信息安全產(chǎn)業(yè)求解三大難題
發(fā)布時間:2015-04-09國家發(fā)改委,、工信部,、科技部等八個部門發(fā)布《關(guān)于促進(jìn)智慧城市健康發(fā)展的指導(dǎo)意見》,,以較大篇幅談到“著力加強(qiáng)網(wǎng)絡(luò)信息安全管理和能力建設(shè)”,。
當(dāng)信息數(shù)據(jù)成為城市的“基礎(chǔ)設(shè)施”之一,如同水電交通一樣成為工作生活的重要依賴,,只有至少達(dá)到當(dāng)前水電氣這樣的安全標(biāo)準(zhǔn),,智慧城市才可能健康運(yùn)行。
隨著“互聯(lián)網(wǎng)+”首次被寫進(jìn)政府工作報告,網(wǎng)絡(luò)安全也相應(yīng)受到越來越多的關(guān)注,。
日前,,國家發(fā)改委發(fā)布國家信息安全專項及下一代互聯(lián)網(wǎng)技術(shù)研發(fā)、產(chǎn)業(yè)化和規(guī)模商用專項項目清單,。
發(fā)改委組織此次國家信息安全專項,,是落實(shí)國務(wù)院此前發(fā)布《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》的一項重要部署,專項瞄準(zhǔn)了金融,、云計算與大數(shù)據(jù),、信息系統(tǒng)保密管理、工業(yè)控制等領(lǐng)域面臨的信息安全實(shí)際需要,。
我國信息安全領(lǐng)域目前出現(xiàn)了哪些變化?對于可能出現(xiàn)的危險,,如何未雨綢繆,,盡最大可能消除潛在隱患?
專家認(rèn)為,,當(dāng)前有三個方面的問題需要應(yīng)對:一是新技術(shù)的挑戰(zhàn),,二是企業(yè)和單位的安全工作機(jī)制上的“錯位”,三是產(chǎn)業(yè)界過度低價競爭會削弱產(chǎn)業(yè)技術(shù)實(shí)力,。
技術(shù):新變化挑戰(zhàn)信息安全
在信息安全專家,、中國計算機(jī)學(xué)會常務(wù)理事潘柱廷看來,目前信息安全領(lǐng)域主要面臨新技術(shù),、新威脅,、合規(guī)與效益兼顧這三方面的變化。
第一種變化是新技術(shù)出現(xiàn)帶來的挑戰(zhàn),。潘柱廷說:“這些新興技術(shù)和新興的IT模式,,給用戶帶來很多方便的同時,也帶來了很多安全方面的需求,。圍著云計算,、互聯(lián)網(wǎng)大數(shù)據(jù)、穿戴式設(shè)備,、人工智能技術(shù),,都有很多新安全。在這些新的技術(shù)推動下,,安全產(chǎn)業(yè)一定會帶上一個新臺階,。”
第二種變化是新威脅,。比如說斯諾登事件,,以及前一段時間關(guān)于硬盤后門的安全事件。新的威脅不斷以各種形式顯現(xiàn)出來,。
除了個人用戶和中小企業(yè)所關(guān)心的日常經(jīng)濟(jì)生活安全之外,,未來信息安全的制高點(diǎn)將是電信,、電力、金融,、財稅,、海關(guān)、公共安全以及政務(wù)方面的安全需求,。與這些行業(yè)相關(guān)的信息安全等級保護(hù),、分級保護(hù)、測評認(rèn)證制度等一系列合規(guī)性要求將會被強(qiáng)力落實(shí),?!半S著這些行業(yè)進(jìn)一步提升安全防護(hù)能力,在信息安全方面投入更多的資金,,信息安全市場的高速有序增長也將水到渠成,。”
