備戰信息安全

“竊聽門事件、斯諾登事件、攜程泄露門……”，近兩年發生的信息安全丑聞不勝枚舉。伴隨2月27日，中央網絡安全和信息化領導小組的成立，我國將備戰信息安全提升到了新的高度。

未來，隨著新政的進一步落實，必將給我國的信息安全產業帶來新的機遇。就監管機構而言，隨著安全相關的政策、標準、法律法規的陸續出臺，未來監管將有法可依、有據可循，更好地規范我國的安全產業，促進整個產業向更合理的布局轉換。就用戶而言，企業將更加重視信息化及其信息安全要求，原本那些隱患的重視程度會被提升、原本滯后的安全建設會被提上日程。就安全廠商而言，國家對信息安全的重視，會顯著增強企業的信心，促使企業加大投入，為用戶提供更好的產品和服務。

當然，機遇與挑戰往往是并存的。在備戰信息安全的過程中，不可避免地會遇到各種新的挑戰。比如，隨著移動互聯網、云計算、大數據時代的到來，如何在法律法規、技術等層面做好防護都是未來要重點考慮的。

但不管怎么說，新一輪備戰信息安全的戰斗已經打響，圍繞信息安全產業的整個生態圈已經開始變革。

3月22日下午18：18分，烏云漏洞平臺發布消息稱，攜程網IT系統存在技術漏洞，可導致用戶個人信息、銀行卡信息的泄露。短短幾天時間，信息安全問題被推向風口浪尖，人們恐慌心理再起。

雖然網絡安全問題如今已不是什么新鮮事，近兩年，此類問題不勝枚舉。如家、七天等酒店泄露住客信息、《世界新聞報》竊聽門事件、斯諾登事件……但每當此類事件發生，總會引起廣泛性的恐慌，足見其危害之大。當下，用保護信息安全刻不容緩來形容其急迫程度，一點都不夸張。而世界各國對網絡安全的重視程度也越來越高，比如早在2010年，美國就針對網絡安全威脅發布了《國家安全戰略》，將信息安全保護提升到國家層面。

我國也于今年2月27日，宣告中央網絡安全和信息化領導小組成立，并在北京召開了第一次會議。中共中央總書記、國家主席、中央軍委主席習近平親自擔任組長，李克強、劉云山任副組長。習總書記在講話中就明確“沒有網絡安全，就沒有國家安全”。另外，在剛剛結束的今年兩會上，明確提出2014年政府的工作重點之一就是網絡安全。

新形勢

中國既是網絡大國，同時又是信息竊取、網絡攻擊的主要受害國。信息安全往大了說，涉及到政治安全、國防安全以及社會安定的問題；往小了說，涉及個人信息、商業機密，與我們的工作生活息息相關。

不可否認，近些年，我國的信息化水平取得了長足進步。然而，在信息化突飛猛進的同時，是信息安全保護的滯后，部分信息系統缺乏網絡安全保護，存在很大的隱患。再加上各類新型攻擊方式的出現，更使得網絡安全保護雪上加霜。

根據Gartner的統計數據顯示，我國在網絡安全建設的投入遠低于歐美，網絡安全與信息化建設的總投入占比還不到10%。在此大環境下，網絡安全的總體市場規模也遠低于歐美市場，甚至還不如日本。

IDC中國安全市場研究經理王培在接受本報記者采訪時表示，“目前企業在網絡安全保護方面，多以邊界化保護為主、以硬件設備為主、以保護基礎設施為主，預算能省則省，缺乏整體安全規劃，對安全服務的概念比較模糊，這也是各類安全事件頻發的主要原因。”這也直接導致我國信息安全產業發展滯后的現狀。

本次，中央網絡安全和信息化領導小組成立，習近平任組長，李克強、劉云山任副組長一方面體現了國家的重視，另外也加強了未來在制定網絡安全政策時，相關部門之間的協調與配合。

援引國家行政學院教授汪玉凱的觀點，“新組建的中央網絡安全與信息化領導小組，已經不是國家層面上的，而是黨中央層面上設置的一個高層領導和議事協調機構。出任組長的已經不是過去政府首腦總理，而是黨的總書記，大大提高該小組總攬全局的整體規劃能力和高層協調能力。而且，這個小組不是單純的信息化領導小組，而是把網絡安全放在更突出的位置，與國家信息化整體戰略一并考慮，具有重大戰略意義?！?/p>

