王一飞：年金管理的信息安全思考

　　关于年金机构的企业级信息安全策略，笔者建议以“动态三元安全论”作为核心思路。动态三元安全论在“三分技术，七分管理”的传统二元安全思想中加入了审计因素，认为技术、管理和审计在信息安全建设中同等重要，从数学逻辑考虑，把安全技术的作用视作效用累加（加法），把安全管理的作用视作效用倍乘（乘法），把安全审计的作用视为倍乘不大于1的系数（乘百分数）。

　　如果形象地与家用空调类比，我们可以视安全目标为空调调定的温度，让安全工作效果对应实际室温，安全管理是空调芯片里的程序，安全技术是释放冷热气的电机和压缩机，信息资产是室内接受温控的空气，安全审计是温度检测器，外来威胁则是外部热量干扰。图1将空调和动态三元安全论的类比归纳到一个动力学闭环反馈模型中。

　　实施探讨

　　有了好“空调”，在年金管理中如何使用更是一门艺术。笔者将安全工作的效果曲线绘制如图2，红色阶跃函数是安全目标，黑色飞升曲线是安全工作效果。在企业年金安全管理的建设期，安全从零做起，快速追赶目标，且增速渐慢；在运维期，效果曲线较稳定，安全审计不断监测，安全管理和安全技术对信息资产适度发挥作用。