信息安全：政策护航 产业壮大

赛迪智库信息安全研究所博士 王闯

图为国家863信息安全产业化(东部)基地上海张江高科技园区

十多年来，我国在信息安全领域取得巨大的成就，政策环境和基础设施建设方面取得了巨大的进步，产业环境不断完善，信息安全产业得到持续快速发展，为进一步做大做强打下了坚实的基础。虽然目前信息安全形势复杂多变，我国信息安全产业相对弱小，但是政府的大力推动和市场需求空间的增大都将促使信息安全产业驶入跨越式发展的快车道。



成就：基础工作加强 规模持续增长



十多年来，随着信息安全形势的日益严峻，国家对信息安全产业的重视程度日益提高，陆续出台多项政策，鼓励和推动信息安全产业的发展，同时信息安全等级保护、标准化等基础工作也得到加强，信息安全产业规模也持续增长，形成一定规模，为信息安全产业的做大做强打下了坚实的基础。

一是信息安全产业发展的政策环境得到明显改善。

十多年来，随着信息安全形势的日益严峻，国家对信息安全产业的重视程度日益提高。2003年发布的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)(下文简称27号文)对信息安全保障工作进行了全面部署，并提出“推进信息安全产业发展”。2006年发布的《2006～2020年国家信息化发展战略》中将建设国家信息安全保障体系作为战略重点，并明确“促进我国信息安全技术和产业自主发展”。2012年发布的《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)已经将信息安全提到与信息化发展同等重要的地位上来。国家还出台了多项加强信息安全技术研发、推进产业发展的政策措施，为信息安全产业的发展、企业技术创新能力的提高和核心竞争力的提升提供了良好的市场环境和政策保障。

二是信息安全基础工作得到明显加强。

在过去的十年中，我国信息安全等级保护工作稳步推进，信息安全标准化工作成绩明显，信息安全产品认证认可工作取得重要进展，制定发布了国家网络与信息安全事件应急预案，信息通报机制不断完善，网络信任体系建设取得进展，信息安全人才培养步伐加快，基础信息网络与重要信息系统安全防护能力得到明显加强。这些基础工作为信息安全产业的健康、有序、快速发展提供了有力的保障。

在信息安全等级保护方面，自从27号文中明确提出“实行信息安全等级保护”后，公安部会同国家保密局、国家密码管理局和国务院信息办等多部门联合发布《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《关于开展信息安全等级保护试点工作的通知》(公信安[2006]573号)、《信息安全等级保护管理办法》(公通字[2007]43号)等一系列文件，并积极开展等级保护测评、监管等工作。

在信息安全标准化方面，自2002年全国信息安全标准化技术委员会成立以来，信息安全标准化体系不断完善，初步建立了信息安全标准体系框架，形成了覆盖信息安全基础、技术、管理、测评等领域一批支撑国家信息安全保障体系建设的国家标准，截止2010年10月，我国已形成87项信息安全国家标准。

在信息安全产品认证认可方面，2004年10月，中国国家认证监督管理委员会与公安部、国家安全部、信息产业部、国家保密局、国家密码管理委员会办公室、国家质量监督检验检疫总局和国务院信息化工作办公室等8部门联合发布《关于建立国家信息安全产品认证认可体系的通知》，为做好信息安全产品认证认可体系奠定了基础。2010年7月，国家认监委发布了26号公告，正式明确了“国家信息安全产品认证制度”的名称，认证证书名称为“中国国家信息安全产品认证证书”，并公布了证书式样及认证标志。目前，中国信息安全认证中心已经发布国家信息安全产品认证证书110张。

在信息安全法律法规体系建设方面，国家已经出台包括《全国人民代表大会常务委员会关于维护互联网安全的决定》、《电子签名法》、《中华人民共和国计算机信息系统安全保护条例》、《商用密码管理条例》、《国家安全法》、《互联网信息服务管理办法》等在内多项法律法规等。

