「经济观察报」数据政治:“新基建”中问安全( 二 )
第三 , 大型云厂商在事件抢救中发挥了重要作用 , 显示了生态中枢型企业在产业互联网中的砥柱价值 , 能力越大、责任越大 。 做负责的盟主 , 对维护生态健康和秩序、增强生态互信、促进分工合作关系的优化 , 具有积极意义 。
以腾讯云为例 , 其实现传统架构和云架构灾备的统一 , 备份、容灾和仿真演练的统一;基于云架构的一体化的整机备份 , 保护的不仅仅是数据 , 还有数据库、应用和系统环境 。 当业务系统遭遇灾难 , 数据云灾备平台可以将业务恢复到发生故障前的任意时间点 , 再去定位、修复故障 , 从而最大限度控制了灾难影响(数腾软件徐礼长) 。
第四 , 安全是业务系统的基石 , 本质上 , 是一个技术、资产、制度与人四方结合的复杂服务环节 , 对人的重视 , 需要知行合一 。 风险不能消除 , 只能管控 , 这意味着再完备的技术和设施投入也不存在“充分”和“足够” , 何况没有生命的设施需要在流程、制度中运行 , 才能真正发挥作用 。
安全是攻防的过程 , 设施、制度、流程之外 , 最重要的还是人的持续投入 。 无论怎样问责微盟的制度漏洞 , 也不能掩盖问题出在人的事实 。 更多优秀的人才、更妥善的安全教育、更负责任的安全管理、更高的企业与社会认可 , 是持续改善产业安全环境的必要条件 。
安全产业与产业安全
近年来 , 与快速发展的互联网产业和产业互联网趋势相随 , 中国网络安全产业规模增长也在提速 。 2018年 , 中国网络安全产业从业企业近3000余家 , 涵盖网络安全各个细分领域 。 而安全领域是一个“石榴状”的市场 , 涉及非常精细、繁杂的细分环节 , 市场“碎片化”现象比较突出 。
中国信息通信研究院数据显示 , 产业营收总规模达到510.92亿元 , 较2017年增长19.2% , 预计2019年将增长超过20% , 达到631.29亿元 。 另据15家网络安全领域上市公司的年报数据 , 总体销售额的增长率从2015年的26.5%到2018年的36%以上 , 逐年在增高 , 显示了产业体系日趋健全 , 技术创新、技术应用和产业活动的朝气蓬勃 。
表1中国网络安全产业分布
文章图片
(资料来源:清华大学全球产业研究院根据http://all.aqniu.com安全产业全景图整理)
但总体来说 , 考虑到中国互联网应用领域产业规模庞大、消费端高度发达、创新活跃 , 而相关法律、法规和治理体系相对滞后 , 跟美国等互联网技术和应用领先国家相比 , 中国在网络安全上的投入严重不足 。
举例来说 , 企业安全投入预算会与IT建设运维总投入成相对稳定的比例关系 , 对于这个比例 , IDC给出的建议是13.7%(2015) , IBM的建议是10% , Gartner给出的数字是4%到7%(苹果资本许俊) 。
尽管中国互联网和IT领域发展迅速 , 但对安全的投入却非常有限 。 中国网络安全产业联盟发布的《中国网络安全产业报告》显示 , 美国网络安全领域投入占IT投入的4.78% , 全球的平均水平是3.74% , 中国却只有1.84% 。 另据2015年PWC进行的一项对网络安全领域的统计和分析 , 人均网络安全支出金额 , 中国只有2美元 , 与北美(134美元)、英(104美元)、日(103美元)等互联网应用和技术发达国家形成强烈反差 。
投入不足的另一个表现是产业规模 。 相对于中国500-600亿人民币的安全市场 , 以美国、加拿大为主的北美地区2018年网络安全市场规模超过500亿美元 , 是中国的6-7倍 。 而中国在电商、社交等诸多领域的网络应用规模早已经是世界第一 , 做个极端化的类比 , 犹如“带着刹车隐患在狂飙” 。
2017年以来 , 中国加快了网络安全相关治理和立法工作 。 中央成立了网络安全和信息化领导小组、设立了国家互联网信息办公室 , 《网络安全法》(2017)、《密码法》(2020)相继投入实施 , 备受瞩目《电信法》《数据安全法》列入了立法日程 , 《国家关键信息基础设施安全保护条例》也即将出台 。
在《网络安全法》基础上 , 2018年 , 公安部发布《网络安全等级保护条例(征求意见稿)》;2019年5月 , 《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等一系列“等保2.0”相关国家标准颁布 , 为政府、企业的安全建设提供了可以依靠的规尺 , 安全的合规性特征将有助于切实提高网络安全的建设水平 。
作为国家强制标准 , “等保2.0”涉及政府机关的网络与办公信息系统 , 涉及电信广播通信网络、互联网信息服务、接入服务、数据中心等现在列入“新基建”范畴设施的信息系统 , 涉及金融、交通、能源、教育等各个行业信息系统 , 对不同场景提出了不同的规范要求 。
在五级保护等级体系中 , 受损害的对象考虑国家安全 , 社会和公共利益、公民、法人和其他组织的权益 , 根据损害程度确定不同的级别 。 “等保2.0”将公民、法人和其他组织的合法权益严重受损从第二级升到第三级 , 正是因为一些事件的推动 。
表2网络安全等级保护评级与损害程度对应关系
推荐阅读
- []重庆移动-亚德高等级数据中心落户西永微电园
- 「重庆」2019重庆GDP总量超2万亿,细看38个区县经济财政数据大盘点
- 平台■在线视频平台大数据杀熟成惯例 买VIP就活该被宰?
- 数据宝:昔日网游明星股业绩预亏超10亿,千亿巨头近280亿市值将解禁
- 「数据线」手机充电慢?那你需要看看是不是这些地方出了问题
- 大数据:这套绝对是2020年大数据最全面的线路图+实战项目+源码限时赠你
- 【Ace】原创 用实际数据发声,OPPO Ace2的这些亮点你要知道
- #颜七公子#TunesKit iPhone Data Recovery for Mac(iPhone数据恢复工具)
- 吉简▲我们的经济数据也下来了,接下来看企业的发展了!,全球疫情当下
- 『金十数据』运回自中国购买的呼吸机,采购计划遭干预?巴西一州耗资810万元