國家發改委工信部科技部等八個部門發布《關于促進智慧城市健康發展的指導意見》,以較大篇幅談到“著力加強網絡信息安全管理和能力建設”。
當信息數據成為城市的“基礎設施”之一,如同水電交通一樣成為工作生活的重要依賴,只有至少達到當前水電氣這樣的安全標準,智慧城市才可能健康運行。
隨著“互聯網+”首次被寫進政府工作報告,網絡安全也相應受到越來越多的關注。
日前,國家發改委發布國家信息安全專項及下一代互聯網技術研發、產業化和規模商用專項項目清單。
發改委組織此次國家信息安全專項,是落實國務院此前發布《關于大力推進信息化發展和切實保障信息安全的若干意見》的一項重要部署,專項瞄準了金融、云計算與大數據、信息系統保密管理、工業控制等領域面臨的信息安全實際需要。
我國信息安全領域目前出現了哪些變化?對于可能出現的危險,如何未雨綢繆,盡最大可能消除潛在隱患?
專家認為,當前有三個方面的問題需要應對:一是新技術的挑戰,二是企業和單位的安全工作機制上的“錯位”,三是產業界過度低價競爭會削弱產業技術實力。
技術:新變化挑戰信息安全
在信息安全專家、中國計算機學會常務理事潘柱廷看來,目前信息安全領域主要面臨新技術、新威脅、合規與效益兼顧這三方面的變化。
第一種變化是新技術出現帶來的挑戰。潘柱廷說:“這些新興技術和新興的IT模式,給用戶帶來很多方便的同時,也帶來了很多安全方面的需求。圍著云計算、互聯網大數據、穿戴式設備、人工智能技術,都有很多新安全。在這些新的技術推動下,安全產業一定會帶上一個新臺階。”
第二種變化是新威脅。比如說斯諾登事件,以及前一段時間關于硬盤后門的安全事件。新的威脅不斷以各種形式顯現出來。
除了個人用戶和中小企業所關心的日常經濟生活安全之外,未來信息安全的制高點將是電信、電力、金融、財稅、海關、公共安全以及政務方面的安全需求。與這些行業相關的信息安全等級保護、分級保護、測評認證制度等一系列合規性要求將會被強力落實。“隨著這些行業進一步提升安全防護能力,在信息安全方面投入更多的資金,信息安全市場的高速有序增長也將水到渠成。”
第三種變化就是安全防御措施本身的一個演化。“這里面我覺得就是可能會來自于我們安全防御體系的一個需求,需求的天平從合規性需求向效果性需求傾斜。” 潘柱廷說。比如銀行或者電力系統可以通過做行業級的模擬實戰演練,來檢驗真實的對抗和防御能力。這就會使得整個產業結構出現一個自然的變化,就是更重視服務,更重視人。
“從整個保障思路的實現從合規向合規與效果兼顧的方式轉化,應該會給整個產業帶來一些更好的可喜的變化。從合規性驅動所能夠挖掘的需求盤子(市場容量),其增長還只是一種常規性的增長,難以跟上整個IT產業的迅猛發展;只有真正把攻防性需求挖掘出來才行。”潘柱廷說。
機制:安全錯位問題亟待解決
在今年兩會期間,全國政協委員、啟明星辰集團CEO嚴望佳遞交了三個涉及網絡安全的提案,其中一份就是建議“在關鍵基礎設施、敏感部門、政府機構等推行首席信息安全官制度”。
潘柱廷認為,建立和推行首席信息安全官制度,就是要企業明確一位高層管理者作為其信息安全的第一責任人。只有有了明確的責任人,才可能將工作落到實處。強化企業和相關機構的信息安全,落實信息安全責任,“這也是解決安全錯位問題的一種有效“糾錯”機制。”
