最近,IDC的一项调查显示了排在前五项的IT要求,IT基础设施的安全性和业务的连续性仍然是亚太地区企业最优先的任务。紧接着的是降低IT运营总体成本的需求,更快地部署应用,IT需求外包,最后是IT需求外包和构建按需IT环境。由此可以看出,在无线网络和IP通讯日益发展的情况下,亚太地区的企业认为IT基础设施的安全和弹性是最重要的。通讯网络的利用率越高,它就应当越安全。
曾经的配角
在早期传统IT产业发展格局中,大概呈现:通信、网络、计算机、软件、电子材料及元器件等这些子行业。各个子行业的发展曾经呈现结构失衡。一方面,企业过度投资“信息高速公路”或者大量购买“处理能力”;另一方面,“重硬轻软”导致IT应用严重滞后,使得IT自身的效能发挥受到一定影响,同时还降低了对安全的需求。这个时期,安全在传统IT中只是起到了一个可有可无、少量而分散的“打补丁”作用。
也正是因为这样对IT安全的疏忽,使得在一段相当长的时间被企业在内外部网络方面时常受到黑客的袭击,造成大量信息与成本的损失。IT安全的冷落还导致企业在市场交易、软件应用及信息发布等方面一定的滞后,这种滞后大大延误的工作效率的时效性,造成大量的隐形损失。随着经济活动日益一体化,IT技术的高效率与高水平要求国家必须充分把握每一个可能机会的参与以及如何在各种机遇中避免淘汰。2000年2月5日前后美国Yahoo等8家大型商业网站接连遭受黑客的攻击,造成直接经济损失约12亿美元并引起了美国政府的严重关注。5月4日又爆发了全球范用内的“爱虫”病毒风暴,全部损失超过100亿。日前全球范围内平均每20秒钟就有一起黑客事件发生。仅在美国每年造成的经济损失就超过100亿美元.而且IT安全的影响伴随着社会信息化程度的提高而日益增大。
IT安全,想说爱你不容易
IT安全是泛指IT技术应用领域内的安全问题,即一般所称的信息安全、网络安全。IT安全主要包括:物理安全;电磁安全;网络安全;信息安全;系统安全;操作安全;人员安全这几个方面。
IT技术的发展有力地推动了信息交流的全球化,并对人类社会的各个层面均带来了深远的影响。但IT安全问题作为与IT技术发展如影相随的一个问题正日益受到人们的关注。从近年的媒体上也可以看到随着全球化、电子化经济模式的发展,政府部门和企业对IT安全问题的重视程度不断提高。根据国际计算机安全协会(ICSA)在1999年4-5月间对《信息安全》杂志的745名IT专业领域的读者所进行的美国安全现状调查的结果,企业的安全状况普遍有了进步,但外部入侵和内部攻击均随着全球性业务的增长而增加,企业已将lT安全管理纳入其经营策略,并且普遍采取了安全策略控制,但实际的收效并不十分明显。
作为全球的超级大国和信息大国,美国的信息化程度较高,对信息资源和信息基础设施的依赖性很高,安全威胁可能造成的危害要大得多,因此美国政府和企业对1T安全问题十分关注。相比之下,我国的信息化建设起步晚,国内IT产业力量较薄弱,核心技术均为发达国家所控制,在前期的信息化建设中留下了很多安全隐患。随着我国信息化建设从规模扩展向增值应用发展的过渡,这些隐患己开始构成我国IT安全保障能力的严重威胁。同时,由于国内整体信息化程度偏低,对IT安全问题的理解仍停留在表层,导致安全意识、安全管理制度、人员配备、安全建设投资等方面仍存在相当大的差距,因此IT安全问题已经开始成为制约我国信息化建设的瓶颈因素。
IT安全产业,任重而道远
近几年我国IT安全产业可谓是迅速发展,国内从事IT安全的企业从10多家一下子膨胀到号1300多家,而对市场总量的估算也众说纷纭,大致上从不足十亿元到几十亿元不等。推算下来每家IT安全企业的平均收人只有区区几百万元,就算最好的安全企业也刚刚达到1亿元的经营规模,可以说我国整个IT安全产业还处于初步的探索阶段。在这个阶段我国IT安全产业也暴露出了一些问题和需要改进之处:
相关政策与法规完善过程的渐进性,导致有关法规贯彻缓慢。随着《商密管理条例》的颁布、《涉密网络安全管理规定》的实施,安全产品测评机构的建立“安全法制环境”已从无到有。但各行各业对此的认识不够深入、不够统一,导致企业在与用户的沟通过程中“达成共识”的过程太缓慢。
IT业务的不确定性阻碍了与安全的融合,也影响了安全应用面的拓宽。比如电子政务,难度不在于电子手段,不在于安全保障,难就难在政务本身的统一规划过程漫长而艰辛。而IT业务在发展过程中的标准化程度不高,不同政府职能部门之间与不同区域之间的差异,都是影响电子政务发展速度的原因。
产业自身的瓶颈。IT安全产业自身的问题主要表现在:IT安全领域标准制订滞后,导致出现“安全孤岛”,难以实现安全系统的互联互通,也给用户的实际管理工作带来了极大的不便,与应用的脱节,导致面向系统、面向客户端和个人端的安全应用一体化很难实现,IT安全产品低水平重复开发,多品种少批量,产业结构问题明显,IT安全公司规模普遍偏小,生存的压力导致竞争秩序混乱、信用面临危机。
IT安全——系统工程
IT安全的建立是个系统的工程。应该充分发挥管理手段在IT安全领域的作用,有效地组织和协调全社会各方面的力量,使IT安全问题能在尽可能短的时间内、以尽可能小的代价得到控制和管理。这对于像我国这样面临经济发展和信息化建设双重任务的发展中国家而言,具有特殊重要意义。发挥管理手段的一个重要环节是对IT安全问题从战略的角度进行全面的规划和组织,使IT安全防范的义务与从IT技术应用获得的收益相一致。
对企业的微观层次而言,IT安全对策的制定和有效实施过程也是一个系统工程。安全策略是一个企业内部实施IT安全管理的架构性文件,说明了与IT安全有关的职责分工和有关资源调配等方面的问题。由于IT安全问题本身是一个不断发展变化的对象,安全策略与实际安全需求之间的差异也需要动态进行修正,因此安全策略将是一个动态的文件。不同层次的用户从各自的角度出发可得到对IT安全管理目标的一个特定理解,因此在安全策略的制定过程中应兼顾各个层面的安全需求并积极寻求各方面管理参与者的支持与配合。
小结与启示
信息时代的到来,使整个世界,亚太以及我国对IT安全的要求越来越高。但是有关IT安全政策的制定,系统的维护,产业的监管以及管理的调整等方面可以说目前还是处于探索阶段。欣喜是,越来越多的国家,企业,个人开始关注并研究IT安全问题。也提出了诸如 “安全IT化,IT安全化”等一系列的口号。我们相信随着IT安全建立进程的不断深入与完善,我国IT安全产业一定会在漫漫征途中迎来明媚的春天。