嚴明:資訊保安產業發展需國家統籌規劃
我國資訊保安產業的發展經歷了不同時期也取得了一定成績,但是還需要認真對待現階段存在的各種問題,需要國家對資訊保安產業的發展進行統籌規劃、全面佈局。近日,中國計算機協會電腦保安專業委員會主任嚴明,就上述問題接受了本刊採訪,從資訊保安產業發展的歷史發展、現實問題和解決方案等方面,闡述了他的思考和觀點。
一、我國資訊保安產業發展經歷四個時期
從20世紀 80年代末至今近40近年的時間,我國資訊保安產業經歷了萌芽、初期、發展期和快速發展期四個階段。在每個時期,資訊保安產業的發展都會受到市場、技術、資本、人才、政策等各方面的影響而表現出不同的特徵。
20世紀八十年末,我國資訊保安產業還沒有形成規模化的形態。這個時期,公安部十一局的一個小組,開始面向社會服務,免費提供一款代號為KILL的清除計算機軟體病毒產品。至九十年代末,這個團隊將產品的智慧財產權和資源移交給交給企業,開始走向市場。這可能是我國最早研究惡意程式碼和向社會提供清除惡意程式碼軟體及服務的團隊。
從九十年代末期開始,我國資訊保安產業開始初步發展,出現了一些較好的本土企業,包括由留學歸國博士嚴望佳建立的專注入侵檢測(IDS)等產品的啟明星辰、從事防火牆業務的天融信、從事防病毒業務的江民、瑞星等。其他比較有影響的企業還有中國第一批資訊保安產品及整體解決方案服務商之一的北信源,以及上海的格爾、金諾等。在這一時期,我國的資訊保安產業開始拓展,有了所謂的三大件產品和一些安全服務商。
隨著我國資訊化建設的逐步發展,我國資訊保安產業進入第三個階段的成長期,出現了更多資訊保安企業,而且有一段時間,國外資訊保安企業曾在我國資訊保安市場佔有很大份額,比如以色列的捷邦安全軟體科技有限公司(Check Point)、美國的賽門鐵克(Symantec)等。在這個階段,相當多的國內企業也開始開展資料庫、作業系統、各種安全技術,包括身份認證授權管理等方面的研發和服務業務。
從21世紀初到現在,資訊保安產業進入一個發展相對比較快的時期,有更多有實力的企業出現。以歸國留學人為代表的一類企業相繼出現,如深信服、安恆、山石網科等,而且,這三家都被納入安全企業創新五百強的名單;以本地技術人員為代表的企業蓬勃發展,包括安天、藍盾、美亞等;中國的大型國企,如中國網安的前身衛士通、公安部三所控股的瑞安,都已經發展成為年營業額十幾億元人民幣的規模;此外,以清華畢業生為主體的綠盟和360企業等也各佔鰲頭。
在我國資訊保安產業發展相對比較快的這個階段,國外資訊保安企業實際上已經逐漸邊緣化。出現這種情況的原因有兩個:一是我國自己的資訊保安企業逐漸成長,二是體現在網路安全領域的資訊保安產業,與其相關的國家間的利益競爭和鬥爭也更加激烈。而且,在這個時期,網路與資訊保安的重要性更為社會所重視,社會影響日益擴大。特別是十八大以來,以習近平同志為核心的中央領導對網路安全和資訊化建設空前重視。我國從中央到地方,從政府到民眾,對網路安全的認識不斷深化提高,資訊保安產業的各方面實力也在不斷增強。
二、我國資訊保安產業在“問題”中前行
資訊保安產業是保障國家安全的基礎,如果資訊保安產業不夠強大,資訊保安領域的科技、產品和服務等都不會很強大,這是不言而喻的。但是,在我國資訊化快速發展的同時,我國在網路與資訊保安方面的投入與資訊化建設發展速度一直存在極不相稱的情況,應用技術與安全保障技術的發展差距始終沒能減小,網路與資訊保安產業市場環境有待改善,而在行業中“重競爭輕協同”等觀念也同樣阻礙我國資訊保安產業跟上資訊化發展的步伐和適應國家安全的需要。
1.資訊保安產業的投入與資訊化發展不相稱