三是信息安全产业规模、技术研发水平、产品体系等方面得到明显发展。

十年来，信息安全产业规模得到大幅提高，从2003年的33.88亿元增长到2011年的178.99亿元。企业数量和规模有了较大提高，截至2010年底，国内信息安全相关企业已超过700家，信息安全业务年收入超亿元企业10多家，并出现卫士通、启明星辰、网秦、360等一批上市企业。信息安全产品种类不断丰富，密码产品、防火墙、病毒防护、入侵检测、终端接入控制、网络隔离、安全审计、安全管理、备份恢复等技术领域产品研发取得明显进展，产品功能逐步向集成化、系统化方向发展。

随着国内信息安全企业实力的增强，国产信息安全产品(特别是防火墙、入侵检测、入侵防御等传统信息安全产品领域)已经在国内市场占据较高份额，据统计2010年政府部门大约有52个部门使用国产防火墙产品比率达到100%%，这一数据还将持续上升。



挑战：环境复杂多变 竞争异常激烈



虽然十多年来我国在信息安全领域取得了巨大的成就，但是由于近几年来国际网络空间环境日益复杂，面临的信息形势日益严峻，我国信息安全产业的发展还不能满足要求，信息安全产业发展与我国信息化发展水平不相匹配，还有很多的工作要做。

一是网络空间环境复杂多变。

当前，复杂的国际网络空间环境和严峻的信息安全形势给我国信息安全产业带来挑战，迫切需要技术、产品和服务模式创新，提高信息安全防护支撑能力。

全球正处于网络空间战略的调整和变革时期，多个国家调整信息安全战略，明确网络空间战略地位，并提出将采取包括外交、军事、经济等在内的多种手段保障网络空间安全。美国、俄罗斯、英国、法国、德国等都将网络攻击列为国家安全的主要威胁之一，纷纷组建网络攻击力量、发展网络武器，加快建设网络攻击和威慑能力。网络空间已经成为各国政治、军事等角逐的新战场。

同时，西方媒体频繁炒作“中国黑客威胁”，美国、德国、英国和法国等多国宣称，中国黑客攻击了其政府、军队等要害部门。西方国家努力将中国树为国际社会在信息安全领域的公敌。而且，随着互联网的普及应用，信息网络成为西方国家推行其意识形态的有力工具与重要场所，“互联网是西方价值观出口到全世界的终端工具”，威胁我国政治安全和社会稳定。

二是产业发展环境仍需优化。

信息安全仍存在多头管理的局面。信息安全产业的问题不仅存在于技术层面，也存在于管理层面。我国信息安全产业的管理涉及工信部、公安部、国家保密局、发改委、科技部、质检局等多个部门，缺乏统筹规划和部门协调。相互交叉的多重领导体制不仅造成决策权的分散化，也造成各个相关管理机构之间缺乏充分沟通和有效协调，使得我国信息安全产业难以得到国家政策合理有效的引导。国家信息安全多头管理，造成的一个严重问题就是市场分割，甚至市场垄断。这就很难培育出具有长链条协调能力的大型信息安全生产与服务企业。

信息安全产品标准规范仍未统一，而且国际化程度不足。我国信息安全领域的国家标准和行业标准相对滞后，与信息安全产业发展不匹配。信息安全产品准入、服务的认证标准和管理办法不完善，产品测评所依据的标准不统一，企业产品互不兼容的现象非常普遍。

三是核心技术受制于人。

随着国民经济对信息网络和系统的依赖性增强，信息安全成为关系经济平稳运行和安全的重要因素。我国信息安全产业技术积累较为薄弱，自主创新能力不强，涉及信息安全核心技术的元器件、中间件、专用芯片、操作系统和大型应用软件等基础产品自主可控能力较低，特别是关键芯片、核心软件和部件严重依赖进口。当前，我国重要信息系统和工业控制系统多使用国外的技术和产品。当前，针对重要信息系统和工业控制系统的网络攻击将持续增多，甚至出现了政府和恐怖分子支持的高级可持续性攻击，一旦网络攻击发生将可能导致重要信息系统和工业控制系统等瘫痪，给我国经济发展和产业安全等带来严峻挑战。

