信息安全市场的春天来了吗？

（中国计算机报三月电 记者 程彦博）随着中央网络安全和信息化领导小组的成立，越来越多的企业和个人开始重视信息安全，信息安全市场也越来越活跃。那么，近年来信息安全市场呈现出哪些新的变化？无论是国家层面、企业层面还是个人层面，信息安全市场的春天真的来了吗？

 
重中之重

今年中央电视台“3•15”晚会提到了免费WiFi的安全风险，让很多人惊呼：不敢再连接公共场所的WiFi了。

记者认为，这件事至少有两点值得关注。一是信息安全问题已经无处不在，牵涉到每一个人，那些看不见摸不着的安全威胁潜藏在每一个人身边。二是大多数人的信息安全意识和安全常识较为缺乏，需要不断地培育。

如果把目光转向企业，我们会发现存在同样的问题。更加让人担忧的是，企业是社会的重要组成部分，如果遭到网络攻击，其损失和产生的后果远远超过个人。更为重要的是，企业与个人的区别在于，企业在信息安全方面的决策者、使用者和后果承担者往往是不同的部门和角色，这就让企业落实信息安全更加困难。

“这就是我常说的信息安全工作的错位问题。”启明星辰首席战略官潘柱廷表示，由于企业中这种责权不合一的情况普遍存在，往往导致企业中的信息安全工作无法落到实处，存在诸多的安全隐患。

潘柱廷告诉记者，在今年的全国“两会”上，全国政协委员、启明星辰首席执行官严望佳递交了三份涉及网络安全的提案，其中一份就是建议“在关键基础设施、敏感部门、政府机构等推行首席信息安全官制度”。这一提案正是出于强化企业和相关机构的信息安全，落实信息安全责任的想法提出的。

潘柱廷认为，建立和推行首席信息安全官制度，就是要企业明确以为高层管理人员作为其信息安全的第一责任人，明确的责任人，才能将工作落到实处。当然，作为首席信息安全官，应该在企业中具备更大的权力，拥有更多的资源，从而可以全面推动企业的信息安全建设，彻底改变信息安全部门在企业中的弱势地位，达成平衡，形成“一体之两翼 驱动之双轮”。

供应链透明

伴随着近年来国家对信息安全的日益重视，另一个概念受到热捧，那就是自主可控。事实上，信息安全和自主可控是两个概念，二者有交叉，但又不完全重合。但是不可否认的是，自主可控对于促进国内厂商的发展具有重要的作用。

然而，随之而来的问题是，一方面是很多核心技术并不掌握在自己手中的残酷现实，另一方面又是自主可控的迫切需求，特别是对自主可控更加敏感的信息安全市场，应该何去何从？我们是否具备推出完全国产化的安全产品的能力？安全在市场中普遍存在上述矛盾的情况下，如何引导信息安全产业发展？

其实，在信息安全产业高度专业化和细分的今天，很多安全厂商可以凭借某一项技术和特长，获得市场的垂青。放眼海外，诸如FireEye、Bit9等新兴安全厂商都是凭借某些一技之长获得高速成长。然而，对于用户而言，信息安全应该是一个完整的解决方案，即便是某一些安全产品，其中也包含了多种安全技术，包含了多个厂商的技术。

“比如一个安全网关类产品，里边用了其他厂商的防病毒模块，是很正常的事情。作为术业有专攻的安全厂商，不可能自己研发一个产品中所有的安全技术，就算是国际上顶尖的安全厂商也不可能。”潘柱廷说。

然而，面对这样的现实情况，企业又该如何满足自主可控的需求呢？很多国产厂商采用了国外的核心技术或功能模块，那它的产品还算不算自主可控呢？

所以，严望佳还提出了“在关键基础设施、敏感部门、政府机构中落实透明供应链登记工作”的提案。潘柱廷解释说，这个提案完全是从产业发展的角度去考虑的，如果能够实现透明的供应链登记工作，将对信息安全产业的发展产生积极的影响。

其实，透明的供应链登记是解决自主可控和核心技术不能自己掌握之间矛盾的务实方式之一。“我们应该允许采用国外的核心技术，但是在哪里采用，采用的什么程度，应该有透明、明确的登记制度，这样既能满足我们对自主可控和信息安全的基本需求，又可以杜绝为了单纯追求自主可控，把别人的技术说成自己的情况发生。”潘柱廷说。

对于开源模块方面的透明化也应该有所要求，潘柱廷补充说：“开源模块作为非常重要的高危地区也应该做到透明，避免如心脏滴血漏洞爆发后，由于用户不知自己使用到openssl，没有及时处置，从而导致在几个月后竟然还能造成大规模危机。”

同时，在潘柱廷看来，如果信息安全产业的供应链趋于透明，应当会促进国内安全厂商的发展和合作，特别是那些处于供应链上游，隐藏于幕后的安全核心技术厂商，让他们被更多人知道，促进他们的发展。

春天的气息

不可否认的是，如今的信息安全产业正在快速的变化、发展。自主可控是外力之一，但并不是全部。

潘柱廷向记者透露，启明星辰和国内一些主要的安全厂商最近开始更加频繁、密切地沟通，似乎形成了一个较为松散的“联盟”，而这种安全厂商之间的良性交流与协作，是如今安全市场上的一个新变化。

和国外安全厂商之间的广泛协作相比，国内厂商之间的协作并不多见。而信息安全这个产业要求厂商既要具备在某一领域的专业技术和能力，又要具备整合各种技术为用户提供全面安全产品的能力，所以，合作不可避免。

潘柱廷直言，厂商之间沟通与合作的增多，对于整个安全产业肯定是好事。这种变化一方面可能源自国内安全市场日趋成熟，另一方面也源自互联网公司等外来者的冲击。“我们其实欢迎更多的厂商参与到信息安全市场中，促进信息安全市场的发展，但是我们希望这个市场能够保持稳定和持续增长。”潘柱廷说。

潘柱廷也向记者透露，如今国内安全厂商也在探索着走向海外市场，也是因为国内安全市场的蛋糕还是不够大。“只有企业真正把目前的合规性需求转变为以实际效果为导向的需求，信息安全市场才能产生质的飞跃。”潘柱廷说。

记者在这个春天，欣喜地看到了中国信息安全市场上呈现出的一些可喜变化，嗅到了春天的气息。当然，如何让企业真正重视信息安全并行动起来，而不仅仅为了满足合规性要求，如何强化国家的信息安全，如何让信息安全市场快速发展，我们还有很长的路要走。