国家网络安全和信息化领导小组的成立从国家战略层面对网信安全进行了布局。此后,我国开始对网信安全领域采取一系列旗帜鲜明的举措,以推动国家战略的落地。近日,国家层面开始有针对性地在网信安全相关的软件和硬件领域进行更为严格的把关,将有可能涉及网信安全的威胁“拒之门外”,保卫政府和企业网信安全的重任便交到了中国安全企业手上。
我国在网信安全领域动真格的了!近日,一直在我国政府采购中榜上有名的俄罗斯企业卡巴斯基和美国杀毒软件供应商赛门铁克被排除在安全软件供应商之外,政府采购办公室批准使用的五个杀毒软件品牌皆为国产品牌。另据彭博社报道,由于担心安全问题,我国政府已经将10款苹果公司的产品从政府采购名单中删除。而早在今年5月,微软也因安全问题遭弃用。
一些洋品牌被政府采购“除名”
在国家发改委和财政部今年6月起草的初步采购名单中,苹果的设备仍然在列。然而,一个月之后,包括iPad、iPadmini、MacBook Air和MacBook Pro在内的10款苹果产品,都已经从最终的政府采购名单中去除。
苹果公司是最新一家从中国政府采购名单中除名的国外科技公司。此前不久,我国采购部门曾经要求各部门停止购买赛门铁克和卡巴斯基的杀毒软件,而微软也已经从政府的电脑采购名单除名。
对此,赛门铁克与卡巴斯基发表声明称,其产品并未被中国政府所禁用。卡巴斯基回应称,此变化只涉及中央政府采购预算范围内的中央国家机构,地方政府和国家企事业单位等并不在此规定范围之内,并表示,希望可以早日重新成为中央采购网站供应商。而赛门铁克方面也强调,该名单仅仅适用于项目采购范围,而赛门铁克产品并未被中国政府所禁用,并将继续在中国政府行业参与竞标。苹果公司则没有发表任何评论。
据悉,这份采购名单适用于所有中央部委和地方政府。该名单的下一次评估将在明年1月,目前仍在采购名单中的洋品牌戴尔和惠普能否保住自己的位置还不得而知。
网络空间被虚假安全“扎篱笆”
我国网民数量截至今年6月已经达到6.32亿,却难逃“一流网络规模,四流防御能力”的命运。2012年1月,美国“安全与国防议程”智囊团发布报告,将全球23个国家的信息安全防御能力分为6个梯队,中国处于中下等的第4梯队,网络与信息系统安全防护水平很低。
奇虎360曾对中国教育系统、航空公司、司法机构等100多家重点行业关键企业和机关部门的内部网络进行测试,结果网络全被攻破,最长的耗时3天,最短的30分钟。该公司的另一项检测发现,中国100多万个网站中,65%左右有漏洞,近30%是高危漏洞,“基本上你只要下功夫,这个站就能被拿下”。
中国工程院院士沈昌祥牵头进行一项课题研究发现,中国半数以上重要信息系统难以抵御一般性网络攻击,利用一般性攻击工具即可获取大多数中央部委门户网站控制权。
尽管,我国网信安全的脆弱与政企自身安全意识淡薄、重设备轻服务的做法有关,但其中一个重要原因,是我国重要信息系统、关键基础设施中使用的核心信息技术产品和关键服务过度依赖国外。
相关数据显示,全球网络根域名服务器为美国掌控;中国90%以上的高端芯片依赖美国几家企业提供;智能操作系统的90%以上由美国企业提供。中国政府、金融、能源、电信、交通等领域的信息化系统主机装备中近一半采用外国产品。基础网络中七成以上的设备来自美国科技公司,几乎所有的超级核心节点、国际交换节点、国际汇聚节点和互联互通节点都由美国科技公司掌握。
“安全和高精尖技术向来是有国家属性与民族属性的,因为这些技术不但关系着企业安全,与国家安全也息息相关。在世界范围内,各国对其他国家在安全问题上都是区别对待的。”奇虎360相关人员告诉本报记者,国外安全厂商的优势是历史悠久,经验积累丰富,产品和方案都非常成熟。但是,这些公司的核心技术和核心团队不会放在中国,一方面无法快速响应国内的安全威胁变化,另一方面,政府无法对其源代码进行完整的安全审计,由此也会引发信任问题。
不难看出,本该铜墙铁壁的重点行业和党政部门的网络信息安全却被扎了虚假安全的“竹篱笆”,竹片间的漏洞仍然赤裸裸地暴露在一些国外安全厂商的视野里。
“国货”将担网信安全重任
去年的“棱镜门”事件刺痛了各国网信安全的神经,其持续发酵带来的影响让多国政府把网络安全放在了前所未有的高度去重视。粗略统计可发现,全球已有50多个国家出台网络安全或信息安全战略和政策。
巴西政府要求在巴西提供社交网络、电子邮箱及搜索引擎等服务的外国互联网公司,都必须在巴西本土建立数据中心;印度要求全国官员使用本国邮件服务;俄联邦航天署为多家下属企业员工采购国产防窃听手机;德国、法国携手建立独立互联网,以便让数据“远离美国”。
在我国,2013年年底,金融行业就发起去“IOE”行动,呼吁国内银行放弃IBM、Oracle和EMC的产品,尽量采购本土同类产品。而年初成立的国家网络安全和信息化领导小组更是从国家战略层面进行了布局。此后,我国开始从国家层面对网信安全领域采取了一系列旗帜鲜明的举措,以推动国家战略落地。5月22日,国家互联网信息办公室宣布我国将出台网络安全审查制度,规定关系国家安全和公共利益的系统使用的重要技术产品与服务应通过网络安全审查。而接下来审查微软、弃用洋品牌等事件都可以看出我国对信息安全问题的重视程度正不断提高,对危害国家网信安全的企业和产品毫不手软。
此前,企业安全市场几乎是国外厂商一统天下。数据显示,赛门铁克等国外厂商占据企业安全软件市场近70%的份额。而此次中央政府采购新政,企业安全市场全部留给了包括奇虎360、启明星辰、北京江民、冠群金辰和瑞星在内的国内安全厂商。那么,这些国产安全企业能否胜任国家网信安全的重任呢?
目前,在我国个人消费者杀毒软件市场,本土杀毒软件由于采取免费战略,已经牢牢占据了绝对领先地位,包括360、瑞星和金山等成为个人消费者普遍装机的杀毒软件。在企业市场,国外杀毒软件品牌的市场占有率超过一半。但是,IDC数据显示,目前中国个人安全市场产值不过20亿元,而2015年企业级安全市场产值将超过200亿元,在巨大的市场空间面前,国产安全企业有理由去大力占地开疆。
“尽管国外安全企业历史悠久、经验丰富,但国内安全厂商在技术上并不输给他们,且拥有本土化的优势。”一位不愿透露姓名的安全专家对本报记者表示,几乎所有国内杀毒软件的主要市场都在中国,因此“本土化”做得更彻底;国内安全企业所有技术支持团队、安全威胁发现和分析团队都在国内,能够对国内的安全威胁如病毒样本、攻击样本进行更好的采集,能够更快地应对国内网信安全形势的突发状况。
而不少国外安全企业的研发团队并不在国内,在国内的只是销售部门,很难做到研发级别的支持。面对企业的定制化需求,中国安全企业能够针对国内网络环境进行优化和适配,更好地满足政府和企业的需求。