信息安全十年之惑

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

中國信息安全發(fā)展的十年并不是結(jié)束，而是新的開始。未來網(wǎng)絡(luò)上的攻擊手段還會(huì)出現(xiàn)哪些新的變化？技術(shù)將如何演進(jìn)才能跟上攻擊的變化？用戶呼喚法律的保障，然而信息安全法何時(shí)才能出臺(tái)？人們是否還應(yīng)該相信網(wǎng)絡(luò)？一切都是未知數(shù)。

2005年12月13日～18日，世界貿(mào)易組織第六次部長級(jí)會(huì)議將在中國香港舉行，香港區(qū)政府特組建了一支抗擊黑客的科技隊(duì)伍巡視香港多個(gè)網(wǎng)絡(luò)核心基建設(shè)施，以防有人在世貿(mào)會(huì)議舉行期間潛入破壞。為求萬無一失，部分基建中心甚至聘請(qǐng)保安員，在晚間守護(hù)服務(wù)器。

早在10月份，香港特區(qū)政府的安全評(píng)估表明，除了街上，互聯(lián)網(wǎng)也可能成為世貿(mào)示威者的新示威戰(zhàn)場(chǎng)。他們可能會(huì)突襲互聯(lián)網(wǎng)，令香港網(wǎng)絡(luò)陷入癱瘓。高危目標(biāo)有可能是港府的世貿(mào)網(wǎng)站，香港中文大學(xué)的香港互聯(lián)網(wǎng)交換中心、掌握香港域名系統(tǒng)的香港域名注冊(cè)有限公司（HKDNR）。

若兩家中心被攻陷，市民輸入常用的“yahoo.com.hk“這類“.hk”域名時(shí)，電腦將不能駁入網(wǎng)址；網(wǎng)絡(luò)亦會(huì)變得異常緩慢，甚至癱瘓，香港逾百萬網(wǎng)民將不能上網(wǎng)。

“信息安全問題，首先應(yīng)該重在‘防’，然后才是‘治’，增強(qiáng)用戶的防范意識(shí)，是減少網(wǎng)絡(luò)安全隱患極其關(guān)鍵的一環(huán)。”信息安全專家曲成義表示，對(duì)信息系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，并在特殊時(shí)期內(nèi)對(duì)尚未發(fā)生的安全事故嚴(yán)防以待，可以減少災(zāi)難發(fā)生。

十年的媒體灌輸和真實(shí)的攻擊案例，已將人們的信息安全意識(shí)提到一個(gè)前所未有的高度；十年的網(wǎng)絡(luò)信息安全技術(shù)發(fā)展，也讓今天的信息安全保護(hù)策略和技術(shù)發(fā)生了翻天覆地的變化。然而，到了今天，人們對(duì)網(wǎng)絡(luò)的安全性卻越來越?jīng)]底，問題究竟出在哪兒？

用戶之困　

業(yè)內(nèi)人士普遍認(rèn)同，中國用戶的信息安全意識(shí)在近十年來有了顯著提高，尤其是中辦27號(hào)文件的頒布，是我國重要信息系統(tǒng)安全保障工作的分水嶺。但是，我國用戶網(wǎng)絡(luò)安全的形勢(shì)卻依然不容樂觀。

首先，普通網(wǎng)絡(luò)用戶安全意識(shí)普遍薄弱。據(jù)有關(guān)部門在2004年的抽樣調(diào)查數(shù)據(jù)表明，目前我國60%以上的計(jì)算機(jī)受到過病毒的感染，但一半以上的網(wǎng)民平均一周以上才進(jìn)行殺毒；98%以上的網(wǎng)站遭遇過垃圾郵件或者病毒攻擊，但僅有不到20%的中文網(wǎng)站具有比較完善的安全保護(hù)系統(tǒng)。

一方面，隨著網(wǎng)絡(luò)攻擊方式日趨多樣化，呈現(xiàn)出突發(fā)性、隱藏性等特點(diǎn)，不少用戶并不知道采取怎樣的措施才能有效地保護(hù)自己的信息安全，信息安全資源魚龍混雜、充斥市場(chǎng)，無形中就降低了網(wǎng)絡(luò)信息的公信力，用戶從而對(duì)網(wǎng)絡(luò)安全宣傳產(chǎn)生抵觸情緒。

