|
【电脑商网专稿】关注2008年网络安全市场就不能不提等级保护。何谓等级保护?根据相关条例、法规,从2007年开始,国家要求对涉及国计民生的基础信息网络和重要信息系统按其重要程度及实际安全需求,进行分级保护、分类指导、分阶段实施,保障信息系统安全正常运行和信息安全。这也就意味着国有控股的大部分行业即将开始新一轮的安全投资。
于淼:等级保护为新兴安全厂商带来发展机会。
等级保护采购元年
其实早在上世纪九十年代,中国就制定了等级保护制度。1994年,国务院发布实施《中华人民共和国计算机信息系统安全保护条例》。之后,公安部等四部委又陆续出台了《计算机信息系统安全保护等级划分准则》、《信息安全等级保护管理办法》一系列条例、标准。随着各项条例、通知的下发,2007年被称为等级保护的启动元年,而由于要对现有信息安全系统进行加固,大量产品和服务采购即将开始,2008年则被普遍视为等级保护采购元年。
为何称2008年为等级保护采购元年?依照国家标准,等级保护将分三步推进:第一阶段,宣传培训、试点、推广信息安全等级保护试点经验和方法,落实安全管理制度和责任,由各单位确定保护等级,加固改造现有系统安全,报其上级主管部门审批后实施。第二阶段,完成现有系统加固改造,开展部分新建工作,初步实现规范化、等级化、制度化、法制化,保障基础信息网络安全和重要信息系统安全。第三阶段,逐步更新网络系统的安全设备,基本实现信息安全技术产业化。据了解,2007年各行业基本完成了自行确定保护等级的工作,目前正在等待各地公安机关的评估、审核,预计三月份之后一批走得快的试点项目即将进行招标。大规模招标将从2008年下半年开始。
等级保护涉及党政系统、金融系统、财税系统、经贸系统、电信系统、能源系统、交通运输系统、供水系统、社会应急服务系统、教育科研系统、国防建设系统。
在众多行业中,谁将是2008年等级保护最大的买单者?等级保护既然是政府推动的安全理念,那政府行业自然是最大的客户。根据IDC报告显示,多年来,行业安全市场规模依次为电信、政府、金融,但由于等级保护的出现,2008年,政府的安全需求将有可能首次超过电信市场。
从各行业的采购看,2007年,为了迎接奥运会,电信运营商已经先期在安全方面进行投入。在奥运会闭幕之后,政府部门等级保护项目将陆续招标。当然我们也看到,各省对等级保护的推进速度也不尽相同,浙江省以立法的形式向各单位推进,而有些省只是转发了国家的通知,各单位还处于观望态度。
等级保护独缺安全管理
等级保护市场潜力巨大,关注这一市场的力量较多,正是由于不同流派对市场的切入点不同,也就形成了对等级保护不同的理解,形成了不同的解决方案。对于一些产品比较成熟,产品线较长的国内厂商而言,参与的意义在于将现有产品线更好地融入到等级保护,在未来的市场中占有更大的份额。这类厂商提出的解决方案核心是以现有产品为基础,配合人工化的管理流程,以提高安全保障等级。
在等级保护市场中,还有一股新势力,这些公司对用户的需求较了解,这些公司在与用户的接触中发现,现有的产品不能完全满足用户的需求。北京上锋信安科技有限公司是国内较早关注等级保护制度的安全解决方案提供商。该公司副总经理于淼表示,在介入等级保护业务的初期,用户总会提出疑问:你的服务标准是什么?服务流程如何监督?在研究了国内国际相关的安全管理规定后,上锋信安科技认为《计算机信息系统安全保护等级划分准则》是可以遵从,并适合国内现有情况的安全管理依据。
同时,于淼介绍说:“在研究了相关标准之后,我们发现如果利用现有产品实现标准,用户的实施成本较高,当时安全企业只能提供防火墙、IDS等被动防御工具,根据国际上普遍遵循的PDCA(管理闭环)准则,现有的安全解决方案检测到安全威胁,但不能对安全威胁进行及时有效的处理,最终还是不能避免或降低用户的安全损失。”2003年初,上锋信安开始与相关安全技术研究机构合作,提出了USM(统一安全管理)安全管理理念,并推出了相关产品。USM将安全管理标准化、硬件化、产品化,解决了之前有监控无管理的状况。
上锋信安科技的案例并不孤立,随着等级保护项目的推进,例如安全身份认证、安全数据库加密等新技术还会不断衍生,可能还会有方案提供商在细分市场中研发出具有独立知识产权的产品。 |
