信息安全十年之惑

申请免费试用、咨询电话：400-8352-114

中国信息安全发展的十年并不是结束，而是新的开始。未来网络上的攻击手段还会出现哪些新的变化？技术将如何演进才能跟上攻击的变化？用户呼唤法律的保障，然而信息安全法何时才能出台？人们是否还应该相信网络？一切都是未知数。

2005年12月13日～18日，世界贸易组织第六次部长级会议将在中国香港举行，香港区政府特组建了一支抗击黑客的科技队伍巡视香港多个网络核心基建设施，以防有人在世贸会议举行期间潜入破坏。为求万无一失，部分基建中心甚至聘请保安员，在晚间守护服务器。

早在10月份，香港特区政府的安全评估表明，除了街上，互联网也可能成为世贸示威者的新示威战场。他们可能会突袭互联网，令香港网络陷入瘫痪。高危目标有可能是港府的世贸网站，香港中文大学的香港互联网交换中心、掌握香港域名系统的香港域名注册有限公司（HKDNR）。

若两家中心被攻陷，市民输入常用的“yahoo.com.hk“这类“.hk”域名时，电脑将不能驳入网址；网络亦会变得异常缓慢，甚至瘫痪，香港逾百万网民将不能上网。

“信息安全问题，首先应该重在‘防’，然后才是‘治’，增强用户的防范意识，是减少网络安全隐患极其关键的一环。”信息安全专家曲成义表示，对信息系统进行安全风险评估，并在特殊时期内对尚未发生的安全事故严防以待，可以减少灾难发生。

十年的媒体灌输和真实的攻击案例，已将人们的信息安全意识提到一个前所未有的高度；十年的网络信息安全技术发展，也让今天的信息安全保护策略和技术发生了翻天覆地的变化。然而，到了今天，人们对网络的安全性却越来越没底，问题究竟出在哪儿？

用户之困　

业内人士普遍认同，中国用户的信息安全意识在近十年来有了显著提高，尤其是中办27号文件的颁布，是我国重要信息系统安全保障工作的分水岭。但是，我国用户网络安全的形势却依然不容乐观。

首先，普通网络用户安全意识普遍薄弱。据有关部门在2004年的抽样调查数据表明，目前我国60%以上的计算机受到过病毒的感染，但一半以上的网民平均一周以上才进行杀毒；98%以上的网站遭遇过垃圾邮件或者病毒攻击，但仅有不到20%的中文网站具有比较完善的安全保护系统。

一方面，随着网络攻击方式日趋多样化，呈现出突发性、隐藏性等特点，不少用户并不知道采取怎样的措施才能有效地保护自己的信息安全，信息安全资源鱼龙混杂、充斥市场，无形中就降低了网络信息的公信力，用户从而对网络安全宣传产生抵触情绪。

另一方面用户对网络安全防范存在认识误区，在应用中将杀毒完全等同于网络安全，从而采取片面的防范措施：采用单机版杀毒产品保护网络，将单机版杀毒软件作为惟一的信息安全工具，认为网络安全防范可以通过杀毒产品就可以实现；将杀毒与防黑分离，认识不到网络病毒的变化趋势，忽视信息安全的重要性；即安装使用杀毒产品后，没有及时对杀毒产品进行升级。　

其次，安全产品的发展还是不能满足安全形势发展的需要。目前我国经济部门70％的信息安全设备来自国外。安全产品受制于人，我国网络系统和网络设备使用的关键芯片与核心软件大部分依赖进口。

据业内专家介绍，我们的核心技术特别是专用芯片和专用硬件的设计、生产能力基本受制于国外厂商尤其是美国厂商，安全芯片由Cavium/HiFin以及跨行业发展的NetScreen公司垄断。国内许多网络安全企业的硬件平台也基本都是直接来自美国。

上游受控于人，对厂商来讲，容易受到政治因素或其他原因的影响而出现禁运或断货现象，可能造成产业链的断裂。对重要信息系统用户来讲，很难实现“自主可控”的目标，在一定程度上为我国的经济和社会稳定留下隐患。

再者，随着信息安全技术的发展，用户所上的安全产品越来越多，在并未解决安全问题的同时，又带来了管理上的麻烦。到目前为止，在一些已经建设多年的大系统当中，信息安全产品的应用多达十几类，涵盖了大大小小几十个品牌。

某信息化主管曾经向记者抱怨，出现故障的概率似乎比以前还多，因为每一个安全产品都需要配置，配置不好，网络就不通。由于对大多数由系统管理员兼任的安全员来说，要了解每一个安全产品的性能和功能是一件相当令人头疼的事情，再加上各品牌产品标准没统一，接口不一样，判断谁出问题很麻烦。因此，一出问题就得聚拢一堆厂商来查原因。