可以說，此次國家層面的重視體現了中國最高層全面深化改革、加強頂層設計的意志，顯示出了在保障網絡安全、維護國家利益、推動信息化發展的決心，給安全產業帶來了新的機遇。

不難想象，隨著新政的不斷落實，新的信息安全機構即將成立，一系列有關信息安全的政策、法律法規即將制定和頒布。

新機遇

中央網絡安全和信息化領導小組的成立會對信息安全產業帶來怎樣的機遇？

隨著中央網絡安全和信息化小組的成立，無疑會對安全產業產生深遠的影響。安全市場規模將進一步擴大，同時促使監管機構、用戶、安全廠商及學術界采取行動，從而促進整個產業的健康發展。

就監管機構而言，隨著安全相關的政策、標準、法律法規的陸續出臺，未來監管將有法可依、有據可循，更好地規范我國的安全產業，促進整個產業向更合理的布局轉換。

就用戶而言，企業將更加重視信息化及其信息安全要求，原本那些隱患的重視程度會被提升、原本滯后的安全建設會被提上日程。山東省某著名鋁業股份公司CIO陳兆椿在接受采訪時表示，“對我公司來說，未來信息化安全項目的投入將更具有政策性支持，向上層匯報需求時更容易獲得各方面的認可，具體體現在項目資金投入會更多，項目人員需求、計劃要求更加容易執行等方面?！?/p>

就安全企業而言，國家對信息安全的重視，會顯著增強企業的信心，促使企業加大投入，為用戶提供更好的產品和服務。記者在采訪中，受訪企業包括華三、山石網科、深信服、網御神州、網康等安全廠商均表示，國家的重視會對安全產業的演進產生積極的促進作用，他們對企業未來的發展充滿了信心。

網御神州副總裁王剛同時補充到，未來，安全產業對人才的吸引力會加強，從而促進更多的優秀人才投入到安全學術界、產業界。

另外，隨著國家對自主企業的不斷扶持，也將對未來安全市場格局產生影響。IDC王培認為，雖然總的來說，隨著市場規模的擴大，對國內、國外安全廠商而言，當前都是利好。不過長期來看，國內廠商會更有優勢，國內廠商在安全產業的占比會逐漸更大。

對此，游俠安全網站長張百川表示贊同。他表示，隨著政策的進一步實施，國外產品的地位將被弱化。

新挑戰

新機遇必然會帶來新挑戰。特別是當前，各種新型技術、應用層出不窮，云計算、移動互聯網、大數據此起彼伏，在給我們工作、生活帶來極大便利的同時，也留下了巨大的隱患。如何有效監管、如何有效防御給政府、企業及安全廠商都提出了新的問題。

以剛剛發生的攜程泄露用戶信息為例，攜程是否該存儲用戶信息、安全保護措施是否到位、該如何保護這些信息都是未來需要重點探討的問題。

為此，記者也采訪了相關專家。深信服市場行銷部技術總監殷浩在接受采訪時直擊痛點，他認為，傳統的安全防護方案難以解決信息資產泄密的問題，這也是DLP軟件、防火墻軟件一直叫好不叫座的原因。

為此，深信服一直在研發、完善桌面云解決方案，以更好地應對數據泄密問題。深信服認為，桌面云雖然不是真正意義的安全方案，但是卻可以更好地解決信息泄密這類安全問題。比如某科研企業，為防止核心研發信息外泄，利用桌面云方案，就可以將所有本地數據都集中在數據中心存儲、調用和管控，筆記本等終端只能接收圖像，整個業務過程中數據不落地，使用者不能夠將數據做本地保存和外發。而且桌面云還能在組織內建立起相互邏輯隔離的多張網絡，既不會影響操作體驗，又能將關鍵數據安全地隔離保護。

類似這樣的技術挑戰還有很多，比如隨著Wi-Fi的普及，其帶來的安全風險大增，尤其是在政府部門、辦事大廳、企業內部、金融營業廳等場所，因為接入的用戶和終端類型十分多樣，相比傳統的有線網絡，安全風險大大提高、管控難度也將大大增加。再比如，諸如ATP攻擊、0day漏洞的各種新型攻擊方式地不斷涌現都將成為必須面對的問題。

