备战信息安全

“窃听门事件、斯诺登事件、携程泄露门……”，近两年发生的信息安全丑闻不胜枚举。伴随2月27日，中央网络安全和信息化领导小组的成立，我国将备战信息安全提升到了新的高度。

未来，随着新政的进一步落实，必将给我国的信息安全产业带来新的机遇。就监管机构而言，随着安全相关的政策、标准、法律法规的陆续出台，未来监管将有法可依、有据可循，更好地规范我国的安全产业，促进整个产业向更合理的布局转换。就用户而言，企业将更加重视信息化及其信息安全要求，原本那些隐患的重视程度会被提升、原本滞后的安全建设会被提上日程。就安全厂商而言，国家对信息安全的重视，会显著增强企业的信心，促使企业加大投入，为用户提供更好的产品和服务。

当然，机遇与挑战往往是并存的。在备战信息安全的过程中，不可避免地会遇到各种新的挑战。比如，随着移动互联网、云计算、大数据时代的到来，如何在法律法规、技术等层面做好防护都是未来要重点考虑的。

但不管怎么说，新一轮备战信息安全的战斗已经打响，围绕信息安全产业的整个生态圈已经开始变革。

3月22日下午18：18分，乌云漏洞平台消息称，携程网IT系统存在技术漏洞，可导致用户个人信息、银行卡信息的泄露。短短几天时间，信息安全问题被推向风口浪尖，人们恐慌心理再起。

虽然网络安全问题如今已不是什么新鲜事，近两年，此类问题不胜枚举。如家、七天等酒店泄露住客信息、《世界新闻报》窃听门事件、斯诺登事件……但每当此类事件发生，总会引起广泛性的恐慌，足见其危害之大。当下，用保护信息安全刻不容缓来形容其急迫程度，一点都不夸张。而世界各国对网络安全的重视程度也越来越高，比如早在2010年，美国就针对网络安全威胁了《国家安全战略》，将信息安全保护提升到国家层面。

我国也于今年2月27日，宣告中央网络安全和信息化领导小组成立，并在北京召开了第一次会议。中共中央总书记、国家主席、中央军委主席亲自担任组长，、刘云山任副组长。在讲话中就明确“没有网络安全，就没有国家安全”。另外，在刚刚结束的今年两会上，明确提出2014年政府的工作重点之一就是网络安全。

新形势

中国既是网络大国，同时又是信息窃取、网络攻击的主要受害国。信息安全往大了说，涉及到政治安全、国防安全以及社会安定的问题；往小了说，涉及个人信息、商业机密，与我们的工作生活息息相关。

不可否认，近些年，我国的信息化水平取得了长足进步。然而，在信息化突飞猛进的同时，是信息安全保护的滞后，部分信息系统缺乏网络安全保护，存在很大的隐患。再加上各类新型攻击方式的出现，更使得网络安全保护雪上加霜。

根据Gartner的统计数据显示，我国在网络安全建设的投入远低于欧美，网络安全与信息化建设的总投入占比还不到10%。在此大环境下，网络安全的总体市场规模也远低于欧美市场，甚至还不如日本。

IDC中国安全市场研究经理王培在接受本报记者采访时表示，“目前企业在网络安全保护方面，多以边界化保护为主、以硬件设备为主、以保护基础设施为主，预算能省则省，缺乏整体安全规划，对安全服务的概念比较模糊，这也是各类安全事件频发的主要原因。”这也直接导致我国信息安全产业发展滞后的现状。

本次，中央网络安全和信息化领导小组成立，任组长，、刘云山任副组长一方面体现了国家的重视，另外也加强了未来在制定网络安全政策时，相关部门之间的协调与配合。

援引国家行政学院教授汪玉凯的观点，“新组建的中央网络安全与信息化领导小组，已经不是国家层面上的，而是党中央层面上设置的一个高层领导和议事协调机构。出任组长的已经不是过去政府首脑总理，而是党的总书记，大大提高该小组总揽全局的整体规划能力和高层协调能力。而且，这个小组不是单纯的信息化领导小组，而是把网络安全放在更突出的位置，与国家信息化整体战略一并考虑，具有重大战略意义。”

