时间:2023-08-16 09:20:23
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇信息安全产业市场范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
按照经济学的观点,我们划分信息安全行业为:“导入期,成长期,成熟期,衰退期”四个阶段。
导入期
中国信息安全市场的导人期已经过去,但其时间发展较长,从1997年至2000年末期。这时期的特点一般为:市场增长率较高,需求增长很快,技术变动较大。行业中的企业主要致力于开辟新用户和占领市场,但此时技术尚不成熟,行业竞争状况和用户特点等尚不明朗。竞争较少,但风险很大,利润很少甚至是亏损。
成长期
目前中国信息安全市场已进人成长期,这一时期的特点为:市场增长率很高,需求高速增长,技术渐趋定型,行业竞争状况和用户特点比较明朗,顾客对产品的认知能力迅速提高,产品形成差别化趋势以满足顾客不同的需求,生产能力呈现不足;市场竞争逐渐形成,进人壁垒拔高,企业应付风险的能量得到增强,利润呈加速增长态势。
成熟期
预计在未来的5、6年安全行业就会进人成熟期,那个时候,行业竞争激烈,盈利能力下降,进人壁垒更高,企业利润不再增长甚至开始回落。中国的信息安全主要市场已经被瓜分。就算有新的产品进人,由于国家政策和行业规范的壁垒,新产品也会被已有的行业瓜分成员所享用。
衰退期
信息安全行业很难估计这个时期,由于存在长期的需求和技术进步的推动力,这一时期应该很长。
影响信息安全行业发展的主要因素
目前中国信息安全市场正处在成长期的时候,国内的信息安全市场虽然增长很快,但是问题不少,信息安全市场还远未成熟。当前信息安全领域主要存在以下主要问题:
安全应用需求不明,当前市场上存在的众多错误概念和混乱意识,使得刚刚开始形成安全意识的企业用户莫衷一是。在众口一词“满足用户需求”的宣传口号下,信息安全厂商是否真正满足了用户需求?一个客观的不容忽视的现状是:信息安全市场是越来越大了,产品是越来越成熟了,可是我们的用户们却越来越迷惘了。
信息安全公司的销售人员往往向用户宣称自己的产品是最好的,可是购买了他们的产品就安全了吗?装上杀毒软件和防火墙,甚至人侵检测就万事无忧了吗?如果不知道花钱能不能得到效果,那么还不如不花。这个清况代表了一部分,甚至是大部分企业用户的想法。事实上,我们的用户已经在市场的热情攻势下迷惑了,市场和需求完完全全地脱了钩。这是因为,作为用户根本不知道自己到底需求什么,而厂商为了推销自己的产品和服务对用户加以误导。
产业结构失调,产品过度集中,低水平重复严重。现在的安全产品的开发“扎堆儿”现象严重,有特色的产品少,重复投资现象严重。由此带来的市场竞争非常激烈。由于防火墙、防病毒产品和IDS的热销,新进人的厂商多半也集中在这几个领域。目前,仅开发防火墙的厂商就有200多家,就三两个人,把Li~操作系统改一改就做一个防火墙的现象非常严重。
核心技术受制于人,我国的信息化建设,基本上是依赖国外技术设备装备起来的。在国际财团涌向我国信息化建设的市场,大举推销电子信息设备之时,我们却在相对缺乏知识和经验的情况下,存在着一些花钱买淘汰技术和不成熟技术的现象,这其中就潜伏着信息安全隐患的极大危险。我们的计算机软件也同样面临受人遏制和封锁的威胁。虽然我国的计算机制造业有很大的进步,但其中许多核心部件都是原始设备制造商的,我们对其的研发、生产能力很弱,关键部位完全处于受制于人的地位。
