我國信息安全產(chǎn)業(yè)投入較低,立法推動或成關鍵
http://www.diannaozhi.com 2013-01-16 10:37 中企顧問網(wǎng)
本文導讀:全球信息安全支出在2012年將達到600億美元,比上年增長8.4%。這一數(shù)字在2016年將達到860億美元。根據(jù)分析,安全基礎設施市場包括用于防護企業(yè)和消費者IT設備的軟件、服務和網(wǎng)絡安全應用。
全球信息化浪潮帶來信息安全問題
目前全球信息安全問題嚴重。2011年東京舉行的索尼(Sony)年度股東大會上,首席執(zhí)行官霍華德斯金格為公司遭到黑客入侵向股東道歉。黑客入侵導致索尼股價在截至6月底的3個月里累計下跌24%。霍華德的薪酬也因此被削減了16%。面對黑客攻擊,索尼的防御能力顯得慘不忍睹:自11年4月份以來,其20%的網(wǎng)站被攻陷,它旗下的PlayStationNetwork也不得不因此關閉數(shù)周時間。索尼在金錢方面的損失約為1.7億美元。賽門鐵克諾頓公司12年9月11日發(fā)布的諾頓安全報告推測,從去年7月至今年7月,網(wǎng)絡犯罪致使全球個人用戶蒙受的直接損失高達1100億美元。同期,中國估計有超過2.57億人成為網(wǎng)絡犯罪受害者,直接經(jīng)濟損失達人民幣2890億元。
許多信息安全威脅技術并不復雜,只是目前防護程度不夠。以索尼網(wǎng)站以及HBGaryFederal等其他公司網(wǎng)站上的“SQL注入”漏洞為例,黑客只用在標準的輸入框(例如用戶名輸入框)內(nèi)鍵入一行軟件命令,短短幾個字符而已,就能從底層數(shù)據(jù)庫提取信息。這遠算不上什么高深的科學——在近日的安全漏洞指南中,美國國土安全部對該漏洞的評級是:“易于檢測到”和易于修復。然而,在各公司的網(wǎng)站上,這種漏洞隨處可見,可以被黑客們檢測到。這些都是非常低級的編程錯誤。盡管如索尼發(fā)覺的那樣,清除過往的軟件錯誤既費時又費力,但對企業(yè)來說,這并不是什么不可逾越的障礙。對于軟件應用中存在的漏洞,企業(yè)高層不愿面對、甚至不知情,這才是一直以來的問題所在。
全球信息安全支出不斷增長,我國投資比例有待提升
2012年全球信息安全支出達600億美元。數(shù)據(jù)顯示,全球信息安全支出在2012年將達到600億美元,比上年增長8.4%。這一數(shù)字在2016年將達到860億美元。根據(jù)分析,安全基礎設施市場包括用于防護企業(yè)和消費者IT設備的軟件、服務和網(wǎng)絡安全應用。
我國信息安全投入比例與歐美發(fā)達國家相比差距極大。目前金融危機在一定程度上影響了歐美企業(yè)在信息安全領域的投入預算,但是歐美信息安全投入占IT總投資的比例維持在8%—12%之間,而同期我國信息安全投入占IT總投資的比例剛剛從06年的0.79%提升到1.20%左右,信息安全投入無論是相對值還是絕對值與歐美發(fā)達國家差距依舊非常大。
中企顧問網(wǎng)發(fā)布的《2012-2016年中國網(wǎng)絡安全產(chǎn)品(UTM)市場評估及投資方向研究報告》認為我國信息安全產(chǎn)業(yè)發(fā)展處于初級階段。目前我國信息安全產(chǎn)業(yè)處在波動周期的成長初期,內(nèi)需在產(chǎn)業(yè)發(fā)展中的拉動作用明顯,但是產(chǎn)業(yè)發(fā)展環(huán)境有待改善,產(chǎn)業(yè)結構有待優(yōu)化、產(chǎn)品配套能力有待提高、安全服務有待規(guī)范,總體而言由于我國信息服務產(chǎn)業(yè)正處于大力建設過程中,作為信息服務行業(yè)發(fā)展過程中相對滯后的信息安全產(chǎn)業(yè)發(fā)展速度較慢可以理解,但是從全球信息化的角度看,我國信息安全產(chǎn)業(yè)并沒有緩慢發(fā)展的環(huán)境。
