一、信息安全的话题 1、公共互联网的危机,信息安全厂商的商机 今年电信运营商的几次断网事件、广大互联网用户对安全的投诉不断上升、网络内容污染的扩大化、手机违法短信的大量传播、每年数千起的安全事件无不印证了电信网络的危机境况。国家有关主管机构以及电信运营商们必然从几个方面去应对危机并将其最小化。首先是主管机构的工作重心将从针对电信行业的安全体系建设,上升为一个面向“建立健康信息化社会环境”的全局安全理念;其次,除了要进一步从国家战略的高度重视网络安全,完善全社会的信息安全体系保障外,对内容安全的监管也正在成为主管机构的工作重点;第三,在公共互联网上,建立一个有效的安全预警、综合防范和事后补救机制已经刻不容缓。这些对信息安全厂商们来说,无不是重大的商机。 2、全国范围内推行的信息安全风险评估是机会,也是挑战 在国家标准《信息安全风险评估指南》草案编制完成后,2005年国务院信息化工作办公室组织了北京市、上海市、黑龙江省、云南省、人民银行、国家税务总局、国家电力、国家电子政务外网等8个试点基于这一标准的信息安全风险评估。2006年,将在全国推行信息安全风险评估工作,力图把因信息安全漏洞造成的危害降到最低。计划用三年左右时间,在国家基础信息网络和重要信息系统实现信息安全风险评估管理制度。 对网络信息安全风险的评估是信息安全建设的基础,也是安全服务业务的重要组成部分。全面推行信息安全风险评估工作,必然带动我国一些基础信息网络和重要信息系统(包括电信、广电、银行、证券、电力、铁路、交通、民航、政法、国防等)的安全建设,必将推动我国整体信息安全服务市场快速发展。 3、2023年出台国家信息安全等级保护标准将给产业带来变革 我国2023年将出台的信息安全等级保护标准包括定级规则、基本管理要求、基本技术要求等一系列的标准和管理办法,从国家监管角度将我国的信息安全保护分为五个等级,一级最低,是对操作系统的基本保护,如防病毒、防入侵等。标准出台以后,民用计算机操作系统达到一二级就可以了,而对于涉及到国家安全、社会稳定的重要部门将实施强制监管,他们使用的操作系统必须有三级以上的信息安全保护。我国国家信息安全等级保护标准的出台,标志着国家信息安全等级保护基本制度的正式实施,信息安全保护工作将更加有层次、更加规范化。北京市也将在2006年发布全国首例《网络与信息安全政府令》,为信息安全的具体实施提供法律依据,并对即将出台的网络安全等级保护制度提出了具体实施意见。国家信息安全等级保护制度的出台,无疑会规范信息安全建设的内容,推动信息安全产品的发展,加大系统对信息安全的投入。同时强化网络的整体安全防护能力,推进我国信息安全保障体系的建设。信息安全等级保护制度的实施,必然会成为我国信息安全产业增长的一个重要推动力。 4 安全管理与运营相关业务在将会成为新的亮点 不管是信息安全监控中心、安全管理中心、安全响应中心还是安全运营中心(SOC),都属于广义的安全管理与运营的范畴。过去谈到安全管理与运营,基本上是电信运营商的专利,一方面,因为运营商的安全建设起步早,建设快;另一方面运营商在信息安全的投入较大。中国移动是较早进行SOC建设的运营商,中国移动将安全体系建设划分为三个层面,即管理性安全、物理性安全和技术性安全。具体来说,就是要建立包含网络安全性、可用性、完整性、保密性四个维度的NISS网络安全管理架构,并逐渐向安全管理中心(SOC)过渡。同样,中国电信、中国网通也已经开始了SOC建设的尝试。 安全托管服务(Managed Security Services)业务也正日益受到用户的重视。究其本质,一方面企业信息安全人才仍然相对匮乏,信息安全人才处于严重的空白状态,既使有专人负责安全相关的事务也往往承担着极高的工作负荷。而且企业自有的信息安全人才与专业公司的信息安全专家相比较,在技能上还是有所欠缺。另外一方面,企业也往往难以确切地对安全效益进行评估,安全托管服务可以有效的缓解这些问题。利用安全托管这种业务形式,用户可以用低于自建安全设施的成本购买到专业安全厂商提供的服务,并且这些服务的质量往往相对较高。 另外,还有安全外包业务,特别是对电信运营商。电信运营商目前感兴趣的安全外包业务主要是IDC机房和大客户IT系统的安全外包。今后,电信运营商为了适应国际国内电信行业的激烈竞争,将会不断加大电信信息化建设力度,以期通过高水平的信息系统为客户提供更优质的服务。充分发挥自身优势,争取更大的市场份额和更广阔的发展空间,更将带动电信安全外包市场的繁荣。无论是安全管理技术,还是以信息安全管理技术为重要依托的安全托管服务、安全外包服务,在安全风险呈指数增加的情况下,企业(不仅仅是电信运营商)毫无疑问会选择一些最新的技术或是途径来有效地降低风险。也许,在2006年,我们会看到,一些信息安全管理工具或是托管服务将会取得快速的发展。
|