除此之外，王剛還提出了自己的擔憂。他認為一家企業的力量畢竟有限，掌握的數據信息也有限。而未來的安全威脅顯然會比現在更加廣泛、更加隱蔽，需要掌握更多的信息才能更好地實施保護。如果堅持單打獨夠，顯然會被時代所淘汰。因此，他希望能夠推動產業聯盟、產學研聯盟的發展，使各個企業聯合起來，做到優勢互補。

安全廠商的應對之道

中央網絡安全和信息化小組的成立勢必會引領新一輪的信息安全建設熱潮，究竟哪個領域會率先發力，各廠商都著自己的看法，也有著各自的應對之道。但總的來說，都離不開“緊跟熱點、發揮長處”。

比如，針對現在熱門的移動互聯、云計算、物聯網、大數據等信息建設熱點帶來新的安全需求，華三除可以提供傳統的滿足合規要求的傳統安全產品與解決方案，比如防火墻、IPS、VPN外，還也可以提供新的解決方案——“應需而安SoD（Security on Demand）”，未企業未來信息化提供更加完備的解決方案。

作為老牌網絡安全廠商，深信服則在把握網絡安全風向標的同時，致力于不斷提升產品的安全防護能力。除了會根據安全風險趨勢，細化一站式桌面云方案的防泄密功能，比如增加水印、錄屏審計、外發審批外，還將繼續加大對下一代防火墻產品的研發資源投入，強化APT防御、0day漏洞等的防御手段。

網御神州一方面在基礎設施安全、數據安全等方面推出有針對性的行業解決方案。另一方面，還加大創新力度，以應對日新月異的各類攻擊手段。據王剛透露，目前，網御神州正在研發下一代安全技術和安全產品，以應對未來的安全需求。

與其它廠商不大相同，山石網科的理念更為前衛，致力于為用戶提供全面的網絡安全防護體系。山石網科行業解決方案經理杜旭輝介紹說，山石網科將緊密跟隨網絡環境和安全技術的變化，以“智能”為核心，為用戶打造彈性、可在云及SDN網絡中部署，能夠應對0day和APT攻擊的防護產品。

網康科技將以為廣大中小企業提供功能全面、經濟實用的整體邊界安全解決方案作為己任。通過網康下一代防火墻，加上其靈活的“服務模式”和“設備模式”組合，最大程度地滿足中小企業的安全需求。

從各個安全企業對未來的規劃也不難看出，各有市場側重、各有聚焦熱點，但共同點是未來的安全都會更多地強調整體解決方案、安全服務意識，而不再是單個的產品，這也正是當前用戶所想。

陳兆椿在談到未來企業的信息安全建設時表示，隨著國家政策的出臺，追求自建信息化平臺將是各企業單位的終極目標。所以信息安全服務公司應該努力朝著為企業單位提供平臺建設服務的方向發展，而不僅是提供一個產品化的、信息服務公司自身設計的封閉信息系統。安全服務商應該給予各企業單位一個開放式的平臺架構，在此平臺架構上由企業自己去發揮構建自己的信息管理服務平臺。

我國信息安全保衛戰的大幕已經拉開，新形勢、新機遇、新挑戰下，必然會有各種問題顯現?？赡墚斍靶畔踩a業生態圈的各個環節還存在一些不協調的因素，但隨著我國信息安全產業的不斷演進，這些溝壑遲早會被填平。就像用戶與廠商之間的訴求雖然存在一定差距，但總會達成一致一樣。

發展強大的本土信息技術企業和產業

用友軟件股份有限公司董事長王文京兩會關于網絡安全的建言

構建安全網絡、推進信息化，除了加強領導體制，強化發展戰略、宏觀規劃和頂層設計、制定重大政策外，要特別重視和加強本土信息技術領域的企業和自主產業發展，以形成對國家網絡安全和信息化的強大支撐。因為企業是網絡安全和信息化產品技術研發創新、系統運行保障的主體，就像沒有之前的IBM、微軟、甲骨文，現在的谷歌、蘋果、Facebook等企業，就不可能支撐美國的信息安全和信息化一樣，我國的網絡安全和信息化推進也必須有強大的信息技術企業和產業支撐。

建議充分信賴、依靠、支持產業各領域龍頭企業，通過營造有利創新發展的市場環境、依托龍頭企業開展國家重大專項、進一步完善政策等方式促進龍頭企業做大做強，成為世界級企業，并帶動產業整體發展。完善政策包括：對重大創新項目加大財稅、科技人才等方面的政策傾斜支持力度；落實執行已經發布的產業政策（如國務院2011年4號文件關于軟件企業營業稅的政策）；清理障礙企業創新發展過程中的政策障礙（如再融資審批、海關稅收、股權激勵稅收政策等）。

