亟待改善信息安全产业的五大环境

1、亟待改善信息安全产业的五大环境我国信息安全产业当前处在领域扩展、产品换代、服 务升级、规模做大、投资多元、规范管理、人员急速增长和 提高素质等建立现代企业制度的重要发展时期。十多年来， 中国信息安全产业得到快速的发展，这种发展当然首先得益 于国家领导人对信息化安全的重视，这种重视与国家在世界 政治、经济和军事的大环境的态势息息相关。我国信息安全 企业虽然发展不平衡，从总体上看我国信息安全产业已经走 过了创业期，进入了开拓期或发展期。信息安全产业从由国 家的几个研究机构主要从事数据加密和单纯计算机系统安 全研究发展到国家的一批研究机构、大学院系和一大批高科 技中小企业共同从事信息、计算机系统和互

2、联网络安全，到 现在形成主体企业团队全面服务于国家基础设施信息化安 全建设与运营，逐步走向成熟发展阶段。信息安全得到了国家领导人、政府主管部门、行业主管 与监管部门、国家基础设施运营部门和广大公众普遍关注， 对我国信息安全产业快速有序发展提出了强烈需求。中国信 息安全产业根据中国的信息化实际，把国际上通常关注的完 整性、保密性、可用性和抗抵赖性安全特性，扩大到包括可 信性、完整性、保密性、可用性、有效性、连续性、抗危害 性和抗抵赖性等更加全面的信息化安全特性，以适应这种多 关注的时代新要求。信息安全产业有十几年的历史，至今距离上述需求差距 甚远，我国信息安全产业的环境与政策不能适应产业发展的

3、要求。因此，产生了中国信息安全产业发展的紧迫性，需要 更加有力的产业结构和科技创新支持，帮助中国信息安全产 业实现网络世界安全的技术创新与产品替代计划的落实，建 立和维护我国网络世界安全的可信、自主、可控的局面；要 求强化网络世界的产品保证和政府监管，维护中国信息安全 市场的良好秩序；需要具有支持中国信息安全产业可持续发 展的政府采购和市场促进环境；需要对中国信息安全产业商 会机构和在其帮助下的信息安全产业联盟组织良好的政策 支持，提高我国网络世界安全整体竞争力和维护产业权益的 综合能力。争取在10年多的时间内，使得中国信息安全产 业具有千亿规模的市场，使我国成为世界主要信息安全研 究、开发、

4、生产和服务的基地。产业结构调整环境目前，我国信息安全事业进入了一个关键的发展时期， 即大范围网络世界安全综合治理时期。在这个时期，中国信息安全产业正在以建立网络世界可信环境与秩序作为发展目标，不仅把数据与系统的安全作为研究对象，还将会把“行为与内容”作为主要的研究对象， 全面满足国家政治、经济、 军事、社会、文化等方面，从国家领导到国家安全部门、国 家基础设施监管部门、军事部门、经济领域、企业、公众提 出的信息化安全要求。这个时期的安全观念是系统和网络的 结构性的安全。表现在系统互操作性、网络远程服务和多系 统融合会造成安全冲突与矛盾。这个时期的信息化安全的重 要任务是：通过把相互孤立的安全资

5、源组网整合起来，构成 专门的管理、监管、认证和控制的智能网络，构成有组织的 群体能力的安全体系。为此，必须在如下两个方面做出努力。首先，通过10年左右的时间，把脆弱性安全逐步还给 所有的IT厂商。例如，把电信的脆弱性安全还给电信产品 供应商，把计算机的脆弱性安全还给计算机产品、操作系统 产品供应商。这样做的目的是鼓励和调动所有的IT企业参与到网络世界安全的建设中来，因为网络世界安全是与所有 IT产品供应商相关联的。其次，专业性的网络世界安全产业依然有非常大发展空 间。因为，网络世界中的结构性安全的产品、服务与更大的 市场需要这些专业性的企业去开拓，并成为中国和世界新型 的信息化与安全的体系结构

6、产品供应商，实现网络世界中所 有IT产品供应商提供产品与系统脆弱性的保障、控制、测 试、管理、监管、测评、认证、评估、对抗和应急。真正实 现网络世界可信环境与秩序的建立，去满足信息化安全科学 发展的强烈要求。中国信息安全产业把未来 10年和20年的发展要求调整 为：从单一的技术部门需求关注的数据与系统安全到多关 注需求的网络世界安全(包括国家、政府主管部门、监管部 门、基础设施运营商、广大用户和信息安全产业等多方面的 关注)。从关注面向脆弱性安全到更加关注结构性安全。从关注面向威胁被动安全体系到更加面向能力的主动 安全体系建设。从关注局域网安全到更加关注大范围网络环境的安全。从关注数据与系统安

