如何应对信息安全产业面临的新挑战

工信部赛迪智库信息安全研究所副所长 冯 伟

如何应对信息安全产业面临的新挑战

工信部赛迪智库信息安全研究所副所长 冯 伟

回顾2014年，展望刚刚到来的2015年，信息安全面临的环境将进一步发生变化，传统的查杀封堵等安全技术将进一步显现“疲态”，“老三样”安全产品——防火墙、入侵检测系统、杀毒软件也已经“过时”。信息安全产业所面临的挑战也将“与时俱进”，呈现出以下特点。

信息安全产业面临哪些新的主要挑战

网络攻击国际化组织化趋势明显。从2010年的“震网”病毒到2011年的“网络黎明”计划，从叙利亚电子军到“棱镜门”事件，从“蜻蜓”黑客组织攻击了1000多家能源企业到“刺杀金正恩”影片引起的一系列网络对抗，时至今日，网络安全已经上升到国家层面，已经不是一家或几家企业所能解决的。企业应该明确自己定位，要符合国家整体战略的要求和安排。

大数据、云计算等新兴技术带来新挑战。以云计算为例，一是失去对数据和业务系统的直接控制权。数据和业务系统一旦部署在第三方云计算平台上，其直接控制权就从用户转移到云服务提供商手中。用户难以对自身数据和业务进行有效监管，存在云服务提供商内部人员进行非授权访问的风险，加大了数据保护的难度。对于涉及跨云服务提供商的业务来说，数据泄露和业务失控的风险进一步加大。二是数据保护更加困难。一方面，云计算平台通过多客户机制实现用户共享资源池，多客户机制使用逻辑隔离实现资源的访问控制，攻击者可能会利用逻辑隔离的脆弱性，打破隔离机制并非法访问用户的数据和资源。另一方面，云计算平台的组件常需要升级和性能改进，导致云计算平台难以实施有效的数据保护措施，增加了用户数据未授权访问、篡改、泄露和丢失的风险。三是安全责任难以界定。在不同的云计算服务模式下，用户与云服务提供商的控制范围和安全责任不同，明确各自的责任需要考虑采用的云计算服务模式。另外，云服务提供商与用户之间的服务提供和消费关系必然导致双方在某些关键的云计算组件上存在交叉，交叉处的责任界定更加困难。四是数据所有权面临挑战。一方面，服务终止时，云服务提供商可能由于诸多因素难以归还用户数据，目前缺乏有效的机制、标准或工具来验证云服务提供商的删除操作，可能造成用户数据残留在云服务提供商的存储介质上，增加用户数据泄露风险。另一方面，用户在云计算平台的活动会产生相关衍生数据，包括对资源消耗进行统计和计费而收集的信息、日志及审计跟踪信息，为了业务管理而在云计算平台内产生或收集的元数据等，这些衍生数据所有权目前还没有明确界定。

供应链安全引入新威胁。电子产品的构成日益复杂，一件产品的配件可能来自不同国家和厂商，一套复杂软件系统可能由不同地方的人员共同设计完成，因此信息安全已经成为全供应链安全问题，任何一个环节都可能引入后门或漏洞，极大地增加了信息安全的防护难度。以芯片设计为例，芯片在设计过程中就可能存在有意的“漏洞”，随着芯片复杂程度的提高和设计团队的全球化，在其中插入后门的风险也在逐渐增加。正如2013年11月布鲁金斯学会John Villasenor教授所说，“恶意芯片等硬件产品已经成为信息系统、设备、产品预埋后门和漏洞的主要途径”。据2014年1月《纽约时报》报道，NSA2008年就启动了“量子”项目，通过在IT供应链环节植入间谍软硬件，监控目标计算机的一举一动，并能够借助事先安装在电脑中的微电路板、USB连接线等装置发送的秘密无线电波传递情报，从而达到监控离线计算机的目的。据披露，中国军方是“量子”项目的主要目标之一。此外，据2013年12月德国《明镜》周刊报道，NSA1997年就设立了名为“定制入口行动办公室”的黑客部门，其在掌握目标人物的网购信息后，拦截运送途中的电脑、硬盘、路由器等电子产品，并对这些产品的硬件做手脚，以对目标人物进行实时监控。被安装后门的电子产品包括思科、三星、戴尔、西部数据等知名品牌。据透露，过去10年里，其成功入侵了89个国家的258个目标，几乎触及世界上的每个地方。

在面临诸多挑战的同时，信息安全产业也迎来历史性的发展机遇。自2014年2月份中央网络安全和信息化领导小组正式成立之后，我国相继出台了一系列政策措施。一是出台了网络安全审查制度，主要对关系国家安全和公共利益的系统使用的重要信息技术产品和服务进行审查。网络安全审查能促使企业，特别是国外企业，规范行为标准，提高服务质量，进而推进信息产业更加健康有序的发展。二是对高通、微软等开展反垄断调查，将Win8排除在政府采购范围之外，这样有助于形成公平的市场环境。这有助于形成市场公平竞争的大环境，外企在中国的“红地毯”待遇将一去不返，国内厂商将与外企进行公平市场竞争，这为我国企业发展提供机遇。三是国家网络安全战略即将出台，其对网络安全产业发展进行顶层规划，明确产业发展的目标和任务，有助于促进相关企业的健康快速发展。此外，IBM、英特尔等西方IT巨头纷纷向我国企业抛出“橄榄枝”，如IBM开放了Power芯片架构和Informix数据库源代码，Intel则与清华紫光旗下的展讯等联合研发移动芯片。尽管这些IT巨头的目的在于巨大的中国市场，但这也为我国掌握核心技术提供了契机。

