国家发改委、工信部、科技部等八个部门发布《关于促进智慧城市健康发展的指导意见》,以较大篇幅谈到“着力加强网络信息安全管理和能力建设”。 当信息数据成为城市的“基础设施”之一,如同水电交通一样成为工作生活的重要依赖,只有至少达到当前水电气这样的安全标准,智慧城市才可能健康运行。 ◀扫描二维码,可阅读本版相关解读文章。 |
随着“互联网+”首次被写进政府工作报告,网络安全也相应受到越来越多的关注。
日前,国家发改委发布国家信息安全专项及下一代互联网技术研发、产业化和规模商用专项项目清单。
发改委组织此次国家信息安全专项,是落实国务院此前发布《关于大力推进信息化发展和切实保障信息安全的若干意见》的一项重要部署,专项瞄准了金融、云计算与大数据、信息系统保密管理、工业控制等领域面临的信息安全实际需要。
我国信息安全领域目前出现了哪些变化?对于可能出现的危险,如何未雨绸缪,尽最大可能消除潜在隐患?
专家认为,当前有三个方面的问题需要应对:一是新技术的挑战,二是企业和单位的安全工作机制上的“错位”,三是产业界过度低价竞争会削弱产业技术实力。
技术:新变化挑战信息安全
在信息安全专家、中国计算机学会常务理事潘柱廷看来,目前信息安全领域主要面临新技术、新威胁、合规与效益兼顾这三方面的变化。
第一种变化是新技术出现带来的挑战。潘柱廷说:“这些新兴技术和新兴的IT模式,给用户带来很多方便的同时,也带来了很多安全方面的需求。围着云计算、互联网大数据、穿戴式设备、人工智能技术,都有很多新安全。在这些新的技术推动下,安全产业一定会带上一个新台阶。”
第二种变化是新威胁。比如说斯诺登事件,以及前一段时间关于硬盘后门的安全事件。新的威胁不断以各种形式显现出来。
除了个人用户和中小企业所关心的日常经济生活安全之外,未来信息安全的制高点将是电信、电力、金融、财税、海关、公共安全以及政务方面的安全需求。与这些行业相关的信息安全等级保护、分级保护、测评认证制度等一系列合规性要求将会被强力落实。“随着这些行业进一步提升安全防护能力,在信息安全方面投入更多的资金,信息安全市场的高速有序增长也将水到渠成。”
第三种变化就是安全防御措施本身的一个演化。“这里面我觉得就是可能会来自于我们安全防御体系的一个需求,需求的天平从合规性需求向效果性需求倾斜。” 潘柱廷说。比如银行或者电力系统可以通过做行业级的模拟实战演练,来检验真实的对抗和防御能力。这就会使得整个产业结构出现一个自然的变化,就是更重视服务,更重视人。
“从整个保障思路的实现从合规向合规与效果兼顾的方式转化,应该会给整个产业带来一些更好的可喜的变化。从合规性驱动所能够挖掘的需求盘子(市场容量),其增长还只是一种常规性的增长,难以跟上整个IT产业的迅猛发展;只有真正把攻防性需求挖掘出来才行。”潘柱廷说。
机制:安全错位问题亟待解决
在今年两会期间,全国政协委员、启明星辰集团CEO严望佳递交了三个涉及网络安全的提案,其中一份就是建议“在关键基础设施、敏感部门、政府机构等推行首席信息安全官制度”。
潘柱廷认为,建立和推行首席信息安全官制度,就是要企业明确一位高层管理者作为其信息安全的第一责任人。只有有了明确的责任人,才可能将工作落到实处。强化企业和相关机构的信息安全,落实信息安全责任,“这也是解决安全错位问题的一种有效“纠错”机制。”