可以说，此次国家层面的重视体现了中国最高层全面深化改革、加强顶层设计的意志，显示出了在保障网络安全、维护国家利益、推动信息化发展的决心，给安全产业带来了新的机遇。

不难想象，随着新政的不断落实，新的信息安全机构即将成立，一系列有关信息安全的政策、法律法规即将制定和颁布。

新机遇

中央网络安全和信息化领导小组的成立会对信息安全产业带来怎样的机遇？

随着中央网络安全和信息化小组的成立，无疑会对安全产业产生深远的影响。安全市场规模将进一步扩大，同时促使监管机构、用户、安全厂商及学术界采取行动，从而促进整个产业的健康发展。

就监管机构而言，随着安全相关的政策、标准、法律法规的陆续出台，未来监管将有法可依、有据可循，更好地规范我国的安全产业，促进整个产业向更合理的布局转换。

就用户而言，企业将更加重视信息化及其信息安全要求，原本那些隐患的重视程度会被提升、原本滞后的安全建设会被提上日程。山东省某著名铝业股份公司CIO陈兆椿在接受采访时表示，“对我公司来说，未来信息化安全项目的投入将更具有政策性支持，向上层汇报需求时更容易获得各方面的认可，具体体现在项目资金投入会更多，项目人员需求、计划要求更加容易执行等方面。”

就安全企业而言，国家对信息安全的重视，会显著增强企业的信心，促使企业加大投入，为用户提供更好的产品和服务。记者在采访中，受访企业包括华三、山石网科、深信服、网御神州、网康等安全厂商均表示，国家的重视会对安全产业的演进产生积极的促进作用，他们对企业未来的发展充满了信心。

网御神州副总裁王刚同时补充到，未来，安全产业对人才的吸引力会加强，从而促进更多的优秀人才投入到安全学术界、产业界。

另外，随着国家对自主企业的不断扶持，也将对未来安全市场格局产生影响。IDC王培认为，虽然总的来说，随着市场规模的扩大，对国内、国外安全厂商而言，当前都是利好。不过长期来看，国内厂商会更有优势，国内厂商在安全产业的占比会逐渐更大。

对此，游侠安全网站长张百川表示赞同。他表示，随着政策的进一步实施，国外产品的地位将被弱化。

新挑战

新机遇必然会带来新挑战。特别是当前，各种新型技术、应用层出不穷，云计算、移动互联网、大数据此起彼伏，在给我们工作、生活带来极大便利的同时，也留下了巨大的隐患。如何有效监管、如何有效防御给政府、企业及安全厂商都提出了新的问题。

以刚刚发生的携程泄露用户信息为例，携程是否该存储用户信息、安全保护措施是否到位、该如何保护这些信息都是未来需要重点探讨的问题。

为此，记者也采访了相关专家。深信服市场行销部技术总监殷浩在接受采访时直击痛点，他认为，传统的安全防护方案难以解决信息资产泄密的问题，这也是DLP软件、防火墙软件一直叫好不叫座的原因。

为此，深信服一直在研发、完善桌面云解决方案，以更好地应对数据泄密问题。深信服认为，桌面云虽然不是真正意义的安全方案，但是却可以更好地解决信息泄密这类安全问题。比如某科研企业，为防止核心研发信息外泄，利用桌面云方案，就可以将所有本地数据都集中在数据中心存储、调用和管控，笔记本等终端只能接收图像，整个业务过程中数据不落地，使用者不能够将数据做本地保存和外发。而且桌面云还能在组织内建立起相互逻辑隔离的多张网络，既不会影响操作体验，又能将关键数据安全地隔离保护。

类似这样的技术挑战还有很多，比如随着Wi-Fi的普及，其带来的安全风险大增，尤其是在政府部门、办事大厅、企业内部、金融营业厅等场所，因为接入的用户和终端类型十分多样，相比传统的有线网络，安全风险大大提高、管控难度也将大大增加。再比如，诸如ATP攻击、0day漏洞的各种新型攻击方式地不断涌现都将成为必须面对的问题。