另一方面用戶對(duì)網(wǎng)絡(luò)安全防范存在認(rèn)識(shí)誤區(qū)，在應(yīng)用中將殺毒完全等同于網(wǎng)絡(luò)安全，從而采取片面的防范措施：采用單機(jī)版殺毒產(chǎn)品保護(hù)網(wǎng)絡(luò)，將單機(jī)版殺毒軟件作為惟一的信息安全工具，認(rèn)為網(wǎng)絡(luò)安全防范可以通過殺毒產(chǎn)品就可以實(shí)現(xiàn)；將殺毒與防黑分離，認(rèn)識(shí)不到網(wǎng)絡(luò)病毒的變化趨勢(shì)，忽視信息安全的重要性；即安裝使用殺毒產(chǎn)品后，沒有及時(shí)對(duì)殺毒產(chǎn)品進(jìn)行升級(jí)?！?

其次，安全產(chǎn)品的發(fā)展還是不能滿足安全形勢(shì)發(fā)展的需要。目前我國經(jīng)濟(jì)部門70％的信息安全設(shè)備來自國外。安全產(chǎn)品受制于人，我國網(wǎng)絡(luò)系統(tǒng)和網(wǎng)絡(luò)設(shè)備使用的關(guān)鍵芯片與核心軟件大部分依賴進(jìn)口。

據(jù)業(yè)內(nèi)專家介紹，我們的核心技術(shù)特別是專用芯片和專用硬件的設(shè)計(jì)、生產(chǎn)能力基本受制于國外廠商尤其是美國廠商，安全芯片由Cavium/HiFin以及跨行業(yè)發(fā)展的NetScreen公司壟斷。國內(nèi)許多網(wǎng)絡(luò)安全企業(yè)的硬件平臺(tái)也基本都是直接來自美國。

上游受控于人，對(duì)廠商來講，容易受到政治因素或其他原因的影響而出現(xiàn)禁運(yùn)或斷貨現(xiàn)象，可能造成產(chǎn)業(yè)鏈的斷裂。對(duì)重要信息系統(tǒng)用戶來講，很難實(shí)現(xiàn)“自主可控”的目標(biāo)，在一定程度上為我國的經(jīng)濟(jì)和社會(huì)穩(wěn)定留下隱患。

再者，隨著信息安全技術(shù)的發(fā)展，用戶所上的安全產(chǎn)品越來越多，在并未解決安全問題的同時(shí)，又帶來了管理上的麻煩。到目前為止，在一些已經(jīng)建設(shè)多年的大系統(tǒng)當(dāng)中，信息安全產(chǎn)品的應(yīng)用多達(dá)十幾類，涵蓋了大大小小幾十個(gè)品牌。

某信息化主管曾經(jīng)向記者抱怨，出現(xiàn)故障的概率似乎比以前還多，因?yàn)槊恳粋€(gè)安全產(chǎn)品都需要配置，配置不好，網(wǎng)絡(luò)就不通。由于對(duì)大多數(shù)由系統(tǒng)管理員兼任的安全員來說，要了解每一個(gè)安全產(chǎn)品的性能和功能是一件相當(dāng)令人頭疼的事情，再加上各品牌產(chǎn)品標(biāo)準(zhǔn)沒統(tǒng)一，接口不一樣，判斷誰出問題很麻煩。因此，一出問題就得聚攏一堆廠商來查原因。

“廠商提供的安全產(chǎn)品和實(shí)際的安全需求有所差距。”一些用戶表示，多年來，廠商所提供對(duì)付垃圾郵件和病毒的產(chǎn)品只是“過期藥”，他們?cè)谶x擇廠商的產(chǎn)品時(shí)無法適從。尤其是2004年后，間諜軟件、網(wǎng)絡(luò)釣魚的出現(xiàn)，使得他們更是感覺有點(diǎn)坐以待斃。

