深度剖析网安产业 解构行业发展脉络
2016-09-21陈奕志
本刊记者/陈奕志
深度剖析网安产业 解构行业发展脉络
本刊记者/陈奕志
工信部部长苗圩认为应该高度重视我们所面临的严峻安全形势,大力提升网络与信息安全的保障能力。
随着互联网的飞速发展,我们已经进入一个信息化高度发达的时代,网络安全的重要性更加突显。习主席曾提出“没有网络安全就没有国家安全,没有信息化就没有现代化。建设网络强国,要有自己的技术,有过硬的技术。”这是中国首次将网络安全提升到国家战略层面。
为了对中国网络安全产业进行深度剖析,理清网络安全行业的发展脉络,我们将从相关部门的监管、法律法规政策、行业整合并购、行业新技术新应用等多个方面进行分析报道。
加强网络安全监管
2015年7月10日,《中央编办关于工业和信息化部有关职责和机构调整的通知》正式对外公布,工信部官方网站各司局的名称相应调整。本次调整的相关职责和机构主要涉及网络、通信领域。
具体的机构调整方案是,将电信管理局更名为信息通信管理局。主要职责包括依法对电信和互联网等信息通信服务实行监管,承担互联网行业管理;拟订市场准入、监管政策、标准并组织实施等。将通信保障局更名为网络安全管理局。与原来的通信保障局相比,网络安全管理局的职责更多。
新增职责主要涉及互联网安全,包括制定互联网安全的规划、政策和标准;建立电信网、互联网新技术新业务安全评估制度并组织实施;指导督促电信企业和互联网企业落实网络与信息安全管理责任,组织开展网络环境和信息治理,配合处理网上有害信息,配合打击网络犯罪和防范网络失窃密等。将通信发展司更名为信息通信发展司。
2015年7月21日,在“2015中国互联网大会”上,工信部部长苗圩表示:我国互联网的融合发展进程能否顺利推进,势头能否长期保持,在新一轮全球竞争当中能否脱颖而出,直接关系到整个产业,乃至国家综合竞争新优势的塑造和形成。
在产业融合的态势下,互联网跨界融合竞争的趋势越发凸显,线上与线下问题不断交织,新现象、新问题不断涌现,政府的管理也面临前所未有的挑战。因此,工信部将进一步加强和改进互联网行业管理,促进互联网良性有序发展。
当然,建立完善的互联网工作发展相适应的监管制度也是刻不容缓的。苗圩提出:“修订完善法律法规,不断优化监管思路,创新监管手段,规范市场秩序,着力打造党政部门、互联网企业、科研机构、行业组织,以至普通的网民广泛参与合作等多元监管格局,为互联网潜能的充分释放营造公平、公正、合法、合规的外部环境。”。
安全是永不变的话题,苗圩认为应该高度重视我们所面临的严峻安全形势,大力提升网络与信息安全的保障能力。“促进互联网融合发展安全是基础,更是保障,必须处理好安全与发展的关系,做到协调一致。不断健全行业网络和信息安全机制,持续推进信息安全和体制化建设,推动完善网络安全的法律法规、标准体系,严格落实企业网络信息安全的责任,强落网络信息安全监管 和环境的综合治理。”
公安部副部长陈智敏强调,要认真学习贯彻习近平总书记系列重要讲话精神,积极应对“互联网+”带来的新机遇新挑战。
2015年8月4日,公安部在京召开了全国重点互联网站和服务企业安全管理工作会议。公安部副部长陈智敏强调,要认真学习贯彻习近平总书记系列重要讲话精神,积极应对“互联网+”带来的新机遇新挑战,坚持依法管网与综合治理并举,强化互联网安全管理,推进网络社会法治建设,努力实现互联网健康发展、网络社会和谐有序、网络环境风清气正。
陈智敏指出,随着我国全面进入互联网时代,网络安全已经成为事关国家安全和社会稳定、事关经济发展和人民群众工作生活的重大问题。依法加强网络社会管理,维护网络安全,是公安机关肩负的一项重要职责。