潘柱廷坦言,在安全工作上有很多錯位存在。在企業和機構中,安全需求的提出者、采購的決策者、實際的使用者、防御不當的損失承擔著并不是同一的主體,是錯位的。可能沒有做好安全工作的機構與實際遭受損失的機構常常不是同一個主體。很典型的案例就是垃圾郵件、垃圾短信。其最合適的、能夠處理垃圾郵件短信的機構是電信運營商,而承擔傷害的是普通的電信客戶。
潘柱廷告訴科技日報記者,首席信息安全官就是一個真正有權力并且專門對信息安全負責的人,這將是改變原先需求格局的一個出發點。是從用戶的視角來考慮信息安全產業問題。
現在,僅僅依靠合規推動安全所帶來的隱患已經受到有識之士的注意。在潘柱廷看來,倘若把合規作為安全工作的上限來考慮,那么大家就沒有動力去考慮實際的對抗效果。在整個需求的驅動里面,從合規性需求向效果性需求驅動,就需要一個合適的契機和一個著手點來落實。
那誰去承擔這個位置呢?潘柱廷認為,應該由首席信息安全官將組織結構的責任分配進行調整,彌補組織結構和IT價值結構的錯位關系。就是說,因為賦予首席信息安全官的權力和責任,所以可以代表法人的利益,行使職責的再分配和調和。通過權力體系和考核、合規等多樣機制的落實,形成一個更良性的責任體系。
產業:“別把桌子掀了”
提到信息安全,網御星云副總裁畢學堯博士有一種深深的擔憂。“其實,電子政務云計算的安全問題比想象中要突出。一個是應用集中威脅,第二個是建云的這些廠商,這樣的云供應商能獲取政府的數據,然后集中分析,這個說起來信息安全問題就很大了,這是一種隱形的權力賦予。可能現在用戶對此還不敏感,或者沒有明確意識。云計算供應商實際掌握著大量關鍵數據,如果被非法提取并分析,那將不得了。”這類安全問題,不能完全由經濟效益所評價。
12306撞庫攻擊事件、索尼影音公司遭遇的入侵和破壞事件等公眾性網絡安全事件,無不警示著網絡安全的嚴峻形勢。
目前,在信息安全方面,尤其是個人信息安全方面,免費模式似乎已經成為熱議的話題。
在潘柱廷看來,一個免費模式在局部的圈子對于個人用戶而言可能是好事。但是如果從行業的整體研發方面來說,“從業人員減少,科研能力在下降,相關的人才向其他領域出逃,那免費所帶來的表面的局部利益到底是好是壞,就值得商榷了。” 潘柱廷說。任何一個產業格局或者是規則的變化,應該以能夠為這個產業本身增值作為基本立足點,而不是把這個產業的本身的利潤轉移至其他領域。畢竟是一個產業的存在不僅僅有經濟價值,還有其他價值存在。
這個產業本身所承載的非產業經濟責任,戰略價值實際上不能被忽視。“并不是所有的事情都要用純市場規律來解決,尤其是信息安全。而目前,信息安全的戰略價值遠遠被忽略。”
“從我的研究、包括廠商之間的研討來說,如果通過免費和低價競爭的模式把企業級包括關聯基礎設施的正常市場利潤打掉,這樣的循環是有問題的,這樣會導致整個用戶對安全的投入要減少,而其他領域的補貼又很難貼到這個產業里來,那如果造成整個產業的技術人員下降,那最后的結果是整個產業的能力下降,并且所剩無幾的能力集中在個別幾個廠商手上。這對國家網絡安全是極端危險的一種格局,進而對普通客戶也會因壟斷而帶來衍生危害。”
作為安全來說,它需要能力的總量提升,另外它需要一定的分散能力和風險。信息安全產業要藏利于民,就是讓民間或者是企業界具有這方面的能力,真正到特殊需要的時候,就可通過動員機制來聚集。
“我們希望在桌子上跟大家搶著來發展,但是別把桌子掀了。 隨著產業格局的發展,廠商之間開始沉下心來、慢慢敞開胸懷去合作,同時也都在尋求穩定中的變革創新。相信我國信息安全產業將大有作為” 潘柱廷說。
京公網安備 11010502049343號