闲话保密委员会与信息安全委员会“两委”合一

新形势下,泄密渠道越来越互联网化和计算机化,而信息科技的不断创新让保密和信息安全越走越近,是否要实现信息安全委员会与保密委员会“两委”合一呢?两会上有代表提出了这个提议。

其实,不仅仅是保密与信息安全,很多职能都有交叉重复的地方。昆明亭长朗然科技有限公司科技有限公司信息安全与保密教育专员董志军说:将信息安全与保密“两委”合并与否,其实并不重要。因为两者之间无论如何都少不了竞争与合作,如何促进良性的竞争与紧密的合作,才是我们更应该考虑的问题。

信息安全与保密工作在侧重点方面虽然各有不同,但是将“两委”合一,如果可以发挥一加一大于二的效果,那就合了划算;如何合并起来,不但不能发挥一加一大于二的效果,反倒造成信安或保密工作的倒退或失误,那还是分开的好。这的确好像是些废话,事实上,有不少机构的保密和信息安全工作是由同一个团队负责的,特别是那些涉密行业。因为其中的大部分工作越来越近似和重合,传统上来讲,信息安全团队更具有技术优势,而保密团队更具有规程优势;而在新形势下,每个部门都想要积极出彩,都必须强化核心功能部分,同时扩充边界职能部分。如果“两委”或两个职能部门恶性竞争的话,不仅会损伤整体,也会伤及自身,好在“两委”的一把手往往都是同一位领导。

富有远见的保密委员会和信息安全委员会显然都能看到这一点,所以,及早规划和调整组织人员结构、制定“两委”分工与合作细则,是不可或缺的一项工作内容。比如,将信息安全意识宣教和保密知识宣教合并起来,不仅可以节省培训资源,更能为学员创造出单一的安全泄密事件报告接口,提升防泄密的治理水平。

说了这么多,“两委”合一与否,关键的因素还得看业务对信息安全和保密工作的需求,以及对合并之后能否发挥一加一大于二的效果评判。不过不管如何,某些交叉和重合的工作内容是绝对可以整合的,比如信息安全和保密意识的宣教。

infosec-teamwork-w-confidentiality-merge

网络战争取胜关键在于普通网民

说到网络战争,普通人可能觉得非常遥远,认为个人通常不会成为攻击者的目标,原因是没有什么值得攻击的。的确,与传统战争一样,交战双方的攻占目标往往不会是平民百姓,但是平民百姓往往会为战争付出重大代价,甚至成为战争的牺牲品。

然而互联网世界不太平,由网络犯罪集团、国际敌对势力甚至国家政府力量资助的大规模互联网安全渗透攻击已经成为国家安全所面临的严重威胁,网络安全也已经成为各大国政要们所关注的重要政治课题。恶意软件、黑客组织、商业间谍、网络黑帮、在线勒索、社交诈骗等等更是不时骚扰着各类政府机构、商业公司以及家庭个人。

由东欧国家顶级黑客们一手操控的僵尸网络遍布全球,美国华盛顿周边云集着世界一流的互联网大规模杀伤性武器的制造商,俄罗斯的网络黑帮通过互联网黑市买卖着全世界人民的信用卡和银行帐户信息,伊朗及朝鲜网军不时释放出能给基础设施带来破坏毁灭性打击的网络蠕虫,遍布全球的匿名黑客组织成员在用他们的暴力行动推行着特有的价值观念,互联网大鳄们更是掌握了全球网民的隐私并从中渔利,印度大规模培训网络安全渗透攻击人才,中国极力否认美国宣称的中国军队力量参与该国商业信息窃密,互联网世界大战一触即发……

当战争不再只借助实体的火箭枪炮和坦克导弹,而是利用互联网或结合互联网,那杀伤力也非同寻常。“阿拉伯之春”运动并不仅仅在非“西方民主”价值体系之下的国家运行,如同瘟疫传播一样到达欧洲、美洲和亚洲,更是燃烧到伦敦、纽约等西方大型城市,其影响之深、范围之广至今仍为一些贪腐政权所震惊。

我们需要理解人们为了追求民主自由、政治改革和人权民生而进行的示威游行,所以,不能责怪Facebook、Twitter、Youtube等社交媒体在这些抗议和示威活动中的角色和作用。毕竟,社交媒体只是中立的工具,不过,我们也不能忽视对民众的教育,中老年人和文盲不满足生存现状的原因可能是吃不饱,而多数熟练使用互联网的年轻人,可能并非“吃不饱”,而是由于失业等原因造成的经济困顿。

宏观的背景可能是金融危机造成的经济不景气,实际上,观望历次世界大战的起因,多数也因经济危机,国与国之间的战争说到底是利益之争,自己的国民养不活便去抢劫别人的,价值观异同之类的只是借口。就如同一个人饿极了会攻击他人抢夺财富一样,但很少会因别人的想法和他不同而发起攻击。

所以,从历史上看,新的世界战争不可避免,即使现代的聪明人们会想法弱化战争的可能,但是世界已经失去平衡。欧美强国很多人不干活,一直享受着发展中国家为其生产制造的商品,还不够,仍要透支未来不顾一切的尽情消费。亚太发展中国家励精图治,辛勤耕耘,为西方雇主送上精美产品,还搭上真金白银。不过,时代已经不容列强再赤裸裸的入侵,他们要选择全新的途径,即通过网络空间发起战争。

这些网络空间的战争绝对不仅是分布式拒绝服务攻击DDoS,列强很定不希望让我们关闭国门,他们想的无非是如何通过网络战争来获取最大化的经济利益。例如,攻击兵团可能会通过网络培植网络亲信,给中国网民“洗脑”,甚至通过赞助中国网民来实施摇控措施,进而通过他们来影响相关政策,攻击了孤立反对者,方便其获得最大利益。这些传统上的商业间谍行为如何能够成为网络战争呢?大规模的商业间谍行为需要全方面的咨询和判断,在互联网时代,最方便的便是通过信息系统来进行。通过信息系统轻易获得关键信息,甚至进行必要的远程变更,便可轻易将一个大笔采购订单交入他手,甚至将大笔金银财宝掳为己有。

列强可以制造出繁复的商业应用软件和互联网爬虫及蠕虫,当然也已经制造出全自动化集成关键信息获取、分析、识别、更改、回传等等功能的网络入侵工具,不仅能够从网上窃取真金白银,更能抹杀证据于无形。传统上我们说这些是网银大盗、勒索软件或木马引擎等等,实际上,当这些地下工具被用于网络战争时,便如插上了腾飞的翅膀。

要有效防范网络战争,专业化的网络空间保卫队伍不可或缺,然而网络战争攻击悄然无形,更可能会潜伏于任何国民,处于经济困顿之中的国民更是容易成为助纣为虐者,特别是对现状不满的年轻人更容易成为网络战争的参与者和受害者。

如同公司需要特别关照心怀不满的内部员工一样,国家也应该重视处于经济困顿之中的年轻国民,即使不提政治思想和爱国主义教育,也得特别是加强他们的信息安全意识、反间谍意识和保密意识,更需教会他们如何保护个人隐私及机密信息。

网战在即,要想取胜,网军为主,备兵网民。舆论炒作,不惜一拼,无往不胜,还需练兵。

cyber-war-awareness