1、亟待改善信息安全产业的五大环境 我国信息安全产业当前处在领域扩展、产品换代、服务升级、规模做大、投资多元、规范管理、人员急速增长和提高素质等建立现代企业制度的重要发展时期。十多年来,中国信息安全产业得到快速的发展,这种发展当然首先得益于国家领导人对信息化安全的重视,这种重视与国家在世界政治、经济和军事的大环境的态势息息相关。我国信息安全企业虽然发展不平衡,从总体上看我国信息安全产业已经走过了创业期,进入了开拓期或发展期。信息安全产业从由国家的几个研究机构主要从事数据加密和单纯计算机系统安全研究发展到国家的一批研究机构、大学院系和一大批高科技中小企业共同从事信息、计算机系统和互联网络安全,到现在
2、形成主体企业团队全面服务于国家基础设施信息化安全建设与运营,逐步走向成熟发展阶段。 信息安全得到了国家领导人、政府主管部门、行业主管与监管部门、国家基础设施运营部门和广大公众普遍关注,对我国信息安全产业快速有序发展提出了强烈需求。中国信息安全产业根据中国的信息化实际,把国际上通常关注的完整性、保密性、可用性和抗抵赖性安全特性,扩大到包括可信性、完整性、保密性、可用性、有效性、连续性、抗危害性和抗抵赖性等更加全面的信息化安全特性,以适应这种多关注的时代新要求。 信息安全产业有十几年的历史,至今距离上述需求差距甚远,我国信息安全产业的环境与政策不能适应产业发展的要求。因此,产生了中国信息安全产业发
3、展的紧迫性,需要更加有力的产业结构和科技创新支持,帮助中国信息安全产业实现网络世界安全的技术创新与产品替代计划的落实,建立和维护我国网络世界安全的可信、自主、可控的局面;要求强化网络世界的产品保证和政府监管,维护中国信息安全市场的良好秩序;需要具有支持中国信息安全产业可持续发展的政府采购和市场促进环境;需要对中国信息安全产业商会机构和在其帮助下的信息安全产业联盟组织良好的政策支持,提高我国网络世界安全整体竞争力和维护产业权益的综合能力。争取在10年多的时间内,使得中国信息安全产业具有千亿规模的市场,使我国成为世界主要信息安全研究、开发、生产和服务的基地。 产业结构调整环境 目前,我国信息安全事
4、业进入了一个关键的发展时期,即大范围网络世界安全综合治理时期。在这个时期,中国信息安全产业正在以建立网络世界可信环境与秩序作为发展目标,不仅把数据与系统的安全作为研究对象,还将会把“行为与内容”作为主要的研究对象,全面满足国家政治、经济、军事、社会、文化等方面,从国家领导到国家安全部门、国家基础设施监管部门、军事部门、经济领域、企业、公众提出的信息化安全要求。这个时期的安全观念是系统和网络的结构性的安全。表现在系统互操作性、网络远程服务和多系统融合会造成安全冲突与矛盾。这个时期的信息化安全的重要任务是:通过把相互孤立的安全资源组网整合起来,构成专门的管理、监管、认证和控制的智能网络,构成有组织
5、的群体能力的安全体系。为此,必须在如下两个方面做出努力。 首先,通过10年左右的时间,把脆弱性安全逐步还给所有的IT厂商。例如,把电信的脆弱性安全还给电信产品供应商,把计算机的脆弱性安全还给计算机产品、操作系统产品供应商。这样做的目的是鼓励和调动所有的IT企业参与到网络世界安全的建设中来,因为网络世界安全是与所有IT产品供应商相关联的。 其次,专业性的网络世界安全产业依然有非常大发展空间。因为,网络世界中的结构性安全的产品、服务与更大的市场需要这些专业性的企业去开拓,并成为中国和世界新型的信息化与安全的体系结构产品供应商,实现网络世界中所有IT产品供应商提供产品与系统脆弱性的保障、控制、测试、
6、管理、监管、测评、认证、评估、对抗和应急。真正实现网络世界可信环境与秩序的建立,去满足信息化安全科学发展的强烈要求。 中国信息安全产业把未来10年和20年的发展要求调整为: 从单一的技术部门需求关注的数据与系统安全到多关注需求的网络世界安全(包括国家、政府主管部门、监管部门、基础设施运营商、广大用户和信息安全产业等多方面的关注)。 从关注面向脆弱性安全到更加关注结构性安全。 从关注面向威胁被动安全体系到更加面向能力的主动安全体系建设。 从关注局域网安全到更加关注大范围网络环境的安全。 从关注数据与系统安全防护到更加关注运营安全和可信秩序的建立。 从关注产品与安全技术标准符合到更加关注安全预期性
