信息安全產(chǎn)業(yè)求解三大難題

國(guó)家發(fā)改委、工信部、科技部等八個(gè)部門發(fā)布《關(guān)于促進(jìn)智慧城市健康發(fā)展的指導(dǎo)意見(jiàn)》，以較大篇幅談到“著力加強(qiáng)網(wǎng)絡(luò)信息安全管理和能力建設(shè)”。

當(dāng)信息數(shù)據(jù)成為城市的“基礎(chǔ)設(shè)施”之一，如同水電交通一樣成為工作生活的重要依賴，只有至少達(dá)到當(dāng)前水電氣這樣的安全標(biāo)準(zhǔn)，智慧城市才可能健康運(yùn)行。

隨著“互聯(lián)網(wǎng)+”首次被寫(xiě)進(jìn)政府工作報(bào)告，網(wǎng)絡(luò)安全也相應(yīng)受到越來(lái)越多的關(guān)注。

日前，國(guó)家發(fā)改委發(fā)布國(guó)家信息安全專項(xiàng)及下一代互聯(lián)網(wǎng)技術(shù)研發(fā)、產(chǎn)業(yè)化和規(guī)模商用專項(xiàng)項(xiàng)目清單。

發(fā)改委組織此次國(guó)家信息安全專項(xiàng)，是落實(shí)國(guó)務(wù)院此前發(fā)布《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)》的一項(xiàng)重要部署，專項(xiàng)瞄準(zhǔn)了金融、云計(jì)算與大數(shù)據(jù)、信息系統(tǒng)保密管理、工業(yè)控制等領(lǐng)域面臨的信息安全實(shí)際需要。

我國(guó)信息安全領(lǐng)域目前出現(xiàn)了哪些變化？對(duì)于可能出現(xiàn)的危險(xiǎn)，如何未雨綢繆，盡最大可能消除潛在隱患？

專家認(rèn)為，當(dāng)前有三個(gè)方面的問(wèn)題需要應(yīng)對(duì)：一是新技術(shù)的挑戰(zhàn)，二是企業(yè)和單位的安全工作機(jī)制上的“錯(cuò)位”，三是產(chǎn)業(yè)界過(guò)度低價(jià)競(jìng)爭(zhēng)會(huì)削弱產(chǎn)業(yè)技術(shù)實(shí)力。

技術(shù)：新變化挑戰(zhàn)信息安全

在信息安全專家、中國(guó)計(jì)算機(jī)學(xué)會(huì)常務(wù)理事潘柱廷看來(lái)，目前信息安全領(lǐng)域主要面臨新技術(shù)、新威脅、合規(guī)與效益兼顧這三方面的變化。

第一種變化是新技術(shù)出現(xiàn)帶來(lái)的挑戰(zhàn)。潘柱廷說(shuō)：“這些新興技術(shù)和新興的IT模式，給用戶帶來(lái)很多方便的同時(shí)，也帶來(lái)了很多安全方面的需求。圍著云計(jì)算、互聯(lián)網(wǎng)大數(shù)據(jù)、穿戴式設(shè)備、人工智能技術(shù)，都有很多新安全。在這些新的技術(shù)推動(dòng)下，安全產(chǎn)業(yè)一定會(huì)帶上一個(gè)新臺(tái)階?！?/span>

第二種變化是新威脅。比如說(shuō)斯諾登事件，以及前一段時(shí)間關(guān)于硬盤后門的安全事件。新的威脅不斷以各種形式顯現(xiàn)出來(lái)。

除了個(gè)人用戶和中小企業(yè)所關(guān)心的日常經(jīng)濟(jì)生活安全之外，未來(lái)信息安全的制高點(diǎn)將是電信、電力、金融、財(cái)稅、海關(guān)、公共安全以及政務(wù)方面的安全需求。與這些行業(yè)相關(guān)的信息安全等級(jí)保護(hù)、分級(jí)保護(hù)、測(cè)評(píng)認(rèn)證制度等一系列合規(guī)性要求將會(huì)被強(qiáng)力落實(shí)。“隨著這些行業(yè)進(jìn)一步提升安全防護(hù)能力，在信息安全方面投入更多的資金，信息安全市場(chǎng)的高速有序增長(zhǎng)也將水到渠成?！?/span>

第三種變化就是安全防御措施本身的一個(gè)演化?！斑@里面我覺(jué)得就是可能會(huì)來(lái)自于我們安全防御體系的一個(gè)需求，需求的天平從合規(guī)性需求向效果性需求傾斜?！?潘柱廷說(shuō)。比如銀行或者電力系統(tǒng)可以通過(guò)做行業(yè)級(jí)的模擬實(shí)戰(zhàn)演練，來(lái)檢驗(yàn)真實(shí)的對(duì)抗和防御能力。這就會(huì)使得整個(gè)產(chǎn)業(yè)結(jié)構(gòu)出現(xiàn)一個(gè)自然的變化，就是更重視服務(wù)，更重視人。

