构建网络安全的长城
近两年来,网络安全问题正在成为越来越多的行业、企业关注的焦点问题之一。8月12日,中国信息协会信息安全专业委员会在新疆召开年会暨网络安全研讨会。我们组织了本期专辑,希望能帮助大家系统地了解有关网络安全方面的情况。
经过多年的努力,尤其是这两年网络大潮的推动,我国的网络建设已经取得了很大的成绩。为了保证更好地利用网络,各行各业、大大小小的企业都会更加关注网络安全问题。面对来自互联网的各种威胁,我们的网络安全建设也正在一步一个脚印地走向前。
据统计,银行、证券、电信、政府机构及各类非电信的网络服务提供商如isp、icp、idc等用户目前是网络安全产品市场的主要消费者,他们合计占市场的60%到65%。电力、能源、交通等传统行业和其它中小企业分享余下的绝大部分市场。对于个人用户,他们对网络安全的注意力集中在低端杀毒和防火墙等产品上,这其中的市场竞争也相当激烈,但本期不作为重点来介绍。
根据赛迪数据的报告,2000年国内网络信息安全产品市场总体上与1999年相比增长超过40%,反病毒、防火墙、商用密码、ca系统和漏洞扫描与入侵检测(idna)这五大类产品全年销售总额达到12.8亿元,加上其它一些网络安全产品,如网络安全管理系统、网络安全审计系统等,全年网络信息安全产品的销售总额达到13-14亿元。可以看到我国的网络安全市场正处于高速成长期。
我国的信息化速度和网络应用发展水平是影响近两年网络安全产品市场增长速度的主要因素。网络用户的安全意识也在相当程度上影响网络安全产品的市场变化。另一个不可忽视的因素是网络技术的发展,如果有足以更改当前安全规则的新的技术冲击,也可能引起安全市场的变革,这是高科技市场的共性。同时网络安全厂商对市场的培育与开发、对自己服务或产品的营销,都会导致市场总体发展和分布的变化。相信随着自身竞争能力提高加上政府的支持,在这个市场里,国内企业还是拥有很大的舞台的。
下面我们将选择几个重点行业,看一看他们在网络安全方面的观点、需求和建设情况。
数据中心 开发服务
互联网数据中心(idc)既是安全产品的消费者,也是安全服务的提供者。因此,他们面临的网络安全问题是全方位的。
现在各类互联网公司仍是idc最大的客户来源,他们也是安全产品和网络安全服务的重要客户。idc主要向他们的客户提供数据接入、托管方面的服务,很自然会利用他们与客户的这一层业务关系开发各种增值服务。在行业走向将安全系统评估及分析扫描等周边服务捆绑起来的所谓“一站式”服务的潮流中,安全是获得客户信任的基础和保障。也就是说,网络安全服务对idc来说不仅是有利可图的更是必须的。当客户把自己的业务交给一家idc“保管”的时候,idc就已经向他们作出了“安全”的承诺。这个“安全”不仅体现在他们的24小时保安值守和八级抗震的机房,计算机网络系统的安全才是需要idc付出更大精力处理的问题。如果一个数据中心具有整套安全方案设计、实施的技术能力和配套服务能力,就能使客户的网络业务得到持续稳定的保护。
国内的idc对网络安全服务采取了不同的策略,有的是将客户安全业务外包给专业的网络安全服务公司,有的自己成立专门的网络安全部门,总之要使客户的数据万无一失。因为数据中心行业的客户来自不同行业且规模各异,所以idc对其客户在网络安全方面认识的评估,对我们评估我国各类企业在这方面的总体认识水平有很高的参考价值。来自数据中心的估算是,在国外企业对网络安全投资约占建设总投资近20%的同时,一般国内企业的网络安全投资仅仅为5%。
我国互联网数据中心运营商对网络安全有深刻的认识。以国内著名的独立商业数据中心世纪互联为例,他们成立了专门的安全服务部,并使网络安全部门在公司整体业务中具有战略意义。他们强调与各地各类网络安全服务提供商的合作,因为网络安全是需要尽力联合最多的力量通过广泛协作去实现的。
