十多年来,我国在信息安全领域取得巨大的成就,政策环境和基础设施建设方面取得了巨大的进步,产业环境不断完善,信息安全产业得到持续快速发展,为进一步做大做强打下了坚实的基础。虽然目前信息安全形势复杂多变,我国信息安全产业相对弱小,但是政府的大力推动和市场需求空间的增大都将促使信息安全产业驶入跨越式发展的快车道。
十多年来,随着信息安全形势的日益严峻,国家对信息安全产业的重视程度日益提高,陆续出台多项政策,鼓励和推动信息安全产业的发展,同时信息安全等级保护、标准化等基础工作也得到加强,信息安全产业规模也持续增长,形成一定规模,为信息安全产业的做大做强打下了坚实的基础。
十多年来,随着信息安全形势的日益严峻,国家对信息安全产业的重视程度日益提高。2003年发布的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)(下文简称27号文)对信息安全保障工作进行了全面部署,并提出“推进信息安全产业发展”。2006年发布的《2006~2020年国家信息化发展战略》中将建设国家信息安全保障体系作为战略重点,并明确“促进我国信息安全技术和产业自主发展”。2012年发布的《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)已经将信息安全提到与信息化发展同等重要的地位上来。国家还出台了多项加强信息安全技术研发、推进产业发展的政策措施,为信息安全产业的发展、企业技术创新能力的提高和核心竞争力的提升提供了良好的市场环境和政策保障。
在过去的十年中,我国信息安全等级保护工作稳步推进,信息安全标准化工作成绩明显,信息安全产品认证认可工作取得重要进展,制定发布了国家网络与信息安全事件应急预案,信息通报机制不断完善,网络信任体系建设取得进展,信息安全人才培养步伐加快,基础信息网络与重要信息系统安全防护能力得到明显加强。这些基础工作为信息安全产业的健康、有序、快速发展提供了有力的保障。
在信息安全等级保护方面,自从27号文中明确提出“实行信息安全等级保护”后,公安部会同国家保密局、国家密码管理局和国务院信息办等多部门联合发布《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《关于开展信息安全等级保护试点工作的通知》(公信安[2006]573 号)、《信息安全等级保护管理办法》(公通字[2007]43号)等一系列文件,并积极开展等级保护测评、监管等工作。
在信息安全标准化方面,自2002年全国信息安全标准化技术委员会成立以来,信息安全标准化体系不断完善,初步建立了信息安全标准体系框架,形成了覆盖信息安全基础、技术、管理、测评等领域一批支撑国家信息安全保障体系建设的国家标准,截止2010年10月,我国已形成87项信息安全国家标准。
在信息安全产品认证认可方面,2004年10月,中国国家认证监督管理委员会与公安部、国家安全部、信息产业部、国家保密局、国家密码管理委员会办公室、国家质量监督检验检疫总局和国务院信息化工作办公室等8部门联合发布《关于建立国家信息安全产品认证认可体系的通知》,为做好信息安全产品认证认可体系奠定了基础。2010年7月,国家认监委发布了26号公告,正式明确了“国家信息安全产品认证制度”的名称,认证证书名称为“中国国家信息安全产品认证证书”,并公布了证书式样及认证标志。目前,中国信息安全认证中心已经发布国家信息安全产品认证证书110张。
在信息安全法律法规体系建设方面,国家已经出台包括《全国人民代表大会常务委员会关于维护互联网安全的决定》、《电子签名法》、《中华人民共和国计算机信息系统安全保护条例》、《商用密码管理条例》、《国家安全法》、《互联网信息服务管理办法》等在内多项法律法规等。
三是信息安全产业规模、技术研发水平、产品体系等方面得到明显发展。
十年来,信息安全产业规模得到大幅提高,从2003年的33.88亿元增长到2011年的178.99亿元。企业数量和规模有了较大提高,截至 2010年底,国内信息安全相关企业已超过700家,信息安全业务年收入超亿元企业10多家,并出现卫士通、启明星辰、网秦、360等一批上市企业。信息安全产品种类不断丰富,密码产品、防火墙、病毒防护、入侵检测、终端接入控制、网络隔离、安全审计、安全管理、备份恢复等技术领域产品研发取得明显进展,产品功能逐步向集成化、系统化方向发展。
随着国内信息安全企业实力的增强,国产信息安全产品(特别是防火墙、入侵检测、入侵防御等传统信息安全产品领域)已经在国内市场占据较高份额,据统计2010年政府部门大约有52个部门使用国产防火墙产品比率达到100%,这一数据还将持续上升。
