随着信息化的发展,信息化的风险与风险管理问题已经成为各个国家、国际组织所普遍关注的问题。如何进行信息化的风险管理,保障网络空间的安全也成为关系信息化能否健康发展的重大问题。
风险指行动或者事件的结果的不确定性(uncertainty of outcome),无论其结果是积极的机会还是消极的威胁。人们只能通过对这些不确定性发生的可能性,以及实际发生以后所产生的影响和后果来评价风险。在本报告中,信息化的风险被界定为信息化可能或者实际带来的消极威胁。风险管理泛指确认风险、评价风险、回应风险的过程。风险管理涉及复杂的结构、机制、过程和制度安排,其目的在于尽可能地降低风险的发生以及风险发生以后所带来的损失和威胁。
信息化风险可划分为个人用户、企业、政府部门和国家四个层次。个人用户和企业可能遭遇:设备、软件、网络、数据、服务、交易方面的六大类信息化风险。政府部门还可能遭遇基础设施方面的风险。国家存在着:国家信息、国家机器的功能、国家资产、国家安全、国际关系与社会发展五个方面的风险。实际上,信息化风险的种类要远远超出上述范围,并且将随着信息化的发展而逐步升级和恶化。我们可以把信息化风险的主要特征归纳为四个方面:全球性,传染性,复杂性,隐蔽性。
信息化风险的生成机理是复杂的,一方面是内因,由信息化自身的特点所决定:第一,信息化的无疆界特征;第二,信息化的低成本特征;第三,信息化的开放性特征;第四,信息化的匿名性特征。另一方面是外因,是信息化的风险源;我们把其中重要的归纳为十个方面:第一,自然灾害;第二,安全生产事故;第三,网络攻击;第四,借助信息化手段进行欺诈;第五,病毒和蠕虫;第六,内部泄密;第七,使用不当;第八,因内部因素而造成的信息、数据的修改和丢失;第九,因外部因素造成信息、数据的泄露、篡改和丢失;第十,安全防范措施不到位的高端技术。
从国际的经验和我国的具体情况出发,我们认为,对于信息化的风险以及风险的管理,我们应确立以下基本的战略和政策应对之。
一、明确政府的角色,强化信息化风险管理的责任
第一,管制者的角色(Regulatory role),对于那些个人或者企业、组织的风险会给其他人、企业、组织甚至于社会造成直接或者间接后果的,政府有必要采取管制或者其他的措施限制或者控制他们的活动或者行为;政府还要使那些使他人承担风险的人或者组织承担此种风险所导致后果的成本,不至于使他们转嫁成本。第二,服务者的角色。在信息化的过程中所出现的一些风险,如大规模的自然灾害所导致的信息基础设施的破坏;恐怖主义以及网络恐怖主义的攻击等等,政府需要采取直接的干预措施为社会提供直接的公共服务。政府干预的方式也主要有两个方面:采取行动降低风险发生的可能性;采取行动降低风险发生以后的损失。第三,管理者的角色。在政府自身的事务领域,包括在政府行使职能,提供服务的过程中,政府有责任确认风险和管理风险。在信息化的过程中,政府自身便是风险的管理者。政府要在其管理的各个层面,如战略层面、政策规划层面、项目层面以及具体的管理运作层面,全面实施风险的管理。作为风险的管理者,政府最主要的责任在于在各个层面的决策过程中,充分考虑到风险的因素,进行决策的风险判断。
二、建立和发展信息化风险管理的文化
高层领导支持和鼓励风险管理;政府组织支持创新和承担风险;有明确的风险管理的政策;有明确的风险管理的责任和责任机制;风险管理的政策和好处在所有的工作人员中得到充分的沟通和理解;风险管理充分地整合到组织管理的过程之中等。
三、做好国家信息化的薄弱环节识别,减少信息化系统中的问题
针对信息化风险的全球性和传染性等特征,政府主管部门尤其要做好国家信息化薄弱环节的识别、弥补和防范工作。第一,完善风险识别的机制,将检查定制为常规性工作,通过排查、采样、比较、演习、试点等方法,定期评估系统的风险应对能力,加强对薄弱环节的识别和认识。第二,及时纠正所发现的问题,减少现存问题导致灾害的可能性。第三,在条件允许的情况下,将旧系统更换为问题更少、技术更成熟的新系统。
四、通过有效的教育和培训提高和强化整个社会的信息化风险管理和安全意识与能力
通过宣传和教育计划提升社会公民、法人和其他组织的风险意识和安全意识;通过专门的教育和训练计划,培养风险管理、安全管理的专门人才以满足信息化发展的需要;通过教育和训练计划提高现有管理者的风险管理、安全管理的知识和能力;鼓励企业、社会组织开展风险管理、安全管理的专业人员的培训和资格认证。
五、强化信息化相关的立法,建立有效的管制机制,以防止和化解信息化的风险
从目前的情况来看,最迫切的工作便是加强以下方面的立法工作,《电子交易法和电子商务法》、《信息安全管理法》、《支付系统安全法》、《隐私法》、《网络犯罪法》、《重要和敏感性信息保护法》、《重要信息基础设施保护法》等的立法都与信息化的安全以及风险管理有着十分密切的关系。
六、建立健全国家信息化的技术安全平台,通过安全技术的发展保障信息化系统的安全
从国际经验而言,主要包括:访问控制(Access control),系统完整性控制(System integrity),密码控制(Cryptography),审计和监控(Audit and monitoring),配置管理和保证(Configuration management and assurance)等技术。
七、采取有效的措施,确保敏感性信息和国家重要信息基础设施的安全
政府要进行敏感性信息的分类,并加强管理,以防止敏感性信息被恶意者所利用。维护重要的信息基础设施的安全,应该成为信息化风险管理的重点所在。
八、保障政府系统的安全
在信息化的过程中,政府的首要责任在于保障自身系统的安全。在这方面,首先是加强领导、健全组织、明确责任,各级政府及其部门都要建立IT治理结构,并在此结构中把安全治理结构作为重要的组成部分;其次,要制定网络安全的战略、政策和具体措施,并保证他们能够得到有效的实施;其三,要对政府系统所面对的威胁以及系统的问题进行不断的评估,以做出有效的回应和解决。
九、建立国家网络空间安全的危机管理系统
网络空间的危机管理系统的主要职责在于:分析与评价,对网络空间可能出现的各种风险、威胁、攻击进行分析与评价;预防与预警;进行网络安全事故的管理;回应各种网络安全事变,并且恢复和确保网络空间以及重要的信息基础设施的正常运转。
十、通过信息的共享和广泛的合作,化解信息化的风险
确认风险和威胁,并且及时向社会披露,共享有关风险和威胁的信息,可以有效地化解风险。网络世界是跨越国界的。因此,国际社会之间的合作,包括政府之间,政府与国际组织之间,政府与民间组织的合作也是有效化解信息化风险的途径。