由于核電站系統(tǒng)遭病毒入侵，監(jiān)控錄像被篡改，伊朗某個核項目的監(jiān)控人員雖然看到的是正常畫面，但實際上離心機卻在失控情況下不斷加速而最終報廢。

這是美劇《24小時》的橋段？不！“這是真相！這是正在發(fā)生的事！”說這句話的，就是頻頻“搶頭條”的斯諾登。如果用一句話來概括上述信息安全的事件，那就是美國和以色列研制了“震網(wǎng)”病毒，并最終以電影情節(jié)那般攻擊了伊朗的核項目。

看似奇幻的情節(jié)不僅僅發(fā)生在地球的另一端。作為互聯(lián)網(wǎng)大國，我國也飽受信息安全危機之?dāng)_。數(shù)據(jù)顯示，2013年中國網(wǎng)民在網(wǎng)上損失近1500億元，而國家層面的損失更是不可估量。

幸運的是，我們并沒有坐以待斃，而是努力拯救。以“云”技術(shù)為代表的去IOE浪潮已經(jīng)掀起，安全高效的信息時代或許并不遙遠。

安裝一個木馬，劫持你的支付寶，或者是植入一個后門，黑了你的網(wǎng)站，這些小兒科似的信息安全事件，是不是令你不勝其煩？的確，國家互聯(lián)網(wǎng)應(yīng)急中心最新發(fā)布的周報顯示，截至2014年7月13日的當(dāng)周，我國境內(nèi)感染病毒的主機數(shù)量達76萬臺，環(huán)比上升4.6%；被植入后門的網(wǎng)站總數(shù)環(huán)比上升17.1%；新增信息安全漏洞數(shù)環(huán)比上升12.8%。

來者不善！被信息安全騷擾的，不止是你，更有國家安全領(lǐng)域。

國家互聯(lián)網(wǎng)應(yīng)急中心今年6月發(fā)布的《2013年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》顯示，2013年，境外“匿名者”、“阿爾及利亞黑客”等多個組織曾對我國政府網(wǎng)站發(fā)起攻擊，并先后篡改我國187個政府網(wǎng)站。數(shù)據(jù)顯示，2013年我國境內(nèi)被篡改網(wǎng)站數(shù)量為24034個，較2012年增長46.7%。其中，境內(nèi)政府網(wǎng)站被篡改數(shù)量為2430個，較2012年增長34.9%。

那么，究竟什么是信息安全？在維護信息安全的道路上，國家的思路和企業(yè)的想法有哪些異同？國產(chǎn)化路徑留給我們多大空間？所謂的去IOE就能實現(xiàn)安枕無憂嗎？帶著這些思考，上證報記者實地走訪多個企業(yè)和機構(gòu)，旨在為大家揭開信息安全神秘面紗的背后。

國家安全的威脅有多大

2011年2月，伊朗突然宣布暫時卸載首座核電站——布什爾核電站的核燃料。美國國務(wù)卿希拉里對此輕描淡寫地說，伊朗的計劃因為“技術(shù)問題”而被拖延。

這個“技術(shù)問題”，在2013年的斯諾登事件中被證實！當(dāng)年，由美國和以色列研發(fā)的“震網(wǎng)”病毒襲擊了伊朗的布什爾核電站，導(dǎo)致1000臺離心機報廢

“震網(wǎng)”供后人談?wù)摰慕裹c，是它獨有的隱蔽性強的特點。它平時冬眠，而一旦離心機、變形器的轉(zhuǎn)速達到600赫茲-1200赫茲之間，這時候它就啟動，并開始謊報軍情。

其實這種“震網(wǎng)”病毒并不是美國和以色列針對伊朗的“專利”，“震網(wǎng)”也曾在中國露面。而斯諾登曝光的最新文件顯示，美國國家安全局入侵了華為總部服務(wù)器，入侵計劃代碼為“Shotgiant（攻擊巨人）”。

正是面對頻發(fā)的安全事件，我國對信息安全的考量也首次上升到國家最高層面。2013年11月12日，中央國家安全委員會成立；2014年2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立。

