30、关键信息基础设施安全策略与新兴信息基础设施合作应对灾害的探讨

关键信息基础设施安全策略与新兴信息基础设施合作应对灾害的探讨

在当今社会，信息安全至关重要，特别是对于关键信息基础设施而言。同时，新兴信息基础设施在灾害等特殊情况下的合作也面临着诸多挑战。下面将详细探讨这些方面的内容。

关键信息基础设施的安全控制

关键信息基础设施的安全控制主要分为技术控制、正式控制和非正式控制三类。然而，这些控制并非相互独立，而是存在着紧密的层级依赖关系。

• 控制的相互依赖关系

  • 技术控制的有效运行依赖于正式控制。例如，若将密码写在屏幕的便利贴上，即便有密码保护这一技术措施，也无法起到实际作用，这违背了正式控制的常规。
  • 正式控制的良好实施依赖于非正式控制。在上述密码案例中，用户缺乏对不将密码贴在屏幕上原因的理解，体现了非正式控制的缺失。
  • 这种依赖关系可以用建房过程来比喻。非正式控制如同坚固的地基，正式控制是建在地基上的墙壁，而技术控制则是由墙壁支撑的屋顶。三者相互支持，共同抵御攻击和事故。

• 当前安全建设的误区
  目前，许多组织在信息安全建设上存在误区，往往将这些控制视为独立的层次，优先实施技术控制，接着是一些正式控制，而对非正式控制的实施则很少。这就像颠倒的建房过程，先建屋顶，再建墙壁，最后才考虑地基。这种做法忽视了控制之间的相互依赖关系，也没有充分认识到非正式控制（安全文化）建设的重要性。

为了更直观地展示安全控制的层级相互依赖关系，以下是相关的流程图：