信息安全產業是互聯網時代里最為重要的產業。2017年央視3·15晚會多個節目預警信息安全,河南某科視公司非法收集、使用小學生信息,PS軟件輕易騙過人臉識別,充電樁能輕松突破用戶手機支付買電影票等,講述的都是個人信息安全的問題。
信息安全產業也是我國信息化建設進程中的新興產業,隨著信息化的深入和信息系統的普及,網絡環境下的信息安全問題日益突出,不僅關系企業的數據安全和業務安全,甚至關系到社會安全和國家安全。當前,信息通信技術和網絡快速發展并加速向傳統領域融合,導致安全威脅更加復雜隱蔽,伴生性安全威脅和傳統安全威脅交織更加復雜,網絡安全預警、應急處置和追蹤溯源難度持續加大,互聯網與工業等領域融合創新帶來的安全問題日益嚴峻,網絡安全管理理念和架構亟待創新完善。
工信部今年正式印發了《軟件和信息技術服務業發展規劃(2016-2020年)》,信息領域龐大的體量再一次令人震驚,2020年軟件與信息服務業務收入要達到8萬億元,這跟“十二五”末的4.3萬億元相比,幾乎翻了一番。信息安全產品的收入要在“十三五”末期達到2000億元,年均增速達到20%。
從目前來看,我國信息安全產業還遠遠不能滿足我國現有的網絡安全需求。因此,我們必須加快信息安全產業的發展,加速提升信息安全產業的供給能力和競爭力。
國家越來越重視信息安全的保障能力的提升。近年來,國內外網絡安全事件頻繁發生,我國政府對于信息安全防護的政策支持力度不斷提升。中央網絡安全和信息化領導小組明確提出網絡強國建設戰略目標。2016年,國家網絡空間安全正式寫入“十三五”規劃,在政府未來5年的100項重大建設項目中排在第5位。隨著頂層設計的明確,2016下半年開始,包括《網絡安全法》、《國家網絡空間安全戰略》及近期的《戰略性新興產業重點產品和服務指導目錄》等在內的多項信息安全重磅政策密集出臺。
工信部先后制定發布了關于電信和互聯網行業網絡安全、基礎電信企業網絡與信息安全責任考核、電話用戶真實身份信息登記、電信和互聯網用戶個人信息保護、工業控制系統信息安全防護指南等規章制度,不斷完善網絡與信息安全管理制度。從趨勢來看,政府對信息安全建設的支持力度還會持續提升。
與此同時,“互聯網+”行動計劃、中國制造2025、軍民融合發展、大數據以及“一帶一路”等戰略的推進實施,將催生出更多更復雜的網絡安全保障需求,這也賦予了軟件與信息服務產業新的任務與使命。
在制造業、服務業等領域,軟件與信息服務產業的滲透率逐步提高,工業互聯網、大數據與云計算、信息物理系統與智能制造的融合發展,都將為信息安全產業提供業務開展的方向。
專家觀點
中國工程院院士倪光南:應構建安全可控信息技術體系
構建安全可控的信息技術體系,是達到“技術先進”的必要條件,也是建設網絡強國的必要條件。這里突出了二個要求:一是“安全可控”,二是“技術體系”。安全可控比自主可控的要求更高。自主可控是達到安全可控的前提,做不到自主可控,肯定達不到安全可控;但即使做到了自主可控,也不等于安全可控。自主可控可以保證基本上不存在后門,并能不斷地提升安全性和自行修補漏洞。安全可控在技術層面上要求掌握各種先進技術,在產業層面上要求建設健全的產業鏈,在網絡對抗層面上要求具有主動權等。技術設備的自主可控性一般可以通過某種測評加以評估;技術設備的安全可控性往往需要通過全面的測試,有時需要實踐檢驗才能得出結論,且需要與時俱進。只有構建安全可控的信息技術體系,才能在此基礎上構建領先的、強大的信息產業,最終實現建設網絡強國的目標。
信息技術體系需要標準體系的支撐。信息技術具有很強的自然壟斷性,如果不突出標準建設,那么,信息技術設備就會互不兼容,在市場上就缺乏競爭力,就不可能建設一個領先的、強大的信息產業。
中國信息安全研究院副院長左曉棟:國產替代不等于排斥國外產品
“加快推進國產自主可控替代計劃”,不能認為是改變了“中國開放的大門不能關上,也不會關上”的承諾,也不是要調整國家的網絡安全政策。如何理解這一要求,我認為可以從三個方面去把握。
首先,我國的“自主創新”從來都是科技政策范疇的問題,而不是貿易政策范疇的問題。國內外一些人對中國的“自主創新”十分敏感,猜度很多,這完全沒有必要。
其次,“替代”不是通用領域的替代,而是在涉及國家安全的領域積極使用國產產品,這正是WTO規則所說的“國家安全例外”。斯諾登曝出的“棱鏡計劃”顯示,美國正是利用其“一家獨大”的信息技術優勢,通過美國企業產品在他國重要核心部門的廣泛滲透,從而獲取他國的敏感重要信息,甚至控制他國系統,對此必須加以防范。事實上,我們目前并不具備大范圍替代國外產品的能力。即使將來我們的國產產品達到了與國外同等的水平,也不可能不使用國外產品,美國今天也沒有做到只使用自己的產品,今后必然是你中有我、我中有你的狀態。
最后,“替代”是要通過應用帶動國產產品的不斷成熟,這是核心技術攻關的必經階段,而不是排他性的政策目標。其要點是加大國產產品應用,而目前我們使用的產品,特別是基礎性軟硬件基本都是國外產品,其中自然會涉及“替代”問題。但這本身不是非此即彼的問題,是要給國產產品提供發展空間,而不是擠壓國外產品的生存空間。技術要發展,必須使用;如果大家都不用,就是報一個課題完成報告,然后束之高閣,那永遠發展不起來。
中國信息安全認證中心主任魏昊:我國信息安全認證規模和質量需提升
在開放的市場環境下,網絡安全需要社會各方在法治的軌道上協同治理,而標準和認證正是規范各方行為,支撐法律實施的重要技術基礎。網絡安全認證是網絡安全生態的重要組成部分,認證在國家信息安全保障體系當中正發揮著越來越重要的作用。
當前,我國在信息安全認證的規模和質量上還不能完全滿足安全產業和網絡安全保障工作的需要,其地位和影響力還需不斷提升。同時網絡安全領域的認證還存在一些問題,尤為突出的是對信息安全產品的重復檢測認證問題,對企業造成了困擾,《網絡安全法》對此做了明確規定。下一步,加強政府部門間的統籌協調,加強網絡安全領域產、學、研、用各方之間的協同配合,統一檢測認證標準、統一采購要求是非常重要的。此外,在技術創新階段建議加強各方合作,建立統一的更符合安全需求的技術標準和認證體系,從源頭上預防新的重復認證和檢測的發生。