应对新挑战该怎么办

1.产业怎么办

面对挑战，中国信息安全企业必须及早思考产业战略发展问题，并做如下工作。

一是企业应根据自身优势以及市场需求明确定位，开拓公共系统的市场，另一方面紧跟技术发展，着力发展云计算、大数据、物联网新兴市场。二是加强政企合作，积极配合国家战略，一方面企业要做到可信，通过人员审查等措施不断增强自身的可信程度，另一方面根据政府部门特定需求开放定制安全产品和服务，为政府提供安全保密等全方位的安全服务。三是应坚持掌握核心技术，应处理好引进国外先进技术和坚持自主研发的关系，要充分利用国外先进技术，本着引进、消化、吸收的原则，循序渐进，逐步做到能读懂、能配置、能修改、能裁剪、能改进、能替代，绝不能闭关锁国；同时，要毫不动摇的发展自己的技术，科学谋划最优的技术方向，集中力量攻关，避免被国外技术体系裹挟。四是要转变运营思路，应遵循借鉴IT企业一些经验，如互联网思维等，来打开企业发展新局面。

要大力培育网络安全龙头企业，可以通过大力支持自主可控网络安全产业的发展，通过资金和其它优惠政策鼓励有实力的企业介入开发周期长、资金回收慢的信息安全基础产品，比如安全操作系统和安全芯片等；依托高校、研究机构和企业自主创新平台，加大核心信息技术的投入，严格管理研究资金，推动研究成果转化；加强网络安全市场的政策引导，合理利用国际规则，约束国外企业在国内市场的发展，为自主网络安全产品提供更好的生存空间。

要完善网络安全管理体系。一是启动核心信息技术产品的网络安全检查和强制性认证工作，依照应用领域的安全等级设定不同的检查要求，比如对关键领域应用的产品进行源代码级检测，将安全产品的强制市场准入制度引入到核心信息技术产品领域；二是加强对国外进口技术、产品和服务的漏洞分析工作，提升发现安全隐患的能力，明确国外信息技术企业在国内提供产品、技术和服务时的责任和义务，对从事关键行业数据搜集和数据分析业务的企业采取备案和黑名单制度；三是建立新兴技术的网络安全预警机制，成立专门机构对新兴技术的网络安全隐患进行分析和研究，针对关键领域或部门出台强制性标准或规定，限制新兴技术的使用方式和范围，对掌握关键领域数据的企业进行管控。

2.与我国网络强国战略相结合

（1）制定相关战略政策，对网络强国建设进行统一指导和规划

网络强国建设是系统性、全局性工作，应在科学论证的基础上制定统一的战略政策，加强顶层规划，明确发展目标和重点任务。

一是要尽快出台以需求侧为重点的资金支持政策。国际经验表明，供给侧与需求侧创新政策共同作用，能更为有效地促进技术创新发展。因此，我国需要建立需求侧创新政策，将我国巨大的市场需求转化为技术创新的动力，也就是通过为创新增加需求、改善促进创新吸收的条件，提高对市场需求的认知等途径，刺激市场的出现或重构新的市场，营造有利于创新的市场环境，加速实现创新扩散。具体包括：加大政府对网络创新产品和服务的公共采购，通过以技术研发采购为主的商业化采购、以创新产品和服务为导向的公共采购，为新技术新产品提供初始市场，推动技术创新和应用；大力推动私人需求发展，政府部门可以通过直接对终端用户的财政补贴，或间接进行消费者宣传等方式，提升私人用户对创新产品和服务的认识和接受度，降低购买成本，培育本土领先市场，促进新技术产品的大规模应用和发展；塑造有利于创新扩散的市场框架条件，政府应当制定标准、法规，为新技术发展提供相关规范，通过制定产品和服务集成创新的通用标准，鼓励平台的建设和发展，促进企业基于平台建设自己的创新生态系统。

二是针对网络人才的特殊性和我国网络人才存在的实际问题，尽快出台网络人才相关扶持政策。重点扶持高校培养、职业培训、全民意识普及，促进网络人才在区域间合理流动，为人才建设提供良好的发展环境。

三是利用社会主义核心价值观构建网络道德规范体系。要坚持社会主义先进文化的发展方向，弘扬网络文化主旋律，宣传科学真理、传播先进文化，积极发展健康向上的网络文化；要倡导文明办网、文明上网，加强网络诚信环境建设，营造健康向上的网络文化氛围；积极运用新技术，加大网络正能量的宣传，同时加强网上思想舆论阵地建设，掌握网上舆论主导权。

