编者按：
   　　1997年就开始专业从事网络安全技术研发的北京清华得实科技股份有限公司是信息网络领域的资深安全专家，进行了数百项信息安全系统工程的设计和实施工作，因此对信息网络基础设施建设有着丰富的实践经验和前瞻的系统认识。清华得实不仅仅考虑了如何确立起自己的产品形象与企业形象，更关注对市场的培育和健康发展。基于信息安全受到社会各界的关注，清华得实的市场研究人员对前面所提到的问题进行了解答，并给了自己的建设性的意见。相信会对信息安全业内有一定的启发和指导作用。
  
   　　引言：我们生活在一个不安全的网络中
  
   　　今天，信息安全产业谈论最频繁的话题之一就是网络安全。网络设计之初仅考虑到信息交流的便利性和开放性，而对于保障信息安全方面的规划非常有限。随着网络技术的日新月益，网络先天的缺陷逐渐暴露出来。利用这些缺陷，病毒、黑客、计算机犯罪等网络安全事件日益增多；同时，在应用领域的软件开发日益复杂，过去和现在的各种操作系统和应用软件不可避免的存在着安全漏洞，其中一些足以使整个网络系统陷于瘫痪的境地；各种网络硬件基础设施本身也存在物理缺陷，搭线窃听，截获，电磁辐射等危险对网络信息系统构成了严重威胁。这些威胁不仅使网络界遭受了沉重的经济损失，更严重阻碍了网络经济的正常发展--网络安全与攻击技术此消彼长，新的安全威胁还在不断出现。安全隐患就好像e路上的一块磐石，成为国民经济信息化建设过程中的一大障碍！
  
   　　世界各国政府普遍意识到信息安全风险对其国家利益可能带来的威胁，都在为自身的安全进行努力。美国是最早提出，也是最重视建构信息安全体系的国家。他们认为，21世纪初期国家防御系统将严重地依赖于同样是商业的民用的信息基础设施。为适应信息应用的社会化、国际化的形势，从80年代开始，美国就开始建立了一些社会性的安全机构，体现了信息安全的群防群治的趋势。与国外发达国家相比，我国用于信息网络安全方面的投资却还是很低，一般不足企业信息系统建设总成本的2％，可以说，我国当前信息安全建设的形势非常严峻，虽然2001年网络安全厂商总数已经有上千家，但信息安全产品的研发由于普遍缺乏正确思路而导致重复投资现象非常严重。这种思路包括了从对信息资产的认识到安全市场的发展各方面问题，其中几个典型的问题如下：
  
   1、 在新经济的环境下，我们应该如何正确看待信息资产在当前社会环境中的地位？
   2、 面对内忧外患的形势，企业应该怎样保障信息资产的安全？
   3、 根据现状，厂商应该怎样推动网络安全市场的发展？
  
   接下来，我们就将根据以上三个业内外普遍关心的问题结合实践进行综合地阐述：
  
   　　一、如何看待市场经济体制中的信息资产？
  
   1、市场经济中的信息资产
   　　提到信息资产，相信每个人都会联想到当前日新月异的信息产业。的确，随着移动互联、IDC+ASP、网络社区等新的应用兴起和无线、宽带网络的日益普及，信息已经潜移默化的植入到了国家，企业，个人的业务和生活等各个角落。虽然那斯达克崩溃引来网络泡沫的破碎和新经济的大滑坡。但作为信息传递，交流，沟通的载体，网络在计算机与通信技术突飞猛进的发展过程中仍不断得到完善，著名的摩尔定律预示出了信息经济阶梯式发展的趋势，我们无法抗拒信息经济给我们带来的全新生活方式和前途似锦的发展空间。
  
   　　作为市场经济运行的基本组成部分，资产结构和资产运营在新经济中被赋予了新的涵义。企业通过信息化建设，不仅实现了无纸化贸易和共享资源，而且确立了信息作为一项无形资产在新经济环境下的重要位置；信息资产的价值很难用数字来表述，但它与传统的有形资产如股票，金钱，设备有着明显的区别。
  