7、全防护到更加关注运营安全和可 信秩序的建立。从关注产品与安全技术标准符合到更加关注安全预期 性和非预期性把握与控制以及预期与实际效果差别的认识 与改进。从关注面向具体安全问题的解决到更加关注信息化与 安全事业的科学发展和科学体系的建设。并给出一个总的调整概念，即从信息安全转变为网络世 界安全(Cyber Security )或者简单称作从“脆弱性安全”到“结构性安全”的转变。所以，可以给出我国信息安全产业结构调整的目标： 通过产业结构的调整，使整个信息安全产业面向国家、管理与监管部门、国家基础设施运营部门和公众多需求关注 的网络世界安全，强调网络世界的结构性和大范围网络环境 的安全，建立面向能

8、力的主动安全体系，促进信息化与安全 事业的科学发展。将信息安全产业的服务领域、技术方向、 产品种类等作为产业结构调整的中心范畴。信息安全产业结构调整是一项艰巨的长期的系统工程，必须制定国家信息安全产业结构调整的蓝图，要有产业结构 调整的实施计划，有步骤、有重点的开展与落实。调整产业 结构要通过支持新型技术产业基地的建设，新技术的工程中 心，国家重点实验室、新技术学科和开展试点工程项目来推 进。产业结构调整需要国家和地方资金的支持，在国家信息 安全的专项基金中专门设立产业结构调整的支持项目。产业的科技创新环境我国信息安全产业的发展要走科学发展的道路，信息化 安全的科学发展要通过建立信息化科学体系

9、来推动。信息安 全产业的科技创新是基于整个信息产业（包括计算机、通信、微电子、软件等）的发展，面向我国政治、经济、文化、社 会、国防、国家基础设施（金融、电信、电力、交通、能源） 等信息化建设，又高于信息基础产业自身研究范围，形成了 独立的信息化安全产业和信息化科学体系建立的需求。鉴于 信息化安全服务的综合性、对策性、高技术性的特点，各国 对信息安全都采取了保护政策，因此，我国信息安全产业的 科技创新任务非常艰巨。中国信息安全产业的技术创新与一般高科技产业的创新有着非常不同的要求。由于信息安全是一项综合治理的事 业，仅仅通过各企业自发的技术创新，提供服务能力和增加 功能是不能实现这种综合治理的

10、目标的。要求明确每一个安 全技术与产品在综合治理中的地位和作用，存在着在单个技 术与产品角度看可能是个创新，但是从信息安全综合治理全 局角度看，可能是缺乏可行行的。这样，信息安全产业在科 技创新的规划中，就需要总体设计和顶层设计，这是信息安 全产业创新的一个特点。所以，信息安全产业的科技创新是 一项大型的系统工程，需要科学的前瞻性的制定发展蓝图和 实施计划。科技创新要通过支持新型技术产业基地的建设，新技术 的工程中心，国家重点实验室、新技术学科和开展试点工程 项目来推进。中国信息安全产业应当年度性地发布创新和替 代计划报告，阐述新型技术，向国家有关部门提出（发改委、 财政部、信息产业部、科技部

11、和教育部等）支持建议。科技创新需要国家资金的支持，在国家信息安全的专项基金中专 门设立。产业的市场促进与政府采购环境推动市场工作，首先是推动需求的增长，而需求说到底 是对信息化与安全的知识结构、认知水平和实现其认知的要 求与能力决定的。全面加强信息化安全的教育和培训工作， 尤其在国家与地方党、政、军和关键基础设施等领域的各级 领导、信息化主管部门的信息化安全的教育与培训。在企业 和社会也要实施信息化安全的普及教育与培训工作。使其了 解新时期信息化安全的内容、特点、重要性和方法。推动市场工作，要考虑到当代信息化推进的新情况，要 走信息化科学发展的道路，信息化的科学发展必须通过建立 信息化科学体系

12、来推进。要改进信息化推进模式，要以信息 化总体学、信息化体系结构、信息化的服务性、互操作性和 安全性为核心，推动在已有信息化投资和沉淀的基础上的新 的计算、运营、系统、工程的方法学和科学体系建立。信息 化科学体系是要促进建立信息化的甲方为核心的科学，是推 动信息化科学发展和推动市场的根本出路。推动市场工作，需要加大投资拉动力度。要尽快制定国 家金融、电力、电信、政务、商务、互联网等国家基础设施 的安全保障体系、安全监管体系、安全认证体系、安全应急 体系、网络执法体系的建设规划，并依据规划开展这些体系 的建设。依据当前的情况，迫切需要启动包括金融、税务、 电信、政务、商务、安全生产等在内的国家监

