前不久,“想哭”(WannaCry)蠕蟲式勒索病毒在全球范圍內(nèi)大面積爆發(fā)。病毒蔓延范圍之廣,受害程度之深,令人嘆為觀止。當(dāng)時(shí),不少信息安全公司迎來了最繁忙的一段時(shí)間,甚至有人預(yù)言,這場(chǎng)風(fēng)波將把信息安全產(chǎn)業(yè)送上風(fēng)口。隨著勒索病毒漸行漸遠(yuǎn),信息安全市場(chǎng)也歸于平靜。“想哭”并沒讓信息安全產(chǎn)業(yè)笑得太久。信息安全產(chǎn)業(yè),何時(shí)迎來真正的風(fēng)口?
一個(gè)意外的結(jié)局
“想哭”來了,信息安全企業(yè)卻沒“笑”多久
6月初,走進(jìn)位于成都高新區(qū)的成都中科慧創(chuàng)公司,幾名公司員工做著手頭的工作,有條不紊。讓人想象不出,20天前這里的一片“兵荒馬亂”。
勒索病毒爆發(fā)后的三天,中科慧創(chuàng)公司迎來了創(chuàng)業(yè)10多年來最繁忙的一段時(shí)間,墻上的三個(gè)大屏幕,隨時(shí)監(jiān)控著可能出現(xiàn)的網(wǎng)絡(luò)病毒。電話成了熱線,登門求助的企業(yè)也是紛至沓來,來咨詢的單位企業(yè)有近60家。
中科慧創(chuàng)成立于2003年,是國內(nèi)最早從事主動(dòng)防御系統(tǒng)產(chǎn)品研發(fā)、生產(chǎn)的企業(yè)之一。在總經(jīng)理趙象元印象中,之前都是他們?nèi)フ铱蛻?,而這次完全不同,客戶洶涌而來。“都不曉得是從哪冒出來的,呼啦啦一大片。”為了幫助客戶盡快應(yīng)對(duì),公司一半以上的人都被派出去上門服務(wù)。
記者調(diào)查發(fā)現(xiàn),省內(nèi)多家信息安全企業(yè)在今年5月都生意爆棚,在信息安全等級(jí)保護(hù)高級(jí)測(cè)評(píng)師袁源印象中,這種情況比較少見。
國家互聯(lián)網(wǎng)應(yīng)急中心數(shù)據(jù)顯示,病毒爆發(fā)近一周時(shí)間,位于我國境內(nèi)的IP被攻擊的接近12.5萬個(gè)。不少信息安全企業(yè)透露,因未及時(shí)關(guān)閉445端口,系統(tǒng)補(bǔ)丁沒及時(shí)跟進(jìn),日常防護(hù)沒有到位,川內(nèi)仍有少部分機(jī)構(gòu)受到病毒入侵,特別是一些單位的局域網(wǎng)。
很多業(yè)內(nèi)人士都以為,這樣的態(tài)勢(shì)會(huì)帶來持續(xù)不斷的業(yè)務(wù),但出乎意料的是,事態(tài)慢慢平靜后,咨詢量減少了三分之二。趙象元表示,總體來看,客戶量和主營收入并沒有明顯提高。
“勒索病毒為全社會(huì)提了一個(gè)醒,對(duì)信息安全產(chǎn)業(yè)也是一個(gè)機(jī)會(huì),但短期帶動(dòng)效應(yīng)尚不明顯。”四川省信息安全產(chǎn)業(yè)技術(shù)創(chuàng)新聯(lián)盟副秘書長黃曉明表示,一些單位企業(yè)也是事情過了就完了,并沒有認(rèn)識(shí)到信息安全是長期的事情,“好了傷疤忘了痛。”
一個(gè)奇怪的現(xiàn)象
有錢買“棺材”,不愿花錢打預(yù)防針
5月16日,四川某市窗口單位遭了“勒索病毒”,共有5臺(tái)用作視頻監(jiān)控的電腦受到病毒入侵,所幸業(yè)務(wù)系統(tǒng)及時(shí)隔離封閉,病毒在當(dāng)天晚上被處理。“只有一個(gè)人在負(fù)責(zé)網(wǎng)絡(luò)安全,當(dāng)時(shí)正在對(duì)100多臺(tái)電腦打補(bǔ)丁,剛完成60多臺(tái)就遭了。”該單位一名負(fù)責(zé)人私下向記者透露。
這家窗口單位掌握著數(shù)以百萬計(jì)的人員資料以及重要文件,一旦信息被盜取,危害難以計(jì)量。這家單位在信息安全的投入上嚴(yán)重不足,人員只有一個(gè)。更缺經(jīng)費(fèi),“沒有設(shè)專門的信息安全經(jīng)費(fèi)。”該負(fù)責(zé)人說。
