王希富
由澳門創新科技中心主辦,行政暨公職局、資訊系統審計與控制協會澳門分會、澳門電腦保安事故協調中心協辦的澳門資訊安全調查日前舉行調查結果新聞發佈會。澳門資訊安全調查於今年三月一日至十九日透過網上問捲進行,共邀請一百卅四家本澳各行業的公司及機構參與,回收有效問卷占總數百分之五十三。受訪物件主要為機構的資訊安全管理層人員。受訪機構大致分政府及機構,後者包括教育行業、博彩娛樂業、資訊及通訊科技業、公用事業及銀行業等。從調查結果綜合看來,今年調查結果與去年比較,受訪物件的資訊安全保護意識有提升,不過受訪對象只有三分之一有進行資訊安全保護工作,另外三分二未有進行資訊安全的保護或者是仍需改善。而且調查發現本澳有逾百分之四十三的網站伺服器沒有更新版本,並處於容易受攻擊狀態。足見本澳政府部門及社會機構對資訊安全保障的重視程度仍處於較低的水準,值得注意和警醒。
雖然我們說到“資訊”時可能無法給出一個準確的定義,但是卻不能回避我們時時刻刻都在接觸資訊,和依靠資訊做出行動上的決定。與之相關的就是資訊化,資訊化已經成為當今世界經濟和社會發展的趨勢,這種趨勢主要表現為:資訊技術突飛猛進,成為新技術革命的領頭羊;資訊產業高速發展,成為經濟發展的強大推動力;資訊網路迅速崛起,成為社會和經濟活動的重要依託。這一切決定著無論是大到國計民生、社會政治還是小到企業公司的發展壯大以及個人的健康成長都需要資訊的支撐。資訊的作用越來越受到關注,無怪乎連美國前總統克林頓都說,“今後的時代,控制世界的國家將不是靠軍事,而是資訊能力走在前面的國家”。
與資訊重要性相關的首要就是資訊的安全,鑒於資訊的重要,圍繞資訊的爭奪,甚至非法獲得等事件也越來越多。尤其是在現代電腦網路普遍使用於儲存和傳遞資訊的情況下。網路病毒氾濫、駭客攻擊行為不斷,所為的就是獲取有價值的資訊來獲得利益。一些資訊的洩露大則危急社會安定造成巨大的經濟損失,甚至使國家和地區的發展喪失先機;小則可能使公司企業限於困境,遭受損失或者面臨滅頂之災。對個人而言,個人資訊若不能保證安全則可能會面臨隱私被曝光或者遭受財產的損失。所以,無論是政府、企業機構,還是個人都應時刻重視諮詢的安全。其實這也已經是世界各國的共識,中國亦不例外,在《我國國民經濟和社會發展十二五規劃綱要》中第十三章就特別提到了資訊安全,其中第一節《構建下一代資訊基礎設施》、第二節《加快經濟社會資訊化》、第三節《加強網路與資訊安全保障》均涉及資訊安全方面的內容。而且專門把資訊安全保障作為一條提出來了,裡面提到要構建資訊安全保密防護體系、加強網路管理,確保國家資訊安全等。足見國家隊資訊安全的重視程度。
但是反觀澳門,調查中只有三分之一調查物件表示有進行資訊安全保護工作。究其原因,除了對資訊安全認知程度不夠外,最大的可能就是本澳未有發生重大的資訊安全事故,所以對此方面的關注也不會太大。但是資訊安全的重視非要“亡羊補牢”或者“吃一塹長一智”嗎?
去年內地11.30電信詐騙案中,跨國犯罪集團就利用電信防範漏洞從國內銀行客戶手中騙走了1.4億人民幣; 2010年,釣魚網站、木馬等威脅已經給網路購物使用者造成超過150億元的損失;臨近的香港也發生八達通出售客戶資料獲利的事件。澳門雖然未有出現較大資訊安全事故,但是零星的個人資料被盜用事件也有不少。可以說現實亦要求本澳必須廣泛提高對資訊安全保障問題的重視。
資訊安全是指資訊網路的硬體、軟體及其系統中的資料受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、洩露,系統連續可靠正常地運行,資訊服務不中斷。資訊安全主要包括以下五方面的內容,即需保證資訊的保密性、真實性、完整性、未授權拷貝和所寄生系統的安全性。其根本目的就是使內部資訊不受外部威脅,因此資訊通常要加密。為保障資訊安全,要求有資訊源認證、存取控制,不能有非法軟體駐留,不能有非法操作。資訊安全是一門涉及電腦科學、網路技術、通信技術、密碼技術、資訊安全技術、應用數學、數論、資訊理論等多種學科的綜合性學科。從學術角度來看,資訊安全的保障十分複雜,也很是專業,當然筆者也無意在技術角度對此進行說明。只是從對一般事務的認知角度來看,要實現資訊安全的保障除了技術這一根本之外,亦需要考慮其他因素。首先就是制度和法律,資訊系統安全保護應成立資訊安全領導小組,組織、協調、指揮、監督各項安全管理工作,制定相關規章制度,並且對處理資訊事故設立應急預案。而法律層面亦應不斷完善對資訊安全的保護內容,對打擊危害資訊安全給予支撐。
其次,需要強調的“人”因素,因為資訊的最大價值在於使用。而使用者往往不會是具備專業保護意識和技能的人士。事實亦證明信息安全出現問題往往是從內部出現問題,內部成員的安全意識不高,往往是出現政府或公司企業資訊外泄或者被他人竊取的主要原因,而個人資訊出現問題也多是自我安全意識不足所致。所以我們需要持續加強資訊安全教育、培訓工作,強化安全意識。
雖然從調查結果中我們看到本澳機構存在對資訊安全保護意識不足的問題,但是值得高興的是政府亦已經隨即做出表示將會從加強集中管理、推出更多資訊保安規範、提升資訊保安意識三個方面推動資訊保安。不過要真正實現資訊安全還是需要全社會共同努力。