信息安全十年之惑

申請(qǐng)免費(fèi)試用、咨詢(xún)電話(huà)：400-8352-114

中國(guó)信息安全發(fā)展的十年并不是結(jié)束，而是新的開(kāi)始。未來(lái)網(wǎng)絡(luò)上的攻擊手段還會(huì)出現(xiàn)哪些新的變化？技術(shù)將如何演進(jìn)才能跟上攻擊的變化？用戶(hù)呼喚法律的保障，然而信息安全法何時(shí)才能出臺(tái)？人們是否還應(yīng)該相信網(wǎng)絡(luò)？一切都是未知數(shù)。

2005年12月13日～18日，世界貿(mào)易組織第六次部長(zhǎng)級(jí)會(huì)議將在中國(guó)香港舉行，香港區(qū)政府特組建了一支抗擊黑客的科技隊(duì)伍巡視香港多個(gè)網(wǎng)絡(luò)核心基建設(shè)施，以防有人在世貿(mào)會(huì)議舉行期間潛入破壞。為求萬(wàn)無(wú)一失，部分基建中心甚至聘請(qǐng)保安員，在晚間守護(hù)服務(wù)器。

早在10月份，香港特區(qū)政府的安全評(píng)估表明，除了街上，互聯(lián)網(wǎng)也可能成為世貿(mào)示威者的新示威戰(zhàn)場(chǎng)。他們可能會(huì)突襲互聯(lián)網(wǎng)，令香港網(wǎng)絡(luò)陷入癱瘓。高危目標(biāo)有可能是港府的世貿(mào)網(wǎng)站，香港中文大學(xué)的香港互聯(lián)網(wǎng)交換中心、掌握香港域名系統(tǒng)的香港域名注冊(cè)有限公司（HKDNR）。

若兩家中心被攻陷，市民輸入常用的“yahoo.com.hk“這類(lèi)“.hk”域名時(shí)，電腦將不能駁入網(wǎng)址；網(wǎng)絡(luò)亦會(huì)變得異常緩慢，甚至癱瘓，香港逾百萬(wàn)網(wǎng)民將不能上網(wǎng)。

“信息安全問(wèn)題，首先應(yīng)該重在‘防’，然后才是‘治’，增強(qiáng)用戶(hù)的防范意識(shí)，是減少網(wǎng)絡(luò)安全隱患極其關(guān)鍵的一環(huán)?！毙畔踩珜?zhuān)家曲成義表示，對(duì)信息系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，并在特殊時(shí)期內(nèi)對(duì)尚未發(fā)生的安全事故嚴(yán)防以待，可以減少災(zāi)難發(fā)生。

十年的媒體灌輸和真實(shí)的攻擊案例，已將人們的信息安全意識(shí)提到一個(gè)前所未有的高度；十年的網(wǎng)絡(luò)信息安全技術(shù)發(fā)展，也讓今天的信息安全保護(hù)策略和技術(shù)發(fā)生了翻天覆地的變化。然而，到了今天，人們對(duì)網(wǎng)絡(luò)的安全性卻越來(lái)越?jīng)]底，問(wèn)題究竟出在哪兒？

用戶(hù)之困　

業(yè)內(nèi)人士普遍認(rèn)同，中國(guó)用戶(hù)的信息安全意識(shí)在近十年來(lái)有了顯著提高，尤其是中辦27號(hào)文件的頒布，是我國(guó)重要信息系統(tǒng)安全保障工作的分水嶺。但是，我國(guó)用戶(hù)網(wǎng)絡(luò)安全的形勢(shì)卻依然不容樂(lè)觀。

首先，普通網(wǎng)絡(luò)用戶(hù)安全意識(shí)普遍薄弱。據(jù)有關(guān)部門(mén)在2004年的抽樣調(diào)查數(shù)據(jù)表明，目前我國(guó)60%以上的計(jì)算機(jī)受到過(guò)病毒的感染，但一半以上的網(wǎng)民平均一周以上才進(jìn)行殺毒；98%以上的網(wǎng)站遭遇過(guò)垃圾郵件或者病毒攻擊，但僅有不到20%的中文網(wǎng)站具有比較完善的安全保護(hù)系統(tǒng)。

