超2億條個人信息被售賣
近日,江蘇泰州公安姜堰分局網安大隊搗毀了一個涉嫌侵犯公民個人信息的犯罪團伙����,他們非法售賣的公民個人信息竟然超過2億條!今年8月,泰州市公安局姜堰分局網安大隊民警在工作中發(fā)現�����,有人利用某網盤,存儲大量電子郵箱數據��,并通過分享鏈接的方式�,供他人下載。
信息安全產業(yè)是支撐和保障國家信息安全的重要基礎�����,肩負著為國家信息化基礎設施和信息系統(tǒng)安全保障提供安全產品及服務的戰(zhàn)略任務��。傳統(tǒng)的依賴于邊界防御的靜態(tài)安全控制措施將逐漸被基于大數據分析的高級�、智能安全手段所取代。
隨著互聯網和信息技術高速發(fā)展����,并全面滲透到經濟和社會的各個領域,信息安全問題也日益突顯�,安全事件頻頻發(fā)生,市場需求十分旺盛���。
國內信息安全行業(yè)發(fā)展全景深度研究分析
在產業(yè)結構方面���,我國信息安全產品種類不斷健全�����,進一步完善了涵蓋數據傳輸安全�、網絡安全��、數據安全�����、應用安全�����、計算機安全����、安全管理中心(SOC)以及云安全等領域的產品體系����。從安全芯片、網絡與邊界安全產品��、數據安全產品、應用安全產品到安全服務的信息安全產業(yè)鏈不斷趨于完善���。
我國信息安全產業(yè)發(fā)展需從國家����、企業(yè)及用戶三個層面進行加強和完善�。在國家層面,要營造更加良好的產業(yè)政策環(huán)境���、加大對研發(fā)創(chuàng)新的扶持力度��、加強信息安全專業(yè)人才隊伍建設��、加大對骨干企業(yè)的培育和扶持��,并鼓勵其積極參與國際競爭;在安全企業(yè)層面����,要加強對關鍵技術和產品的研發(fā)創(chuàng)新和產業(yè)化�����,重視和發(fā)展信息安全專業(yè)服務���,加強與高校���、科研院所等的交流與合作;在用戶層面�,要提供自身的信息安全防護意識�,在同等條件下優(yōu)先支持自主的信息安全產品及服務。
信息安全業(yè)務涵蓋范圍很廣����,硬件����、軟件、服務以及集成均有涉及����,由于信息安全業(yè)務類型多樣,因而新興業(yè)務不斷出現����,但主要集中在新興市場領域��,如安全行為審計����、高性能UTM等��。同時隨著行業(yè)競爭邊界擴大��,潛在競爭者將增多�����,主要是IT領域傳統(tǒng)的優(yōu)勢企業(yè)�����,如微軟、IBM等信息安全企業(yè)數量多�����,細分市場競爭較激烈�。得益于國內信息安全市場的快速增長,國內各類信息安全廠商也層出不窮����。
盡管行業(yè)內廠商數量眾多�,但由于目前信息安全市場的細分程度較高���,不同的細分市場領域有相應的專業(yè)廠商����,使得信息安全行業(yè)在全球范圍內都未進入寡頭壟斷階段�����,全球最大的幾家信息安全企業(yè)也是各有所長�����,如賽門鐵克在數據保護上技術領先���,思科和Checkpoint在安全網關、防火墻上具有優(yōu)勢;瑞星���、卡巴斯基在防病毒軟件上領先��。
據中研普華產業(yè)研究院的報告《2021-2026年中國信息安全行業(yè)全景調研與發(fā)展戰(zhàn)略研究報告》分析
一�、物理安全技術的基本內容及定位
信息系統(tǒng)的物理安全設計到整個系統(tǒng)的配套部件��、設備和設施安全的性能�、所處環(huán)境安全以及整個系統(tǒng)可靠運行等三方面�,是信息系統(tǒng)安全運行的基本保障。
硬件的抗電磁干擾能力����、防電磁信息泄露能力、電源保護能力以及設備振動���、碰撞���、沖擊適應性等安全性能直接決定了信息系統(tǒng)的保密性、完整性�、可用性。
信息系統(tǒng)所處物理環(huán)節(jié)的優(yōu)劣��,如機房防火����、防水、防雷�、防靜電、防盜防毀能力����,供電能力����、通信線路安全等�,直接影響了信息系統(tǒng)的可靠性。
二�����、密碼技術的基本內容及定位