按理說，經(jīng)過十年的發(fā)展，中國已經(jīng)形成了一批具有極高信息安全技術(shù)和極強(qiáng)實(shí)戰(zhàn)經(jīng)驗(yàn)的網(wǎng)絡(luò)安全企業(yè)。然而，現(xiàn)實(shí)的情況并不樂觀，目前國內(nèi)最大的信息安全企業(yè)，比如天融信，在中國的市場(chǎng)營業(yè)額不過3億元人民幣，比起賽門鐵克一年100多億美元的營業(yè)額，相差太遠(yuǎn)！何以形成如此巨大的落差？

廠商之難

國內(nèi)安全廠商天融信公司董事長賀衛(wèi)東認(rèn)為，用戶的市場(chǎng)需求越來越多是件好事，但由于需求超前于整個(gè)產(chǎn)業(yè)的一些技術(shù)，給廠商們帶來了很大的壓力。中國缺乏國外那樣的安全“巨無霸”企業(yè)，也缺乏技術(shù)創(chuàng)新型安全廠商。

一方面，中國信息安全產(chǎn)業(yè)的總體市場(chǎng)規(guī)模小，不足以支撐太多企業(yè)的運(yùn)轉(zhuǎn)。根據(jù)IDC的報(bào)告，2004年中國的信息安全產(chǎn)業(yè)總產(chǎn)值約為22億元，而全球信息安全總產(chǎn)值折合人民幣為2200億元左右，中國不到全球總產(chǎn)值的1/100；2004年，中國IT行業(yè)的總產(chǎn)值已經(jīng)超過了萬億元，信息安全只占其中的1/500，和國外IT安全投入占整體IT信息投入15％的差距相比，有天壤之別。

另一方面，由于市場(chǎng)盤子小，安全廠商多，使得安全市場(chǎng)競(jìng)爭(zhēng)愈發(fā)激烈，防火墻、防毒軟件等主流產(chǎn)品的價(jià)格出現(xiàn)下降趨勢(shì)，廠商的利潤空間在進(jìn)一步壓縮，在打單過程中的低價(jià)格撕殺比比皆是。與三年前比，防火墻的價(jià)格下降了一半以上。IDS下降得更厲害，有的不到原先的20%。而在某次某地的政府采購過程中，殺毒軟件居然只有5元人民幣，比盜版還低。

天元龍馬科技公司總經(jīng)理張昕尉認(rèn)為，中國的網(wǎng)絡(luò)安全廠商之所以很難快速推出適應(yīng)安全形勢(shì)發(fā)展的新技術(shù)產(chǎn)品，與絕大多數(shù)安全廠商還是在生死線上苦苦掙扎有關(guān)。它們面臨著資金、標(biāo)準(zhǔn)、人才三重困境。

第一重困境是資金?！坝捎谥袊踩珡S商基本上是靠自有資金滾動(dòng)來發(fā)展，因此，大多數(shù)中小廠商不得不將產(chǎn)品的研發(fā)集中在防火墻、IDS殺病毒等市場(chǎng)需求已經(jīng)起來的產(chǎn)品上做選擇。” 張昕尉說，“它們以生存為研發(fā)的第一要素，對(duì)新生事物不敢問津?！?

對(duì)于動(dòng)輒幾千萬元的前瞻性技術(shù)投資，例如目前市場(chǎng)上呼聲很高的WLAN、VoIP等相關(guān)安全產(chǎn)品，即使是像天融信、東軟、聯(lián)想網(wǎng)御、瑞星、啟明星辰等所謂的規(guī)模過億的安全大企業(yè)，也不敢輕舉妄動(dòng)，它們的營收不過是國外安全巨頭的小小零頭，抗風(fēng)險(xiǎn)能力還弱，在充滿了變數(shù)的信息安全市場(chǎng)，一旦投資決策失誤，很難有機(jī)會(huì)抬頭。

第二重困境是標(biāo)準(zhǔn)。盡管我國一些行業(yè)具有安全等級(jí)應(yīng)用標(biāo)準(zhǔn)，但缺乏產(chǎn)品標(biāo)準(zhǔn)。由于各家的接口不一，標(biāo)準(zhǔn)不同，不同的安全產(chǎn)品在配置和管理上比較麻煩，容易出現(xiàn)問題，影響到彼此的連通。對(duì)于用戶來說，在選擇產(chǎn)品時(shí)，因?yàn)闆]有統(tǒng)一的產(chǎn)品質(zhì)量衡量標(biāo)準(zhǔn)，往往只能根據(jù)廠商的品牌知名度模糊地定義出廠商的技術(shù)實(shí)力，導(dǎo)致系統(tǒng)中應(yīng)用各種不同品牌的產(chǎn)品后管理成本的急劇增加；或者不得不自己定義行業(yè)的應(yīng)用標(biāo)準(zhǔn)而導(dǎo)致各種選型成本的增加。