除此之外，王刚还提出了自己的担忧。他认为一家企业的力量毕竟有限，掌握的数据信息也有限。而未来的安全威胁显然会比现在更加广泛、更加隐蔽，需要掌握更多的信息才能更好地实施保护。如果坚持单打独够，显然会被时代所淘汰。因此，他希望能够推动产业联盟、产学研联盟的发展，使各个企业联合起来，做到优势互补。

安全厂商的应对之道

中央网络安全和信息化小组的成立势必会引领新一轮的信息安全建设热潮，究竟哪个领域会率先发力，各厂商都着自己的看法，也有着各自的应对之道。但总的来说，都离不开“紧跟热点、发挥长处”。

比如，针对现在热门的移动互联、云计算、物联网、大数据等信息建设热点带来新的安全需求，华三除可以提供传统的满足合规要求的传统安全产品与解决方案，比如防火墙、IPS、VPN外，还也可以提供新的解决方案——“应需而安SoD（Security on Demand）”，未企业未来信息化提供更加完备的解决方案。

作为老牌网络安全厂商，深信服则在把握网络安全风向标的同时，致力于不断提升产品的安全防护能力。除了会根据安全风险趋势，细化一站式桌面云方案的防泄密功能，比如增加水印、录屏审计、外发审批外，还将继续加大对下一代防火墙产品的研发资源投入，强化APT防御、0day漏洞等的防御手段。

网御神州一方面在基础设施安全、数据安全等方面推出有针对性的行业解决方案。另一方面，还加大创新力度，以应对日新月异的各类攻击手段。据王刚透露，目前，网御神州正在研发下一代安全技术和安全产品，以应对未来的安全需求。

与其它厂商不大相同，山石网科的理念更为前卫，致力于为用户提供全面的网络安全防护体系。山石网科行业解决方案经理杜旭辉介绍说，山石网科将紧密跟随网络环境和安全技术的变化，以“智能”为核心，为用户打造弹性、可在云及SDN网络中部署，能够应对0day和APT攻击的防护产品。

网康科技将以为广大中小企业提供功能全面、经济实用的整体边界安全解决方案作为己任。通过网康下一代防火墙，加上其灵活的“服务模式”和“设备模式”组合，最大程度地满足中小企业的安全需求。

从各个安全企业对未来的规划也不难看出，各有市场侧重、各有聚焦热点，但共同点是未来的安全都会更多地强调整体解决方案、安全服务意识，而不再是单个的产品，这也正是当前用户所想。

陈兆椿在谈到未来企业的信息安全建设时表示，随着国家政策的出台，追求自建信息化平台将是各企业单位的终极目标。所以信息安全服务公司应该努力朝着为企业单位提供平台建设服务的方向发展，而不仅是提供一个产品化的、信息服务公司自身设计的封闭信息系统。安全服务商应该给予各企业单位一个开放式的平台架构，在此平台架构上由企业自己去发挥构建自己的信息管理服务平台。

我国信息安全保卫战的大幕已经拉开，新形势、新机遇、新挑战下，必然会有各种问题显现。可能当前信息安全产业生态圈的各个环节还存在一些不协调的因素，但随着我国信息安全产业的不断演进，这些沟壑迟早会被填平。就像用户与厂商之间的诉求虽然存在一定差距，但总会达成一致一样。

发展强大的本土信息技术企业和产业

用友软件股份有限公司董事长王文京两会关于网络安全的建言

构建安全网络、推进信息化，除了加强领导体制，强化发展战略、宏观规划和顶层设计、制定重大政策外，要特别重视和加强本土信息技术领域的企业和自主产业发展，以形成对国家网络安全和信息化的强大支撑。因为企业是网络安全和信息化产品技术研发创新、系统运行保障的主体，就像没有之前的IBM、微软、甲骨文，现在的谷歌、苹果、Facebook等企业，就不可能支撑美国的信息安全和信息化一样，我国的网络安全和信息化推进也必须有强大的信息技术企业和产业支撑。

建议充分信赖、依靠、支持产业各领域龙头企业，通过营造有利创新发展的市场环境、依托龙头企业开展国家重大专项、进一步完善政策等方式促进龙头企业做大做强，成为世界级企业，并带动产业整体发展。完善政策包括：对重大创新项目加大财税、科技人才等方面的政策倾斜支持力度；落实执行已经的产业政策（如国务院2011年4号文件关于软件企业营业税的政策）；清理障碍企业创新发展过程中的政策障碍（如再融资审批、海关税收、股权激励税收政策等）。

