最近,在信息安全企业座谈中了解到,信息安全虽然成为热词,但市场真实响应不是很热烈。企业的困惑是:信息安全服务是一般的服务还是具有第三方性质的特殊服务?因为乙方确实可以轻易掌握甲方的信息。信息安全是没完没了的攻防较量,虽然能力不断提升,问题却丝毫没有根除,这种矛与盾的演义有无意义?信息安全是不是完全市场,政府采购有无必要对私企或上市公司设限或另眼相看?这些问题都急需寻找答案。
企业的困惑反映了信息安全的严峻性。一是认识不足,信息安全这种防御性的工作往往是说起来重要,做起来次要,除非吃到了苦头。二是信任不够,信息安全服务天然是潜在的第三方服务,在信任制度不健全的情况下,企业与用户难以有效合作。三是机制不灵,在对付正义与邪恶问题上,往往以技术对抗技术,于是“道高一尺,魔高一丈”,无休无止,恶性病毒、黑客攻击、垃圾邮件以及不良信息内容依旧招摇过市,而企业照例会借机讲更多危言耸听的故事,引起消费用户的恐惧心理,赢得社会的赞助。四是规则模糊,无论企业还是个人都在期待构建有效率有张力的管理体制。
整体看,信息安全既是战场,又是商场。信息安全企业不仅要与同行竞争,还要与无形的敌人战斗。但是这个敌人其实在为信息安全提供商机,同业竞争者才是真正的敌人,正是这种奇怪的关系构成信息安全生态,因此不要迷信信息安全企业总会站在政府和百姓一边。其实从政府或公众的角度看问题,信息安全与市场服务是可以区分的。不能也不应该把保护信息安全完全寄于信息安全市场。市场就是市场,它有着自己的规律,而信息安全必须运行在公权力的轨道上。
第一,推行法治。眼下在建的虚拟世界如同实体世界一样需要法治,而且因为信息的不对称性,更需要法治的存在。信息安全如果囿于技术,政府和公众都没有优势,因为敌人总在暗处,而你在明处。但是,一旦回归法律层面,借助国家机器,正义总可以绝对占上风,而敌人变得手无寸铁,治理便容易得多。企业家坦言,法治到位,信息安全问题会减少80%,集中力量解决余下的问题就简单多了。法治需要良法,而我国信息安全法规缺少基本法,体系零散,操作性不强。当务之急是以立法明晰信息安全的界线、底线和权力、义务。当然,信息安全毕竟不同于一般的执法,需要加强网络技术队伍建设。同时探索建立信息安全服务外包机制,把一些经考查的信息安全企业纳入管理范畴,共同参与治理。
第二,构筑诚信。信息安全反映了严肃的社会关系。公共组织、企业或个体都是社会细胞,建立友好的社会关系尤为重要。在政府的引导下,由公共组织或第三方组织建立信息安全标准和信用体系,强调企业在信息安全方面的社会责任,提高企业和个人的违约成本,保护信息弱者的利益不受损害。鼓励建立基于合约形式的法律保障,建立服务或被服务对待原则。比如,对短信推送广告这种有违信息安全的行为可以实行有偿化管理,杜绝垃圾短信的困扰。在推进大数据应用的进程中,尽快完善相关的数据应用规范,处理好保护个人隐私和利用信息资源的关系。规范信息系统工程建设和软件企业行为,制订信息安全自律条款,建立黑名单制度。建立信息安全举报和追溯平台,让那些侵害信息安全的公司或黑客无处遁形。
第三,倡导自觉。信息安全需要冷静。既不要因为信息安全的风险而过度恐惧,而被一些热衷炒作的企业牵着鼻子走,也不要过于轻视而忽略了应有的防护,门户洞开,引狼入室。自我防护是最容易被忽视的,调查发现94%的攻击能够利用基本的“网络卫生”手段阻止。信息安全责任一半在自身,政府应当建立一把手责任制和严格的安全制度,在出现问题时有管控预案和补救措施。企业和个人信息系统,需要作一些定期体检,包括对加密技术的更新维护。在制度健全的前提下,大力推广云服务方式,实现信息安全统一管理,把技术问题交给高素质的IT专家。