网络攻击可“私人定制”.doc

1、网络攻击可“私人定制”中国信息安全市场绝非红海，仍有巨大的市场空间供企业争取，而只有真正扎实做技术、做产品质量的企业才能笑到最后。 在我看来，中央网络安全与信息化领导小组应该更早成立。现实情况是，当下无论是企业、政府还是普通用户都已经完全离不开互联网了，互联网如同空气一样重要。目前我们的日常生活已经被逐渐数字化，在这样的情况下，信息安全就变得更加重要，好比正常生活中要有警察抓小偷，网络生活中也要有相应部门保证用户的个人安全。 新时代，信息安全的概念变得更为宽泛。信息安全已经不再局限于以往的黑客攻击了。信息安全隐患已经展现出了多样性的特性，变得更加复杂，更加需要专业人员专门对待。除了普通网络用户

2、，国家的电力系统、通信设备、金融系统等等核心命脉部门都成为信息安全领域中的重点保护对象，因为一旦这些部门出现信息安全威胁，则关系重大。 新时代信息安全的另一个特点就是在技术层面更加尖深。现在的网络攻击完全可以达到“私人定制”程度。比如说一些公司的领导者要在公司内汇报一项重要的工作，这份文件在行业内很有价值，吸引了一些不法分子的觊觎。攻击者只需要给这位公司领导发一封看似非常正常的word 文件，可能就是一份完全看不出任何问题的普通文档。但当这位领导打开文件之后，电脑可能只是闪了一下，攻击者就已经攻入这位领导的电脑。而随之而来的不仅是这份重要文件的被盗，还有整个公司的网络系统对攻击者而言已经处于“

3、全裸”状态了。而且可能相当长一段时间，这个公司的人员都不会意识到自己每天正处于被监控状态下，因为一切隐患都发生的相当自然，没有任何异常之处。 而且，正如刚才案例中所谈到的，仅仅偷取一份文件，并不是攻击者现在的目标，留下后门从而随时将入侵电脑乃至整个公司电脑系统处于自己的监控之下才是攻击者的追求。 此前，有一家公司的 CIO 在和笔者交流时表示，最近发现自己的商业网站遭到了黑客攻击。笔者当时初步判断，这次攻击可能仅仅是个开始，黑客可能不满足于“偷一把信息就跑” 。于是笔者从这位 CIO 的公司内找到一台瓷碗没有被发现已经被攻陷的服务器，经过检测，我们发现这台服务器上已经被黑客留下了十几个后门。这

4、就是一件非常可怕的事情，因为任何一个后门没被彻底清除，黑客就可以自由出入窃取信息。对公司而言，这样的黑客入侵已经造成了全系统地的瘫痪，因为越多地用网络传递公司信息就会有越多的信息被窃取，而不用网络，正常的工作可能就无法进行。信息安全是一个非常严肃而且关键的事情。 综合来看，中国的互联网安全水平在国际上处于中上水平，并没有很多人想象的那么差。去年 3 月，微软官方博客发布的安全报告指出，中国电脑的恶意软件感染率指标为 0.6，不仅远远低于 7.0的全球平均线，也是恶意软件感染率最低的国家。中国的个人用户市场发展最好，既有免费的杀毒软件，同时也取得了非常好的效果。 当然比起国际一流水平，中国的差距

5、还很大，但必须要看到中国互联网用户数量多、信息安全情况复杂等一系列现实情况。 具体来讲，中国信息安全整体水平与国际一流水准在三个方面存在差距。 首先，中国的信息安全或者说整个电子信息产业在自主可控方面，还有很长的路要走。互联网的基础架构起源于美国，中国互联网方面直到目前依然深度依赖美国的技术和标准，比如说域名解析系统、证书公司基本上都是美国公司研制的，更严重的是，中国公司的量信息和数据服务也是有美国公司参与完成的。 这就需要中国企业在尽可能短的时期内尽快完成核心技术和产品的研发，早日实现自主可控。 其次，中国的产业环境不利于网络安全专家的发展，而人才是电子信息产业最为重要的资源。在早些时候，网

6、络安全领域的专家被很多公司和部门像防贼一样地防着。相比中国，欧美的网络安全专家的成长环境远好于我们，在国外网络安全专家被视为稀缺人才，甚至国家出面进行人才安置和延揽。另一个值得注意的问题是，整个信息安全产业氛围国内外差距显著。中国的信息安全企业之间很难建立融洽的合作关系，甚至一些企业见面如同仇敌一样，更谈不上坐下来聊聊合作的事情了。去年，国内互联网安全公司的市场规模有 300 元亿左右，最大一家才只有 9.9 亿元，这说明中国的互联网安全市场高度碎片化，成规模的大企业几乎没有。在这一点上美国同中国一样，美国的信息安全公司也面临着高度碎片化的问题。其中一个原因是由于信息安全产业的链条特别长，基本

7、上没有公司可以把所有的信息安全产业全部覆盖，能做好一个环节或者几个环节就已经非常不容易。 成立中央网络安全和信息化领导小组的一个重要意义在于把各个环节的龙头企业集合起来，通过分工协作来真正做强中国的信息安全产业。中国的信息安全市场其实是一块非常大的蛋糕，目前还说不上是一个红海，还有着巨大的市场空间可以让企业去争取。 还有一个问题是政府导向问题。大量中国企业的 CIO 只是按部就班地完成任务，并没有承担责任，没有冒风险的勇气和决心。举例来讲，中国的很多 CIO 只是把有名气、有资质的安全产品用在企业上，但是并没有把重点放在踏踏实实建设企业信息安全上。这导致的直接后果之一就是很多信息安全产品公司把

8、发展重点放在了去申请各种各样的资质和开拓市场品牌上，至于产品性能并不关注。这对中国信息安全产业来讲绝不是一件好事。 根据公开资料，中国 60%以上的网站存在漏洞，20%的网站存在严重漏洞。一个非常极端的例子是，某网站在成立两年多的时间里先后发现了 7000 多万个漏洞，这说明中国的信息安全形势并不乐观。 鉴于这样的产业现状和发展问题，政府应该继续加大对国产信息安全软硬件的支持，但是在具体的方法上应该有所改变，不是政府花非常大的力气去护航，而是应该用市场机制去淘汰一批企业，扶持一批企业，比如政府应该鼓励更多真正踏踏实实研发技术的企业。政府应当是引领一种风气，而不是去简单地护航，护航式的支持并不利

9、于中国信息安全产业的发展。 在移动互联网时代，信息安全变得更加迫在眉睫。比如说云计算，很多数据是可以放到云上，那这些数据的安全性如何？这都是移动互联网时代面临的信息安全新难题。Gartner 发表的一份报告预计至 2017 年，约有 75%的企业想要保密的数据不能够得到保密。比如说个人邮箱被黑客查看，黑客完全可以从邮件分析出个人的手机、通过 IP 地址分析行程。如果想对一个人发起针对性的袭击，通过这种方式是完全可以做到的。 所以，在移动时代，信息安全将成为更为重要的产业市场，这不仅有挑战，更有无限的机会和可能。而技术实力和产品质量，将是企业最终极的比拼。 （作者为奇虎 360 公司副总裁，文章根据本刊专访整理，不代表本刊观点）