在我國資訊化程序大踏步向前發展的時候,對於資訊保安的投入並沒有跟上應用發展的步伐,以至於形成安全投入佔總資訊化投入比例非常不相稱的局面。根據國內外的統計資料,在資訊保安上的投入佔資訊化建設投入的比例,在美國大約是20%-25%,在歐洲大約是15%,在日本大約是8%-10%,而我國是1%。可以說,這個1%就是我國網路與資訊保安的市場規模或投入規模,以至於我國全部資訊保安企業的年度營收總額還遠不到美國賽門鐵克公司一家多。須知,資訊保安產業的發展規模和水平有賴於滋養它成長的市場規模,如果市場規模不夠大,資訊保安產業也就難以做大做強。所以,我國安全市場規模應該和資訊化建設的投入相適應,這是一個重要的問題。我國要建設網路強國,除了在資訊化的核心技術和關鍵基礎設施上不依賴別人以外,還要在保障資訊化建設的安全問題上必須真正實現自主,這樣才能使我國的資訊化建設得到真正可靠的安全保障。
2.資訊保安產業的發展應有賴於健康的市場環境
資訊保安產業的發展需要健康的市場環境。一個產業的發展需要相應的市場規模,如果說市場是企業發展的土壤和水分的話,那麼良好的市場環境,包括競爭氛圍,是產業發展需要的陽光和空氣。如果市場環境氛圍不好,那麼產業的發展就會受壓抑,甚至窒息。政府有責任保障資訊保安市場的良好環境,保障資訊保安市場的有序健康發展,鼓勵、保護和推動良性競爭,約束和打擊不正當競爭,改善和塑造資訊保安市場的良好氛圍。
3.“重競爭輕協同”觀念阻礙資訊保安產業發展
我國資訊保安產業發展過程中的另一個問題,就是業界的重競爭輕協同。一些資訊保安企業總是喜歡推出自己的“全面解決方案”或“總體解決方案”。
實際上,任何一個企業都有自己的所長和所短,不可能什麼都做,或做什麼都是最好的。如果在設計安全方案時,能夠把各個資訊保安企業的所長結合起來,就有可能整合成最優秀的解決方案;但是,如果各有所長的企業都在互相排斥,那麼資訊保安市場就不可能形成真正有效的產業鏈,我國資訊保安產業也難以發展壯大。
網信辦、工信部等與資訊保安產業相關的政府機構在促進資訊保安產業發展方面做出了不懈努力,但是,還沒有能真正解決我國網路和資訊保安產業的產業鏈問題。目前,我國還缺少可以把全國資訊保安企業的優秀成果整合起來提供總體戰略架構的技術支援服務機構。因此,糾正重競爭輕協同的不良傾向,任務還很繁重。
4. “應用在前面跑,安全在後面追”的行業性問題
我國資訊保安技術發展“先天不足”,還存在核心技術受制於人的問題。其實,這是在資訊保安產業發展過程中出現的一個全域性性問題,也可能是資訊化發展的一個規律。
正如有專業人士所說,安全總是面臨“應用在前面飛快地跑,安全在後面拼命地追”的問題。比如移動支付,不是先有移動支付的市場才有移動支付的發展,而是先有行動網路支付這種新型的服務,才形成網路支付的市場,才有對移動支付的安全保障需求。這種情況同時造成不少新應用技術發展前期,包括行動通訊的3G、4G和5G的發展,都把應用的實現放在首位。我們必須真正做到“網路安全和資訊化是一體之兩翼、驅動之雙輪”。
應用和安全的關係好像是皮和毛的關係,應用是皮,安全是毛,“皮之不存,毛將焉附”。如果沒有應用的需求,安全就失去了存在的價值和意義。但是,如果沒有安全,應用就失去了保障,同樣也難以生存。
5. 我國資訊保安企業“引進來 走出去”需格外努力
網路和資訊保安技術是敏感領域,“引進來”和“走出去”受到的限制較之其他技術領域更多一些,因此,我國資訊保安企業“走出去”需要格外努力,才能衝破各種阻礙。與此同時,我國資訊保安企業也需要不斷了解國外先進技術和先進理念,不斷跟進學習。
正如習近平總書記所說,“任何國家都不能關起門來搞建設”,在資訊保安產業的發展上也是如此。國家政策,包括“一帶一路”倡議、“走出去”戰略等,鼓勵資訊保安企業“走出去”,雖然已經有包括山石網科、藍盾、飛天、啟明星辰、360公司等資訊保安企業走出去的實踐,但是,我國資訊保安企業的國際影響力還非常不足。
