信息安全的现状及意识

信息安全现状及意识
信息是当今社会发展的重要战略资源，也是衡量一个国家综合国力的重要标志。

对信息的开发、控制和利用已经成为国家间相互争夺的内容；同时，信息的地位和作用也在随着信息技术的快速发展而急剧上升，信息安全的问题也同样因此而日益突出。

目前，企业面对的信息安全问题正在变得复杂化。

从便携式设备到可移动存储、再到基于WEB的协作应用，乃至基于IP的语音技术，每一类新产品都有新的安全问题与之相伴而生。

2011年信息安全事件
时间事件
2011.1.15 伊朗核电站遭受蠕虫病毒攻击
2011.6 中央情报局遭黑客攻击
2011.9.20 日本三菱旗下军工企业遭黑客入侵
2011.11.20 美国供水系统遭黑客破坏
信息安全市场状况
世界各家著名市场研究公司的共同看法是全球市场仍然处于一个快速增长阶段，其增长速度将远于整个IT市场。

全球信息安全市场在一些传统的设备和软件提供商的合并和变革的前景下前进，一些大的平台提供产商，列如微软、思科、Oracle、EMC、Novell都已经开发了自己的产品并开始进入这个市场。

而一些传统的安全厂商，像IBM、CA、赛铁门、趋势科技也取得了进一步的发展。

在整个IT行业进入平稳增长的今天，中国信息安全市场却正处于快速发展的阶段。

根据IDC的发布报告显示，2006年，中国IT安全市场的总规模为5.76亿美元，IDC预测整体安全市场2007-2011的符合增长率将达到23.5%。

另据CCID发布的报告显示，2005年中国网路安全产品市场销售总额前十强厂商
排名依次为：天融信、东软、思科、赛门克、Juniper、瑞星、启明星辰、安氏、趋势科技和冠群金辰，销售额合计16.95亿元，占中国网络安全市场总份额的38.8%尽管市场日趋集中，但所有的领先厂商市场份额还没有一家超过10%。

信息安全发展现状
根据美国CSI/FBI2006年度计算机犯罪和安全调查报告显示，在安全损失方面，排在前四位的分别是病毒、未授权访问、笔记本或移动设备被盗、资产信息被窃，占所有损失的74.3%。

其中“笔记本电脑及移动设备被盗”造成的损失跃居第三，被调查者的平均损失从2005年的19562美元剧增至2006的30057美元，这预示着一个潜力巨大的新兴安全产品市场。

在中国IDC2006年被发布的调查报告显示，最具威胁IT安全问题中排名前三位的都是和“安全内容管理”直接相关的安全问题。

其中以“病毒、木马及恶意代码”最为严重，其次为垃圾邮件和对内部数据进行有效保护。

信息安全发展趋势-------安全厂商寡头垄断趋势加剧
信息安全产业进入了新的时代，进入2006年以后，网络安全市场已经高度集中在少数垄断厂商手中。

大规模的并购案例减少，以完善自身产品线为目的的小型并购事件增多。

例如IBM以13亿美元收购网络安全企业ISS；在以21亿美元收购安全软件零售商RSA之后，EMC在收购市场再次出手，以1.75亿美元收购IT安全公司network intelligence；Cisco以8.3亿美元收购SCM领导厂商Ironport等等。

随着并购与合作的进行，市场资源更多像实力厂商集中，产业链日趋缩短，市场将更多的体现出寡头垄断的趋势。

安全技术趋向底层化
一些安全专家认为，未来的安全技术将嵌入式到像微软，IBM。

思科这样大型IT 公司架设的IT基础构架中，完全独立的安全厂商将面临非常大的挑战。

在中国，体现整体安全思想的基础构架安全收到了国内知名PC和服务器厂商的广泛关注。

联想、方正、同方登国内PC三强均推出了各自的安全电脑，安全产品走向融合
随着信息安全的发展，越来越多的用户认识到，安全不是一个孤立的问题，依靠任何一款单一的安全产品，都不能保证企业网络的安全。