一方面，隨著網(wǎng)絡(luò)攻擊方式日趨多樣化，呈現(xiàn)出突發(fā)性、隱藏性等特點(diǎn)，不少用戶(hù)并不知道采取怎樣的措施才能有效地保護(hù)自己的信息安全，信息安全資源魚(yú)龍混雜、充斥市場(chǎng)，無(wú)形中就降低了網(wǎng)絡(luò)信息的公信力，用戶(hù)從而對(duì)網(wǎng)絡(luò)安全宣傳產(chǎn)生抵觸情緒。

另一方面用戶(hù)對(duì)網(wǎng)絡(luò)安全防范存在認(rèn)識(shí)誤區(qū)，在應(yīng)用中將殺毒完全等同于網(wǎng)絡(luò)安全，從而采取片面的防范措施：采用單機(jī)版殺毒產(chǎn)品保護(hù)網(wǎng)絡(luò)，將單機(jī)版殺毒軟件作為惟一的信息安全工具，認(rèn)為網(wǎng)絡(luò)安全防范可以通過(guò)殺毒產(chǎn)品就可以實(shí)現(xiàn)；將殺毒與防黑分離，認(rèn)識(shí)不到網(wǎng)絡(luò)病毒的變化趨勢(shì)，忽視信息安全的重要性；即安裝使用殺毒產(chǎn)品后，沒(méi)有及時(shí)對(duì)殺毒產(chǎn)品進(jìn)行升級(jí)?！?

其次，安全產(chǎn)品的發(fā)展還是不能滿(mǎn)足安全形勢(shì)發(fā)展的需要。目前我國(guó)經(jīng)濟(jì)部門(mén)70％的信息安全設(shè)備來(lái)自國(guó)外。安全產(chǎn)品受制于人，我國(guó)網(wǎng)絡(luò)系統(tǒng)和網(wǎng)絡(luò)設(shè)備使用的關(guān)鍵芯片與核心軟件大部分依賴(lài)進(jìn)口。

據(jù)業(yè)內(nèi)專(zhuān)家介紹，我們的核心技術(shù)特別是專(zhuān)用芯片和專(zhuān)用硬件的設(shè)計(jì)、生產(chǎn)能力基本受制于國(guó)外廠商尤其是美國(guó)廠商，安全芯片由Cavium/HiFin以及跨行業(yè)發(fā)展的NetScreen公司壟斷。國(guó)內(nèi)許多網(wǎng)絡(luò)安全企業(yè)的硬件平臺(tái)也基本都是直接來(lái)自美國(guó)。

上游受控于人，對(duì)廠商來(lái)講，容易受到政治因素或其他原因的影響而出現(xiàn)禁運(yùn)或斷貨現(xiàn)象，可能造成產(chǎn)業(yè)鏈的斷裂。對(duì)重要信息系統(tǒng)用戶(hù)來(lái)講，很難實(shí)現(xiàn)“自主可控”的目標(biāo)，在一定程度上為我國(guó)的經(jīng)濟(jì)和社會(huì)穩(wěn)定留下隱患。

再者，隨著信息安全技術(shù)的發(fā)展，用戶(hù)所上的安全產(chǎn)品越來(lái)越多，在并未解決安全問(wèn)題的同時(shí)，又帶來(lái)了管理上的麻煩。到目前為止，在一些已經(jīng)建設(shè)多年的大系統(tǒng)當(dāng)中，信息安全產(chǎn)品的應(yīng)用多達(dá)十幾類(lèi)，涵蓋了大大小小幾十個(gè)品牌。

