冯登国 连一峰

     (信息安全国家重点实验室)
 

 一、信息安全威胁问题分析
     近两年来，中国企业信息系统用户的信息安全意识已经普遍得到提高，尤其是金融、电信、民航、电力、制造业等信息化程度高的重点行业，已经开始广泛部署各种网络安全技术和产品。然而，目前的安全形势依然不容乐观，病毒、木马、钓鱼攻击、垃圾邮件、僵尸网络、间谍软件、恶意软件、针对漏洞的攻击等依然会以各种不同的面貌出现，新的攻击形式也层出不穷。据统计，2007年电脑感染病毒的比例高达90.8%，其中电脑感染次数达五次的比例为35.8%；而账号/个人信息被盗、被改的则接近45%，其中账号/个人信息被盗1－2次的更高达63.2%。此外，仅2007年上半年我国被植入木马的主机IP较2006年就增长了21倍。除了恶意软件大幅度增加之外，2007还出现了暴风蠕虫，它是一系列后门木马和电子邮件蠕虫的统称，这些木马和蠕虫共同创建了大规模的分布式点对点僵尸网络。同时，入侵数据库的行为在2007年危害巨大，大量企业和政府的敏感数据被窃取。

    对于企业用户而言，过去的问题更多的是关于病毒和蠕虫，同时它们现在也仍然存在。当今更大的挑战在于间谍软件、入侵防护系统、网络欺诈和网络犯罪，这些是不能仅靠技术就可以解决的。从表面上看，病毒和蠕虫依然猖獗，但各种攻击手段的不断混合，使得企业面临不断变化着的安全环境和不断加剧的威胁，这正是企业大量投入信息安全建设却仍然无法得到安全感的原因所在。依据企业信息安全威胁的来源，可以分为来自企业外部的威胁和企业内部的威胁两大类。

    1.1 企业外部信息安全威胁

    企业外部信息安全威胁在形式上包罗了当前信息安全的各种形式，如病毒、木马、蠕虫、恶意软件等。据市场研究组织Webroot的最新统计，中国约有一半的企业遭受了恶意攻击，有组织的恶意攻击呈上升趋势。调查还发现，有40%的企业称因各类恶意软件攻击而受到了不同程度的损失，是所占比例最大的一部分；有26%的企业称，公司的机密信息被恶意软件盗取；有39%的企业宣称经常受到特洛伊木马的攻击；另有24%的企业则称，经常受到系统性监控攻击；有20%的企业受到键盘记录式攻击。

    2007年国家计算机网络应急技术处理协调中心(简称CNCERT/CC)接收非扫描类网络安全事件报告4390件。所报告的网络安全事件主要有网络仿冒、垃圾邮件和网页恶意代码事件等，根据报告的事件类型的统计情况如图1所示。与2006年相比，主要类型的安全事件数量均近成倍增加：网络仿冒事件数量由563件增加至1326件，增长率近1.4倍；垃圾邮件事件数量由587件增加至1197件，增长率达1倍；网页恶意代码事件数量由320件增加至1151件，增长率近2.6倍。

 图1 2007年网络安全事件类型分布

       另据CNCERT/CC监测到发现中国大陆被篡改网站的数量近年来增长迅猛。2007年，CNCERT/CC监测到中国大陆被篡改网站总数累积达61228个，比去年增加了1.5倍。近年来中国大陆网页被篡改情况年度统计如图2所示。

      图2 中国大陆网页被篡改情况年度统计

        

    在2007年，对信息安全威胁最大的是恶意软件，相应的传播恶意软件的网站也占据了2007年信息安全威胁的主导地位，依据高德纳咨询公司(Gartner)的统计数据，中国以32.95%的恶意网站数量居排行榜首位，美国以25.90%紧邻其后，这两个国家在近几年相关的恶意软件统计中几乎一直占主导地位，要改变排名先后取决于恶意软件编写的趋势和操作系统的发展。在中国最流行的恶意软件载体是被黑网站和所谓的“防弹主机”，在美国，主要是被黑客攻击“.com”网站和一些利用窃取的信用卡购买到的合法主机资源。俄罗斯和巴西分别占据第三和第四位。

    1.2 企业内部信息安全威胁

    在图1中，有30%的企业同时存在由于终端不符合安全要求带来的安全问题，这类安全问题往往来自企业内部。有最新的统计显示，企事业核心数据的流失实际上有80%左右源于企业内部人员的不正当行为，而只有约20%来自外部的侵犯。近来频频发生的因内部网络安全导致的商业情报失窃事件，如韩国起亚“索兰托”泄密事件等，也进一步证实了这种观点，并改变着安全管理人员的观念。因此，如何保护企业的信息资产、如何防范内部人员犯罪、发生信息泄漏事件之后如何进行取证已经成为今后信息安全建设的一个重要部分。

    依据国家计算机应急响应中心发布的数据，在所有的计算机安全事件中，约有52%是人为因素造成的，25%由火灾、水灾等自然灾害引起，技术错误占10%，组织内部人员作案占10%，仅有3%左右是由外部不法人员的攻击造成。如图3所示。

