技术防范与系统保险

八、技术防范与系统保险

在信息系统中应该设置必要的防范措施。当然，这种防范只是也只能是在技术层面上的。是否需要设置“法律层次”的防范功能，应根据该系统所处的位置层次、任务特点决定。类似会计电算化这样的系统，通常没有设置法律层面防范的必要。

1.信息系统的技术防范

一般的做法，是在系统的不同操作界面设置密码，以阻止未经授权的非法操作。密码作为不公开的文件直接交给使用者。用户可以自行设立或修改授权范围之内的密码。信息系统拒绝越权操作，而且在有些系统中设有陷阱，任何越权操作的试探都是有害的。因此，真正的使用者要严格保守自己的密码，记清密码内容，不要以多次尝试的方法进入系统。另外，建议使用者从管理上采取一定的措施，不要让正常用户之外的无关人员到信息系统中来“探险”。

这样建议的理由，是因为真正的管理信息系统是用于实际工作的，其中涉及到的一些具体参数关系到用户的实际利益，如果遭到侵害，受损失的必然是使用者自己。由于计算机的特点所决定，系统中的参数如果被修改，整个系统就会按照修改后的数值运行，对这种修改，计算机本身是没有判断能力的。

如果系统出现了混乱，甚至崩溃，吃亏的只会是使用者自己。

归根结底，计算机不是万能的。光靠“技术”解决不了所有的问题。从控制工程的角度看，信息系统具有“人”与“机器”共同参与的复合特征。为了保证信息系统的安全，必须考虑人的因素，以一定的“行政”手段作为必要的支持与保障，这是需要说明白的。

最后，任何用于实际业务的会计电算化系统，都应该预先制定对付各种危急情况的详尽措施，以及系统各环节意外崩溃后的恢复方案。系统操作的备份规则也在必须明确之列。

2.信息系统的保险

社会化的大生产导致了分工。从危险管理的角度说，现在各种各样的信息系统的应用日渐广泛，随之而来的，由于信息系统“失效”所导致的损失也会增加。这种损失由谁来承担呢?无非是由各个企业自己承担，或者由社会通过保险行业来分担。显然后者的社会效益更好一些。假设保险公司开设了“信息系统安全”这样一个险种，大家去投保就是了，然而问题并不这样简单。

如果要开设“信息系统安全”这样一个保险的险种，首先要解决“系统”价值和损失程度的测度问题。这种测度光靠定性估计是不行的，需要相对精确的计算。于是又引出了对“信息系统”效益的评价问题。这个问题近年来有许多人在研究。现在已经开办的保险业务中有对设备（包括计算机）的保险，但是信息系统的崩溃所造成的损失，绝对不是一台或者几台计算机的价值所能平衡的。

另外，关于信息系统的“损坏”也要定义，这种定义是比较困难的。有时候信息系统的“崩溃”是局部的，也就是说，系统的状态不能仅仅用“好”或者“坏”来描述，存在着介于好与坏之间的多种状态。在这种情况下，单纯的二值逻辑不能完全说明问题，而多值逻辑的介入，必然引发估价判断与状态描述方面的许多问题。

或许正是因为信息系统价值估算的问题尚未解决，信息系统的应用没有达到真正的普及，所以它的危险管理没有得到足够的重视。中国的保险公司开设了许多特殊的险种，但至今似乎还没有关于信息系统方面的保险。国家的质量监督机构似乎也尚未提出关于“信息系统”建设的通用质量标准。这种情况说明，虽然应用信息系统的呼声很高，但真正的实际应用还处在探索经验的初期阶段。

粗略地说，危险与发展共存，它们几乎是同步的。回顾工业革命的发展历史，我们注意到，由于大机器生产时代的到来，相应的危险，比如工伤事故等也随之急剧增多。目前关于信息系统危险管理的问题没有引起足够的重视，不是因为在信息系统的应用中不存在“危险”，而是因为大多数的信息系统在企业生产和社会生活中没有处在“关键的”重要位置上。用拟人的说法比喻，为数众多的“信息系统”不是企业中的重要（关键）人物，有也可，无也可，没有成为“至关重要”的环节。生生死死，无关紧要，自然也不会引起太大的重视。至于许多企业、单位为了“上等级”买来闲置充门面的“电脑”，与“信息系统”还有本质的差距，对于这些单位的会计电算化系统来说，没有风险可言；信息系统的危险管理也就无从说起。

使用信息系统以后，是否存在着对“系统”保险的问题呢?这应该由信息系统的使用者自己考虑、作决定。进行这种考虑的基点，建筑在对系统危险的估计和对信息系统作用（重要性）的估价上。

退一步说，至少要对会计电算化系统应用中的安全管理问题动动脑筋。为什么?道理十分简单：使用者的利益存在于系统的运行之中，不在乎、不留神，吃亏的还是自己。

遗憾的是，目前社会上还没有关于“信息系统安全”的保险。针对这种情况，应该设法在合适的范围筹划，举办合作性质的信息系统保险，为社会做点好事，也为将来开办更广泛的信息系统保险业务积累一些经验。第一步可以先从某个具体的管理信息系统开始，将来有了条件再扩展。应该广泛了解地社会各界的意见和要求，也可以就信息系统保险的保险费率问题开展讨论与研究。