近年来，信息安全在我国越来越受到重视，但从审计署首次信息安全专项审计调查发现的问题来看，在信息安全工作上思想松懈和疏于管理的现象仍很普遍。有的单位虽有专门的安全机构和规章制度，但一到实际工作中却常常形同虚设。在信息化时代，安全防范是不是处于一种漏洞百出、无所作为的状态？有什么办法、用什么理念来应对这个全新时代显现的复杂多元的新问题？　
    本报记者就有关问题独家专访了中国工程院院士、信息技术专家、国家信息化专家咨询委员会副主任何德全先生，以下是何德全先生有关信息安全、信息安全审计的独到见解。　

   
    讲中国的信息安全不能离开中国的基本历史环境和历史特点。西方是在工业化完成之后再搞信息化的，他们对这场新科技革命给社会带来的正负影响有较多的思想准备，并把工业化时代已有的标准策略、风险评估、测评认证、应急处理等安全理念和措施较快地移植到信息安全领域并加以发展。
    我国还远未完成工业化，采取了工业化与信息化相融合地发展的方针，大家对上述的安全理念和措施尚比较生疏，思想准备不足。
    信息这种资源不同于物质、能量，网络有其虚拟性，看不见感不到，虽然它的扩散性、可复制性很强，但容易被人们忽视。例如，一次空难、大交通事故，全世界都会报道，因而世人皆知；银行被黑客攻击一次损失可能更大，但因为它是无形的，可能被隐瞒不报，报道了也引不起群众的关注。
    计算机网络的技术性很强，又给人一种神秘感，一般人会认为信息安全是一个技术性问题，与己关系不大。其实，国外的信息安全实践也经历了从单纯的技术措施到强调管理和“人”的问题的过程。
    近年美国一个老安全专家Donn Parker提出，信息安全要跳出原来的技术框框，代之以Due Diligeuce。 Due Diligeuce可以翻译成“勤勉的尽职调查”，就是说你干信息这一行，就必须对它的安全问题尽职尽责。不能只是被动地照章办事，而是主动地、勤奋地、有警觉地恪尽职守，遵纪守法，随时发现情况及时主动处理。搞公司上市的律师都懂，在准备上市公司材料时，不能仅仅看公司送来的材料，还要勤勉地进行深入的调查，否则一旦出问题仍然有责任。我想“勤勉的尽职调查”对信息安全审计也是一样。
    所以，在信息安全领域，警觉问题很重要，警觉是风险管理的核心。这在很大程度上是教育问题，也要通过有关的制度比如责任的追踪、追溯和激励机制等来强化。
    有关软件的安全漏洞问题也很重要。复杂性原理告诉我们：复杂系统有漏洞是不可避免的。软件越复杂，漏洞也越多，查出越困难，这是信息安全形势越来越严峻的一个原因。
    但是，面对这种复杂性，人不是无能为力的。
    钱学森院士说过，“实际问题总是复杂的、多因素的。……遇到这种非线性的复杂问题怎么办？就得设法加以简化。这就要求我们对问题有深刻理解，才能抓住主要矛盾，只要主要矛盾抓对了，你的简化就是合理的。”（原文见2002年6月24日《人民日报》）我看信息安全可以从信息的流动和存储这两个相辅相成的环节抓起，把问题简化。流和存的问题带有普遍性，企业有流动资金，有固定资产；过日子也是这样，工资发下来后不是一次花完，钱流进来了，得存一部分。
    我们必须看到，信息流动的速度和存储容量都在超高速地发展，几个月翻一番，价格直线下降，信息安全的管理主要就是要控制好信息流动和信息存储。从信息安全审计来看，就是要查清楚有没有保密信息流出去了，有没有恶性信息流进来了，并造成安全事件，不同级之间不该流的你有没有阻止。
    存储问题也是这样，数据库怎么样，硬盘和移动硬盘是否安全，都要审查。
    审计署把信息安全列为审计内容很有必要。美国审计总署（GAO）在10多年前就出过关于美国政府机关和重要信息系统信息安全状况的报告，这个报告相当具有权威性，而且一直在出安全指南。他们的办法，一是从网管相关部门了解到这一年出过多少安全事件（当然，只是真正发生事件的一部分），其中有多少是与被审计单位可能有关的，然后再对比单位自报的安全事件（一般比例不大），再进一步查清在不报当中有多少是自己也没有发现的，有多少是瞒报的（好处是可以对“勤勉的尽职调查”加以量化）；二是深入到单位从记录中查内部、外部信息流和信息存储两个方面存在的问题，然后写出报告。
    信息安全管理的通常做法是在操作系统、应用系统层面设系统管理员、安全员和审计员；再宏观一些，确实应该有一个相互制约、相互促进的机制。所以，我国首次信息安全专项审计调查开了一个好头，这项工作未来必定有更大的发挥的空间。

(责任编辑：adminadmin2008)