“他山之石可以攻玉”。一些國際性交流會議和活動應該成為國內資訊保安企業“看世界”的視窗。這些年來,我國資訊保安界積極參加每年的美國資訊保安(RSA)年度大會,展示在資訊保安技術、應用和服務等方面的進步,瞭解國際網路安全技術的新發展和新動向,並且堅持隨後將參會人員聚集在一起,召開RSA大會熱點研討並交流所得,就是要促進業界對於最新國際動態的瞭解,分析和交流全球網路安全產業界活動的體會和感悟。
三、要讓我國資訊保安產業真正成為建設網路安全強國的基礎
資訊保安產業的發展絕不是簡單的經濟發展問題,而是我國實現中華民族偉大復興、建設網路安全強國的基礎所需。習近平總書記一再強調“沒有網路安全就沒有國家安全”,但是在執行層面,具體的執行層責任包括關鍵資訊基礎設施運營單位的責任卻始終沒能真正落實,而這正是推動資訊保安產業發展的抓手和關鍵。運營單位負責人的責任不落實,制定再多的法律、制度、規章,也不能保證落地。我們必須儘快扭轉運營單位責任不能有效落實這個局面,促進資訊保安產業獲得更好的發展環境。
1. 落實首席安全官制度並完善管理責任
在歐美,多年來一直實行首席安全官制度。歐盟今年5月生效的《通用資料保護條例》(GDPR),明確要求繼續提高首席安全官制度的執行力度。然而,在我國一些企業中,負責企業資訊保安的就是網管員。但是,網管員的資源和能力很難承擔起如此重的責任。雖然有兩會代表連續三年提出議案,建議儘快落實首席安全官制度,但是,至今還沒有結果。
與此相對應的是,我國傳統安全管理制度相當成熟。生產安全的第一責任人是單位法人和主要管理人員;《消防法》規定,在公共場所和生產場所防止火災發生的第一責任人也是主要負責人;其他包括社會治安、交通安全和綜合治理都明確規定,單位主要負責人承擔管理責任;《食品安全法》規定,食品安全是誰經營誰負責,形成了明確的責任鏈,一旦出了問題,可以逐級追究責任。但是,在“沒有網路安全就沒有國家安全”的網路資訊保安領域,至今沒有落實運營單位的責任制。
因為責任規定不清,在實際工作中,在落實資源和人財物時,在制定規章制度時,在進行管理和應急響應時,主要負責人都搞不清應該是誰的責任。雖然我國在資訊化建設方面的投入舉世矚目,但是,對網路安全的投入沒能有相適應地跟進和加強。其中,責任落實不到位,也是非常重要的原因。
令人欣慰的是,已經提請人大常委會審議的《關鍵資訊基礎設施安全保護條例(送審稿)》第十七條規定:“運營單位主要負責人對關鍵資訊基礎設施安全保護負總責,負責建立健全網路安全責任制,保障人力、財力、物力投入,領導關鍵資訊基礎設施安全保護和重大網路安全事件處置工作,組織研究解決重大網路安全問題。”規定很明確,就是由運營單位的主要負責人負總責。同時,該條例的“第七章 法律責任”也規定了責任人應受到的懲罰。一旦責任落實,網路安全出了問題,主要負責人不僅要面對管理的損失問題,還可能被追究應負的責任。這就為儘快落實網路和資訊保安的責任制提供了法律依據。
2. 全方位融合是促進資訊保安產業發展的動力
任何一個國家都不會輕易將資訊化建設的關鍵技術和裝置示人,網路和資訊保安技術更加如此。當國家利益發生衝撞甚至發生衝突時,依靠國外資訊保安企業的安全服務就會變成一種控制。所以,不能指望任何國家提供網路安全的技術和服務來保障我們的安全。實現自主可控,必須靠自己,必須發展自己的網路安全產業。
由政府推動資訊保安產業發展並不僅僅是推出減稅政策或者給某個企業命名,更重要和關鍵的是要有全域性部署,對資訊保安產業發展從國家安全需要出發,統籌規劃、合理佈局、投入推動和依法合理保護。國家可以通過對資訊保安企業進行引導和組織協調,推動行業分工,使資訊保安企業的發展在產業層面形成合力,實現融合發展,落實好習近平總書記在關於資訊化建設的講話中提到的總體安全的大格局,同時,也讓資訊保安產業成為支援網軍儘快形成戰鬥力的強大基礎。