陈智敏要求,公安机关要发挥网络社会安全管理主力军作用,与互联网管理部门密切合作,积极创新互联网安全管理,共同推进网络社会的法治建设。要全面推进网站信息安全等级保护工作,提升网站防范非法入侵破坏、保护网民个人信息的能力。
增强网络安全政策法规建设
1.工信部出台关于网络安全指导意见
当前网络安全形势十分严峻复杂,境内外网络攻击活动日趋频繁,网络攻击的手法更加复杂隐蔽,新技术新业务带来的网络安全问题逐渐凸显。为有效应对日益严峻复杂的网络安全威胁和挑战,切实加强和改进网络安全工作,进一步提高电信和互联网行业网络安全保障能力和水平,工业和信息化部于2014年9月1日发布了《关于加强电信和互联网行业网络安全工作的指导意见》(以下简称《意见》),提出今后一个时期的八项工作重点。
一是深化网络基础设施和业务系统安全防护。做好定级备案,严格落实防护措施,定期开展符合性评测和风险评估,及时消除安全隐患。加强网络和信息资产管理,全面梳理关键设备列表,明确每个网络、系统和关键设备的网络安全责任部门与责任人。
二是提升突发网络安全事件应急响应能力。制定和完善本单位网络安全应急预案。健全大规模拒绝服务攻击、重要域名系统故障、大规模用户信息泄露等突发网络安全事件的应急协同配合机制。
三是维护公共互联网网络安全环境。认真落实工业和信息化部《木马和僵尸网络监测与处置机制》、《移动互联网恶意程序监测与处置机制》,建立健全钓鱼网站监测与处置机制。在与用户签订的业务服务合同中明确用户维护网络安全环境的责任和义务。
四是推进安全可控关键软硬件应用。推动建立国家网络安全审查制度,落实电信和互联网行业网络安全审查工作要求。在关键软硬件采购招标时统筹考虑网络安全需要,在招标文件中明确对关键软硬件的网络安全要求。加强关键软硬件采购前的网络安全检测评估,通过合同明确供应商的网络安全责任和义务,要求供应商签署网络安全承诺书。
五是强化网络数据和用户个人信息保护。严格规范用户个人信息的收集、存储、使用和销毁等行为,落实各个环节的安全责任,完善相关管理制度和技术手段。强化对内部人员、合作伙伴的授权管理和审计,加大违规行为惩罚力度。发生大规模用户个人信息泄露事件后要立即向通信主管部门报告,并及时采取有效补救措施。
六是加强移动应用商店和应用程序安全管理。加强移动应用商店、移动应用程序的安全管理,督促应用商店建立健全移动应用程序开发者真实身份信息验证、应用程序安全检测、恶意程序下架、恶意程序黑名单、用户监督举报等制度。建立健全移动应用程序第三方安全检测机制。推动建立移动应用程序开发者第三方数字证书签名和应用商店、智能终端的签名验证和用户提示机制。完善移动恶意程序举报受理和黑名单共享机制。加强社会宣传,引导用户从正规应用商店下载安装移动应用程序、安装终端安全防护软件。
七是加强新技术新业务网络安全管理。加快推进相关网络安全防护标准研制,完善和落实相应的网络安全防护措施。积极开展新技术新业务网络安全防护技术的试点示范。加强新业务网络安全风险评估和网络安全防护检查。
八是强化网络安全技术能力和手段建设。深入开展网络安全监测预警、漏洞挖掘、恶意代码分析、检测评估和溯源取证技术研究,加强高级可持续攻击应对技术研究。建立和完善入侵检测与防御、防病毒、防拒绝服务攻击、异常流量监测、网页防篡改、域名安全、漏洞扫描、集中账号管理、数据加密、安全审计等网络安全防护技术手段。
《意见》还提出了保障措施:包括加强网络安全监管,充分发挥行业组织和专业机构的作用。充分发挥行业组织支撑政府、服务行业的桥梁纽带作用,大力开展电信和互联网行业网络安全自律工作。落实企业主体责任,加大资金保障力度,并将网络安全经费纳入企业年度预算,加强人才队伍建设,形成培养、选拔、吸引和使用网络安全人才的良性机制。
2.《网络安全法(草案)》出台
