信息安全防護體系是深度符合木桶理論的體系,應(yīng)用系統(tǒng)安全能力目前是嚴(yán)重影響中國信息安全防護水平提升的短板����,該短板的提升,不僅僅需要信息安全業(yè)內(nèi)的努力���,更重要的在于所有信息化從業(yè)者需要凝聚共識�����,共同努力��。
一����、賽博空間的安全問題不是“新”社會問題
從社會管理角度看,網(wǎng)絡(luò)空間與現(xiàn)實空間的關(guān)系��,實際上是基本對應(yīng)的映射關(guān)系�����,例如現(xiàn)實空間的參與主體“人”��,其在網(wǎng)絡(luò)空間的形式則表現(xiàn)為一個具體的“進(jìn)程”�,現(xiàn)實生活中的組織��,在網(wǎng)絡(luò)空間的映射則為一個“應(yīng)用系統(tǒng)”或“一組應(yīng)用系統(tǒng)”��,這些思想在美國NSA及FBI最早的信息安全管理制度中都可以看到其痕跡����。既然參與主體沒有新變化,其相互之間的關(guān)系也不會發(fā)生本質(zhì)變化�,那么除了技術(shù)上的因素外�,賽博空間的安全管理問題也不是什么“新”社會問題�����,參考現(xiàn)實社會的管理思路��,完全有章可循�。
二、現(xiàn)實社會與賽博空間安全管理的對比分析
于普通平民百姓來說����,現(xiàn)實社會管理中最重要安全無非是“人身安全”與“財產(chǎn)安全”,在現(xiàn)實社會中����,保障公民(含法人)安全的管理體系主要分為三大部分:一是法律法規(guī)體系,明確公民的權(quán)利義務(wù)及法律責(zé)任;二是執(zhí)法系統(tǒng)��,包括警察���、檢察及法院等�,監(jiān)控���、制止及處罰各種違法行為;三是人與組織自身的安全意識及安全能力�,例如個人知道晚上不能去人煙稀少的地方,家里要裝防盜門�,現(xiàn)金不能都帶身上,銀行卡要保護好����。綜觀上述三個部分,我們可以看到其實第三部分——即個人或組織安全意識及安全能力是整個社會平穩(wěn)運行最為關(guān)鍵的技術(shù)�����,一個毫無防范意識及能力的個人����,無論法規(guī)及執(zhí)法系統(tǒng)多么完善���,也無法保證其人身安全或財產(chǎn)安全�����。
那么在賽博空間中���,信息安全管理體系與現(xiàn)實社會的安全管理體系是如何一一對應(yīng)的,可以略見下表:
上表對比可以一目了然地看到���,賽博空間的信息安全防護�,中國過去幾十年來一直重點聚焦于第二項,即外網(wǎng)執(zhí)法系統(tǒng)的建設(shè)上��,最近幾年由于國家對信息安全的重視���,第一項法律法規(guī)的建設(shè)正在快速跟上���,但是更為基礎(chǔ)及重要的第三項——即進(jìn)程及應(yīng)用系統(tǒng)的安全防護能力的認(rèn)識及投入上還處于相當(dāng)薄弱的階段,相比于美國�,這已經(jīng)成為中國信息安全防護水平提升的嚴(yán)重短板。
三����、應(yīng)用融合安全能力是提升信息安全短板的方向
參考現(xiàn)實社會的“人身安全”與“財產(chǎn)安全”,賽博空間的應(yīng)用系統(tǒng)安全能力大約主要歸類為“系統(tǒng)安全”及“數(shù)據(jù)安全”兩種��,就如一個小孩從出生開始我們就應(yīng)該教育培養(yǎng)其“人身安全”及“財產(chǎn)安全”意識及能力一樣�����,應(yīng)用系統(tǒng)在設(shè)計���、開發(fā)及測試發(fā)布的所有環(huán)節(jié)必須將這“系統(tǒng)安全”及“數(shù)據(jù)安全”能力內(nèi)置進(jìn)融合進(jìn)系統(tǒng)中�,而不能抱著發(fā)布一個“安全白癡”應(yīng)用后單純依賴各種外圍安全產(chǎn)品及法律法規(guī)來保障其安全。
據(jù)明朝萬達(dá)多年來為客戶提供信息安全服務(wù)的經(jīng)驗�����,要提升應(yīng)用系統(tǒng)的安全能力�,實現(xiàn)應(yīng)用與安全的融合,關(guān)鍵點在于以下幾個方面:一是信息安全責(zé)任主體應(yīng)該轉(zhuǎn)移到業(yè)務(wù)應(yīng)用開發(fā)部門�����,提升其安全意識;二是安全廠商及專家應(yīng)用推出更多的易于被應(yīng)用所融合的安全中間件或軟件定義的信息安全產(chǎn)品�����,并配以專業(yè)的安全開發(fā)指導(dǎo)服務(wù);三是信息安全管理部門應(yīng)該抓緊研究應(yīng)用系統(tǒng)安全開發(fā)規(guī)范標(biāo)準(zhǔn)并加強檢查監(jiān)督能力�����。
信息安全防護體系是深度符合木桶理論的體系�,應(yīng)用系統(tǒng)安全能力目前是嚴(yán)重影響中國信息安全防護水平提升的短板�����,該短板的提升���,不僅僅需要信息安全業(yè)內(nèi)的努力����,更重要的在于所有信息化從業(yè)者需要凝聚共識,共同努力����。
(作者系明朝萬達(dá)董事長兼總裁 王志海 )
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的�,皆為無意。如您是字體廠商���、圖片文字廠商等版權(quán)方����,且不允許本站使用您的字體和圖片文字等素材���,請聯(lián)系我們��,本站核實后將立即刪除�!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用���,并索要賠償或上訴法院的����,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索,將不予任何的法律和經(jīng)濟賠償��!敬請諒解�����!
粵公網(wǎng)安備 44030402000264號