最近，在信息安全企業(yè)座談中了解到，信息安全雖然成為熱詞，但市場真實響應(yīng)不是很熱烈。企業(yè)的困惑是：信息安全服務(wù)是一般的服務(wù)還是具有第三方性質(zhì)的特殊服務(wù)?因為乙方確實可以輕易掌握甲方的信息。信息安全是沒完沒了的攻防較量，雖然能力不斷提升，問題卻絲毫沒有根除，這種矛與盾的演義有無意義?信息安全是不是完全市場，政府采購有無必要對私企或上市公司設(shè)限或另眼相看?這些問題都急需尋找答案。

企業(yè)的困惑反映了信息安全的嚴(yán)峻性。一是認(rèn)識不足，信息安全這種防御性的工作往往是說起來重要，做起來次要，除非吃到了苦頭。二是信任不夠，信息安全服務(wù)天然是潛在的第三方服務(wù)，在信任制度不健全的情況下，企業(yè)與用戶難以有效合作。三是機制不靈，在對付正義與邪惡問題上，往往以技術(shù)對抗技術(shù)，于是“道高一尺，魔高一丈”，無休無止，惡性病毒、黑客攻擊、垃圾郵件以及不良信息內(nèi)容依舊招搖過市，而企業(yè)照例會借機講更多危言聳聽的故事，引起消費用戶的恐懼心理，贏得社會的贊助。四是規(guī)則模糊，無論企業(yè)還是個人都在期待構(gòu)建有效率有張力的管理體制。

整體看，信息安全既是戰(zhàn)場，又是商場。信息安全企業(yè)不僅要與同行競爭，還要與無形的敵人戰(zhàn)斗。但是這個敵人其實在為信息安全提供商機，同業(yè)競爭者才是真正的敵人，正是這種奇怪的關(guān)系構(gòu)成信息安全生態(tài)，因此不要迷信信息安全企業(yè)總會站在政府和百姓一邊。其實從政府或公眾的角度看問題，信息安全與市場服務(wù)是可以區(qū)分的。不能也不應(yīng)該把保護(hù)信息安全完全寄于信息安全市場。市場就是市場，它有著自己的規(guī)律，而信息安全必須運行在公權(quán)力的軌道上。

第一，推行法治。眼下在建的虛擬世界如同實體世界一樣需要法治，而且因為信息的不對稱性，更需要法治的存在。信息安全如果囿于技術(shù)，政府和公眾都沒有優(yōu)勢，因為敵人總在暗處，而你在明處。但是，一旦回歸法律層面，借助國家機器，正義總可以絕對占上風(fēng)，而敵人變得手無寸鐵，治理便容易得多。企業(yè)家坦言，法治到位，信息安全問題會減少80%，集中力量解決余下的問題就簡單多了。法治需要良法，而我國信息安全法規(guī)缺少基本法，體系零散，操作性不強。當(dāng)務(wù)之急是以立法明晰信息安全的界線、底線和權(quán)力、義務(wù)。當(dāng)然，信息安全畢竟不同于一般的執(zhí)法，需要加強網(wǎng)絡(luò)技術(shù)隊伍建設(shè)。同時探索建立信息安全服務(wù)外包機制，把一些經(jīng)考查的信息安全企業(yè)納入管理范疇，共同參與治理。

第二，構(gòu)筑誠信。信息安全反映了嚴(yán)肅的社會關(guān)系。公共組織、企業(yè)或個體都是社會細(xì)胞，建立友好的社會關(guān)系尤為重要。在政府的引導(dǎo)下，由公共組織或第三方組織建立信息安全標(biāo)準(zhǔn)和信用體系，強調(diào)企業(yè)在信息安全方面的社會責(zé)任，提高企業(yè)和個人的違約成本，保護(hù)信息弱者的利益不受損害。鼓勵建立基于合約形式的法律保障，建立服務(wù)或被服務(wù)對待原則。比如，對短信推送廣告這種有違信息安全的行為可以實行有償化管理，杜絕垃圾短信的困擾。在推進(jìn)大數(shù)據(jù)應(yīng)用的進(jìn)程中，盡快完善相關(guān)的數(shù)據(jù)應(yīng)用規(guī)范，處理好保護(hù)個人隱私和利用信息資源的關(guān)系。規(guī)范信息系統(tǒng)工程建設(shè)和軟件企業(yè)行為，制訂信息安全自律條款，建立黑名單制度。建立信息安全舉報和追溯平臺，讓那些侵害信息安全的公司或黑客無處遁形。

第三，倡導(dǎo)自覺。信息安全需要冷靜。既不要因為信息安全的風(fēng)險而過度恐懼，而被一些熱衷炒作的企業(yè)牽著鼻子走，也不要過于輕視而忽略了應(yīng)有的防護(hù)，門戶洞開，引狼入室。自我防護(hù)是最容易被忽視的，調(diào)查發(fā)現(xiàn)94%的攻擊能夠利用基本的“網(wǎng)絡(luò)衛(wèi)生”手段阻止。信息安全責(zé)任一半在自身，政府應(yīng)當(dāng)建立一把手責(zé)任制和嚴(yán)格的安全制度，在出現(xiàn)問題時有管控預(yù)案和補救措施。企業(yè)和個人信息系統(tǒng)，需要作一些定期體檢，包括對加密技術(shù)的更新維護(hù)。在制度健全的前提下，大力推廣云服務(wù)方式，實現(xiàn)信息安全統(tǒng)一管理，把技術(shù)問題交給高素質(zhì)的IT專家。