用户需要的事整体的安全，需要一个联系紧密的安全防范体系。

目前，安全产品正逐渐走向融合，数据安全保护将越来越重要。

以大局观统筹安全保密建设
近几年，汽车召回事件频频发生。

仅2010年上半年，包括克莱斯特、标志、一汽丰田、雷克萨斯、通用大宇、凯蒂拉克和兰博基尼等等，均在榜中。

召回的原因无一例外，因为部件可能的缺陷，存在对驾驭者的安全隐患。

如果换个角度思考，也许召回事件中并不仅是某个部件存在的缺陷，而是若干部件组合后的大系统，超出了人类“1+1=2”按部就班的预设，智能化程度太高，完全不按照既定的指令行事。

这让人想到了几年前的UTM，正是“融合”后安全的初见端倪。

如今互联网虚拟世界中，“融合”俨然是无法撼动的主流，融合之后的“安全“，需要以大局观统筹建设。

当下，网络应用已进入大集成时代。

以前某段或者某个程序仅一个工程师能完成，现在在某个系统或者某个大集成系统，其间运行的程序很难说还有某个工程师能够全部了然于心，有的甚至意见厂商都不可能独立完成。

一般情况，都是由几个课题组或者研究机构分别承担各自划定的任务，最后在汇总进行整合和优化，即所谓“融合“。

”融合“之后，所有计算机门类的从业者，几乎都需要归零思考：为什么已经设计好的程序系统，”混合动力“后，运行情况反而却可能差强人意？其中缺失了什么？有什么伏笔在事前未被发现？
美国的灾难大片从“终结者“到“黑客帝国”再到“机器公敌”都形象演绎了互联网社会，大集成大融合后，不受人类控制的互联网和计算机以几何级数只能进
阶，很快取代人类统治地球。

美国利用好莱坞大片不仅影响了全球电影界，而且把自己的价值向世界各个角落传播。

美国国会公用信息委员会的权限是通过电影推广美国的文化和价值，在国内进行战争动员，在国内传播“美利坚主义的福音”。

过往，当美国率先发展了计算机硬件和互联网后，他们推出的大片多以与计算机互联网有关的灾难为题材，片中的国家如不重视计算机互联网的发展，势必遭到入侵，损失惨重。

唯有通晓IT的英才出现，才能力挽狂澜于危难。

其时，我国计算机行业刚刚起跑。

纵观已经发展了40多年的美国，以及互联网环境，那时在网上跑着的，可以看作是协议，协议几乎均由美国来定标准，即当我们起跑时，美国已经经历了一次互联网发展史上的成败得失。

言美国大片及互联网发展，我们似乎很难避免这种被牵着鼻子走的开局，安全的伏笔以为深长。

如今的“融合”之趋，也是美国提出的。

虽然置身国际化的互联网中，但我们一定要有自己的标准、思路和发言权。

当系统整合来临时，作为IT重要组成部分的网际空间是否安宁十分重要。

显而易见，倘若依然没有大局观，在IT构架之初就统筹考虑好安全保密建设，而面对国际所谓的“成熟产业”顶礼膜拜，那么安全将始终困扰“融合”。

融合后的“云世界”，“云安全”的业务模式、发展模式甚至产业链条在我国并不十分清晰。

现在可以十分确定的，是融合之后的安全保密建设，一定会展现出一个庞大的系统工程，需要大局观统筹，协调其中各个子系统之间的互动关系，以形成合力。

既然是系统工程，自当在架构、设计、体系、流程上要类比于汽车召回的反思：混合动力如何优化、提升资源利用率，而不是钝化、弱化资源的使用效能。

唯有以大局观，从顶层设计上便开始加以规范引导，并做好足够和必要的技术储备，才能提前对整个产业链进行梳理和预设，而不再出现融合之后的安全之感。

互联网虽然是虚拟世界，但却是真实存在的。

互联网的发展趋势始终处于变与不变之中。

进程中，我们既要善于承担责任，待时而动，以大局统筹安全保密建设不懈努力，顺势而为。

相信在未来，中国的“云安全“不仅能独善其身，更能兼济天下。

人人有信息安全观
三十多年的从无到有，安全保密一路走来，始终围绕着保护国家机密和敏感信息，尽职尽忠。

在参与全球竞争，提升综合国力的今天，这个使命更加任重而道远。

在成长初期，安全保密产业经济基础相对薄弱。

而现如今，产业已经有了一定的经济基础，产业机构趋向高级化，怎样在发展的进程中更加成熟更加理性？产业战略是否应该有所调整？怎样从根本上解决意识形态上的规划、设计、建设和发展？始终将是安全保密与时俱进要直面的课题。

