信息安全市場(chǎng)的春天來(lái)了嗎？

（中國(guó)計(jì)算機(jī)報(bào)三月電 記者 程彥博）隨著中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的成立，越來(lái)越多的企業(yè)和個(gè)人開(kāi)始重視信息安全，信息安全市場(chǎng)也越來(lái)越活躍。那么，近年來(lái)信息安全市場(chǎng)呈現(xiàn)出哪些新的變化？無(wú)論是國(guó)家層面、企業(yè)層面還是個(gè)人層面，信息安全市場(chǎng)的春天真的來(lái)了嗎？

?
重中之重

今年中央電視臺(tái)“3?15”晚會(huì)提到了免費(fèi)WiFi的安全風(fēng)險(xiǎn)，讓很多人驚呼：不敢再連接公共場(chǎng)所的WiFi了。

?

記者認(rèn)為，這件事至少有兩點(diǎn)值得關(guān)注。一是信息安全問(wèn)題已經(jīng)無(wú)處不在，牽涉到每一個(gè)人，那些看不見(jiàn)摸不著的安全威脅潛藏在每一個(gè)人身邊。二是大多數(shù)人的信息安全意識(shí)和安全常識(shí)較為缺乏，需要不斷地培育。

?

如果把目光轉(zhuǎn)向企業(yè)，我們會(huì)發(fā)現(xiàn)存在同樣的問(wèn)題。更加讓人擔(dān)憂的是，企業(yè)是社會(huì)的重要組成部分，如果遭到網(wǎng)絡(luò)攻擊，其損失和產(chǎn)生的后果遠(yuǎn)遠(yuǎn)超過(guò)個(gè)人。更為重要的是，企業(yè)與個(gè)人的區(qū)別在于，企業(yè)在信息安全方面的決策者、使用者和后果承擔(dān)者往往是不同的部門和角色，這就讓企業(yè)落實(shí)信息安全更加困難。

“這就是我常說(shuō)的信息安全工作的錯(cuò)位問(wèn)題。”啟明星辰首席戰(zhàn)略官潘柱廷表示，由于企業(yè)中這種責(zé)權(quán)不合一的情況普遍存在，往往導(dǎo)致企業(yè)中的信息安全工作無(wú)法落到實(shí)處，存在諸多的安全隱患。

潘柱廷告訴記者，在今年的全國(guó)“兩會(huì)”上，全國(guó)政協(xié)委員、啟明星辰首席執(zhí)行官嚴(yán)望佳遞交了三份涉及網(wǎng)絡(luò)安全的提案，其中一份就是建議“在關(guān)鍵基礎(chǔ)設(shè)施、敏感部門、政府機(jī)構(gòu)等推行首席信息安全官制度”。這一提案正是出于強(qiáng)化企業(yè)和相關(guān)機(jī)構(gòu)的信息安全，落實(shí)信息安全責(zé)任的想法提出的。

潘柱廷認(rèn)為，建立和推行首席信息安全官制度，就是要企業(yè)明確以為高層管理人員作為其信息安全的第一責(zé)任人，明確的責(zé)任人，才能將工作落到實(shí)處。當(dāng)然，作為首席信息安全官，應(yīng)該在企業(yè)中具備更大的權(quán)力，擁有更多的資源，從而可以全面推動(dòng)企業(yè)的信息安全建設(shè)，徹底改變信息安全部門在企業(yè)中的弱勢(shì)地位，達(dá)成平衡，形成“一體之兩翼 驅(qū)動(dòng)之雙輪”。

?

供應(yīng)鏈透明

伴隨著近年來(lái)國(guó)家對(duì)信息安全的日益重視，另一個(gè)概念受到熱捧，那就是自主可控。事實(shí)上，信息安全和自主可控是兩個(gè)概念，二者有交叉，但又不完全重合。但是不可否認(rèn)的是，自主可控對(duì)于促進(jìn)國(guó)內(nèi)廠商的發(fā)展具有重要的作用。

然而，隨之而來(lái)的問(wèn)題是，一方面是很多核心技術(shù)并不掌握在自己手中的殘酷現(xiàn)實(shí)，另一方面又是自主可控的迫切需求，特別是對(duì)自主可控更加敏感的信息安全市場(chǎng)，應(yīng)該何去何從？我們是否具備推出完全國(guó)產(chǎn)化的安全產(chǎn)品的能力？安全在市場(chǎng)中普遍存在上述矛盾的情況下，如何引導(dǎo)信息安全產(chǎn)業(yè)發(fā)展？

其實(shí)，在信息安全產(chǎn)業(yè)高度專業(yè)化和細(xì)分的今天，很多安全廠商可以憑借某一項(xiàng)技術(shù)和特長(zhǎng)，獲得市場(chǎng)的垂青。放眼海外，諸如FireEye、Bit9等新興安全廠商都是憑借某些一技之長(zhǎng)獲得高速成長(zhǎng)。然而，對(duì)于用戶而言，信息安全應(yīng)該是一個(gè)完整的解決方案，即便是某一些安全產(chǎn)品，其中也包含了多種安全技術(shù)，包含了多個(gè)廠商的技術(shù)。