国内几千万台计算机(包括服务器)CPU是英特尔和AMD公司的产品(由于厂商在芯片上安有序列号,可以通过网络监视远程计算机);操作系统80%的使用微软视窗,余下一部分也基本上被其它公司瓜分;大型数据库大多数使用ORACLE、DBZ、SQLSERVER、INFORMIX等国外数据库;另外,承载防火墙的硬件设施目前也大多被国外控制,包括路由器。所谓“超级端口”的隐患,以路由器为例:当路由最高管理层丢失了超级密码,几乎所有的路由器都提供一个特别端口,可以使管理员绕过口令重新设置密码,而这样的设置其实在方便管理的同时,也为在线攻击者留下了人侵的机会。无疑,这些都是国家安全系统无法接受的。
技术水平相对于国外的同类产品还比较落后,产业化水平较低。在我国自主开发产品并不在少数,但技术水平相对于国外的同类产品还比较落后。目前除了在密码方面有政策保护之外,其他产品在技术及性能方面不占任何优势,尤其在防火墙、防病毒及人侵检测方面完全是国外产品一边倒的局面。应该说信息安全产品的技术含量是非常高的,这就要求知识积累一定要充足,才能开发出有竞争力的产品。国内安全产品市场近八成高端用户的首选是国外产品,而国内厂商整体上是以技术模仿和重复投资的手段争夺区区几亿元的低端市场。
信息安全行业缺乏统一管理,多头管理严重。中国对信息安全的管理太过分散,没有一个有实权、有效率的专管部门。各职能部门在信息安全管理上没有明确分工,各类上级主管部门都不想放弃对信息安全行业的管辖。各种各样的销售许可、人围许可、资质认证、产品测评,对厂家而言除了付出几十万的测评费用不说,还耗费了大量的人力、物力,令厂商苦不堪言,疲惫不堪。这种种现象严重阻碍了我国安全软件产业的发展。
缺乏产业政策引导,政府对信息安全产业的发展没有明确的总体设计思路,安全厂商在缺乏总体框架引导的情况下,发展方向不明确,导致我国的安全产业缺乏主流产品的引导,而仍处在混战之中。人才问题,有人才能做一切,这是没什么争辩的。
如何提高信息安全企业的核心竟争力
在网络通信界的巨头们热烈讨论网络融合美妙前景的同时,网络安全界已经用行动去品尝各种安全技术融合的滋味。但如果我们比较一下两种融合趋势就会发现他们之间有很大差异。
网络通信的融合的源动力来自新技术的创新,而这种融合的方向是多种业务在一个平台上的承载。而信息安全界的融合源动力来自网络攻击手段的融合。而融合的方向是以安全技术的融合对抗攻击手段的融合。可以说信息安全界的融合是让愈演愈烈的网络攻击逼出来的虽然这听起来有点以彼之道还彼之身的味道,但事实确实如此。以网络病毒为例从去年的尼姆达到今年的振荡波,冲击波,还有最近的QQ尾巴,我们可以看出在现在的网络攻击手段中,既包括病毒攻击,也包括隐通道、拒绝服务攻击,还可能包括口令攻击、路由攻击、中继攻击等多种攻击模式。双拳难敌四手,众多攻击手段让传统上各自为战的安全产品破绽百出。
IDS不是用来对付网络蠕虫的,防病毒软件不会理睬网络上拒绝服务攻击,防火墙对病毒攻击和隐藏在合法服务下木马后门鞭长莫及。用户不是技术专家,当安全问题出现时,他们不会追究到底是摆在这边的防火墙还是放在那边的IDS谁失职,他们会责问安全提供商:我掏了一大堆钱,为什么我的网络老出问题,你们安全产品到底灵不灵?
