信息安全的现状和前景怎么样
互联网叠加数字经济拉动全球信息安全需求
全球互联网技术的快速发展与应用普及带来互联网渗透率的持续提升。根据世界银行公布的数据显示,2019年全球互联网渗透率为56.73%,根据互联网世界统计测算数据显示,2021年全球互联网渗透率达65.0%,较2009年渗透率提升40.11个百分点。截至2022第一季度,全球互联网渗透率达66.0%。
根据中国信息通信研究院发布的《全球数字经济白皮书——疫情冲击下的复苏新曙光》显示,2020年,测算的47个国家数字经济增加值规模达到32.6万亿美元,同比名义增长3.0%,占GDP比重为43.7%。随着云计算、人工智能、大数据、物联网等新技术的蓬勃兴起,全球数字经济进入高速发展阶段。前瞻根据全球数字经济发展趋势初步测算2021年全球数字经济规模为33.9亿美元。
具体市场需求方面,随着互联网渗透率的提高以及各国在数字经济的相关布局进程加快,全球信息安全需求扩张,主要企业的销售规模也呈增长趋势。数据显示,2017-2021年间,全球信息安全行业代表企业的营业收入整体均呈递增趋势(McAfee在2021年完成私有化,营业收入有所下降)。近年来,随着网络安全形势日益严峻复杂,世界各国对网络安全的重视也提高到前所未有的程度,网络安全监管政策趋严;同时,得益于新冠疫情下互联网流量激增,基于云计算的安全工具和安全服务的需求强劲,全球范围内都表现出了对信息安全市场的强劲需求。
全球信息安全市场规模突破1500亿美元,未来或保持10.8%增速
Gartner数据显示,2020年全球信息安全市场规模为1300亿美元左右,受新冠疫情全球蔓延等符合因素影响,整体增速低于2019年同期水平。2021年随着全球范围内疫情得到有效控制,叠加市场对远程办公技术和云安全的长期需求,Gartner数据显示2021年全球信息安全产业规模超1500亿美元。
未来,随着全球各国加强内部行为监控与防范,信息安全行业供给从单一产品向整体解决方案发展,相关市场规模将进一步扩大。Gartner数据显示,预计2020-2025年间,全球信息安全服务市场规模年复合增长率为10.8%,预计至2027年,全球信息安全服务市场规模或将超2800亿美元。
——更多本行业研究分析详见前瞻产业研究院《中国信息安全行业深度调研与投资战略规划分析报告》
信息安全在病毒领域的现状及发展
目前,中国信息安全高端市场主要被国外厂商及少数实力较强的国内安全厂商占据,包括思科、CheckPoint、安氏、卫士通、启明星辰等。2019年,我国有13家企业网络安全业务年收入超过10亿元,占网络安全业务总收入的48.82%,收入1亿元以下的近400家,占比10.66%,竞争格局碎片化现象突出。防火墙主要以国外厂商为主,IDS/IPS国内厂商集中度高,终端安全管理市场格局尚未稳定。从厂商来看,启明星辰、蓝盾股份等企业网络安全布局较为全面。从区域格局来看,北京网络安全企业数量排名第一,2019年有197家,排名第二和第三的城市为上海和深圳,2019年网络安全企业数量分别为34家和32家。
信息安全企业分布广泛,碎片化现象突出
按照企业用户的不同,国内信息安全市场可分为高端市场和中低端市场。目前,高端市场主要被国外厂商及少数实力较强的国内安全厂商占据,包括思科、CheckPoint、安氏、卫士通、启明星辰等;中低端市场由大量的中小型企业和公共事业部门组成,其业务流程相对简单,对安全性的要求相对较低。
2019年,我国有13家企业网络安全业务年收入超过10亿元,占网络安全业务总收入的48.82%,平均收入为22.31亿元;收入1亿元以上的共94家,占比40.52%,平均收入为2.56亿元;收入1亿元以下的近400家,占比10.66%。
从各企业收入水平的占比情况来看,网络安全市场“没有寡头,只有诸侯”的格局明显,同时碎片化现象非常突出。这种情况也与全球网络安全市场的格局相似。
