走入网络的安全境界

　　如果说暴跌的那斯达克使人们撇掉泡沫，回归理性，那么接连不断的网络安全事件则让人们开始冷静地思考网络的安全价值——安全，是网络的生存之本。没有安全保障的信息资产，就无法实现自身的价值，作为信息的载体，网络亦然。互联网不仅是金融证券、贸易商务运做的平台，也成为交流、学习、办公、娱乐的新场所，更是国家基础设施建设的重要组成内容。信息网络安全体系建设在当代网络经济生活中具有重要的战略意义。 　　

　　网络发展，聚焦安全　　

　　　　网络设计之初仅考虑到信息交流的便利和开放，而对于保障信息安全方面的规划则非常有限。伴随计算机与通信技术的迅猛发展，网络攻击与防御技术循环上升，网络的开放互联性使信息的安全性问题变得越来越棘手，只要是接入到因特网中的主机都有可能成为被攻击或入侵的对象。 　

　　　　随着国际化趋势的不断加强，优秀国际化产品纷纷进入中国计算机安全市场。我国政府明确提出要构筑一个技术先进、管理高效、安全可靠、建立在有自主研究开发基础之上的国家信息安全体系。这对于国内安全企业来说无疑有着积极的意义。根据有关统计数据，我国在网络方面的投资达5000亿元人民币，即使以网络投资规模的10%来建立安全体系，这也是个500亿元人民币的巨大市场。有专家预测，在近一两年内，我国网络安全市场将达到1000亿元。当前我们的网络安全市场正是方兴未艾的时期，有着非常广阔的发展空间。安全，将是21世纪初期信息产业发展的焦点课题。 　　

　　树立正确的“安全观”　　

　　　　网络安全的特性决定了这是一个不断变化、快速更新的领域，也意味着人们对于网络安全领域的投资是长期的行为。但现在的问题是，计划投资的企业到底该如何利用技术来保护自己的计算机和网络不受安全的威胁。许多用户在应用计算机接入网络时，往往存在侥幸心理，不会将安全作为首要问题考虑。 　

　　　　首先，网络安全是动态发展的问题。从发展趋势来看，信息网络的安全日益显示出了其重要性。 　　

　　　　其次，企业网的安全实施是一个系统工程。安全问题涉及身份认证、访问控制、数据保密性、数据完整性、抗抵赖、审计、可用性和可靠性等多种基本的安全服务，涉及ISO/OSI所有的七个协议层次（物理层、链路层、网络层、传输层、会话层、表示层和应用层），覆盖了企业信息网络中物理环境、通信平台、网络平台、主机平台和应用平台等几个系统单元。因此，这是一个立体的、多方位、多层次的系统问题，在规划、设计、实施企业信息网络的安全系统时也必须用系统工程的方法论来考虑。 　　

　　　　最后，企业信息网络的安全是一个社会工程。网络在企业信息网络中，用户接口是至关重要的。在采取了各种复杂的安全技术之后，如果系统的最终用户没有足够的安全意识和安全常识，不能正确应用各项安全措施，那么其后果要么是安全系统不能工作，影响信息网络的正常运转，要么是安全系统演出空城计，不能起实际的作用（如在一个安全系统中使用简单的用户密码）。因此，在安全系统建设工程中，必须加强对用户安全意识的培训，加强安全常识的教育，加强安全系统的使用培训。　　

　　回归理性，务实产品　　

　　　　我们认为，开拓进取，跟踪世界先进技术，在自主研发的基础上确保高标准的产品质量是征战网络安全市场的前提条件。其实无论是普及安全意识还是商业宣传，最终还是要确保自己拥有优质的安全产品。这不仅是对用户负责，也是对市场负责，更关系国家网络安全事业的整体发展。伴随着市场的发展，产品最终要走向务实。这取决于以下几个方面： 　　

　　　　第一，产品的专业化和个性化。 　　

　　　　一方面，应该建立核心的技术体系，这是实现产品专业化的前提条件。安全源于管理，就像管理是一个过程，安全也是一个过程，我们应该在这个过程中逐步建立成熟的安全技术体系。另一方面，要实现个性化，就需要从研发室里走出来。用户希望能得到针对性较强的产品，企业根据不同用户的个性需求确定不同的安全产品。

　　　　第二，高素质的人才队伍。 　　

　　　　目前在我国，网络信息安全存在的突出问题是人才稀缺，人才流失，同时网络安全人才培养方面的投入还有较大缺欠。 　　

　　　　第三，博采众长，融会贯通 　　

　　　　我们现在面临的问题还很多，比如说产品化不够，很多厂商的产品与说明书不一致；对产品标准的模糊，为了迎合市场的迫切需要，一些产品“高速”出炉，但本身就漏洞百出，不仅没达到安全性的目的，反倒火上浇油；质量管理体系混乱，这跟我们国内厂商所处的发展阶段，如产业规模、融资环境等因素有关系。我们要形成自主可控的系列安全产品，不能单纯的拷贝，要博采众长，融会贯通，有所创新。 　　

　　服务塑造安全价值　　

　　　　从本质上讲，信息网络安全市场是一种服务市场，除了产品销售之外的活动都可以统统划归到服务的范畴。安全产品是核心，安全服务是增值。二者缺一不可。在信息安全产业热火朝天的形势下，黑客攻击频繁，信息安全企业却拿不出一个“放之四海而皆准”的完善系统。这不是说技术不行，安全防线的构成是多方面的，与不同的技术、管理和使用都可能有关。客户越来越担心得不到长期有效的“安全保障”，这个“安全保障”不是完全由产品提供的，相当一部分来自于服务。安全厂商通过产品来实现客户价值，通过服务来塑造安全价值。 　　

　　　　安全服务需要体系化，就像安全是一个体系，服务也是一个体系。各项服务措施相互联系，承上启下，我们要知道用户现在想要做什么，而且还要知道下一步该做什么。成熟的服务体系在安全服务进行中起到重要的指导作用，厂商可以有条不紊地为用户作好每一件工作，反之，则会毫无章法，自乱手脚。 　　

　　　　安全服务还需要制度化，建立起可信的承诺制度。承诺不仅展现出企业的品牌魅力，而且为客户享受的服务提供了信誉保障。客户在选择安全产品时，首先与厂商达成服务契约，以确保自身安全的可持续性发展。对于客户来说，更重视的是厂商所承诺的安全服务的可持续性，更需要如咨询、培训、安全管理、系统升级和更新、技术指导等等一系列的配套服务，而厂商与厂商，厂商与集成商之间，也需要广泛合作，优势互补，共同提供完善的安全服务。