“從整個(gè)保障思路的實(shí)現(xiàn)從合規(guī)向合規(guī)與效果兼顧的方式轉(zhuǎn)化，應(yīng)該會(huì)給整個(gè)產(chǎn)業(yè)帶來(lái)一些更好的可喜的變化。從合規(guī)性驅(qū)動(dòng)所能夠挖掘的需求盤子（市場(chǎng)容量），其增長(zhǎng)還只是一種常規(guī)性的增長(zhǎng)，難以跟上整個(gè)IT產(chǎn)業(yè)的迅猛發(fā)展；只有真正把攻防性需求挖掘出來(lái)才行?！迸酥⒄f(shuō)。

機(jī)制：安全錯(cuò)位問(wèn)題亟待解決

在今年兩會(huì)期間，全國(guó)政協(xié)委員、啟明星辰集團(tuán)CEO嚴(yán)望佳遞交了三個(gè)涉及網(wǎng)絡(luò)安全的提案，其中一份就是建議“在關(guān)鍵基礎(chǔ)設(shè)施、敏感部門、政府機(jī)構(gòu)等推行首席信息安全官制度”。

潘柱廷認(rèn)為，建立和推行首席信息安全官制度，就是要企業(yè)明確一位高層管理者作為其信息安全的第一責(zé)任人。只有有了明確的責(zé)任人，才可能將工作落到實(shí)處。強(qiáng)化企業(yè)和相關(guān)機(jī)構(gòu)的信息安全，落實(shí)信息安全責(zé)任，“這也是解決安全錯(cuò)位問(wèn)題的一種有效“糾錯(cuò)”機(jī)制?！?/span>

潘柱廷坦言，在安全工作上有很多錯(cuò)位存在。在企業(yè)和機(jī)構(gòu)中，安全需求的提出者、采購(gòu)的決策者、實(shí)際的使用者、防御不當(dāng)?shù)膿p失承擔(dān)著并不是同一的主體，是錯(cuò)位的?？赡軟](méi)有做好安全工作的機(jī)構(gòu)與實(shí)際遭受損失的機(jī)構(gòu)常常不是同一個(gè)主體。很典型的案例就是垃圾郵件、垃圾短信。其最合適的、能夠處理垃圾郵件短信的機(jī)構(gòu)是電信運(yùn)營(yíng)商，而承擔(dān)傷害的是普通的電信客戶。

潘柱廷告訴科技日?qǐng)?bào)記者，首席信息安全官就是一個(gè)真正有權(quán)力并且專門對(duì)信息安全負(fù)責(zé)的人，這將是改變?cè)刃枨蟾窬值囊粋€(gè)出發(fā)點(diǎn)。是從用戶的視角來(lái)考慮信息安全產(chǎn)業(yè)問(wèn)題。現(xiàn)在，僅僅依靠合規(guī)推動(dòng)安全所帶來(lái)的隱患已經(jīng)受到有識(shí)之士的注意。在潘柱廷看來(lái)，倘若把合規(guī)作為安全工作的上限來(lái)考慮，那么大家就沒(méi)有動(dòng)力去考慮實(shí)際的對(duì)抗效果。在整個(gè)需求的驅(qū)動(dòng)里面，從合規(guī)性需求向效果性需求驅(qū)動(dòng)，就需要一個(gè)合適的契機(jī)和一個(gè)著手點(diǎn)來(lái)落實(shí)。

那誰(shuí)去承擔(dān)這個(gè)位置呢？潘柱廷認(rèn)為，應(yīng)該由首席信息安全官將組織結(jié)構(gòu)的責(zé)任分配進(jìn)行調(diào)整，彌補(bǔ)組織結(jié)構(gòu)和IT價(jià)值結(jié)構(gòu)的錯(cuò)位關(guān)系。就是說(shuō)，因?yàn)橘x予首席信息安全官的權(quán)力和責(zé)任，所以可以代表法人的利益，行使職責(zé)的再分配和調(diào)和。通過(guò)權(quán)力體系和考核、合規(guī)等多樣機(jī)制的落實(shí)，形成一個(gè)更良性的責(zé)任體系。

產(chǎn)業(yè)：“別把桌子掀了”

