杜跃进表示,由于信息网络的开放性和复杂性,安全保障的各个状态都总是处于一种不稳定的变化过程中。安全保障的各个环节,都需要具备足够的动态适应能力,以能够适应各种变化的状况。风险评估,威胁监测与分析,事件发现,事件控制,甚至系统恢复与生存等,都是如此。然而如何达到这个要求,也面临大量的技术挑战。
目前在网络安全技术上主要存在易用性、全局性、数据有效性、动态适应性等不够的问题。杜跃进认为,应该针对以上主要技术问题进行创新。
“缺乏易用性就好比盲人摸象的道理一样”。杜跃进分析到,对较大、较复杂的网络应用系统来说,通常需要较多的网络安全设备。所以,管理人员需要从整体安全目标出发,有机地汇总分析所有的安全设施的有关数据,才可能有效地保障网络安全。
而在数据有效性方面杜跃进也表示出了担忧。据了解,由于安全威胁的手段不断翻新,加上用户网络系统内部结构复杂,安全设备的漏报误报问题始终存在。然而,在上面全局性的要求之下,企业管理员需要研究提供数据的有效性,在减少数据漏报误报的前提下,让安全保障系统的数据围绕预定的安全策略所制定的目标,能够准确地区分轻重缓急,能够很好地给安全管理人员提供决策支持。
网络安全保障是一个动态的过程,杜跃进认为,这就要求安全保障需要不断进行动态调整。“这个动态适应能力需要安全保障的每个环节都能做到,但是如何做到这一点,却还是面临诸多问题需待创新”。
技术方面有很多需要创新的地方,包括对各种新威胁的应对手段、海量数据分析挖掘、标准的研究制定等等。针对未来网络安全技术的发展,杜跃进分析,从宏观层面看,最大的一个技术挑战将是安全技术如何跟得上飞速发展的信息通信技术及其应用。“国际上对国家关键信息基础保护的研究比较热,对建立大规模的网络安全监测和预警网络也非常重视,而这些在我国还都是需要创新的重要领域”。
天同证券高级分析师张滨:安全标准创新大有可为
随着信息化建设的不断深入,全社会对网络的依赖越来越强。但与此同时,网络安全面临的挑战也越来越严峻。
针对这些情况,长期关注电信行业的天同证券高级分析师张滨表示,网络安全的重要性正在日益凸显,也带来了巨大的商机,我们迫切需要建立一个统一的标准,以抢占这个巨大的市场。
张滨预测,未来几年内,中国网络安全产业有望达到500亿元至1000亿元的市场容量。网络安全已成为网络产业最能赚钱的领域。
网络安全产品主要包括防杀毒软件、防火墙、入侵检测系统、信息加密以及安全认证等,张滨表示,“在市场销售额前10名的厂商中,国内外企业各占半壁江山,竞争非常激烈。”
在应用领域,金融、电信、铁路等一直是网络安全市场的传统消费大户。张滨举例说,“以金融行业为例,正常运作必须依赖于网络系统的安全可靠,从而保障客户的根本利益不受侵害,这是金融行业信息化建设的基本要求。”
“除金融行业外,电力、石化、政府、军队等对网络安全的需求也很大”,张滨表示,“但整体网络安全解决方案是国内厂家的弱项,相对而言,国外的大型厂家则已经纷纷制定规划并着手实施。”
他强调,目前,国家有关部门还未形成统一、规范的网络安全管理体系,因此各企业都有一套自己的“安全”标准。这种状况阻碍了网络安全行业的健康发展,导致企业协同作战的能力几乎为零。没有国内企业主打安全产品进行市场引导,民族品牌的网络安全产品就将缺乏足够的市场竞争力。
“事实上,安全标准问题还不仅仅是个行业问题、企业问题,更是一个国家安全问题”,张滨说,“如果我们大量采用外国技术,就难免会受制于人。面对来势汹汹的国外厂商,国内厂商不能再依靠单打独斗和低价倾销争夺市场,合作共赢才是应该考虑的策略。”
北京邮电大学教授曾剑秋:探寻产业链新合作模式
“全球网络”与人类的生活和社会的发展如此紧密相关。随着“全球网络”的重要性与日俱增,由其带来的安全烦恼问题也一直在困扰着我们。
“今年世界信息日的主题‘让全球网络更安全’,这说明,网络安全这个多年的课题还面临着问题需要解决”。北京邮电大学教授曾剑秋如此看待网络安全的现状。
曾剑秋表示,“如果网络安全问题能够像反恐一样受到全球重视就好了”。他认为保障全球网络安全首先要在全球树立一致的目标。这是一项牵涉到政府、企业、个人和国际合作的复杂工程,需要各方面的共同努力。其中,各国政府负有对网络使用环境加以保护和管理的不可推卸的责任。他还表示,在我国更加需要加强监管的力度,而监管不能仅仅停留在制定一些规章制度方面,而是要加大实施、管理、惩罚的力度。
“目标一致以后,还需要加强合作,达成协议。”曾剑秋表示,网络安全工作要吸取全国反恐活动的教训,必须制定达成国际共识,形成大家共同反对的行为集合的定义,达成一致的原则以规避虚拟社会对现实社会自主管理模式所带来的挑战,并且针对这些共识能够展开有效的合作。
曾剑秋认为,网络安全不能局限在技术创新层面,还需要在安全管理等各方面跟进。他表示我国网络安全产业经过几年的努力,到目前依然不很成熟。因此,需要探索这个产业如何发展,例如在如何衡量服务的质量、费用的标准、用户敏感信息的保护、赢利模式等方面都需要创新。
他还表示,其中最重要的问题是需要解决产业链一起行动的问题。“网络安全问题是一个系统的工程,他需要整个产业链的参与,从而不断地推陈出新技术、服务和管理方法,合作模式。”