互联网数据中心热情地向客户提供网络安全服务,他们的客户的重视程度却显得有些不够。当然,不重视安全的一个原因是相当部分的客户还没有把自己的关键数据放上来。如有些站点的主要用途是一般性的信息发布,这些客户可能认为这样的信息就算受到了冲击,恢复一下就好了,而投入大量的资金与人力进行网络安全保护似乎不太必要。看来网络安全产业的发展必须与网络本身的发展联系起来,当客户的重要数据上了网,他们对网络安全的关注应该会增多。
金融行业 保障安全
银行和证券业的业务上网,是典型的关键数据上网,所以网络安全是他们网络建设过程中最关心的事情之一。
银行利用网络开展业务,可以有效地提高银行工作的效率,提高银行业的服务水平,互联网应用也有助于提高银行自身的内部管理水平。由于金融信息对安全十分敏感,无疑拥有网上业务的银行会十分重视网络安全。同样毋庸置疑的是,对于证券业,网络安全也是其开展网上服务的基本保证之一。比如网上证券交易,这其中所涉及的是对交易双方都很关键的数据。
国内证券营业部的网络建设比较早,部分证券营业部系统的更新升级很少,技术力量相对较薄弱,各类证券信息资料根本不加密。同时,有些证券营业部早期发展没有注重安全因素,造成他们的证券网络相当开放,易于被不法分子侵入、黑客攻击破坏及内部人员利用职务之便进行违法犯罪活动,而使证券公司和投资者蒙受巨大损失。近两年随着网络建设工作的深入,安全问题已经得到证券业的重视,在网络安全上的投入逐年加大。
随着银行业务竞争加剧,网上银行已是各家银行开拓业务的必争之地。网上支付向银行客户提供了网上消费支付结算业务,使客户不用出门就可以进行交易。网上银行的网站建设需要涉及ca认证中心和数据加密等网络安全技术,因此金融业客户也是这两个产品市场最重要的行业客户。据统计,目前国内开展实质性网络银行业务的银行分支机构达50余家,客户数超过40万户,50多家银行发行银行卡两亿多张;证券公司已经达到104家,正式开通网上交易业务的券商超过了70家,其中通过证监会网上业务资格核准的有23家。随着网上银行、网上证券交易的发展,金融业对网络信息安全产品的需求更加突出,构造金融业电子商务交易安全的综合保障体系是他们共同的心声。
招商银行的网上业务开展得较早。我们看到,其网上支付卡等网上业务在安全保护上有自己的特点:实行帐户分立,密码分设;网上传输的信息采用随机密码机制,每次传输都使用不同的密码;减少中间环节,支付信息直接发送银行;帐户信息和交易信息不在客户端存储;ssl协议加强信息传输的安全性等。同时网上银行还在业务控制上采取了有力措施,确保了安全和损失最小化。
政府机关 加快步伐
近年来,我国政府十分重视电子商务的发展,做出了完善的规划:创造技术、网络、商务和法制环境,例如制订电子商务的基本法规及有关税收和关税、电子支付、电子签名、身份认证等法规;建立覆盖全国的现代化物流配送体系;建立完善的金融监管系统,为电子商务发展奠定可靠的信用基础;加快认证和信用体系,特别是企业信用体系与消费者信用体系的建设;积极参与国际多边、双边有关电子商务的立法。
我国政府机构对信息系统的安全性也一直十分重视。“政府上网年”以来已经有大量的信息服务通过互联网向社会开放,随着认识的深入,更多的应用服务会逐渐地上网,网络系统的安全问题也已经被提到日程上来。电子政务的开展与其它网络应用相比,社会影响大得多,所以说政府上网对网络安全是不容忽视的。
由于建设规模较大,政府上网要涉及的网络安全产品基本包括了网络安全的五大类产品,其中防入侵类产品与商用密码占的份额较多。根据赛迪数据的调查,政府机构在安全方面的投入已经位居金融和信息行业之后排在第三位,2000年在网络安全软件的行业应用市场中占到12.7%。
