年前有知情人士透露国家信息安全战略文件已经起草完成,将于重要网络安全信息化领导小组建制后公布,该人士还透露文件中会提出建立信息安全网络架构,信息领域核心技术产品国产化、应用软件、操作系统国产化、工业控制系统信息安全建设、可信云计算等多方面内容。
虽然消息指出国家信息安全战略文件不会涉及到操作层面,但相关部委已经拿出了相应的实施细则,在国家信息安全战略文件出台时配套出台相关实施细则。资金方面,财政会出一部分资金支持信息安全建设。
以上这条消息对国内信息安全人士来说无疑是个利好消息,在“后棱镜门时代的五个热点信息安全话题”一文中,我们了解到棱镜门造成的安全信任危机未来数年将给美国云计算产业造成350亿美元损失,此外美国信息安全界也有专家曾指出棱镜门会导致针对美国科技企业的全球性的贸易技术壁垒。
国内信息安全企业的商机所在
可以说,在奥巴马政府无意采取任何实质性整改措施限制NSA的全球监控的前提下,因各国调整信息安全战略导致的额全球性“贸易技术壁垒”几乎不可避免,例如棱镜门事件后德国总理默克尔曾放出狠话:“牺牲时间也要培养出美国科技企业的本土替代者。”而中国作为NSA监控的重点对象,其即将出台的信息安全战略也必然会强调“自主可控”,据消息人士透露中国国内信息安全基础设施包括计算、网络、存储、安全四条主线,也将加速国产替代。
在国家信息安全战略层面,关键信息基础设施无疑是重中之重,工控网安全、网络、计算和存储属于基础设施层面对国外产品的替代对于网络设备、防火墙等产品厂商来说商机非常明确,但产品只是有效的安全体系的一部分,从解决方案,或者说重点基础设施整体安全体系管理架构来看,安全技术、安全服务厂商的机会在哪里?由于目前透露的国家信息安全战略文件信息还过于粗略,我们还无法看到“大图片”。
他山之石,解读NIST的关键基础设施信息安全报告
非常“凑巧”的是,上周2月12日美国白宫发布了由国家标准技术研究所(NIST)起草的美国国家信息安全指导规范《提升美国关键基础设施网络安全的框架规范》(以下简称规范)。这是棱镜门事件后,美国官方机构首次系统提出的新形势下的国家信息安全指导规范,也是奥巴马政府2013年启动的保护关键基础设施信息安全战略的第一个基础性文件(编者按:虽然不是强制规范,但很多方面已经有些类似国内的等级保护基本要求,因此也有美国媒体指出此规范有扩大行政监管范围之嫌),但是其体系架构和所涉及的信息安全最佳实践、标准、和模型非常值得参考和研究,从中我们也可以嗅出“后棱镜门”时代,全球信息安全市场的商机所在。以下是报告中的一些关键图表,我们摘录如下:
风险管理的信息与决策流程模型
美国关键基础设施信息安全防护体系框架(分为识别、保护、侦测、响应和恢复五个层面,也可以看做是一种基于生命周期和流程的框架方法)
识别(IDENTIFY)分类的具体内容 ,我们可以看到COBIT、ISO/IEC 27001等IT审计与信息安全认证标准被反复提及