企業是創新的主力軍,其主力軍的表現就體現在產學研結合和軍民融合的發展中。資訊保安企業和國家科研機構、高校等實現產學研相結合,形成以企業為中心而不是高校或者研究機構為中心的產業創新態勢。
3. 自主可控是推動資訊保安產業發展的“抓手”
無論是中興事件還是華為事件,甚至在國際貿易摩擦中的其他技術糾紛,說到底都是關於技術的“自主可控”問題。自主可控是一個完整的概念,卻不是簡單地等於自主智慧財產權。應該把“自主可控”當成一個詞看,而不是“自主”和“可控”兩個詞。所謂自主,是我的系統我做主,我的資料我做主,我的資訊我做主。自主,是強調和修飾“可控”的。可控的主語是“我”,所以叫自主可控。實現自主可控,當然離不開自主智慧財產權的支援,僅靠自主智慧財產權的技術和產品當然還不能保障安全可控,因為還涉及產品的實際水平。所以,自主可控是推動我國資訊保安產業發展的重要原則,也是推動資訊保安產業發展的重要“抓手”。
4. 人才仍然是資訊保安產業發展的“第一資源”
國家已經在資訊保安人才建設方面推出了相關的政策和措施,包括加大在教育、人才培養方面的投入力度,將網路安全設定為一級學科等。然而,資訊保安領域的人才問題,與資訊保安市場的大環境直接相關。因為沒有良好的市場氛圍,資訊保安領域的人才要麼窒息,要麼被人“挖牆腳”而流失。
任何一個企業的發展,領軍人物都是關鍵;如果一個民族、一個團隊沒有好的領袖,難成其事。但是,領袖的培養,有的時候,可能像蜂群一樣,要靠自己並從自身的群體裡選拔培養出來。從另一個角度說,一個團隊的氣質、行為方式、思維方式,往往是第一把手的性格和思維方式。同樣,在資訊保安產業發展的過程中,也出現了一批對產業發展貢獻比較大的團隊和領軍人物,例如大家都比較熟悉的嚴望佳、沈繼業、周鴻禕、肖新光、羅東平、範淵等。在今年成都舉辦的網路安全宣傳週上,繼以前表彰的傑出、優秀人才以後,又表彰了一批對行業發展有影響和貢獻的優秀人物。
從技術角度看,網路安全人才可以分兩大類,一類是知識型人才,就是本科、碩士、博士等學校正規教育培養的人才,這些人才知識面比較寬,受到的教育比較完整,是人才的主流。另一類人才,是技能型人才,就是所謂的白帽子、黑帽子,他們可能學歷並不高且知識結構也不一定完整,但是,可能在攻防上技能上有獨到之處。目前,這兩類人才在企業相對集中,而且人才市場的競爭也非常激烈。成熟度相對比較好的人才往往處於競爭的前沿,其流動性比較高。而技能型的“奇才”,留在政府機構又確實不太容易,這些人是各國和各方爭奪的熱門,已經有不少資訊保安領域的人才流失現象,非常值得關注,我們在這方面必須有所作為。
四、結語
如果將資訊保安產業的發展分成上中下游看,未來國家需要重點推出一些政策、措施促進產業的發展,就是要推出“強手”,加強“中手”,有目的地保護和培植“弱手”。具體說,就是對某些已經有比較先進技術的企業,要支援其走出去,參與國際競爭;對一些已經達到跟跑水平企業的技術和應用,要想辦法穩定而且趕超上去,不要使其被打擊或者壓制下來;對於一些還在萌芽階段、比較弱小的技術和應用,政府要給陽光、雨露和肥料,促進其成長。就是說,對於不同情況的企業,推出不同的政策和鼓勵措施。
特別要注意的是,應從國家網路安全的總體佈局需要出發,有規劃、有引導、有重點地培植一些資訊保安企業發展,不要“撒胡椒麵”和“大水漫灌”。
如果我國資訊保安產業繼續在佔資訊化建設中總投入的1%這種水平上徘徊,我國資訊保安產業的市場規模、資訊化建設,就會遇到極大的發展問題。正視現實,刻不容緩。
(本文刊登於《中國資訊保安》雜誌2018年第10期)
宣告:本文來自中國資訊保安,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。