信息安全服务聚焦管理问题
来源:信息安全与通讯保密 更新时间:2012-04-13

  服务渐成安全之重

  当信息安全产品市场快速发展到一定阶段的时候,信息安全服务自然就会形影相随地发展起来,这已是在国外信息安全市场上得到验证的一个产业规律。IDC的报告所提供的国内信息安全服务在近一两年快速增长的数据,无疑对这一规律给予了事实上的肯定。虽然,从更为广义的层面看,整个信息安全产业都可以称为一种专业的服务,技术和产品只是这种服务的一种手段和工具。但是,鉴于信息安全服务的特殊性和重要性,人们习惯上总是把信息安全服务独立出来进行分析:不论是从用户的角度来说,还是从信息安全专业厂商的角度来说,信息安全服务都有着举足轻重的特殊地位。

  我们先来看一下国内信息安全服务的现状。IDC 公司对中国信息安全服务市场的分析报告披露,2004年中国IT安全服务整体市场规模为1930万美元,只占中国IT安全产品市场规模的7%。但是IDC预测,2004~2009年中国IT安全服务市场的年复合增长率将达到30.7%,比同期IT安全市场的复合增长率几乎高出10个百分点。这一分析数据说明,一方面,国内安全服务基点低,另一方面它的增长速度极快。

  资料显示,目前国内信息安全服务厂商已超过100家(不含产品售后服务),在我国开展信息安全服务的外资或合资企业也有10余家。与数量上的优势颇不协调的是,目前在金融、电信等领域的高端安全咨询、安全审计等服务市场主要被外资企业占有,国内企业在低端服务市场基本不盈利或是微利,国内企业在与外资企业的竞争中处于劣势。为此,大部分的国内信息安全服务厂商同时兼做安全产品,独立的专业信息安全服务提供商难以存活,安全服务在一定程度上依然依赖于信息安全产品市场,部分的信息安全服务是通过与信息安全产品打包附送给用户的。
从全球看,信息安全产品和服务的主要市场是西方发达国家。其特点是,这些发达国家信息技术行业发展成熟,其安全风险在最近几年随着因特网的广泛使用和电子商务的发展而增长。

  美国是信息安全技术最领先、市场最大的国家。预计今后几年将以总计每年18.7%的速率递增,到2013年时可以达到205亿美元。与此同时,信息安全市场的主要部分(硬件、软件以及服务)都会得到强大的支持。其中安全服务(尤其是风险评估和安全管理服务等高端服务)是预期中增长最快的。到本世纪前十年后期,服务在整个信息安全市场中的份额将达到一半以上。其中,信息安全咨询和风险评估的市场预计将以每年20%的速率增长,到2008年将达到将近40亿美元。对信息安全系统集成和增值销售(VAR)的需求预计将以每年18.0%的速率增长,到2008年将达到30亿美元。信息安全管理服务的市场需求预计将以每年22.7%的速率增长,到2008年将达到20亿美元,是信息安全服务市场中发展最快的主要方向之一。其它的信息安全服务,如灾难计划/恢复和安全测评的市场需求预计将以每年18.7%的速率增长。美国信息安全用户最大的七个部分分别是:金融机构、信息处理行业、工业、服务业、通信业、贸易和渠道、政府机构,存在于这些行业中的信息安全产业占整个产业的比例为84.75%(2003年)。

  虽然从信息安全产品与服务的市场比率上来看,国内和国外分别是1:1和9:1,差距明显,虽然我国的信息安全服务市场整体上还不够成熟,信息安全服务占整个信息安全市场的比例还比较低(7%),用户对信息安全服务重要性的认识及产业的服务能力和水平也有待提高,但是我国的信息安全服务市场正进入快速增长期的事实却是毋庸置疑的。不唯如此,由于安全服务的发展越来越涉及到一些国家利益和商业利益等核心问题,这使得安全服务的权重大为提高。

  资质管理呼声渐起

  从应用的角度看,信息安全保护已经不可能通过众多产品的简单堆砌而成,信息安全服务在提高信息安全保障能力方面的重要角色在加强,用户越来越需要专业化、社会化的安全服务。由于目前缺乏普遍性的资质认证和量化指标,用户面对众多的安全服务表现得无所适从,这给信息安全服务的推广带来了不利影响。另一方面,社会上各种信息安全服务力量复杂交织,甚至鱼龙混杂,真伪莫辨,从而导致服务质量存在严重问题,也在较大程度上影响了用户使用安全服务的信心。