   　　第一，以信息资产运营为特点的信息经济是必然趋势。在市场经济环境下，速度、灵活性以及前瞻性是一个成功组织有别于其它组织的主要标志。企业必须有一个行之有效的管理机制，使之既能有效监控组织的运营，又能下放决策权以回应竞争形势的变化，有效利用意外的机会--如何才能保持控制和灵活之间的平衡？一个核心的要素就是信息共享。这在传统的产业环境里是难以实现的。
  
   　　进入信息时代，信息成为一项重要资产，以网络为载体，信息资产为核心的新经济革新了传统的资产运营模式。网络系统充当了组织和发布信息的主要角色，它把供应商和顾客的信息、企业的专长产品知识以及企业的市场个性运作进行了合理地整合，并生产出高额的可卖价值。信息资产蕴涵的价值随着技术的进步仍在不断得到提升。
  
   　　第二，资产运营管理模式的革新必然会影响到资产结构的变化。从宏观的角度看，当一种资产要素出现时，就会形成围绕这一要素的产业链条。信息产业就是以信息资产要素为核心形成的产业链条，这个链条在不断维持，发展和创新传统经济的资产运营结构的同时，也使诸如信息设备制造，信息服务，信息安全维护等信息资产运营活动形成了良性循环的有机整体。企业能够在这个体系中高效的管理和运做，一个重要方面就是信息网络本身能够正常运行。
  
   　　第三，当今的市场环境复杂多变，企业需要把信息看作一种战略资源，划规为资产要素进行有效监管，其中包括了对信息本身、信息技术及设备、从事信息活动的组织和人员的有效管理。信息资产以其内涵证明了它在社会生产活动中所处的重要地位，确保信息资产正常运营，成为现代企业管理制度中的重要内容。在中国十多年的信息化建设过程中，更多的企业为单纯的眼前利益而构造了信息网络系统。企业可能会为一个小小的有形资产进行细心的评估和审计，但这样的精力很少会放在维护信息这样的无形资产方面。虽然这只是网络安全意识薄弱性的其中一个原因，但已经足以使企业陷入信息安全管理的混乱状态。
  
   2、安全是信息资产的关键属性
  
   　　信息是经济活动中最活跃的因素，是世界市场经济的重要资源。它的生产、存储、分配、交换对社会、经济、科技协调发展影响巨大。而反映信息交换中供求之间的各种经济关系则是市场经济运行循环过程中的轴心，它连接汇集着信息生产、信息资源开发、信息用户、信息资源利用等重要生产力要素。
  
   　　我们对信息资源的依赖度决定了安全是信息资产区别于其他资产的关键属性。经营者必须关注对信息资产的管理和维护。其实在传统的社会经济活动中，对信息的安全保障就已经受到了经营者的重视。诸如通过加盖公章或签字来确保合同条文不可抵赖；为了保密将公文封装成密文派遣专人发送；在保险柜中存放公司客户资源信息，财务状况，发展战略的商业机密等安全防护手段是维系社会经济活动正常运行的有力后台
   当今，一方面计算机和通信技术的发展带来的成果不断应拓展了信息资产的内涵，信息以计算机为宿主，以网络为渠道实现了从企业内部到全球范围的高速运转；另一方面，随着企业运营模式向电子化，网络化发展，网络的开放互联性使信息的安全性问题变得越来越棘手。全世界平均每20秒就会有一起黑客事件发生，有87%的电子邮件病毒感染率，90%以上的网站受到黑客的袭击，有近6万种不同类型的病毒在传播。据美国有关方面宣布，仅黑客攻击给美国造成的经济损失每年就达100亿美元之多。我国从1986年发生第一起银行计算机犯罪以来，每年计算机犯罪都呈上升趋势。
  