國家互聯(lián)網(wǎng)信息辦公室副主任王秀軍認為，目前，網(wǎng)絡(luò)安全的一個重要方面是網(wǎng)絡(luò)與信息系統(tǒng)的安全。“震網(wǎng)”病毒使伊朗核設(shè)施受到大面積破壞，顯示出關(guān)鍵基礎(chǔ)設(shè)施已經(jīng)成為網(wǎng)絡(luò)武器的真實攻擊目標。而斯諾登事件表明，少數(shù)國家利用掌握的互聯(lián)網(wǎng)基礎(chǔ)資源和信息技術(shù)優(yōu)勢，大規(guī)模實施網(wǎng)絡(luò)監(jiān)控，大量竊取政治、經(jīng)濟、軍事秘密以及企業(yè)、個人敏感數(shù)據(jù)，有的還遠程控制他國重要網(wǎng)絡(luò)與信息系統(tǒng)。試想，在危急時刻，如果一個國家涉及國計民生的關(guān)鍵基礎(chǔ)設(shè)施被人為攻擊后癱瘓，甚至軍隊的指揮控制系統(tǒng)被人接管，那真是“國將不國”的局面。

如今，政府加強信息安全防護的意識不斷提升，維護信息安全的相關(guān)舉措不斷推出。5月16日，中央發(fā)布《關(guān)于進行信息類協(xié)議供貨強制節(jié)能產(chǎn)品補充招標的通知》，明確規(guī)定中央政府機關(guān)采購的所有計算機類產(chǎn)品不允許安裝Windows8 操作系統(tǒng)。5月22日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布通知，我國將實行網(wǎng)路安全審查制度，審查的重點在于軟件產(chǎn)品和服務(wù)的安全性和可控性。

中國軟件行業(yè)協(xié)會理事長趙小凡表示，國家安全有五個必要條件——政治、軍事、經(jīng)濟、文化和信息，而信息安全是支撐另外四個安全的必要因素。棱鏡門事件的爆發(fā)，更是令86%的大型企業(yè)在信息化建設(shè)時考慮“安全第一”。

當(dāng)下，大部分涉及國家安全、和政府部門有聯(lián)系的國有企業(yè)，都逐漸開始傾向選擇國內(nèi)品牌的服務(wù)器。一位大型企業(yè)信息系統(tǒng)負責(zé)人告訴記者，如今的政策導(dǎo)向下，企業(yè)在招標操作時，國產(chǎn)軟件在技術(shù)標可行的情況下，往往會被商務(wù)標優(yōu)先考慮。

不過，一個新的現(xiàn)象也隨之出現(xiàn)。一家國外IT系統(tǒng)供應(yīng)商更向記者坦言，為了入圍某些招標，國外公司開始在國內(nèi)尋找“馬甲”。

個人利益的影響有多深

今年1月26日，支付寶找回密碼功能存在系統(tǒng)漏洞被曝光。由于此前支付寶泄密事件導(dǎo)致的信息泄漏，不法分子以此尋找受害人信息，通過找回密碼來獲得用戶支付寶訪問權(quán)限，從而將支付寶的錢款轉(zhuǎn)走。

3月22日，烏云漏洞平臺發(fā)布消息稱，攜程網(wǎng)用戶支付信息出現(xiàn)漏洞，漏洞泄露的信息包括用戶的姓名、身份證號碼、銀行卡卡號、銀行卡CVV碼（即卡號、有效期和服務(wù)約束代碼生成的3位或4位數(shù)字）以及銀行卡6位Bin（用于支付的6位數(shù)字）等

據(jù)中國電子商務(wù)研究中心的監(jiān)測數(shù)據(jù)顯示，中國65.5%的網(wǎng)站存在安全漏洞，2013年中國網(wǎng)民在網(wǎng)上損失近1500億元。

“信息泄露是所有安全問題的源頭。”攜程技術(shù)管理安全中心高級總監(jiān)陳建對記者表示，信息安全不是獨立存在的，不同的行業(yè)不同的業(yè)務(wù)實際上是面向共同的用戶，因此無論是哪個互聯(lián)網(wǎng)企業(yè)出了問題，實際上用戶都不安全，因此，大家面臨著共同的信息安全問題。那么企業(yè)如何做信息安全？必須內(nèi)部加強安全投入，外部尋求安全合作。