密碼學是信息安全等相關議題��,如認證�����、訪問控制的核心�����。密碼學的首要目的是隱藏信息的涵義�,并不是將隱藏信息的存在。密碼學也促進了計算機科學��,特別是在于電腦與網絡安全所使用的技術,如訪問控制與信息的機密性��。密碼學已被應用在日常生活:包括自動柜員機的芯片卡��、電腦使用者存取密碼���、電子商務等等。
傳統(tǒng)的加密方法是加密�、解密使用同樣的密鑰,由發(fā)送者和接收者分別保存�����,在加密和解密時使用���,采用這種方法的主要問題是密鑰的生成�����、注入��、存儲���、管理、分發(fā)等很復雜,特別是隨著用戶的增加���,密鑰的需求量成倍增加����。在網絡通信中���,大量密鑰的分配是一個難以解決的問題�。
例如�,若系統(tǒng)中有n個用戶,其中每兩個用戶之間需要建立密碼通信��,則系統(tǒng)中每個用戶須掌握(n-1)/2個密鑰����,而系統(tǒng)中所需的密鑰總數為n*(n-1)/2個。對10個用戶的情況��,每個用戶必須有9個密鑰��,系統(tǒng)中密鑰的總數為45個��。對100個用戶來說����,每個用戶必須有99個密鑰��,系統(tǒng)中密鑰的總數為4950個�����。這還僅考慮用戶之間的通信只使用一種會話密鑰的情況�。如此龐大數量的密鑰生成����、管理���、分發(fā)確實是一個難處理的問題���。
三、身份鑒別技術的基本內容及其定位
身份識別技術采用密碼技術(尤其是公鑰密碼技術)設計出安全性高的協議�����。
(1)口令方式:口令是應用最廣的一種身份識別方式���,一般是長度為5~8的字符串��,由數字�����、字母���、特殊字符����、控制字符等組成��。用戶名和口令的方法幾十年來一直用于提供所屬權和準安全的認證來對服務器提供一定程度的保護��。
(2)標記方式:標記是一種個人持有物��,它的作用類似于鑰匙��,用于啟動電子設備�,標記上記錄著用于機器識別的個人信息。
四��、訪問控制技術的基本內容及其定位
訪問控制指系統(tǒng)對用戶身份及其所屬的預先定義的策略組限制其使用數據資源能力的手段�����。通常用于系統(tǒng)管理員控制用戶對服務器、目錄��、文件等網絡資源的訪問�。訪問控制是系統(tǒng)保密性、完整性�、可用性和合法使用性的重要基礎,是網絡安全防范和資源保護的關鍵策略之一�����,也是主體依據某些控制策略或權限對客體本身或其資源進行的不同授權訪問�。
訪問控制的主要目的是限制訪問主體對客體的訪問,從而保障數據資源在合法范圍內得以有效使用和管理����。為了達到上述目的��,訪問控制需要完成兩個任務:識別和確認訪問系統(tǒng)的用戶��、決定該用戶可以對某一系統(tǒng)資源進行何種類型的訪問����。
訪問控制包括三個要素:主體、客體和控制策略���。
(1)主體S(Subject)����。是指提出訪問資源具體請求。是某一操作動作的發(fā)起者���,但不一定是動作的執(zhí)行者��,可能是某一用戶���,也可以是用戶啟動的進程、服務和設備等���。
(2)客體O(Object)��。是指被訪問資源的實體��。所有可以被操作的信息����、資源����、對象都可以是客體�?���?腕w可以是信息、文件���、記錄等集合體���,也可以是網絡上硬件設施、無限通信中的終端���,甚至可以包含另外一個客體��。
(3)控制策略A(Attribution)�。是主體對客體的相關訪問規(guī)則集合�,即屬性集合�。訪問策略體現了一種授權行為,也是客體對主體某些操作行為的默認��。
五����、惡意代碼防范技術的基本內容及定位
圖表:惡意代碼防范技術
數據來源:中研普華研究院
信息安全行業(yè)未來市場發(fā)展趨勢如何?想要了解更多行業(yè)詳情分析���,可以點擊查看中研普華研究報告《2021-2026年中國信息安全行業(yè)全景調研與發(fā)展戰(zhàn)略研究報告》。
更多報告推薦
2021-2026年中國信息安全軟件行業(yè)市場前瞻與未來投資戰(zhàn)略分析報告
研究院服務號
中研網訂閱號