保证信息安全:战略为先 细节制胜
来源:中国计算机报 更新时间:2012-04-13

放眼未来,我国信息化建设的道路不断延伸,信息安全对网络的基础性、全局性影响将更加深刻,推进信息安全事业的发展任重而道远,规划发展谋势布局当以战略为先;审视现在,信息安全市场的成长远未达到信息化建设的应有的水平,对信息安全正确的观念意识还远未普及,自主创新突破核心技术的瓶颈望眼欲穿,要想成就不朽的信息安全事业当以细节制胜。

国家行为 政府指导

世界强国纷纷抢占网络信息安全的战略制高点,都从国家发展战略、安全战略和军事战略的高度加强信息安全战略的制定。对网络的攻击,已经从个体行为、组织行为上升成国家行为(网络战);维护信息安全的力量不断壮大,从社会民间组织及个人到国家信息安全专门机构和信息战部队;维护信息安全不折不扣地要求进行国家动员,信息安全已经成为国家安全的基础内容。

令人欣慰的是,我们看到政府已经在扎实地推进风险评估、风险控制、风险管理的推广、规范工作;对垃圾邮件、色情网站、网上诈骗等的专项治理,看到相关立法以及行业自律行为的进一步规范完善,且范围不断扩大,充分地发挥政府指导、行业先行、社会监督的作用。政府大力倡导企业、基础运营商和增值服务商负起对网络信息安全的社会责任,推进行业主管部门监管工作的科学化、规范化和公开化,继续加强相关立法和执法的力度。与此同时,没有忽视政府自身网络信息安全的建设,为社会起到一定的示范作用。

自主创新 突破瓶颈

维护信息安全,抢占信息制高点,自主创新是关键。内因是事物变化的根据,外因是事物变化的条件。核心技术和关键技术买不来,但关系着国家命脉,提高抗风险能力必须提高自主创新能力。建设创新型国家,“大力提高原始创新能力、集成创新能力和引进消化吸收再创新能力”这一战略决策,顺应时代要求,符合客观规律,为突破信息安全的瓶颈指明了道路。

国家863计划在“十五”期间,开展了对信息安全核心技术和关键技术的重点攻关研究以及国家急需的信息安全产品和系统的研究与开发,重点攻克了可信安全计算、信息安全内容管理、网络安全管理与风险评估、应急响应与快速恢复等一系列关键技术,并在我国电力、银行、证券等重点行业进行了试点示范工程建设,为国家信息安全保障体系提供了基础性关键技术和安全应用支撑平台,增强了对国家信息基础设施、重点信息资源和行业信息化建设的安全保障能力。今年是“十一五”计划的第一年,国家对于信息科学领域基础性、意义重大的研究项目投资力度还将逐步加大,期待一大批自主创新成果能突破制约我国信息安全发展的瓶颈,主导产业发展的未来。

产业发展 塑造理性

我国信息安全市场产业化总体呈现比较快速的发展,信息安全厂商初具规模,并拥有一些自主知识产权的安全技术,总体上比较平衡。但与国际同行相比,我国信息安全产品主要集中于防病毒、入侵检测、VPN、垃圾邮件等不大的产品范围,而美国的信息安全技术和产品涵盖范围有70多个,俄罗斯有30多个,差距还非常明显。近来,尽管广大用户对信息安全产品的认识已不再局限于防火墙、防病毒、IDS,但对于IPS、内容安全、应用安全等产品和服务的接受能力还是很有限。业界和媒体倍加推宠、寄予厚望的UTM(统一威胁管理)、SOC(安全运营中心)等组合产品在用户眼里还是一头雾水,安全芯片TPM、可信计算机、可信网络、可信应用,一系列的“可信”是否真的会赢得信任并带来市场的良好反应?

行业发展有其自身的规律,不可能违背规律寻求“井喷”式的发展。理性地对待发展中的问题,清醒地看到我国信息安全市场还很小,国内信息安全厂商的市场能力强、技术能力差,不高的技术门槛挡不住为获取丰厚利润而大量涌入的厂商。信息安全企业赖以生存的环境恶化了,资本、技术决定着企业的实力,并购、洗牌在所难免,产业的发展需要理性。

以人为本 良性循环

坚持以人为本,加快网络信息安全人才的培养和队伍建设是基础,构建和完善信息安全管理体系是保证,周期性培训和评估各类人员信息安全素质是关键。

我国信息安全人才教育与培训体系逐步完善,依托企业、院校和科研机构为主体培养信息安全的中高级技术创新人才,依托普通高等教育、职业教育培养信息安全管理与操作维护人才,依托科技园区吸收海外留学人员和国外人才,通过一系列措施逐步造就我国信息安全的完整人才梯队。信息安全最高境界是以人为本,强化管理,培养良好的管理思想、建立严格的管理制度、实施到位的管理程序,结合有效的技术措施,注重约束细节,认真落实人员的定期培训与评估,只有这样才能实现信息安全的良性循环。