前不久,“想哭”(WannaCry)蠕蟲式勒索病毒在全球范圍內大面積爆發。病毒蔓延范圍之廣,受害程度之深,令人嘆為觀止。當時,不少信息安全公司迎來了最繁忙的一段時間,甚至有人預言,這場風波將把信息安全產業送上風口。隨著勒索病毒漸行漸遠,信息安全市場也歸于平靜。“想哭”并沒讓信息安全產業笑得太久。信息安全產業,何時迎來真正的風口?
一個意外的結局
“想哭”來了,信息安全企業卻沒“笑”多久
6月初,走進位于成都高新區的成都中科慧創公司,幾名公司員工做著手頭的工作,有條不紊。讓人想象不出,20天前這里的一片“兵荒馬亂”。
勒索病毒爆發后的三天,中科慧創公司迎來了創業10多年來最繁忙的一段時間,墻上的三個大屏幕,隨時監控著可能出現的網絡病毒。電話成了熱線,登門求助的企業也是紛至沓來,來咨詢的單位企業有近60家。
中科慧創成立于2003年,是國內最早從事主動防御系統產品研發、生產的企業之一。在總經理趙象元印象中,之前都是他們去找客戶,而這次完全不同,客戶洶涌而來。“都不曉得是從哪冒出來的,呼啦啦一大片。”為了幫助客戶盡快應對,公司一半以上的人都被派出去上門服務。
記者調查發現,省內多家信息安全企業在今年5月都生意爆棚,在信息安全等級保護高級測評師袁源印象中,這種情況比較少見。
國家互聯網應急中心數據顯示,病毒爆發近一周時間,位于我國境內的IP被攻擊的接近12.5萬個。不少信息安全企業透露,因未及時關閉445端口,系統補丁沒及時跟進,日常防護沒有到位,川內仍有少部分機構受到病毒入侵,特別是一些單位的局域網。
很多業內人士都以為,這樣的態勢會帶來持續不斷的業務,但出乎意料的是,事態慢慢平靜后,咨詢量減少了三分之二。趙象元表示,總體來看,客戶量和主營收入并沒有明顯提高。
“勒索病毒為全社會提了一個醒,對信息安全產業也是一個機會,但短期帶動效應尚不明顯。”四川省信息安全產業技術創新聯盟副秘書長黃曉明表示,一些單位企業也是事情過了就完了,并沒有認識到信息安全是長期的事情,“好了傷疤忘了痛。”
一個奇怪的現象
有錢買“棺材”,不愿花錢打預防針
5月16日,四川某市窗口單位遭了“勒索病毒”,共有5臺用作視頻監控的電腦受到病毒入侵,所幸業務系統及時隔離封閉,病毒在當天晚上被處理。“只有一個人在負責網絡安全,當時正在對100多臺電腦打補丁,剛完成60多臺就遭了。”該單位一名負責人私下向記者透露。
這家窗口單位掌握著數以百萬計的人員資料以及重要文件,一旦信息被盜取,危害難以計量。這家單位在信息安全的投入上嚴重不足,人員只有一個。更缺經費,“沒有設專門的信息安全經費。”該負責人說。
這并非個案。遭過才知道痛、別人遭和我沒關系、增加成本不見效益……這是受訪信息安全企業最常提及的川內部分政府機構、企事業單位對信息安全風險的普遍態度。
“有錢買棺材,無錢打預防針。”無聲信息市場專員王海表示,“有些單位可能兩三年系統不打補丁,甚至用山寨操作系統。”
2017年四川省級部門預算公開信息顯示,省級部門沒有單獨設立信息安全預算,只在本級一般公共預算支出中或下屬單位的預算中,設有信息化建設及運行維護費或辦公自動化建設及維修維護等,交通、公安、財政等部門的金額較大,可達千萬級,而有的部門經費僅數萬元。
金融行業算是信息安全上投入較大的了,在信息化建設及運行維護費中的占比一般不低于6%。一些企業甚至連1%的比例都難以達到。而美國等信息安全產業比較發達的國家,這一比例高達20%至30%。
一片浩大的藍海
列入四川五大高端成長型產業,規模將超千億元
