• 以安全的名义

    Sep 17, 2008

    粘了奥运会的光,2008的秋色格外醉人。穿过微风的阳台,高而远的天空下,可以清晰地看见绵延的西山。坐拥西山美色,敢情用不着非得在西山买套别墅。据说站在后海的银锭桥上望过去,西山也并不遥远。

    但奥运会也会带来“麻烦”。不少电力企业断了外网,许多人上不了MSN、QQ,甚至连邮件也没法及时收发。有些更严格,内外网断掉以后,许多生产数据不得不通过光盘进行传送。奥运保电,是这一时期的唯一主题。以安全的名义,“安全之外的一切变得淡然而遥远。”

    信息安全是道,还是魔?是阻力还是动力?安全工作是道还是魔?是走火入魔还是立地成佛?道高一尺,铜墙铁壁;魔高一丈,虚形幻影。很明显,信息安全应该是推动信息化发展的动力,而不应该成为一个发展信息化的阻碍。然而对于电力企业而言,信息安全与信息化以及整个电力企业之间,却呈现出另人难以想象的非对称关系。这种不对称的关系表现出明显的两极分化特征:过度管理or过度投入。我们可以统称之为“过度安全”。

    所谓过度管理,即安全投入在整个信息化投入中所占比例并不高(目前大部分企业的安全投入仅占到整个信息化投入的10%都不到),但是过度的安全管理制度和管理令安全管理本身举步维艰。

    所谓过度投入,即安全投入过高,有的安全投入甚至超过整个信息化投入的40%,过于响应供应商的号召,把所有能做的安全产品、安全方案一一来过,投资过大,保护过度,却收效甚微,给整个信息化系统的运行、维护带来庞大的工作量。

    显然,以上两种安全策略都有失偏颇,走了极端路线。越来越多的信息中心主任意识到,安全投入的价值如果等同于被保护对象的价值,实际上就没有任何意义。也许对象本身的价格便宜,可是价值很大,在这种情况下,安全的投入就会超过对象的投入。安全的适度性应该与对象代表的价值比较,如果相匹配就不算过度,否则就算是过度。无论如何,安全决不会比所保护的对象投入更多。

    信息安全已经不仅仅局限于网络安全和数据安全。随着应用范围的拓展,不同专业间的交叉融合,信息安全逐渐向逻辑安全、控制安全、测量安全、认证安全、决策安全等各个领域渗透,全新的信息安全价值观正在得到前所未有的诠释。不能否认的是,信息化的精神表现为对开放、共享、效率、自动化以及智能的追求无止境。

    正因为此,信息安全,我们既不能谈虎色变萎缩防守,也不能当它纸老虎鲁莽冲锋。也许,追求安全的适度、和谐与可靠才是我们的终极目标。正是对过度安全带来的不良体验以及对信息安全的不断审慎,近来,不少新锐的信息化专家提出“适度安全”这一概念。所谓适度安全,即实现信息安全在技术、管理、运维、服务、培训等多维度的均衡与和谐。

    如果“适度主义”已经成为当代社会新的价值观,那就让我们真正的坐下来反思我们的所有行为,尤其是几十年来我们的电力信息化建设,是不是正在从一个极端走向另一个极端,然后再从这一个极端走向新的极端?如果投资一再浪费,如果管理一再拖沓,不管我们投入了太多还是太少,为什么我们依然找不到最安全的感觉?那么,是不是我们的想法出了问题?我们是不是应该改变思考的角度或者方向?!

    分享到:

    历史上的今天:

    以安全的名义 Sep 17, 2008
    以安全的名义 Sep 17, 2008
    Tag:

    评论

  • 恭喜!您这篇博文在圈子“金三角文苑”由“七娃”加为精华博文!
  • 题目好大啊,哈哈,仔细读了。