2001年6月18日,北京市地方税务局举行了网上纳税服务系统开通仪式。网上纳税申报具有简便易行、节约成本、提高效率的特点。北京地税局与神州数码合作开发的税收征管系统是构架在23个区县局和217个税务所业务上的管理信息系统,供网上纳税申报及网上ca认证等服务。国税总局对推动下属各级国税地税单位丰富包括网上征税等征税手段的态度十分积极。考虑到各地各级的税务部门在网上征税业务方面开展的水平相差较大,这也意味着我国税务系统在网络安全方面会加大投入。
电子商务 正在完善
电子商务企业除了要为商务流程费尽心机,还要保障计算机网络系统和数据全面的安全。
以卓越网为例,他们认为:电子商务领域的涉及的网络平台多样,网络拓扑复杂,这就增加了安全建设及管理的难度。操作系统自身的安全隐患以及为数众多的安全试探者和攻击行为也对网络安全形成一定的挑战。目前国内总体的网络安全环境不是很理想,主要是普遍安全意识不够,安全防范措施不够规范、健全,而且有高技术水平和高水准规范服务的网络安全集成商较少。
对一个电子商务公司来说,建设一个有保障的网络安全环境至少需要做以下方面的工作:分析自身的系统、网络及应用,制订网络安全目标及实施策略,选择适当的安全产品及服务,制定安全规范及安全管理制度,随时关注安全动态并采取相应措施等等。网络安全的建设没有“完成”的时候,需要随时跟进,不能停歇。
除了自身计算机网络系统的安全,交易安全是关系到交易双方和整个市场稳定的关键问题,也是电子商务在市场中推广中的最大障碍之一。面对互联网这个开放的环境,交易安全需要积极向国际通用标准靠拢。虽然目前尚未公布正式的电子支付的国际标准,但西方国家较多采用的是visa和mastercard共同开发的set标准。
另外,还要加强发挥认证中心(ca)的作用。我国的认证中心虽然已经不少,但还需要给电子商务界更多的支持。
经过多年的努力,尤其是这两年网络大潮的推动,我国的网络建设已经取得了很大的成绩。为了保证更好地利用网络,各行各业、大大小小的企业都会更加关注网络安全问题。面对来自互联网的各种威胁,我们的网络安全建设也正在一步一个脚印地走向前。
据统计,银行、证券、电信、政府机构及各类非电信的网络服务提供商如isp、icp、idc等用户目前是网络安全产品市场的主要消费者,他们合计占市场的60%到65%。电力、能源、交通等传统行业和其它中小企业分享余下的绝大部分市场。对于个人用户,他们对网络安全的注意力集中在低端杀毒和防火墙等产品上,这其中的市场竞争也相当激烈,但本期不作为重点来介绍。
根据赛迪数据的报告,2000年国内网络信息安全产品市场总体上与1999年相比增长超过40%,反病毒、防火墙、商用密码、ca系统和漏洞扫描与入侵检测(idna)这五大类产品全年销售总额达到12.8亿元,加上其它一些网络安全产品,如网络安全管理系统、网络安全审计系统等,全年网络信息安全产品的销售总额达到13-14亿元。可以看到我国的网络安全市场正处于高速成长期。
我国的信息化速度和网络应用发展水平是影响近两年网络安全产品市场增长速度的主要因素。网络用户的安全意识也在相当程度上影响网络安全产品的市场变化。另一个不可忽视的因素是网络技术的发展,如果有足以更改当前安全规则的新的技术冲击,也可能引起安全市场的变革,这是高科技市场的共性。同时网络安全厂商对市场的培育与开发、对自己服务或产品的营销,都会导致市场总体发展和分布的变化。相信随着自身竞争能力提高加上政府的支持,在这个市场里,国内企业还是拥有很大的舞台的。
下面我们将选择几个重点行业,看一看他们在网络安全方面的观点、需求和建设情况。
数据中心 开发服务