第三重困境是人才數(shù)量不足。我國的信息安全專業(yè)建立于1995年，但當(dāng)時(shí)都是定位于碩士以上的密碼或相關(guān)理論研究領(lǐng)域，2001年才開始進(jìn)行本科教育。據(jù)有關(guān)部門估計(jì)，國內(nèi)安全專業(yè)人才的需求量在10萬人左右，但國內(nèi)具有?？埔陨蠈W(xué)歷的信息安全專業(yè)人才不足萬人，而全國能夠培養(yǎng)的信息安全專業(yè)學(xué)歷人才和各種認(rèn)證人員更是不足5000人。

賀衛(wèi)東認(rèn)為，資本市場(chǎng)的不成熟，是制約中國信息安全廠商發(fā)展的主要瓶頸。國外有成熟的資本市場(chǎng)，比如，NetScreen公司在發(fā)展之初融得了關(guān)鍵的200萬美元發(fā)展資金，此后通過在Nasdaq上市，又融得了企業(yè)需要的大量技術(shù)研發(fā)資金，迅速發(fā)展成為全球最大的硬件防火墻廠商，在成立后的第9年，以40億美元被Juniper收購，實(shí)現(xiàn)了一個(gè)企業(yè)的圓滿的生命周期。而中國缺少這樣的機(jī)制，使得企業(yè)要進(jìn)行技術(shù)投資，基本上完全依靠自我積累和滾動(dòng)發(fā)展?！斑@樣的速度怎能與國際企業(yè)抗衡？”他反問。

今年全球信息安全領(lǐng)域的最大一件事情—賽門鐵克收購維爾公司，使得賽門鐵克迅速成為全球信息安全領(lǐng)域無可爭(zhēng)議的第一霸主，形成了信息安全產(chǎn)業(yè)的巨無霸。“這件事情對(duì)中國的企業(yè)也非常具有警示意義，”賀衛(wèi)東說，“中國為什么就不能出現(xiàn)這樣的巨型信息安全企業(yè)？像聯(lián)想集團(tuán)、華為公司等中國的大型IT企業(yè)應(yīng)該反思，它們有沒有承擔(dān)起歷史賦予它們身上的重任？為什么什么技術(shù)都要自己開發(fā)？為什么不能學(xué)學(xué)思科和賽門鐵克，通過收購的方式迅速發(fā)展壯大自己，讓中國也有能與國際企業(yè)相抗衡的大型信息安全企業(yè)？”

除了“老三樣”的信息安全技術(shù)和產(chǎn)品，網(wǎng)絡(luò)信息安全技術(shù)的未來發(fā)展同樣令人矚目，什么安全技術(shù)和產(chǎn)品能真正保護(hù)網(wǎng)絡(luò)的安全？

技術(shù)之勢(shì)

信息安全專家曲成義認(rèn)為，目前我國信息安全產(chǎn)品門類基本配套。用戶之所以抱怨其需求得不到滿足是因?yàn)榇蠖鄶?shù)信息系統(tǒng)依然是采取防火墻、入侵檢測(cè)和殺病毒傳統(tǒng)的老三樣防護(hù)手段。

“從安全技術(shù)發(fā)展的近期動(dòng)態(tài)來看，用戶絕大多數(shù)安全需求是可以得到滿足的。” 曲成義說，他認(rèn)為，目前整個(gè)安全產(chǎn)品、技術(shù)或者解決方案正呈現(xiàn)出某些重要趨勢(shì)。

其一，安全產(chǎn)品出現(xiàn)集成化能力，也就是把多種安全功能集成在同一產(chǎn)品上。例如很多防火墻集成VPN；安全性能功能有很大的發(fā)展，例如過去防火墻支持百兆，現(xiàn)在上千兆。

