網絡安全攻防“志愿軍”
游離于國家和社會之間的中國網絡安全公司,更像是一支“志愿軍”。
在國家網絡安全攻防體系中,除了國家組建的正規軍外,來自民間的網絡安全公司,已經成為大國博弈的“馬前卒”。
2014年5月至今,美國對中國網絡空間主權數次發難,從美國司法部起訴中國5名軍人,到之后指責所謂的“中國官方黑客”,均始于美國“火眼”、“曼迪昂特”等網絡安全公司所發布的針對性報告。
與美國等西方國家政府與民間力量嫻熟的配合相比,中國對網絡安全產業民間力量的重視程度和運用水平,遠遠不夠。游離于國家和社會之間的中國網絡安全公司們,更像是一支“志愿軍”。
在眾多安全業界人士看來,一旦這支“志愿軍”發展壯大,將成為維護國家網絡安全的中堅力量,在實現中國與美國等國家的網絡空間安全“對位攻防”中發揮巨大作用。
國際網絡對抗“馬前卒”
近年來,以美國“賽門鐵克”、“火眼”、“曼迪昂特”,俄羅斯“卡巴斯基”為代表的網絡安全公司快速興起,成為國家間網絡攻防的重要力量。專家認為,名義上獨立的網絡安全公司,已經成為大國博弈的重要工具。
2013年初,美國網絡安全公司“曼迪昂特”公司發布報告《APT1:揭露中國網絡間諜單位》。報告發出后,中國企業在海外備受質疑,華為遭質疑被排擠出美國市場,并在歐盟、澳大利亞、韓國受阻,一些走出海外的中國安全企業也紛紛退回國內。
啟明星辰首席戰略官潘柱廷認為,類似《APT1》的做法,實質是由網絡安全公司充當“馬前卒”,替美國政府實現丑化中國形象、驅逐中國公司,既讓美國產業界直接獲益,又為美國官方贏得了可進可退的空間。
另一個典型是俄羅斯網絡安全公司卡巴斯基。俄羅斯并不算信息強國,但是借助卡巴斯基公司,俄羅斯占據了從攻防能力到分析能力的戰略高地。
知名網絡安全專家杜躍進說,2010年末,伊朗核電站遭“震網病毒”攻擊而癱瘓,卡巴斯基通過技術研究斷定此病毒為美國和以色列所開發;2012年,能夠避過100種殺毒軟件、具有強大竊密能力的“火焰病毒”在伊朗大肆傳播,也被卡巴斯基率先發現。卡巴斯基通過分析證實此病毒與“震網病毒”存在技術關聯,并從技術層面指出美國是幕后主使。
“卡巴斯基對‘震網’、‘火焰’等病毒的快速跟進,將美國的攻擊行為完整展示于世界面前,為俄羅斯在網絡安全和外交層面都爭取了主動。”安天實驗室首席技術架構師肖新光說,技術實力強大的網絡安全公司,在國家網絡安全博弈層面,也是一種戰略威懾。
民間力量利用不足
反觀中國,經過近幾年的發展,雖有了以瀚海源、綠盟、安天實驗室為代表的大量網絡安全公司,但在整體實力上仍與國外巨頭不在一個量級,難以實現“攻防對位”。
網絡安全專家認為,美國通過安全企業的技術能力,能有效發現、長期跟蹤、深度分析其所謂“來自中國的黑客攻擊”,并能自圓其說地提供證據鏈和推理過程。但如果不是斯諾登的出現,證明美國在監控全世界,美國還會繼續掌握輿論主導權。
肖新光說,由于奧運安防的帶動,中國的網絡攻防能力在2008年已大體接近美國。奧運會過后的2008 2013年,受重視程度下降,企業發展明顯趨緩,成為中國網絡安全行業“失去的5年”。
相反,美國以“火眼”為代表的網絡安全公司卻在過去5年里快速崛起,將中國網絡安全行業遠遠甩在后面。以前美國的“火眼”公司還購買安天的病毒搜索引擎,而現在“火眼”在這方面的能力已遠遠超過國內企業。
“沒有足夠大的產業規模,就難有足夠強的安全技術實力。”奇虎360首席技術官譚曉生向《財經國家周刊》記者展示了一組對比鮮明的數字:2013年中國信息安全市場的規模約200億元,還不如美國賽門鐵克一家公司大。美國安全產業規模約占其整個IT產業規模的10%,而這個比例在中國只有2%左右。
重發展而輕安全的普遍現狀,使得中國網絡安全行業規模小、利潤薄,員工待遇不好,難以招到頂尖人才,大量國內頂尖人才被美國網絡安全公司重金挖走。
一位網絡安全廠商人士告訴《財經國家周刊》記者,美國“火眼”、“曼迪昂特”等網絡安全公司核心技術團隊的負責人,不乏原來國內公司的頂尖技術人才。
如何引導民間網安力量
如何引導民間網絡安全公司作為維護國家網絡安全的新抓手,盡快實現與美國等西方國家之間的“攻防對位”,已經成為一個迫切的命題。
奇虎360董事長周鴻祎指出,美國國防部、海軍、空軍每年都有大筆訂單投入到民營網絡安全公司,這種做法值得中國借鑒。
杜躍進認為,目前中國信息安全行業整體贏利能力偏弱,沒有足夠的利潤投入深層次的技術研發。可借鑒印度對軟件行業的扶持政策,推出諸如“免稅10年”這樣積極的、導向性明顯的產業政策。
上海安言信息科技有限公司董事長張耀疆告訴記者,目前政府和國企是網絡安全公司最大采購方,但往往“重硬件、輕服務”,經常是買了一堆“盒子”,安全服務卻跟不上,網絡安全公司也難從本職的安全服務中獲利。
另一方面,網絡安全行業采用“低價優先”的招標機制。
綠盟首席戰略官趙糧說,要利用好政府采購的杠桿作用,整合并盤活整個網絡安全產業,就應建立合理的評級、評估機制,充分認可優秀產品的價值,使好產品有溢價空間,才能形成競爭質量而非競爭價格的良性循環。
三零衛士總工程師李成斌認為,要壯大中國網絡安全攻防的民間力量,從根本上看還有一個問題必須解決,即網絡和信息安全立法。比如,一旦企業出現重大、危害公共利益的公民隱私泄露事件,企業責任人應承擔相應民事甚至刑事責任。
京公網安備 11010502049343號