某信息化主管曾經(jīng)向記者抱怨，出現(xiàn)故障的概率似乎比以前還多，因?yàn)槊恳粋€(gè)安全產(chǎn)品都需要配置，配置不好，網(wǎng)絡(luò)就不通。由于對(duì)大多數(shù)由系統(tǒng)管理員兼任的安全員來(lái)說(shuō)，要了解每一個(gè)安全產(chǎn)品的性能和功能是一件相當(dāng)令人頭疼的事情，再加上各品牌產(chǎn)品標(biāo)準(zhǔn)沒(méi)統(tǒng)一，接口不一樣，判斷誰(shuí)出問(wèn)題很麻煩。因此，一出問(wèn)題就得聚攏一堆廠商來(lái)查原因。

“廠商提供的安全產(chǎn)品和實(shí)際的安全需求有所差距?！币恍┯脩?hù)表示，多年來(lái)，廠商所提供對(duì)付垃圾郵件和病毒的產(chǎn)品只是“過(guò)期藥”，他們?cè)谶x擇廠商的產(chǎn)品時(shí)無(wú)法適從。尤其是2004年后，間諜軟件、網(wǎng)絡(luò)釣魚(yú)的出現(xiàn)，使得他們更是感覺(jué)有點(diǎn)坐以待斃。

按理說(shuō)，經(jīng)過(guò)十年的發(fā)展，中國(guó)已經(jīng)形成了一批具有極高信息安全技術(shù)和極強(qiáng)實(shí)戰(zhàn)經(jīng)驗(yàn)的網(wǎng)絡(luò)安全企業(yè)。然而，現(xiàn)實(shí)的情況并不樂(lè)觀，目前國(guó)內(nèi)最大的信息安全企業(yè)，比如天融信，在中國(guó)的市場(chǎng)營(yíng)業(yè)額不過(guò)3億元人民幣，比起賽門(mén)鐵克一年100多億美元的營(yíng)業(yè)額，相差太遠(yuǎn)！何以形成如此巨大的落差？

廠商之難

國(guó)內(nèi)安全廠商天融信公司董事長(zhǎng)賀衛(wèi)東認(rèn)為，用戶(hù)的市場(chǎng)需求越來(lái)越多是件好事，但由于需求超前于整個(gè)產(chǎn)業(yè)的一些技術(shù)，給廠商們帶來(lái)了很大的壓力。中國(guó)缺乏國(guó)外那樣的安全“巨無(wú)霸”企業(yè)，也缺乏技術(shù)創(chuàng)新型安全廠商。

一方面，中國(guó)信息安全產(chǎn)業(yè)的總體市場(chǎng)規(guī)模小，不足以支撐太多企業(yè)的運(yùn)轉(zhuǎn)。根據(jù)IDC的報(bào)告，2004年中國(guó)的信息安全產(chǎn)業(yè)總產(chǎn)值約為22億元，而全球信息安全總產(chǎn)值折合人民幣為2200億元左右，中國(guó)不到全球總產(chǎn)值的1/100；2004年，中國(guó)IT行業(yè)的總產(chǎn)值已經(jīng)超過(guò)了萬(wàn)億元，信息安全只占其中的1/500，和國(guó)外IT安全投入占整體IT信息投入15％的差距相比，有天壤之別。

另一方面，由于市場(chǎng)盤(pán)子小，安全廠商多，使得安全市場(chǎng)競(jìng)爭(zhēng)愈發(fā)激烈，防火墻、防毒軟件等主流產(chǎn)品的價(jià)格出現(xiàn)下降趨勢(shì)，廠商的利潤(rùn)空間在進(jìn)一步壓縮，在打單過(guò)程中的低價(jià)格撕殺比比皆是。與三年前比，防火墻的價(jià)格下降了一半以上。IDS下降得更厲害，有的不到原先的20%。而在某次某地的政府采購(gòu)過(guò)程中，殺毒軟件居然只有5元人民幣，比盜版還低。

天元龍馬科技公司總經(jīng)理張昕尉認(rèn)為，中國(guó)的網(wǎng)絡(luò)安全廠商之所以很難快速推出適應(yīng)安全形勢(shì)發(fā)展的新技術(shù)產(chǎn)品，與絕大多數(shù)安全廠商還是在生死線(xiàn)上苦苦掙扎有關(guān)。它們面臨著資金、標(biāo)準(zhǔn)、人才三重困境。

第一重困境是資金?！坝捎谥袊?guó)安全廠商基本上是靠自有資金滾動(dòng)來(lái)發(fā)展，因此，大多數(shù)中小廠商不得不將產(chǎn)品的研發(fā)集中在防火墻、IDS殺病毒等市場(chǎng)需求已經(jīng)起來(lái)的產(chǎn)品上做選擇?！?張昕尉說(shuō)，“它們以生存為研發(fā)的第一要素，對(duì)新生事物不敢問(wèn)津?！?