四是行业竞争压力大。

随着信息安全与通信网络、IT应用的加速融合，传统大型IT公司加快整合产业链，不断并购独立信息安全企业，实现整体设计，打造“网络产业复合体”。2005年到2010年间，发生171笔超过亿元的信息安全企业收购交易，其中包括波音收购Narus公司(侦测恶意网络数据流动)、英特尔收购数据安全公司McAfee和惠普收购安全软件公司ArcSight等重磅交易。这种信息安全企业之间、大型1T企业与信息安全企业之间的并购不断加速，并采用捆绑销售策略占领市场空间，对国内信息安全企业发展带来了较大的竞争压力。

我国信息安全企业数目众多，但规模普遍偏小，产品市场占有率低，尤其缺乏融合多种技术的一体化安全解决方案，信息安全产品的整体技术水平与国外相比差距较大。

五是新技术新应用对信息安全提出更高要求。

应用环境日趋复杂和新技术的不断涌现对信息安全提出更高要求。随着云计算、物联网、移动互联网等新技术、新模式的应用和发展，信息的获取方法、存储形态、传输渠道和处理方式等发生了新的变化，网络结构的复杂化、用户的爆炸性增长、数据的快速膨胀增加了信息安全防护的难度，要求开发性能更高、功能更丰富、智能化更高的信息安全技术和产品。



前景：市场空间广阔 实现跨越发展



尽管目前我国信息安全产业的发展还面临诸多挑战，但机遇与风险并存，随着国家对信息安全的重视程度不断提高，全社会对信息安全的意识普遍增强，信息安全市场空间将日益扩大。

一是市场发展空间巨大。

随着我国信息化进程的不断加速，信息化和工业化深度融合，信息安全保障体系建设稳步推进，信息安全等级保护、风险评估、分级保护等工作扎实发展，数字产品广泛普及，隐私保护、个人终端与企业信息系统的安全、数字版权保护等方面的需求越来越受到重视。2010年我国信息安全产业与软件和信息服务业相比不到1.5%%，远低于全球的平均水平，具有很大发展空间。

云计算、物联网、移动互联网等新技术、新应用和新模式的出现，对信息安全提出了新的要求，拓展了信息安全产业的发展空间。同时，新技术、新应用和新模式在国内外市场的全面开拓将加快国内信息安全技术创新速度，催生云安全等新的信息安全应用领域，为国内企业与国际同步发展提供了契机。

强劲的市场需求将推动信息安全产业规模稳步增长，2011年到2015年我国信息安全产业规模的复合增长率将超过30%%，如果安全基础电子产业能抓住机遇快速增长，整个信息安全产业规模则有望突破600亿元。

二是信息安全需求面临变革。

随着信息网络广泛而深入的应用，安全问题与日俱增，信息安全产品与服务演化为多技术、多产品、多功能的整合，多层次、全方位、全网络的综合防御趋势不断加强，集成化、智能化和服务化的趋势已不可逆转。首先，信息安全正朝着构建完整、联动、可信、快速响应的集成化防护防御解决方案方向发展。其次，信息网络对高效防范和综合治理的要求日益提高，信息安全智能技术日益受到重视。最后，信息安全产业结构正从技术、产品主导向技术、产品、服务并重调整，安全服务逐步成为产业发展重点。

信息技术的快速发展推动了新技术新应用的生成，如云计算、物联网、移动互联网等。这些技术应用逐步投入市场，引发了大量信息安全新问题。信息安全技术必须通过持续创新来应对这些问题。

三是信息安全行业整合趋势明显。

信息安全是个综合性的问题，随着信息安全意识的加强，用户逐渐从单一信息安全产品转向能够面向行业的解决个性化需求的信息安全整体解决方案。同时，单一的产品供应商已无法满足日益严峻的信息安全防御需求，特别是国家信息安全防护需求。行业需要进一步整合，逐步形成具备大型解决方案和长链条统一管理能力的大型龙头企业。当前已经有一些大型IT企业开始重视在信息安全领域的投入，如腾讯、东软、华为等，在未来几年中，一些大型国企也将进入该领域，成为我国信息安全产业的“国家队”。



