今年的两会告一段落,网络安全却从不停歇

[摘要]在一片叫好声中,今年的两会圆满落下了帷幕。可作为关乎到国家安全的关键,围绕网络安全这一主题的讨论,从未停止过。

在一片叫好声中,今年的两会圆满落下了帷幕。可作为关乎到国家安全的关键,围绕网络安全这一主题的讨论,从未停止过。

记得在《亮剑》这部电视剧里,李云龙曾多次因为自己犯下的错误,背上炊事班长行军做饭用的大黑锅。而随着网络文化的发展,“背锅”、“背锅侠”、“接锅”这些词,逐渐流行开来。

与巨大的信息产业规模相比,中国网络安全市场规模显得有些“微不足道”,这是现阶段一个不争的事实。这时候,有人开始出来“分锅”了,其中网络安全技术成为了最重要的一个“背锅侠”之一。

1

说中国的网络安全产品技术实力不如老美和以色列等网络安全强国,这话没人能站出来反驳。没办法,他们发展的早、人才密度高,而在20年前,国内的网络安全技术研发,几乎可以说是一穷二白。

于是乎,在很多“印象流砖家”眼里,把锅扔给技术,好像没啥毛病。但现在呢?借用中国工程院编写的《2016中国电子信息技术发展状况蓝皮书》中的一段话:近年来,我国紧跟全球发展趋势,在主动防御、安全自动化与安全智能、大数据安全、工控安全与支付安全等领域不断发力,逐渐缩小与国际先进水平的差距,并在以量子通信为代表的部分领域,走在了国际前列。

差距还是有的,但绝不是天差地别。“从这几年我们参加RSA大会的经历来看,我们国家的安全理念和安全技术,和国外也没有太大差别。”启明星辰核心技术研究院周涛博士说到。全国政协委员、启明星辰信息技术集团股份有限公司首席执行官严望佳在接受记者采访的时候也说过,从技术发展状况来看,前些年国内外差距比较明显,但这两年国内外差距已经不大了,甚至国内还有一些超前的理念和产品。

2

伴随着国产化网络安全技术的快速发展,国家对于网络安全的重视程度越来越高,尤其是针对关键信息基础设施的网络安全防护,这一点从去年6月正式施行的《网络安全法》中就能够得到体现。一方面为了满足合规要求,另一方面是真的害怕出事儿,网络安全负责人不得不去购买网络安全设备以及服务,搭建网络安全体系。

但这个时候有一些问题:在国内搞网络安全的这些人卧薪尝胆,辛苦二十年,终于看到了中国弯道超车的曙光,可客户却不怎么“买账”:国外的安全设备我用的好好的,现在要换成国内的,成本啊、时效啊都是麻烦事儿;我要买国产的安全设备,有什么优惠政策嘛?

为什么要买国产安全设备?严望佳在《关于推动国产安全设备在关键信息基础设施保护中应用的提案》中就表达了这样的观点,我简单概括一下:其一,国外网络安全设备存在难以控制的风险;其二,运营者缺乏采购国产安全设备的主动性;其三,政策方面缺乏激励引导。

3

第一点其实很容易理解,业界也普遍达成了共识:由于闭源,国外的设备可能存在不可预知的安全风险,而国内的设备则更容易接受相关机构的监管。当然另一方面也可以加快推动国内网络安全产业的发展。

那么另外两点怎么理解呢?先看看这样一个模型。

 

这张图反映了网络安全产业相关四个层面的关系。其中,我们明确可以看到需求侧为网络安全买单的驱动力有两种:需求驱动和合规驱动,也就是说我搞安全是为了不让黑客黑我和“有关部门”罚我。

但是,从《网络安全法》的具体条款来看,并没有针对国产安全设备的相关政策,不论是考虑到需求和合规,运营者购买国内外的产品没太大区别。所以,关键信息基础设施的运营者缺乏购买国产安全设备的主动性。

并且,如果我们再进一步研究就会发现,搞安全主要就是在消除潜在的负面影响,降低损失,并不会带来很多积极的影响,还会给信息系统的易用性造成一定程度上的影响,没事儿的时候还看不出啥效果。假设国家在政策方面给予一些鼓励和引导,尤其是鼓励买国产安全设备,比如补助或者税费上的优惠,那么运营者的主动性会不会就能显著提升呢?

举个典型的例子。长期以来,我国工业控制系统都处于隔离状态,不与互联网相连,因此我国工控安全起步非常晚。然而,从目前的形势来看,工业互联网、工控网络与内部涉密网络的互联已经是大势所趋。但是,作为国家关键信息基础设施的重要组成部分,不仅工控本身要大量仰赖进口,工控安全也同样如此。在大量采购国外设备的情况下,更换国产设备的成本只高不低。如果没有一定的鼓励和引导,运营者更换国产安全设备的主动性从何而来?

4

针对这些问题,严望佳提出了两点非常有针对性的意见:

第一, 对关键信息基础设施的运营企业购置国产网络安全设备出台税收优惠政策。这个主要是借鉴环保行业的例子,企业采购国家指定的环保设备,可以减免部分所得税。同理,国家可以出台类似政策,减免采购指定国产安全设备企业的所得税。大家都明白,企业对于员工不能只有惩罚手段,要赏罚分明,做得不好可以有一定的惩罚,做得好当然要给予一定的奖励。

第二,对企业可享受税收优惠的网络安全设备进行明确。具体而言,政府可以制定发布“关键信息基础设施安全保护专用设备名录”,成为企业加强关键信息基础设施安全防护的切实动力。有这样一个量化的指标,国家就可以进一步规范国内网络安全产品技术的发展,从而推动国内网络安全产业不断进步。




版权声明:

凡本网注明”来源:中国软件网(http://www.soft6.com)”的所有作品,版权均属于中国软件网或昆仑海比(北京)信息技术有限公司,未经本网书面授权,不得转载、摘编或以其它方式使用上述作品。

任何行业、传播媒体转载、摘编中国软件网(http://www.soft6.com)刊登、发布的产品信息及新闻文章,必须按有关规定向本网站载明的相应著作权人支付报酬并在其网站上注明真实作者和真实出处,且转载、摘编不得超过本网站刊登、转载该信息的范围;未经本网站的明确书面许可,任何人不得复制或在非本网站所属的服务器上做镜像。

本网书面授权使用作品的,应在授权范围内使用,并按双方协议注明作品来源。违反上述声明者,昆仑海比(北京)信息技术有限公司将追究其相关法律责任。