前不久,“想哭”(WannaCry)蠕虫式勒索病毒在全球范围内大面积爆发。病毒蔓延范围之广,受害程度之深,令人叹为观止。当时,不少信息安全公司迎来了最繁忙的一段时间,甚至有人预言,这场风波将把信息安全产业送上风口。随着勒索病毒渐行渐远,信息安全市场也归于平静。“想哭”并没让信息安全产业笑得太久。信息安全产业,何时迎来真正的风口?
一个意外的结局
“想哭”来了,信息安全企业却没“笑”多久
6月初,走进位于成都高新区的成都中科慧创公司,几名公司员工做着手头的工作,有条不紊。让人想象不出,20天前这里的一片“兵荒马乱”。
勒索病毒爆发后的三天,中科慧创公司迎来了创业10多年来最繁忙的一段时间,墙上的三个大屏幕,随时监控着可能出现的网络病毒。电话成了热线,登门求助的企业也是纷至沓来,来咨询的单位企业有近60家。
中科慧创成立于2003年,是国内最早从事主动防御系统产品研发、生产的企业之一。在总经理赵象元印象中,之前都是他们去找客户,而这次完全不同,客户汹涌而来。“都不晓得是从哪冒出来的,呼啦啦一大片。”为了帮助客户尽快应对,公司一半以上的人都被派出去上门服务。
记者调查发现,省内多家信息安全企业在今年5月都生意爆棚,在信息安全等级保护高级测评师袁源印象中,这种情况比较少见。
国家互联网应急中心数据显示,病毒爆发近一周时间,位于我国境内的IP被攻击的接近12.5万个。不少信息安全企业透露,因未及时关闭445端口,系统补丁没及时跟进,日常防护没有到位,川内仍有少部分机构受到病毒入侵,特别是一些单位的局域网。
很多业内人士都以为,这样的态势会带来持续不断的业务,但出乎意料的是,事态慢慢平静后,咨询量减少了三分之二。赵象元表示,总体来看,客户量和主营收入并没有明显提高。
“勒索病毒为全社会提了一个醒,对信息安全产业也是一个机会,但短期带动效应尚不明显。”四川省信息安全产业技术创新联盟副秘书长黄晓明表示,一些单位企业也是事情过了就完了,并没有认识到信息安全是长期的事情,“好了伤疤忘了痛。”
一个奇怪的现象
有钱买“棺材”,不愿花钱打预防针
5月16日,四川某市窗口单位遭了“勒索病毒”,共有5台用作视频监控的电脑受到病毒入侵,所幸业务系统及时隔离封闭,病毒在当天晚上被处理。“只有一个人在负责网络安全,当时正在对100多台电脑打补丁,刚完成60多台就遭了。”该单位一名负责人私下向记者透露。
这家窗口单位掌握着数以百万计的人员资料以及重要文件,一旦信息被盗取,危害难以计量。这家单位在信息安全的投入上严重不足,人员只有一个。更缺经费,“没有设专门的信息安全经费。”该负责人说。
这并非个案。遭过才知道痛、别人遭和我没关系、增加成本不见效益……这是受访信息安全企业最常提及的川内部分政府机构、企事业单位对信息安全风险的普遍态度。
“有钱买棺材,无钱打预防针。”无声信息市场专员王海表示,“有些单位可能两三年系统不打补丁,甚至用山寨操作系统。”
2017年四川省级部门预算公开信息显示,省级部门没有单独设立信息安全预算,只在本级一般公共预算支出中或下属单位的预算中,设有信息化建设及运行维护费或办公自动化建设及维修维护等,交通、公安、财政等部门的金额较大,可达千万级,而有的部门经费仅数万元。
金融行业算是信息安全上投入较大的了,在信息化建设及运行维护费中的占比一般不低于6%。一些企业甚至连1%的比例都难以达到。而美国等信息安全产业比较发达的国家,这一比例高达20%至30%。
一片浩大的蓝海
列入四川五大高端成长型产业,规模将超千亿元