“比如一個(gè)安全網(wǎng)關(guān)類產(chǎn)品，里邊用了其他廠商的防病毒模塊，是很正常的事情。作為術(shù)業(yè)有專攻的安全廠商，不可能自己研發(fā)一個(gè)產(chǎn)品中所有的安全技術(shù)，就算是國(guó)際上頂尖的安全廠商也不可能。”潘柱廷說(shuō)。

然而，面對(duì)這樣的現(xiàn)實(shí)情況，企業(yè)又該如何滿足自主可控的需求呢？很多國(guó)產(chǎn)廠商采用了國(guó)外的核心技術(shù)或功能模塊，那它的產(chǎn)品還算不算自主可控呢？

所以，嚴(yán)望佳還提出了“在關(guān)鍵基礎(chǔ)設(shè)施、敏感部門、政府機(jī)構(gòu)中落實(shí)透明供應(yīng)鏈登記工作”的提案。潘柱廷解釋說(shuō)，這個(gè)提案完全是從產(chǎn)業(yè)發(fā)展的角度去考慮的，如果能夠?qū)崿F(xiàn)透明的供應(yīng)鏈登記工作，將對(duì)信息安全產(chǎn)業(yè)的發(fā)展產(chǎn)生積極的影響。

其實(shí)，透明的供應(yīng)鏈登記是解決自主可控和核心技術(shù)不能自己掌握之間矛盾的務(wù)實(shí)方式之一。“我們應(yīng)該允許采用國(guó)外的核心技術(shù)，但是在哪里采用，采用的什么程度，應(yīng)該有透明、明確的登記制度，這樣既能滿足我們對(duì)自主可控和信息安全的基本需求，又可以杜絕為了單純追求自主可控，把別人的技術(shù)說(shuō)成自己的情況發(fā)生。”潘柱廷說(shuō)。

對(duì)于開(kāi)源模塊方面的透明化也應(yīng)該有所要求，潘柱廷補(bǔ)充說(shuō)：“開(kāi)源模塊作為非常重要的高危地區(qū)也應(yīng)該做到透明，避免如心臟滴血漏洞爆發(fā)后，由于用戶不知自己使用到openssl，沒(méi)有及時(shí)處置，從而導(dǎo)致在幾個(gè)月后竟然還能造成大規(guī)模危機(jī)。”

同時(shí)，在潘柱廷看來(lái)，如果信息安全產(chǎn)業(yè)的供應(yīng)鏈趨于透明，應(yīng)當(dāng)會(huì)促進(jìn)國(guó)內(nèi)安全廠商的發(fā)展和合作，特別是那些處于供應(yīng)鏈上游，隱藏于幕后的安全核心技術(shù)廠商，讓他們被更多人知道，促進(jìn)他們的發(fā)展。

?

春天的氣息

不可否認(rèn)的是，如今的信息安全產(chǎn)業(yè)正在快速的變化、發(fā)展。自主可控是外力之一，但并不是全部。

?

潘柱廷向記者透露，啟明星辰和國(guó)內(nèi)一些主要的安全廠商最近開(kāi)始更加頻繁、密切地溝通，似乎形成了一個(gè)較為松散的“聯(lián)盟”，而這種安全廠商之間的良性交流與協(xié)作，是如今安全市場(chǎng)上的一個(gè)新變化。

和國(guó)外安全廠商之間的廣泛協(xié)作相比，國(guó)內(nèi)廠商之間的協(xié)作并不多見(jiàn)。而信息安全這個(gè)產(chǎn)業(yè)要求廠商既要具備在某一領(lǐng)域的專業(yè)技術(shù)和能力，又要具備整合各種技術(shù)為用戶提供全面安全產(chǎn)品的能力，所以，合作不可避免。

潘柱廷直言，廠商之間溝通與合作的增多，對(duì)于整個(gè)安全產(chǎn)業(yè)肯定是好事。這種變化一方面可能源自國(guó)內(nèi)安全市場(chǎng)日趨成熟，另一方面也源自互聯(lián)網(wǎng)公司等外來(lái)者的沖擊。“我們其實(shí)歡迎更多的廠商參與到信息安全市場(chǎng)中，促進(jìn)信息安全市場(chǎng)的發(fā)展，但是我們希望這個(gè)市場(chǎng)能夠保持穩(wěn)定和持續(xù)增長(zhǎng)。”潘柱廷說(shuō)。

?

潘柱廷也向記者透露，如今國(guó)內(nèi)安全廠商也在探索著走向海外市場(chǎng)，也是因?yàn)閲?guó)內(nèi)安全市場(chǎng)的蛋糕還是不夠大。“只有企業(yè)真正把目前的合規(guī)性需求轉(zhuǎn)變?yōu)橐詫?shí)際效果為導(dǎo)向的需求，信息安全市場(chǎng)才能產(chǎn)生質(zhì)的飛躍。”潘柱廷說(shuō)。

記者在這個(gè)春天，欣喜地看到了中國(guó)信息安全市場(chǎng)上呈現(xiàn)出的一些可喜變化，嗅到了春天的氣息。當(dāng)然，如何讓企業(yè)真正重視信息安全并行動(dòng)起來(lái)，而不僅僅為了滿足合規(guī)性要求，如何強(qiáng)化國(guó)家的信息安全，如何讓信息安全市場(chǎng)快速發(fā)展，我們還有很長(zhǎng)的路要走。