對(duì)于動(dòng)輒幾千萬(wàn)元的前瞻性技術(shù)投資，例如目前市場(chǎng)上呼聲很高的WLAN、VoIP等相關(guān)安全產(chǎn)品，即使是像天融信、東軟、聯(lián)想網(wǎng)御、瑞星、啟明星辰等所謂的規(guī)模過(guò)億的安全大企業(yè)，也不敢輕舉妄動(dòng)，它們的營(yíng)收不過(guò)是國(guó)外安全巨頭的小小零頭，抗風(fēng)險(xiǎn)能力還弱，在充滿(mǎn)了變數(shù)的信息安全市場(chǎng)，一旦投資決策失誤，很難有機(jī)會(huì)抬頭。

第二重困境是標(biāo)準(zhǔn)。盡管我國(guó)一些行業(yè)具有安全等級(jí)應(yīng)用標(biāo)準(zhǔn)，但缺乏產(chǎn)品標(biāo)準(zhǔn)。由于各家的接口不一，標(biāo)準(zhǔn)不同，不同的安全產(chǎn)品在配置和管理上比較麻煩，容易出現(xiàn)問(wèn)題，影響到彼此的連通。對(duì)于用戶(hù)來(lái)說(shuō)，在選擇產(chǎn)品時(shí)，因?yàn)闆](méi)有統(tǒng)一的產(chǎn)品質(zhì)量衡量標(biāo)準(zhǔn)，往往只能根據(jù)廠商的品牌知名度模糊地定義出廠商的技術(shù)實(shí)力，導(dǎo)致系統(tǒng)中應(yīng)用各種不同品牌的產(chǎn)品后管理成本的急劇增加；或者不得不自己定義行業(yè)的應(yīng)用標(biāo)準(zhǔn)而導(dǎo)致各種選型成本的增加。

第三重困境是人才數(shù)量不足。我國(guó)的信息安全專(zhuān)業(yè)建立于1995年，但當(dāng)時(shí)都是定位于碩士以上的密碼或相關(guān)理論研究領(lǐng)域，2001年才開(kāi)始進(jìn)行本科教育。據(jù)有關(guān)部門(mén)估計(jì)，國(guó)內(nèi)安全專(zhuān)業(yè)人才的需求量在10萬(wàn)人左右，但國(guó)內(nèi)具有專(zhuān)科以上學(xué)歷的信息安全專(zhuān)業(yè)人才不足萬(wàn)人，而全國(guó)能夠培養(yǎng)的信息安全專(zhuān)業(yè)學(xué)歷人才和各種認(rèn)證人員更是不足5000人。

賀衛(wèi)東認(rèn)為，資本市場(chǎng)的不成熟，是制約中國(guó)信息安全廠商發(fā)展的主要瓶頸。國(guó)外有成熟的資本市場(chǎng)，比如，NetScreen公司在發(fā)展之初融得了關(guān)鍵的200萬(wàn)美元發(fā)展資金，此后通過(guò)在Nasdaq上市，又融得了企業(yè)需要的大量技術(shù)研發(fā)資金，迅速發(fā)展成為全球最大的硬件防火墻廠商，在成立后的第9年，以40億美元被Juniper收購(gòu)，實(shí)現(xiàn)了一個(gè)企業(yè)的圓滿(mǎn)的生命周期。而中國(guó)缺少這樣的機(jī)制，使得企業(yè)要進(jìn)行技術(shù)投資，基本上完全依靠自我積累和滾動(dòng)發(fā)展?！斑@樣的速度怎能與國(guó)際企業(yè)抗衡？”他反問(wèn)。

