政策东风助信息安全产业扬帆再起航

近日,国务院办公厅发布了《关于大力推进信息化发展和切实保障信息安全的若干意见》(以下简称《意见》)。文件重点指出,要健全安全防护和管理,保障重点领域信息安全;加快能力建设,提升网络与信息安全保障水平。记者日前采访了启明星辰首席战略官潘柱廷先生,请他对《意见》进行了详细的解读。

潘柱廷认为,《意见》是一份非常重要的文件,其历史地位堪比2003年中共中央办公厅和国务院办公厅出台的《关于加强信息安全保障工作的意见》,其影响十分深远。《意见》是一份综合、全面的指导性文件,既站在国家战略的高度对我国信息安全的宏观发展给出了方向和指导方针,也对一些具体领域的信息安全防护提出了细化的要求。

在宏观层面,《意见》提到,要“健全信息安全保障体系,切实增强信息安全保障能力。”对此,潘柱廷的理解是:能力等同于“实力”。没有过硬的安全技术实力,保障体系就无从谈起。我们要形成局部对抗和防御的实力,以保护商业和社会方面的信息安全。“切实增强信息安全保障能力”将为真正在技术上下功夫的企业和科研机构带来更多增长机会。

关于“加快安全能力建设。完善网络与信息安全基础设施,加强信息安全应急等基础性工作,提高风险隐患发现、监测预警和突发事件处置能力。”部分,潘柱廷认为,要做好上述几点,需要建立大PDR(防护+检测+响应)机制。还有其他专家提出了一种更全面的WPDRRC(预警+防护+检测+响应+恢复+反击)机制,涵盖了隐患发现、监测预警和突发事件处置。

安全运营是安全能力和实力的体现。安全运营中不仅要运营防御的设备和系统,还要做好对各种威胁的运营,也就是知己知彼,也就是所谓的威胁运营。隐患发现对应的技术就是漏洞扫描产品、安全基线检查产品;监测预警对应入侵检测、审计、宏观态势感知等技术和产品;能够做好突发事件处置的前提就是很好的事件分析和处置演练。

对于《意见》提出的“健全安全防护和管理。重要信息系统和基础信息网络要与安全防护设施同步规划、同步建设、同步运行……切实提高防攻击……防窃密能力。”潘柱廷表示,重要信息系统和基础信息网络主要是指电信网络、电力网络、银行和金融信息系统、财税海关、公共安全,以及其他重要政务系统。自从2003年中办发27号文之后,“安全责任同步”反复被强调。另一个提法就是谁主管谁负责、谁建设谁负责、谁运行谁负责。而与这些行业相关的信息安全等级保护、分级保护、测评认证制度、风险评估标准、行业性的银监会19号文等一系列合规性要求将会被更强力地落实。随着这些行业进一步提升安全防护能力,在信息安全方面投入更多的资金,将拉动信息安全市场的增长。

对于一些具体的领域,《意见》中也提出了信息安全防护要求,包括“保障工业控制系统安全。”、“明确敏感信息保护要求……加强个人信息保护工作。”潘柱廷认为,震网病毒、超级火焰病毒的发现,为工业生产控制系统安全敲响了警钟,这一领域的信息安全必须重视起来。安全的目标最终是业务的安全,具体说主要就是数据的安全。最近几年频繁发生的国家、企业、个人数据泄密事件使得数据防泄密成为市场中最热门的话题,数据防泄密这一细分市场正在快速成长。

《意见》最后指出,要“加大信息安全技术研发力度,加强对云计算、物联网、移动互联网、下一代互联网等方面的信息安全技术研究……完善有关信息安全政府采购政策措施和管理制度,支持信息安全产业发展。”潘柱廷强调,安全的实力最终还是会落实到技术实力上,落实在技术研究和产品开发上。当前安全技术的几个制高点是:APT(高级持续威胁)、宏观态势感知和应对、安全技术的高性能实现(高带宽、多核芯片)等。

目前我国信息安全产业的规模还非常小,产业年收入仅为100多亿人民币。这样的产业规模远远不能承担起国家信息安全战略的重担,也无法充分保证国家信息安全和社会民生信息化的安全。对于信息安全产业的大力扶持势在必行,要充分让市场的手和政策的手都发挥良好的作用。潘柱廷相信,在未来的5年,信息安全产业将随着信息产业的爆发而迎来自己的爆发期。