其二，動(dòng)態(tài)防御思想進(jìn)展很快，基于這一思想配套的技術(shù)產(chǎn)品發(fā)展很快。例如提前預(yù)警的入侵檢測(cè)過去放在主機(jī)終端，現(xiàn)在則放在網(wǎng)絡(luò)環(huán)境下，不單檢測(cè)病毒，還看大面積流量的變化，為下一步可能發(fā)生的問題提前預(yù)警。

其三，通過使各個(gè)安全產(chǎn)品進(jìn)行信息共享和業(yè)務(wù)聯(lián)動(dòng)來提高強(qiáng)度，就是搞集成安全管理平臺(tái)。當(dāng)入侵檢測(cè)發(fā)現(xiàn)情況異常后，馬上通知防火墻；防火墻在隔離的同時(shí)，通知交換機(jī)準(zhǔn)備隨時(shí)切掉病毒；交換機(jī)在切病毒的同時(shí)通知路由器做好防護(hù)準(zhǔn)備。

“一些重要系統(tǒng)用戶對(duì)安全操作中心（SOC）需求比較旺盛?！?曲成義說，“為了更有效地實(shí)現(xiàn)安全管理，需要把系統(tǒng)要素和安全要素協(xié)同起來，從網(wǎng)絡(luò)層一直到應(yīng)用都進(jìn)行全局管理。”

其四，信息安全從防外部轉(zhuǎn)向內(nèi)部控制，特別是對(duì)用戶的源頭端控制，如何防止個(gè)人計(jì)算機(jī)違規(guī)操作，如非法聯(lián)結(jié)、違規(guī)轉(zhuǎn)儲(chǔ)、超級(jí)訪問等?！靶畔踩录?0％往往是內(nèi)部操作或內(nèi)外勾結(jié)，而傳統(tǒng)的防火墻、入侵檢測(cè)，殺病毒對(duì)防內(nèi)是沒用的?！?曲成義說，“這導(dǎo)致近兩年來出現(xiàn)了一大批防內(nèi)產(chǎn)品和內(nèi)控廠商?！?

其五，縱深防御概念正在深入人心，這是信息化推進(jìn)的必然結(jié)果。一方面，從互聯(lián)網(wǎng)的角度來講，安全是一步步深入的—內(nèi)網(wǎng)安全，外網(wǎng)安全，互聯(lián)網(wǎng)安全；另一方面，網(wǎng)絡(luò)又是一個(gè)面向業(yè)務(wù)的實(shí)體，不同層面的業(yè)務(wù)，有不同的安全要求。

在縱深防御中，最要緊的是對(duì)安全域進(jìn)行科學(xué)劃分，因此必須采取合理的邊界控制技術(shù)：涉及國家機(jī)密的，用物理隔離；公務(wù)服務(wù)，用邏輯隔離; 劃分好后，再選擇合理的安全手段。

其六，內(nèi)容安全技術(shù)不再局限于傳統(tǒng)的關(guān)鍵字過濾，而是走向多樣化。由于計(jì)算機(jī)理解內(nèi)容的好壞比人要難，它對(duì)關(guān)鍵詞上下文的語義缺乏了解; 此外，通過關(guān)鍵字的規(guī)則有幾萬條，資源消耗過大。因此，眼下依靠“行為識(shí)別”的技術(shù)，可以智能在線識(shí)別針網(wǎng)絡(luò)上各種惡意攻擊、病毒攻擊、垃圾攻擊，從而保證內(nèi)容的安全。此外，針對(duì)圖象、視頻和語音等方面的內(nèi)容安全技術(shù)也正在興起之中。

其七，可信計(jì)算將成為潮流。“可信計(jì)算”就是從芯片、板卡、PC、終端接入和操作系統(tǒng)來提高安全的可信性，可以從幾個(gè)方面來理解：用戶的身份認(rèn)證，這是對(duì)使用者的信任；平臺(tái)軟硬件配置的正確性，這體現(xiàn)了使用者對(duì)平臺(tái)運(yùn)行環(huán)境的信任；應(yīng)用程序的完整性和合法性，體現(xiàn)了應(yīng)用程序運(yùn)行的可信；平臺(tái)之間的可驗(yàn)證性，指網(wǎng)絡(luò)環(huán)境下平臺(tái)之間的相互信任。

