一、赛博空间的安全问题不是“新”社会问题
本文讲的是 深度:应用安全是信息安全防护的短板,从社会管理角度看,网络空间与现实空间的关系,实际上是基本对应的映射关系,例如现实空间的参与主体“人”,其在网络空间的形式则表现为一个具体的“进程”,现实生活中的组织,在网络空间的映射则为一个“应用系统”或“一组应用系统”,这些思想在美国NSA及FBI最早的信息安全管理制度中都可以看到其痕迹。既然参与主体没有新变化,其相互之间的关系也不会发生本质变化,那么除了技术上的因素外,赛博空间的安全管理问题也不是什么“新”社会问题,参考现实社会的管理思路,完全有章可循。
二、现实社会与赛博空间安全管理的对比分析
于普通平民百姓来说,现实社会管理中最重要安全无非是“人身安全”与“财产安全”,在现实社会中,保障公民(含法人)安全的管理体系主要分为三大部分:一是法律法规体系,明确公民的权利义务及法律责任;二是执法系统,包括警察、检察及法院等,监控、制止及处罚各种违法行为;三是人与组织自身的安全意识及安全能力,例如个人知道晚上不能去人烟稀少的地方,家里要装防盗门,现金不能都带身上,银行卡要保护好。综观上述三个部分,我们可以看到其实第三部分——即个人或组织安全意识及安全能力是整个社会平稳运行最为关键的技术,一个毫无防范意识及能力的个人,无论法规及执法系统多么完善,也无法保证其人身安全或财产安全。
那么在赛博空间中,信息安全管理体系与现实社会的安全管理体系是如何一一对应的,可以略见下表:
现实社会 赛博空间
法律法规 信息安全法律法规
执法系统 信息监控及防火墙等系统级安全防护
个人及组织安全意识及安全能力 进程及应用安全能力
上表对比可以一目了然地看到,赛博空间的信息安全防护,中国过去几十年来一直重点聚焦于第二项,即外网执法系统的建设上,最近几年由于国家对信息安全的重视,第一项法律法规的建设正在快速跟上,但是更为基础及重要的第三项——即进程及应用系统的安全防护能力的认识及投入上还处于相当薄弱的阶段,相比于美国,这已经成为中国信息安全防护水平提升的严重短板。
三、应用融合安全能力是提升信息安全短板的方向
参考现实社会的“人身安全”与“财产安全”,赛博空间的应用系统安全能力大约主要归类为“系统安全”及“数据安全”两种,就如一个小孩从出生开始我们就应该教育培养其“人身安全”及“财产安全”意识及能力一样,应用系统在设计、开发及测试发布的所有环节必须将这“系统安全”及“数据安全”能力内置进融合进系统中,而不能抱着发布一个“安全白痴”应用后单纯依赖各种外围安全产品及法律法规来保障其安全。
据明朝万达多年来为客户提供信息安全服务的经验,要提升应用系统的安全能力,实现应用与安全的融合,关键点在于以下几个方面:一是信息安全责任主体应该转移到业务应用开发部门,提升其安全意识;二是安全厂商及专家应用推出更多的易于被应用所融合的安全中间件或软件定义的信息安全产品,并配以专业的安全开发指导服务;三是信息安全管理部门应该抓紧研究应用系统安全开发规范标准并加强检查监督能力。
信息安全防护体系是深度符合木桶理论的体系,应用系统安全能力目前是严重影响中国信息安全防护水平提升的短板,该短板的提升,不仅仅需要信息安全业内的努力,更重要的在于所有信息化从业者需要凝聚共识,共同努力。