信息安全防護體系是深度符合木桶理論的體系���,應用系統(tǒng)安全能力目前是嚴重影響中國信息安全防護水平提升的短板�,該短板的提升��,不僅僅需要信息安全業(yè)內(nèi)的努力��,更重要的在于所有信息化從業(yè)者需要凝聚共識���,共同努力���。
一�、賽博空間的安全問題不是“新”社會問題
從社會管理角度看��,網(wǎng)絡空間與現(xiàn)實空間的關(guān)系��,實際上是基本對應的映射關(guān)系���,例如現(xiàn)實空間的參與主體“人”�,其在網(wǎng)絡空間的形式則表現(xiàn)為一個具體的“進程”�����,現(xiàn)實生活中的組織��,在網(wǎng)絡空間的映射則為一個“應用系統(tǒng)”或“一組應用系統(tǒng)”�����,這些思想在美國NSA及FBI最早的信息安全管理制度中都可以看到其痕跡�。既然參與主體沒有新變化,其相互之間的關(guān)系也不會發(fā)生本質(zhì)變化���,那么除了技術(shù)上的因素外��,賽博空間的安全管理問題也不是什么“新”社會問題����,參考現(xiàn)實社會的管理思路��,完全有章可循�����。
二����、現(xiàn)實社會與賽博空間安全管理的對比分析
于普通平民百姓來說,現(xiàn)實社會管理中最重要安全無非是“人身安全”與“財產(chǎn)安全”���,在現(xiàn)實社會中��,保障公民(含法人)安全的管理體系主要分為三大部分:一是法律法規(guī)體系����,明確公民的權(quán)利義務及法律責任;二是執(zhí)法系統(tǒng)�,包括警察、檢察及法院等,監(jiān)控���、制止及處罰各種違法行為;三是人與組織自身的安全意識及安全能力�,例如個人知道晚上不能去人煙稀少的地方���,家里要裝防盜門����,現(xiàn)金不能都帶身上�����,銀行卡要保護好���。綜觀上述三個部分���,我們可以看到其實第三部分——即個人或組織安全意識及安全能力是整個社會平穩(wěn)運行最為關(guān)鍵的技術(shù),一個毫無防范意識及能力的個人�����,無論法規(guī)及執(zhí)法系統(tǒng)多么完善�����,也無法保證其人身安全或財產(chǎn)安全。
那么在賽博空間中����,信息安全管理體系與現(xiàn)實社會的安全管理體系是如何一一對應的�����,可以略見下表:
上表對比可以一目了然地看到��,賽博空間的信息安全防護���,中國過去幾十年來一直重點聚焦于第二項����,即外網(wǎng)執(zhí)法系統(tǒng)的建設上�,最近幾年由于國家對信息安全的重視,第一項法律法規(guī)的建設正在快速跟上�����,但是更為基礎及重要的第三項——即進程及應用系統(tǒng)的安全防護能力的認識及投入上還處于相當薄弱的階段��,相比于美國,這已經(jīng)成為中國信息安全防護水平提升的嚴重短板��。
三�����、應用融合安全能力是提升信息安全短板的方向
參考現(xiàn)實社會的“人身安全”與“財產(chǎn)安全”����,賽博空間的應用系統(tǒng)安全能力大約主要歸類為“系統(tǒng)安全”及“數(shù)據(jù)安全”兩種,就如一個小孩從出生開始我們就應該教育培養(yǎng)其“人身安全”及“財產(chǎn)安全”意識及能力一樣��,應用系統(tǒng)在設計��、開發(fā)及測試發(fā)布的所有環(huán)節(jié)必須將這“系統(tǒng)安全”及“數(shù)據(jù)安全”能力內(nèi)置進融合進系統(tǒng)中���,而不能抱著發(fā)布一個“安全白癡”應用后單純依賴各種外圍安全產(chǎn)品及法律法規(guī)來保障其安全���。
據(jù)明朝萬達多年來為客戶提供信息安全服務的經(jīng)驗,要提升應用系統(tǒng)的安全能力�,實現(xiàn)應用與安全的融合,關(guān)鍵點在于以下幾個方面:一是信息安全責任主體應該轉(zhuǎn)移到業(yè)務應用開發(fā)部門�����,提升其安全意識;二是安全廠商及專家應用推出更多的易于被應用所融合的安全中間件或軟件定義的信息安全產(chǎn)品,并配以專業(yè)的安全開發(fā)指導服務;三是信息安全管理部門應該抓緊研究應用系統(tǒng)安全開發(fā)規(guī)范標準并加強檢查監(jiān)督能力�。
信息安全防護體系是深度符合木桶理論的體系,應用系統(tǒng)安全能力目前是嚴重影響中國信息安全防護水平提升的短板�,該短板的提升,不僅僅需要信息安全業(yè)內(nèi)的努力�,更重要的在于所有信息化從業(yè)者需要凝聚共識,共同努力����。
(作者系明朝萬達董事長兼總裁 王志海 )
免責聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺�����。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的����,皆為無意。如您是字體廠商����、圖片文字廠商等版權(quán)方,且不允許本站使用您的字體和圖片文字等素材�����,請聯(lián)系我們,本站核實后將立即刪除�����!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用�����,并索要賠償或上訴法院的�,均視為新型網(wǎng)絡碰瓷及敲詐勒索,將不予任何的法律和經(jīng)濟賠償���!敬請諒解�����!
粵公網(wǎng)安備 44030402000264號