2014信息安全重塑
2014-10-12黄浩
本刊记者 | 黄浩
之所以用重塑这个词,是因为以往信息安全从来没上升到如此重要的地位,从2012年年底的“十八大”报告中对国家信息安全的重新定义,到2013年底十八届三中全会公报指出将设立国家安全委员会。相对于以往仅仅作为信息产业一个子集的信息安全,现在被赋予了更高的定位——成为国家级战略,而来自顶层的这种设计势必对现有的产业格局造成一定影响。
同时,除了政策层面的推动力,来自行业内部技术和市场的双重推动也让信息安全产业在2014年有了新的动向。技术上,移动互联网、物联网、云计算、大数据等新技术的应用逐渐成熟,带动信息安全产业做出相应改变;在市场上棱镜门事件,让整个ICT产业民族品牌意识觉醒,“自主、可控”成为行业主题。
1、国家级网络信息安全战略有望出台
2013年11月12日,中国共产党十八届三中全会公报指出将设立国家安全委员会,完善国家安全体制和国家安全战略,确保国家安全。而此前党的“十八大”报告中明确提出要“高度关注海洋、太空、网络空间安全”,这意味着,顶层设计下的国家信息安全整体规划正式开始提上日程。
↑虚拟运营商的加入,在扩大运营商队列的同时,也给安全带来了新的挑战
需要指出的是,信息安全战略是一个完整复杂的体系,它包括国际、国内战略和用以支撑的一系列法规、相应的组织机构等,我国在这方面起步迟,显然需要有一个逐步完备的过程。
2、企业CSO制度将会提上日程,继续扩大“CXO”的阵营
在继CIO、CTO、CDO、CMO之后,CSO将在2014年成为企业信息化建设过程中,一个新晋的重要角色。
一方面,国家级的信息安全策略已逐渐明朗,出台只是时间问题。一旦落地,相应的企业配套体系也将提上日程。届时,大型央企、国企势必会成为企业CSO制度的第一批试验田。
另一方面,云计算、移动互联网、大数据等新兴技术不断扩大企业信息化建设的外延,企业急需整体的安全防护策略,而不再是单点、碎片化的建设方式。这也是企业在信息安全建设过程中,内在需求的体现。
3、民族品牌将成市场主要角色
棱镜门的出现促使我国开始反思关键设备依赖外国公司的后果。而此前造成棱镜门能够大行其道的重要原因之一,就在于在我国以往的信息体系建设中过于依赖外商设备,目前已建的重要信息系统几乎均为外国品牌,包括操作系统、数据库。
在信息安全上升为国家战略的情况下,可以预见,在2014年“自主、可控”将成为国内信息安全产业在行业应用市场爆发的重要利好。
实际上,在2013年下半年,这种利好已经开始体现在奇虎360一批国内安全厂商的市场表现上。此外,在股市上,清华同方、浪潮信息等一批企业的表现也分外抢眼。同时,以央企为主的“去IOE”行动也逐步升级。鉴于此,《中国信息化》认为这种利好将进一步持续和扩大。而2014年的国内信息安全市场也将进一步洗牌,尤其是在大安全的概念下,这种市场洗牌也将进一步扩大到数据库、基础芯片、服务器、网络设备等领域。
借用中国工程院院士倪光南的话来说,建设信息安全,必须走纯粹的自主创新之路,加速开发我国自己的信息安全技术和设备,自己掌握一些软件和硬件的关键技术,才能在未来的国家化竞争环境中占得先机。
4、信息安全产品矩阵化
这里的信息安全矩阵并不是那个知名的学术网站,而是在智慧城市、信息消费等各种跨行业、跨领域的IT建设思路下,大安全的概念不断被触及,比如多部委联合推动的“打造网络可信交易环境”就是一个典型案例。
在2014年,大安全概念下,对信息安全厂商的整合能力及整体实力将进一步形成考验,完善的产品线或将成为竞争中的不二法门。”横跨防火墙/UTM、入侵检测管理、网络审计、终端管理、加密认证等技术领域,共有N个产品型号”,这些描述性词汇会出现在很多厂商的宣传册上。