   　　需要特别警惕的是机要信息流失与信息间谍潜入，窃取国家机密信息、企业关键信息和个人隐私，也可能通过WEB发布、电子邮件、文件传送造成无意的泄露。作为信息的主要载体，互联网对任何一位接入者都实行了完全自由和无政府的待遇，这让人们在利用互联网进行信息沟通和数据交换的同时，也受到了诸如身份窃取、假冒、数据窃取、否认、非授权访问、拒绝服务、错误路由等一系列恶意的和不可预测的安全威胁。另外，网络自身的脆弱性也是影响网络信息安全的一个重要因素，如TCP/IP数不清的漏洞，WIN2000的大量BUG，高业务量和网络带宽瓶颈等等，一旦发生网络瘫痪，就会造成严重的后果。例如，2000年美国著名的雅虎、亚马逊、eBay八大优异网站接连遭到了来历不明的电子攻击（DdoS）,导致服务中断，整个互联网的使用率两天时间内下降了20%，这三天的袭击给这些网站造成的直接损失就达13亿美元……在这种网络环境中，国家，政府，企业，个人承受的信息风险难以预测，据CIA统计，入侵美国要害系统的案件年增长率为30%，据统计有14%的部门出现过网上失密，我国网络信息也必然成为被入侵和攻击的重要目标。今年五月份的中美黑客大战，总共“捣”掉了国内外数千家的网站，一时间竟然搞得互联网阴风阵阵，网络界草木皆兵，商家们谈“黑”色变。
  
   　　没有安全保障的信息资产，无法实现其自身价值。有人会问，到底哪里才算是安全？明确的说，没有绝对的安全--只要有信息存在的地方，就会涉及到计算机和网络的应用，其自身的缺陷就会成为黑客和不轨者猎奇的对象，就时刻存在着被攻击和侵入的危险。我们当前的任务是解析安全，而不是逃避或批判。
  
   3、关于信息资产在网络中的安全隐患分析
  
   　　根据木桶原理，网络的安全性取决于其最薄弱的环节。树立正确的信息网络安全观是确保信息网络正常运转的前提条件。并非只要有警惕意识就可以弥补网络自身的不足。同时，信息安全体系的系统性和复杂性决定了安全维护不是一蹴而就的事情。分析不同形式的安全隐患，就会得到相应的解决措施。信息的保密性，完整性，可靠性，不可抵赖性，有效性是对安全需求的精辟阐述。
  
   　　1、 信息的截获和窃取。如果没有采用加密措施或加密强度不够，攻击者可能通过互联网、公共电话网、搭线、电磁波辐射范围内安装截收装置或在数据包通过的网关和路由器上截获数据等方式，获取传输的机密信息，或通过对信息流量和流向、通信频度和长度等参数的分析，推出有用信息，如消费者的银行帐号、密码以及企业的商业机密等。因此，要预防非法的信息存取和信息在传输过程中被非法窃取。机密性一般通过密码技术来对传输的信息进行加密处理来实现。
  
   　　2、 信息的篡改。当攻击者熟悉了网络信息格式以后，通过各种技术方法和手段对网络传输的信息进行中途修改，并发往目的地，从而破坏信息的完整性。因此，要预防对信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。完整性一般可通过提取信息消息摘要的方式来获得。
  
   　　3、 信息假冒。当攻击者掌握了网络信息数据规律或解密了商务信息以后，可以假冒合法用户或发送假冒信息来欺骗其他用户，如伪造大量用户，发电子邮件，穷尽商家资源，使合法用户不能正常访问网络资源；冒充领导发布命令、调阅密件。这意味着当某人或实体声称具有某个特定的身份时，鉴别服务将提供一种方法来验证其声明的正确性，一般都通过证书机构CA和证书来实现。
  
   　　4、 交易抵赖。交易抵赖包括多个方面，如发信者事后否认曾经发送过某条信息或内容；收信者事后否认曾经收到过某条消息或内容；购买者做了定货单不承认；商家卖出的商品因价格差而不承认原有的交易。因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。不可抵赖性可通过对发送的消息进行数字签名来获取。
  