今年全球信息安全領(lǐng)域的最大一件事情—賽門(mén)鐵克收購(gòu)維爾公司，使得賽門(mén)鐵克迅速成為全球信息安全領(lǐng)域無(wú)可爭(zhēng)議的第一霸主，形成了信息安全產(chǎn)業(yè)的巨無(wú)霸。“這件事情對(duì)中國(guó)的企業(yè)也非常具有警示意義，”賀衛(wèi)東說(shuō)，“中國(guó)為什么就不能出現(xiàn)這樣的巨型信息安全企業(yè)？像聯(lián)想集團(tuán)、華為公司等中國(guó)的大型IT企業(yè)應(yīng)該反思，它們有沒(méi)有承擔(dān)起歷史賦予它們身上的重任？為什么什么技術(shù)都要自己開(kāi)發(fā)？為什么不能學(xué)學(xué)思科和賽門(mén)鐵克，通過(guò)收購(gòu)的方式迅速發(fā)展壯大自己，讓中國(guó)也有能與國(guó)際企業(yè)相抗衡的大型信息安全企業(yè)？”

除了“老三樣”的信息安全技術(shù)和產(chǎn)品，網(wǎng)絡(luò)信息安全技術(shù)的未來(lái)發(fā)展同樣令人矚目，什么安全技術(shù)和產(chǎn)品能真正保護(hù)網(wǎng)絡(luò)的安全？

技術(shù)之勢(shì)

信息安全專(zhuān)家曲成義認(rèn)為，目前我國(guó)信息安全產(chǎn)品門(mén)類(lèi)基本配套。用戶(hù)之所以抱怨其需求得不到滿(mǎn)足是因?yàn)榇蠖鄶?shù)信息系統(tǒng)依然是采取防火墻、入侵檢測(cè)和殺病毒傳統(tǒng)的老三樣防護(hù)手段。

“從安全技術(shù)發(fā)展的近期動(dòng)態(tài)來(lái)看，用戶(hù)絕大多數(shù)安全需求是可以得到滿(mǎn)足的。” 曲成義說(shuō)，他認(rèn)為，目前整個(gè)安全產(chǎn)品、技術(shù)或者解決方案正呈現(xiàn)出某些重要趨勢(shì)。

其一，安全產(chǎn)品出現(xiàn)集成化能力，也就是把多種安全功能集成在同一產(chǎn)品上。例如很多防火墻集成VPN；安全性能功能有很大的發(fā)展，例如過(guò)去防火墻支持百兆，現(xiàn)在上千兆。

其二，動(dòng)態(tài)防御思想進(jìn)展很快，基于這一思想配套的技術(shù)產(chǎn)品發(fā)展很快。例如提前預(yù)警的入侵檢測(cè)過(guò)去放在主機(jī)終端，現(xiàn)在則放在網(wǎng)絡(luò)環(huán)境下，不單檢測(cè)病毒，還看大面積流量的變化，為下一步可能發(fā)生的問(wèn)題提前預(yù)警。

其三，通過(guò)使各個(gè)安全產(chǎn)品進(jìn)行信息共享和業(yè)務(wù)聯(lián)動(dòng)來(lái)提高強(qiáng)度，就是搞集成安全管理平臺(tái)。當(dāng)入侵檢測(cè)發(fā)現(xiàn)情況異常后，馬上通知防火墻；防火墻在隔離的同時(shí)，通知交換機(jī)準(zhǔn)備隨時(shí)切掉病毒；交換機(jī)在切病毒的同時(shí)通知路由器做好防護(hù)準(zhǔn)備。

“一些重要系統(tǒng)用戶(hù)對(duì)安全操作中心（SOC）需求比較旺盛?！?曲成義說(shuō)，“為了更有效地實(shí)現(xiàn)安全管理，需要把系統(tǒng)要素和安全要素協(xié)同起來(lái)，從網(wǎng)絡(luò)層一直到應(yīng)用都進(jìn)行全局管理。”

