國家發(fā)改委工信部科技部等八個部門發(fā)布《關于促進智慧城市健康發(fā)展的指導意見》,以較大篇幅談到“著力加強網(wǎng)絡信息安全管理和能力建設”。
當信息數(shù)據(jù)成為城市的“基礎設施”之一,如同水電交通一樣成為工作生活的重要依賴,只有至少達到當前水電氣這樣的安全標準,智慧城市才可能健康運行。
隨著“互聯(lián)網(wǎng)+”首次被寫進政府工作報告,網(wǎng)絡安全也相應受到越來越多的關注。
日前,國家發(fā)改委發(fā)布國家信息安全專項及下一代互聯(lián)網(wǎng)技術研發(fā)、產(chǎn)業(yè)化和規(guī)模商用專項項目清單。
發(fā)改委組織此次國家信息安全專項,是落實國務院此前發(fā)布《關于大力推進信息化發(fā)展和切實保障信息安全的若干意見》的一項重要部署,專項瞄準了金融、云計算與大數(shù)據(jù)、信息系統(tǒng)保密管理、工業(yè)控制等領域面臨的信息安全實際需要。
我國信息安全領域目前出現(xiàn)了哪些變化?對于可能出現(xiàn)的危險,如何未雨綢繆,盡最大可能消除潛在隱患?
專家認為,當前有三個方面的問題需要應對:一是新技術的挑戰(zhàn),二是企業(yè)和單位的安全工作機制上的“錯位”,三是產(chǎn)業(yè)界過度低價競爭會削弱產(chǎn)業(yè)技術實力。
技術:新變化挑戰(zhàn)信息安全
在信息安全專家、中國計算機學會常務理事潘柱廷看來,目前信息安全領域主要面臨新技術、新威脅、合規(guī)與效益兼顧這三方面的變化。
第一種變化是新技術出現(xiàn)帶來的挑戰(zhàn)。潘柱廷說:“這些新興技術和新興的IT模式,給用戶帶來很多方便的同時,也帶來了很多安全方面的需求。圍著云計算、互聯(lián)網(wǎng)大數(shù)據(jù)、穿戴式設備、人工智能技術,都有很多新安全。在這些新的技術推動下,安全產(chǎn)業(yè)一定會帶上一個新臺階。”
第二種變化是新威脅。比如說斯諾登事件,以及前一段時間關于硬盤后門的安全事件。新的威脅不斷以各種形式顯現(xiàn)出來。
除了個人用戶和中小企業(yè)所關心的日常經(jīng)濟生活安全之外,未來信息安全的制高點將是電信、電力、金融、財稅、海關、公共安全以及政務方面的安全需求。與這些行業(yè)相關的信息安全等級保護、分級保護、測評認證制度等一系列合規(guī)性要求將會被強力落實。“隨著這些行業(yè)進一步提升安全防護能力,在信息安全方面投入更多的資金,信息安全市場的高速有序增長也將水到渠成。”
第三種變化就是安全防御措施本身的一個演化。“這里面我覺得就是可能會來自于我們安全防御體系的一個需求,需求的天平從合規(guī)性需求向效果性需求傾斜。” 潘柱廷說。比如銀行或者電力系統(tǒng)可以通過做行業(yè)級的模擬實戰(zhàn)演練,來檢驗真實的對抗和防御能力。這就會使得整個產(chǎn)業(yè)結(jié)構出現(xiàn)一個自然的變化,就是更重視服務,更重視人。
“從整個保障思路的實現(xiàn)從合規(guī)向合規(guī)與效果兼顧的方式轉(zhuǎn)化,應該會給整個產(chǎn)業(yè)帶來一些更好的可喜的變化。從合規(guī)性驅(qū)動所能夠挖掘的需求盤子(市場容量),其增長還只是一種常規(guī)性的增長,難以跟上整個IT產(chǎn)業(yè)的迅猛發(fā)展;只有真正把攻防性需求挖掘出來才行。”潘柱廷說。
機制:安全錯位問題亟待解決
在今年兩會期間,全國政協(xié)委員、啟明星辰集團CEO嚴望佳遞交了三個涉及網(wǎng)絡安全的提案,其中一份就是建議“在關鍵基礎設施、敏感部門、政府機構等推行首席信息安全官制度”。
潘柱廷認為,建立和推行首席信息安全官制度,就是要企業(yè)明確一位高層管理者作為其信息安全的第一責任人。只有有了明確的責任人,才可能將工作落到實處。強化企業(yè)和相關機構的信息安全,落實信息安全責任,“這也是解決安全錯位問題的一種有效“糾錯”機制。”
