我国信息安全产业的发展经历了不同时期也取得了一定成绩,但是还需要认真对待现阶段存在的各种问题,需要国家对信息安全产业的发展进行统筹规划、全面布局。近日,中国计算机协会计算机安全专业委员会主任严明,就上述问题接受了本刊采访,从信息安全产业发展的历史发展、现实问题和解决方案等方面,阐述了他的思考和观点。
一、我国信息安全产业发展经历四个时期
从20世纪 80年代末至今近40近年的时间,我国信息安全产业经历了萌芽、初期、发展期和快速发展期四个阶段。在每个时期,信息安全产业的发展都会受到市场、技术、资本、人才、政策等各方面的影响而表现出不同的特征。
20世纪八十年末,我国信息安全产业还没有形成规模化的形态。这个时期,公安部十一局的一个小组,开始面向社会服务,免费提供一款代号为KILL的清除计算机软件病毒产品。至九十年代末,这个团队将产品的知识产权和资源移交给交给企业,开始走向市场。这可能是我国最早研究恶意代码和向社会提供清除恶意代码软件及服务的团队。
从九十年代末期开始,我国信息安全产业开始初步发展,出现了一些较好的本土企业,包括由留学归国博士严望佳创建的专注入侵检测(IDS)等产品的启明星辰、从事防火墙业务的天融信、从事防病毒业务的江民、瑞星等。其他比较有影响的企业还有中国第一批信息安全产品及整体解决方案服务商之一的北信源,以及上海的格尔、金诺等。在这一时期,我国的信息安全产业开始拓展,有了所谓的三大件产品和一些安全服务商。
随着我国信息化建设的逐步发展,我国信息安全产业进入第三个阶段的成长期,出现了更多信息安全企业,而且有一段时间,国外信息安全企业曾在我国信息安全市场占有很大份额,比如以色列的捷邦安全软件科技有限公司(Check Point)、美国的赛门铁克(Symantec)等。在这个阶段,相当多的国内企业也开始开展数据库、操作系统、各种安全技术,包括身份认证授权管理等方面的研发和服务业务。
从21世纪初到现在,信息安全产业进入一个发展相对比较快的时期,有更多有实力的企业出现。以归国留学人为代表的一类企业相继出现,如深信服、安恒、山石网科等,而且,这三家都被纳入安全企业创新五百强的名单;以本地技术人员为代表的企业蓬勃发展,包括安天、蓝盾、美亚等;中国的大型国企,如中国网安的前身卫士通、公安部三所控股的瑞安,都已经发展成为年营业额十几亿元人民币的规模;此外,以清华毕业生为主体的绿盟和360企业等也各占鳌头。
在我国信息安全产业发展相对比较快的这个阶段,国外信息安全企业实际上已经逐渐边缘化。出现这种情况的原因有两个:一是我国自己的信息安全企业逐渐成长,二是体现在网络安全领域的信息安全产业,与其相关的国家间的利益竞争和斗争也更加激烈。而且,在这个时期,网络与信息安全的重要性更为社会所重视,社会影响日益扩大。特别是十八大以来,以习近平同志为核心的中央领导对网络安全和信息化建设空前重视。我国从中央到地方,从政府到民众,对网络安全的认识不断深化提高,信息安全产业的各方面实力也在不断增强。
二、我国信息安全产业在“问题”中前行
信息安全产业是保障国家安全的基础,如果信息安全产业不够强大,信息安全领域的科技、产品和服务等都不会很强大,这是不言而喻的。但是,在我国信息化快速发展的同时,我国在网络与信息安全方面的投入与信息化建设发展速度一直存在极不相称的情况,应用技术与安全保障技术的发展差距始终没能减小,网络与信息安全产业市场环境有待改善,而在行业中“重竞争轻协同”等观念也同样阻碍我国信息安全产业跟上信息化发展的步伐和适应国家安全的需要。
1.信息安全产业的投入与信息化发展不相称