图3 计算机安全事件

    简单归类，属于管理方面的原因比重高达70%以上，而这些安全问题中的95%是可以通过科学的信息安全管理来避免。因此，管理已成为信息安全保障能力的重要基础。安全管理(SM)，已经成为企业管理(EM)的一个重要组成部分。从信息管理的角度看，安全管理涉及到策略与规程，安全缺陷以及保护所需的资源、防火墙、密码加密问题、鉴别与授权、客户机/服务器认证系统、报文传输安全以及对病毒攻击的保护等。

    通过上述信息，可以看到我国信息化建设在快速发展的同时信息安全所面临的风险威胁也在逐年增加，安全威胁事件同时也在不断上升。信息安全风险管理是我国信息化安全建设的重点，需要不断的改进与完善，要保障国家信息化建设的安全就必须从管理和技术两个方面入手，从整体上统筹考虑安全问题。

 

二、安全市场发展趋势分析

    2.1 安全市场分类及增长分析
 
    依据Gartner对安全市场的划分方法，将全球范围的安全市场划分为以下三类(如图4所示)：

     图4 全球安全市场分类及份额

 

    依据Gartner对全球安全市场分类的报告，可以看到安全服务市场占据整个安全市场57%的比例，充分说明了安全服务行业在整个安全市场中的重要地位与广阔的发展前景。

     对于中国安全市场而言，依据IDC发布的《中国IT安全市场分析与预测2007-2011(1H07)》，2007年上半年，中国IT安全市场的市场规模为3.195亿美元，同比增长27.0%。其中安全软件市场在2007上半年的市场规模为8760万美元，占整体市场的27.4%；比例最大的是安全硬件，为48.6%，同比增长28.3%，市场规模为1.551亿美元。IT安全服务市场占24.0%，市场规模为7680万美元。如图5所示：

 图5 中国安全市场分类及份额

     IDC同时预计，从现在起的3～5年内，信息安全市场将保持高速、超规模的发展势头，尽管增长率变缓，但实际的增长数额强劲，中国安全服务市场也将快速发展，与国外成熟的IT和IT安全服务市场相比，中国的IT安全服务市场有着较大的发展空间。

     如图6 IDC预测的2007-2011中国IT安全市场的规模和增长率示意图。

    图6 中国IT安全市场发展趋势

    

    2.2安全服务市场增长趋动因素

    安全服务业已是继安全产品之后的大势所趋。众多厂商在包括安全响应、安全产品技术支持服务以及实时监控、风险评估及咨询在内的整体安全服务体系内寻找着自己的位置。
 
    从用户的市场需求来看，潜在市场显而易见:中国的大部分用户由于本身缺乏足够而又专业的技术人才，在建设好相对完善的IT安全体系后，往往很难对这些体系进行有效的管理。

    与此同时，安全环境在不断恶化，安全事件日益增多，特别是网络病毒的泛滥，给各个行业的用户造成了较大损失;黑客事件屡见不鲜，已经成为包括电子政务、电子商务等互联网应用的瓶颈。

    另外，随着信息技术的发展，安全体系制度的不断健全，各个行业都制订与完善了本行业的安全标准，其中包括系统安全设计、建设、运维、管理等相关标准、规范、指南。对于用户在系统建设和改造过程中如何遵循这些标准、使用这些标准，往往成为一大难题，这就需要专业性强、经验丰富的安全服务团队为他们解决这些问题，构建符合行业标准的信息安全体系。同时由于各个行业对信息化的依赖程度不断提高，如何保障信息系统的安全；保障重要信息资源的保密性、可用性与业务服务的连续性；如何在安全事件产生后能够及时反应与进行快速抑制，这些问题都与用户自身技术与管理能力形成重大矛盾。这些问题都需要专业的安全服务团队来保证、帮助用户来解决实现。安全服务市场的发展趋动因素如图7所示：

    图7 安全服务市场发展趋动因素分析

    

    2.3 2008年安全服务市场发展趋势

    与近年来的IT服务外包模式的快速发展类似，IT安全服务市场也呈现快速发展的趋势，企业客户在决策和实施IT安全解决方案之前，越来越倾向于向专业的IT安全公司咨询，或在实施过程中聘请专业安全人员担任实施顾问和员工培训，或直接聘请专业安全人员对企业安全漏洞进行弱点测试。依据Gartner提供的数据，安全服务市场占据了2006年全球安全市场的57%，并且随着IT安全基础投资的成熟，这一比例在未来5年内还将持续走高。

    如图8 IDC 预测的2007-2011中国安全服务市场的规模和增长率示意图。

    图8 中国安全服务市场的规模和增长率

    预计在2008年，企业用户对安全咨询、安全实施顾问以及安全开发集成人员的需求将持续增长。随着安全威胁的升级和安全解决方案的提升，专业安全人员要不断提升自己的专业技能以适应新的安全环境。