虽然十多年来我国在信息安全领域取得了巨大的成就,但是由于近几年来国际网络空间环境日益复杂,面临的信息形势日益严峻,我国信息安全产业的发展还不能满足要求,信息安全产业发展与我国信息化发展水平不相匹配,还有很多的工作要做。
当前,复杂的国际网络空间环境和严峻的信息安全形势给我国信息安全产业带来挑战,迫切需要技术、产品和服务模式创新,提高信息安全防护支撑能力。
全球正处于网络空间战略的调整和变革时期,多个国家调整信息安全战略,明确网络空间战略地位,并提出将采取包括外交、军事、经济等在内的多种手段保障网络空间安全。美国、俄罗斯、英国、法国、德国等都将网络攻击列为国家安全的主要威胁之一,纷纷组建网络攻击力量、发展网络武器,加快建设网络攻击和威慑能力。网络空间已经成为各国政治、军事等角逐的新战场。
同时,西方媒体频繁炒作“中国黑客威胁”,美国、德国、英国和法国等多国宣称,中国黑客攻击了其政府、军队等要害部门。西方国家努力将中国树为国际社会在信息安全领域的公敌。而且,随着互联网的普及应用,信息网络成为西方国家推行其意识形态的有力工具与重要场所,“互联网是西方价值观出口到全世界的终端工具”,威胁我国政治安全和社会稳定。
信息安全仍存在多头管理的局面。信息安全产业的问题不仅存在于技术层面,也存在于管理层面。我国信息安全产业的管理涉及工信部、公安部、国家保密局、发改委、科技部、质检局等多个部门,缺乏统筹规划和部门协调。相互交叉的多重领导体制不仅造成决策权的分散化,也造成各个相关管理机构之间缺乏充分沟通和有效协调,使得我国信息安全产业难以得到国家政策合理有效的引导。国家信息安全多头管理,造成的一个严重问题就是市场分割,甚至市场垄断。这就很难培育出具有长链条协调能力的大型信息安全生产与服务企业。
信息安全产品标准规范仍未统一,而且国际化程度不足。我国信息安全领域的国家标准和行业标准相对滞后,与信息安全产业发展不匹配。信息安全产品准入、服务的认证标准和管理办法不完善,产品测评所依据的标准不统一,企业产品互不兼容的现象非常普遍。
随着国民经济对信息网络和系统的依赖性增强,信息安全成为关系经济平稳运行和安全的重要因素。我国信息安全产业技术积累较为薄弱,自主创新能力不强,涉及信息安全核心技术的元器件、中间件、专用芯片、操作系统和大型应用软件等基础产品自主可控能力较低,特别是关键芯片、核心软件和部件严重依赖进口。当前,我国重要信息系统和工业控制系统多使用国外的技术和产品。当前,针对重要信息系统和工业控制系统的网络攻击将持续增多,甚至出现了政府和恐怖分子支持的高级可持续性攻击,一旦网络攻击发生将可能导致重要信息系统和工业控制系统等瘫痪,给我国经济发展和产业安全等带来严峻挑战。
随着信息安全与通信网络、IT应用的加速融合,传统大型IT公司加快整合产业链,不断并购独立信息安全企业,实现整体设计,打造“网络产业复合体”。2005年到2010年间,发生171笔超过亿元的信息安全企业收购交易,其中包括波音收购Narus公司(侦测恶意网络数据流动)、英特尔收购数据安全公司McAfee和惠普收购安全软件公司ArcSight等重磅交易。这种信息安全企业之间、大型1T企业与信息安全企业之间的并购不断加速,并采用捆绑销售策略占领市场空间,对国内信息安全企业发展带来了较大的竞争压力。
我国信息安全企业数目众多,但规模普遍偏小,产品市场占有率低,尤其缺乏融合多种技术的一体化安全解决方案,信息安全产品的整体技术水平与国外相比差距较大。
应用环境日趋复杂和新技术的不断涌现对信息安全提出更高要求。随着云计算、物联网、移动互联网等新技术、新模式的应用和发展,信息的获取方法、存储形态、传输渠道和处理方式等发生了新的变化,网络结构的复杂化、用户的爆炸性增长、数据的快速膨胀增加了信息安全防护的难度,要求开发性能更高、功能更丰富、智能化更高的信息安全技术和产品。
尽管目前我国信息安全产业的发展还面临诸多挑战,但机遇与风险并存,随着国家对信息安全的重视程度不断提高,全社会对信息安全的意识普遍增强,信息安全市场空间将日益扩大。
随着我国信息化进程的不断加速,信息化和工业化深度融合,信息安全保障体系建设稳步推进,信息安全等级保护、风险评估、分级保护等工作扎实发展,数字产品广泛普及,隐私保护、个人终端与企业信息系统的安全、数字版权保护等方面的需求越来越受到重视。2010年我国信息安全产业与软件和信息服务业相比不到1.5%,远低于全球的平均水平,具有很大发展空间。
云计算、物联网、移动互联网等新技术、新应用和新模式的出现,对信息安全提出了新的要求,拓展了信息安全产业的发展空间。同时,新技术、新应用和新模式在国内外市场的全面开拓将加快国内信息安全技术创新速度,催生云安全等新的信息安全应用领域,为国内企业与国际同步发展提供了契机。
