近些年来,国际上信息化及信息安全已成为许多国家的战略问题, 也是某些国家争霸世界的重要一环。我国的信息化由于各级政府领导的高度重视并采取一系列重要措施而得到迅速发展,取得可喜成果。与此同时,信息安全问题得到更多重视,对信息安全产品的需求增长迅速,产业与市场很快扩大。
为了进一步推动信息安全事业发展,分析发展的趋势, 有必要对其做一个简单的回顾与展望。
一、简单的历史回顾
(一)信息安全概念与内涵的演变
目前,国际上没有一个权威、公认的关于信息安全内涵的标准定义,随着时间推移,信息安全的概念与内涵也不相同。
1.计算机安全:虽然计算机早在40年代中期就已面世,但20多年后才提出计算机在使用中存在计算机安全问题:1969年美国兰德公司给美国国防部的报告中指出"计算机太脆弱了,有安全问题"。这是首次提到计算机安全。当时及在其后的相当一段时间,计算机安全的内涵主要是指实体安全及传输加密问题。
2.计算机信息系统安全:七十年代末至八十年代,因各类计算机管理系统的发展而提出计算机信息系统安全。此时不仅指实体(物理)安全,也包括软件与信息内容的安全。
3.网络安全:在八十年代后期,尤其是九十年代因特网的发展,网络成了计算机应用的重要形式。网络安全一词被广泛采用,强调在整个网络环境中,尤其在因特网环境中的安全。
4.信息安全:与网络安全几乎同时兴起,只是强调的侧重面有些差异。这里强调社会信息化带来的安全问题,似乎范围更大些。即不仅包括技术手段,还包括管理等方面。
5.信息保障:这是近几年由美国提出的概念,其内涵包括保护、监控、反应、恢复,即强调安全的系统状况,动态管理进程。这是因为,信息即资源,占有信息即占有资源,信息优势即国家优势,信息安全已涉及国家的政治、经济、外交、军事等相关重大问题。
我国官方关于信息安全概念及内涵的界定是1994年颁布的"中华人民共和国计算机信息系统安全保护条例"中提出的。其中指出,计算机信息系统安全保护是指:保障计算机及相关配套设施(含网络)安全,运行环境安全,信息安全,计算机功能正常发挥,以维护计算机信息系统的安全运行。
回顾信息安全概念及内涵的演变对我们会有许多启示。安全的概念及内涵(这里指用于现代信息技术应用深入发展并渗透社会后的安全)也如在其他领域一样是不断发展和演变的,尤其是安全具有相对性, 随着信息技术及相关技术发展,人们对安全的形式、方式、意义的认识都会变化,而此也必定引起对安全的范畴、重要性、特点的定义发生变化。因此,从动态的观点,从"量"与"质"关系的观点,从不断变化的观点看待安全问题,才尤为重要。
(二)对我国信息安全事业发展的点滴回顾
我国信息安全事业是随着我国计算机网络应用发展扩大,随着国家信息化进程而发展起来的。
1.宣传、启蒙初始阶段。
可从七十年代一直延续到九十年代初,这期间我国计算机的应用有很大发展。虽然八十年代中后期我国有一些较大规模的应用系统,但全国性大规模网络还很少,并且不少是较孤立的系统,信息安全问题也没到引起足够注意的程度。但此时一些研究机构、大学, 一些部门、社会团体已开始跟踪国外信息安全发展情况, 并在国内积极做这方面的宣传和推广,他们是我国信息安全事业的奠基者。不过此时还谈不上信息安全产业及市场。
1)我国当时还没有关于相关的法律法规,没有较完整意义的专门针对计算机系统安全方面的规章,安全标准也少,也谈不上国家的统一管理,只是在物理安全及保密通信等个别环节上有些规定。
2)信息安全产品、技术还谈不上定型,只是少数特殊部门使用保密通信传输技术及设备以及用于保密的防辐射设备。八十年代后期开始了防计算机病毒及计算机犯罪的工作,但都没有形成规模。
3)广大应用部门基本上没有意识到信息安全的重要性,只在个别部门和部门的少数人中建立了信息安全的概念,并开始在实际工作进行摸索。
2.开始发展阶段。
九十年代初,世界信息技术革命发展使许多国家把信息化作为国策,作为赶上世界发达国家的途径,在此背景下我国信息化开始进入较快发展期。国家相关方针政策及环境都有变化,与其相适应信息安全也引起较广泛的重视。
1)"中华人民共和国计算机信息系统安全保护条例"于
2)产品、技术、市场开始发展。这阶段国外信息安全企业开始进入中国市场。我国有些企业意识到这个新兴领域广阔的前景, 逐渐开始在该领域投入人力、物力。产品技术也从单一的加密、物理安全转入更宽阔的领域, 如访问控制(含防火墙)、网络病毒防范,并且在入侵检测、认证识别等方面开始拥有具有自主知识产权的成果。