    根据IDC的预测，到2009年，中国IT安全服务市场的年复合增长率达30.7%，相对于同期安全产品市场28.3%的年复合增长率，这个数字有着更大的诱惑力，但与国外成熟的IT 和IT 安全服务市场相比，中国的IT 安全服务市场仍然有着较大的发展空间。

    三、安全服务重点发展方向

    通过对国家标准、政策法规的研究与知识的积累；通过对各行业特点及业务流程特点的研究及工程经验的总结分析；通过对新技术的研究与运用；通过对市场发展动态的统计分析，预计我国未来安全服务市场将会有广阔的发展前景。与此同时，通过对安全服务市场发展趋动因素的分析，安全服务体系将包括安全咨询、等级测评、风险评估、安全审计、运维管理、安全培训等几个重点方向，用户更需要的是有针对性的、个性化的、模块化的、可供用户任意选择的、周全的安全服务体系。具体安全服务体系的研究分析流程如图9所示：

     图9 安全服务市场发展规划分析

    3.1 安全咨询服务

    安全咨询服务的发展趋势将向行业化的方向发展，针对性更强，咨询服务内容更细。具体会体现在政府、银行、企业等几个重点领域。咨询服务的内容将以行业特点为核心，从技术、运维、管理、策略等方面提供具有针对性的安全技术与管理咨询服务。

    例如：针对企业提供信息安全管理体系ISMS建设咨询、IT服务管理体系ITSM建设咨询与企业IT内审咨询；针对国家政府信息化建设提供等级保护建设相关咨询服务，包括政务系统定级、系统规划、系统建设及运维管理的咨询等。

    图10 安全咨询服务体系发展趋势分析

   

    3.2等级测评服务

    针对国家政务信息系统的等级测评服务将会向自动化的方向快速发展。利用新技术开发自动化的等级测评工具，以降低测评难度、加快测评速度、提高测评准确性。利用自动化的专业等级测评系统对政务信息系统进行等级测评是未来技术的发展方向也是等级测评服务的发展方向。

 

    图11 等级测评服务体系发展趋势分析

    3.3风险评估服务

    风险评估服务可帮助用户了解自身网络信息系统的安全状况：通过资产重要性分析明确需要重点保护的资产信息；通过系统弱点分析、威胁分析、安全措施的有效性分析确定各项资产所面临的真实安全威胁问题。

    由于风险评估的流程复杂、技术难度大、历时久、周期长等问题，严重困扰着行业用户风险评估工作的实施。因此，开展针对性强、自动化、模块化的风险评估工具是未来风险评估服务发展的主要方向。它可以降低风险评估的难度，提升风险评估的效率，保障风险评估的准确性，更便于用户实施网络信息系统的自评估工作，降低风险管理成本。

    图12 风险评估服务体系发展趋势分析

   

    3.4安全审计服务

    安全审计服务将严格以安全政策或标准为基础，用于测定现行保护措施整体状况，同时检验是否妥善执行现有的保护措施。安全审计的目的在于了解现有环境是否已根据既定的安全策略得到妥善的保护。安全审计服务可能使用安全审计工具和不同的审核手段，以找出安全问题漏洞，因此安全审计需要多种技术作为支持。 安全审计是需要反复进行的检查程序，以确保适当的安全措施已切实执行。因此，安全审计的进行次数会比安全风险评估的周期性更强，是风险评估服务的有效补充。

    信息系统安全审计服务可协助用户确保系统安全策略运行在有效控制措施之下。从技术、管理和人员等多个方面，帮助客户加强内部控制，建立合规性机制，应对合规性审查，预计安全审计服务是未来信息安全服务行业发展的重点方向。
 
    3.5运维管理服务

    应急响应是运维管理中的典型服务之一，可有效降低用户因突发安全事件造成的损失，可有效帮助用户及时准确定位安全事件并对安全事件进行处置，降低用户损失。应急响应主要针对突发的网络故障、病毒爆发、网络入侵、主机故障、软件故障等事件。目前，运维管理服务已逐渐将应急响应和系统维护、安全加固、安全检查等工作融为一体。

    运维管理服务将保持快速增长的发展态势，2005年市场整体规模已达到23.32亿元。运维管理服务已成为推动市场增长的强劲动力。2005－2009年，中国运维管理服务市场的年均复合增长率将达到20.3%。2009年的整体市场规模将接近80亿元。针对广阔的市场前景，驻地安全运维服务、周期性巡检服务、渗透评估服务、安全加固服务将成为安全运维管理服务的重点方向。

    图13 运维管理服务体系发展趋势分析

    3.6安全培训服务

    随着信息安全行业的发展，越来越多的企业开始注重企业员工的安全意识培训与网络运维服务人员的安全技术培训。据相关报告，我国74.9%的企业把“信息化人才培训”列为工作重点，企业在实施安全解决方案的同时，其中的一个重点将是帮助企业培训员工树立必要的安全观念。安全培训可使企业员工提高安全意识，增强安全技能与突发安全事件的应对能力，保障信息系统的安全。针对用户需求，向用户提供适合自身特点的模块化的专向安全服务培训将是未来培训服务业发展的重点方向。