其四，信息安全從防外部轉(zhuǎn)向內(nèi)部控制，特別是對(duì)用戶(hù)的源頭端控制，如何防止個(gè)人計(jì)算機(jī)違規(guī)操作，如非法聯(lián)結(jié)、違規(guī)轉(zhuǎn)儲(chǔ)、超級(jí)訪(fǎng)問(wèn)等。“信息安全事件70％往往是內(nèi)部操作或內(nèi)外勾結(jié)，而傳統(tǒng)的防火墻、入侵檢測(cè)，殺病毒對(duì)防內(nèi)是沒(méi)用的?！?曲成義說(shuō)，“這導(dǎo)致近兩年來(lái)出現(xiàn)了一大批防內(nèi)產(chǎn)品和內(nèi)控廠商?！?

其五，縱深防御概念正在深入人心，這是信息化推進(jìn)的必然結(jié)果。一方面，從互聯(lián)網(wǎng)的角度來(lái)講，安全是一步步深入的—內(nèi)網(wǎng)安全，外網(wǎng)安全，互聯(lián)網(wǎng)安全；另一方面，網(wǎng)絡(luò)又是一個(gè)面向業(yè)務(wù)的實(shí)體，不同層面的業(yè)務(wù)，有不同的安全要求。

在縱深防御中，最要緊的是對(duì)安全域進(jìn)行科學(xué)劃分，因此必須采取合理的邊界控制技術(shù)：涉及國(guó)家機(jī)密的，用物理隔離；公務(wù)服務(wù)，用邏輯隔離; 劃分好后，再選擇合理的安全手段。

其六，內(nèi)容安全技術(shù)不再局限于傳統(tǒng)的關(guān)鍵字過(guò)濾，而是走向多樣化。由于計(jì)算機(jī)理解內(nèi)容的好壞比人要難，它對(duì)關(guān)鍵詞上下文的語(yǔ)義缺乏了解; 此外，通過(guò)關(guān)鍵字的規(guī)則有幾萬(wàn)條，資源消耗過(guò)大。因此，眼下依靠“行為識(shí)別”的技術(shù)，可以智能在線(xiàn)識(shí)別針網(wǎng)絡(luò)上各種惡意攻擊、病毒攻擊、垃圾攻擊，從而保證內(nèi)容的安全。此外，針對(duì)圖象、視頻和語(yǔ)音等方面的內(nèi)容安全技術(shù)也正在興起之中。

其七，可信計(jì)算將成為潮流?！翱尚庞?jì)算”就是從芯片、板卡、PC、終端接入和操作系統(tǒng)來(lái)提高安全的可信性，可以從幾個(gè)方面來(lái)理解：用戶(hù)的身份認(rèn)證，這是對(duì)使用者的信任；平臺(tái)軟硬件配置的正確性，這體現(xiàn)了使用者對(duì)平臺(tái)運(yùn)行環(huán)境的信任；應(yīng)用程序的完整性和合法性，體現(xiàn)了應(yīng)用程序運(yùn)行的可信；平臺(tái)之間的可驗(yàn)證性，指網(wǎng)絡(luò)環(huán)境下平臺(tái)之間的相互信任。

曲成義認(rèn)為，可信計(jì)算產(chǎn)品，在三五年內(nèi)會(huì)掀起高潮，三年之后可能占到現(xiàn)有IT產(chǎn)品的50％，五年以后可能占到80％。這意味著PC、芯片、板卡的新一輪IT競(jìng)爭(zhēng)，如果中國(guó)還像上個(gè)世紀(jì)80年代完全處于被動(dòng)局面的話(huà)，對(duì)中國(guó)信息化會(huì)造成威脅。

從零星的安全產(chǎn)品部署到成體系地建設(shè)信息安全保障體系，這是2003年頒布的具有劃時(shí)代意義的27號(hào)文件最重要的意義。政策在不斷完善。然而，相關(guān)法律的缺位依然如鯁在喉般令人不舒服。