3)许多部门开始注意把信息安全作为系统建设中的重要内容之一来对待,这是产业市场发展的关键之一。由于我国信息产业的发展,一大批基于计算机及网络的信息系统建立起来并开始运行,在本部门业务中起到重要作用,成为不可分的部分, 如金融与税务业。而国际和国内发生的计算机犯罪和实践工作中产生的安全问题,使用户对信息安全逐渐有了完整全面的认识和理解,尤其得到不少领导的重视。这些部门不仅思想上开始重视信息安全,而且开始采取实际行动。企事业界对信息安全的重视对整个信息安全学术发展起到了推动作用。
3.快速发展并逐渐走向正轨阶段。
大约九十年代末(1999年)到现在,正在进行中。
1)首先,国家出台一系列重要政策、措施,促使其走向正轨。其标志之一是国家成立了专门的机构,包括1999年5月成立的国家计算机网络与信息安全管理协调小组和2001年国务院信息化工作办公室成立专门的小组负责网络与信息安全相关事宜的协调、管理与规划。这点是极为重要的,也是国家信息安全走向正轨的重要标志之一。与此同时在法律、规章、原则、方针上都有对应措施。
2)技术推动产业市场发展。技术除了推动国家一系列信息化建设规划政策的实施外,也包括部门和单位对安全方面的要求,也有应用系统本身数年经验的积累,即用户逐渐成熟,要求更加合理和理性。
3)技术、产品发展。由于国家政策的明确,对国内外相关企业进入信息安全市场投入资金、技术和人力提供了重要的推动力,再加上国内具有自主知识产权技术的发展,用户对我国信息安全企业信心增强, 这几年我国信息安全产品、技术及市场得到高速发展。
4.回顾我国信息安全事业发展可以看出:
1)不管信息安全事业也好,产业和市场也好,其发展与整个国家信息化发展及国家相关政策关系极大。
2)正像任何事物都有个发展过程一样,信息安全事业也有个发展过程,有其规律和特点。只有掌握其规律和特点才能取得主动。尤其重要的是要了解我国的特点,以我国的实际国情为基础来看问题。不重视不对,操之过急不会有好结果,盲目乐观更不利。
二、我国信息安全产业市场现状
对产业一词会有不同理解,有大产业,也有小产业。谈到信息安全都去谈产业,但可能理解也不完全相同。也有人认为没有成为独立的产业。笔者认为还是提信息安全产业为宜,在概念和内涵方面有个大概说法即可,这对我国的信息安全事业发展有利。本来事物就是发展的,有些还会融合,与本文前面提到的概念和内涵的演变一样。
关于现状可以用数字从几个方面描述:
(一)安全产品数量
领取公安部销售许可证的产品数量
1998 1999 2000 2001 2002
防雷保安器产品 22 53 46 94
病毒防治产品 15 29 59 81 60
防火墙 38 98 131 152
网络安全 50 121 181 206
网络安全扫描 41 72 90
数据完整 61 78 87
共计 60 170 426 513 689
领取中国信息安全产品测评认证中心评测证书的产品数量
1998 1999 2000 2001 2002
8 28 32 43 79
领取国家保密局批准用于涉密系统的产品数量
1998 1999 2000 2001 2002
36 40
(资料来源:2001年中国信息安全年鉴)
产品分类比例
产品 2001年
防病毒 20%
网络安全与防火墙 25%
加密 33%
认证与检测监控 14%
安全服务 8%
(资料来源:2001年中国信息安全年鉴)
(二)市场销售规模 单位: 亿元
资料来源 1998 1999 2000 2001 2002
内部资料 4.5 9 19 40 82-100
中国信息协会信息安全专业委员会﹡ 4.5 16 26 35.34 51.57
CCID (仅包括安全软件) 4.9 7.6 12.3 18.36
IDC(安全认证,管理,加密软件,防火墙等软件) $0.5240 $0.7730 $1.562
注:ⅰ 资料来源中的中国信息协会信息安全专业委员会和内部资料的2002 年的数据为预测数据。
ⅱ 资料来源统计口径各不相同。
﹡ 包括加密、防病毒、防火墙、防电磁辐射、电子身份认证、漏洞扫描、入侵监测、识别鉴别、实体安全和其它类产品与信息安全服务。
由此看来,目前各类系统的安全措施中,防病毒,防火墙、加密的使用占较高的比例。这个比例在国家经贸委信息中心调查我国重要企业信息化的情况也证明这点, 但这种比例是难以保证真正意义上的系统安全的。
(三)企业数
研制、生产、销售企业数
个数 其中: 有研发能力的 有产品的企业 有成熟商品的
10年前 5 5 5
5年前 10
2000年 350
2001年 1300 350 190 80
