信息安全防護(hù)體系是深度符合木桶理論的體系,應(yīng)用系統(tǒng)安全能力目前是嚴(yán)重影響中國(guó)信息安全防護(hù)水平提升的短板���,該短板的提升����,不僅僅需要信息安全業(yè)內(nèi)的努力,更重要的在于所有信息化從業(yè)者需要凝聚共識(shí)�����,共同努力。
一��、賽博空間的安全問(wèn)題不是“新”社會(huì)問(wèn)題
從社會(huì)管理角度看,網(wǎng)絡(luò)空間與現(xiàn)實(shí)空間的關(guān)系����,實(shí)際上是基本對(duì)應(yīng)的映射關(guān)系�����,例如現(xiàn)實(shí)空間的參與主體“人”,其在網(wǎng)絡(luò)空間的形式則表現(xiàn)為一個(gè)具體的“進(jìn)程”,現(xiàn)實(shí)生活中的組織����,在網(wǎng)絡(luò)空間的映射則為一個(gè)“應(yīng)用系統(tǒng)”或“一組應(yīng)用系統(tǒng)”��,這些思想在美國(guó)NSA及FBI最早的信息安全管理制度中都可以看到其痕跡。既然參與主體沒(méi)有新變化��,其相互之間的關(guān)系也不會(huì)發(fā)生本質(zhì)變化�,那么除了技術(shù)上的因素外�����,賽博空間的安全管理問(wèn)題也不是什么“新”社會(huì)問(wèn)題,參考現(xiàn)實(shí)社會(huì)的管理思路����,完全有章可循。
二�、現(xiàn)實(shí)社會(huì)與賽博空間安全管理的對(duì)比分析
于普通平民百姓來(lái)說(shuō)�,現(xiàn)實(shí)社會(huì)管理中最重要安全無(wú)非是“人身安全”與“財(cái)產(chǎn)安全”�,在現(xiàn)實(shí)社會(huì)中����,保障公民(含法人)安全的管理體系主要分為三大部分:一是法律法規(guī)體系,明確公民的權(quán)利義務(wù)及法律責(zé)任;二是執(zhí)法系統(tǒng)��,包括警察�����、檢察及法院等��,監(jiān)控、制止及處罰各種違法行為;三是人與組織自身的安全意識(shí)及安全能力���,例如個(gè)人知道晚上不能去人煙稀少的地方�����,家里要裝防盜門���,現(xiàn)金不能都帶身上,銀行卡要保護(hù)好��。綜觀上述三個(gè)部分��,我們可以看到其實(shí)第三部分——即個(gè)人或組織安全意識(shí)及安全能力是整個(gè)社會(huì)平穩(wěn)運(yùn)行最為關(guān)鍵的技術(shù)�����,一個(gè)毫無(wú)防范意識(shí)及能力的個(gè)人��,無(wú)論法規(guī)及執(zhí)法系統(tǒng)多么完善���,也無(wú)法保證其人身安全或財(cái)產(chǎn)安全。
那么在賽博空間中����,信息安全管理體系與現(xiàn)實(shí)社會(huì)的安全管理體系是如何一一對(duì)應(yīng)的��,可以略見(jiàn)下表:
上表對(duì)比可以一目了然地看到���,賽博空間的信息安全防護(hù),中國(guó)過(guò)去幾十年來(lái)一直重點(diǎn)聚焦于第二項(xiàng)�����,即外網(wǎng)執(zhí)法系統(tǒng)的建設(shè)上���,最近幾年由于國(guó)家對(duì)信息安全的重視���,第一項(xiàng)法律法規(guī)的建設(shè)正在快速跟上,但是更為基礎(chǔ)及重要的第三項(xiàng)——即進(jìn)程及應(yīng)用系統(tǒng)的安全防護(hù)能力的認(rèn)識(shí)及投入上還處于相當(dāng)薄弱的階段�,相比于美國(guó),這已經(jīng)成為中國(guó)信息安全防護(hù)水平提升的嚴(yán)重短板����。
三、應(yīng)用融合安全能力是提升信息安全短板的方向
參考現(xiàn)實(shí)社會(huì)的“人身安全”與“財(cái)產(chǎn)安全”��,賽博空間的應(yīng)用系統(tǒng)安全能力大約主要?dú)w類為“系統(tǒng)安全”及“數(shù)據(jù)安全”兩種�����,就如一個(gè)小孩從出生開(kāi)始我們就應(yīng)該教育培養(yǎng)其“人身安全”及“財(cái)產(chǎn)安全”意識(shí)及能力一樣,應(yīng)用系統(tǒng)在設(shè)計(jì)�����、開(kāi)發(fā)及測(cè)試發(fā)布的所有環(huán)節(jié)必須將這“系統(tǒng)安全”及“數(shù)據(jù)安全”能力內(nèi)置進(jìn)融合進(jìn)系統(tǒng)中��,而不能抱著發(fā)布一個(gè)“安全白癡”應(yīng)用后單純依賴各種外圍安全產(chǎn)品及法律法規(guī)來(lái)保障其安全���。
據(jù)明朝萬(wàn)達(dá)多年來(lái)為客戶提供信息安全服務(wù)的經(jīng)驗(yàn)�����,要提升應(yīng)用系統(tǒng)的安全能力���,實(shí)現(xiàn)應(yīng)用與安全的融合�����,關(guān)鍵點(diǎn)在于以下幾個(gè)方面:一是信息安全責(zé)任主體應(yīng)該轉(zhuǎn)移到業(yè)務(wù)應(yīng)用開(kāi)發(fā)部門�,提升其安全意識(shí);二是安全廠商及專家應(yīng)用推出更多的易于被應(yīng)用所融合的安全中間件或軟件定義的信息安全產(chǎn)品,并配以專業(yè)的安全開(kāi)發(fā)指導(dǎo)服務(wù);三是信息安全管理部門應(yīng)該抓緊研究應(yīng)用系統(tǒng)安全開(kāi)發(fā)規(guī)范標(biāo)準(zhǔn)并加強(qiáng)檢查監(jiān)督能力��。
信息安全防護(hù)體系是深度符合木桶理論的體系,應(yīng)用系統(tǒng)安全能力目前是嚴(yán)重影響中國(guó)信息安全防護(hù)水平提升的短板���,該短板的提升���,不僅僅需要信息安全業(yè)內(nèi)的努力,更重要的在于所有信息化從業(yè)者需要凝聚共識(shí)�����,共同努力�。
(作者系明朝萬(wàn)達(dá)董事長(zhǎng)兼總裁 王志海 )
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來(lái)源于互聯(lián)網(wǎng)共享平臺(tái)。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的��,皆為無(wú)意�����。如您是字體廠商��、圖片文字廠商等版權(quán)方����,且不允許本站使用您的字體和圖片文字等素材,請(qǐng)聯(lián)系我們���,本站核實(shí)后將立即刪除�!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用,并索要賠償或上訴法院的���,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索���,將不予任何的法律和經(jīng)濟(jì)賠償!敬請(qǐng)諒解����!
粵公網(wǎng)安備 44030402000264號(hào)