隨著“網際網路+”首次被寫進政府工作報告，網路安全也相應受到越來越多的關注。

　　日前，國家發改委發佈國家資訊安全專項及下一代網際網路技術研發、産業化和規模商用專項項目清單。

　　發改委組織此次國家資訊安全專項，是落實國務院此前發佈《關於大力推進資訊化發展和切實保障資訊安全的若干意見》的一項重要部署，專項瞄準了金融、雲計算與大數據、資訊系統保密管理、工業控制等領域面臨的資訊安全實際需要。

　　我國資訊安全領域目前出現了哪些變化？對於可能出現的危險，如何未雨綢繆，盡最大可能消除潛在隱患？

　　專家認為，當前有三個方面的問題需要應對：一是新技術的挑戰，二是企業和單位的安全工作機制上的“錯位”，三是産業界過度低價競爭會削弱産業技術實力。

　　技術：新變化挑戰資訊安全

　　在資訊安全專家、中國電腦學會常務理事潘柱廷看來，目前資訊安全領域主要面臨新技術、新威脅、合規與效益兼顧這三方面的變化。

　　第一種變化是新技術出現帶來的挑戰。潘柱廷説：“這些新興技術和新興的IT模式，給用戶帶來很多方便的同時，也帶來了很多安全方面的需求。圍著雲計算、網際網路大數據、穿戴式設備、人工智慧技術，都有很多新安全。在這些新的技術推動下，安全産業一定會帶上一個新臺階。”

　　第二種變化是新威脅。比如説斯諾登事件，以及前一段時間關於硬碟後門的安全事件。新的威脅不斷以各種形式顯現出來。

　　除了個人用戶和中小企業所關心的日常經濟生活安全之外，未來資訊安全的制高點將是電信、電力、金融、財稅、海關、公共安全以及政務方面的安全需求。與這些行業相關的資訊安全等級保護、分級保護、測評認證制度等一系列合規性要求將會被強力落實。“隨著這些行業進一步提升安全防護能力，在資訊安全方面投入更多的資金，資訊安全市場的高速有序增長也將水到渠成。”

　　第三種變化就是安全防禦措施本身的一個演化。“這裡面我覺得就是可能會來自於我們安全防禦體系的一個需求，需求的天平從合規性需求向效果性需求傾斜。” 潘柱廷説。比如銀行或者電力系統可以通過做行業級的模擬實戰演練，來檢驗真實的對抗和防禦能力。這就會使得整個産業結構出現一個自然的變化，就是更重視服務，更重視人。

　　“從整個保障思路的實現從合規向合規與效果兼顧的方式轉化，應該會給整個産業帶來一些更好的可喜的變化。從合規性驅動所能夠挖掘的需求盤子（市場容量），其增長還只是一種常規性的增長，難以跟上整個IT産業的迅猛發展；只有真正把攻防性需求挖掘出來才行。”潘柱廷説。

　　機制：安全錯位問題亟待解決

　　在今年兩會期間，全國政協委員、啟明星辰集團CEO嚴望佳遞交了三個涉及網路安全的提案，其中一份就是建議“在關鍵基礎設施、敏感部門、政府機構等推行首席資訊安全官制度”。

　　潘柱廷認為，建立和推行首席資訊安全官制度，就是要企業明確一位高層管理者作為其資訊安全的第一責任人。只有有了明確的責任人，才可能將工作落到實處。強化企業和相關機構的資訊安全，落實資訊安全責任，“這也是解決安全錯位問題的一種有效“糾錯”機制。”

　　潘柱廷坦言，在安全工作上有很多錯位存在。在企業和機構中，安全需求的提出者、採購的決策者、實際的使用者、防禦不當的損失承擔著並不是同一的主體，是錯位的。可能沒有做好安全工作的機構與實際遭受損失的機構常常不是同一個主體。很典型的案例就是垃圾郵件、垃圾短信。其最合適的、能夠處理垃圾郵件短信的機構是電信運營商，而承擔傷害的是普通的電信客戶。

