本刊記者 | 黃海峰

去年6月份斯諾登事件爆發(fā)后，信息安全問題得到我國(guó)空前重視。去年11月，十八屆三中全會(huì)決定設(shè)立國(guó)家安全委員會(huì)，今年2月，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立。近期，除了中央國(guó)家機(jī)關(guān)政府采購(gòu)中心要求采購(gòu)的計(jì)算機(jī)類產(chǎn)品不允許安裝Win8操作系統(tǒng)之外，國(guó)家互聯(lián)網(wǎng)信息辦公室也將出臺(tái)網(wǎng)絡(luò)安全制度，信息安全再度受到關(guān)注，相關(guān)部門的推進(jìn)力度明顯超出了市場(chǎng)預(yù)期。

而5月22日，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布消息稱，為維護(hù)國(guó)家網(wǎng)絡(luò)安全、保障中國(guó)用戶合法利益，我國(guó)即將推出網(wǎng)絡(luò)安全審查制度。該制度規(guī)定，關(guān)系國(guó)家安全和公共利益的重要技術(shù)產(chǎn)品和服務(wù)，應(yīng)通過(guò)網(wǎng)絡(luò)安全審查。在信息安全一系列大變化中，產(chǎn)業(yè)各方該如何看待中央信息安全新政策？國(guó)內(nèi)信息安全產(chǎn)業(yè)鏈，包括電信運(yùn)營(yíng)商、安全廠商等面臨了哪些機(jī)會(huì)和挑戰(zhàn)？

國(guó)家安全政策“非常必要”

單就我國(guó)將推出網(wǎng)絡(luò)安全審查制度，北京大學(xué)信息管理系教授賴茂生此前表示，這是我國(guó)政府的一個(gè)重大決策，非常必要?！爸饕蚴钱?dāng)前網(wǎng)絡(luò)安全形勢(shì)非常嚴(yán)峻。少數(shù)國(guó)家肆無(wú)忌憚地利用互聯(lián)網(wǎng)對(duì)他國(guó)搞監(jiān)控，竊取他國(guó)政府和公民的信息，甚至攻擊他國(guó)的重要設(shè)施。中國(guó)是主要的受害國(guó)之一?！?/p>

對(duì)于這一系列政策，中國(guó)電信一位安全專家介紹，從國(guó)家安全和扶植國(guó)內(nèi)IT產(chǎn)業(yè)的角度看，新政策具有積極正面的意義。目前中美兩國(guó)在互聯(lián)網(wǎng)安全、國(guó)家安全方面進(jìn)行了多輪多層次的博弈，從國(guó)家層面對(duì)涉及到國(guó)家安全的行業(yè)、企業(yè)及其業(yè)務(wù)和數(shù)據(jù)進(jìn)行政策上的引導(dǎo)和約束，是具有積極意義的。

事實(shí)上，從互聯(lián)網(wǎng)進(jìn)入到云時(shí)代之后，數(shù)據(jù)安全和業(yè)務(wù)安全已經(jīng)進(jìn)入了新的階段。比如Win8、Mac等桌面操作系統(tǒng)及Android和iOS等手機(jī)系統(tǒng)都具備不同層面的云同步機(jī)制，并且有些系統(tǒng)底層的同步機(jī)制是隱含的和不可控制的。

“因此，這種政策是必要的、及時(shí)的。”上述中國(guó)電信人士表示，在這種新政策的大背景下，去IOE就是受其影響出現(xiàn)的一種趨勢(shì)。姑且不論是否能達(dá)到去IOE的目的和在多大程度上達(dá)成，但對(duì)國(guó)內(nèi)企業(yè)和廠商都是一個(gè)巨大的機(jī)會(huì)。一方面國(guó)內(nèi)軟硬件廠商應(yīng)該積極抓住商機(jī)，撬動(dòng)市場(chǎng)份額。另外一方面，國(guó)內(nèi)廠商也應(yīng)該加大研發(fā)投入，改善產(chǎn)品，以滿足政府和商業(yè)的需要，并針對(duì)國(guó)內(nèi)的特定需求進(jìn)行產(chǎn)品改進(jìn)。

IDC分析師王培也指出，政府頒布的一系列保護(hù)國(guó)家信息安全的新政策，加上現(xiàn)在普通民眾本身就對(duì)IT安全的需求在不斷增加。因此，未來(lái)中國(guó)IT安全市場(chǎng)有巨大的發(fā)展?jié)摿Α?/p>

理性進(jìn)行國(guó)產(chǎn)力量的扶持

“企業(yè)應(yīng)該有計(jì)劃、經(jīng)過(guò)專業(yè)評(píng)估的對(duì)新政策進(jìn)行推進(jìn)。”該中國(guó)電信人士理性認(rèn)為,由于所涉及的范圍之大、層面之深，而國(guó)內(nèi)的信息產(chǎn)業(yè)尚不具備完全取代國(guó)外信息產(chǎn)業(yè)的能力，因此盲目地吹捧和強(qiáng)制替代為所謂的國(guó)產(chǎn)系統(tǒng)、自主產(chǎn)權(quán)，并不現(xiàn)實(shí)，也會(huì)帶來(lái)很大的問題。