隨著對信息依賴性的提高,我國信息安全產(chǎn)業(yè)將迎來高速發(fā)展。信息安全投入比例仍較低的原因主要是我國處在信息化發(fā)展的初期,機構關鍵業(yè)務對于信息的依賴性不大,自然也就沒有動力投資于信息安全;而在信息的重要性不斷提高的時候,對于安全投入的增長可不是同比增長,而是會增長稍快。這和我們自己對待家庭財產(chǎn)的心態(tài)是類似的,沒錢的時候安全投資極少、比例也極低,而當家庭資產(chǎn)增加的時候?qū)τ诎踩闹匾曇簿驮絹碓街亓耍壤徒^對投入值都會自然提升。隨著客戶成熟度的不斷增加,結合信息安全的重要性,我國信息安全產(chǎn)業(yè)必然在未來幾年內(nèi)出現(xiàn)井噴式的增長,這為我國信息安全企業(yè)帶來很大的潛在機會。
信息安全立法或是行業(yè)高速發(fā)展的關鍵因素
法制體系不完善是信息安全投入低另一原因。我國信息安全投入低,我們認為主要原因一方面在于我國處在信息化發(fā)展的初期,機構關鍵業(yè)務對于信息的依賴性不大,客戶對于自己安全需求的認識上存在落后,也就是對于信息安全沒有足夠的“用的意愿”;另一方面在于沒有關于信息安全的關鍵性法律法規(guī)。
近幾年國家政策大力推動行業(yè)發(fā)展,但是沒用關鍵性法律法規(guī)。最近幾年,國家各部委紛紛出臺了支持信息安全產(chǎn)業(yè)的政策和相關法規(guī),尤其是2010年國家公安部下發(fā)了《關于開展信息安全等級保護專項監(jiān)督檢查工作的通知》,對信息安全等級保護制度從法規(guī)到實施上作了具體的要求,對市場起到了重要推動。但是目前信息安全相關的法律法規(guī)多限于明確責任和起指導作用的地位,暫時還沒有從根本上推動信息安全產(chǎn)業(yè)發(fā)展的法律法規(guī)。
國家正在逐步推動信息安全等級保護體系。2010年新《保密法》實施,國務院發(fā)布《信息安全等級保護條例》,按照時間表,到2011年底第三級以上的信息系統(tǒng)安全測評完成。2012年底完成第三級以上的信息系統(tǒng)安全建設,包括軍工、關鍵行業(yè)的重要企業(yè)、政府等將按照等級保護要求加大信息安全投入。12年9月北京市國資委與市公安局近日聯(lián)合出臺《關于進一步推進市屬國有企業(yè)信息安全等級保護工作的通知》,提出今后,北京市國資委將聯(lián)合市公安局、行業(yè)主管部門共同指導企業(yè)開展信息安全等級保護各項工作,定期監(jiān)督、檢查市屬企業(yè)信息安全等級保護工作落實情況,推動企業(yè)重要信息系統(tǒng)安全保護能力逐步達到信息安全等級保護要求,使信息化更好地服務于首都國有經(jīng)濟科學發(fā)展。
信息安全等級保護體系明確要重點發(fā)展具備自主知識產(chǎn)權的信息安全產(chǎn)品。在《信息安全等級保護管理辦法》中明確規(guī)定,在第三級以上信息系統(tǒng)應當選擇使用符合以下條件的信息安全產(chǎn)品:(一)產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的,在中華人民共和國境內(nèi)具有獨立的法人資格;(二)產(chǎn)品的核心技術、關鍵部件具有我國自主知識產(chǎn)權。
人大極速通過信息安全立法,產(chǎn)業(yè)即將爆發(fā)
