重代价，这些代价比当初预防所花费的要多很多。普华永道香港风险管理及内部控制服务冼嘉乐表示：“随着中国经济不断增长和愈加全球化，中国企业正受到以信息安全漏洞谋利之人的更多关注。随着业务的扩展，企业要应对日益增加的信息安全威胁，同时兼顾好信息安全治理、流程与技术之间的平衡。”

目前信息安全事故的应对成本正在飙升，全球上升了18%，亚太地区上升了28%。在中国大陆和香港，2013年因信息安全事故导致的平均经济损失高达每起180万美元。如2013年支付宝转账信息被谷歌抓取、搜狗手机输入法漏洞导致大量用户信息泄露、圆通百万客户信息遭泄露等信息安全事件泄露出去的信息就如泼出去的水，覆水难收，还不如提早加强信息安全建设。

根据IOUG的调查，目前约有七成企业表示他们明确了解哪些数据库当中包含有敏感或者受管信息。这一结果与三年前相比出现了显著改善。回想2010年，只有一半多一点的受访企业能够自信地作出这样的回应。这一点不仅对于设置控制机制意义重大，同时也会在控制手段部署完成后确保企业自身以更为主动的姿态发现泄露事故——而不会傻傻等着外部组织发现并提醒此类事故的发生。

企业部署新技术，更应注意安全

普华永道中国风险管理及内部控制服务合伙人许森渠表示，“当前企业信息技术系统已经变得更加复杂，云技术和移动设备使信息技术系统更加分散化，应对信息安全攻击的成本也随之上升。所以对企业高层管理者而言，将网络犯罪和信息安全视为关键的业务问题，而非单纯的信息技术或技术问题，变得愈加重要。”

近日，DCCI发布了《2013年中国移动安全透视报告》（以下简称报告）。报告引用安全管家的移动安全开放平台——安管云开放平台2013年的检测数据，透视出中国移动安全的现状与发展趋势。报告不仅分析了2013年中国移动安全的变化以及阐述了安管云开放平台在云—管—端移动生态下移动安全解决方案的价值，并对2014年移动安全的风险问题进行了预测。移动信息化打开了政企内网与互联网通道，而且由于移动终端众多，政企单位面临的信息安全风险急剧增高。随着移动信息化运营经验的增多和产业界研究的深入，用户对移动安全的风险认识更加充分，已经开始全面认识到移动信息化过程中身份、设备、链路、数据、应用及操作系统等引入的移动安全风险，认识到移动信息化中安全风险无处不在，这直接推动用户在移动信息化过程中必须慎重考虑移动安全的保障问题。从明朝万达观测到的移动信息化建设情况来看，移动安全作为移动信息化的基础选项将在2014年成为趋势。尤其是企业级的移动安全市场，这方面企业自身没有安全经验，因此企业级移动安全受厂商影响非常大。但是，由于移动应用日趋复杂，企业对移动信息化管理的需求日渐增多，综合型的移动安全解决方案更符合用户需求。尤其是政企单位的移动应用呈现出快速增长的趋势，针对单一移动应用进行移动安全投入因为重复投入和管理难度大的问题，已经难以适应移动信息化的发展创新需求，部分移动信息化领先的企业已经提出包括移动安全在内的移动信息化基础支撑平台的建设规划，企业级移动安全的建设必然随之呈现平台化的趋势。

2013年中国移动互联网民规模达6.85亿，增长18.35%。然而，随着移动互联网的普及、网民规模的扩大，移动安全形势也愈加严峻。据数据显示：2013年新增移动恶意软件69万余个，新增恶意软件数是2012年的五倍。在中国移动信息化加速发展的大环境下，很多大型企业已经启用了企业移动管理平台，以便集中管理企业的移动智能终端设备，因此，移动安全不容忽视。

国产软件产业亟待发展

在信息化与工业化的融合上升到国家战略高度时，要确保信息安全必须多管齐下，其中很关键的一点就是要研发具有自主知识产权的软件产品，并在市场上予以大范围的推广应用，充分发挥国产软件的“安全、可靠、可控”特点，使其在信息安全的源头上发挥顶梁柱作用。然而，我们不能否认的事实是，目前我国金融、电信、交通、能源等大型行业，乃至很多政府部门的基础信息架构，基本上都是基于国外跨国公司的硬件之上，而软件系统也几乎被国外产品所垄断。