国家关键信息基础设施保护迫在眉睫

浪潮集团董事长孙丕恕两会关于网络安全的建言

2013年“斯诺登”事件暴露出美国可以通过“巧言计划”等手段，掌握其销售海外的软硬件技术产品实际的部署信息，从而轻松地绘制出购买国信息系统布防图。其设在国家安全局下的“定制入口组织”，完全可以借助后门、漏洞等手段，控制他国的信息设备、窃取核心数据、瘫痪业务系统。由此可见，我国依赖外国技术装备而构建的关键信息基础设施，一直在承受着严峻的安全威胁。因此，建议国家尽快启动关键信息基础设施的国产化替代工程，通过国产化替代来降低安全风险。

一、在对现有的关键信息基础设施进行技术需求水平、安全评估基础上，制定关键信息基础设施产品的国产化率指标，提升关键信息基础设施的自主产品比重。对于现有系统装备更新原则上要使用能满足技术需求的自主知识产权的信息技术产品，不得以追求高水平技术为由屏蔽自主品牌产品。对于国内没有、或不满足需求而无法避免使用的要进行风险分析、制定安全机制和应急措施，在机制和措施建立的基础上严格审批程序，需要由国家认证机构确认并出具证明，报相关监管机关批准。对于当前存在的关键信息基础设施中使用的外国数据库、中间件产品与自主品牌产品不兼容等问题，其实质是外国产业链对于中国的遏制，要严格限制其违反WTO准则的行为，要求其取消技术壁垒，实现互相兼容，否则限制其进入关键信息基础设施。

二、充分发挥政府主导、示范带动作用。国家要推动关键信息基础设施、政府公共管理与公共服务系统建设的国产化平台示范工作，选择若干应用领域，由国家政策、资金的支持，搭建国产软硬件示范平台，通过应用示范效应，带动国产信息化装备的推广应用。

三、鼓励和支持信息系统承建单位使用国产装备，设立成果推广使用专项，对用户采用国产装备进行系统迁移等费用予以补贴；对于因业务系统采用国产装备必需的新系统开发、移植产生的新增项目开发给予科研立项和科研经费的支持；对于示范平台承建、首例规模使用单位予以成果推广应用奖励。

2013年2月～2014年3月，信息安全大事记

2013.2

中国人寿80万份保单信息泄露，包括险种、手机号、身份证号和密码等信息一应俱全，对被保险人的个人声誉及生活造成极大影响。

2013.3

支付宝转账信息被谷歌抓取，直接搜索“site：”就能搜到转账信息，数量超过2000条，涉及个人深度隐私。

2013.5

雅虎日本疑再遭入侵，2200万用户信息或被窃取。

2013.4

英国离岸金融业200多万份邮件等文件泄密，全球数千名匿名财富持有者的身份首次遭曝光，这些材料涉及170个国家的13万人，信息量多达260G，其中也包含来自中国的富人。

2013.6

爱德华·斯诺顿将美国国家安全局关于PRISM监听项目的秘密文档披露给了《卫报》和《华盛顿邮报》，随即遭美国政府通缉，事发时人在香港，随后飞往俄罗斯，棱镜门事件爆发。同月，搜狗手机输入法漏洞导致大量用户敏感信息泄露。

2013.8

如家等快捷酒店开房记录被泄露，包括客户名（两个人的话都会显示）、身份证号、开房日期和房间号等。

2013.10

Adobe安全漏洞被黑客利用，近300万账户隐私信息泄露。同月，圆通百万客户信息遭泄露，客户的地址、姓名、手机号码等信息一览无余，其近百万条信息，购买者可随意挑选；东航等多家航空公司疑泄露乘客信息。

2014.2

中央网络安全与信息化领导小组成立，中共中央总书记、国家主席、中央军委主席亲自担任组长，、刘云山任副组长。

2014.3

携程IT系统出现技术漏洞，导致用户个人信息、银行卡信息等大量泄露。