政府、企業(yè)、個人信息數(shù)據(jù)上升到極其重要法律保護位置。12年12月24日,十一屆全國人大常委會第三十次會議審議了委員長會議提請審議的《全國人民代表大會常務委員會關于加強網(wǎng)絡信息保護的決定(草案)》的議案。此次全國人大審議的草案,將政府、企業(yè)、個人信息數(shù)據(jù)上升到極其重要的法律保護位置,全國人大常委會法工委副主任李飛對決定草案作說明時表示,草案突出強調(diào)國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息,對網(wǎng)絡服務提供者和其他企業(yè)事業(yè)單位收集、使用個人信息的規(guī)范及其保護個人電子信息的義務作出多項規(guī)定。十一屆全國人大常委會第三十次會議在完成各項議程后,28日下午在北京人民大會堂閉幕,會議通過了《關于加強網(wǎng)絡信息保護決定》。
政府、企業(yè)、個人信息數(shù)據(jù)上升到極其重要法律保護位置,要求法人單位確保信息安全。此次人大通過的《關于加強網(wǎng)絡信息保護的決定》,將府、企業(yè)、個人信息數(shù)據(jù)上升到極其重要的法律保護位置,文件明確規(guī)定了“網(wǎng)絡服務提供者和其他企業(yè)事業(yè)單位應當采取技術措施和其他必要措施,確保信息安全”,并對威脅信息安全保護的行為依據(jù)法律法規(guī)處理。
保障的核心是軟硬件進口替代,加強信息安全投入。國家已經(jīng)多次提到了信息安全的重要性,軟件行業(yè)、物聯(lián)網(wǎng)“十二五”規(guī)劃,以及信息安全產(chǎn)業(yè)“十二五”規(guī)劃都多次闡述了信息安全是國內(nèi)信息化發(fā)展的重要保障,本次的人大立法必將信息安全提升到更高的程度;信息安全保障的核心是國產(chǎn)軟硬件的本土化替代進口產(chǎn)品;國內(nèi)軟硬件水平已經(jīng)具有能夠支撐面向未來和新管理體制電子政務系統(tǒng)的能力,同時形成完整產(chǎn)業(yè)鏈,未來有望在“十二五”末全面進行關鍵領域進口替代,空間巨大。
關系到國計民生,信息安全產(chǎn)業(yè)市場空間巨大。信息安全產(chǎn)業(yè)作為關系到國計民生的戰(zhàn)略性信息產(chǎn)業(yè),未來國家的扶持力度將會進一步加大。
目前全球信息安全問題嚴重。2011年東京舉行的索尼(Sony)年度股東大會上,首席執(zhí)行官霍華德斯金格為公司遭到黑客入侵向股東道歉。黑客入侵導致索尼股價在截至6月底的3個月里累計下跌24%。霍華德的薪酬也因此被削減了16%。面對黑客攻擊,索尼的防御能力顯得慘不忍睹:自11年4月份以來,其20%的網(wǎng)站被攻陷,它旗下的PlayStationNetwork也不得不因此關閉數(shù)周時間。索尼在金錢方面的損失約為1.7億美元。賽門鐵克諾頓公司12年9月11日發(fā)布的諾頓安全報告推測,從去年7月至今年7月,網(wǎng)絡犯罪致使全球個人用戶蒙受的直接損失高達1100億美元。同期,中國估計有超過2.57億人成為網(wǎng)絡犯罪受害者,直接經(jīng)濟損失達人民幣2890億元。
許多信息安全威脅技術并不復雜,只是目前防護程度不夠。以索尼網(wǎng)站以及HBGaryFederal等其他公司網(wǎng)站上的“SQL注入”漏洞為例,黑客只用在標準的輸入框(例如用戶名輸入框)內(nèi)鍵入一行軟件命令,短短幾個字符而已,就能從底層數(shù)據(jù)庫提取信息。這遠算不上什么高深的科學——在近日的安全漏洞指南中,美國國土安全部對該漏洞的評級是:“易于檢測到”和易于修復。然而,在各公司的網(wǎng)站上,這種漏洞隨處可見,可以被黑客們檢測到。這些都是非常低級的編程錯誤。盡管如索尼發(fā)覺的那樣,清除過往的軟件錯誤既費時又費力,但對企業(yè)來說,這并不是什么不可逾越的障礙。對于軟件應用中存在的漏洞,企業(yè)高層不愿面對、甚至不知情,這才是一直以來的問題所在。