   　　5、 无效信息。贸易信息化以电子形式取代了纸张，那么如何保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。电子商务作为贸易的一种形式，其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此，要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是有效的。
  
   　　二、企业如何保障信息资产的安全？
  
   1、树立安全管理意识
  
   　　目前网络安全产品的主要使用者还是以传统行业如银行，证券，电信等对网络安全需求最大，中小企业随着信息化和经营规模的发展，对网络安全问题也日益重视。但为什么仍会有三分之一的防火墙被攻破，而且网络犯罪有增无减呢？
  
   　　可以说信息安全体系的建设是一个社会工程。根据互联网的特点，人与信息是信息化企业的两个基本组成部分。由于信息是在人的支配下，所以对人的管理成为信息化企业管理的核心也是难点问题。我们举例来说明：
  
   　　今年8月份美国Xylo公布了一项有关在工作场所利用因特网情况的调查结果。结果显示，目前在工作场所利用因特网的比例为66％，而令人惊讶的是其中54%的员工认为工作时间进行网上非工作事务是有“正面作用”的。据统计，在各种造成信息破坏的因素中，由于技术错误而导致信息破坏只占总数的10%，而属于人为的错误却占52%。
  
   　　首先，企业在把经营模式转化为CRM、SCM（或者仅仅是简单的局域网连接）后，必须严格控制进出企业的信息内容。否则某公司内部人员完全可以通过自己的电子信箱，在数秒中之内将公司内部的所有机要文件发送给远在千里的竞争对手；其次，按理论来说，通过实现企业信息化应该带来效率的倍速增长，但是实际上这种期望在无管理的状态下很难实现，相反上网企业的工作效率正在逐步降低，调查显示员工的工作时间越来越少，因为员工更乐于上网炒股、聊天；另外还有成本问题，由于上网的无节制性，流量的费用很难控制在一定水平之内，因此在这方面的预算可能只以一个Max（最大数）来制定；而在评估阶段，要进行详细的流量统计和成本核算又没有办法实现，即使可以计算出来，那又该怎样限制呢？这使得上网企业的经营成本越来越大。
  
   　　在网络安全业界，有一个广为传播的说法：“三分技术，七分管理”。安全技术和安全产品仅仅是为企业信息网络实施安全管理提供了技术层面的手段，而这些技术和产品能否起到其应有的作用，更大程度取决于对这些安全技术的应用，对安全产品的配置，以及在企业网络应用环境下硬件设备、软件系统和用户等各种综合因素的作用。
  
   　　在企业信息网络中，用户接口是至关重要的。在采取了各种复杂的安全技术之后，如果系统的最终用户没有足够的安全意识和安全常识，不能正确应用各项安全措施，那么其后果要么是安全系统不能工作，影响信息网络的正常运转，要么是安全系统演出空城计，不能起实际的作用（如在一个安全系统中使用简单的用户密码）。
  
   　　因此，在安全系统建设工程中，必须充分重视用户的安全，加强对用户安全意识的培训，加强安全常识的教育，加强安全系统的使用培训。
  
   2、建立完善的安全防护体系
  
   　　网络安全已不再单纯是为了可靠的概念，它已经与企业盈利密切相关。企业要增加盈利，就必须建立一套完善的网络安全解决方案，这样才能拓展与客户、合作伙伴、供应商和分销商之间相互信任的关系。
  
   　　对一个企业信息网络而言，安全问题涉及身份认证、访问控制、数据保密性、数据完整性、抗抵赖、审计、可用性和可靠性等多种基本的安全服务，涉及ISO/OSI所有的七个协议层次（物理层、链路层、网络层、传输层、会话层、表示层和应用层），覆盖了企业信息网络中物理环境、通信平台、网络平台、主机平台和应用平台等几个系统单元。因此，这是一个立体的、多方位、多层次的系统问题，在规划、设计、实施企业信息网络的安全系统时也必须用系统工程的方法论来考虑。
  