2015年6月,第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法(草案)》(以下简称《草案》),并于7月6日起向社会公开征求意见。《草案》从保障网络产品和服务安全,保障网络运行安全,保障网络数据安全,保障网络信息安全等方面进行了具体的制度设计。
网络主权是国家主权在网络空间的体现和延伸,网络主权原则是我国维护国家安全和利益、参与网络国际治理与合作所坚持的重要原则。为此,《草案》将“维护网络空间主权和国家安全”作为立法宗旨。同时,按照安全与发展并重的原则,设专章对国家网络安全战略和重要领域网络安全规划、促进网络安全的支持措施作了规定。
为保障关键信息基础设施安全,维护国家安全和保障民生,《草案》对关键信息基础设施的运行安全作了规定,实行重点保护。为保障网络信息依法有序自由流动,防止公民个人信息被窃取、泄露和非法使用,《草案》在全国人大常委会关于加强网络信息保护的决定的基础上,进一步完善公民个人信息保护制度,规范网络信息传播活动。
为加强国家的网络安全监测预警和应急制度建设,提高网络安全保障能力,《草案》要求国务院有关部门建立健全网络安全监测预警和信息通报制度,加强网络安全信息收集、分析和情况通报工作;建立网络安全应急工作机制,制定应急预案;规定预警信息的发布及网络安全事件应急处置措施。
中国信息安全研究院副院长左晓栋认为,此次《网络安全法(草案)》公开征求意见,表明这项工作进入了实质性立法程序,这是一个重大历史进步。
中国信息安全研究院副院长左晓栋认为,此次《草案》公开征求意见,表明这项工作进入了实质性立法程序,这是一个重大历史进步。欢欣鼓舞之所在,不是因为《草案》具体内容,而源于征求意见本身的象征意义。时至今日,我们对网络安全立法不是搞清楚、看明白了,而是问题更多、更复杂了,很多观点分歧可能更大了,网络安全立法难度不降反升,但突破恰恰在此时。中央网络安全和信息化领导小组成立后,中央领导同志英明决策,切实将网络安全提升到了国家安全和发展的高度,不但作出“网络强国”的全局战略部署,更扎实推进各项工作取得积极进展。
如何保证网络信息安全是本次网络安全法的核心内容之一。《草案》赋予有关主管部门处置违法信息、阻断违法信息传播的权力,明确了任何个人和组织使用网络应当遵守宪法和法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、宣扬恐怖主义和极端主义、宣扬民族仇恨和民族歧视、传播淫秽色情信息、侮辱诽谤他人、扰乱社会秩序、损害公共利益、侵害他人知识产权和其他合法权益等活动。
同时,草案对网络安全监测预警和应急制度作出了规定,要求发生网络安全事件时,县级以上政府有关部门应当立即启动网络安全事件应急预案,及时向社会发布与公众有关的警示信息:“因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,国务院或者省、自治区、直辖市人民政府经国务院批准,可以在部分地区对网络通信采取限制等临时措施”。
主流安全技术趋势追踪
1.威胁情报
如果威胁情报在去年的RSA大会上还只是一个热门词汇,那在今年的RSA大会上所展示的相关服务显示,威胁情报的应用正在逐步走向成熟。一方面威胁情报结合SIEM(安全信息事件管理)、威胁检测和终端防护等产品开始走向落地,显著提升传统安全产品检测威胁的能力。另一方面,一些专注在威胁情报领域的公司,也将自己的情报源作为服务提供给其他安全厂商。
安全研究和分析公司Securosis直言,如今安全威胁防护产品、解决方案和服务发展迅速,但仍然赶不上安全威胁变化的速度。我们需要将所有的安全防护产品和解决方案联动起来,与此同时安全产业的上下游企业也应该联合起来,构建安全生态圈共享威胁情报、共同创新才能更好地应对未来的安全威胁和挑战。