互联网数据中心(idc)既是安全产品的消费者,也是安全服务的提供者。因此,他们面临的网络安全问题是全方位的。
现在各类互联网公司仍是idc最大的客户来源,他们也是安全产品和网络安全服务的重要客户。idc主要向他们的客户提供数据接入、托管方面的服务,很自然会利用他们与客户的这一层业务关系开发各种增值服务。在行业走向将安全系统评估及分析扫描等周边服务捆绑起来的所谓“一站式”服务的潮流中,安全是获得客户信任的基础和保障。也就是说,网络安全服务对idc来说不仅是有利可图的更是必须的。当客户把自己的业务交给一家idc“保管”的时候,idc就已经向他们作出了“安全”的承诺。这个“安全”不仅体现在他们的24小时保安值守和八级抗震的机房,计算机网络系统的安全才是需要idc付出更大精力处理的问题。如果一个数据中心具有整套安全方案设计、实施的技术能力和配套服务能力,就能使客户的网络业务得到持续稳定的保护。
国内的idc对网络安全服务采取了不同的策略,有的是将客户安全业务外包给专业的网络安全服务公司,有的自己成立专门的网络安全部门,总之要使客户的数据万无一失。因为数据中心行业的客户来自不同行业且规模各异,所以idc对其客户在网络安全方面认识的评估,对我们评估我国各类企业在这方面的总体认识水平有很高的参考价值。来自数据中心的估算是,在国外企业对网络安全投资约占建设总投资近20%的同时,一般国内企业的网络安全投资仅仅为5%。
我国互联网数据中心运营商对网络安全有深刻的认识。以国内著名的独立商业数据中心世纪互联为例,他们成立了专门的安全服务部,并使网络安全部门在公司整体业务中具有战略意义。他们强调与各地各类网络安全服务提供商的合作,因为网络安全是需要尽力联合最多的力量通过广泛协作去实现的。
互联网数据中心热情地向客户提供网络安全服务,他们的客户的重视程度却显得有些不够。当然,不重视安全的一个原因是相当部分的客户还没有把自己的关键数据放上来。如有些站点的主要用途是一般性的信息发布,这些客户可能认为这样的信息就算受到了冲击,恢复一下就好了,而投入大量的资金与人力进行网络安全保护似乎不太必要。看来网络安全产业的发展必须与网络本身的发展联系起来,当客户的重要数据上了网,他们对网络安全的关注应该会增多。
金融行业 保障安全
银行和证券业的业务上网,是典型的关键数据上网,所以网络安全是他们网络建设过程中最关心的事情之一。
银行利用网络开展业务,可以有效地提高银行工作的效率,提高银行业的服务水平,互联网应用也有助于提高银行自身的内部管理水平。由于金融信息对安全十分敏感,无疑拥有网上业务的银行会十分重视网络安全。同样毋庸置疑的是,对于证券业,网络安全也是其开展网上服务的基本保证之一。比如网上证券交易,这其中所涉及的是对交易双方都很关键的数据。
国内证券营业部的网络建设比较早,部分证券营业部系统的更新升级很少,技术力量相对较薄弱,各类证券信息资料根本不加密。同时,有些证券营业部早期发展没有注重安全因素,造成他们的证券网络相当开放,易于被不法分子侵入、黑客攻击破坏及内部人员利用职务之便进行违法犯罪活动,而使证券公司和投资者蒙受巨大损失。近两年随着网络建设工作的深入,安全问题已经得到证券业的重视,在网络安全上的投入逐年加大。
随着银行业务竞争加剧,网上银行已是各家银行开拓业务的必争之地。网上支付向银行客户提供了网上消费支付结算业务,使客户不用出门就可以进行交易。网上银行的网站建设需要涉及ca认证中心和数据加密等网络安全技术,因此金融业客户也是这两个产品市场最重要的行业客户。据统计,目前国内开展实质性网络银行业务的银行分支机构达50余家,客户数超过40万户,50多家银行发行银行卡两亿多张;证券公司已经达到104家,正式开通网上交易业务的券商超过了70家,其中通过证监会网上业务资格核准的有23家。随着网上银行、网上证券交易的发展,金融业对网络信息安全产品的需求更加突出,构造金融业电子商务交易安全的综合保障体系是他们共同的心声。
