信息安全产业分析:SOX法案的启示

申请免费试用、咨询电话：400-8352-114

作者：计算机世界 艾琳

信息安全领域“只见森林、不见树木”的说法喊了几年，这一状况至今并没有真正改变。虽然全民的信息安全意识已经极大地提高，但业界从业者却依然很难从中挖到金子，因此很难有富裕的资金用于持续的技术投入和取得飞跃式发展。问题究竟出在哪儿？

几年前，专家就分析，信息安全产业的一个怪现象是“只见森林，不见树木”，意思是能看到广阔的前景，但厂商却很难获得实实在在的回报。过去认为，人们的信息安全意识不高，对信息安全领域的投入认识不足，但随着这几年厂商和媒体的鼓噪，尤其是各种信息安全事件的不断发生，事实在不断地教育人们，人们的信息安全意识已经极大提高，那为什么还存在这样的怪现象呢？

我们首先看一组数据：IDC的最新报告显示，2004年，我国IT总体投资为2307.5亿元人民币，而信息安全的总体投资才区区22.94亿元人民币，仅占总体投资的0.94%！2004年网络安全预期的投资增长率为37.6%的，但实际只达到了31.2%，严重低于预期！再从中国和韩国的数据比较看，2004年，韩国的信息安全投资达到了53.63亿元，是中国的2.5倍！由此可见中国的信息安全投入处于怎样一个低下的水平！

是用户缺乏资金吗？并不完全是。事实上，在某些大型的行业采购中，比如金融领域，信息安全产品的采购比例甚至能达到50%左右。

然而，多数用户处于持币待购状态，不敢轻易下单，因为他们心中没底！

对信息安全投入多少才是合适的？投入后能够达到多少安全率？98%还是99%？厂商和媒体不是一直在叫嚷“世上没有绝对的安全吗？”那么，一旦我投入巨资购置了安全设备，网络依然被轻易攻破，我如何向上级老板交代？此外，我的信息资产究竟价值几何？值得投入巨资保护它们吗？恐怕这些问题是多数信息主管心中存在的问号。

专家分析，归根结底，可以归结为两个原因: 一个是目前中国的信息化应用并不充分，除了那些关键行业外，网络及信息资产并不是关键的资产，其价值还没有被广泛地认可；二是人们对信息安全只有一个简单的认识，而缺乏整体的观念。

专家分析，要解决这些问题，需要一定的方法和标准。等级保护制度就是在这样的环境下被提出的，并日益成为信息安全建设的基本制度。

然而，国家对等级保护制度的推广目前似乎只限于圈定的几个重要的关系到国家安全、社会稳定的重点行业，其他广大的的企业似乎并没有动力，也没有责任一定要花大量的资金，建立这样的制度！这就使得信息安全被缩小到有限的几个行业，而不是一个大众都愿意投资的行业，难怪中国整体信息安全投入严重偏低。

让我们来看看国外的例子。美国自出台了著名的萨班斯-奥克斯莱法案（即SOX法案）之后，对IT产业起到了极大的促进作用，对美国信息安全产业尤其如此。该法案规定，企业的CEO必须对企业财务数据的真实性负责，否则要承担最多监禁25年的刑事责任！其中有一段规定：CEO必须将这些财务信息保存8年以上，供随时审计，其中过程、由网络产生的数据都作为审计对象，因此，实际上是要求企业CEO必须对信息的存储、保密性、真实性、可用性负责，这些正是信息安全技术和产品涵盖的主要内容，企业CEO不得不加大对信息安全技术和产品投入，以让自己免于刑事责任！由此，极大地刺激了信息安全产业在美国的发展。

虽然SOX法案的出台是由于安然公司倒闭事件引起美国公众对股市的诚信危机而产生的，但它的出台却产生了意想不到的作用，这对中国的政府部门和立法者是否具有启示作用呢？中国的信息安全领域目前就缺乏这种强制性、规范性的法律文件，帮助企业克服采购中的障碍，也顺便刺激中国的IT整体应用的提高。

事实上，国务院信息化办公室倡导的“谁主管、谁负责”的原则，基本上是这类管理条例的雏形，但需要进一步落实到法律条款中，并进行深化。同时，它的覆盖范围，也应该从几个关键行业扩充到其他大量的行业、企业组织中来。

来源：计世网