物联网将渗透至企业中的每一个角落。
2.物联网安全
根据Gartner报告显示,到2020年大约有300亿个互联设备将在行业中得到广泛的使用,物联网将渗透至企业中的每一个角落。从去年的RSA大会上物联网安全就已经成为业界关注的焦点,而今天物联网安全更是正在一步步走向落地。Micro Focus公司解决方案副总裁杰夫·韦伯(Geoff Webb)表示,物联网安全不再是向互联网信息安全那样“加密一切数据”这样简单了,需要更多的去关注更多端到端加密对物联网设备的重要性和合理性。
对于物联网安全来说,除了我们不可忽略的设备安全问题,隐私安全也是物联网安全中非常重要的一环。将来无数的物联网设备会收集大量的数据,这些数据包含了我们的声音、走路的样子甚至我们的体味,隐私安全作为一大新问题成为了物联网安全的一大挑战。
3.工控安全
今年初,乌克兰电网遭遇黑客攻击一事震惊世界,据称其直接造成约70万个家庭在圣诞前夜陷入一片黑暗。而此次事故也充分证明了关键性基础设施管理部门必须强化自身应对能力,并通过持续努力保证自身体系免受恶意人士的侵扰。这一事件也将工控安全推向前端,引起广泛关注。
特别是自2010年震网病毒爆发后,全世界的工业大国都纷纷将工控及其安全问题提到战略级别,比如德国工业4.0就将工控安全作为重要环节单独考量。我国也不例外,工信部曾下发《关于加强工业控制系统信息安全管理的通知》的通知,强调加强工业信息安全的重要性、紧迫性,同时加强国家主要工业领域基础控制设施与SCADA系统的安全保障工作也是当务之急。
对电力、石油石化、钢铁、煤炭、烟草、轨道交通、先进制造、燃气等各行业的调研发现,各行业的工控系统安全均有需求,电力行业、石油石化行业、烟草行业及先进制造业的需求尤为突出。
乌克兰电网遭遇黑客攻击的事件将工控安全推向前端,引起广泛关注。
4.加密仍将持续
今年最引人关注的关于加密的事件要算苹果公司与FBI的数据加密之战了,虽然最终FBI通过第三方将苹果iPhone 5C解锁,但这一事件还是引起了业界的广泛关注。HyTrust公司总裁兼联合创始人Eric Chiu表示,“加密和隐私一直是热门话题,而且似乎越来越热门,无论是解锁刑事要犯使用的设备,还是试图跨越国际边界分享信息,对以提高安全性为名义使用加密后门程序的顾虑都表明,现在我们需要更强大的加密技术来提高安全性。”
无论任何时候,数据都是企业最核心的资源,尤其是在如今的互联网时代,数据保护更是成为了企业信息安全防护的核心。但是今天的数据安全以及加密所面临的难题不是技术问题,而是法律和政策上的问题,这需要政府来下大力气来解决。RSA总裁Amit Yoran在演讲中也对苹果与FBI的数据加密之战提出了观点,“我们需要政府制定政策来帮助维护信息安全,以及为相关的人才发展提供机会,而不是阻碍安全。将加密机制弱化虽然给执法和追踪嫌犯带来了一时的方便,但从长期来看,这将为更多不法分子打开攻击的大门。”
5.沙盒技术
“沙盒”技术与主动防御技术原理截然不同。主动防御是发现程序有可疑行为时立即拦截并终止运行。“沙盒”技术则是发现可疑行为后让程序继续运行,当发现的确是病毒时才会终止。“沙盒”技术的实践运用流程是:让疑似病毒文件的可疑行为在虚拟的“沙盒”里充分表演,“沙盒”会记下它的每一个动作;当疑似病毒充分暴露了其病毒属性后,“沙盒”就会执行“回滚”机制:将病毒的痕迹和动作抹去,恢复系统到正常状态。
想象一下,在一个装满了平整细沙的盒子里,我们可以尽情随意地在上面作画、涂写,无论画的好坏,最后轻轻一抹,沙盒又回到了原来的平整状态。沙盒的魅力就在于他允许你出错,还可以给你改正的机会。
行业整合与并购加速