同时,在角色转变上,信息安全厂商将不仅是在安全需求与信息安全产品、服务之间架起桥梁,更为重要的是将客户的安全保障体系与信息安全核心技术紧密相连,帮助其建立完善的安全保障体系。
5、BYO(D+S)让信息安全变得更复杂
在过去的两年里,BYOD已经成为一种比较成熟的移动化办公方式。尤其是,随着移动警务、移动金融、移动政务和移动办公快速发展,传统网络面临的移动安全威胁加剧。可以说,3G网络成熟带来了更多的移动应用,而移动安全与移动应用是共存的情况。企业级移动安全已经从前期铺垫走向爆发阶段。但是在2014年,BYO的后面将不仅是硬件设备,大量的软件,包括邮件系统、网络存储等个人软件也将进一步进入到企业移动化的过程中来。都同BYOD一样,BYOS的价格相当低廉。以云存储服务为例,大多数云存储服务都按照基础服务免费,增值业务收费的原则,相比于传统的FTP,云存储服务在价格上有着不错的优势。但是出于降低IT成本而被引入的BYOS,将使企业的移动办公环境变得更为复杂。
6、云计算、大数据将与信息安全进一步整合
云计算和大数据的应用已经开始进入成熟阶段,2014年将会有更多的应用场景出现。一方面,在2013年微软和亚马逊两家公有云相继进入中国本土市场,这意味着,国内公有云市场在竞争进一步加剧的同时,落地项目也会越来越多;另一方面,以大数据分析为基础的行业应用也越来越多,比如北京市交通局主导的人、车、住宅定向单位时间流向模型的建立。与此同时,云计算下的数据迁移、跨云的数据对接,大数据下的数据样本采集、应用,以及广泛意义上的商用,都会涉及一系列的安全问题。因此,在2014年,云计算和大数据技术将与安全技术的融合,并形成打包的整体性解决方案,基于传统安全的防病毒、防火墙和入侵防御系统的技术将加快向以云计算和大数据分析监控为基础的安全技术改变。同时也意味着,传统的信息安全厂商与云计算和大数据技术服务提供商之间的合作将更为紧密。这一趋势将对我国信息安全技术和产品研发、网络安全防御体系建设产生影响。
7、通信产业新角色要新安全
虚拟运营商是在2013年年底,在国内落地的一个新词。它的出现意味着,民营资本开始逐渐进入传统垄断的电信运营商领域,进一步增加市场活跃度的重要开始。但是在虚拟运营商出现的背后,也体现了传统电信业务向以微信OTT为代表新业务扩展的新趋势。这种趋势,一是移动互联网技术在应用上的进一步深化,二是符合了国家促进信息消费的大背景。
必须看到的是,通信产业在面临更大创新机遇的同时,也面临着更加严峻的信息安全挑战。宽带、3G、4G网络的快速发展,电信运营商网络越来越庞大,越来越复杂,任何小的安全漏洞都可能带来巨大安全事件,给网络和业务带来巨大损失,所以运营商将从“云管端”多个角度加强安全系统建设。同时,虚拟运营商的加入,在扩大运营商队列的同时,也给安全带来了新的挑战。
8、企业外网将成重灾地
2013年,传统行业在互联网化的路上越走越快。建立官网进行对外宣传和展示,以及进行相关产品的发布,已经成为企业的通用手段。因此,企业网站已经成为企业对外的一面镜子,反射出企业的自身形象。但是这面镜子在来自互联网的攻击面前却十分脆弱,主要是由于企业网站存在漏洞,导致网站被拖库、篡改和流量攻击。很多企业遭遇用户流失,导致巨额损失,并严重影响了企业自身的形象。
在企业外网安全受到威胁的同时,2014年也将出现一些新的趋势:一是,钓鱼网站呈现快速增长势头;二是,网络存储和云共享成为木马新兴渠道。