全球信息安全支出不斷增長,我國投資比例有待提升
2012年全球信息安全支出達600億美元。數(shù)據(jù)顯示,全球信息安全支出在2012年將達到600億美元,比上年增長8.4%。這一數(shù)字在2016年將達到860億美元。根據(jù)分析,安全基礎設施市場包括用于防護企業(yè)和消費者IT設備的軟件、服務和網(wǎng)絡安全應用。
我國信息安全投入比例與歐美發(fā)達國家相比差距極大。目前金融危機在一定程度上影響了歐美企業(yè)在信息安全領域的投入預算,但是歐美信息安全投入占IT總投資的比例維持在8%—12%之間,而同期我國信息安全投入占IT總投資的比例剛剛從06年的0.79%提升到1.20%左右,信息安全投入無論是相對值還是絕對值與歐美發(fā)達國家差距依舊非常大。
中企顧問網(wǎng)發(fā)布的《2012-2016年中國網(wǎng)絡安全產(chǎn)品(UTM)市場評估及投資方向研究報告》認為我國信息安全產(chǎn)業(yè)發(fā)展處于初級階段。目前我國信息安全產(chǎn)業(yè)處在波動周期的成長初期,內(nèi)需在產(chǎn)業(yè)發(fā)展中的拉動作用明顯,但是產(chǎn)業(yè)發(fā)展環(huán)境有待改善,產(chǎn)業(yè)結構有待優(yōu)化、產(chǎn)品配套能力有待提高、安全服務有待規(guī)范,總體而言由于我國信息服務產(chǎn)業(yè)正處于大力建設過程中,作為信息服務行業(yè)發(fā)展過程中相對滯后的信息安全產(chǎn)業(yè)發(fā)展速度較慢可以理解,但是從全球信息化的角度看,我國信息安全產(chǎn)業(yè)并沒有緩慢發(fā)展的環(huán)境。
隨著對信息依賴性的提高,我國信息安全產(chǎn)業(yè)將迎來高速發(fā)展。信息安全投入比例仍較低的原因主要是我國處在信息化發(fā)展的初期,機構關鍵業(yè)務對于信息的依賴性不大,自然也就沒有動力投資于信息安全;而在信息的重要性不斷提高的時候,對于安全投入的增長可不是同比增長,而是會增長稍快。這和我們自己對待家庭財產(chǎn)的心態(tài)是類似的,沒錢的時候安全投資極少、比例也極低,而當家庭資產(chǎn)增加的時候?qū)τ诎踩闹匾曇簿驮絹碓街亓耍壤徒^對投入值都會自然提升。隨著客戶成熟度的不斷增加,結合信息安全的重要性,我國信息安全產(chǎn)業(yè)必然在未來幾年內(nèi)出現(xiàn)井噴式的增長,這為我國信息安全企業(yè)帶來很大的潛在機會。
信息安全立法或是行業(yè)高速發(fā)展的關鍵因素
法制體系不完善是信息安全投入低另一原因。我國信息安全投入低,我們認為主要原因一方面在于我國處在信息化發(fā)展的初期,機構關鍵業(yè)務對于信息的依賴性不大,客戶對于自己安全需求的認識上存在落后,也就是對于信息安全沒有足夠的“用的意愿”;另一方面在于沒有關于信息安全的關鍵性法律法規(guī)。
近幾年國家政策大力推動行業(yè)發(fā)展,但是沒用關鍵性法律法規(guī)。最近幾年,國家各部委紛紛出臺了支持信息安全產(chǎn)業(yè)的政策和相關法規(guī),尤其是2010年國家公安部下發(fā)了《關于開展信息安全等級保護專項監(jiān)督檢查工作的通知》,對信息安全等級保護制度從法規(guī)到實施上作了具體的要求,對市場起到了重要推動。但是目前信息安全相關的法律法規(guī)多限于明確責任和起指導作用的地位,暫時還沒有從根本上推動信息安全產(chǎn)業(yè)發(fā)展的法律法規(guī)。