尽管我国信息安全行业发展较快,市场空间巨大,参与者众多,但缺乏真正的龙头企业,企业集中度较低,产品同质化严重。业内预计,网络安全领域将掀起产品整合潮流,行业集中度有望提升。
2015年,包括BAT在内的各大企业都加入到网络安全并购整合之中,可以算是网络安全并购整合元年。
4月16日,百度全资收购了国内安全公司安全宝。安全宝在收购后会融入百度云安全体系中,为企业客户防范安全问题出现、提升网站响应和访问速度、保障DNS运行,同时提高搜索结果权重。
4月23日,奇虎360宣布与酷派集团有限公司创建合资公司。此前,奇虎360于2014年12月16日宣布将成立合资公司进军智能手机行业,360公司出资4.09亿美元认购酷派旗下运营互联网手机品牌的Coolpad E-Commerce公司的45%股份,宇龙酷派拥有Coolpad E-Commerce的另外55%股份。
6月1日,腾讯与启明星辰联合召开新闻发布会,宣布达成战略合作,并面向企业市场推出全面的终端安全解决方案——云子可信网络防病毒系统,建立国内强强联合的企业安全服务战略联盟,为“互联网+”国家战略落地提供终端安全服务。值得注意的是,发布会中浪潮、国药集团等企业当即签订了相关合作意向,足已显出该产品具有极高的市场需求。
6月11日,阿里巴巴集团宣布收购国内一流的安全公司翰海源,被誉为“中国的FireEye”的翰海源将整体加入到阿里巴巴安全部,借助阿里云计算和集团大数据的资源继续研究安全技术,应对包括APT攻击(高级持续性威胁攻击)在内的下一代安全威胁的挑战,后续将推出面向更多企业的APT云防御、威胁情报体系等产品与服务。瀚海源有安全能力,阿里有计算与数据分析能力,安全能力与互联网数据分析两个优势的叠加,将带来安全本身的技术变革。
·百度全资收购了国内安全公司安全宝。
·腾讯与启明星辰联合召开新闻发布会,宣布达成战略合作。
2015年7月14日,蓝盾股份发布重大资产重组预案,以11亿元收购中经电商及汇通宝两家公司,进军电子商务及第三方支付市场。此前公司已经形成了专注于网络层面安全为核心、在物理安全上具有一定的竞争优势的整体格局,通过本次交易,公司将实现从基础网络安全走向应用安全。随着国家“互联网+”战略的加速推进,信息安全领域并购也风生水起,蓝盾股份旨在打造信息安全全产业链,并购或将成为常态。
7月22日,乌云平台打造的连接企业与安全人员的在线安全平台--唐朝安全巡航(TangScan)获红杉资本投资,但未透露融资的具体金额。唐朝安全巡航(TangScan)是一个由社区众多安全研究人员维护的企业在线安全平台,企业可以在 Tangscan 对自己的企业网络进行安全漏洞检测和监控以发现潜藏在网络里的重要安全问题,其运营模式是向企业提供付费安全检测服务,并给与发现漏洞的安全研究人员分成和奖励。
·阿里巴巴集团宣布收购国内一流的安全公司翰海源。
亚信科技收购趋势科技在中国的安全业务。
9月1日,亚信科技收购趋势科技在中国的安全业务,建立独立安全技术公司——亚信安全。通信安全技术与云安全、大数据安全技术相结合,亚信成为中国自主可控的网络云安全技术公司。预计,亚信安全可提供产业互联网整体安全软件,其业务将扩展至金融、教育、制造和医疗等。本次战略收购,将趋势科技的国际领先技术融入亚信科技,更好地为中国用户提供国际领先的云计算与大数据安全技术。
当前,我国网络安全立法取得重大突破,等级保护、标准化等网络安全基础工作稳步推进,网络空间治理行动取得阶段性成果,网络安全产业发展势头强劲,网络安全自主可控技术研发成果丰硕,网络空间国际合作持续加强,网络安全形势整体向好。未来,各国之间的网络安全合作将进一步提升,全球爆发大规模网络冲突的风险将进一步增加,中国在网络空间的影响力将进一步加大,我国网络安全产业迎来爆发式增长机遇,网络安全技术、人才等能力建设将进一步加强。