政策之力

不少用戶(hù)和廠商都認(rèn)為，隨著2003年27號(hào)文件的頒布，這兩年來(lái)信息安全的政策環(huán)境大為改善，國(guó)家的一系列信息安全宏觀政策已經(jīng)全面啟動(dòng)，一些重要部門(mén)的領(lǐng)導(dǎo)，對(duì)信息安全也前所未有地非常重視。

一位電力系統(tǒng)的信息化主管對(duì)記者表示，自27號(hào)文件頒發(fā)后，電力系統(tǒng)至少召開(kāi)過(guò)６次與信息安全相關(guān)的會(huì)議。27號(hào)文考慮周全，從信息安全管理、技術(shù)、人才、投資、法律建設(shè)等多個(gè)層面，考慮保障國(guó)家信息安全問(wèn)題，從而給各個(gè)地方、行業(yè)信息化部門(mén)建設(shè)信息安全提供了一套整體思路。

一些廠商也表示，27號(hào)文件構(gòu)建了國(guó)家信息安全保障體系的思路，首次確立了一個(gè)明確的管理協(xié)調(diào)組織機(jī)制，從而有望解決過(guò)去困擾信息安全產(chǎn)業(yè)界多年的部門(mén)條塊分割、多頭管理現(xiàn)象嚴(yán)重的局面，杜絕了某些利益集團(tuán)為了自身利益而操縱信息安全管理部門(mén)的現(xiàn)象。

業(yè)內(nèi)人士普遍認(rèn)同，27號(hào)文件的頒布是中國(guó)信息安全工作的一個(gè)分水嶺，具有奠基意義：其一，這是我們國(guó)家首次對(duì)信息安全有了一個(gè)全面認(rèn)識(shí)，從整體上，從頂層統(tǒng)籌考慮信息安全的政策、方針、規(guī)劃，以統(tǒng)籌領(lǐng)導(dǎo)信息安全的各個(gè)部門(mén)，而在這以前工作是比較零散的；其二，在27號(hào)文件頒布后的兩年，信息安全相關(guān)工作有了大的推進(jìn)，信息安全等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估、密碼保護(hù)、網(wǎng)絡(luò)信任體系、應(yīng)急響應(yīng)與災(zāi)難備份、產(chǎn)品管理、產(chǎn)業(yè)發(fā)展等基礎(chǔ)性工作的相關(guān)政策、標(biāo)準(zhǔn)正在制定并將陸續(xù)出臺(tái)。

據(jù)國(guó)務(wù)

院信息化工作辦公室網(wǎng)絡(luò)與信息安全組組長(zhǎng)王渝次介紹，目前信息安全工作的總思路就是堅(jiān)定不移地貫徹落實(shí)27號(hào)文件，按照五年建成國(guó)家信息安全保障體系的目標(biāo)，審慎推進(jìn)?！懊髂晔?7號(hào)文件頒布的第三年，這是關(guān)鍵的一年?！?

王渝次說(shuō)，“去年是起步，主要是宣傳和規(guī)劃；今年主要是完善配套政策和抓試點(diǎn)，著重通過(guò)實(shí)踐摸索信息安全的規(guī)律；明年就要逐步進(jìn)入到廣泛推進(jìn)和實(shí)際操作階段?！蓖跤宕谓忉屩圆扇徤魍七M(jìn)的原因有二: 一方面，信息安全對(duì)我們來(lái)講是一個(gè)新問(wèn)題，新事物，其特點(diǎn)之一就是看不見(jiàn)、摸不著，威脅是潛在的，而且是不斷變化的，需要一個(gè)在實(shí)踐中探索和認(rèn)識(shí)的過(guò)程; 另一方面，中國(guó)太大，政策執(zhí)行容易一刀切，而信息安全工作的本質(zhì)要求又是堅(jiān)持從實(shí)際出發(fā)，沒(méi)有四海一家的解決之道。因此制定政策必須考慮周全，既要避免一下子管得太死，又要具有可操作性以便落實(shí)。