防火墙主要以国外厂商为主,IDS/IPS国内厂商集中度高,终端安全管理市场格局尚未稳定
信息安全必备产品主要是针对目前现有的安全问题,有立竿见影的防护效果,一般为较为通用的安全防护产品例如防火墙、IDP/IPS、VPN/SSL网关、身份认证、上网行为审计等。国内主要安全厂商信息安全主要必备产品布局情况如下:
2019年,国内传统防火墙市场格局方面,思科、Juniper和F5分别占有55.7%、16%、0.7%的市场份额,国内IDS/IPS市场主要以启明星辰、绿盟科技为主要竞争力量。目前,国内终端安全管理市场的主要厂商包括:北信源、赛门铁克、奇安信等。由于各厂商的背景差异比较大,各自的市场切入角度不同,错位竞争特点突出,导致近几年市场格局变化非常快,目前尚未形成稳定的市场格局。
北京网络安全企业数量最多,上海深圳位列其后
据统计,中国各省级区域网络安全企业收入排名前列的分别为:北京、广东、浙江、四川、福建、上海、山东、江苏。网络安全企业数量排名前十的城市分别为:北京(197家)、上海(34家)、深圳(32家)、杭州(29家)、广州(14家)、南京(14家)、成都(13家)、济南(8家)、厦门(7家)、福州(7家)。
——以上数据及分析均来自于前瞻产业研究院《中国信息安全行业发展前景预测与投资战略规划分析报告》。
求开题报告《我国信息安全的现状及对策研究》
长期以来,人们对保障信息安全的手段偏重于依靠技术,从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、身份认证等等。厂商在安全技术和产品的研发上不遗余力,新的技术和产品不断涌现;消费者也更加相信安全产品,把仅有的预算也都投入到安全产品的采购上。但事实上仅仅依靠技术和产品保障信息安全的愿望却往往难尽人意,许多复杂、多变的安全威胁和隐患靠产品是无法消除的。“三分技术,七分管理”这个在其他领域总结出来的实践经验和原则,在信息安全领域也同样适用。据有关部门统计,在所有的计算机安全事件中,约有52%是人为因素造成的,25%由火灾、水灾等自然灾害引起,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成。简单归类,属于管理方面的原因比重高达70%以上,而这些安全问题中的95%是可以通过科学的信息安全管理来避免。因此,管理已成为信息安全保障能力的重要基础。一、我国信息安全管理的现状(1)初步建成了国家信息安全组织保障体系国务院信息办专门成立了网络与信息安全领导小组,成员有信息产业部、公安部、国家保密局、国家密码管理会员会、国家安全部等强力部门,各省、市、自治州也设立了相应的管理机构。2003年7月,国务院信息化领导小组第三次会议上专题讨论并通过了《关于加强信息安全保障工作的意见》,同年9月,中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(2003[27]号文件)。27号文件第一次把信息安全提到了促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度,并提出了“积极防御、综合防范”的信息安全管理方针。2003年7月成立了国家计算机网络应急技术处理协调中心(简称CNCERT/CC),专门负责收集、汇总、核实、发布权威性的应急处理信息、为国家重要部门提供应急处理服务、协调全国的CERT组织共同处理大规模网络安全事件、对全国范围内计算机应急处理有关的数据进行统计、根据当前情况提出相应的对策、与其他国家和地区的CERT进行交流。目前已经在全国各地建立了31个分中心,并授权公共互联网应急处理国家级服务试点单位10家、公共互联网应急处理省级服务试点单位20家,还有国内的10家骨干互联网运营企业成立自己的应急处理中心(CERT),这10家互联网运营企业与中国数千家的ISP、个人用户和企业用户,成为了CNCERT/CC的主要联系成员,由此形成了一个立体交错的应急体系,形成了信息上下畅通传递的通报制度。