“厂商提供的安全产品和实际的安全需求有所差距。”一些用户表示，多年来，厂商所提供对付垃圾邮件和病毒的产品只是“过期药”，他们在选择厂商的产品时无法适从。尤其是2004年后，间谍软件、网络钓鱼的出现，使得他们更是感觉有点坐以待毙。

按理说，经过十年的发展，中国已经形成了一批具有极高信息安全技术和极强实战经验的网络安全企业。然而，现实的情况并不乐观，目前国内最大的信息安全企业，比如天融信，在中国的市场营业额不过3亿元人民币，比起赛门铁克一年100多亿美元的营业额，相差太远！何以形成如此巨大的落差？

厂商之难

国内安全厂商天融信公司董事长贺卫东认为，用户的市场需求越来越多是件好事，但由于需求超前于整个产业的一些技术，给厂商们带来了很大的压力。中国缺乏国外那样的安全“巨无霸”企业，也缺乏技术创新型安全厂商。

一方面，中国信息安全产业的总体市场规模小，不足以支撑太多企业的运转。根据IDC的报告，2004年中国的信息安全产业总产值约为22亿元，而全球信息安全总产值折合人民币为2200亿元左右，中国不到全球总产值的1/100；2004年，中国IT行业的总产值已经超过了万亿元，信息安全只占其中的1/500，和国外IT安全投入占整体IT信息投入15％的差距相比，有天壤之别。

另一方面，由于市场盘子小，安全厂商多，使得安全市场竞争愈发激烈，防火墙、防毒软件等主流产品的价格出现下降趋势，厂商的利润空间在进一步压缩，在打单过程中的低价格撕杀比比皆是。与三年前比，防火墙的价格下降了一半以上。IDS下降得更厉害，有的不到原先的20%。而在某次某地的政府采购过程中，杀毒软件居然只有5元人民币，比盗版还低。

天元龙马科技公司总经理张昕尉认为，中国的网络安全厂商之所以很难快速推出适应安全形势发展的新技术产品，与绝大多数安全厂商还是在生死线上苦苦挣扎有关。它们面临着资金、标准、人才三重困境。

第一重困境是资金。“由于中国安全厂商基本上是靠自有资金滚动来发展，因此，大多数中小厂商不得不将产品的研发集中在防火墙、IDS杀病毒等市场需求已经起来的产品上做选择。” 张昕尉说，“它们以生存为研发的第一要素，对新生事物不敢问津。”

对于动辄几千万元的前瞻性技术投资，例如目前市场上呼声很高的WLAN、VoIP等相关安全产品，即使是像天融信、东软、联想网御、瑞星、启明星辰等所谓的规模过亿的安全大企业，也不敢轻举妄动，它们的营收不过是国外安全巨头的小小零头，抗风险能力还弱，在充满了变数的信息安全市场，一旦投资决策失误，很难有机会抬头。

第二重困境是标准。尽管我国一些行业具有安全等级应用标准，但缺乏产品标准。由于各家的接口不一，标准不同，不同的安全产品在配置和管理上比较麻烦，容易出现问题，影响到彼此的连通。对于用户来说，在选择产品时，因为没有统一的产品质量衡量标准，往往只能根据厂商的品牌知名度模糊地定义出厂商的技术实力，导致系统中应用各种不同品牌的产品后管理成本的急剧增加；或者不得不自己定义行业的应用标准而导致各种选型成本的增加。

第三重困境是人才数量不足。我国的信息安全专业建立于1995年，但当时都是定位于硕士以上的密码或相关理论研究领域，2001年才开始进行本科教育。据有关部门估计，国内安全专业人才的需求量在10万人左右，但国内具有专科以上学历的信息安全专业人才不足万人，而全国能够培养的信息安全专业学历人才和各种认证人员更是不足5000人。

贺卫东认为，资本市场的不成熟，是制约中国信息安全厂商发展的主要瓶颈。国外有成熟的资本市场，比如，NetScreen公司在发展之初融得了关键的200万美元发展资金，此后通过在Nasdaq上市，又融得了企业需要的大量技术研发资金，迅速发展成为全球最大的硬件防火墙厂商，在成立后的第9年，以40亿美元被Juniper收购，实现了一个企业的圆满的生命周期。而中国缺少这样的机制，使得企业要进行技术投资，基本上完全依靠自我积累和滚动发展。“这样的速度怎能与国际企业抗衡？”他反问。