四川信息安全產業究竟有多大規模?省經濟和信息化委員會給出的數據:2016年,全省信息安全產業產值超過290億元,同比增長31.8%,產業規模占全國五分之一,總量居全國第二,從事信息安全的企業280多家。
從市場規模來看,我國信息安全行業市場規模僅為美國的1/10。公開數據顯示,2016年中國的信息安全投入不足全球的4.3%,占IT業整體投資比重僅為1%至2%之間,遠不如發達國家的8%至12%以上。因此,中國市場仍具有很大的發展空間。
從業務范圍來看,僅等級保護測評這項基礎保護體系,就有大量企業和機構尚未參與。
等級保護制度是我國網絡空間安全基本制度,是一個基線。“理論上講,黨政部門、國有大中型企業的信息系統都應該通過等級測評。”四川大學網絡空間安全學院周安民教授說,很多單位認為,做測評只是個形式,就像體檢一樣,并非所有人每年都會堅持去做,但它能發現和解決信息系統的符合性和合規性。
四川2016年通過測評的政府機關、企事業單位只有230家,不到總數的一個零頭。
“參與等級保護測評單位較少,即便有上級主管部門要求。”成都久信測評中心主任朱光劍說,從2011年開始到去年底,該機構累積測評了約100家單位,其中90%左右是政府機關、事業單位。“一次測評根據等級不同,最多5萬元或12萬元,但很多單位機構沒有測,或測一次,沒有上級要求就不再來了。”朱光劍說,來的企業更是少得可憐。
根據省工商局提供的數據,截至今年3月底,全省實有各類企業109.9萬戶。換言之,只要這100多萬企業,加上約6.5萬機關事業單位,每家每年投入十萬元在信息安全上,包括定期體檢和預防,僅此一項,市場規模就超過千億。
今年6月1日起施行的《中華人民共和國網絡安全法》,明確國家實行網絡安全等級保護制度,對關鍵基礎設施如能源、金融、交通等在等級保護制度基礎上,實行重點保護。
或許正是因為此,信息安全產業被列為四川省五大高端成長型產業之一,2020年產值要達到1100億元。“未來幾年,四川信息安全產業仍將高速增長。”周安民斷言。
一段艱難的轉型
產業要健康發展,需要轉變觀念,更需要長久規劃
“這次病毒爆發對信息安全意識是一次普及。網絡安全法的實施,把信息安全上升到法律層面,信息安全做不好是違法的。長期來看,隨著法律的貫徹深入,單位認識到信息安全的重要性,投入逐步增加,將會對產業有一個推動。”黃曉明說。
業內人士認為,網絡安全法施行后,更多的政策制度與之適應,可從法制層面有力推動信息安全產業。
同時要轉變意識。危機過去了,但病毒威脅仍在。信息安全公司預警,勒索病毒搭載的攻擊工具“永恒之藍”是武器級別的產品,“永恒之藍”可搭載不同類型的惡意程序,下次可能是其他遠程木馬等惡意程序,“更多的潛在風險在未來。”
周安民教授表示,安全的重視程度多是由大小安全事件推動,大多數系統安全還是處于被動防御狀態,“僥幸”認為是“安全”的,而今后,更應當主動出擊。
安全意識永固心間,固定投入,定期等級保護測評之外,袁源認為,還需要長期的信息安全規劃。
業內普遍認為,信息安全“三分靠技術,七分靠管理”。首先,查現狀,確定隱患;其次,了解需求,制定安全綱領、體系框架,“防火墻、殺毒軟件這只是管理的一部分,信息安全記錄、系統日志、人員職責,未來每年需要新增提升內容都在管理當中。”
傳統信息安全產業已經從傳統信息安全邁向了與安全相關的信息網絡、信息系統及信息內容安全等領域。“因此想產業‘笑出來’,信息安全產業也應該在技術上實時跟進,借助現有較為完善的產業鏈,抱團形成合力。”黃曉明認為,有了更多的市場需求,自身能力達到更高水平,全民的安全意識不斷提升,安全法制不斷健全,企業才能夠做大做優做強,信息安全產業也將有更大的發展空間。
京公網安備 11010502049343號