6位信息安全人士评论2007:信息安全落地年

　　信息安全产品测评认证是信息安全保障的基础性工作。特别是在当前我国信息技术与产业的核心竞争力还不强，关键技术、关键设备还受制于人的情况下，严格把住信息技术产品的市场准入关尤为重要。通过认证的手段，有利于改革政府管理方式和手段，创建公平竞争的环境，有效地保护和促进我国信息安全技术与产业的发展。

　　核心观点

　　在当前我国信息技术与产业的核心竞争力还不强，关键技术、关键设备还受制于人的情况下，严格把住信息技术产品的市场准入关尤为重要。

　　从灾备迈向业务连续性管理

　　GDS万国数据服务有限公司副总裁 汪琪

　　GDS万国数据服务有限公司首席灾备专家，深圳市科技专家委员会委员。中国大陆第一位获得DRI International “CBCP”认证的业务连续运作专家。

　　灾难恢复与业务连续管理经过多年的建设已开始初具规模，银行、证券、保险、航空、税务、海关、电力、铁道等国家重要信息系统部门都开始规划或已经投入信息系统的灾难恢复建设。

　　银行业作为中国灾难恢复和业务连续管理建设的领头行业，早在20世纪90年代末即开始规划和实施数据大集中和灾难备份，至今大部分国家政策性银行、国有大型商业银行及全国性股份制银行已形成了一定的灾难备份和恢复能力。2006年，整个银行业对灾难恢复与业务连续体系的认识正在快速提高。可以肯定的是，银行业的灾难备份和业务连续管理在2007年将有望得到快速发展。

　　2006年11月9日，中国银监会召开信息科技风险管理与评价审计工作（电视电话）会议。银监会党委书记、主席刘明康指出，当前我国银行业信息科技风险管理要着重关注和做好信息科技建设与业务发展的协调、信息安全的内部控制体系、信息科技体系变动和发展的管理、信息系统运行和操作管理以及业务持续性规划的研究和制定等五方面工作。根据刘明康主席的讲话，相信在2007年，银行将开始从对信息系统的灾难备份逐步向业务连续性规划和体系的建设完善过渡，以符合银监会审计的要求。

　　证券业、保险业中的大型公司在最近几年都在关注和研究灾难备份中心的建设，其建设的时间表一般都与其大集中的步伐相关，部分先行者已形成了一定的备份能力。证监会、保监会也陆续出台了关于备份和安全的部分管理办法，更加详细的管理规范也将在2007年出台。

　　另外，2007年，也是航空、税务、海关、电力等部门对灾难备份建设进行规划、设计和基础性平台性建设的关键阶段。

　　核心观点

　　灾难恢复与业务连续管理经过多年的建设已开始初具规模，银行、证券、保险、航空、税务、海关、电力、铁道等国家重要信息系统部门都开始规划或已经投入。

　　内部安全成当务之急

　　中国化工信息中心副主任 李中

　　现任中国化工信息中心副主任，曾主持并参与了中国化工综合信息服务系统、中国化工信息网、中国万维化工城网站的建设工作。

　　一直以来，化工企业对于信息安全的重视都有普遍的共识。包括石化、石油在内的众多化工企业都属于流程制造企业，具有产品多、数量大的行业特性，且要求化工设备绝对不能停。这也导致化工企业对信息安全的依赖程度很高，一旦发生网络系统中断、服务器宕机、数据丢失、上下游关系不连通，甚至仅仅是停电，带来的也将是难以承受的后果。

　　从目前的发展来看，化工企业的信息化发展已经从初级起步阶段进入了拓展阶段。各化工大中型企业均在ERP、OA、MIS、电子商务等诸多领域开展了建设，甚至已有超过70%的企业在建或已完成生产制造信息化系统的建设。

　　对于流程制造业来说，一旦信息化进入了生产制造环节，安全可靠就会被视为第一位。为了确保信息系统的安全，不少化工企业已经对系统平台的安全性做了大量的工作，一些防病毒、防攻击设备已经被许多企业所采用，一些大的集团公司甚至已开始考虑建设集中的机房，或是考虑容灾备份、VPN等。

　　总结2006年的发展现状和趋势，企业在2007年的信息安全建设将进一步深入：内部安全建设成为当务之急，应急救援机制也需要尽快建立。

　　首先，大部分用户已经意识到内部安全的严重性，将进一步加强管理和采用安全技术来确保内网安全。目前，厂商和企业的主要关注点还集中在外网威胁方面，而对内网安全管理环节的重视相对较弱，一旦内网出现问题，后果将不堪设想。再者，内网直接关系到公司运作，内网资料是企业的核心，内网出现问题容易导致整个系统瘫痪，加上目前企业的内部使用人员的安全意识还不够，比较容易出现问题。

