信息安全產(chǎn)業(yè)分析:SOX法案的啟示

申請免費(fèi)試用、咨詢電話：400-8352-114

作者：計(jì)算機(jī)世界 艾琳

信息安全領(lǐng)域“只見森林、不見樹木”的說法喊了幾年，這一狀況至今并沒有真正改變。雖然全民的信息安全意識已經(jīng)極大地提高，但業(yè)界從業(yè)者卻依然很難從中挖到金子，因此很難有富裕的資金用于持續(xù)的技術(shù)投入和取得飛躍式發(fā)展。問題究竟出在哪兒？

幾年前，專家就分析，信息安全產(chǎn)業(yè)的一個怪現(xiàn)象是“只見森林，不見樹木”，意思是能看到廣闊的前景，但廠商卻很難獲得實(shí)實(shí)在在的回報(bào)。過去認(rèn)為，人們的信息安全意識不高，對信息安全領(lǐng)域的投入認(rèn)識不足，但隨著這幾年廠商和媒體的鼓噪，尤其是各種信息安全事件的不斷發(fā)生，事實(shí)在不斷地教育人們，人們的信息安全意識已經(jīng)極大提高，那為什么還存在這樣的怪現(xiàn)象呢？

我們首先看一組數(shù)據(jù)：IDC的最新報(bào)告顯示，2004年，我國IT總體投資為2307.5億元人民幣，而信息安全的總體投資才區(qū)區(qū)22.94億元人民幣，僅占總體投資的0.94%！2004年網(wǎng)絡(luò)安全預(yù)期的投資增長率為37.6%的，但實(shí)際只達(dá)到了31.2%，嚴(yán)重低于預(yù)期！再從中國和韓國的數(shù)據(jù)比較看，2004年，韓國的信息安全投資達(dá)到了53.63億元，是中國的2.5倍！由此可見中國的信息安全投入處于怎樣一個低下的水平！

是用戶缺乏資金嗎？并不完全是。事實(shí)上，在某些大型的行業(yè)采購中，比如金融領(lǐng)域，信息安全產(chǎn)品的采購比例甚至能達(dá)到50%左右。

然而，多數(shù)用戶處于持幣待購狀態(tài)，不敢輕易下單，因?yàn)樗麄冃闹袥]底！

對信息安全投入多少才是合適的？投入后能夠達(dá)到多少安全率？98%還是99%？廠商和媒體不是一直在叫嚷“世上沒有絕對的安全嗎？”那么，一旦我投入巨資購置了安全設(shè)備，網(wǎng)絡(luò)依然被輕易攻破，我如何向上級老板交代？此外，我的信息資產(chǎn)究竟價(jià)值幾何？值得投入巨資保護(hù)它們嗎？恐怕這些問題是多數(shù)信息主管心中存在的問號。

專家分析，歸根結(jié)底，可以歸結(jié)為兩個原因: 一個是目前中國的信息化應(yīng)用并不充分，除了那些關(guān)鍵行業(yè)外，網(wǎng)絡(luò)及信息資產(chǎn)并不是關(guān)鍵的資產(chǎn)，其價(jià)值還沒有被廣泛地認(rèn)可；二是人們對信息安全只有一個簡單的認(rèn)識，而缺乏整體的觀念。

專家分析，要解決這些問題，需要一定的方法和標(biāo)準(zhǔn)。等級保護(hù)制度就是在這樣的環(huán)境下被提出的，并日益成為信息安全建設(shè)的基本制度。

然而，國家對等級保護(hù)制度的推廣目前似乎只限于圈定的幾個重要的關(guān)系到國家安全、社會穩(wěn)定的重點(diǎn)行業(yè)，其他廣大的的企業(yè)似乎并沒有動力，也沒有責(zé)任一定要花大量的資金，建立這樣的制度！這就使得信息安全被縮小到有限的幾個行業(yè)，而不是一個大眾都愿意投資的行業(yè)，難怪中國整體信息安全投入嚴(yán)重偏低。

讓我們來看看國外的例子。美國自出臺了著名的薩班斯-奧克斯萊法案（即SOX法案）之后，對IT產(chǎn)業(yè)起到了極大的促進(jìn)作用，對美國信息安全產(chǎn)業(yè)尤其如此。該法案規(guī)定，企業(yè)的CEO必須對企業(yè)財(cái)務(wù)數(shù)據(jù)的真實(shí)性負(fù)責(zé)，否則要承擔(dān)最多監(jiān)禁25年的刑事責(zé)任！其中有一段規(guī)定：CEO必須將這些財(cái)務(wù)信息保存8年以上，供隨時(shí)審計(jì)，其中過程、由網(wǎng)絡(luò)產(chǎn)生的數(shù)據(jù)都作為審計(jì)對象，因此，實(shí)際上是要求企業(yè)CEO必須對信息的存儲、保密性、真實(shí)性、可用性負(fù)責(zé)，這些正是信息安全技術(shù)和產(chǎn)品涵蓋的主要內(nèi)容，企業(yè)CEO不得不加大對信息安全技術(shù)和產(chǎn)品投入，以讓自己免于刑事責(zé)任！由此，極大地刺激了信息安全產(chǎn)業(yè)在美國的發(fā)展。

雖然SOX法案的出臺是由于安然公司倒閉事件引起美國公眾對股市的誠信危機(jī)而產(chǎn)生的，但它的出臺卻產(chǎn)生了意想不到的作用，這對中國的政府部門和立法者是否具有啟示作用呢？中國的信息安全領(lǐng)域目前就缺乏這種強(qiáng)制性、規(guī)范性的法律文件，幫助企業(yè)克服采購中的障礙，也順便刺激中國的IT整體應(yīng)用的提高。

事實(shí)上，國務(wù)院信息化辦公室倡導(dǎo)的“誰主管、誰負(fù)責(zé)”的原則，基本上是這類管理?xiàng)l例的雛形，但需要進(jìn)一步落實(shí)到法律條款中，并進(jìn)行深化。同時(shí)，它的覆蓋范圍，也應(yīng)該從幾個關(guān)鍵行業(yè)擴(kuò)充到其他大量的行業(yè)、企業(yè)組織中來。

來源：計(jì)世網(wǎng)