网络信息安全 问题 的表现形式主要有计算机病毒(Computer Virus)、黑客攻击(Hackers Attack)、信息混乱(Information Disorder)和信息污染(Information Pollution)等。许多 企业 和政府机构长期受到这些安全隐患的困扰,但由于网络信息安全意识淡薄、专业人才供给不足,直到近几年才开始从技术、 法律 这两个方面入手,通过加大对网络信息安全的投入以求最大限度地保护网上信息资源。 目前 ,信息加密、防火墙、病毒控制等主流信息保护技术已经被广泛采纳,而且以信息伪装为代表的一批新兴技术也逐渐受到关注,同时国家要求有关主管部门充分发挥其管理职能,已制定出《中华人民共和国计算机系统安全保护条例》、《互联网信息服务管理办法》等行政法规。但总的看来,随着互联网应用的日益增多,网络信息安全问题并未从根本上得到解决,反而有愈演愈烈之势。尽快探索出网络环境下信息安全的新思路,成为摆在广大信息工作者面前的一道难题。本文试图从保险角度入手,触及这一问题,希望对促进我国网络信息安全业的发展有些启迪作用。
1 我国开发网络信息安全保险的必要性
1.1 技术和法律手段的局限性
面对着网络信息安全问题这道在短时期内难以逾越的鸿沟,是否仅仅依靠技术进步、法律建设和管理强化这些方案就能够达到目的呢?我们希望一方面通过加强技术 研究 ,走在那些危害网络信息安全技术的前面;另一方面利用法律的力量打击不正当的技术行为,从而营造出一个安全可靠的网络环境。但这是不可能一蹴而就的,而且在实施的过程中会困难重重。
首先,所谓的网络安全是一种相对的安全,由于黑客攻击、操作失误等难以避免的人为因素,任何技术都无法一劳永逸地解决问题,而且网络安全系数的提高是以更多地消耗网络信息资源或限制其使用为代价的。
其次,几乎所有的网络信息安全防御技术都是为应对黑客的尖端网络技术而存在的,始终处于被动地位,更不用说赶上或超过它们。我们还必须清醒地认识到,目前构成我国信息基础设施的网络、硬件、软件产品几乎完全是建立在外国核心信息技术之上的,而拥有自主知识产权的信息产品稀缺,国家信息安全体系因此很难巩固。
再次,现有的网络信息安全法规尚不完善,且立法跟不上技术发展的需要,在网络管理与经营、 电子 资金划账的法律认证、数据的法律保护、计算机证据的法律效力等方面甚至缺乏法规的规范。此外,我国的网络信息安全管理在组织建设、制度建设和人员意识培养这3个层次上的步伐太慢,管理机构相互隔离、权责不明,对网络信息安全所包含的安全规划、风险管理、应急计划、安全系统评估和安全认证等多方面问题,无法共同协调解决。
由此可见,我们有必要寻求更多有效的途径、技术、法律等方面相互补充。实际上,网络信息安全与我们所熟悉的人身安全、财产安全等在本质上是相同的,都是风险的载体而需要保护。人们在对人身安全保险、财产安全保险等津津乐道时,也应该意识到,开发网络信息安全保险将为网络信息安全问题的解决另辟蹊径。
1.2 开发网络信息安全保险的意义
网络信息安全保险,是指为了保证网络化产生经营过程的安全,投保人根据合同规定,向保险公司支付保险费,保险公司对因网络安全漏洞而造成的重要资料丢失、知识产权受到侵犯、服务中断和商业营收的损失承担赔偿保险金责任的商业保险行为。
开展网络信息安全保险的目的并不是在出险后获得高额赔偿,而是在深入调查研究投保公司内部的信息安全漏洞和可能存在的风险的基础之上,通过风险评估来识别风险的大小,通过制定信息安全方针,采取适当的控制目标与控制 方法 对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。这是一个风险管理(Risk Management)的过程,其突出特点就是进行事前的风险控制,防患于未然。这与网络信息安全防御技术相比,具有较大的主动性,因而在网络信息安全问题上引入保险机制,用风险管理的方式帮助高 科技 企业减少可避免的损失,将会对我国尚未成熟的高新技术产业的发展起到重要的作用。
在一些发达国家和地区,网络信息安全保险业务已初见端倪。英国和美国已经相继推出了“黑客保险”,虽然起初市场反映较为平淡,但在Yahoo、Amazon等重要网站遭到大规模攻击后,这项新型的保险业务量在短时间内猛增,包括eBay、Yahoo在内的知名网络公司纷纷投保,最高保额已超过1亿美元。目前互联网在我国已进入高速增长期,2002年7月的 中国 互联网络发展状况统计报告显示,我国上网计算机总数已达1613万台,上网用户总数达4580万,可见未来的几年将是依托互联网投资创业的黄金时期,因此开发网络信息安全保险、保证网络环境的高效可靠,是我国保险公司拓展保险业务的当务之急。
2 我国开发网络信息安全保险的具体思路
2.1 充分发挥政府和经济两个杠杆的作用
我国在世纪之交启动了企业上网工程和政府上网工程,大量的商业信息、政府信息以及其他众多关系到国计民生的社会信息都实现了电子化,并与因特网相连。这虽然极大地促进了电子商务、电子政务和其他各项业务或活动的开展,但也意味着重要的 政治 、经济等信息也将面对来自网络不安全因素的威胁。从某种意义上说,网络信息安全已经从根本上关系到国家的前途和命运。在美国,政府对网络信息安全问题极为重视,由国家安全局(NSA)统筹管理信息安全的全部事项,包括制定信息安全的相关政策、评测信息安全产品、制定信息安全的相关标准等。
为了保卫国家安全,维护信息主权,保护网络信息行为者的利益,我国政府也应在网络信息安全问题上采取一系列行之有效的举措。网络信息安全保险这个全新的思路是否能够很好地为保护国家安全服务,在很大程度上取决于政府的态度和行动。因此,我国政府应该认清网络信息安全保险产业连接高新技术产业和信息产品用户的纽带作用,在知识经济、网络经济迅猛发展的大好形势下,通过政策支持促进我国网络信息安全保险体系的建设。目前,我国保险公司开展这一新的保险业务的最大困难在于技术上的相对滞后,导致其在本市场上的竞争力不敌国外保险同行,更不用说进军国际市场。我国加入WTO后,外国公司可以更加容易地挤占国内市场,从而使得改变我国保险业落后现状的任务显得尤为紧迫。因此,政府应更有效地发挥资源配置作用,为开发我国的网络信息安全保险提供优惠政策,鼓励信息安全业和保险业联合公关,包括认真选择网络信息安全保险的营销战略,研发出立足于市场需求的保险产品,建立具有特色的网络信息安全保险体系等。同时,对于一些不合理,不合法的保险行为,政府也有必要从政策和法规上予以规范。