這并非個(gè)案。遭過才知道痛、別人遭和我沒關(guān)系、增加成本不見效益……這是受訪信息安全企業(yè)最常提及的川內(nèi)部分政府機(jī)構(gòu)、企事業(yè)單位對(duì)信息安全風(fēng)險(xiǎn)的普遍態(tài)度。
“有錢買棺材,無錢打預(yù)防針。”無聲信息市場(chǎng)專員王海表示,“有些單位可能兩三年系統(tǒng)不打補(bǔ)丁,甚至用山寨操作系統(tǒng)。”
2017年四川省級(jí)部門預(yù)算公開信息顯示,省級(jí)部門沒有單獨(dú)設(shè)立信息安全預(yù)算,只在本級(jí)一般公共預(yù)算支出中或下屬單位的預(yù)算中,設(shè)有信息化建設(shè)及運(yùn)行維護(hù)費(fèi)或辦公自動(dòng)化建設(shè)及維修維護(hù)等,交通、公安、財(cái)政等部門的金額較大,可達(dá)千萬級(jí),而有的部門經(jīng)費(fèi)僅數(shù)萬元。
金融行業(yè)算是信息安全上投入較大的了,在信息化建設(shè)及運(yùn)行維護(hù)費(fèi)中的占比一般不低于6%。一些企業(yè)甚至連1%的比例都難以達(dá)到。而美國等信息安全產(chǎn)業(yè)比較發(fā)達(dá)的國家,這一比例高達(dá)20%至30%。
一片浩大的藍(lán)海
列入四川五大高端成長型產(chǎn)業(yè),規(guī)模將超千億元
四川信息安全產(chǎn)業(yè)究竟有多大規(guī)模?省經(jīng)濟(jì)和信息化委員會(huì)給出的數(shù)據(jù):2016年,全省信息安全產(chǎn)業(yè)產(chǎn)值超過290億元,同比增長31.8%,產(chǎn)業(yè)規(guī)模占全國五分之一,總量居全國第二,從事信息安全的企業(yè)280多家。
從市場(chǎng)規(guī)模來看,我國信息安全行業(yè)市場(chǎng)規(guī)模僅為美國的1/10。公開數(shù)據(jù)顯示,2016年中國的信息安全投入不足全球的4.3%,占IT業(yè)整體投資比重僅為1%至2%之間,遠(yuǎn)不如發(fā)達(dá)國家的8%至12%以上。因此,中國市場(chǎng)仍具有很大的發(fā)展空間。
從業(yè)務(wù)范圍來看,僅等級(jí)保護(hù)測(cè)評(píng)這項(xiàng)基礎(chǔ)保護(hù)體系,就有大量企業(yè)和機(jī)構(gòu)尚未參與。
等級(jí)保護(hù)制度是我國網(wǎng)絡(luò)空間安全基本制度,是一個(gè)基線。“理論上講,黨政部門、國有大中型企業(yè)的信息系統(tǒng)都應(yīng)該通過等級(jí)測(cè)評(píng)。”四川大學(xué)網(wǎng)絡(luò)空間安全學(xué)院周安民教授說,很多單位認(rèn)為,做測(cè)評(píng)只是個(gè)形式,就像體檢一樣,并非所有人每年都會(huì)堅(jiān)持去做,但它能發(fā)現(xiàn)和解決信息系統(tǒng)的符合性和合規(guī)性。
四川2016年通過測(cè)評(píng)的政府機(jī)關(guān)、企事業(yè)單位只有230家,不到總數(shù)的一個(gè)零頭。
“參與等級(jí)保護(hù)測(cè)評(píng)單位較少,即便有上級(jí)主管部門要求。”成都久信測(cè)評(píng)中心主任朱光劍說,從2011年開始到去年底,該機(jī)構(gòu)累積測(cè)評(píng)了約100家單位,其中90%左右是政府機(jī)關(guān)、事業(yè)單位。“一次測(cè)評(píng)根據(jù)等級(jí)不同,最多5萬元或12萬元,但很多單位機(jī)構(gòu)沒有測(cè),或測(cè)一次,沒有上級(jí)要求就不再來了。”朱光劍說,來的企業(yè)更是少得可憐。
