人才不足、成本较高、意识不强……目前我国信息安全投入占整个IT投资比例不到3%
当前,云计算、大数据、物联网、人工智能、智能设备等新技术已经被“互联网+”企业广泛接受和应用。但另一方面,这些新技术的应用又让“互联网+”企业面临着前所未有的网络安全挑战。近日,腾讯安全联合实验室、中国电子技术标准化研究院、腾讯网络空间研究中心联合发布了《“互联网+”企业网络安全生态研究报告》(以下简称《报告》),显示很多企业仍缺乏必要的网络安全管理制度和相关措施。专家表示,目前国内网络安全市场还处于起步阶段,但随着《网络安全法》的通过,未来有望打开千亿级别的市场。
网络安全风险不断升级
“互联网+”时代,据统计,约有90%的企业已应用云计算、大数据为代表的新技术,企业网络安全风险也因此不断迭代升级。
《报告》显示,移动互联网安全问题日趋增多,个人信息泄漏时有发生,2005年到2015年恶意程序数量从52个飙升到147.7万,其中恶意扣费攻击尤为严重;一种以窃取核心资料为目的的高级、持续性的攻击模式APT攻击成为工业控制系统信息安全的最大威胁,在全部APT攻击中,关键制造业占比33%,能源领域占比16%,成为重灾区;云服务面临信任危机,云安全问题凸显,攻击者一旦发现云平台自身的安全漏洞并加以利用,就可能导致严重的大规模信息泄露事件;安全漏洞问题依然严峻,软件漏洞成为焦点。根据中国国家信息安全漏洞库CNNVD统计,2015年新增漏洞7754个,其中新增应用软件漏洞达5142个,约占总数的2/3,应用软件漏洞成为“互联网+”主要的安全威胁。
相关机构统计显示,国内大中型企业一年内因信息安全事件平均每家损失达240万美元。而每年计算机及网络犯罪活动带来的损失超过4450亿美元。
企业网络安全投入不足
虽然企业信息安全问题日益突出,但目前很多企业仍无暇顾及“并未发生的安全风险”,尤其是对中小企业而言,更是“奢侈品”。《报告》调查数据显示,23.9%的企业没有信息安全团队,30.3%的企业每年基本上没有信息安全预算,接近40%的小微企业(100人以下)没有信息安全团队和资金预算,超过50%的金融企业没有任何安全方面的投入。
不仅仅是企业,就全国而言也是如此。《报告》数据显示,2014年我国信息安全投资为34亿美元,占整个IT投资比例不到3%.而在发达国家,信息安全投资比例则占到IT投资比例的10%-20%.如美国,2016年网络安全的预算将达到140亿美元的投资规模。
“举个例子,之前有一个特别著名的通道级漏洞叫 心跳滴血 ,它是一个全球化的问题,但我们发现欧美国家和企业对其的重视程度和修复速度明显快于国内。”腾讯副总裁丁珂对羊城晚报记者表示,在国内,互联网公司和新兴企业在网络安全方面会更加重视,相对重灾区的还是在一些官方网站。“要大家普遍接受这必然是一个破冰的过程,而且会很漫长。”
由于投入不足带来的专业安全人才缺失等问题也成为企业网络安全普遍性的问题。据统计,中国每一年需要信息安全人才高达60万,而现实是每年信息安全毕业生培养人数仅8000余个。“网络的安全专业人才很难得,但也很少企业愿意去 养 这些人。”丁珂说。
千亿级别市场有望打开
尽管仍在破冰期,但企业对网络安全的需求巨大且紧迫,尤其是互联网公司早已迫切希望借助大平台和安全生态体系来抵御网络安全威胁和攻击。滴滴出行信息安全战略副总裁弓峰敏表示,滴滴作为中国最大的出行平台,掌握了海量的用户信息和资源,新技术导致网络安全对抗不断升级,对滴滴而言,除了自建网络安全体系,还需要与有实力的安全实验室深度连接与合作。京东首席信息安全专家Tony Lee则认为,京东平台聚拢众多中小商家,不仅需要安全厂商、运营商深度连接,还需要政府的高度参与;此外,加强与国际大厂商的技术交流和合作,引进相关的技术人才也是一大着力点。
《报告》也提出了“轻足迹”的安全发展理念,并认为要加强法规政策建设,完善网络安全生态顶层设计;健全网络安全产业标准体系,构建统一协调的发展模式;借助热点加速全产业链融合,提高生态综合防御能力。
近日,《中华人民共和国网络安全法》正式通过,并将于明年6月1日施行。业内人士表示,在政策助推下,网络安全建设速度有望超预期,一个千亿级别的网络安全市场正有望打开。