潘柱廷坦言,在安全工作上有很多錯位存在。在企業(yè)和機構中,安全需求的提出者、采購的決策者、實際的使用者、防御不當?shù)膿p失承擔著并不是同一的主體,是錯位的??赡軟]有做好安全工作的機構與實際遭受損失的機構常常不是同一個主體。很典型的案例就是垃圾郵件、垃圾短信。其最合適的、能夠處理垃圾郵件短信的機構是電信運營商,而承擔傷害的是普通的電信客戶。
潘柱廷告訴科技日報記者,首席信息安全官就是一個真正有權力并且專門對信息安全負責的人,這將是改變原先需求格局的一個出發(fā)點。是從用戶的視角來考慮信息安全產(chǎn)業(yè)問題。
現(xiàn)在,僅僅依靠合規(guī)推動安全所帶來的隱患已經(jīng)受到有識之士的注意。在潘柱廷看來,倘若把合規(guī)作為安全工作的上限來考慮,那么大家就沒有動力去考慮實際的對抗效果。在整個需求的驅(qū)動里面,從合規(guī)性需求向效果性需求驅(qū)動,就需要一個合適的契機和一個著手點來落實。
那誰去承擔這個位置呢?潘柱廷認為,應該由首席信息安全官將組織結(jié)構的責任分配進行調(diào)整,彌補組織結(jié)構和IT價值結(jié)構的錯位關系。就是說,因為賦予首席信息安全官的權力和責任,所以可以代表法人的利益,行使職責的再分配和調(diào)和。通過權力體系和考核、合規(guī)等多樣機制的落實,形成一個更良性的責任體系。
產(chǎn)業(yè):“別把桌子掀了”
提到信息安全,網(wǎng)御星云副總裁畢學堯博士有一種深深的擔憂。“其實,電子政務云計算的安全問題比想象中要突出。一個是應用集中威脅,第二個是建云的這些廠商,這樣的云供應商能獲取政府的數(shù)據(jù),然后集中分析,這個說起來信息安全問題就很大了,這是一種隱形的權力賦予??赡墁F(xiàn)在用戶對此還不敏感,或者沒有明確意識。云計算供應商實際掌握著大量關鍵數(shù)據(jù),如果被非法提取并分析,那將不得了。”這類安全問題,不能完全由經(jīng)濟效益所評價。
12306撞庫攻擊事件、索尼影音公司遭遇的入侵和破壞事件等公眾性網(wǎng)絡安全事件,無不警示著網(wǎng)絡安全的嚴峻形勢。
目前,在信息安全方面,尤其是個人信息安全方面,免費模式似乎已經(jīng)成為熱議的話題。
在潘柱廷看來,一個免費模式在局部的圈子對于個人用戶而言可能是好事。但是如果從行業(yè)的整體研發(fā)方面來說,“從業(yè)人員減少,科研能力在下降,相關的人才向其他領域出逃,那免費所帶來的表面的局部利益到底是好是壞,就值得商榷了。” 潘柱廷說。任何一個產(chǎn)業(yè)格局或者是規(guī)則的變化,應該以能夠為這個產(chǎn)業(yè)本身增值作為基本立足點,而不是把這個產(chǎn)業(yè)的本身的利潤轉(zhuǎn)移至其他領域。畢竟是一個產(chǎn)業(yè)的存在不僅僅有經(jīng)濟價值,還有其他價值存在。
這個產(chǎn)業(yè)本身所承載的非產(chǎn)業(yè)經(jīng)濟責任,戰(zhàn)略價值實際上不能被忽視。“并不是所有的事情都要用純市場規(guī)律來解決,尤其是信息安全。而目前,信息安全的戰(zhàn)略價值遠遠被忽略。”
“從我的研究、包括廠商之間的研討來說,如果通過免費和低價競爭的模式把企業(yè)級包括關聯(lián)基礎設施的正常市場利潤打掉,這樣的循環(huán)是有問題的,這樣會導致整個用戶對安全的投入要減少,而其他領域的補貼又很難貼到這個產(chǎn)業(yè)里來,那如果造成整個產(chǎn)業(yè)的技術人員下降,那最后的結(jié)果是整個產(chǎn)業(yè)的能力下降,并且所剩無幾的能力集中在個別幾個廠商手上。這對國家網(wǎng)絡安全是極端危險的一種格局,進而對普通客戶也會因壟斷而帶來衍生危害。”
作為安全來說,它需要能力的總量提升,另外它需要一定的分散能力和風險。信息安全產(chǎn)業(yè)要藏利于民,就是讓民間或者是企業(yè)界具有這方面的能力,真正到特殊需要的時候,就可通過動員機制來聚集。
“我們希望在桌子上跟大家搶著來發(fā)展,但是別把桌子掀了。 隨著產(chǎn)業(yè)格局的發(fā)展,廠商之間開始沉下心來、慢慢敞開胸懷去合作,同時也都在尋求穩(wěn)定中的變革創(chuàng)新。相信我國信息安全產(chǎn)業(yè)將大有作為” 潘柱廷說。