根據(jù)省工商局提供的數(shù)據(jù),截至今年3月底,全省實(shí)有各類企業(yè)109.9萬戶。換言之,只要這100多萬企業(yè),加上約6.5萬機(jī)關(guān)事業(yè)單位,每家每年投入十萬元在信息安全上,包括定期體檢和預(yù)防,僅此一項(xiàng),市場(chǎng)規(guī)模就超過千億。
今年6月1日起施行的《中華人民共和國網(wǎng)絡(luò)安全法》,明確國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,對(duì)關(guān)鍵基礎(chǔ)設(shè)施如能源、金融、交通等在等級(jí)保護(hù)制度基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)。
或許正是因?yàn)榇?,信息安全產(chǎn)業(yè)被列為四川省五大高端成長型產(chǎn)業(yè)之一,2020年產(chǎn)值要達(dá)到1100億元。“未來幾年,四川信息安全產(chǎn)業(yè)仍將高速增長。”周安民斷言。
一段艱難的轉(zhuǎn)型
產(chǎn)業(yè)要健康發(fā)展,需要轉(zhuǎn)變觀念,更需要長久規(guī)劃
“這次病毒爆發(fā)對(duì)信息安全意識(shí)是一次普及。網(wǎng)絡(luò)安全法的實(shí)施,把信息安全上升到法律層面,信息安全做不好是違法的。長期來看,隨著法律的貫徹深入,單位認(rèn)識(shí)到信息安全的重要性,投入逐步增加,將會(huì)對(duì)產(chǎn)業(yè)有一個(gè)推動(dòng)。”黃曉明說。
業(yè)內(nèi)人士認(rèn)為,網(wǎng)絡(luò)安全法施行后,更多的政策制度與之適應(yīng),可從法制層面有力推動(dòng)信息安全產(chǎn)業(yè)。
同時(shí)要轉(zhuǎn)變意識(shí)。危機(jī)過去了,但病毒威脅仍在。信息安全公司預(yù)警,勒索病毒搭載的攻擊工具“永恒之藍(lán)”是武器級(jí)別的產(chǎn)品,“永恒之藍(lán)”可搭載不同類型的惡意程序,下次可能是其他遠(yuǎn)程木馬等惡意程序,“更多的潛在風(fēng)險(xiǎn)在未來。”
周安民教授表示,安全的重視程度多是由大小安全事件推動(dòng),大多數(shù)系統(tǒng)安全還是處于被動(dòng)防御狀態(tài),“僥幸”認(rèn)為是“安全”的,而今后,更應(yīng)當(dāng)主動(dòng)出擊。
安全意識(shí)永固心間,固定投入,定期等級(jí)保護(hù)測(cè)評(píng)之外,袁源認(rèn)為,還需要長期的信息安全規(guī)劃。
業(yè)內(nèi)普遍認(rèn)為,信息安全“三分靠技術(shù),七分靠管理”。首先,查現(xiàn)狀,確定隱患;其次,了解需求,制定安全綱領(lǐng)、體系框架,“防火墻、殺毒軟件這只是管理的一部分,信息安全記錄、系統(tǒng)日志、人員職責(zé),未來每年需要新增提升內(nèi)容都在管理當(dāng)中。”
傳統(tǒng)信息安全產(chǎn)業(yè)已經(jīng)從傳統(tǒng)信息安全邁向了與安全相關(guān)的信息網(wǎng)絡(luò)、信息系統(tǒng)及信息內(nèi)容安全等領(lǐng)域。“因此想產(chǎn)業(yè)‘笑出來’,信息安全產(chǎn)業(yè)也應(yīng)該在技術(shù)上實(shí)時(shí)跟進(jìn),借助現(xiàn)有較為完善的產(chǎn)業(yè)鏈,抱團(tuán)形成合力。”黃曉明認(rèn)為,有了更多的市場(chǎng)需求,自身能力達(dá)到更高水平,全民的安全意識(shí)不斷提升,安全法制不斷健全,企業(yè)才能夠做大做優(yōu)做強(qiáng),信息安全產(chǎn)業(yè)也將有更大的發(fā)展空間。