浅析电子政务信息安全的“水池定律”(2)
2014-03-15 01:12
导读:解决办法一:信息化的目的是为了得到效益,所以没有效益的应用不如不建,在安全适度配置的前提下,要加大向应用要效益的力度;没人用的系统是最安全
解决办法一:信息化的目的是为了得到效益,所以没有效益的应用不如不建,在安全适度配置的前提下,要加大向应用要效益的力度;没人用的系统是最安全的,同时也是效用最低的,因此信息安全建设要与应用结合。
解决办法二:统一应用与安全建设的主体,做到业务谁主管,安全谁负责。如果统一主体确实存在困难,则要在两者之间建立利益等效机制,让利益链“环环紧扣”,让利益“流动”起来,这些可以通过调整管理体制,完善评价机制,健全监督机制来具体实现。
当然,实际情况更为复杂,我们要想以不变应万变,不被问题牵着鼻子走,需要把握以下原则: 绝对的安全是不存在的。当应用带来的收益远远大于安全带来的风险时,信息化工作才会大踏步地前进。我们应该做的,是大力建设能带来效益应用的同时,把安全风险控制在一个可容忍的较小范围内。也就是在扩大注水口的同时,缩小排水口。
前面为了能够简明地说清问题,我们把注水口简化为应用效益,把排水口简化为安全风险,形成了一个理想上的封闭环境。但正如我们不能将信息安全问题脱离开信息化的大环境去片面、孤立考虑一样,我们也不能把信息化的问题脱离开一个部门的整体大环境去考虑。从更宏观一点的角度考虑,给一个部门带来收益的并不只是信息化应用,给其带来损失的也并不只是信息安全风险。
信息化启动前,部门运作的传统方式有着自己的收支平衡;信息化一旦启动,信息安全风险必然存在,整体平衡被打破。安全防得再严,也不可能回到信息化前的水平,这时只有通过向应用要效益来重建平衡;随后的一个很长时期内,信息化都处于初级阶段,对传统方式的影响甚微,这时应以低风险、小应用滚动发展,逐步向传统方式渗透;当信息化发展到高级阶段,信息化应用在很大程度上取代了传统方式,则传统风险也逐步被信息安全风险所替代(例如办公如果真能实现无纸化,则传统纸质办公的失密风险会大为降低;网络如果真能集中管理,会比分散的单机、小网运行更便于监控),这时整体安全风险才有可能低于信息化前。初级阶段抓应用,高级阶段抓安全,这与发展中国家重发展,发达国家重安全有异曲同工之处。
(科教作文网http://zw.NSEaC.com编辑发布)
“不发展是最大的不安全”。应用与安全的关系,和我国社会主义初级阶段发展与稳定的关系十分类似。我们既不能跨越阶段,也不应止步不前,而应围绕应用建安全,建设安全的应用,向应用要效益一一这才是电子政务初级阶段信息安全问题的解决之道。