   　　很多人眼中的网络安全就是防火墙，这是非常不全面的。因为防火墙仅仅是在网络平台一个系统单元的安全技术，仅解决了网络层的部分安全需求，提供的安全服务只有网络层的节点认证、访问控制等，不能解决整个信息系统所有的安全需求。比如说，一般的公开WEB服务器都会采用防火墙来保护，可以利用防火墙限制“所有用户都只能访问WEB服务器的HTTP服务（TCP服务端口是80）”。在这种情况下，从防火墙外部到WEB服务器的HTTP服务的通道是畅通的，如果WEB服务器的HTTP服务存在安全漏洞，攻击者依然可以利用“被允许的”服务通道对WEB服务器进行攻击。在黑客攻击中有很大部分是CGI攻击，其原理既如此。
  
   　　在企业信息网络中，需要对外开放的服务相当多，如HTTP、EMAIL、DNS、FTP、TELNET等，以及与数据库应用相关的各种服务，这些服务都存在很多安全问题，需要在配置时综合应用各种安全技术加以防范。
   因此，我们在规划、设计、维护、管理企业信息网络的安全系统时，必须从分析信息网络的安全风险出发，考虑不同系统单元、不同协议层次所存在的安全风险，所需要的安全服务，采用相应的安全技术，使不同的安全技术、安全产品互相补充、互相完善，保证企业网的安全。
  
   厂商怎样推动网络安全市场的发展？
  
   1、网络安全市场的现状
  
   　　第一，应该说计算机安全产品的市场前景是非常广阔的。
  
   　　首先，计算机安全是一个动态发展的问题。DOS时代的安全基本是主机的物理安全问题，企业局域网的安全则扩展到了整个企业范围，而Internet时代的企业网络安全面对的则是来自全世界的网络探险者、黑客、商业竞争对手、甚至是非常亲密的合作伙伴的窥探、侦测、窃听、欺骗、攻击等各种各类的攻击。
  
   　　其次，目前我国的计算机安全的整体意识不够强。许多用户在应用计算机时，不会将安全作为首要问题来考虑，往往存在着侥幸心理。我国政府明确提出要构筑一个技术先进、管理高效、安全可靠、建立在有自主研究开发基础之上的国家信息安全体系。这对于国内安全企业来说无疑有着积极的意义。
  
   　　另外，我国计算机技术起步较晚，网络尚未完全普及，从计算机安全技术的发展来看，我国在计算机、网络安全类产品的研发上起步较晚，从1989年第一代安全产品防毒卡的出现至今，我国的计算机安全技术仅仅发展了十年，相比国外同类技术，我国本地化产品的技术尚不成熟。随着国际化趋势的不断加强，优秀国际化产品纷纷进入中国计算机安全市场，竞争可谓激烈，不过随着计算机和网络技术的不断深入，这一市场仍然有着广阔的发展前景。
  
   　　第二、买方市场还不成熟
  
   　　即使以网络投资规模的10%来建立安全体系，那我们的网络安全市场也是有非常广阔的发展空间。现在的问题是，计划投资的企业该如何利用技术来保护自己的计算机和网络不受安全的威胁。从目前的状况来看，人们还处于学习应用安全技术的阶段。对网络安全的技术和产品，认识尚不够深刻，大多数人希望一步到位，永保安全。网络安全的特性决定了这是一个不断变化、快速更新的领域，这就意味着人们对于网络安全领域的投资是长期的。在这一问题上，人们的观念与现实的状况产生了较大的差距，这在一定程度上导致了目前整个安全市场炒得很热，但实际的购买力却并不强的现状。
  
   　　一方面，广大用户已经充分认识到网络安全在维护和管理信息资产过程中的重要性，但由于信息安全属高科技范畴，因此很难自主的对安全产品进行选择。这在一定程度上也说明了买方市场的不成熟性；
  