上述電信人士特別建議，在加大對(duì)國(guó)內(nèi)產(chǎn)業(yè)、企業(yè)的扶植的同時(shí)，相關(guān)部門要注意避免國(guó)家資金和政策優(yōu)惠盲目投入，不能被披著“自主產(chǎn)權(quán)”、“國(guó)產(chǎn)操作系統(tǒng)”，而實(shí)質(zhì)上只是對(duì)國(guó)際上開源項(xiàng)目的剽竊和抄襲的項(xiàng)目和產(chǎn)品騙取了國(guó)家資金。

王培則指出，目前國(guó)內(nèi)企業(yè)在網(wǎng)絡(luò)安全保護(hù)方面，多以邊界化保護(hù)為主、以硬件設(shè)備為主、以保護(hù)基礎(chǔ)設(shè)施為主，預(yù)算能省則省，缺乏整體安全規(guī)劃，對(duì)安全服務(wù)的概念比較模糊，這也是各類安全事件頻發(fā)的主要原因。據(jù)了解，盡管中國(guó)IT安全市場(chǎng)發(fā)展迅速快，但與發(fā)達(dá)國(guó)家相比，中國(guó)IT安全投資占IT行業(yè)投資總量的比重依然較低，只有1%左右。

談及安全企業(yè)如何應(yīng)對(duì)，該電信人士指出，安全企業(yè)應(yīng)該加大對(duì)各種云服務(wù)、操作系統(tǒng)、移動(dòng)計(jì)算方面的安全技術(shù)研究和投入，在保障業(yè)務(wù)發(fā)展的同時(shí)，控制數(shù)據(jù)泄漏和數(shù)據(jù)邊界，及時(shí)關(guān)注各種大數(shù)據(jù)安全。

新時(shí)期將呈現(xiàn)五大趨勢(shì)

盡管國(guó)內(nèi)信息安全政策驅(qū)動(dòng)國(guó)內(nèi)產(chǎn)品的國(guó)產(chǎn)化，但是當(dāng)前信息安全愈加復(fù)雜，相關(guān)事件影響力持續(xù)上升。同時(shí)，新興的技術(shù)趨勢(shì)驅(qū)動(dòng)IT安全市場(chǎng)朝新的方向發(fā)展。王培表示，云計(jì)算、大數(shù)據(jù)、社交網(wǎng)站和移動(dòng)終端將成為未來(lái)IT安全領(lǐng)域的主要發(fā)展方向。

基于此，王培判斷中國(guó)IT安全市場(chǎng)將呈現(xiàn)五大發(fā)展趨勢(shì)。一是策略合規(guī)成為安全市場(chǎng)增長(zhǎng)的第一驅(qū)動(dòng)力。從2007年6月發(fā)布信息安全等級(jí)保護(hù)到現(xiàn)在，國(guó)家出臺(tái)若干信息安全產(chǎn)業(yè)發(fā)展規(guī)劃和策略，這導(dǎo)致信息領(lǐng)域國(guó)產(chǎn)化成為重要目標(biāo)。

二是DDoS卷土重來(lái)帶來(lái)全新挑戰(zhàn)。王培指出，數(shù)據(jù)中心依然是DDoS攻擊重災(zāi)區(qū)，利用僵尸網(wǎng)絡(luò)發(fā)起的DDoS攻擊依然占網(wǎng)絡(luò)攻擊事件的絕大多數(shù)。同時(shí)，應(yīng)用層的小流量，慢速DDoS攻擊越來(lái)越普遍，移動(dòng)終端將成為DDoS攻擊源。此外，針對(duì)IPv4和IPv6的網(wǎng)絡(luò)及應(yīng)用的混合攻擊會(huì)在未來(lái)幾年內(nèi)成為新型的DDoS攻擊威脅。

三是新應(yīng)用促使邊界安全網(wǎng)關(guān)產(chǎn)品升級(jí)。以前高性能NAT發(fā)展下，網(wǎng)關(guān)產(chǎn)品取代路由器；如今智能、應(yīng)用識(shí)別、流控成為新的剛需。因此，高性能網(wǎng)關(guān)是基礎(chǔ)的保障，還需要高精度動(dòng)態(tài)應(yīng)用識(shí)別及管控、多功能集成化深度應(yīng)用防護(hù)、智能安全分析、應(yīng)用流量的統(tǒng)一管控等能力。

四是基于大數(shù)據(jù)的分析技術(shù)將應(yīng)對(duì)APT的復(fù)雜性。針對(duì)APT攻擊安全防護(hù)由實(shí)時(shí)性向精準(zhǔn)性和持續(xù)性發(fā)展，智能安全分析能力成為安全防護(hù)的關(guān)鍵要素，歷史數(shù)據(jù)、機(jī)器學(xué)習(xí)、數(shù)學(xué)模型成為安全分析新寵。目前，在 RSA 2014大會(huì)上，5家創(chuàng)新公司核心技術(shù)就是以大數(shù)據(jù)安全分析來(lái)應(yīng)對(duì)APT攻擊。

五是企業(yè)級(jí)移動(dòng)安全備受重視。王培認(rèn)為，中國(guó)企業(yè)級(jí)移動(dòng)安全市場(chǎng)總體上還處于起步階段。隨著移動(dòng)應(yīng)用的普及，BYOD用戶量增加，企業(yè)客戶對(duì)于移動(dòng)設(shè)備管理MDM、移動(dòng)應(yīng)用管理MAM、以及移動(dòng)安全平臺(tái)管理的需求會(huì)越來(lái)越多。未來(lái)2~3年將是移動(dòng)安全的高速發(fā)展階段，預(yù)計(jì)2016年將達(dá)到建設(shè)高峰。