曲成義認(rèn)為，可信計(jì)算產(chǎn)品，在三五年內(nèi)會(huì)掀起高潮，三年之后可能占到現(xiàn)有IT產(chǎn)品的50％，五年以后可能占到80％。這意味著PC、芯片、板卡的新一輪IT競(jìng)爭(zhēng)，如果中國還像上個(gè)世紀(jì)80年代完全處于被動(dòng)局面的話，對(duì)中國信息化會(huì)造成威脅。

從零星的安全產(chǎn)品部署到成體系地建設(shè)信息安全保障體系，這是2003年頒布的具有劃時(shí)代意義的27號(hào)文件最重要的意義。政策在不斷完善。然而，相關(guān)法律的缺位依然如鯁在喉般令人不舒服。

政策之力

不少用戶和廠商都認(rèn)為，隨著2003年27號(hào)文件的頒布，這兩年來信息安全的政策環(huán)境大為改善，國家的一系列信息安全宏觀政策已經(jīng)全面啟動(dòng)，一些重要部門的領(lǐng)導(dǎo)，對(duì)信息安全也前所未有地非常重視。

一位電力系統(tǒng)的信息化主管對(duì)記者表示，自27號(hào)文件頒發(fā)后，電力系統(tǒng)至少召開過６次與信息安全相關(guān)的會(huì)議。27號(hào)文考慮周全，從信息安全管理、技術(shù)、人才、投資、法律建設(shè)等多個(gè)層面，考慮保障國家信息安全問題，從而給各個(gè)地方、行業(yè)信息化部門建設(shè)信息安全提供了一套整體思路。

一些廠商也表示，27號(hào)文件構(gòu)建了國家信息安全保障體系的思路，首次確立了一個(gè)明確的管理協(xié)調(diào)組織機(jī)制，從而有望解決過去困擾信息安全產(chǎn)業(yè)界多年的部門條塊分割、多頭管理現(xiàn)象嚴(yán)重的局面，杜絕了某些利益集團(tuán)為了自身利益而操縱信息安全管理部門的現(xiàn)象。

業(yè)內(nèi)人士普遍認(rèn)同，27號(hào)文件的頒布是中國信息安全工作的一個(gè)分水嶺，具有奠基意義：其一，這是我們國家首次對(duì)信息安全有了一個(gè)全面認(rèn)識(shí)，從整體上，從頂層統(tǒng)籌考慮信息安全的政策、方針、規(guī)劃，以統(tǒng)籌領(lǐng)導(dǎo)信息安全的各個(gè)部門，而在這以前工作是比較零散的；其二，在27號(hào)文件頒布后的兩年，信息安全相關(guān)工作有了大的推進(jìn)，信息安全等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估、密碼保護(hù)、網(wǎng)絡(luò)信任體系、應(yīng)急響應(yīng)與災(zāi)難備份、產(chǎn)品管理、產(chǎn)業(yè)發(fā)展等基礎(chǔ)性工作的相關(guān)政策、標(biāo)準(zhǔn)正在制定并將陸續(xù)出臺(tái)。

據(jù)國務(wù)

院信息化工作辦公室網(wǎng)絡(luò)與信息安全組組長王渝次介紹，目前信息安全工作的總思路就是堅(jiān)定不移地貫徹落實(shí)27號(hào)文件，按照五年建成國家信息安全保障體系的目標(biāo)，審慎推進(jìn)?！懊髂晔?7號(hào)文件頒布的第三年，這是關(guān)鍵的一年?！?