   　　另一方面，截止目前为止，网络安全市场上的厂商已经有上千家，平均每天就会出现一二个新的网络安全公司。虽然这表明信息安全产业正在被越来越多的投资者和科研人员所重视，但这种过热的现象很容易形成泡沫，而挤出泡沫的最终方法就是优胜劣汰，购并重组。
  
   2、注重产品质量
  
   　　现在虽然做网络安全产品很热，但我国网络安全产品的质量还与国外有相当的差距，不过可喜的是，在信息产业整体水平相对落后的情况下，信息安全产业还是有相当的发展潜力的，可以说国内外厂商同是站在一条起跑线上。
  
   　　开拓进取，跟踪世界先进技术，在自主研发的基础上确保高标准的产品质量是征战网络安全市场的前提条件。无论是安全意识的普及还是商业宣传，最终还是要确保自己拥有优质的安全产品。这取决于以下几个方面：
  
   　　第一，产品的专业化和个性化。
  
   　　目前网络安全市场跟风现象非常严重，仅防火墙产品就有数百种之多，直接的后果就是针对性的概念炒做和恶意竞争，广告战已经凸现网络安全市场，其实90年代初的病毒市场已经给了我们一个教训。与其被动通过市场“无形的手”来调控，不如我们主动寻找变通之道。即针对不同行业和用户生产出专业化和个性化的产品。
  
   　　一方面，应该建立核心的技术思想体系，这是实现产品专业化的前提条件。安全源于管理，就向管理是一个过程，安全也是一个过程，我们应该在这个过程中建立成熟的安全技术体系。另一方面，要实现个性化，就需要从研发室里走出来，事实上现在的市场还是以策略导向为主，因为网络安全的专业性令用户很难做出果断的选择，但更多的用户希望能得到针对性教强的产品，根据企业不同的个性确定不同的安全等级。
   第二，高素质的人才队伍。
  
   　　目前在我国，网络信息安全存在的突出问题是人才稀缺，人才流失，同时网络安全人才培养方面的投入还有较大缺欠。在媒体的宣传甚至给人一种错觉，就是计算机安全专业人才不需要什么正规的教育，在网上不长时间就可以“泡”出顶尖的安全高手。其实这只能说是普及教育的成果。
  
   　　对于信息安全技术，它属于高技术范畴，防范和抗击各种攻击，必需有一支高素质的信息安全专业队伍，特别是在相应的软件开发方面，对人才的要求比一般操作软件和运行软件更高。因此需要在普及教育的同时，实施真正成规模的技术专家培养计划。
  
   　　第三，博采众长，融会贯通
  
   　　建立自主的知识产品，并非排斥“洋货”。我们现在面临的问题还很多，比说：1、产品化不够。很多厂商的产品与说明书不一致。2、对产品标准的模糊。为了迎合市场的迫切需要，一些产品“高速”出炉，但本身就漏洞百出，不仅没达到安全性的目的，反倒火上浇油。3、质量管理体系混乱。这跟我们国内厂商所处的发展阶段，即和是否有相应的规模、相应的融资有关系。”
  
   　　因此，我们需要和国外厂商进行广泛的交流合作，闭门造车只能带来落后。但同时不是说照搬国外的产品，如果代码拿过来以后，只是把代码简单照搬，而不能发挥自己的能动性的话，是毫无意义的，应该充分借鉴国外企业先进的质量管理经验，适应国际化的安全体系建设，进行基于原代码级的交流与合作。
  
   3、完善服务机制
  
   　　目前用户对安全服务的需求呼声越来越高，因为网络安全产品的专业性和复杂性决定了安全体系的建设是一个动态的过程，不能一蹴而就。很多厂商都注意到了这个问题，将服务放到了市场营销决策的重要部分之中。根据目前市场上所提供的服务类型，可以概括的划分为无偿和有偿两类。这里之所以这样划分，还是从客户的角度来看的，因为“有偿”就意味着投入。
  