7、和非预期性把握与控制以及预期与实际效果差别的认识与改进。 从关注面向具体安全问题的解决到更加关注信息化与安全事业的科学发展和科学体系的建设。 并给出一个总的调整概念,即从信息安全转变为网络世界安全(Cyber Security)或者简单称作从“脆弱性安全”到“结构性安全”的转变。 所以,可以给出我国信息安全产业结构调整的目标: 通过产业结构的调整,使整个信息安全产业面向国家、管理与监管部门、国家基础设施运营部门和公众多需求关注的网络世界安全,强调网络世界的结构性和大范围网络环境的安全,建立面向能力的主动安全体系,促进信息化与安全事业的科学发展。将信息安全产业的服务领域、技术方向、产品种类等作为
8、产业结构调整的中心范畴。 信息安全产业结构调整是一项艰巨的长期的系统工程,必须制定国家信息安全产业结构调整的蓝图,要有产业结构调整的实施计划,有步骤、有重点的开展与落实。调整产业结构要通过支持新型技术产业基地的建设,新技术的工程中心,国家重点实验室、新技术学科和开展试点工程项目来推进。产业结构调整需要国家和地方资金的支持,在国家信息安全的专项基金中专门设立产业结构调整的支持项目。 产业的科技创新环境 我国信息安全产业的发展要走科学发展的道路,信息化安全的科学发展要通过建立信息化科学体系来推动。信息安全产业的科技创新是基于整个信息产业(包括计算机、通信、微电子、软件等)的发展,面向我国政治、经济
9、、文化、社会、国防、国家基础设施(金融、电信、电力、交通、能源)等信息化建设,又高于信息基础产业自身研究范围,形成了独立的信息化安全产业和信息化科学体系建立的需求。鉴于信息化安全服务的综合性、对策性、高技术性的特点,各国对信息安全都采取了保护政策,因此,我国信息安全产业的科技创新任务非常艰巨。 中国信息安全产业的技术创新与一般高科技产业的创新有着非常不同的要求。由于信息安全是一项综合治理的事业,仅仅通过各企业自发的技术创新,提供服务能力和增加功能是不能实现这种综合治理的目标的。要求明确每一个安全技术与产品在综合治理中的地位和作用,存在着在单个技术与产品角度看可能是个创新,但是从信息安全综合治理
10、全局角度看,可能是缺乏可行行的。这样,信息安全产业在科技创新的规划中,就需要总体设计和顶层设计,这是信息安全产业创新的一个特点。所以,信息安全产业的科技创新是一项大型的系统工程,需要科学的前瞻性的制定发展蓝图和实施计划。 科技创新要通过支持新型技术产业基地的建设,新技术的工程中心,国家重点实验室、新技术学科和开展试点工程项目来推进。中国信息安全产业应当年度性地发布创新和替代计划报告,阐述新型技术,向国家有关部门提出(发改委、财政部、信息产业部、科技部和教育部等)支持建议。科技创新需要国家资金的支持,在国家信息安全的专项基金中专门设立。 产业的市场促进与 政府采购环境 推动市场工作,首先是推动需
11、求的增长,而需求说到底是对信息化与安全的知识结构、认知水平和实现其认知的要求与能力决定的。全面加强信息化安全的教育和培训工作,尤其在国家与地方党、政、军和关键基础设施等领域的各级领导、信息化主管部门的信息化安全的教育与培训。在企业和社会也要实施信息化安全的普及教育与培训工作。使其了解新时期信息化安全的内容、特点、重要性和方法。 推动市场工作,要考虑到当代信息化推进的新情况,要走信息化科学发展的道路,信息化的科学发展必须通过建立信息化科学体系来推进。要改进信息化推进模式,要以信息化总体学、信息化体系结构、信息化的服务性、互操作性和安全性为核心,推动在已有信息化投资和沉淀的基础上的新的计算、运营、
12、系统、工程的方法学和科学体系建立。信息化科学体系是要促进建立信息化的甲方为核心的科学,是推动信息化科学发展和推动市场的根本出路。 推动市场工作,需要加大投资拉动力度。要尽快制定国家金融、电力、电信、政务、商务、互联网等国家基础设施的安全保障体系、安全监管体系、安全认证体系、安全应急体系、网络执法体系的建设规划,并依据规划开展这些体系的建设。依据当前的情况,迫切需要启动包括金融、税务、电信、政务、商务、安全生产等在内的国家监管现代化与信息化监管体系建设,需要认真组织和启动国家网络执法体系建设,启动国家信息化应急体系建设和启动国家安全相关的其他重大工程项目的建设。积极启动我国信息安全产业的重要和关