2001年5月成立了中国信息安全产品测评认证中心(简称CNITSEC),代表国家开展信息安全测评认证工作的职能机构,依据国家有关产品质量认证和信息安全管理的法律法规管理和运行国家信息安全测评认证体系。负责对国内外信息安全产品和信息技术进行测评和认证、对国内信息系统和工程进行安全性评估和认证、对提供信息安全服务的组织和单位进行评估和认证、对信息安全专业人员的资质进行评估和认证。目前建有上海、东北、西南、华中、华北五个授权评认证中心机构和两个系统安全与测评技术实验室。(2)制定和引进了一批重要的信息安全管理标准为了更好地推进我国信息安全管理工作,公安部主持制定、国家质量技术监督局发布的中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》,并引进了国际上著名的《ISO17799:2000:信息安全管理实施准则》、《BS7799-2:2002:信息安全管理体系实施规范》、《ISO/IEC15408:1999(GB/T18336:2001)-信息技术安全性评估准则》、《SSE-CMM:系统安全工程能力成熟度模型》等信息安全管理标准。信息安全标准化委会设置了10个工作组,其中信息安全管理工作组负责对信息安全的行政、技术、人员等管理提出规范要求及指导指南,它包括信息安全管理指南、信息安全管理实施规范、人员培训教育及录用要求、信息安全社会化服务管理规范、信息安全保险业务规范框架和安全策略要求与指南。(3)制定了一系列必须的信息安全管理的法律法规从上世纪九十年代初起,为配合信息安全管理的需要,国家、相关部门、行业和地方政府相继制定了《中华人民共和国计算机信息网络国际联网管理暂行规定》、《商用密码管理条例》、《互联网信息服务管理办法》、《计算机信息网络国际联网安全保护管理办法》、《计算机病毒防治管理办法》、《互联网电子公告服务管理规定》、《软件产品管理办法》、《电信网间互联管理暂行规定》、《电子签名法》等有关信息安全管理的法律法规文件。(4)信息安全风险评估工作已经得到重视和开展风险评估是信息安全管理的核心工作之一。2003年7月,国信办信息安全风险评估课题组就启动了信息安全风险评估相关标准的编制工作,国家铁路系统和北京移动通信公司作为先行者已完成了的信息安全风险评估试点工作,国家其它关键行业或系统(如电力、电信、银行等)也将陆续开展这方面的工作。二、我国信息安全管理目前存在的一些问题1、信息安全管理现状仍还比较混乱,缺乏一个国家层面上的整体策略。实际管理力度不够,政策的执行和监督力度不够。部分规定过分强调部门的自身特点,而忽略了在国际政治经济的大环境下体现中国的特色。部分规定没有准确地区分技术、管理和法制之间的关系,以管代法,用行政管技术的做法仍较普遍,造成制度的可操作性较差。2、具有我国特点的、动态的和涵盖组织机构、文件、控制措施、操作过程和程序以及相关资源等要素的信息安全管理体系还未建立起来。3、具有我国特点的信息安全风险评估标准体系还有待完善,信息安全的需求难以确定,要保护的对象和边界难以确定,缺乏系统、全面的信息安全风险评估和评价体系以及全面、完善的信息安全保障体系。4、信息安全意识缺乏,普遍存在重产品、轻服务,重技术、轻管理的思想。5、专项经费投入不足,管理人才极度缺乏,基础理论研究和关键技术薄弱,严重依赖国外,对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和技术改造。6、技术创新不够,信息安全管理产品水平和质量不高,尤其是以集中配置、集中管理、状态报告和策略互动为主要任务的安全管理平台产品的研究与开发还很落后。