记者在会场得到这样一则信息:就目前的安全现状来说,每个安全厂商都是基于自己的安全产品来制订产品应用方案,即使号称能够提供全套解决方案的厂商,也都是基于自己的产品而对安全问题进行的假设,这种产品本位的安全思想具有很大的局限性,它严重阻碍了企业的安全进程。而事实上,每个行业都有不同的业务流,因此对安全有更加个性化的需求,从而滋生以应用为主要目的应用安全。
就产品本身而言,由于没有很好的集成,也严重影响到了应用的实效。目前我们安全产品的集成属于产品的叠加,产品之间没有统一标准的通信接口,和统一的整体解决方案以及互动联合协作,导致用户在选择产品的过程中只能繁琐地进行重复建设。
对此,国家信息化专家咨询委员会委员曲成义指出:要确保应用安全,安全厂商应当真正摆脱产品本位的思想,深入到行业内部、对一些典型应用进行深入的调查和研究,从而提出以应用为主的新型安全解决方案。
携手标准“固”安全
“一流厂商卖标准,二流厂商卖技术,三流厂商卖产品。”这句业界传播甚广的流行语凸显了标准的重要性。标准是技术演进的产物,技术积累与产品成熟更加强了安全产业对标准的诉求。
会上, 国务院信息化工作办公室吕诚昭副司长强调了标准的重要性。制定安全业自己的标准是稳固中国在国际舞台发言权的重要筹码,也是推动产业联盟的重要环节。据思科系统网络技术有限公司安全顾问卢佐华介绍,不久前举行的RSA大会上的一个热点话题就是建立一个安全的开放式架构。目前,在既有的安全标准中已有一些现有模式,如可信计算组织TCG最早的思路,就是在硬件设备中集成安全芯片,通过提供安全属性来保证设备终端安全。另外,还有一个著名组织IETF,即互联网工程任务组。
除了这两个组织一直致力于安全标准的开放联合合作之外,现在各个公司也在致力于这方面的工作,目的是在网上建立一个开放标准的验证模式,以便更好地在各个产品当中无缝集成和应用,解决网上交易以及相关认证方面出现的问题。
“安全是一个生态环境,是一个供应链,不可能只靠硬件厂商,也不可能只靠软件厂商来完成,必须要靠整个供应链,整个生态环境里面各个角色来完成。”构筑一条安全产业联盟战线也是参会企业代表的共同声音。在安全的生态圈中,任何角色都不会单一存在,厂商间的互动交流合作,才能构筑保障信息安全的新长城。
大会声音
国务院信息化工作办公室副司长 吕诚昭
现在高新技术产业的利润仅仅为1.9%。如果知识产权不能得到保护,利润率可能更低。因此,我们必须在国际形成核心计算标准的时候,也拥有自己的专利。我的观点是做标准研究,国内目前唯一能做到就是TPM。因而我呼吁我们的企业也要加入这方面的研究工作.
中国工程院院士 方滨兴
我们对信息安全属性提高结果没有一个量化,目前的一些指标体系没有直接的反映。就好比我们在比较一个设备,比较一个防火墙,更多比较的是自身的属性,没有一个直接对应,不能确定加了这个属性提高了什么样的量化。我们都缺少这方面的具体实践。
国家信息中心首席工程师 宁家骏
信息化不可能一步跨越,要明确需求,强化应用。反思信息化的特点我们可以看到,信息化建设和造一座桥梁不一样,这是一个软工程,属于行动工程。在这种情况下,我们更要强调协调性。