行业十年主要发展历程



2000年

7月，国家科技部正式批准建立信息安全成果产业化(西部)基地。

9月25日，《互联网信息服务管理办法》发布。

2001年

7月，国家信息安全成果产业化(东部)基地成立。

2002年

4月15日，全国信息安全标准化技术委员会(简称信息安全标委会，TC260)在北京正式成立。

2003年

7月22日，国家信息化领导小组第三次会议通过了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)。

2004年

9月，公安部会同国家保密局、国家密码管理局和国务院信息办四部门联合出台了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)。

2005年

4月1日，《中华人民共和国电子签名法》正式开始施行。

2006年

1月，国家网络与信息安全协调小组发布《关于信息安全风险评估工作的意见》(国信办〔2006〕5号)。

5月，中共中央办公厅、国务院办公厅印发了《2006～2020年国家信息化发展战略》，其中将建设国家信息安全保障体系作为战略重点，并明确“促进我国信息安全技术和产业自主发展”。

6月，公安部会同国家保密局、国家密码管理局和国务院信息办四部门联合下发了《关于开展信息安全等级保护试点工作的通知》(公信安[2006]573号)。

《国务院办公厅转发国家网络与信息安全协调小组〈关于网络信任体系建设的若干意见〉的通知》(国办发(2006)11号)发布。

2007年

4月，公安部、国家保密局、国家密码管理局、国务院信息工作办公室联合下发《信息安全等级保护管理办法》(公通字[2007]43号)。

2008年

3月，华为技术有限公司与赛门铁克公司合资成立的华为赛门铁克科技有限公司，在成都举行揭牌仪式。这标志着华为赛门铁克合资公司进入正式运营阶段。

8月，以启明星辰、天融信、东软、联想网御等为代表的民族信息安全企业参与了北京奥运会的信息安全保障工作。

2010年

3月31日，绿盟科技对外宣布，其入侵防御产品(NSFOCUS IPS)顺利通过NSS Labs的严格测试，荣获NSS Labs Approved认证，并且被NSS Labs认定为最高级别——“Recommended”。

6月23日，北京启明星辰信息技术股份有限公司在深圳证券交易所上市。

12月，中国WAPI产业联盟对外宣布，WAPI(中国提出的无线局域网安全协议)的基础架构——虎符TePA获国际标准化组织ISO/IEC正式批准，这是中国在信息安全基础共性技术领域提交并获通过的第一个国际标准。

2011年

1月28日，国务院发布《进一步鼓励软件产业和集成电路产业发展的若干政策》(国发[2011]4号)，明确提出“完善网络环境下消费者隐私及企业秘密保护制度逐步在各级政府机关和事业单位推广符合安全要求的产品”。

6月，天津国家信息安全产业基地通过国家科学技术部火炬高技术产业开发中心的认定，成为新认定的7个国家火炬计划特色产业基地之一，是全国各类国家特色产业基地中唯一的信息安全特色产业基地。

12月，国内最大的程序员社区CSDN上600万用户资料被公开，引发中国互联网史上最大的数据泄露事件。

12月，工业和信息化部正式印发《信息安全产业“十二五”发展规划》，明确了“十二五”的发展思路和目标，确定了发展重点和重大工程，提出了相关政策措施。

2012年

6月7日，《互联网信息服务管理办法》(修订草案征求意见稿)发布。

6月28日，《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)发布，明确提出要大力推进信息化发展，切实保障信息安全。



专家观点



自主可控是信息化发展重中之重

中电信息技术研究院耿贵宁

近年来，网络空间的国际竞争和对抗愈加激烈，有国家背景的网络攻击工具不断蔓延并造成严重后果，给我国当前信息安全带来严峻挑战。

新形势下，对国外信息产品的严重依赖导致我国信息化建设的安全底数不清。国外垄断信息产品对我国而言是一个“黑盒子”，无法准确判断其安全隐患，因此，只有具备自主可控的信息技术，才能实现“自知”，只有大力发展自主可控的信息技术，才能夯实我国信息安全基础。