在我国信息化进程大踏步向前发展的时候,对于信息安全的投入并没有跟上应用发展的步伐,以至于形成安全投入占总信息化投入比例非常不相称的局面。根据国内外的统计数据,在信息安全上的投入占信息化建设投入的比例,在美国大约是20%-25%,在欧洲大约是15%,在日本大约是8%-10%,而我国是1%。可以说,这个1%就是我国网络与信息安全的市场规模或投入规模,以至于我国全部信息安全企业的年度营收总额还远不到美国赛门铁克公司一家多。须知,信息安全产业的发展规模和水平有赖于滋养它成长的市场规模,如果市场规模不够大,信息安全产业也就难以做大做强。所以,我国安全市场规模应该和信息化建设的投入相适应,这是一个重要的问题。我国要建设网络强国,除了在信息化的核心技术和关键基础设施上不依赖别人以外,还要在保障信息化建设的安全问题上必须真正实现自主,这样才能使我国的信息化建设得到真正可靠的安全保障。
2.信息安全产业的发展应有赖于健康的市场环境
信息安全产业的发展需要健康的市场环境。一个产业的发展需要相应的市场规模,如果说市场是企业发展的土壤和水分的话,那么良好的市场环境,包括竞争氛围,是产业发展需要的阳光和空气。如果市场环境氛围不好,那么产业的发展就会受压抑,甚至窒息。政府有责任保障信息安全市场的良好环境,保障信息安全市场的有序健康发展,鼓励、保护和推动良性竞争,约束和打击不正当竞争,改善和塑造信息安全市场的良好氛围。
3.“重竞争轻协同”观念阻碍信息安全产业发展
我国信息安全产业发展过程中的另一个问题,就是业界的重竞争轻协同。一些信息安全企业总是喜欢推出自己的“全面解决方案”或“总体解决方案”。
实际上,任何一个企业都有自己的所长和所短,不可能什么都做,或做什么都是最好的。如果在设计安全方案时,能够把各个信息安全企业的所长结合起来,就有可能整合成最优秀的解决方案;但是,如果各有所长的企业都在互相排斥,那么信息安全市场就不可能形成真正有效的产业链,我国信息安全产业也难以发展壮大。
网信办、工信部等与信息安全产业相关的政府机构在促进信息安全产业发展方面做出了不懈努力,但是,还没有能真正解决我国网络和信息安全产业的产业链问题。目前,我国还缺少可以把全国信息安全企业的优秀成果整合起来提供总体战略架构的技术支持服务机构。因此,纠正重竞争轻协同的不良倾向,任务还很繁重。
4. “应用在前面跑,安全在后面追”的行业性问题
我国信息安全技术发展“先天不足”,还存在核心技术受制于人的问题。其实,这是在信息安全产业发展过程中出现的一个全局性问题,也可能是信息化发展的一个规律。
正如有专业人士所说,安全总是面临“应用在前面飞快地跑,安全在后面拼命地追”的问题。比如移动支付,不是先有移动支付的市场才有移动支付的发展,而是先有移动网络支付这种新型的服务,才形成网络支付的市场,才有对移动支付的安全保障需求。这种情况同时造成不少新应用技术发展前期,包括移动通信的3G、4G和5G的发展,都把应用的实现放在首位。我们必须真正做到“网络安全和信息化是一体之两翼、驱动之双轮”。
应用和安全的关系好像是皮和毛的关系,应用是皮,安全是毛,“皮之不存,毛将焉附”。如果没有应用的需求,安全就失去了存在的价值和意义。但是,如果没有安全,应用就失去了保障,同样也难以生存。
5. 我国信息安全企业“引进来 走出去”需格外努力
网络和信息安全技术是敏感领域,“引进来”和“走出去”受到的限制较之其他技术领域更多一些,因此,我国信息安全企业“走出去”需要格外努力,才能冲破各种阻碍。与此同时,我国信息安全企业也需要不断了解国外先进技术和先进理念,不断跟进学习。
正如习近平总书记所说,“任何国家都不能关起门来搞建设”,在信息安全产业的发展上也是如此。国家政策,包括“一带一路”倡议、“走出去”战略等,鼓励信息安全企业“走出去”,虽然已经有包括山石网科、蓝盾、飞天、启明星辰、360公司等信息安全企业走出去的实践,但是,我国信息安全企业的国际影响力还非常不足。