而對(duì)于用戶(hù)和廠商所反映的信息安全法律缺位的問(wèn)題，王渝次沒(méi)有否認(rèn)。他認(rèn)為，現(xiàn)在行政部門(mén)依法行政的意識(shí)是非常強(qiáng)的，也希望加快信息安全的立法進(jìn)程。但從目前情況看，立法會(huì)是一個(gè)比較長(zhǎng)的過(guò)程。其一，立法需要經(jīng)過(guò)一系列復(fù)雜的程序，本身就是一個(gè)較長(zhǎng)的過(guò)程；其二，目前我們對(duì)有些信息安全問(wèn)題看得不是很清楚，認(rèn)識(shí)不一定很一致，也需要更多的深入研究和討論；其三，只立法而無(wú)法執(zhí)行的話(huà)，意義不大，要考慮到技術(shù)手段等各個(gè)方面。

誰(shuí)將控制未來(lái)信息安全的話(huà)語(yǔ)權(quán)？未來(lái)的網(wǎng)絡(luò)信息安全技術(shù)應(yīng)用將集中在哪些關(guān)鍵領(lǐng)域？什么技術(shù)會(huì)力拔頭籌？

未來(lái)之爭(zhēng)

有專(zhuān)家將信息安全分為三個(gè)階段，2000年前為獨(dú)立安全產(chǎn)品和安全意識(shí)普及階段，主要是以防火墻為核心的單一的網(wǎng)絡(luò)安全產(chǎn)品；2000年到2004年，是大規(guī)模的綜合安全體系的建設(shè)，是以綜合安全產(chǎn)品為主，包括防火墻ＶＰＮ、安全管理平臺(tái)等；

“而2005年，則可以看做是信息安全重新審視元年。” 賀衛(wèi)東說(shuō)，一方面，網(wǎng)絡(luò)安全問(wèn)題在2005年變得非常嚴(yán)重，間諜軟件已被用于收集E-mail名單，網(wǎng)絡(luò)上存在的大量的僵尸計(jì)算機(jī)已經(jīng)開(kāi)始被黑客們利用，以此獲得利益。

另一方面，2005年，全球信息安全產(chǎn)業(yè)開(kāi)始醞釀變局：賽門(mén)鐵克大手筆并購(gòu)維爾軟件，將安全的概念擴(kuò)展到了災(zāi)難備份和存儲(chǔ)領(lǐng)域；微軟高調(diào)介入反間諜軟件和反垃圾郵件領(lǐng)域；一些傳統(tǒng)的網(wǎng)絡(luò)通信設(shè)備廠商如思科、華為3Com、諾基亞等在信息安全領(lǐng)域發(fā)起進(jìn)攻。

事實(shí)上，目前安全方面 的矛盾越來(lái)越集中在應(yīng)用層面，例如像思科這樣的網(wǎng)絡(luò)廠商，或者像SAP這樣的ERP應(yīng)用廠商，這使得未來(lái)有兩類(lèi)公司在安全業(yè)中可能控制話(huà)語(yǔ)權(quán)。一是以基礎(chǔ)體系為核心，從管理到安全設(shè)備，都與通信相關(guān)，或者是將安全融合到網(wǎng)絡(luò)通信當(dāng)中去的公司；二是以服務(wù)于應(yīng)用系統(tǒng)為核心的專(zhuān)項(xiàng)安全技術(shù)公司，不過(guò)當(dāng)它達(dá)到一定規(guī)模后，將賣(mài)給應(yīng)用系統(tǒng)公司或者通信網(wǎng)絡(luò)公司，或獨(dú)立發(fā)展成綜合性、以應(yīng)用層為核心的專(zhuān)業(yè)性安全公司。

從2006年開(kāi)始，全球的網(wǎng)絡(luò)信息安全將真正進(jìn)入應(yīng)用安全的時(shí)代?！笆辍?，在網(wǎng)絡(luò)安全的發(fā)展歷程中僅僅是個(gè)開(kāi)始，虛擬世界就像現(xiàn)實(shí)世界一樣，只要有犯罪，就一定有警察。警察與小偷在網(wǎng)絡(luò)上與在現(xiàn)實(shí)中一樣，永遠(yuǎn)上演著不同的故事！ (CCW)