关于年金机构的企业级信息安全策略,笔者建议以“动态三元安全论”作为核心思路。动态三元安全论在“三分技术,七分管理”的传统二元安全思想中加入了审计因素,认为技术、管理和审计在信息安全建设中同等重要,从数学逻辑考虑,把安全技术的作用视作效用累加(加法),把安全管理的作用视作效用倍乘(乘法),把安全审计的作用视为倍乘不大于1的系数(乘百分数)。
如果形象地与家用空调类比,我们可以视安全目标为空调调定的温度,让安全工作效果对应实际室温,安全管理是空调芯片里的程序,安全技术是释放冷热气的电机和压缩机,信息资产是室内接受温控的空气,安全审计是温度检测器,外来威胁则是外部热量干扰。图1将空调和动态三元安全论的类比归纳到一个动力学闭环反馈模型中。
实施探讨
有了好“空调”,在年金管理中如何使用更是一门艺术。笔者将安全工作的效果曲线绘制如图2,红色阶跃函数是安全目标,黑色飞升曲线是安全工作效果。在企业年金安全管理的建设期,安全从零做起,快速追赶目标,且增速渐慢;在运维期,效果曲线较稳定,安全审计不断监测,安全管理和安全技术对信息资产适度发挥作用。