經(jīng)過泄密門后，攜程對信息安全的態(tài)度更為謹慎。位于攜程總部，一個大型監(jiān)控室對于公司的整個業(yè)務(wù)和IT系統(tǒng)的穩(wěn)定性進行著監(jiān)控，其中一部分也為信息安全而設(shè)置。

在陳建看來，信息安全是典型的木桶原理，無論企業(yè)多么成功。只有安全一環(huán)出現(xiàn)問題，所有成績都會功虧一簣。騰訊雷霆行動負責(zé)人、騰訊互聯(lián)網(wǎng)犯罪研究中心秘書長朱勁松也向記者表示，如今互聯(lián)網(wǎng)正在連接一切。

“我們在極其便利地獲取資訊、獲取服務(wù)溝通交流的時候，也不能忽視連接一切帶來的風(fēng)險。因為今天這個風(fēng)險正在快速地膨脹，尤其是當(dāng)互聯(lián)網(wǎng)的技術(shù)被作為一種工具，與傳統(tǒng)的犯罪行為結(jié)合以后，就滋生出一條又一條黑色產(chǎn)業(yè)鏈。比如說網(wǎng)絡(luò)詐騙，網(wǎng)絡(luò)盜號，甚至通過木馬程序來控制用戶的終端，批量地獲取信息和財產(chǎn)，而在這背后是數(shù)以億計的產(chǎn)業(yè)規(guī)模和極其龐大的產(chǎn)業(yè)從業(yè)人員。”朱勁松說。

陳建也同意這一觀點，“互聯(lián)網(wǎng)應(yīng)用越多越發(fā)展，信息被復(fù)制多份，泄露概率增加，以牟利為目的的黑色、灰色產(chǎn)業(yè)鏈越來越發(fā)達，這在近年來尤為明顯，用戶安全負擔(dān)越來越嚴重。”

我們的機會有多少

天璣科技解決方案中心首席技術(shù)顧問滕長春坦言，“我們的服務(wù)模式不同于IBM的標準化產(chǎn)品模式，必須根據(jù)用戶的業(yè)務(wù)需求來定制和調(diào)試出合適的產(chǎn)品。”

滕長春所說也正是國產(chǎn)軟件的優(yōu)勢所在。用中國軟件行業(yè)協(xié)會財務(wù)及企業(yè)管理軟件分會秘書長曹開彬的話來說，這也正是本土軟件行業(yè)的優(yōu)勢，一是更理解本地客戶的需求，可以對這些需求做出有針對性的功能；二是和新技術(shù)的結(jié)合比較緊密，能很好地滿足企業(yè)對移動、電子商務(wù)、社交網(wǎng)絡(luò)等新技術(shù)、新模式的需求。而更重要的是，國產(chǎn)化軟件更加安全可靠。就在中國軟件行業(yè)協(xié)會財務(wù)及企業(yè)管理軟件分會最近進行的《大型企業(yè)信息系統(tǒng)的國產(chǎn)化路徑》調(diào)研中，安全、技術(shù)與成本已經(jīng)成為大型企業(yè)當(dāng)前信息化的最大挑戰(zhàn)，也是他們愿意考慮選擇國產(chǎn)軟件的最重要的原因。

這份針對127家大型企業(yè)CIO、信息化負責(zé)人以及高管的調(diào)研中，41% 的大型企業(yè)信息化負責(zé)人認為，安全是當(dāng)前信息化最大挑戰(zhàn)，排在所有挑戰(zhàn)的首位。而86%的大型企業(yè)負責(zé)人在信息化建設(shè)時會考慮到安全問題，尤其是棱鏡門事件后。而信息系統(tǒng)建設(shè)的國產(chǎn)化是應(yīng)對這些問題的有效手段。

研究小組預(yù)計，未來三年，在大型企業(yè)的信息化建設(shè)中，國產(chǎn)軟件和解決方案將會成為企業(yè)信息化的應(yīng)用重點和投資熱點。但調(diào)查結(jié)果顯示，高達90% 的大型企業(yè)信息化負責(zé)人希望業(yè)界能夠提供信息系統(tǒng)國產(chǎn)化的應(yīng)用路徑和成熟方法。