四川信息安全产业究竟有多大规模?省经济和信息化委员会给出的数据:2016年,全省信息安全产业产值超过290亿元,同比增长31.8%,产业规模占全国五分之一,总量居全国第二,从事信息安全的企业280多家。
从市场规模来看,我国信息安全行业市场规模仅为美国的1/10。公开数据显示,2016年中国的信息安全投入不足全球的4.3%,占IT业整体投资比重仅为1%至2%之间,远不如发达国家的8%至12%以上。因此,中国市场仍具有很大的发展空间。
从业务范围来看,仅等级保护测评这项基础保护体系,就有大量企业和机构尚未参与。
等级保护制度是我国网络空间安全基本制度,是一个基线。“理论上讲,党政部门、国有大中型企业的信息系统都应该通过等级测评。”四川大学网络空间安全学院周安民教授说,很多单位认为,做测评只是个形式,就像体检一样,并非所有人每年都会坚持去做,但它能发现和解决信息系统的符合性和合规性。
四川2016年通过测评的政府机关、企事业单位只有230家,不到总数的一个零头。
“参与等级保护测评单位较少,即便有上级主管部门要求。”成都久信测评中心主任朱光剑说,从2011年开始到去年底,该机构累积测评了约100家单位,其中90%左右是政府机关、事业单位。“一次测评根据等级不同,最多5万元或12万元,但很多单位机构没有测,或测一次,没有上级要求就不再来了。”朱光剑说,来的企业更是少得可怜。
根据省工商局提供的数据,截至今年3月底,全省实有各类企业109.9万户。换言之,只要这100多万企业,加上约6.5万机关事业单位,每家每年投入十万元在信息安全上,包括定期体检和预防,仅此一项,市场规模就超过千亿。
今年6月1日起施行的《中华人民共和国网络安全法》,明确国家实行网络安全等级保护制度,对关键基础设施如能源、金融、交通等在等级保护制度基础上,实行重点保护。
或许正是因为此,信息安全产业被列为四川省五大高端成长型产业之一,2020年产值要达到1100亿元。“未来几年,四川信息安全产业仍将高速增长。”周安民断言。
一段艰难的转型
产业要健康发展,需要转变观念,更需要长久规划
“这次病毒爆发对信息安全意识是一次普及。网络安全法的实施,把信息安全上升到法律层面,信息安全做不好是违法的。长期来看,随着法律的贯彻深入,单位认识到信息安全的重要性,投入逐步增加,将会对产业有一个推动。”黄晓明说。
业内人士认为,网络安全法施行后,更多的政策制度与之适应,可从法制层面有力推动信息安全产业。
同时要转变意识。危机过去了,但病毒威胁仍在。信息安全公司预警,勒索病毒搭载的攻击工具“永恒之蓝”是武器级别的产品,“永恒之蓝”可搭载不同类型的恶意程序,下次可能是其他远程木马等恶意程序,“更多的潜在风险在未来。”
周安民教授表示,安全的重视程度多是由大小安全事件推动,大多数系统安全还是处于被动防御状态,“侥幸”认为是“安全”的,而今后,更应当主动出击。
安全意识永固心间,固定投入,定期等级保护测评之外,袁源认为,还需要长期的信息安全规划。
业内普遍认为,信息安全“三分靠技术,七分靠管理”。首先,查现状,确定隐患;其次,了解需求,制定安全纲领、体系框架,“防火墙、杀毒软件这只是管理的一部分,信息安全记录、系统日志、人员职责,未来每年需要新增提升内容都在管理当中。”
传统信息安全产业已经从传统信息安全迈向了与安全相关的信息网络、信息系统及信息内容安全等领域。“因此想产业‘笑出来’,信息安全产业也应该在技术上实时跟进,借助现有较为完善的产业链,抱团形成合力。”黄晓明认为,有了更多的市场需求,自身能力达到更高水平,全民的安全意识不断提升,安全法制不断健全,企业才能够做大做优做强,信息安全产业也将有更大的发展空间。
本文转自d1net(转载)