國家關鍵信息基礎設施保護迫在眉睫

浪潮集團董事長孫丕恕兩會關于網絡安全的建言

2013年“斯諾登”事件暴露出美國可以通過“巧言計劃”等手段，掌握其銷售海外的軟硬件技術產品實際的部署信息，從而輕松地繪制出購買國信息系統布防圖。其設在國家安全局下的“定制入口組織”，完全可以借助后門、漏洞等手段，控制他國的信息設備、竊取核心數據、癱瘓業務系統。由此可見，我國依賴外國技術裝備而構建的關鍵信息基礎設施，一直在承受著嚴峻的安全威脅。因此，建議國家盡快啟動關鍵信息基礎設施的國產化替代工程，通過國產化替代來降低安全風險。

一、在對現有的關鍵信息基礎設施進行技術需求水平、安全評估基礎上，制定關鍵信息基礎設施產品的國產化率指標，提升關鍵信息基礎設施的自主產品比重。對于現有系統裝備更新原則上要使用能滿足技術需求的自主知識產權的信息技術產品，不得以追求高水平技術為由屏蔽自主品牌產品。對于國內沒有、或不滿足需求而無法避免使用的要進行風險分析、制定安全機制和應急措施，在機制和措施建立的基礎上嚴格審批程序，需要由國家認證機構確認并出具證明，報相關監管機關批準。對于當前存在的關鍵信息基礎設施中使用的外國數據庫、中間件產品與自主品牌產品不兼容等問題，其實質是外國產業鏈對于中國的遏制，要嚴格限制其違反WTO準則的行為，要求其取消技術壁壘，實現互相兼容，否則限制其進入關鍵信息基礎設施。

二、充分發揮政府主導、示范帶動作用。國家要推動關鍵信息基礎設施、政府公共管理與公共服務系統建設的國產化平臺示范工作，選擇若干應用領域，由國家政策、資金的支持，搭建國產軟硬件示范平臺，通過應用示范效應，帶動國產信息化裝備的推廣應用。

三、鼓勵和支持信息系統承建單位使用國產裝備，設立成果推廣使用專項，對用戶采用國產裝備進行系統遷移等費用予以補貼；對于因業務系統采用國產裝備必需的新系統開發、移植產生的新增項目開發給予科研立項和科研經費的支持；對于示范平臺承建、首例規模使用單位予以成果推廣應用獎勵。

2013年2月～2014年3月，信息安全大事記

2013.2

中國人壽80萬份保單信息泄露，包括險種、手機號、身份證號和密碼等信息一應俱全，對被保險人的個人聲譽及生活造成極大影響。

2013.3

支付寶轉賬信息被谷歌抓取，直接搜索“site：shenghuo.alipay.com”就能搜到轉賬信息，數量超過2000條，涉及個人深度隱私。

2013.5

雅虎日本疑再遭入侵，2200萬用戶信息或被竊取。

2013.4

英國離岸金融業200多萬份郵件等文件泄密，全球數千名匿名財富持有者的身份首次遭曝光，這些材料涉及170個國家的13萬人，信息量多達260G，其中也包含來自中國的富人。

2013.6

愛德華·斯諾頓將美國國家安全局關于PRISM監聽項目的秘密文檔披露給了《衛報》和《華盛頓郵報》，隨即遭美國政府通緝，事發時人在香港，隨后飛往俄羅斯，棱鏡門事件爆發。同月，搜狗手機輸入法漏洞導致大量用戶敏感信息泄露。

2013.8

如家等快捷酒店開房記錄被泄露，包括客戶名（兩個人的話都會顯示）、身份證號、開房日期和房間號等。

2013.10

Adobe安全漏洞被黑客利用，近300萬賬戶隱私信息泄露。同月，圓通百萬客戶信息遭泄露，客戶的地址、姓名、手機號碼等信息一覽無余，其近百萬條信息，購買者可隨意挑選；東航等多家航空公司疑泄露乘客信息。

2014.2

中央網絡安全與信息化領導小組成立，中共中央總書記、國家主席、中央軍委主席習近平親自擔任組長，李克強、劉云山任副組長。

2014.3

攜程IT系統出現技術漏洞，導致用戶個人信息、銀行卡信息等大量泄露。