发生在我们生边许多的泄密事件说明保密技术工作发展的不平衡，安全保密不能只在重要部门、行业推广，很多地方监管和保密水平滞后，尚未建立投入保障机制，防范和检查设备不足。

在保密技术防范产品的准入配备、泄密等都存在较大泄密隐患，且发现隐患的能力薄弱，只有依靠类似的专项整治才能发现问题，这实际上是整个信息网络预警机制的缺失。

说滥了的一句名言，在这里多说不过，“一只水桶能盛多少水，并不取决于那块最长的木板，而是取决于那块最短的木板。

“对待信息安全和国家秘密，应当发起一场”社会动员“——即由2公众、教育部门、行业、企业、媒体共同参与，才能构成严密无缝的安全体系。

2012年信息安全事件
时间事件
2012.2.9 有商户向亿邦动力网爆料称，收到了某公司发来的电子邮件，其中包括当当、淘宝、1号店、麦考林在内的多家主流B2C网
站用户个人信息。

2012.7 京东商城、当当网、1号店等多家电商网站再“集体”被曝账
户信息泄露，致使用户财产损失、隐私泄露。

2012.11 包括EMS在内的10余家主流快递企业的快递单号信息被大面
积泄露
2012年中国网民信息安全状况
尽管当前安全软件的拦截和杀毒功能不断完善，互联网门户企业也加大信息安全的审查和过滤力度，但过去半年仍有13.3%的网民因网上下载软件而发生过安全事件，因使用即时通信、搜索引擎、网络游戏、网上购物而发生安全事件的网民比例也分别达11.5%、6.0%、4.2%和4.0%。

总体来看，目前中国网民只是简单地被灌输了要“重视信息安全”，但其实对其的原因认识并不清晰，形象地说，中国网民的信息安全意识处于“知其然，不知其所以然”的阶段。

表现在以下两个方面：
第一，经过各种媒体的广泛宣传，中国网民普遍都知道要重视信息安全问题。

同意（含比较同意和非常同意）“每个网民都要重视安全问题”看法的网民占总体网民的90.3%，特别是，非常同意的占71.3%。

第二，有较大部分的中国网民对信息安全事件的危害并不清楚。

在总体网民中，同意“如果我的上网设备发生了安全事件，会给我造成不良影响”看法的用户占57.2%，同意“如果我的上网设备发生了安全事件，会给其他人造成不良影响”看法的用户占41.4%。

上述两个方面的比例存在着很大的差距，说明了很多网民知道要“重视信息安全”，但并不知道为什么要重视。

2013年安全事件
时间事件
2013.2 以色列公路控制系统被黑导致大规模交通拥堵
2013.11.1 GSM存高危漏洞无线通信安全受威胁
2013.9.11 “伪基站”发百万条短信致大量用户手机脱网
2013年中国网民信息安全状况
报告显示，过去半年遇到过网络安全问题的网民比例高达74.1%，影响总人
数达到了4.38亿。

2013年中国网民信息安全状况呈现以下特点：以直接获取经济利益为主要目的的安全问题增加，对安全软件提出了更高要求
得益于安全软件对部分安全问题捕获能力的提升，2013年网民遭受传统病毒或木马等问题的比例减少，但是以直接获取经济利益的手机恶意软件、假冒网站/诈骗网站、个人信息泄露等安全问题的发生比例在增加，其中手机恶意软件在网民中的发生率上升了13.2个百分点。

手机恶意软件常以暗地扣费、扣流量等方式为主，在用户未知情或未授权情况下，通过自动订购收费业务、拨打收费声讯电话、偷跑流量等方式，为自己谋利；假冒网站/诈骗网站通过伪装成正常网站，以抽奖等方式窃取用户信息或骗取钱财；此外，还有不法分子通过各种手段骗取个人信息，进而实施后续欺诈行为。