13、键装备建设。 推动市场工作,需要关注形成中国信息安全产业品牌、著名企业品牌、知识产权品牌, 标准化品牌、著名产品品牌、服务品牌。要通过中国信息安全产业整体和每一家企业的长期努力和良好的服务业绩来获得。考虑到我国信息安全产业结构与创新特点,中国信息安全品牌成长应当走优先产生产业和联盟层次的知识产权和标准化品牌,随之带动企业层次的企业标准、企业知识产权,企业产品和企业服务的品牌产生与壮大的发展道路。 鉴于信息化几乎涉及到国家各个领域,是国家各领域运营的基础平台,信息化安全的重大隐患会威胁到国家各领域的正常运转,与国家安全和社会稳定紧密相关。所以,建议将国家信息化应急体系建设纳入国家应急体系建设的重
14、要组成部分,提升信息化在国家应急体系中的地位,是推动信息安全产业发展和市场工作的重要政策措施。 信息安全产品(知识结构类产品、系统设备类产品和服务类产品)的政府采购是确保我国信息化安全的根本措施,是扶持信息安全产业从弱小发展到较大规模产业、维持持续发展、进行产业结构调整和推动自主创新的最重要和有力的政策,同时也是国家信息安全产品保证计划的核心组成部分。 国家有关法规部门,尽快制定国家信息安全有关法规与条例,作为政府采购法的补充和实施要求,明确信息安全产品政府采购与一般产品政府采购的区别(例如不应采取最低价中标原则,而应采取综合考评原则),国家产品采购计划要遵守国家产品保证的质量与安全性要求,实
15、现最小外部采购,关键部门与领域及国家基础设施实现最大化的国产化采购。 信息安全产品必须实施单独采购,实行独立的采购评估原则与方法,不能将信息安全的产品(知识结构类产品、系统设备类产品和服务类产品)隐蔽在其他非安全类产品和服务类产品的采购中,例如隐蔽包含在系统集成的采购名目中。 对于违背国家信息安全产品采购法规与条例的人员要实行问责制度。实行信息安全产业联盟对政府和国家基础设施安全建设和运营的评估是一种相互促进、相互支持和相互监督的有效措施,是一种权利与义务相互平衡的措施,也是一种国际惯例。在我国同样必须实行这种措施,政府和国家基础设施信息化安全建设与运营接受中国信息安全产业组织或产业联盟的评估
16、制度(例如实行年度的评估制度)。 产业的资本环境 信息安全产业的发展需要国家的重视与支持,需要持续发展的信息化安全的市场支持,需要一个强有力产业组织:商会和产业的骨干企业集团积极参与,需要发挥政府部门建立的信息安全产业基地或开发区作用,需要商业银行、金融投资机构和有实力的实业公司资金投入支持。 应当将安全产业商会、政府扶持产业发展资金投入、政府部门建立的信息安全产业基地和商业银行、金融投资机构及有实力的实业公司资金投入结合起来,共同组建我国信息安全产业发展基金。商会正在积极与有关方面密切协商。 鼓励和规范信息安全企业进入资本市场筹集资金。 在当前的市场环境中,同样存在着信息安全产业维权基金成立
17、要求,商会也正在积极探索。 为了解决我国信息安全产业融资困难,在2002年商会的产业调研报告中,曾经提出我国信息安全产业资本投资要走向多元化,对外国投资商投资我国信息安全产业,要求区别金融性投资和国外信息安全企业为进入中国市场进行的投资两种情况,实行区别的政策。鼓励在产业商会组织的参与下,与金融投资机构、融资租赁机构和有实力的我国的实业公司共同成立信息安全产业投资委员会或信息安全产业发展基金,改变整个信息安全产业的资本市场现状。同时政府应当设立信息安全产业发展专项基金支持产业发展。 政府监管环境 中国网络世界的安全必须实施政府的监管,对网络世界中采用的产品脆弱性和运营的结构性安全实施监控和监管
18、,并不断减少脆弱性和改善网络世界中安全状态做出努力。要求对网络世界中各种入侵、非预期、违法、违规、危害、犯罪、恐怖等行为以及行为结果实施监管,并能够控制。通过网络世界运营实施监管和认证,对网络世界的运营、管理、服务、产品保证和安全事件造成的损失等方面实施在线的测试、评估、评分、定价是网络世界执法的凭证,是维护网络的安全与可信秩序的主要措施。由于我国政治、经济、文化、社会、军事的信息化程度越来越高,网络世界的监管与现实社会的各项监管同样重要,是政府监管领域的重要组成部分,通过信息化与安全监管,全面提升我国政府监管现代化的建设水平。 鉴于信息安全建设严重滞后于国家信息化建设,各领域的信息安全保证部门存在严重缺位问题。要坚决纠正各领域风险监管严重缺位的问题,应当尽快建立信息安全保障与监管部门。 在我国政治、经济、文化、社会、国防、国家基础设施(金融、电信、电力、交通、能源)等领域要确保信息安全建设在信息化建设中的比重,要落实安全责任。