（2）建立跨部门、跨区域的协调机制，共同推动网络强国建设

网络强国建设涉及多个部门，应在中央网络安全与信息化领导小组下设专门协调机构领导下，统一思想，协调各方工作，提升网络强国建设的效率和速度。

以网络科技为例，我国各部门依据自身职责条块分割，相互之间协同合作较少，政策的衔接配合较弱。网络科技影响广泛，其发展也是深深内嵌于经济社会的各个系统，因此有必要加强顶层战略设计，构建多部门协同战略体系，对科技、教育、产业等多个领域中网络科技战略统一规划，组织大学、科研机构、产业领域专家共同参与制定网络科技发展路线图，促进科研、产业各方达成技术发展共识，并以此为基础，明确各部门战略目标，以及各部门在网络科技创新中的协同关系，使各部门战略设计、执行相互衔接。建立多部门联席会议制度，共同协商解决战略执行中的重大问题，面向网络科技发展需求，建立科研、产业政策相互衔接的政策体系，通过政策组合，充分发挥各项政策的支持作用，共同促进技术发展和应用。

（3）加大资金扶持力度，重点支持基础网络科技、产品研发

应加大对网络科技研发、基础设施培养、人才队伍建设等的重视程度，设立专门资金加大支持力度，为网络强国建设提供经费支撑。

一是政府和私营部门共同设立网络产业技术发展基金，由专业机构负责运营管理，加快产业技术发展。网络产业技术发展基金投资方向包括：国内企业开发产业关键和共性技术，由科技专家和产业专家组成的委员会对重大投资项目进行决策，并由专业投资管理团队采用商业运营方式进行管理；我国企业并购海外拥有关键技术的企业，由专业投资管理团队对相关项目进行评价筛选，以贷款、股权等方式参与海外并购项目，支持我国企业技术发展；中小企业网络科技创新，与科技型中小企业创新基金等政府投资基金衔接，完善产业组织体系。

二是为网络人才队伍建设提供经济基础，应明确人才培养重点任务，充分发挥有限经费的利用效益。主要包括：支持高校培养体系课程设置研究，在形成较为完备的专业理论体系的同时，引入部分时效性较强的课程，以适应新形势、新技术、新风险的需要；拓宽资金渠道，采用国家或企业奖学金的形式对专业优秀在校生进行资助，增加专业吸引力；投入专项资金加强实验室建设，加大核心技术人才培养力度，以人才教育促进自主网络科技发展，从而带动我国信息经济的整体发展。

三是加大资金投入，完善网络文化公共服务体系建设。通过重大公共文化工程和文化项目建设，完善公共文化服务体系，提高服务效能。同时注重提高网络文化产品和服务的供给能力，提高网络文化产业的规模化、专业化水平，把博大精深的中华文化作为网络文化的重要源泉，推动我国优秀文化产品的数字化、网络化，加强高品位文化信息的传播，努力形成一批具有中国气派、体现时代精神、品位高雅的网络文化品牌，推动网络文化发挥滋润心灵、陶冶情操、愉悦身心的作用。

（4）以人为本，建立科学合理的人才评价体系

一方面，信息产业界应当形成尊重人才的氛围，主要包括：一是转变我国对智力资本的认识，改变金融资本价值取向，提升国家、企业等社会各界对发明、专利、新产品等技术成果的认可程度，营造尊重知识、崇尚技术、鼓励创新的人才成长环境。二是加大国家层面对网络人才的重视，设立网络人才奖项，对国家网络强国事业做出突出贡献的人才，给予国家级别的物质奖励和精神奖励，使他们成为建立“网络强国”的中流砥柱。三是对人才体制机制进行必要改革，提高人才的工资待遇，在事业单位科研项目中设置合理的人员经费，建立技术人才的晋升通道。四是引导IT企业提高对人才的重视，将人才视为企业发展的引擎，建立管理层和技术人才联合主导的技术研发路径，在科研成果产业化过程中充分听取技术人才的建设性建议和意见，给予研发人才“员工股”，调动研发人才的积极性。

另一方面，健全网络人才的评价体系。目前大学科研机构以学术论文为基础的评价制度，在一定程度上影响了科研人员从事应用研究的积极性。因此，各大学和科研机构有必要针对科研人员从事基础研究和应用研究的不同产出特点，建立综合评价体系，鼓励科研人员在一定时期内从事应用研究工作。而且，教育和科研管理部门制定相关制度，允许科研人员在一定时期内到企业任职，从事技术研发工作，并保留大学科研机构的编制，促进科研人员流动，加强大学科研机构与企业之间的技术交流。

（5）借鉴国际先进经验，积极参与国际合作与对话

目前，我国网络相关技术、产品与发达国家存在显著差距，有必要加强国际交流，学习国外先进技术和理论。一是通过留学方式，一方面借助国外教学资源为我国培养网络人才，另一方面，充分借鉴国外经验，完善我国网络人才队伍建设体系；二是学习最前沿的信息技术，了解信息技术发展趋势。

此外，网络空间已经成为世界各国争夺话语权，推行价值观的焦点，应积极参与国际合作，宣扬中国自主信息技术产业的核心理念，争取国际社会支持。