今年全球信息安全领域的最大一件事情—赛门铁克收购维尔公司，使得赛门铁克迅速成为全球信息安全领域无可争议的第一霸主，形成了信息安全产业的巨无霸。“这件事情对中国的企业也非常具有警示意义，”贺卫东说，“中国为什么就不能出现这样的巨型信息安全企业？像联想集团、华为公司等中国的大型IT企业应该反思，它们有没有承担起历史赋予它们身上的重任？为什么什么技术都要自己开发？为什么不能学学思科和赛门铁克，通过收购的方式迅速发展壮大自己，让中国也有能与国际企业相抗衡的大型信息安全企业？”

除了“老三样”的信息安全技术和产品，网络信息安全技术的未来发展同样令人瞩目，什么安全技术和产品能真正保护网络的安全？

技术之势

信息安全专家曲成义认为，目前我国信息安全产品门类基本配套。用户之所以抱怨其需求得不到满足是因为大多数信息系统依然是采取防火墙、入侵检测和杀病毒传统的老三样防护手段。

“从安全技术发展的近期动态来看，用户绝大多数安全需求是可以得到满足的。” 曲成义说，他认为，目前整个安全产品、技术或者解决方案正呈现出某些重要趋势。

其一，安全产品出现集成化能力，也就是把多种安全功能集成在同一产品上。例如很多防火墙集成VPN；安全性能功能有很大的发展，例如过去防火墙支持百兆，现在上千兆。

其二，动态防御思想进展很快，基于这一思想配套的技术产品发展很快。例如提前预警的入侵检测过去放在主机终端，现在则放在网络环境下，不单检测病毒，还看大面积流量的变化，为下一步可能发生的问题提前预警。

其三，通过使各个安全产品进行信息共享和业务联动来提高强度，就是搞集成安全管理平台。当入侵检测发现情况异常后，马上通知防火墙；防火墙在隔离的同时，通知交换机准备随时切掉病毒；交换机在切病毒的同时通知路由器做好防护准备。

“一些重要系统用户对安全操作中心（SOC）需求比较旺盛。” 曲成义说，“为了更有效地实现安全管理，需要把系统要素和安全要素协同起来，从网络层一直到应用都进行全局管理。”

其四，信息安全从防外部转向内部控制，特别是对用户的源头端控制，如何防止个人计算机违规操作，如非法联结、违规转储、超级访问等。“信息安全事件70％往往是内部操作或内外勾结，而传统的防火墙、入侵检测，杀病毒对防内是没用的。” 曲成义说，“这导致近两年来出现了一大批防内产品和内控厂商。”

其五，纵深防御概念正在深入人心，这是信息化推进的必然结果。一方面，从互联网的角度来讲，安全是一步步深入的—内网安全，外网安全，互联网安全；另一方面，网络又是一个面向业务的实体，不同层面的业务，有不同的安全要求。

在纵深防御中，最要紧的是对安全域进行科学划分，因此必须采取合理的边界控制技术：涉及国家机密的，用物理隔离；公务服务，用逻辑隔离; 划分好后，再选择合理的安全手段。

其六，内容安全技术不再局限于传统的关键字过滤，而是走向多样化。由于计算机理解内容的好坏比人要难，它对关键词上下文的语义缺乏了解; 此外，通过关键字的规则有几万条，资源消耗过大。因此，眼下依靠“行为识别”的技术，可以智能在线识别针网络上各种恶意攻击、病毒攻击、垃圾攻击，从而保证内容的安全。此外，针对图象、视频和语音等方面的内容安全技术也正在兴起之中。

其七，可信计算将成为潮流。“可信计算”就是从芯片、板卡、PC、终端接入和操作系统来提高安全的可信性，可以从几个方面来理解：用户的身份认证，这是对使用者的信任；平台软硬件配置的正确性，这体现了使用者对平台运行环境的信任；应用程序的完整性和合法性，体现了应用程序运行的可信；平台之间的可验证性，指网络环境下平台之间的相互信任。

曲成义认为，可信计算产品，在三五年内会掀起高潮，三年之后可能占到现有IT产品的50％，五年以后可能占到80％。这意味着PC、芯片、板卡的新一轮IT竞争，如果中国还像上个世纪80年代完全处于被动局面的话，对中国信息化会造成威胁。

从零星的安全产品部署到成体系地建设信息安全保障体系，这是2003年颁布的具有划时代意义的27号文件最重要的意义。政策在不断完善。然而，相关法律的缺位依然如鲠在喉般令人不舒服。

政策之力

不少用户和厂商都认为，随着2003年27号文件的颁布，这两年来信息安全的政策环境大为改善，国家的一系列信息安全宏观政策已经全面启动，一些重要部门的领导，对信息安全也前所未有地非常重视。