　　其次，化工企业将着力建立应急救援机制。在信息安全方面，虽然企业采取了一系列安全措施，但绝对的安全是没有的，必须依靠相应的机制来解决问题。

　　从2007年的这两方面重点来说，技术仅仅是信息安全的一部分，随着应用的深入和信息安全系统的逐步建立，加强管理的重要性已经开始凸显。

　　安全加速转型

　　网御神州（北京）有限公司总裁 任增强

　　曾先后任联想集团华北区总经理、联想集团大客户部总经理、联想集团信息安全事业部总经理、联想网御科技有限公司总裁。

　　信息安全产业，有型突破无型，一种新的布局正在形成。走过数年的探索期，从2006年开始步入了高速发展的转型期，经历其后三年的调整成型后，必将达到产业的稳定期。

　　眼下的2007年，既是产业发展的中间期，又是转型期的中心段，这一年必将是备受关注的一年，这一年也必将会有许多的告别过去和许多的开创未来。

　　第一，银行、证券成为安全建设的新亮点。面对外资银行业务扩张，国内银行的竞争压力加大，会加大网上银行及理财业务的比重，以更方便、快捷、高效的客户服务，新网上业务模式比重的加大，势必使得安全建设在这一年备受关注。

　　第二，安全建设开始出现理念上的转型。一方面，在国信办“等级保护”安全理念推动下，越来越多的客户认同并接受了“系统”建设的观点; 另一方面，一些客户经过多年的安全产品购买和基础建设后，从实践总结中认识到只有整体IT系统的安全才能构成真正意义上的安全。因此，从系统角度考虑安全建设将成为主流理念。

　　第三，安全产品将分为三大类，市场表现特质鲜明。2007年的安全产品将清楚地分为三大类; 第一类是被广泛接受、广泛运用的产品；第二类是已经热了两年，开始在局部运用的产品; 第三类是开始被关注、成为前沿热点的产品，以IPv6下的安全产品为代表。

　　第四，安全竞争格局显现雏形。未来的安全竞争格局会有两大显著特征：一是出现2～3家的第一阵营；二是专业性趋势，专业、专注、战略探索中的安全企业将成为信息安全建设的主力军。2007年，原来处于第一阵营的队伍面临分化，其中一部分将继续高速、健康发展，另一部分则会因为其内部制约或调整不及时而被淘汰或整合。

　　应对安全转型，才能成就产业明天。见证了2006年前的蓄势待发，经历了2006年的动力储备，在2007年静谧的安全蓝海中，有业界人士的共同努力和投入，相信安全产业定会快速成型——客户会更加成熟，技术会更加成熟，企业也会更加成熟。

　　核心观点

　　安全产业正在快速成型，客户会更加成熟，技术会更加成熟，企业也会更加成熟。

　　恶意软件威胁上升

　　McAfee Avert 实验室和产品研发高级副总裁 Jeff Green

　　主要负责管理McAfee全球的研究机构，拥有十年的安全软件从业经验，曾经在McAfee研发部担任了七年高级副总裁。

　　当我们看到尖端技术不断发展的时候，普通用户发现或避免恶意软件感染变得更加困难。

　　根据目前的趋势，迈克菲预计在2007年年底，将会发现第30万个威胁。在2007年，这些威胁主要集中在以下几个方面。

　　密码盗取站点不断上升。更多攻击试图通过仿冒的登录页面捕捉用户的ID和密码，以及针对在线服务站点（eBay）攻击不断上升，将在2007年更加明显。

　　图像垃圾邮件将会不断上升。图像垃圾邮件在过去的几个月里，增长迅速，而且这种趋势短期内不会改变。

　　网络站点的视频流行使之成为黑客的目标。在MySpace、YouTube和VideoCodeZone 上使用视频的形式不断增长，将吸引恶意软件编写者寻找渗透更多网络的机会。

　　更多移动攻击。随着利用蓝牙、短消息服务、即时消息、电子邮件、Wi-Fi、USB、音频、视频和Web进行连接，交叉设备污染的可能性大大增加。

　　广告软件将走向主流。在2006年，McAfee Avert实验室发现商业性PUP不断增长，而且相关类型的恶意木马，特别是键盘记录程序、密码盗取者、僵尸网络以及后门程序表现出更大增长。

　　身份盗取和数据损失将继续成为公众问题。公司泄漏丢失或数据被盗，不断增长的网络犯罪以及零售商、处理器和ATM系统被黑以及包含有机密数据的笔记本电脑被盗，将继续成为公众担忧的话题。

　　僵尸网络将继续增长。僵尸网络、执行自动化任务的计算机程序在不断上升，但将从低级的通信机制Internet Relay Chat (IRC)转向更少强迫式的方式。

　　寄生恶意软件正在回头。虽然寄生类恶意软件在所有恶意软件只占有不到10%的份额，但它看起来好像有回头的迹象。

　　核心观点

　　恶意软件的威胁将不断上升，普通用户发现或避免恶意软件感染变得更加困难。