潘柱廷坦言,在安全工作上有很多错位存在。在企业和机构中,安全需求的提出者、采购的决策者、实际的使用者、防御不当的损失承担着并不是同一的主体,是错位的。可能没有做好安全工作的机构与实际遭受损失的机构常常不是同一个主体。很典型的案例就是垃圾邮件、垃圾短信。其最合适的、能够处理垃圾邮件短信的机构是电信运营商,而承担伤害的是普通的电信客户。
潘柱廷告诉科技日报记者,首席信息安全官就是一个真正有权力并且专门对信息安全负责的人,这将是改变原先需求格局的一个出发点。是从用户的视角来考虑信息安全产业问题。
现在,仅仅依靠合规推动安全所带来的隐患已经受到有识之士的注意。在潘柱廷看来,倘若把合规作为安全工作的上限来考虑,那么大家就没有动力去考虑实际的对抗效果。在整个需求的驱动里面,从合规性需求向效果性需求驱动,就需要一个合适的契机和一个着手点来落实。
那谁去承担这个位置呢?潘柱廷认为,应该由首席信息安全官将组织结构的责任分配进行调整,弥补组织结构和IT价值结构的错位关系。就是说,因为赋予首席信息安全官的权力和责任,所以可以代表法人的利益,行使职责的再分配和调和。通过权力体系和考核、合规等多样机制的落实,形成一个更良性的责任体系。
产业:“别把桌子掀了”
提到信息安全,网御星云副总裁毕学尧博士有一种深深的担忧。“其实,电子政务云计算的安全问题比想象中要突出。一个是应用集中威胁,第二个是建云的这些厂商,这样的云供应商能获取政府的数据,然后集中分析,这个说起来信息安全问题就很大了,这是一种隐形的权力赋予。可能现在用户对此还不敏感,或者没有明确意识。云计算供应商实际掌握着大量关键数据,如果被非法提取并分析,那将不得了。”这类安全问题,不能完全由经济效益所评价。
12306撞库攻击事件、索尼影音公司遭遇的入侵和破坏事件等公众性网络安全事件,无不警示着网络安全的严峻形势。
目前,在信息安全方面,尤其是个人信息安全方面,免费模式似乎已经成为热议的话题。
在潘柱廷看来,一个免费模式在局部的圈子对于个人用户而言可能是好事。但是如果从行业的整体研发方面来说,“从业人员减少,科研能力在下降,相关的人才向其他领域出逃,那免费所带来的表面的局部利益到底是好是坏,就值得商榷了。” 潘柱廷说。任何一个产业格局或者是规则的变化,应该以能够为这个产业本身增值作为基本立足点,而不是把这个产业的本身的利润转移至其他领域。毕竟是一个产业的存在不仅仅有经济价值,还有其他价值存在。
这个产业本身所承载的非产业经济责任,战略价值实际上不能被忽视。“并不是所有的事情都要用纯市场规律来解决,尤其是信息安全。而目前,信息安全的战略价值远远被忽略。”
“从我的研究、包括厂商之间的研讨来说,如果通过免费和低价竞争的模式把企业级包括关联基础设施的正常市场利润打掉,这样的循环是有问题的,这样会导致整个用户对安全的投入要减少,而其他领域的补贴又很难贴到这个产业里来,那如果造成整个产业的技术人员下降,那最后的结果是整个产业的能力下降,并且所剩无几的能力集中在个别几个厂商手上。这对国家网络安全是极端危险的一种格局,进而对普通客户也会因垄断而带来衍生危害。”
作为安全来说,它需要能力的总量提升,另外它需要一定的分散能力和风险。信息安全产业要藏利于民,就是让民间或者是企业界具有这方面的能力,真正到特殊需要的时候,就可通过动员机制来聚集。
“我们希望在桌子上跟大家抢着来发展,但是别把桌子掀了。 随着产业格局的发展,厂商之间开始沉下心来、慢慢敞开胸怀去合作,同时也都在寻求稳定中的变革创新。相信我国信息安全产业将大有作为” 潘柱廷说。