“他山之石可以攻玉”。一些国际性交流会议和活动应该成为国内信息安全企业“看世界”的窗口。这些年来,我国信息安全界积极参加每年的美国信息安全(RSA)年度大会,展示在信息安全技术、应用和服务等方面的进步,了解国际网络安全技术的新发展和新动向,并且坚持随后将参会人员聚集在一起,召开RSA大会热点研讨并交流所得,就是要促进业界对于最新国际动态的了解,分析和交流全球网络安全产业界活动的体会和感悟。
三、要让我国信息安全产业真正成为建设网络安全强国的基础
信息安全产业的发展绝不是简单的经济发展问题,而是我国实现中华民族伟大复兴、建设网络安全强国的基础所需。习近平总书记一再强调“没有网络安全就没有国家安全”,但是在运行层面,具体的运行层责任包括关键信息基础设施运营单位的责任却始终没能真正落实,而这正是推动信息安全产业发展的抓手和关键。运营单位负责人的责任不落实,制定再多的法律、制度、规章,也不能保证落地。我们必须尽快扭转运营单位责任不能有效落实这个局面,促进信息安全产业获得更好的发展环境。
1. 落实首席安全官制度并完善管理责任
在欧美,多年来一直实行首席安全官制度。欧盟今年5月生效的《通用数据保护条例》(GDPR),明确要求继续提高首席安全官制度的执行力度。然而,在我国一些企业中,负责企业信息安全的就是网管员。但是,网管员的资源和能力很难承担起如此重的责任。虽然有两会代表连续三年提出议案,建议尽快落实首席安全官制度,但是,至今还没有结果。
与此相对应的是,我国传统安全管理制度相当成熟。生产安全的第一责任人是单位法人和主要管理人员;《消防法》规定,在公共场所和生产场所防止火灾发生的第一责任人也是主要负责人;其他包括社会治安、交通安全和综合治理都明确规定,单位主要负责人承担管理责任;《食品安全法》规定,食品安全是谁经营谁负责,形成了明确的责任链,一旦出了问题,可以逐级追究责任。但是,在“没有网络安全就没有国家安全”的网络信息安全领域,至今没有落实运营单位的责任制。
因为责任规定不清,在实际工作中,在落实资源和人财物时,在制定规章制度时,在进行管理和应急响应时,主要负责人都搞不清应该是谁的责任。虽然我国在信息化建设方面的投入举世瞩目,但是,对网络安全的投入没能有相适应地跟进和加强。其中,责任落实不到位,也是非常重要的原因。
令人欣慰的是,已经提请人大常委会审议的《关键信息基础设施安全保护条例(送审稿)》第十七条规定:“运营单位主要负责人对关键信息基础设施安全保护负总责,负责建立健全网络安全责任制,保障人力、财力、物力投入,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。”规定很明确,就是由运营单位的主要负责人负总责。同时,该条例的“第七章 法律责任”也规定了责任人应受到的惩罚。一旦责任落实,网络安全出了问题,主要负责人不仅要面对管理的损失问题,还可能被追究应负的责任。这就为尽快落实网络和信息安全的责任制提供了法律依据。
2. 全方位融合是促进信息安全产业发展的动力
任何一个国家都不会轻易将信息化建设的关键技术和设备示人,网络和信息安全技术更加如此。当国家利益发生冲撞甚至发生冲突时,依靠国外信息安全企业的安全服务就会变成一种控制。所以,不能指望任何国家提供网络安全的技术和服务来保障我们的安全。实现自主可控,必须靠自己,必须发展自己的网络安全产业。
由政府推动信息安全产业发展并不仅仅是推出减税政策或者给某个企业命名,更重要和关键的是要有全局部署,对信息安全产业发展从国家安全需要出发,统筹规划、合理布局、投入推动和依法合理保护。国家可以通过对信息安全企业进行引导和组织协调,推动行业分工,使信息安全企业的发展在产业层面形成合力,实现融合发展,落实好习近平总书记在关于信息化建设的讲话中提到的总体安全的大格局,同时,也让信息安全产业成为支持网军尽快形成战斗力的强大基础。