(资料来源:2001年中国信息安全年鉴)
领取公安部销售许可证的企业数
国内企业 有限责任 451 占 71 %
股份 41 占 6 %
其它 35 占 6 %
总计 527
国外企业 独资 60 占 9%
合资 47 占 8%
其它
总计 107
(资料来源:公安部公共信息网络安全监察局)
(四)部分涉足网络安全业务的上市公司
代码 简称 安全产品 投资项目 投资额 持股比例
000681 远东股份 网络反击黑客软件系统等 与中科院信息安全国家重点实验室组建网络安全研究院,在常州设立产品生产基地。 2亿 80%
000758 中色建设 数码水印 中美网络公司 约5000万 72.5%
000938 清华紫光 防火墙
600092 精密股份 ISS系列安全产品 北京恒德方科技发展有限公司 1920万 49%
600100 清华同方 防火墙:WebST、Neatest等 清华得实
600620 天宸股份 支付密码系统 上海海基业高科技有限公司 3600万 60%
600657 青鸟天桥 安全网关、数据加密 (青鸟集团)
600718 东软软件 防火墙:NetEye1.0
600730 中国高科 数据加密、防火墙、数字认证、反病毒软件 广州科友科技实业有限公司 约500万 51%
600734 实达电脑 郎新Netshine防火墙、代理ISS产品 实达郎新、东方龙马
600757 华源发展 防火墙BIOData、链路安全、VPN 上海华依科技有限公司 约5000万 51%
000835 隆源实业 2000年5月参股中科网威
(资料来源:2001年《保密工作》杂志 信息安全专刊)
(五)资金规模
部分企业资金规模
公司名称 注册资本金
启明星辰公司 1600万元
北京天融信公司 1700万元
清华紫光顺风 2430万元
江南科友公司 1500万元
中科网威公司 1750万元
北京中电华大电子设计公司 3200万元
兴唐公司(邮电数据所) 6000万元
公司名称 注册资本金
广东科达信息技术公司 1000万元
武汉瑞达公司 5100万元
长沙天一银河公司 10000万元
杭州信雅达公司 5000万元
上海华依公司 1500万元
上海复旦光华公司 10000万元
上海金诺网安 2518万元
厦门巨龙软件公司 3000万元
清华得实公司 3000万元
海信数码公司 2000万元
(资料来源:中国信息产业商会信息安全分会)
领取公安部销售许可证企业的注册资金规模
50万以下的企业(家) 50万至1000万的企业(家) 1000万以上的企业(家)
29 442 163
占 5 % 占 70 % 占 25 %
(资料来源:公安部公共信息网络安全监察局)
在17家国内较有名的安全企业中,12家资金在1000-3000万左右,另5家资金在5000-10000万左右。这对一个完整的信息安全企业来讲规模似乎偏小,竞争与抗风险能力都很有限。
(六)产品技术
我国的信息安全产品和技术已经从加密、防病毒、防火墙、防电磁辐射,过渡到包括平台系统、电子身份认证、漏洞扫描、入侵监测、识别鉴别、实体安全保护等十大系列的防护体系, 信息安全产业从单纯的产品和技术开发过渡到产品和技术开发、安全系统集成与信息安全服务。但基础性、平台型产品、管理型产品还较少。
产品技术上,国产产品在加密、防病毒及个别产品方面还不错,但相当多产品的水平不够高。另外,核心技术像芯片、操作系统、数据库、基础网络设施以及整体平台和管理技术都受制于人。
(七)人才
人才对任何一个产业都是很重要的。
1.1999年有关部门报道,我国从事与信息安全有关的副研究员以上人才约3000
人,且从事密码研究占的比例较大。国外一批留学人员回国发展。
2.1999年四川大学首次在国内招收信息安全方面的工程硕士和博士研究生,2002年约100多人取得四川大学信息安全工程硕士学位和博士学位。
3.信息安全专业2000年才第一次招大学本科生,2001年有8个高校招本科生,22个院校经教育部批准设立信息网络安全本科专业,约40个高等院校和研究所招收信息安全类专业研究方向硕士/博士生。
4.各种培训和短训班。培训是非常重要的一个方面。这几年发展迅速(但教材标准,考核等都还没规范化)。公安部门对安全管理员已有较规范的培训考核要求。整体来讲,尤其缺乏的人才是:安全总体规划人员;安全管理人员;高水平专业技术人员。
(八)相关环境,法律、政策、标准、管理、规范
