信息安全能力全面不足

　　“棱镜”计划的曝出，让中国信息安全界陷入深刻反思。国家网络信息安全技术研究所所长、中国国家互联网应急中心(CNCERT/CC)副总工程师杜跃进指出，目前，我国在网络安全能力上全面不足，包括：漏洞研究与漏洞处理、事件发现与早期预警、事件处置与应急响应、应急预案与应急演练、安全测试与渗透测试、软件安全与安全编程、攻防研究与演练验证，都存在能力缺陷。(详见《杜跃进：“棱镜”凸显中国信息安全能力亟待增强》)

　　漏洞处理方面，面对国家间的攻击，原有的漏洞发现与共享机制出现了重大问题：攻方如果是国家，一些漏洞会被当作战略资源储备，防守方无法再从原来的渠道通过共享获得漏洞信息。风险评估方面，在保护重点目标方面还不够，今天的网络中不同的应用、系统、设备等的相互关联关系异常复杂，但我们的风险评估还只是单点的，很难看出复杂网络的整体风险。安全测评方面，国内对于设备、软件、大型系统的安全性测试能力还比较弱，在安全测试所需要的方法研究、经验和数据积累、专用设备与平台等方面十分欠缺。攻防技术方面，缺乏系统化，分析能力不足。

　　事件处置方面，我们在一些核心软硬件产品、重要系统运行上都依赖国外，在宏观数据方面也处于战略被动地位，这会导致在事件处置(包括打击犯罪)时很被动。在应急响应方面，面对新的威胁我们可以说是完败。我们发现Flame的时候，它都传播好几年了，发现之后也分析不了，更谈不上应急。而对于国家间的网络攻击，如果我们前期什么都不知道，想应对最后的致命攻击完全不可能。应急演练方面，除了规则的演练，还要有单项技能演练、综合情况下攻击的防范和演练，以及真实环境下的实际演练。但是我们现在还没有这样系统化的演练，配套的演练手段和环境支持也十分缺乏。

　　“棱镜”事件凸显了“自主可控”的紧迫性。然而，一位互联网用户企业坦言，不是不想支持本土企业，而是国内安全企业的产品总是差强人意。比如，当测试到IPS时发现识别比例都只有50%时，当测试到上网行为管理产品无法满足企业需求时，企业根本不敢再用国产产品。这位用户表示，这种情况在网络设备选型中也同样会出现。

　　在自主可控方面，还有一种伪自主可控现象需要关注：一些本土安全企业OEM国外产品再贴上自己的品牌，就自称“自主创新”，这种情况不能称之为“自主可控”。