近年来,国与国之间的网络战争时见端倪。而今年6月,斯诺登曝出的“棱镜门”事件,更是将这场看不见硝烟的战争全面打响。在信息安全界,有观点认为:“棱镜门”事件正式宣告了和平年代国家安全的主战场已经转移到了网络空间。而要在这场战争中赢得先机,绝非纸上谈兵之事。
我们究竟面临怎样的挑战?
当下,我国面临的信息网络安全形势并不乐观。据一组来自CNCERT的数据显示:有1.5万个境外IP 控制了我国350万主机,这其中美国控制了254万个。1.4万个境外IP通过后门控制了国内2.5万个网站。而在一份由McAfee发布的对23个国家进行网络防御能力排名中,中国只排在第16位。
这一现状的强烈的反差,反应出我国的整体网络安全情况与全球其他国家相比,差距甚大。
安全的竞争不是长板之争,而是短板之争;不是个体之争,而是产业之争。可以说,我国的网络安全产业的落后导致了国家整体网络安全防御能力的相对落后,而政府多个部门缺乏统一的网络安全战略也被看做是中国自身的网络防御能力脆弱原因之一。
而这一切,与我国对网络安全产业的投资、法律法规监管以及企业民对网络安全的防护意识等方面有着密切相关的联系。
据IDC2011年的报告显示,在全球排名前20为的安全公司中,美国便占了15个席位。此外,以色列、俄罗斯、英国、荷兰以及中国台湾也各占一席,而在这之中,却难觅中国大陆安全厂商的身影。
据统计,在过去20个月里,信息安全领域超过千万美元以上的风险投资发生总额高达14亿美金,这其中很大一部分集中在美国。而这一数字在中国大概仅有4000万美金。
与其他信息安全发达的国家相比,我国在法律法规监管方面也存在巨大差异。
美国信息安全监管的对象主要是公共服务的提供者,比如对银行、学校和上市公司。美国在网络安全投资的重点领域集中在应用安全、移动安全以及APT攻击防范等方面。任何一个公共服务提供者,如果出现了用户信息泄露的话,商业企业要为此付出很大的代价。
在韩国,无论是在安全保护的项目方面,还是在经费方面,政府也做了大量投入。以当前信息安全关注程度比较高的金融领域为例,韩国金融业受到的监管相当严格,政府法规规定,必须要把5%的预算用于安全防护方面的工作。
与此相对,我国在这方面的立法表现的相当缺乏。同时,目前国内对于网络安全方面的监管主要是侧重于对安全产品供应商的监管。不得不说,这方面的政策对于提高行业准入标准来说确实起着重要作用;但为达到这一“合规”的要求,使得想在网络安全领域创业的企业需要付出相当高成本的时间和资金成本,这无疑也制约了国内这一产业的竞争与创新。
而对公共服务供应者缺乏立法约束,又极大降低了国内企业用户的安全需求。据分析,当前国内企业对网络信息安全较为重视的企业还只集中在金融、运营商等行业。特别是很多中小企业,更是对网络信息安全缺乏最基本的重视和投入。
企业用户对安全所进行投入少之又少,对安全市场的需求也随之降低,如此一来也缩小了整个安全市场的规模,进而降低了投资者的兴趣,使得整个信息安全产业链随之进入了不良发展的恶性循环。
面对挑战 拒绝“纸上谈兵”
棱镜门时间曝出之后,国内安全业界对于网络安全必须国产的呼声一直不断。而冰冻三尺非一日之寒,如何应对当前面临的网络信息安全严峻形势?
通过以上分析不难看出,这需要政府和企业在相关的政策制度方面做出适当调整,如建立健康发展的市场竞争机制、营造鼓励企业进行技术创新的大环境,加强对网络公共服务提供者的监管力度等。
同时,坚持开放竞争的原则也非常重要。网络信息安全产品国产化对于保护核心领域的信息安全来讲固然重要。但从整个产业的角度来看,只有引入先进技术的竞争,才能让国内厂商和自主研发的安全产品在竞争中得到提高。而也只有通过开放竞争,才能真正让优秀的企业和产品脱颖而出。
如今,网络战争密布世界各地,在这场看似没有硝烟的网络战争中,我们切不可再“纸上谈兵” 空谈信息安全国产化 。当信息安全已然上升到国家层面的高度的时候,无论是政府和企业自身,都应该共同致力于网络信息安全产业的健康持续发展。