强劲的市场需求将推动信息安全产业规模稳步增长,2011年到2015年我国信息安全产业规模的复合增长率将超过30%,如果安全基础电子产业能抓住机遇快速增长,整个信息安全产业规模则有望突破600亿元。
随着信息网络广泛而深入的应用,安全问题与日俱增,信息安全产品与服务演化为多技术、多产品、多功能的整合,多层次、全方位、全网络的综合防御趋势不断加强,集成化、智能化和服务化的趋势已不可逆转。首先,信息安全正朝着构建完整、联动、可信、快速响应的集成化防护防御解决方案方向发展。其次,信息网络对高效防范和综合治理的要求日益提高,信息安全智能技术日益受到重视。最后,信息安全产业结构正从技术、产品主导向技术、产品、服务并重调整,安全服务逐步成为产业发展重点。
信息技术的快速发展推动了新技术新应用的生成,如云计算、物联网、移动互联网等。这些技术应用逐步投入市场,引发了大量信息安全新问题。信息安全技术必须通过持续创新来应对这些问题。
信息安全是个综合性的问题,随着信息安全意识的加强,用户逐渐从单一信息安全产品转向能够面向行业的解决个性化需求的信息安全整体解决方案。同时,单一的产品供应商已无法满足日益严峻的信息安全防御需求,特别是国家信息安全防护需求。行业需要进一步整合,逐步形成具备大型解决方案和长链条统一管理能力的大型龙头企业。当前已经有一些大型IT企业开始重视在信息安全领域的投入,如腾讯、东软、华为等,在未来几年中,一些大型国企也将进入该领域,成为我国信息安全产业的“国家队”。
7月,国家科技部正式批准建立信息安全成果产业化(西部)基地。
4月15日,全国信息安全标准化技术委员会(简称信息安全标委会,TC260)在北京正式成立。
7月22日,国家信息化领导小组第三次会议通过了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)。
9月,公安部会同国家保密局、国家密码管理局和国务院信息办四部门联合出台了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)。
4月1日,《中华人民共和国电子签名法》正式开始施行。
1月,国家网络与信息安全协调小组发布《关于信息安全风险评估工作的意见》(国信办〔2006〕5号)。
5月,中共中央办公厅、国务院办公厅印发了《2006~2020年国家信息化发展战略》,其中将建设国家信息安全保障体系作为战略重点,并明确“促进我国信息安全技术和产业自主发展”。
6月,公安部会同国家保密局、国家密码管理局和国务院信息办四部门联合下发了《关于开展信息安全等级保护试点工作的通知》(公信安[2006]573号)。
《国务院办公厅转发国家网络与信息安全协调小组〈关于网络信任体系建设的若干意见〉的通知》(国办发(2006)11号)发布。
4月,公安部、国家保密局、国家密码管理局、国务院信息工作办公室联合下发《信息安全等级保护管理办法》(公通字[2007]43号)。
3月,华为技术有限公司与赛门铁克公司合资成立的华为赛门铁克科技有限公司,在成都举行揭牌仪式。这标志着华为赛门铁克合资公司进入正式运营阶段。
8月,以启明星辰、天融信、东软、联想网御等为代表的民族信息安全企业参与了北京奥运会的信息安全保障工作。
3月31日,绿盟科技对外宣布,其入侵防御产品(NSFOCUS IPS)顺利通过NSS Labs的严格测试,荣获NSS Labs Approved认证,并且被NSS Labs认定为最高级别——“Recommended”。
6月23日,北京启明星辰信息技术股份有限公司在深圳证券交易所上市。
12月,中国WAPI产业联盟对外宣布,WAPI(中国提出的无线局域网安全协议)的基础架构——虎符TePA获国际标准化组织ISO/IEC正式批准,这是中国在信息安全基础共性技术领域提交并获通过的第一个国际标准。
1月28日,国务院发布《进一步鼓励软件产业和集成电路产业发展的若干政策》(国发[2011]4号),明确提出“完善网络环境下消费者隐私及企业秘密保护制度逐步在各级政府机关和事业单位推广符合安全要求的产品”。
6月,天津国家信息安全产业基地通过国家科学技术部火炬高技术产业开发中心的认定,成为新认定的7个国家火炬计划特色产业基地之一,是全国各类国家特色产业基地中唯一的信息安全特色产业基地。
12月,国内最大的程序员社区CSDN上600万用户资料被公开,引发中国互联网史上最大的数据泄露事件。
12月,工业和信息化部正式印发《信息安全产业“十二五”发展规划》,明确了“十二五”的发展思路和目标,确定了发展重点和重大工程,提出了相关政策措施。
6月7日,《互联网信息服务管理办法》(修订草案征求意见稿)发布。
6月28日,《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)发布,明确提出要大力推进信息化发展,切实保障信息安全。