7、缺乏权威、统一、专门的组织、规划、管理和实施协调的立法管理机构,致使我国现有的一些信息安全管理方面的法律法规,法阶层次不高,真正的法律少,行政规章多,结构不合理,不成体系;执法主体不明确,多头管理,政出多门、各行其是,规则冲突,缺乏可操作性,执行难度较大,有法难依;数量上不够,内容上不完善,制定周期太长,时间上滞后,往往无法可依;监督力度不够,有法不依、执法不严;缺乏专门的信息安全基本大法,如信息安全法和电子商务法等;缺乏民事法方面的立法,如互联网隐私法、互联网名誉权、网络版权保护法等;公民的法律意识较差,执法队伍薄弱,人才匮乏。8、我国自己制定的信息安全管理标准太少,大多沿用国际标准。在标准的实施过程中,缺乏必要的国家监督管理机制和法律保护,致使有标准企业或用户可以不执行,而执行过程中出现的问题得不到及时、妥善解决。三、对我国信息安全管理的一些对策(1)在领导体系方面,建议建立“国家信息安全委员会”,作为国家机构和地方政府以及私营部门之间合作的主要联络人和推动者,负责对跨部门保护工作做全面协调,尽快建立具有信息安全防护能力、隐患发现能力、网络应急反应能力和信息对抗能力的国家信息安全保障体系。(2)以开放、发展、积极防御的方式取代过去的以封堵、隔离、被动防御为主的方式,狠抓内网的用户管理、行为管理、内容控制和应用管理以及存储管理,坚持“多层保护,主动防护”的方针。加强信息安全策略的研究、制定和执行工作。国家信息安全主管部门和标准委员会应该为组织制定信息安全策略提供标准支持,保证组织能够以很低的费用制定出专业化的信息安全策略,提高我国的整体信息安全管理水平。(3)进一步完善国家互联网应急响应管理体系的建设,实现全国范围内的统一指挥和分工协作,全面提高预案制定水平和处理能力。在建立象SARS一样的信息分级汇报制度的同时,在现有公安系统中建立一支象现在的“110”和“119”一样的“信息安全部队”,专门负责信息网络方面安全保障、安全监管、安全应急和安全威慑方面的工作。对关键设施或系统制定好应急预案,并定期更新和测试信息安全应急预案。(4)加快信息安全立法和实施监督工作,建议成立一个统一、权威、专门的信息安全立法组织与管理机构,对我国信息法律体系进行全面规划、设计与实施监督与协调,加快具有我国特点的信息安全法律体系的建设,并按信息安全的要求修补已颁布的各项法律法规。尽快制定出信息安全基本法和针对青少年的网上保护法以及政府信息公开条例等政策法规。尤其是为配合《电子签名法》的实施和落实《国务院办公厅关于加快电子商务发展的若干意见》,应抓紧研究电子交易、信用管理、安全认证、在线支付、税收、市场准入、隐私权保护、信息资源管理等方面的法律法规问题,尽快提出制定相关法律法规;推动网络仲裁、网络公证等法律服务与保障体系的建设。(5)加快信息安全标准化的制定和实施工作,尽早制定出基于ISO/IEC17799国际标准的、并适合我国的信息安全管理标准体系,尤其是建立与完善信息安全风险评估规范标准和管理机制,对国家一些关键基础设施和重要信息系统,如经济、科技、统计、银行、铁路、民航、海关等,要依法按国家标准实行定期的自评估和强制性检查评估。(6)坚持“防内为主,内外兼防”的方针,通过各种会议、网站、广播电视、报纸等媒体加大信息安全普法和守法宣传力度,提高全民信息安全意识,尤其是加强组织或企业内部人员的信息安全知识培训与教育,提高员工的信息安全自律水平。在国家关键部门和企事业单位中,明确地指定信息安全工作的责职,建议由党政一把手作为本单位信息安全工作责任人,在条件允许的企业里增设CSO(首席安全官)职位,形成纵向到底、横向到边的领导管理体制。(7)建议政府制定优惠政策,设立信息安全管理专项基金,鼓励风险投资,提高信息安全综合管理平台、管理工具、网络取证、事故恢复等关键技术的自主研究能力与产品开发水平。(8)重视和加强信息安全等级保护工作,对重要信息安全产品实行强制性认证,特定领域用户必须明确采购通过认证的信息安全产品。(9)加强信息安全管理人才与执法队伍的建设工作,特别是加大既懂技术又懂管理的复合型人才的培养力度。(10)加大国际合作力度,尤其在标准、技术和取证以及应急响应等方面的国际交流、协作与配合。(作者系贵州大学信息工程学院国家信息安全有关课题负责人)