　　潘柱廷告訴科技日報記者，首席資訊安全官就是一個真正有權力並且專門對資訊安全負責的人，這將是改變原先需求格局的一個出發點。是從用戶的視角來考慮資訊安全産業問題。

　　現在，僅僅依靠合規推動安全所帶來的隱患已經受到有識之士的注意。在潘柱廷看來，倘若把合規作為安全工作的上限來考慮，那麼大家就沒有動力去考慮實際的對抗效果。在整個需求的驅動裏面，從合規性需求向效果性需求驅動，就需要一個合適的契機和一個著手點來落實。

　　那誰去承擔這個位置呢？潘柱廷認為，應該由首席資訊安全官將組織結構的責任分配進行調整，彌補組織結構和IT價值結構的錯位關係。就是説，因為賦予首席資訊安全官的權力和責任，所以可以代表法人的利益，行使職責的再分配和調和。通過權力體系和考核、合規等多樣機制的落實，形成一個更良性的責任體系。

　　産業：“別把桌子掀了”

　　提到資訊安全，網禦星雲副總裁畢學堯博士有一種深深的擔憂。“其實，電子政務雲計算的安全問題比想像中要突出。一個是應用集中威脅，第二個是建雲的這些廠商，這樣的雲供應商能獲取政府的數據，然後集中分析，這個説起來資訊安全問題就很大了，這是一種隱形的權力賦予。可能現在用戶對此還不敏感，或者沒有明確意識。雲計算供應商實際掌握著大量關鍵數據，如果被非法提取並分析，那將不得了。”這類安全問題，不能完全由經濟效益所評價。

　　12306撞庫攻擊事件、新力影音公司遭遇的入侵和破壞事件等公眾性網路安全事件，無不警示著網路安全的嚴峻形勢。

　　目前，在資訊安全方面，尤其是個人資訊安全方面，免費模式似乎已經成為熱議的話題。

　　在潘柱廷看來，一個免費模式在局部的圈子對於個人用戶而言可能是好事。但是如果從行業的整體研發方面來説，“從業人員減少，科研能力在下降，相關的人才向其他領域出逃，那免費所帶來的表面的局部利益到底是好是壞，就值得商榷了。” 潘柱廷説。任何一個産業格局或者是規則的變化，應該以能夠為這個産業本身增值作為基本立足點，而不是把這個産業的本身的利潤轉移至其他領域。畢竟是一個産業的存在不僅僅有經濟價值，還有其他價值存在。

　　這個産業本身所承載的非産業經濟責任，戰略價值實際上不能被忽視。“並不是所有的事情都要用純市場規律來解決，尤其是資訊安全。而目前，資訊安全的戰略價值遠遠被忽略。”

　　“從我的研究、包括廠商之間的研討來説，如果通過免費和低價競爭的模式把企業級包括關聯基礎設施的正常市場利潤打掉，這樣的迴圈是有問題的，這樣會導致整個用戶對安全的投入要減少，而其他領域的補貼又很難貼到這個産業裏來，那如果造成整個産業的技術人員下降，那最後的結果是整個産業的能力下降，並且所剩無幾的能力集中在個別幾個廠商手上。這對國家網路安全是極端危險的一種格局，進而對普通客戶也會因壟斷而帶來衍生危害。”

　　作為安全來説，它需要能力的總量提升，另外它需要一定的分散能力和風險。資訊安全産業要藏利於民，就是讓民間或者是企業界具有這方面的能力，真正到特殊需要的時候，就可通過動員機制來聚集。

　　“我們希望在桌子上跟大家搶著來發展，但是別把桌子掀了。 隨著産業格局的發展，廠商之間開始沉下心來、慢慢敞開胸懷去合作，同時也都在尋求穩定中的變革創新。相信我國資訊安全産業將大有作為” 潘柱廷説。