王渝次說，“去年是起步，主要是宣傳和規(guī)劃；今年主要是完善配套政策和抓試點(diǎn)，著重通過實(shí)踐摸索信息安全的規(guī)律；明年就要逐步進(jìn)入到廣泛推進(jìn)和實(shí)際操作階段?！蓖跤宕谓忉屩圆扇徤魍七M(jìn)的原因有二: 一方面，信息安全對(duì)我們來講是一個(gè)新問題，新事物，其特點(diǎn)之一就是看不見、摸不著，威脅是潛在的，而且是不斷變化的，需要一個(gè)在實(shí)踐中探索和認(rèn)識(shí)的過程; 另一方面，中國太大，政策執(zhí)行容易一刀切，而信息安全工作的本質(zhì)要求又是堅(jiān)持從實(shí)際出發(fā)，沒有四海一家的解決之道。因此制定政策必須考慮周全，既要避免一下子管得太死，又要具有可操作性以便落實(shí)。

而對(duì)于用戶和廠商所反映的信息安全法律缺位的問題，王渝次沒有否認(rèn)。他認(rèn)為，現(xiàn)在行政部門依法行政的意識(shí)是非常強(qiáng)的，也希望加快信息安全的立法進(jìn)程。但從目前情況看，立法會(huì)是一個(gè)比較長的過程。其一，立法需要經(jīng)過一系列復(fù)雜的程序，本身就是一個(gè)較長的過程；其二，目前我們對(duì)有些信息安全問題看得不是很清楚，認(rèn)識(shí)不一定很一致，也需要更多的深入研究和討論；其三，只立法而無法執(zhí)行的話，意義不大，要考慮到技術(shù)手段等各個(gè)方面。

誰將控制未來信息安全的話語權(quán)？未來的網(wǎng)絡(luò)信息安全技術(shù)應(yīng)用將集中在哪些關(guān)鍵領(lǐng)域？什么技術(shù)會(huì)力拔頭籌？

未來之爭(zhēng)

有專家將信息安全分為三個(gè)階段，2000年前為獨(dú)立安全產(chǎn)品和安全意識(shí)普及階段，主要是以防火墻為核心的單一的網(wǎng)絡(luò)安全產(chǎn)品；2000年到2004年，是大規(guī)模的綜合安全體系的建設(shè)，是以綜合安全產(chǎn)品為主，包括防火墻ＶＰＮ、安全管理平臺(tái)等；

“而2005年，則可以看做是信息安全重新審視元年?！?賀衛(wèi)東說，一方面，網(wǎng)絡(luò)安全問題在2005年變得非常嚴(yán)重，間諜軟件已被用于收集E-mail名單，網(wǎng)絡(luò)上存在的大量的僵尸計(jì)算機(jī)已經(jīng)開始被黑客們利用，以此獲得利益。

另一方面，2005年，全球信息安全產(chǎn)業(yè)開始醞釀變局：賽門鐵克大手筆并購維爾軟件，將安全的概念擴(kuò)展到了災(zāi)難備份和存儲(chǔ)領(lǐng)域；微軟高調(diào)介入反間諜軟件和反垃圾郵件領(lǐng)域；一些傳統(tǒng)的網(wǎng)絡(luò)通信設(shè)備廠商如思科、華為3Com、諾基亞等在信息安全領(lǐng)域發(fā)起進(jìn)攻。

事實(shí)上，目前安全方面 的矛盾越來越集中在應(yīng)用層面，例如像思科這樣的網(wǎng)絡(luò)廠商，或者像SAP這樣的ERP應(yīng)用廠商，這使得未來有兩類公司在安全業(yè)中可能控制話語權(quán)。一是以基礎(chǔ)體系為核心，從管理到安全設(shè)備，都與通信相關(guān)，或者是將安全融合到網(wǎng)絡(luò)通信當(dāng)中去的公司；二是以服務(wù)于應(yīng)用系統(tǒng)為核心的專項(xiàng)安全技術(shù)公司，不過當(dāng)它達(dá)到一定規(guī)模后，將賣給應(yīng)用系統(tǒng)公司或者通信網(wǎng)絡(luò)公司，或獨(dú)立發(fā)展成綜合性、以應(yīng)用層為核心的專業(yè)性安全公司。

從2006年開始，全球的網(wǎng)絡(luò)信息安全將真正進(jìn)入應(yīng)用安全的時(shí)代。“十年”，在網(wǎng)絡(luò)安全的發(fā)展歷程中僅僅是個(gè)開始，虛擬世界就像現(xiàn)實(shí)世界一樣，只要有犯罪，就一定有警察。警察與小偷在網(wǎng)絡(luò)上與在現(xiàn)實(shí)中一樣，永遠(yuǎn)上演著不同的故事！ (CCW)