   　　从本质上讲，信息网络安全市场是一种服务市场，除了产品销售之外的活动都可以统统划规到服务的范畴。这种服务可以保证信息网络系统根据用户的安全需求安全运行。其中包括了如安全咨询；安全评估；安全策略制定；安全系统规划；安全系统集成；安全系统维护；安全培训；应急安全响应等内容。
  
   　　事实上，服务是一种增值，因为现在的客户并不只是简单的要求得到功能上的完善。在信息安全产业热火朝天的形势下，黑客攻击频繁，信息安全企业却拿不出一个“放之四海而皆准”的完善系统。这不是说技术不行，因为信息安全保障体系的建设是个复杂的系统工程，安全防线的构成是多方面的，与不同的技术、管理和使用都可能有关。客户越来越担心得不到长期有效的“安全保障”，这个“安全保障”不是完全由产品提供的，相当一部分来自于服务。因此对于客户来说，更重视的是厂商所承诺的安全服务的可持续性；更需要如咨询、培训、安全管理、系统升级和更新、技术指导等等一系列的配套服务，而厂商与厂商，厂商与集成商之间，也需要广泛合作，优势互补，才能制定出完善的服务机制。
  
   　　长期以来，无偿服务一直是用户企业青睐的对象，然而提供免费系统检测、定期维护升级等业务的厂商往往不能对用户提供真正的个性化的服务。有偿服务不仅可以让厂商承诺更好的安全保证，同时也改善了厂商与用户之间的关系，使厂商与用户在契约的基础上开始互惠合作。厂商不应该把技术看作客户的根本需求，因为单纯的技术对信息安全保障起到的作用是有限的，客户真正需要的增值，如何增值？就是依靠服务。服务不是通过与客户间的交易完成，而是通过与客户企业建立密切的伙伴关系共同完成。厂商所提供的安全服务是厂商与客户、产品与应用的融合，真正实现着信息安全的价值，并能够令厂商在用户面前树立良好的声誉。
  
   4、政府的支持和宏观管理
  
   　　信息网络安全已经从一个产业问题上升为事关国家政治稳定、社会安全、经济增长和社会主义精神文明建设的全局性问题。因此，要克服忽视信息网络安全的种种模糊认识，提高各级领导，网络运营者以及各应用单位对信息安全工作的重要性和紧迫性认识，就需要政府从宏观上进行一系列的思想指导。
  
   　　政府管理将会进一步得到强化。信息安全的立法工作正在不断得到完善，同时，2001年信实施息网络的专项工作将继续突出重点，坚持“系统规划、分布实施、有限目标”的工作方针，重点支持网络基础设备、网络安全产品、电子商务安全系列产品、电子商务基础软件产业化。
  
   　　应该说政府将在网络安全市场起到了重要的协调作用，这并不是说政府在横行干预，而是在引导市场的健康发展，现在的政府职能是以为市场服务为主要宗旨，与过去专权管制不同的是，现在的方法是政府作认证，让厂商达到一定的标准，从而保护用户的利益。如果达不到标准，则无权得到许可证书，那么该产品上市也无法得到社会的认同。
  
   　　小结：
  
   　　信息安全产业是信息产业最具投资价值的一个方向，是整个信息产业的一个制高点。
  
   　　信息的高无形价值、强时效性、低传播成本等因素决定了安全是信息资产区别于其它资产要素的关键属性。没有安全保障的信息资产，谈不上资产价值；没有安全管理的信息资产运营，不能实现信息资产的保值和增值。信息资产的价值与其安全状况直接相关。
  
   　　为信息资产的安全运营提供保障是信息安全产业的核心价值所在。信息安全产业是由信息资产安全运营需求所决定的产业链条。实现信息资产的安全管理，保障信息资产的安全运营，是整个信息安全产业的核心价值所在。
  
   　　总之，发展互联网，推进信息化是一个跨世纪的系统工程，需要全社会的共同努力。我们应该重视信息资产在市场经济环境中的重要位置。在国家的统筹规划和宏观调控的指导下，建立起完善的信息安全体系，推动信息网络安全市场逐步走向成熟。