提到信息安全，網(wǎng)御星云副總裁畢學(xué)堯博士有一種深深的擔(dān)憂。“其實(shí)，電子政務(wù)云計(jì)算的安全問(wèn)題比想象中要突出。一個(gè)是應(yīng)用集中威脅，第二個(gè)是建云的這些廠商，這樣的云供應(yīng)商能獲取政府的數(shù)據(jù)，然后集中分析，這個(gè)說(shuō)起來(lái)信息安全問(wèn)題就很大了，這是一種隱形的權(quán)力賦予?？赡墁F(xiàn)在用戶對(duì)此還不敏感，或者沒(méi)有明確意識(shí)。云計(jì)算供應(yīng)商實(shí)際掌握著大量關(guān)鍵數(shù)據(jù)，如果被非法提取并分析,那將不得了?！边@類安全問(wèn)題，不能完全由經(jīng)濟(jì)效益所評(píng)價(jià)。

12306撞庫(kù)攻擊事件、索尼影音公司遭遇的入侵和破壞事件等公眾性網(wǎng)絡(luò)安全事件，無(wú)不警示著網(wǎng)絡(luò)安全的嚴(yán)峻形勢(shì)。

目前，在信息安全方面，尤其是個(gè)人信息安全方面，免費(fèi)模式似乎已經(jīng)成為熱議的話題。

在潘柱廷看來(lái)，一個(gè)免費(fèi)模式在局部的圈子對(duì)于個(gè)人用戶而言可能是好事。但是如果從行業(yè)的整體研發(fā)方面來(lái)說(shuō)，“從業(yè)人員減少，科研能力在下降，相關(guān)的人才向其他領(lǐng)域出逃，那免費(fèi)所帶來(lái)的表面的局部利益到底是好是壞，就值得商榷了?！?潘柱廷說(shuō)。任何一個(gè)產(chǎn)業(yè)格局或者是規(guī)則的變化，應(yīng)該以能夠?yàn)檫@個(gè)產(chǎn)業(yè)本身增值作為基本立足點(diǎn)，而不是把這個(gè)產(chǎn)業(yè)的本身的利潤(rùn)轉(zhuǎn)移至其他領(lǐng)域。畢竟是一個(gè)產(chǎn)業(yè)的存在不僅僅有經(jīng)濟(jì)價(jià)值，還有其他價(jià)值存在。

這個(gè)產(chǎn)業(yè)本身所承載的非產(chǎn)業(yè)經(jīng)濟(jì)責(zé)任，戰(zhàn)略價(jià)值實(shí)際上不能被忽視?！安⒉皇撬械氖虑槎家眉兪袌?chǎng)規(guī)律來(lái)解決，尤其是信息安全。而目前，信息安全的戰(zhàn)略價(jià)值遠(yuǎn)遠(yuǎn)被忽略。”

“從我的研究、包括廠商之間的研討來(lái)說(shuō)，如果通過(guò)免費(fèi)和低價(jià)競(jìng)爭(zhēng)的模式把企業(yè)級(jí)包括關(guān)聯(lián)基礎(chǔ)設(shè)施的正常市場(chǎng)利潤(rùn)打掉，這樣的循環(huán)是有問(wèn)題的，這樣會(huì)導(dǎo)致整個(gè)用戶對(duì)安全的投入要減少，而其他領(lǐng)域的補(bǔ)貼又很難貼到這個(gè)產(chǎn)業(yè)里來(lái)，那如果造成整個(gè)產(chǎn)業(yè)的技術(shù)人員下降，那最后的結(jié)果是整個(gè)產(chǎn)業(yè)的能力下降，并且所剩無(wú)幾的能力集中在個(gè)別幾個(gè)廠商手上。這對(duì)國(guó)家網(wǎng)絡(luò)安全是極端危險(xiǎn)的一種格局，進(jìn)而對(duì)普通客戶也會(huì)因壟斷而帶來(lái)衍生危害?！?/span>

作為安全來(lái)說(shuō)，它需要能力的總量提升，另外它需要一定的分散能力和風(fēng)險(xiǎn)。信息安全產(chǎn)業(yè)要藏利于民，就是讓民間或者是企業(yè)界具有這方面的能力，真正到特殊需要的時(shí)候，就可通過(guò)動(dòng)員機(jī)制來(lái)聚集。

“我們希望在桌子上跟大家搶著來(lái)發(fā)展，但是別把桌子掀了。 隨著產(chǎn)業(yè)格局的發(fā)展，廠商之間開(kāi)始沉下心來(lái)、慢慢敞開(kāi)胸懷去合作，同時(shí)也都在尋求穩(wěn)定中的變革創(chuàng)新。相信我國(guó)信息安全產(chǎn)業(yè)將大有作為” 潘柱廷說(shuō)。