第三種變化就是安全防御措施本身的一個演化,?!斑@里面我覺得就是可能會來自于我們安全防御體系的一個需求,需求的天平從合規(guī)性需求向效果性需求傾斜,?!?潘柱廷說。比如銀行或者電力系統(tǒng)可以通過做行業(yè)級的模擬實(shí)戰(zhàn)演練,,來檢驗真實(shí)的對抗和防御能力,。這就會使得整個產(chǎn)業(yè)結(jié)構(gòu)出現(xiàn)一個自然的變化,就是更重視服務(wù),,更重視人,。
“從整個保障思路的實(shí)現(xiàn)從合規(guī)向合規(guī)與效果兼顧的方式轉(zhuǎn)化,應(yīng)該會給整個產(chǎn)業(yè)帶來一些更好的可喜的變化,。從合規(guī)性驅(qū)動所能夠挖掘的需求盤子(市場容量),,其增長還只是一種常規(guī)性的增長,難以跟上整個IT產(chǎn)業(yè)的迅猛發(fā)展,;只有真正把攻防性需求挖掘出來才行,。”潘柱廷說,。
機(jī)制:安全錯位問題亟待解決
在今年兩會期間,,全國政協(xié)委員、啟明星辰集團(tuán)CEO嚴(yán)望佳遞交了三個涉及網(wǎng)絡(luò)安全的提案,,其中一份就是建議“在關(guān)鍵基礎(chǔ)設(shè)施,、敏感部門、政府機(jī)構(gòu)等推行首席信息安全官制度”。
潘柱廷認(rèn)為,,建立和推行首席信息安全官制度,,就是要企業(yè)明確一位高層管理者作為其信息安全的第一責(zé)任人。只有有了明確的責(zé)任人,,才可能將工作落到實(shí)處,。強(qiáng)化企業(yè)和相關(guān)機(jī)構(gòu)的信息安全,落實(shí)信息安全責(zé)任,,“這也是解決安全錯位問題的一種有效“糾錯”機(jī)制,。”
潘柱廷坦言,,在安全工作上有很多錯位存在,。在企業(yè)和機(jī)構(gòu)中,安全需求的提出者,、采購的決策者,、實(shí)際的使用者、防御不當(dāng)?shù)膿p失承擔(dān)著并不是同一的主體,,是錯位的,??赡軟]有做好安全工作的機(jī)構(gòu)與實(shí)際遭受損失的機(jī)構(gòu)常常不是同一個主體,。很典型的案例就是垃圾郵件、垃圾短信,。其最合適的,、能夠處理垃圾郵件短信的機(jī)構(gòu)是電信運(yùn)營商,而承擔(dān)傷害的是普通的電信客戶,。
潘柱廷告訴科技日報記者,,首席信息安全官就是一個真正有權(quán)力并且專門對信息安全負(fù)責(zé)的人,這將是改變原先需求格局的一個出發(fā)點(diǎn),。是從用戶的視角來考慮信息安全產(chǎn)業(yè)問題,。現(xiàn)在,僅僅依靠合規(guī)推動安全所帶來的隱患已經(jīng)受到有識之士的注意,。在潘柱廷看來,,倘若把合規(guī)作為安全工作的上限來考慮,那么大家就沒有動力去考慮實(shí)際的對抗效果,。在整個需求的驅(qū)動里面,,從合規(guī)性需求向效果性需求驅(qū)動,就需要一個合適的契機(jī)和一個著手點(diǎn)來落實(shí),。
那誰去承擔(dān)這個位置呢,?潘柱廷認(rèn)為,應(yīng)該由首席信息安全官將組織結(jié)構(gòu)的責(zé)任分配進(jìn)行調(diào)整,彌補(bǔ)組織結(jié)構(gòu)和IT價值結(jié)構(gòu)的錯位關(guān)系,。就是說,,因為賦予首席信息安全官的權(quán)力和責(zé)任,所以可以代表法人的利益,,行使職責(zé)的再分配和調(diào)和,。通過權(quán)力體系和考核、合規(guī)等多樣機(jī)制的落實(shí),,形成一個更良性的責(zé)任體系,。