  信息安全技术和服务是把双刃剑,由信息安全带来的安全问题有时可能比外在的安全问题更加不安全。这一问题在今年开始的全国范围的风险评估工作中再次突显出来,在安全界加强信息安全服务资质管理已成当务之急。

  我们知道,我国政府以及关系国计民生的金融、能源、交通、电信等基础信息网络和重要信息系统占据了60%以上的信息安全市场份额。由于风险评估、渗透性测试等专业的信息安全服务敏感性极强,涉及系统的关键资产和核心机密,一旦处理不当,反而会带来新的风险。特别是在为党政军要害部门的信息系统、关系国计民生的基础信息网络和重要信息系统提供信息安全服务的过程中,如果控制不当,不仅会将系统的脆弱性暴露无余,为入侵者提供更多的攻击机会和提高成功概率,而且可能会造成国家秘密的失窃密,给国家安全利益带来巨大的损失。

  有关人士指出,目前国际资本通过风险投资、企业并购等方式越来越多地进入我国信息安全产业,我国的信息安全产业的领先企业也纷纷通过融资谋求在境外上市,我国部分重要行业和信息系统的风险评估等信息安全服务领域,成了外资企业大举进入的不设防灰色地带。这种融资、产业重组或战略合作等经济全球化过程中的商业行为,这种不同背景企业提供信息安全服务中存在的潜在安全威胁,同样会给国家安全利益带来巨大风险。与此同时,据悉一些地方政府也已在抓服务资质管理,这将给信息安全服务管理带来条块分割的不利因素。

  因此,从信息安全服务的特殊敏感性上考虑,从国家安全利益的角度来看,任何一个国家的管理机构都不会对之视若无睹。

  业内人士认为,只有建立有效的国家合格评定,由可信的第三方对安全服务提供商的服务能力进行全面、综合、客观的评价,建立这种市场准入制度,用户在选择信息安全服务提供商时才能比较放心踏实,用户的合法权益才能得到有效保证。近年来,由于企业人员流动性加大,工作方式也发生了很大变化,使得信息安全管理部门对信息安全服务从业人员的控制能力被削弱,亟需建立新的管理模式加以改进。

  从产业发展角度讲,规范和促进信息安全服务市场,有助于促进信息安全服务商的服务水平和能力的提升。同时,通过资质管理建立技术壁垒,也可扶持国内民族产业的发展。当前全球占据统治地位的信息安全企业大多是总部设在美国本土的公司,国内信息安全产品和服务还很少能走出国门,而国内的信息安全高端产品和服务的市场(如电信、金融)基本上被国外公司,尤其是美国的公司所占据,我国在境外上市公司的安全咨询和审计服务更是几乎由美国几大会计师事务所所包揽。如何通过建立符合WTO背景下的国际经贸准则的技术壁垒等措施保护和发展我国的信息安全民族产业已是摆在我国信息安全管理部门面前的一项艰巨任务。即使从国外安全服务厂商看,他们也希望有一个规范的符合国际规则的管理办法,以保护合法竞争。

  凡此种种,各方面对于建立完善合理的信息安全服务资质管理办法的呼声日渐高涨,出台一个国家层面的管理办法已经到了一个亟需解决的时刻;在信息安全快速发展的今天,出台这样的管理办法条件也已成熟。

  专家建议借鉴国内外经验

  信息安全服务呈现的这些矛盾,有赖从管理上加以规范。对此,记者近期集中走访了业内有关专家。有些专家明确提出,出台相关的管理办法晚抓不如早抓。在制订这样的办法时,应当借鉴国内一些成功的经验和国外一些行之有效的方法,吸取信息安全产品资质管理制度建设的经验和教训,适时地建立符合WTO贸易规则的国家统一的信息安全服务认证认可制度并以此为基础规范和强化行政监督管理。专家认为,考虑到当前我国的信息安全服务产业还相当弱小,服务能力还亟待提高,我国信息安全服务资质管理的宗旨应在于维护国家信息安全利益、保障用户的合法权益、规范信息安全服务市场、促进信息安全服务业的全面健康发展。