國家正在逐步推動信息安全等級保護體系。2010年新《保密法》實施,國務院發(fā)布《信息安全等級保護條例》,按照時間表,到2011年底第三級以上的信息系統(tǒng)安全測評完成。2012年底完成第三級以上的信息系統(tǒng)安全建設,包括軍工、關鍵行業(yè)的重要企業(yè)、政府等將按照等級保護要求加大信息安全投入。12年9月北京市國資委與市公安局近日聯(lián)合出臺《關于進一步推進市屬國有企業(yè)信息安全等級保護工作的通知》,提出今后,北京市國資委將聯(lián)合市公安局、行業(yè)主管部門共同指導企業(yè)開展信息安全等級保護各項工作,定期監(jiān)督、檢查市屬企業(yè)信息安全等級保護工作落實情況,推動企業(yè)重要信息系統(tǒng)安全保護能力逐步達到信息安全等級保護要求,使信息化更好地服務于首都國有經(jīng)濟科學發(fā)展。
信息安全等級保護體系明確要重點發(fā)展具備自主知識產(chǎn)權的信息安全產(chǎn)品。在《信息安全等級保護管理辦法》中明確規(guī)定,在第三級以上信息系統(tǒng)應當選擇使用符合以下條件的信息安全產(chǎn)品:(一)產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的,在中華人民共和國境內(nèi)具有獨立的法人資格;(二)產(chǎn)品的核心技術、關鍵部件具有我國自主知識產(chǎn)權。
人大極速通過信息安全立法,產(chǎn)業(yè)即將爆發(fā)
政府、企業(yè)、個人信息數(shù)據(jù)上升到極其重要法律保護位置。12年12月24日,十一屆全國人大常委會第三十次會議審議了委員長會議提請審議的《全國人民代表大會常務委員會關于加強網(wǎng)絡信息保護的決定(草案)》的議案。此次全國人大審議的草案,將政府、企業(yè)、個人信息數(shù)據(jù)上升到極其重要的法律保護位置,全國人大常委會法工委副主任李飛對決定草案作說明時表示,草案突出強調(diào)國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息,對網(wǎng)絡服務提供者和其他企業(yè)事業(yè)單位收集、使用個人信息的規(guī)范及其保護個人電子信息的義務作出多項規(guī)定。十一屆全國人大常委會第三十次會議在完成各項議程后,28日下午在北京人民大會堂閉幕,會議通過了《關于加強網(wǎng)絡信息保護決定》。
政府、企業(yè)、個人信息數(shù)據(jù)上升到極其重要法律保護位置,要求法人單位確保信息安全。此次人大通過的《關于加強網(wǎng)絡信息保護的決定》,將府、企業(yè)、個人信息數(shù)據(jù)上升到極其重要的法律保護位置,文件明確規(guī)定了“網(wǎng)絡服務提供者和其他企業(yè)事業(yè)單位應當采取技術措施和其他必要措施,確保信息安全”,并對威脅信息安全保護的行為依據(jù)法律法規(guī)處理。
保障的核心是軟硬件進口替代,加強信息安全投入。國家已經(jīng)多次提到了信息安全的重要性,軟件行業(yè)、物聯(lián)網(wǎng)“十二五”規(guī)劃,以及信息安全產(chǎn)業(yè)“十二五”規(guī)劃都多次闡述了信息安全是國內(nèi)信息化發(fā)展的重要保障,本次的人大立法必將信息安全提升到更高的程度;信息安全保障的核心是國產(chǎn)軟硬件的本土化替代進口產(chǎn)品;國內(nèi)軟硬件水平已經(jīng)具有能夠支撐面向未來和新管理體制電子政務系統(tǒng)的能力,同時形成完整產(chǎn)業(yè)鏈,未來有望在“十二五”末全面進行關鍵領域進口替代,空間巨大。
關系到國計民生,信息安全產(chǎn)業(yè)市場空間巨大。信息安全產(chǎn)業(yè)作為關系到國計民生的戰(zhàn)略性信息產(chǎn)業(yè),未來國家的扶持力度將會進一步加大。