招商银行的网上业务开展得较早。我们看到,其网上支付卡等网上业务在安全保护上有自己的特点:实行帐户分立,密码分设;网上传输的信息采用随机密码机制,每次传输都使用不同的密码;减少中间环节,支付信息直接发送银行;帐户信息和交易信息不在客户端存储;ssl协议加强信息传输的安全性等。同时网上银行还在业务控制上采取了有力措施,确保了安全和损失最小化。
政府机关 加快步伐
近年来,我国政府十分重视电子商务的发展,做出了完善的规划:创造技术、网络、商务和法制环境,例如制订电子商务的基本法规及有关税收和关税、电子支付、电子签名、身份认证等法规;建立覆盖全国的现代化物流配送体系;建立完善的金融监管系统,为电子商务发展奠定可靠的信用基础;加快认证和信用体系,特别是企业信用体系与消费者信用体系的建设;积极参与国际多边、双边有关电子商务的立法。
我国政府机构对信息系统的安全性也一直十分重视。“政府上网年”以来已经有大量的信息服务通过互联网向社会开放,随着认识的深入,更多的应用服务会逐渐地上网,网络系统的安全问题也已经被提到日程上来。电子政务的开展与其它网络应用相比,社会影响大得多,所以说政府上网对网络安全是不容忽视的。
由于建设规模较大,政府上网要涉及的网络安全产品基本包括了网络安全的五大类产品,其中防入侵类产品与商用密码占的份额较多。根据赛迪数据的调查,政府机构在安全方面的投入已经位居金融和信息行业之后排在第三位,2000年在网络安全软件的行业应用市场中占到12.7%。
2001年6月18日,北京市地方税务局举行了网上纳税服务系统开通仪式。网上纳税申报具有简便易行、节约成本、提高效率的特点。北京地税局与神州数码合作开发的税收征管系统是构架在23个区县局和217个税务所业务上的管理信息系统,供网上纳税申报及网上ca认证等服务。国税总局对推动下属各级国税地税单位丰富包括网上征税等征税手段的态度十分积极。考虑到各地各级的税务部门在网上征税业务方面开展的水平相差较大,这也意味着我国税务系统在网络安全方面会加大投入。
电子商务 正在完善
电子商务企业除了要为商务流程费尽心机,还要保障计算机网络系统和数据全面的安全。
以卓越网为例,他们认为:电子商务领域的涉及的网络平台多样,网络拓扑复杂,这就增加了安全建设及管理的难度。操作系统自身的安全隐患以及为数众多的安全试探者和攻击行为也对网络安全形成一定的挑战。目前国内总体的网络安全环境不是很理想,主要是普遍安全意识不够,安全防范措施不够规范、健全,而且有高技术水平和高水准规范服务的网络安全集成商较少。
对一个电子商务公司来说,建设一个有保障的网络安全环境至少需要做以下方面的工作:分析自身的系统、网络及应用,制订网络安全目标及实施策略,选择适当的安全产品及服务,制定安全规范及安全管理制度,随时关注安全动态并采取相应措施等等。网络安全的建设没有“完成”的时候,需要随时跟进,不能停歇。
除了自身计算机网络系统的安全,交易安全是关系到交易双方和整个市场稳定的关键问题,也是电子商务在市场中推广中的最大障碍之一。面对互联网这个开放的环境,交易安全需要积极向国际通用标准靠拢。虽然目前尚未公布正式的电子支付的国际标准,但西方国家较多采用的是visa和mastercard共同开发的set标准。
另外,还要加强发挥认证中心(ca)的作用。我国的认证中心虽然已经不少,但还需要给电子商务界更多的支持。
责任编辑:eworks
- 上一篇文章:我国网络安全现状及解决途径调查
- 下一篇文章:集线器的几种选择
近期热点
相关文章
相关博客
相关书籍