最近,在信息安全企業座談中了解到,信息安全雖然成為熱詞,但市場真實響應不是很熱烈。企業的困惑是:信息安全服務是一般的服務還是具有第三方性質的特殊服務?因為乙方確實可以輕易掌握甲方的信息。信息安全是沒完沒了的攻防較量,雖然能力不斷提升,問題卻絲毫沒有根除,這種矛與盾的演義有無意義?信息安全是不是完全市場,政府采購有無必要對私企或上市公司設限或另眼相看?這些問題都急需尋找答案。
企業的困惑反映了信息安全的嚴峻性。一是認識不足,信息安全這種防御性的工作往往是說起來重要,做起來次要,除非吃到了苦頭。二是信任不夠,信息安全服務天然是潛在的第三方服務,在信任制度不健全的情況下,企業與用戶難以有效合作。三是機制不靈,在對付正義與邪惡問題上,往往以技術對抗技術,于是“道高一尺,魔高一丈”,無休無止,惡性病毒、黑客攻擊、垃圾郵件以及不良信息內容依舊招搖過市,而企業照例會借機講更多危言聳聽的故事,引起消費用戶的恐懼心理,贏得社會的贊助。四是規則模糊,無論企業還是個人都在期待構建有效率有張力的管理體制。
整體看,信息安全既是戰場,又是商場。信息安全企業不僅要與同行競爭,還要與無形的敵人戰斗。但是這個敵人其實在為信息安全提供商機,同業競爭者才是真正的敵人,正是這種奇怪的關系構成信息安全生態,因此不要迷信信息安全企業總會站在政府和百姓一邊。其實從政府或公眾的角度看問題,信息安全與市場服務是可以區分的。不能也不應該把保護信息安全完全寄于信息安全市場。市場就是市場,它有著自己的規律,而信息安全必須運行在公權力的軌道上。
第一,推行法治。眼下在建的虛擬世界如同實體世界一樣需要法治,而且因為信息的不對稱性,更需要法治的存在。信息安全如果囿于技術,政府和公眾都沒有優勢,因為敵人總在暗處,而你在明處。但是,一旦回歸法律層面,借助國家機器,正義總可以絕對占上風,而敵人變得手無寸鐵,治理便容易得多。企業家坦言,法治到位,信息安全問題會減少80%,集中力量解決余下的問題就簡單多了。法治需要良法,而我國信息安全法規缺少基本法,體系零散,操作性不強。當務之急是以立法明晰信息安全的界線、底線和權力、義務。當然,信息安全畢竟不同于一般的執法,需要加強網絡技術隊伍建設。同時探索建立信息安全服務外包機制,把一些經考查的信息安全企業納入管理范疇,共同參與治理。
第二,構筑誠信。信息安全反映了嚴肅的社會關系。公共組織、企業或個體都是社會細胞,建立友好的社會關系尤為重要。在政府的引導下,由公共組織或第三方組織建立信息安全標準和信用體系,強調企業在信息安全方面的社會責任,提高企業和個人的違約成本,保護信息弱者的利益不受損害。鼓勵建立基于合約形式的法律保障,建立服務或被服務對待原則。比如,對短信推送廣告這種有違信息安全的行為可以實行有償化管理,杜絕垃圾短信的困擾。在推進大數據應用的進程中,盡快完善相關的數據應用規范,處理好保護個人隱私和利用信息資源的關系。規范信息系統工程建設和軟件企業行為,制訂信息安全自律條款,建立黑名單制度。建立信息安全舉報和追溯平臺,讓那些侵害信息安全的公司或黑客無處遁形。
第三,倡導自覺。信息安全需要冷靜。既不要因為信息安全的風險而過度恐懼,而被一些熱衷炒作的企業牽著鼻子走,也不要過于輕視而忽略了應有的防護,門戶洞開,引狼入室。自我防護是最容易被忽視的,調查發現94%的攻擊能夠利用基本的“網絡衛生”手段阻止。信息安全責任一半在自身,政府應當建立一把手責任制和嚴格的安全制度,在出現問題時有管控預案和補救措施。企業和個人信息系統,需要作一些定期體檢,包括對加密技術的更新維護。在制度健全的前提下,大力推廣云服務方式,實現信息安全統一管理,把技術問題交給高素質的IT專家。