国内信息安全现实堪忧

　　中国是被监视的重灾区。中国国家互联网应急中心的报告显示，仅去年就有7.3万个境外IP地址参与了控制中国境内1400余万台主机的网络攻击事件;有3.2万个境外IP地址通过植入后门，对中国境内近3.8万个网站进行了远程控制。

　　然而，我们的信息安全意识却与美国差距甚大。互联网时代，我们已越来越习惯于享受信息系统带来的种种便利，在不知不觉中对相关软硬件产品、服务乃至模式产生无法摆脱的依赖，同时对信息安全隐患却表现出不应有的麻木。在信息和网络的漫长链条上，谁都有机会接触到我们提交的数据(不乏机密数据)，任何一个环节都可能出现安全问题。

　　谈到信息安全，我们可能谈得更多的是产品安全、技术水平等，聚焦供应链安全的却很少。但实际上，由于我们对外依赖度高，从信息系统的生产者，到信息系统的运行维护者，再到服务的提供者，谁都可能接触到我们的机密数据。正如启明星辰首席战略官潘柱廷所说，“棱镜”的曝光应该让我们认识到，主流供应链安全比其他安全问题更具有根本性和彻底性，目前我们对此重视不够，甚至损失供应链安全去换取一些其他东西，这非常危险。

　　而在中国信息安全自主可控能力不足的背后，是中国信息安全顶层战略设计的缺失。在IDF互联网威慑防御实验室联合创始人万涛看来，中国信息安全产业经历的20年，最需要反思的是国家层面的安全，但事实上，从业者在实践中却常常急功近利，怎么赚钱怎么来。“棱镜门”警醒我们，如果只有投机而没有战略，就根本谈不上与别国展开博弈。

　　在安全技术层面，国家网络信息安全技术研究所所长、中国国家互联网应急中心(CNCERT/CC)副总工程师杜跃进指出，目前，我国在网络安全能力上全面不足，包括：漏洞研究与漏洞处理、事件发现与早期预警、事件处置与应急响应、应急预案与应急演练、安全测试与渗透测试、软件安全与安全编程、攻防研究与演练验证，都存在能力缺陷。

　　信息安全人才的缺乏让安全产业发展后劲不足。与英美发达国家相比，中国高校的信息安全专业教育与实际人才需求存在较大的鸿沟，缺乏适合实践的体系化培训。国内高校信息安全相关专业教学中，很多信息安全专业的主要学习内容是密码学，这对信息安全实践工作来说远远不够。