这些安全问题种类繁多，变化多端，对安全软件的捕获能力提出了更高的要求。

网民信息安全防范意识不足，智能手机的安全防范更需加强在发生安全事件的网民中，信息安全防范意识还有待提高，仅有75.2%的人使用系统自动更新/打补丁，67.3%的人设置复杂密码。

常见的个人安全防范措施还没有完全普及，是信息安全事件发生的重要原因。

此外，智能手机上安装安全软件的用户仅为70%，未安装安全软件的人群中，一半人认为“没有发生安全事故，不需要”。

网民手机端安全防范意识不足，使大量手机恶意软件和病毒有机可乘，致使这些手机用户直接面临着信息安全威胁。

加大手机安全意识的普及，是今后的重要任务之一。

网络安全防范非常重要，建立安全事件发生后的解决机制也很关键。

2014年中国信息安全管理现状分析
信息安全是任何国家、政府、单位、行业都必须十分重视的问题，是一个不
允许忽视的国家安全战略。

针对不同的单位和行业来说，他们对信息安全的要求和重点都是有区别的。

对行政、事业单位来说，信息网络主要是为了更好地为人们服务，方便大众的信息查询，也方便工作人员的信息管理和及时更新，整条服务网络若收到影响或者瘫痪，会大大影响行政、事业单位人员的办公和百姓的生活；对国家机密和军事机密而言，信息是绝密文件，是关系到国家安全和发展的关卡，如果受到窃取和利用，那后果是不可估量的，信息安全不仅仅关系到个人利益，更是整个国家的利益和安全。

所以说，做好信息内容安全和信息网络安全是信息化时代的重要任务。

法律法规问题。

第一、还没有形成一个完整性、适用性、针对性的完善的法律体系。

现有的法律法规仅仅调整某一个方面的问题，有些法律法规之间内容有重复交叉，同一种行为有多个处罚单位，在很多实践过程中有一环节多部门管理，或者多环节多部门重复管理的状况发生，这在一定程度上造成了法律资源的浪费。

第二、现执行的法律法规已跟不上信息技术发展的需要，存在一定存在滞后性。

我国现行的信息安全法律结构比较单一、层次较低，很难适应信息网络技术发展的需要和不断出现的信息安全问题。

随着网络应用深入的发展，原来颁布实施的一系列网络法律法规，对一些关于网络行为的认定过于原则或笼统，在涉及网络规划与建设、网络管理与经营、数据的法律保护、电子资金划转的法律认证、计算机犯罪、计算机证据的法律效力等方面的比较缺乏，对此类网络犯罪的行为打击比较被动。

管理问题。

在一些最新的研究数据中发现，全部的计算机安全事件中，约有60%是人为因素造成的，属于管理方面的失误比重高达70%以上，在这些安全问题中95%是可以通过科学的、合理的管理方式来避免发生。

所以说，管理已经成为信息安全整个过程的生命线。

第一、信息安全管理现状仍旧比较混乱，没有一个国家层面上的整体策略。

实际管理的力度不够，政策的执行和监管的力度不够。

第二、对信息安全问题的认知，仍旧处于空白状态。

除了少数大型互联网企业，大部分企事业机关单位习惯性的把信息安全问题等同于“电脑中毒”、“网
络拥堵”这类在办公网络中常见的现象，一般都简单的采用安装杀毒软件的方法解决问题，从普通职员到管理层对信息资产所面临威胁的严峻度认识不够。

第三、重技术，轻管理。

虽然一直在强调信息安全是“三分技术、七分管理”，但是在日常的工作生活中，人们往往偏向于技术，忽视了在这些技术的运行中管理才是第一位的，如果在实际管理过程中出现管理措施不到位，系统的运行、维护和开发等岗位分配不清，职责划分不明，存在一人身兼多职的现象，再先进的技术也不可能发挥其应有的效力，一样不具备竞争力、防御力。

第四、专项经费投入不足，管理人才极度缺乏，基础理论研究和关键技术比较薄弱，对引进的信息技术和设备缺乏保护信息安全不可缺少的有效管理和技术改造。

第五、对信息安全管理缺乏系统管理的思想。

在多数单位现有的安全管理模式仍旧采用传统的管理办法，通常是出现问题才去想补救的办法，用一种就事论事、静态的管理办法去处理动动态问题，没有采取建立在安全风险评估基础上的动态管理办法。