產(chǎn)業(yè):“別把桌子掀了”
提到信息安全,網(wǎng)御星云副總裁畢學(xué)堯博士有一種深深的擔(dān)憂,?!捌鋵?shí),電子政務(wù)云計算的安全問題比想象中要突出,。一個是應(yīng)用集中威脅,,第二個是建云的這些廠商,這樣的云供應(yīng)商能獲取政府的數(shù)據(jù),,然后集中分析,,這個說起來信息安全問題就很大了,這是一種隱形的權(quán)力賦予,??赡墁F(xiàn)在用戶對此還不敏感,或者沒有明確意識,。云計算供應(yīng)商實(shí)際掌握著大量關(guān)鍵數(shù)據(jù),,如果被非法提取并分析,那將不得了?!边@類安全問題,,不能完全由經(jīng)濟(jì)效益所評價。
12306撞庫攻擊事件,、索尼影音公司遭遇的入侵和破壞事件等公眾性網(wǎng)絡(luò)安全事件,,無不警示著網(wǎng)絡(luò)安全的嚴(yán)峻形勢。
目前,,在信息安全方面,,尤其是個人信息安全方面,免費(fèi)模式似乎已經(jīng)成為熱議的話題,。
在潘柱廷看來,,一個免費(fèi)模式在局部的圈子對于個人用戶而言可能是好事。但是如果從行業(yè)的整體研發(fā)方面來說,,“從業(yè)人員減少,,科研能力在下降,,相關(guān)的人才向其他領(lǐng)域出逃,那免費(fèi)所帶來的表面的局部利益到底是好是壞,,就值得商榷了,。” 潘柱廷說,。任何一個產(chǎn)業(yè)格局或者是規(guī)則的變化,,應(yīng)該以能夠為這個產(chǎn)業(yè)本身增值作為基本立足點(diǎn),而不是把這個產(chǎn)業(yè)的本身的利潤轉(zhuǎn)移至其他領(lǐng)域,。畢竟是一個產(chǎn)業(yè)的存在不僅僅有經(jīng)濟(jì)價值,,還有其他價值存在。
這個產(chǎn)業(yè)本身所承載的非產(chǎn)業(yè)經(jīng)濟(jì)責(zé)任,,戰(zhàn)略價值實(shí)際上不能被忽視,。“并不是所有的事情都要用純市場規(guī)律來解決,,尤其是信息安全,。而目前,信息安全的戰(zhàn)略價值遠(yuǎn)遠(yuǎn)被忽略,?!?/span>
“從我的研究、包括廠商之間的研討來說,,如果通過免費(fèi)和低價競爭的模式把企業(yè)級包括關(guān)聯(lián)基礎(chǔ)設(shè)施的正常市場利潤打掉,,這樣的循環(huán)是有問題的,這樣會導(dǎo)致整個用戶對安全的投入要減少,,而其他領(lǐng)域的補(bǔ)貼又很難貼到這個產(chǎn)業(yè)里來,,那如果造成整個產(chǎn)業(yè)的技術(shù)人員下降,,那最后的結(jié)果是整個產(chǎn)業(yè)的能力下降,,并且所剩無幾的能力集中在個別幾個廠商手上。這對國家網(wǎng)絡(luò)安全是極端危險的一種格局,,進(jìn)而對普通客戶也會因壟斷而帶來衍生危害,。”
作為安全來說,,它需要能力的總量提升,,另外它需要一定的分散能力和風(fēng)險。信息安全產(chǎn)業(yè)要藏利于民,,就是讓民間或者是企業(yè)界具有這方面的能力,,真正到特殊需要的時候,就可通過動員機(jī)制來聚集,。
“我們希望在桌子上跟大家搶著來發(fā)展,,但是別把桌子掀了,。 隨著產(chǎn)業(yè)格局的發(fā)展,廠商之間開始沉下心來,、慢慢敞開胸懷去合作,,同時也都在尋求穩(wěn)定中的變革創(chuàng)新。相信我國信息安全產(chǎn)業(yè)將大有作為” 潘柱廷說,。
(來源:科技日報)