“互联网+”热潮中勿忘“+安全”
“互联网+”热潮中勿忘“+安全” |
作者:王兴全 发布时间:2015/06/18 点击率:44 |
核心观点 新兴的网络技术和组织模式,如云计算、大数据、移动互联、社交网络、媒介融合、智能制造等,可以合力将任何一家公司在更大程度上转化为数据公司,这种趋势在我国集中体现为“互联网+”主导的创新热潮。同时我们应清醒看到,新兴技术和模式中蕴含着大量既有安全方案所忽视、未能认识、不能应对的信息安全问题。无论是造成线路中断、硬件故障,还是引发数据丢失、信息泄露,都会威胁企业的持续经营乃至生存根本,经济损失和心理冲击直接影响到网络技术在全社会范围内的广泛应用。 今天,第二届国家网络安全宣传周拉开帷幕。而最近支付宝和携程的“宕机”风波,无疑为本届宣传周加强网络安全风险意识的宣传主题提供了最新注脚,而且也足以给火热推进中的“互联网+”提个安全醒。 须正视“互联网+”中的不安全暗礁 创新的安全隐忧。新兴的网络技术和组织模式,如云计算、大数据、移动互联、社交网络、媒介融合、智能制造等,可以合力将任何一家公司在更大程度上转化为数据公司,这种趋势在我国集中体现为“互联网+”主导的创新热潮。同时我们应清醒看到,新兴技术和模式中蕴含着大量既有安全方案所忽视、未能认识、不能应对的信息安全问题。无论是造成线路中断、硬件故障,还是引发数据丢失、信息泄露,都会威胁企业的持续经营乃至生存根本,经济损失和心理冲击直接影响到网络技术在全社会范围内的广泛应用。根据EMC公司2014年底发布的消息,在过去的一年间,全球范围内的数据丢失和宕机给规模以上企业造成了1.7万亿美元的经济损失,64%的受访企业曾经历过数据丢失或宕机;而与之形成鲜明对照的是,62%的企业认为大数据、移动网络和混合云的安全难以保障,只有6%的企业兼具三者的安全方案,51%的企业则一无所有。 企业级的安全威胁。身处“互联网+”中的各类企业都不同程度遭受安全威胁。诸如支付宝、携程、腾讯等大型网络公司,日益成为整个社会支付、出行、社交基础信息系统的重要组成部分;一旦遭遇数据丢失和宕机,会对其自身的持续经营造成强烈冲击,也会遭受巨大的社会压力。小型网络公司的规模决定了其在信息安全上进行投资的意愿不高,因而虽然只是持有“小数据”,但网络攻击的成本低,容易遭遇安全威胁。随着互联网应用溢出到各行各业,部分“安全菜鸟级”传统行业企业开始深入触网,但其信息安全保障系统往往复杂度低,面对信息安全威胁大门洞开,在遇到攻击、故障、误操作的时候,自身和用户可能会遭受意想不到的损失。 对一家部分嬗变为数据公司的企业而言,用户数据必然成为增长最为迅速的数据模块,包含隐私的用户信息构成了企业的商业秘密和核心竞争力。无数个人信息和商业信息汇聚交融而成的国家大数据,不可避免地蕴藏着大量国家机密。因而传统意义上国家机密、商业秘密、个人隐私的划分界限已然模糊,一家大型商业互联网公司受到攻击或遭遇故障,公司利益、社会利益和国家利益一损俱损。特别是相对弱势的个人用户,要承受隐私泄露的不安全感、网络使用依赖性带来的不便,以及个人金融信息外泄造成的直接经济损失。企业的信息安全承载着社会职能,信息安全问题的社会成本,往往是由用户埋单。 以多元化的风险治理机制筑牢安全屏障 个案治理。支付宝、携程等大型网络公司安全事件波及范围广、社会影响大,所以总能引发媒介和社会的高度关注,公司在技术补救的同时还需通过危机公关平复社会疑虑,承受了巨大的社会压力。因而无论是基础设施故障、硬件问题、网络设计缺陷、网络攻击、员工误操作、运营失误,还是各种未知问题造成的事故,都会首先引起公司的高度紧张,以及业界的普遍焦虑,迫使整个行业在相关问题上提高关注度和加大信息安全投入,力求防患于未然。这种个案式的推动不仅仅是被动式的“救火”治理,而是通过不断给业界敲响安全警钟,实现行业信息安全的主动式防护。 行业治理。鉴于信息技术演化的不稳定状态,过早使用立法等规则治理方式作用有限,所以要注重以技术方式回应“互联网+”的安全保障需求。但信息安全行业自身发展存在瓶颈:一方面是细分环节专业性强,领域之间技术差异大,因此需求方迫切需要具备深度整合能力的安全方案协同商;另一方面,安全供应商过度专注整合功能于单一产品,而忽略了网络运行效率、系统多样性等行业基本规律。但是,换个角度来看,挑战同样也是行业发展契机:无论是为小公司提供基本保障,还是为手握大数据的大型公司提供复杂方案,产业链的逐步整合、优先级的动态调整、“互联网+”的颠覆式创新,都会为行业的整合巨人和专业新星提供了成长的土壤。 社会治理。信息安全的协同治理应遵循一些基本规则。一是约束互联网企业。虽然百密一疏在所难免,但企业应清楚认识其财务和社会责任,保障自身和用户利益。二是打击犯罪。网络上的经济轻罪时常成为法外之地,造成网络轻罪泛滥,安全攻击有利可图,执法加强的警示效应可以抑制多数网络轻罪于无形。三是保护个人用户。应在信用的基础上形成相应机制,将追索的责任归于更具追索能力的代理组织,如大型网络公司和金融机构,还社会以使用网络的信任氛围。四是建设尊重和宽容的社会环境,互联网时代隐私保护的最好方式就是隐私最小化,透明的个人和宽容的道德规范相辅相成,是社会软治理的根本渠道。 风险社会和网络社会如影随形。网络安全是“互联网+”良性发展的保障轨道,应以多元化的风险治理机制来化解网络社会的安全隐忧,筑牢安全屏障,并为大众创业、万众创新提供环境。 (作者为上海社科院信息所知识管理研究中心主任、副研究员) |