13、管现代化与信 息化监管体系建设，需要认真组织和启动国家网络执法体系 建设，启动国家信息化应急体系建设和启动国家安全相关的 其他重大工程项目的建设。积极启动我国信息安全产业的重 要和关键装备建设。推动市场工作，需要关注形成中国信息安全产业品牌、 著名企业品牌、知识产权品牌，标准化品牌、著名产品品牌、服务品牌。要通过中国信息安全产业整体和每一家企业 的长期努力和良好的服务业绩来获得。考虑到我国信息安全 产业结构与创新特点，中国信息安全品牌成长应当走优先产 生产业和联盟层次的知识产权和标准化品牌，随之带动企业 层次的企业标准、企业知识产权，企业产品和企业服务的品 牌产生与壮大的发展道路。鉴于信息化几

14、乎涉及到国家各个领域，是国家各领域运 营的基础平台，信息化安全的重大隐患会威胁到国家各领域 的正常运转，与国家安全和社会稳定紧密相关。所以，建议 将国家信息化应急体系建设纳入国家应急体系建设的重要 组成部分，提升信息化在国家应急体系中的地位，是推动信息安全产业发展和市场工作的重要政策措施。信息安全产品（知识结构类产品、系统设备类产品和服 务类产品）的政府采购是确保我国信息化安全的根本措施， 是扶持信息安全产业从弱小发展到较大规模产业、维持持续 发展、进行产业结构调整和推动自主创新的最重要和有力的 政策，同时也是国家信息安全产品保证计划的核心组成部 分。国家有关法规部门，尽快制定国家信息安全有关

15、法规与 条例，作为政府采购法的补充和实施要求，明确信息安全产 品政府采购与一般产品政府采购的区别（例如不应采取最低 价中标原则，而应采取综合考评原则），国家产品采购计划 要遵守国家产品保证的质量与安全性要求，实现最小外部采 购，关键部门与领域及国家基础设施实现最大化的国产化采 购。信息安全产品必须实施单独采购，实行独立的采购评估 原则与方法，不能将信息安全的产品（知识结构类产品、系 统设备类产品和服务类产品）隐蔽在其他非安全类产品和服 务类产品的采购中，例如隐蔽包含在系统集成的采购名目 中。对于违背国家信息安全产品采购法规与条例的人员要 实行问责制度。实行信息安全产业联盟对政府和国家基础设 施

16、安全建设和运营的评估是一种相互促进、相互支持和相互监督的有效措施，是一种权利与义务相互平衡的措施，也是 一种国际惯例。在我国同样必须实行这种措施，政府和国家 基础设施信息化安全建设与运营接受中国信息安全产业组 织或产业联盟的评估制度（例如实行年度的评估制度）。产业的资本环境信息安全产业的发展需要国家的重视与支持，需要持续 发展的信息化安全的市场支持，需要一个强有力产业组织： 商会和产业的骨干企业集团积极参与，需要发挥政府部门建 立的信息安全产业基地或开发区作用，需要商业银行、金融 投资机构和有实力的实业公司资金投入支持。应当将安全产业商会、政府扶持产业发展资金投入、政 府部门建立的信息安全产业

17、基地和商业银行、金融投资机构 及有实力的实业公司资金投入结合起来，共同组建我国信息 安全产业发展基金。商会正在积极与有关方面密切协商。鼓励和规范信息安全企业进入资本市场筹集资金。在当前的市场环境中，同样存在着信息安全产业维权基 金成立要求，商会也正在积极探索。为了解决我国信息安全产业融资困难，在2002年商会的产业调研报告中，曾经提出我国信息安全产业资本投资要 走向多元化，对外国投资商投资我国信息安全产业，要求区 别金融性投资和国外信息安全企业为进入中国市场进行的 投资两种情况，实行区别的政策。鼓励在产业商会组织的参 与下，与金融投资机构、融资租赁机构和有实力的我国的实 业公司共同成立信息安全产业投资委员会或信息安全产业 发展基金，改变整个信息安全产业的资本市场现状。同时政 府应当设立信息安全产业发展专项基金支持产业发展。政府监管环境中国网络世界的安全必须实施政府的监管，对网络世界 中采用的产品脆弱性和运营的结构性安全实施监控和监管， 并不断减少脆弱性和改善网络世界中安全状态做出努力。要 求对网络世界中各种入侵、非预期、违法、违规、危害、犯 罪、恐怖等行为以及行为结果实施监管，并能够控制。通过 网络世界运营实施监管和认证，对网络世界的运营、管理、 服务、产品保证和安全事件造成的损失等方面实施在线的测 试、评估、评分、定价是网络世