从1994年第一个计算机信息系统安全保护条例公布起,几年来已出台多个有关信息安全的国家或主管部门的规章、条例,以及一批标准规范。虽然从整体上还不完善,但已经有了一个基础。
从国家的管理协调机构与机制方面看,国务院信息化工作办公室成立以来做了大量工作,可以说在这方面正在走向正轨。
信息安全产业政策及产业管理方面还是刚刚开始。已经采取了一些措施,一些主管部门已提出了推进发展的相应政策方针,但距完全落实及贯彻还有一些相关事情要做。
总之,在这个阶段由于各方面的努力,有关信息安全事业的各种环境条件大大改善,为进一步高速发展创造了一些基础。
综上情况,从总体上看,可以对目前我国信息安全情况作以下几点结论:
1.我国信息安全整体保障的能力还不高,只能说是初步。信息安全有其自身特点,衡量的标准应该是抗攻击者的能力。
可从几个方面看:
从国家整体环境看,有很大改善,但还很不完整。一些基础设施不完善,相应的应付攻击的管理协调机制、机构也还不够健全;
从已运行的各类系统安全保障措施看,仅以目前已销售的安全产品占信息系统投资比例和目前我国安全产品分类销售比例(包括服务)这一个侧面就可反映出实际的安全状况。一个较完整的安全保障体系,其所占信息系统投资比例和安全产品类所占比例应有一个较合理范围(虽然不同系统有所不同)。目前,我国情况是太低和太不合理;
从已用产品的自主性看,由于安全产品是特殊的产品,而目前大量核心技术及产品是国外的技术与产品,很难保证系统的安全的。
总之,虽然我国在该领域进步很快,但的确不容盲目乐观。
2.信息安全产业处在起步阶段,还远没有到基本满足需求的地步。
国家完整的产业政策与相应的标准体系等方面还不够完整,产业研发能力不够完善,前面提及的1300家企业只有190家有自己的产品,不少产品处在层次较低的重复水平。
从市场规模看,以2002年预测80亿元计算,也只占我国计算机行业(仅是计算机而不是整个IT产业)的2.7%,显然也是低的。
从信息安全企业规模看,根据上面引用的调查数据,企业的资金规模大部分在1000万-3000万元之间,显然距离形成一个拥有一批相当规模骨干企业的产业差距还很大。
三、展望
虽然上面提了不少问题,但相信我国信息安全产业将会迎来一个大发展并步入正轨化的阶段。
(一)大环境因素
不仅国际环境要求加速,我国各级领导也高度重视,并已经采取了一系列措施。首先是把信息化列为国家发展战略之一,这必然对信息安全提出更高要求。其次,成立了高层管理协调机构。国务院信息化工作办公室内有专门小组从事这方面的工作,这是整个工作规范正规化的关键之一。再次是相关措施的制定与实施,包括规划、标准、管理制度等。这些都会使我国信息安全产业发展环境大大改善。
(二)需求增长迅速并趋于理智化
1.信息化发展与投入。国家电子政务已有一系列重大信息系统建设项目开始实施,信息安全已列为建设的重要方面之一。
企业信息化和电子商务会成为另一个重点。我国仅大中型企业就上十万,企业对信息化投入的增加,对信息安全的投入也必然会增加。
社会需求和个人需求。信息产业部预测2002年计算机销售额为2900亿,并且以后还会以相当高的速度增长。这个数据若可信, 按5%用于信息安全,信息安全市场也应在150亿/年左右。
另一种概念,即只按大的行业的应用系统的投入资金计算。据报道,金融行业"九五"期间共投入850亿,约每年投入200亿;通信IT每年投入200亿;铁道民航每年投入100亿;教育科研每年投入150亿-200亿;政府每年投入约100亿-200亿;其他行业如烟草、商业每年投入200-500亿;企业每年投入100亿-200亿。这样总计约为1000-1500亿, 若这类行业应用系统每年的信息安全投入占总投入的5%-10%, 则每年信息安全市场也在100-150亿之间。
2.用户逐渐成熟,会较全面地提出对产业的要求:一方面是对产品结构、品种、质量的要求,涉及相关各类产品。另一方面是对于服务的要求。安全服务包括总体方案集成、咨询、培训、管理等,其所占比例会加大。
(三)产业发展
产业技术会向更高自主知识方向发展,具体方式方法多样化,这是产业特点和相关政策的必然结果。企业大规模的调整和整合是产业发展必经之路,在国家政策支持下,会形成一批具有较完善开发力量的信息安全主干企业。
(四)人才
应形成多种培养人才的渠道和机构并合理管理。根据不同层次,建立不同专业技术、各类管理和一般运行服务的培训体系。人才是事业发展成功的关键,近几年除专业人才外,培养复合型总体人员和高中层管理人员非常重要。
总之,今后一个时期,我国信息安全将迎来一个全面发展的阶段,这是历史的要求。