一位电力系统的信息化主管对记者表示，自27号文件颁发后，电力系统至少召开过６次与信息安全相关的会议。27号文考虑周全，从信息安全管理、技术、人才、投资、法律建设等多个层面，考虑保障国家信息安全问题，从而给各个地方、行业信息化部门建设信息安全提供了一套整体思路。

一些厂商也表示，27号文件构建了国家信息安全保障体系的思路，首次确立了一个明确的管理协调组织机制，从而有望解决过去困扰信息安全产业界多年的部门条块分割、多头管理现象严重的局面，杜绝了某些利益集团为了自身利益而操纵信息安全管理部门的现象。

业内人士普遍认同，27号文件的颁布是中国信息安全工作的一个分水岭，具有奠基意义：其一，这是我们国家首次对信息安全有了一个全面认识，从整体上，从顶层统筹考虑信息安全的政策、方针、规划，以统筹领导信息安全的各个部门，而在这以前工作是比较零散的；其二，在27号文件颁布后的两年，信息安全相关工作有了大的推进，信息安全等级保护、风险评估、密码保护、网络信任体系、应急响应与灾难备份、产品管理、产业发展等基础性工作的相关政策、标准正在制定并将陆续出台。

据国务

院信息化工作办公室网络与信息安全组组长王渝次介绍，目前信息安全工作的总思路就是坚定不移地贯彻落实27号文件，按照五年建成国家信息安全保障体系的目标，审慎推进。“明年是27号文件颁布的第三年，这是关键的一年。”

王渝次说，“去年是起步，主要是宣传和规划；今年主要是完善配套政策和抓试点，着重通过实践摸索信息安全的规律；明年就要逐步进入到广泛推进和实际操作阶段。”王渝次解释之所以采取审慎推进的原因有二: 一方面，信息安全对我们来讲是一个新问题，新事物，其特点之一就是看不见、摸不着，威胁是潜在的，而且是不断变化的，需要一个在实践中探索和认识的过程; 另一方面，中国太大，政策执行容易一刀切，而信息安全工作的本质要求又是坚持从实际出发，没有四海一家的解决之道。因此制定政策必须考虑周全，既要避免一下子管得太死，又要具有可操作性以便落实。

而对于用户和厂商所反映的信息安全法律缺位的问题，王渝次没有否认。他认为，现在行政部门依法行政的意识是非常强的，也希望加快信息安全的立法进程。但从目前情况看，立法会是一个比较长的过程。其一，立法需要经过一系列复杂的程序，本身就是一个较长的过程；其二，目前我们对有些信息安全问题看得不是很清楚，认识不一定很一致，也需要更多的深入研究和讨论；其三，只立法而无法执行的话，意义不大，要考虑到技术手段等各个方面。

谁将控制未来信息安全的话语权？未来的网络信息安全技术应用将集中在哪些关键领域？什么技术会力拔头筹？

未来之争

有专家将信息安全分为三个阶段，2000年前为独立安全产品和安全意识普及阶段，主要是以防火墙为核心的单一的网络安全产品；2000年到2004年，是大规模的综合安全体系的建设，是以综合安全产品为主，包括防火墙ＶＰＮ、安全管理平台等；

“而2005年，则可以看做是信息安全重新审视元年。” 贺卫东说，一方面，网络安全问题在2005年变得非常严重，间谍软件已被用于收集E-mail名单，网络上存在的大量的僵尸计算机已经开始被黑客们利用，以此获得利益。

另一方面，2005年，全球信息安全产业开始酝酿变局：赛门铁克大手笔并购维尔软件，将安全的概念扩展到了灾难备份和存储领域；微软高调介入反间谍软件和反垃圾邮件领域；一些传统的网络通信设备厂商如思科、华为3Com、诺基亚等在信息安全领域发起进攻。

事实上，目前安全方面 的矛盾越来越集中在应用层面，例如像思科这样的网络厂商，或者像SAP这样的ERP应用厂商，这使得未来有两类公司在安全业中可能控制话语权。一是以基础体系为核心，从管理到安全设备，都与通信相关，或者是将安全融合到网络通信当中去的公司；二是以服务于应用系统为核心的专项安全技术公司，不过当它达到一定规模后，将卖给应用系统公司或者通信网络公司，或独立发展成综合性、以应用层为核心的专业性安全公司。

从2006年开始，全球的网络信息安全将真正进入应用安全的时代。“十年”，在网络安全的发展历程中仅仅是个开始，虚拟世界就像现实世界一样，只要有犯罪，就一定有警察。警察与小偷在网络上与在现实中一样，永远上演着不同的故事！ (CCW)