年前有知情人士透露中国国家信息安全战略文件已经起草完成@@,将于重要网络@@安全信息化领导小组建制后公布@@,该人士还透露文件中会提出建立信息安全网络@@架构@@,信息领域核心技术产品国产化@@、应用软件@@、操作系统国产化@@、工业控制系统信息安全建设@@、可信云计算等多方面内容@@。
虽然消息指出国家信息安全战略文件不会涉及到操作层面@@,但相关部委已经拿出了相应的实施细则@@,在国家信息安全战略文件出台时配套出台相关实施细则@@。资金方面@@,财政会出一部分资金支持信息安全建设@@。
以上这条消息对国内信息安全人士来说无疑是个利好消息@@,我们了解到棱镜门造成的安全信任危机未来数年将给美国@@云计算产业造成@@350亿美元损失@@,此外美国@@信息安全界也有专家曾指出棱镜门会导致针对美国@@科技企业的全球性的贸易技术壁垒@@@@。
国内信息安全企业的商机所在@@
可以说@@,在奥巴马政府@@无意采取任何实质性整改措施限制@@NSA的全球监控的前提下@@,因各国调整信息安全战略导致的全球性@@“贸易技术壁垒@@”几乎不可避免@@,例如棱镜门事件后德国总理默克尔曾放出狠话@@:“牺牲时间也要培养出美国@@科技企业的本土替代者@@。”而中国作为@@NSA监控的重点对象@@,其即将出台的信息安全战略也必然会强调@@“自主可控@@”,据消息人士透露中国国内信息安全基础设施包括计算@@、网络@@、存储@@、安全四条主线@@,也将加速国产替代@@。
在国家信息安全战略层面@@,关键信息基础设施无疑是重中之重@@,工控网安全@@、网络@@、计算和存储@@属于基础设施层面对国外产品的替代对于网络@@设备@@、防火墙等产品厂商来说商机非常@@明确@@,但产品只是有效的安全体系的一部分@@,从解决方案@@,或者说重点基础设施整体安全体系管理架构来看@@,安全技术@@、安全服务厂商的机会在哪里@@?由于目前透露的国家信息安全战略文件信息还过于粗略@@,我们还无法看到@@“大图片@@”。
他山之石@@,解读@@NIST的关键基础设施信息安全报告@@
非常@@“凑巧@@”的是@@,上周@@2月@@12日美国@@白宫发布了由国家标准@@技术研究所@@(NIST)起草的美国@@国家信息安全指导规范@@《提升美国@@关键基础设施网络@@安全的框架规范@@》(以下简称规范@@)。这是棱镜门事件后@@,美国@@政府@@首次@@出台的国家信息安全指导规范@@,也是奥巴马政府@@@@2013年启动保护@@关键基础设施信息安全战略以来的第一个基础性框架文件@@。(编者按@@:虽然不是强制规范@@,但很多方面已经有些类似国内的等级保护@@基本要求@@,因此也有美国@@媒体指出此规范有扩大行政监管范围之嫌@@),但是其体系架构和所涉及的信息安全最佳实践@@、标准@@、和模型非常@@值得参考和研究@@,从中我们也可以嗅出@@“后棱镜门@@”时代@@,全球信息安全市场的商机所在@@。以下是报告中的一些关键图表@@,我们摘录如下@@:
风险管理的信息与决策流程模型@@
美国@@关键基础设施信息安全防护体系框架@@(分为识别@@@@、保护@@、侦测@@、响应和恢复五个层面@@,也可以看做是一种基于生命周期和流程的框架方法@@)
识别@@(IDENTIFY)分类的具体内容@@ ,我们可以看到@@COBIT、ISO/IEC 27001等信息安全认证被反复提及@@