自主可控是信息化发展的重中之重，应该进一步加大对国产基础软硬件的扶持力度，构建自主安全可控体系，完成关键技术攻关和工程应用推广，为国家信息安全保驾护航,具体措施包括：

一是构建安全可控的信息系统软硬件集成适配机制和规范，形成一整套面向国产软硬件研发、适配、定型、推广的机制和规范，有利于信息技术的集成创新，有利于建设健康、规范、充满活力的安全可控国产软硬件的市场环境，加速产品的市场化水平，逐步形成与国外信息技术的竞争力。

二是成立联合适配攻关基地，为信息化工程提供一个安全可控的运行环境。开展安全可控的软硬件推广工作，需要各方通力合作，形成一个集CPU、整机、操作系统、数据库、中间件、办公套件等各厂商资源共享、优势互补的技术攻关平台，着力解决信息化工程中所发现的技术问题，继而形成成熟稳定的国产软硬件单项产品、安全可靠的国产软硬件产业链、安全高效的集成解决方案，达到高水平、安全可控的整体协同运行。突破通用产品技术的研发、深化国产基础软硬件深度适配等，建立高效稳定运行环境及自主可控核心技术体系。持续性地解决国产软硬件在国家信息化工程建设中的技术问题，不断充实完善产品，为大规模、批量推广国产软硬件的信息化应用奠定基石。

三是研制国产基础软硬件检测工具及平台。在大力发展自主软硬件并加大适配力度的基础上，需要研制国产基础软硬件检测工具及平台，加强对国产软硬件运行效率、可靠性和安全性等方面的检测，确保“技术”及“应用”的有效、可控和安全。

四是加强新技术、新应用的自主可控信息技术的研究及探索。适时适当地向高端信息技术延伸，包括云计算、物联网、移动互联网、可信计算等方面的自主可控能力打造，使得上述前沿信息技术能够更好地支撑我国信息化建设。

五是加大自主可控软硬件的推广力度。推动安全可控的国产软硬件一体化发展，形成从上到下的“点-线-面”的批量推广模式，使基于国产软硬件的重大信息化应用体系化、规模化。从“党政军”到国家重要行业领域，依托前期试点示范工程，大力推进，形成国产软硬件的批量应用、成片占领。从简单应用到复杂核心，基于前期研究及探索，深入关键领域的核心业务处理，扩大国产软硬件在信息化建设中的影响力。

安全运营是安全能力和实力体现

近日，国务院办公厅发布了《关于大力推进信息化发展和切实保障信息安全的若干意见》(以下简称《意见》)。文件重点指出，要加强安全防护和管理，保障重点领域信息安全；加快能力建设，提升网络与信息安全保障水平。

《意见》是一份非常重要的文件，其历史地位堪比2003年中共中央办公厅和国务院办公厅出台的《国家信息化领导小组关于加强信息安全保障工作的意见》，影响十分深远。

在宏观层面，《意见》提到，要“健全信息安全保障体系，切实增强信息安全保障能力”。能力等同于“实力”，没有过硬的安全技术实力，保障体系就无从谈起。我们要形成局部对抗和防御的实力，以保护商业和社会方面的信息安全。“切实增强信息安全保障能力”将为真正在技术上下工夫的企业和科研机构带来更多增长机会。

关于“加快安全能力建设，完善网络与信息安全基础设施，加强信息安全应急等基础性工作，提高风险隐患发现、监测预警和突发事件处置能力”部分，要做好上述几点，需要建立大PDR(防护+检测+响应)机制。还有其他专家提出的一种更全面的WPDRRC(预警+防护+检测+响应+恢复+反击)机制，涵盖了隐患发现、监测预警和突发事件处置。

安全运营是安全能力和实力的体现。安全运营中不仅要运营防御的设备和系统，还要做好对各种威胁的运营，也就是知己知彼，也就是所谓的威胁运营。隐患发现对应的技术就是漏洞扫描产品、安全基线检查产品；监测预警对应入侵检测、审计、宏观态势感知等技术和产品；能够做好突发事件处置的前提就是要做好事件的分析和处置演练。