保卫信息安全，就要求国产软件产业快速发展。中国工程院院士倪光南认为，“国家对于基础软件的支持，对于关系到国家信息安全的重大核心技术，如基础软件、高端芯片等技术，国家的支持是非常重要的。因为过去这些市场是被跨国公司垄断的，单靠个别企业来竞争，不容易成功，但有了核高基专项的支持就较易成功，是一种战略的支持。国产软件产业需要战略支持，核高基就体现了国家的意志，用15年的时间来实现它。我相信中国有巨大的科技资源，有巨大的内需市场，新一代信息产业技术发展又有利于我们发挥优势，所以国产软件发展是能成功的。”

以房地产行业为例，以国产某家软件企业为首的国内软件厂商，已经占据了该行业95%的信息化应用，任何的国外软件厂商卯足了劲都打不进去。为什么？因为该软件厂商已经把房地产项目和物业管理的种种需求都摸透了，他们能够帮客户配置出各种应用，他们认真细致地针对这个行业进行了深入的需求研究，涉及到每一个业务和每一个环节。国内软件企业要静下心把每个行业先弄透，因为行业的发展归根结底并不是技术驱动，而是需求驱动。国外一些企业做得非常强大，究其原因就是每个行业都有非常成熟的解决方案，它们是把一个行业又一个行业“啃”下来的，绝对不是一蹴而就，因此国内软件厂商在期望政府扶持力度更大的同时，还需要自身付出更多的努力。

法律是信息安全防护的最终目标

目前，世界各国政府正在寻求提高信息安全的法律手段。以美国为例，美国1987年通过了《计算机安全法》，1998年5月又发布了《使用电子媒介作传递用途的声明》，将电子传递的文件视为与纸介质文件相同。其后，又颁布了《保卫美国的计算机空间——保护信息系统的国家计划》、《电子签名全球与国内贸易法案》，分别确定了保护信息系统的目标和范围，保证了原始信息或文件内容在传递过程中的真实性。再如日本，信息安全保障是日本综合安全保障体系的核心，先后出台了《21世纪信息通信构想》和《信息通信产业技术战略》。日本从2000年2月13日起开始实施《反黑客法》，规定擅自使用他人身份及密码侵入电脑网络的行为都将被视为违法犯罪行为，最高可判处10年监禁。

上世纪90年代以来，随着计算机网络的持续、快速发展，信息网络技术在国民经济和社会各领域得到了广泛的延伸和应用。2002年11月14日，党的十六大报告提出了“以信息化带动工业化，以工业化促进信息化”的新型工业化发展道路，确立了新形势下我国国民经济和社会发展的战略目标。

长期以来，我国习惯于采取规范性文件的方式，进行任务的布置或者国家意志的贯彻与落实，忽视了法律在预防和处置信息安全问题上应当发挥的作用和功能；忽视信息安全立法的理论研究，缺乏信息安全立法的宏观规划和体系设计，信息安全立法至今尚未列入全国人大未来立法计划，网络系统、业务应用与信息内容之间的行政监督管理事权尚未严格分界，信息安全监督管理的行政架构重复并冲突。

在个人信息保护领域，我国许多省市都已经制定了有关个人信息保护的地方性法规。此外，全国人大常委会、国务院及其他部委也制定了若干专门领域的个人信息保护规定。例如，在网络信息保护方面，有《全国人民代表大会常务委员会关于加强网络信息保护的决定》、工信部制定的《电信和互联网用户个人信息保护规定》；在金融信息保护方面，国务院制定了征信业管理条例等。另外，我国刑法亦规定有“非法获取个人信息罪”和“非法买卖、提供公民个人信息罪”。

个人信息、企业信息、国家机密将成为信息时代洪流中敏感的元素，这些敏感元素最大的威胁就是遭遇来自个人、企业甚至是国家政府的窃取、窃听甚至是控制。完善法律是遏制邪恶的重要力量，但要确实的抵抗邪恶，主动防护必不可少，而采用具有针对性的加密软件则是最好的选择。