中国网络安全真正的威胁
中国网络安全真正的威胁近几年,国内网络安全市场规模每年均以30-50%的幅度增长,IDC称2011年中国将成为亚太区最大的安全市场。网络安全威胁与日俱增,中国安全需求日益高涨,行业市场高速发展,国内网络安全企业群雄并起,国外网络安全企业也欲逐鹿中原。
面对如此红火的市场,众多国内外网络安全企业虾有虾路,蟹有蟹道,你做身份认证,我做行为审计;你做被动检测,我做主动防御;你有firewall、IDS,我有IPS、UTM。看看,好热闹,好繁荣,真是新概念汹涌澎湃,新东西层出不穷。
中国人都知道乱花迷眼的道理,安全市场华丽的外表下有没有潜藏的杀机?繁荣的景象背后有没有蛰伏的隐忧?是该冷静下来理性思考的时候了。诚然,技术层面的安全威胁固然值得积极应对,可其非技术层面对国家安全、产业发展、技术战略的影响更不容我们坐视旁观、置若罔闻。国人应时刻警醒,“雷峰塔”倒掉不是一日使然。
一、制度本身是国内网络安全的软肋
信息安全关系国家安全,人尽皆知,无需多言。从2000年颁布《保密管理规定》开始,国内计算机网络安全从制度和监督管理体系建设上推出了许多措施,做出了诸多有益的尝试,当然也取得了很大的成就。但是,截止目前仍然停留在几大机构对产品简单认证,关键行业采购对产品泛泛区分的层面,在政策高度有所认识而无明显约束。而反观美欧国家,网络安全行业的外来投资、外来技术、产品引进和应用,必须由涉及安全、财政、商务、经济运行、科技直至总统安全事务顾问等机构共同审准,分歧较大时还需总统决定(见《信息安全与通讯保密》2008第6期SonicWALL谭敦敏言)。在国内敏感领域和关系国计民生的重要行业,对于应用国外产品未见严格的制度性条款要求,只有若隐若显的“口头”指导和鼓励意见,市场准入比较宽松,这是国内外厂商的共识。
二、国内企业越俎代疱是国内网络安全最大的威胁
大家可以理解相关制度的完善不可能一蹴而就,需要一个过程,但本来就脆弱的潜规则仍要遭受玩弄,实在让人忍无可忍、愤愤不平。笔者看到以下两条消息:
2007年5月份启明星辰OEM飞塔(Fortinet)产品,发布天清汉马系列产品;联想网御通过与飞塔(Fortinet)的OEM合作,推出了UTM产品,IPS的产品也是由该UTM更改而来。
以上两条消息确实不平淡,国内媒体为其披红挂彩,为其摇旗呐喊,为其擂鼓助阵,大家都沉浸在了欢乐的海洋里,自得其乐,沾沾自喜。但笔者却要提醒大家:贴牌就是贴牌,不要说OEM,偷换概念容易欲盖弥彰、贻笑大方。OEM是国际惯用的商业合作模式,你不仅要有品牌、有销售渠道,更关键的是要有设计、开发的核心技术。在此禁不住要问一问我们的若干企业,你OEM,你有核心技术吗?是美国飞塔在为你代工吗?以OEM为名,行改头换面,贴牌叫卖之实,你这种瞒天过海、暗渡陈仓、不讲诚信、指鹿为马、不实事求是的作风不仅会误己误事,更会害人误国。
这两年,国内网络安全企业浮澡之气甚嚣尘上,国家上有政策,企业下有对策 ,故意把经念歪。知名企业把国外产品全盘搬来,改头换面,四处申请认证,八方申请入围,只要没被识破,敢用它“上九天揽月,下五洋捉鳖”。上述企业的自甘堕落,自愿沦为下游群体,已把自己的研发机构很快推向了只置换软件关键名称标识,更改外观铭牌的手工作坊。到此,我又不禁又要问,芯片做不了,难到代码也编不了?若真的都做不了,那就不要拿仅贴着自己牌牌的“自主知识产权”欺世唬人。
国外安全产品赤裸上岸,借道国内厂商,再着唐装上市招摇,国内安全厂商挂羊头、卖狗肉,内外一团和气、两厢情愿,皆大欢喜,殊不知受到伤害最深的是国家、国人。我们不怕你工业界代表们的商业化运作,就怕众人皆醉你独醒,你们勾搭成奸,往各行各业不断渗透,就怕你今日曲线奉送市场,明日既丢技术又丢话语权,就怕你只有失之东隅,永远没有收之桑榆。
若这种以知名企业牵头欺世盗名,上骗国家,下骗黎民百姓的所谓新型网络安全产品营销模式被更多的国内企业效仿,那网络安全行业离“国将不国”的日了就为期不远了。这样做的后果显而易见,从深层次动摇了国家信息安全的根基,制约自主产权安全产品和技术发展,破坏行业诚信,败坏了行业风气,伤害了产业的可持续发展。
更有可气之处,笔者不得不提。这几个勇于“贴牌”的国内厂商每年都会取得成百上千万的国家科研扶持资金,究竟有没有以“贴牌”产品蒙混套取?到底有没有真正取得涵盖从内核到前台的“自主产权成果”?这个问题就留给他们和大众去证实或证伪吧。
至此,我已没有勇气再写下去,也不敢再往深里想下去。因为,网络安全的”堰塞湖”高悬在国人头上的时候,恐怕不会再有别人借给我们排险救灾的米-26直升机了吧。
浮云遮眼,不由得让人悲从中来,真正图穷匕首现的时候,咱哭都来不及了。
一名很多人都知道的所谓的网络安全专家
2008年7月20日深夜于北京 中国安全软肋有2根:
一根是乱贴牌,贴牌后除了卖给客户,还可以骗政府政策,骗科研经费。
另外一根软肋是:开源代码。
从2000年以来,取得销售许可证的产品中有多少比例不是源于Linux的开源代码?有多少个厂商敢说其产品源代码核心中没有开源代码的影子?Linux下的Netfilter防火墙、Snort入侵检测、FreesWan(openswan)虚拟专网、ClamAv防病毒网关......,此外,Linux版权问题还没有定论呢。安全界的“三聚氰胺”什么时候被曝光也许是明天,也许在遥远的未来。
也许,我们还有时间来解决解决这些问题。 国内安全厂家多是这种情况。
贴了牌就不说了,还要去申请保密局、军网的认证,申请了认证就不说了还要用了限制别的竞争对手,限制别的竞争对后就不说了,还要给涉密网络里卖。
别说产品不干净,就是厂家本身也难脱干系。天融信网络安全和天融信科技是什么关系,联想网御背后有哪些股东?中联绿盟的中联是个什么公司?
前段时间看到一个很搞笑的新闻,一直在鼓吹中国民族企业的锐捷网络母公司星网锐捷要上市了,一看招股说明书,居然锐捷网络是外资,而且已经享受了三年外资企业的税收优惠,税率为0,也就是3年不用上税。
页:
[1]