企业是创新的主力军,其主力军的表现就体现在产学研结合和军民融合的发展中。信息安全企业和国家科研机构、高校等实现产学研相结合,形成以企业为中心而不是高校或者研究机构为中心的产业创新态势。
3. 自主可控是推动信息安全产业发展的“抓手”
无论是中兴事件还是华为事件,甚至在国际贸易摩擦中的其他技术纠纷,说到底都是关于技术的“自主可控”问题。自主可控是一个完整的概念,却不是简单地等于自主知识产权。应该把“自主可控”当成一个词看,而不是“自主”和“可控”两个词。所谓自主,是我的系统我做主,我的数据我做主,我的信息我做主。自主,是强调和修饰“可控”的。可控的主语是“我”,所以叫自主可控。实现自主可控,当然离不开自主知识产权的支持,仅靠自主知识产权的技术和产品当然还不能保障安全可控,因为还涉及产品的实际水平。所以,自主可控是推动我国信息安全产业发展的重要原则,也是推动信息安全产业发展的重要“抓手”。
4. 人才仍然是信息安全产业发展的“第一资源”
国家已经在信息安全人才建设方面推出了相关的政策和措施,包括加大在教育、人才培养方面的投入力度,将网络安全设置为一级学科等。然而,信息安全领域的人才问题,与信息安全市场的大环境直接相关。因为没有良好的市场氛围,信息安全领域的人才要么窒息,要么被人“挖墙脚”而流失。
任何一个企业的发展,领军人物都是关键;如果一个民族、一个团队没有好的领袖,难成其事。但是,领袖的培养,有的时候,可能像蜂群一样,要靠自己并从自身的群体里选拔培养出来。从另一个角度说,一个团队的气质、行为方式、思维方式,往往是第一把手的性格和思维方式。同样,在信息安全产业发展的过程中,也出现了一批对产业发展贡献比较大的团队和领军人物,例如大家都比较熟悉的严望佳、沈继业、周鸿祎、肖新光、罗东平、范渊等。在今年成都举办的网络安全宣传周上,继以前表彰的杰出、优秀人才以后,又表彰了一批对行业发展有影响和贡献的优秀人物。
从技术角度看,网络安全人才可以分两大类,一类是知识型人才,就是本科、硕士、博士等学校正规教育培养的人才,这些人才知识面比较宽,受到的教育比较完整,是人才的主流。另一类人才,是技能型人才,就是所谓的白帽子、黑帽子,他们可能学历并不高且知识结构也不一定完整,但是,可能在攻防上技能上有独到之处。目前,这两类人才在企业相对集中,而且人才市场的竞争也非常激烈。成熟度相对比较好的人才往往处于竞争的前沿,其流动性比较高。而技能型的“奇才”,留在政府机构又确实不太容易,这些人是各国和各方争夺的热门,已经有不少信息安全领域的人才流失现象,非常值得关注,我们在这方面必须有所作为。
四、结语
如果将信息安全产业的发展分成上中下游看,未来国家需要重点推出一些政策、措施促进产业的发展,就是要推出“强手”,加强“中手”,有目的地保护和培植“弱手”。具体说,就是对某些已经有比较先进技术的企业,要支持其走出去,参与国际竞争;对一些已经达到跟跑水平企业的技术和应用,要想办法稳定而且赶超上去,不要使其被打击或者压制下来;对于一些还在萌芽阶段、比较弱小的技术和应用,政府要给阳光、雨露和肥料,促进其成长。就是说,对于不同情况的企业,推出不同的政策和鼓励措施。
特别要注意的是,应从国家网络安全的总体布局需要出发,有规划、有引导、有重点地培植一些信息安全企业发展,不要“撒胡椒面”和“大水漫灌”。
如果我国信息安全产业继续在占信息化建设中总投入的1%这种水平上徘徊,我国信息安全产业的市场规模、信息化建设,就会遇到极大的发展问题。正视现实,刻不容缓。
(本文刊登于《中国信息安全》杂志2018年第10期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。