  目前在国际上信息技术比较发达的国家,都有自己的安全服务资质管理办法。以美国为例,为了防范和控制军队、政府等核心要害部门在信息技术产品和服务的采购过程中可能引入的安全风险,美国对其进行了各种不同形式的资质管理:以反恐和威胁国家安全为由,通过法律手段对国际贸易和并购等行为进行企业和个人背景审查,设立人员安全许可证制度;建立美国政府机构反窃密检查的安全评估服务专项资质;通过采购和进出口政策来进行资质管理等。可以看出,美国的资质管理不仅管控企业,更要管控到人。对涉及敏感政府信息的服务提供者和对关键基础设施的评估者,一方面,要进行背景审查,另一方面,要进行能力测评。英国、法国等欧美发达国家的做法与美国基本类似。

  结合我国的具体国情,专家们建议,我国的信息安全服务资质管理首先要解决国家层面统一的资质管理政策和立法问题,通过出台政策文件或立法,明确各主管部门的权责分工,明确国家对信息安全服务的采购要求等;其次是把背景审查和能力测评分开,参照我国行政管理体制改革的有关精神,将能用市场机制解决的能力测评问题交由国家合格评定制度来解决,减少不必要的行政审批,减轻企业负担;然后是在国家合格评定的基础上加强国家有关信息安全管理部门和行业管理部门的监督管理,从维护国家安全利益的高度和保护民族产业发展的大局出发,扶持国内企业的发展。也就是说,信息安全服务管理要解决可信和可用两大问题。制订信息安全服务资质管理办法应当遵循:依法治理,有效监管,遵循国际通行经贸准则,提升政府公共管理能力;坚持“公平、公正、公开”的原则;推行“分级分类”的原则;管理企业与管理人员相结合的原则;行政许可与市场管理相结合的原则;发证与监管相结合的原则;立法与执法相分离、监督与评判相分离的原则。通过这样的管理办法,真正解决信息安全服务过程的可信可控和可用的问题。

  涉及到一些具体的管理问题,专家指出,首先应当对信息安全服务给出准确完整的定义。在管理过程中,由于服务提供商、使用者、资质管理机构等对信息安全服务资质的要求各不相同,灾难恢复、风险评估、咨询、应急响应等不同环节的要求差别很大,应当进行科学规范和认真考虑,区别对待。比如有专家提出,低级别资质应侧重能力考核,高级别资质应当全面考核,对背景及人员的考核要严格,而低级别资质可以适当放宽等等。

  在走访这些专家的过程中,记者体会较深的是,专家们特别提出在制订信息安全服务资质管理办法时,应当充分研究WTO的条款和准则,以市场化为基础,遵循国际通行的准则,促进信息安全产业发展。此外,分级分类的思想,包括协调好市场准入和行业领域准入的关系,处理好国内安全服务厂商和国外安全服务厂商的关系等,也是专家较多提及的地方。由于汲及的问题很多,专家提出应当组织有关方面进行深入的调查研究。

  从有关方面获悉,国家有关方面已经着手组织力量进行研究,并做了大量的前期准备工作。从目前的进展情况看,有望在年内正式出台信息安全服务资质管理办法。
对于出台这样的管理办法,国内信息安全厂商普遍表示欢迎,因为相对于产品技术而言,信息安全服务通常占有更多的本地化优势。IDC已预见到信息安全服务的需求市场潜力巨大,包括一些国外服务厂商也跃跃欲试。IDC的分析师曾建议从政府、厂商、渠道商、用户等多方面来培育服务市场,包括寻找一些突破口,例如远程IT安全服务等服务模式。然而对于这样一个潜力巨大、影响特别的市场,目前首要的矛盾在于规范管理题,而不仅仅是技术的问题。在这种情况下,安全服务资质管理办法的出台在协调各种因素中所能发挥的作用和影响,值得引起业界的高度关注。

  在信息化建设高速发展的情况下,在信息安全领域承前启后的重要时刻,预见到信息安全服务即将迎来的繁荣发展前景,社会各界提出的强烈呼声和有关方面正在进行的积极努力,使人们有理由认为,建立一个规范的信息安全服务秩序不仅极为必要,而且非常及时。安全产品技术和安全服务互为促进的局面,有望在今后一段时间向更加良性的轨道发展。

  信息安全服务——信息安全领域的一种特殊的信息技术服务,目前在国际上尚未形成统一的定义和分类。ISO/IEC TR 15443-1: 2005-02-01定义为“由供应商、组织机构或人员所执行的一个安全过程或任务”。NIST SP 800-35将其分为管理、运行和技术服务三类:管理服务是关注组织机构内管理信息技术安全程序和风险的服务,安全运行服务关注由人(同系统相对)所实施和执行的安全控制措施,技术服务是关注由信息技术系统所执行的服务。