对于《意见》提出的“健全安全防护和管理。重要信息系统和基础信息网络要与安全防护设施同步规划、同步建设、同步运行……切实提高防攻击……防窃密能力”。重要信息系统和基础信息网络主要是指电信网络、电力网络、银行和金融信息系统、财税海关、公共安全以及其他重要政务系统。自从《国家信息化领导小组关于加强信息安全保障工作的意见》出台后，“安全责任同步”反复被强调。另一个提法就是谁主管谁负责、谁建设谁负责、谁运行谁负责。而与这些行业相关的信息安全等级保护、分级保护、测评认证制度、风险评估标准等一系列合规性要求将会被更强力地落实。随着这些行业进一步提升安全防护能力，在信息安全方面将投入更多的资金。

对于一些具体的领域，《意见》也提出了信息安全防护要求，包括“保障工业控制系统安全”、“明确敏感信息保护要求……加强个人信息保护工作”，震网病毒、超级火焰病毒的发现，为工业生产控制系统安全敲响了警钟，这一领域的信息安全必须重视起来。安全的目标最终是业务的安全，具体说主要就是数据的安全。最近几年频繁发生的国家、企业、个人数据泄密事件使得数据防泄密成为市场中最热门的话题，数据防泄密这一细分市场正在快速增长。

《意见》最后指出，要“加大信息安全技术研发力度，加强对云计算、物联网、移动互联网、下一代互联网等方面的信息安全技术研究……完善有关信息安全政府采购政策措施和管理制度，支持信息安全产业发展”。安全的实力最终还是会落实到技术实力上，落实在技术研究和产品开发上。当前安全技术制高点是APT(高级持续威胁)、宏观态势感知和应对、安全技术的高性能实现(高带宽、多核芯片)等。



信息安全主导企业点评



启明星辰：用实力塑造民族安全品牌



启明星辰拥有完善的专业安全产品线，横跨防火墙/UTM、入侵检测管理、网络审计、终端管理、加密认证等技术领域，共有百余个产品型号，并根据客户需求不断增加。启明星辰解决方案为客户的安全需求与信息安全产品、服务之间架起桥梁，将客户的安全保障体系与信息安全核心技术紧密相连，帮助其建立完善的安全保障体系。

自2002年起，启明星辰就持续保持国内入侵检测、漏洞扫描市场占有率第一。近年来，发展成为国内统一威胁管理、安全管理平台国内市场第一位，安全性审计、安全专业服务市场领导者。

凭借多年来的潜心研发，启明星辰成为国家认定的企业级技术中心、国家规划布局内重点软件企业，拥有最高级别的涉及国家秘密的计算机信息系统集成资质，并获得国家火炬计划软件产业优秀企业、中国电子政务IT100强等荣誉。

位于北京中关村软件园的启明星辰公司，目前拥有我国规模最大的国家级网络安全研究基地，创造了百余项专利和软件著作权，参与制定国家及行业网络安全标准，填补了我国信息安全科研领域的多项空白。完成包括国家发改委产业化示范工程、科技部863计划、国家科技支撑计划等国家级科研项目近百项。

作为信息安全行业的领军企业，启明星辰研究开发了完善的专业安全产品线，已经成为政府、电信、金融、能源、交通、军工、制造等国内高端企业级客户的首选品牌：启明星辰在政府和军队拥有80%%的市场占有率，为世界500强中60%%的中国企业客户提供安全产品及服务；在金融领域，启明星辰对政策性银行、国有控股商业银行、全国性股份制商业银行实现90%%的覆盖率；在电信领域，启明星辰为中国移动、中国电信、中国联通三大运营商提供安全产品、安全服务和解决方案。

作为北京奥组委独家中标的核心信息安全产品、服务及解决方案提供商，奥组委唯一信息安全供应商，启明星辰受到独家官方授权，全面负责北京奥运会主体网络系统的安全保障。此外，启明星辰还为上海世博会、广州亚运会等多项世界级大型活动提供全方位信息安全保障。