這對軟件企業(yè)來說是一個特別的機會。東軟集團戰(zhàn)略咨詢部總經(jīng)理梅叢銀坦言，以往東軟等軟件企業(yè)更多是充當(dāng)IOE的銷售渠道，賣的多折扣多，沒有議價權(quán)。而斯諾登事件之后，政府和央企對信息安全的敏感度更高，這是一個機會。

而富士通（中國）信息系統(tǒng)有限公司副總裁黃邦瑜在接受記者采訪時也坦言，國內(nèi)去IOE進程提速勢必會對國外ICT企業(yè)產(chǎn)生影響。從日本的經(jīng)驗來看，ICT產(chǎn)業(yè)中，一旦國內(nèi)的廠商成熟起來，必將會起到主導(dǎo)的作用。“因為IT的本質(zhì)是服務(wù)，在這方面，本土企業(yè)更貼近本土需求，更有優(yōu)勢。”而通過富士通的經(jīng)驗來看，黃邦瑜告訴記者，相對硬件產(chǎn)品來說，軟件和服務(wù)的利潤空間更大。因此ICT廠商轉(zhuǎn)變?yōu)榻鉀Q方案提供商是大勢所趨，先行者的利潤空間也更加有保障。

事實上，改變也正在發(fā)生。《大型企業(yè)信息系統(tǒng)的國產(chǎn)化路徑》調(diào)研數(shù)據(jù)顯示，實際應(yīng)用中，83%的企業(yè)已經(jīng)應(yīng)用國產(chǎn)軟件產(chǎn)品或解決方案。

在硬件如服務(wù)器領(lǐng)域，國產(chǎn)設(shè)備正在快速搶占國際品牌的市場份額，替代加速進行中。瑞銀證券軟件服務(wù)業(yè)分析師周中提出，根據(jù)CCID的數(shù)據(jù)，2013年DELL、HP和IBM三家占市場銷量的份額從2012年的65%下滑至52%。與之對應(yīng)的是本土廠商的銷量增長迅速，其中浪潮銷量同比增長85%，銷量超越IBM。

“去IOE”的路途有多長

“去IOE，國家喊了那么長時間，為什么民營企業(yè)最積極，政府和大型金融機構(gòu)反而動作相對緩慢呢？”一位業(yè)內(nèi)人士向記者表示，為了去IOE而去IOE，并非問題癥結(jié)所在

一談到信息安全，大家首先想到的就是去IOE。但是業(yè)內(nèi)認為，為了去IOE而去IOE，并非問題癥結(jié)所在。這個觀點頗有意思，他們想表達什么呢？

業(yè)內(nèi)人士對記者表示，目前，在政府和大型金融機構(gòu)，真正去IOE的工作，從態(tài)度落實到行動并不容易，向“云”轉(zhuǎn)變的步伐也并沒有那么堅決。一位不愿具名的國產(chǎn)IT公司高層在接受記者采訪時坦言，在推銷政府和金融機構(gòu)客戶時大有難度。據(jù)他分析，原因可能來自于用戶決策層免責(zé)的心態(tài)、使用的習(xí)慣等多方面。

該人士稱，雖然國家對于國企和事業(yè)單位去IOE的呼聲最高，但事實上，結(jié)果是民營企業(yè)成為最積極的一個群體。為什么呢？原來，民營企業(yè)思考問題的思路除了安全，更多是性價比。

以IBM為例，除了高昂的產(chǎn)品價格外，企業(yè)往往還需要交付20%左右的服務(wù)費。這是很多企業(yè)不愿負擔(dān)的部分，但政府的IT部門可能為了免責(zé)而接受這一條款。“原因很簡單，一旦系統(tǒng)出現(xiàn)問題，直接叫IBM的工程師過來就可以了，完全不會有自己的責(zé)任。”上述人士說。

瑞銀證券軟件服務(wù)業(yè)分析師周中指出，在高端服務(wù)器市場，IBM 依然占據(jù)了統(tǒng)治地位，例如銀行、電信等。中國的銀行業(yè)想要去 IBM 化非常困難，一方面是因為國內(nèi)廠商的可替代產(chǎn)品目前還比較少；另一方面，銀行IT系統(tǒng)黏性非常大，更換核心系統(tǒng)，實現(xiàn)數(shù)據(jù)遷移可能是一個非常漫長的過程。