入侵检测技术侧重监测、监控和预警领域,而防火墙和IPS能在访问控制领域发挥长处,防病毒软件,安全认证分属于不同的安全领域的安全产品,可惜用户并不是讨论某一种安全技术乃至某一个安全产品与其他技术和产品哪个更安全,其实不如探讨如何将各种安全产品整合成一个安全体系让这些安全产品有效地协同工作更为务实。
我们可以看到现在各大安全产品制造商的产品线已经在尝试将不同的技术融合在一起:以侧重于检测的入侵检测技术和侧重于访问控制的防火墙技术两种技术协同和融合起来一直是信息安全研究的前沿课题。而防火墙和防病毒的融合已经在防毒墙这一产品中得到体现。所以只有将不同安全侧重点的安全技术有效的融合起来,安全产品的性价比才能更高,才能在日益激烈的信息安全市场上有优异的表现。
一个木桶能装多少水不但要看木桶最短的那块模板的长度,也要看木板之间的紧密程度。这个模型应用在信息安全领域就是:一个企业网络的信息安全不但依赖单个安全产品自身的性能也依赖于各个安全产品之间的协作。众多安全产品之间的关系不是简单堆砌,而是相互协作,将不同安全防范领域的安全产品融合成一个无缝的安全体系。
来自天融信的余海波介绍说:这种融合趋势不仅仅是安全技术,也席卷了安全体系和架构。网络安全产品已不能再仅仅是个安全设备,还必须是个高性能的网络设备。
思科自防御网络的体系框架把安全的基因融合到路由器、交换机、终端、防火墙+VPN+IDS产品中,并采用了集成化管理软件。从终端方面的网络准备控制(NAC),到交换机上的防火墙、入侵检测、流量分析与监控、内容过滤形成全面的网络安全防御体系。这个安全防御体系代表了安全和网络融合成一体的整体安全解决方案也成为网络安全领域的共识和发展方向。
火花2: 安全厂商之间不仅仅是竞争关系
说到竞争,在信息安全市场上,安全厂商们之间不仅仅是激烈的竞争,他们还有合作。合作不仅仅是不同领域的安全产品之间的必须有良好的兼容性,这个技术问题对于前来座谈的厂商不是什么大问题,真正的问题来自于厂商之间在市场竞争中的合作。来自瑞星公司的市场部副总经理马刚谈到了价格竞争,讲了一个真实案例,在一次采购招标中,一家小的安全产品服务商为了能拿到一个单子,用低于盗版的价格硬是将瑞星还有另外两家国内知名安全厂商挤出局,马刚说:“当我听到他的报价,一个单机版5元!那就没什么可说的了。5元一个软件,别说是软件开发成本,服务提供成本,就是我的服务人员来你这里提供及时的上门服务的车票钱都不够!”
这种严重的恶意压低产品价格只能是阻碍,而不是促进信息安全业的健康发展。非理智的低价竞争恐怕受损失不仅是厂商自己,用户最终也会为这个非理智低价承担相应的损失。而刚才那个案例的用户就是折腾了两个星期后又把上面3家安全产品提供商请回来重新竞标,原因当然也勿须多说,从这个案例我们可以看出信息安全这个产业需要每一个参与游戏者都自觉遵守一定的游戏规则,而其中一条重要的规则就是不参与低价竞争。需要指出的是现阶段的信息安全产业环境和网络通信界的产业环境有一个重要的不同:那就是竞争过度。网络通信界天天有人喊打破垄断,鼓励竞争,只有竞争可以让垄断者出让一部分剩余让消费者享受,可是在信息安全产业内是恰恰相反,竞争的不止是有点过头,而是千军万马过独木桥,十几家厂商为一个单子互开低价,而且是一边骂别人瞎搞拆台,一边给用户开出0折扣的支票,让客户自己去填价格!这种恶性竞争不但影响安全制造商,安全服务提供商自己的健康成长,而且超低价产品和超廉价服务只是一个短期行为,长期下去会滋生劣质产品、劣质服务,这反而不利于信息安全市场的成长。
所以安全厂商之间不仅仅是刺刀见红的竞争关系,而且每一个想在信息安全产业做久做大的企业都必须建立一种战略合作,通过这种合作去建立一种行业秩序,这种行业秩序同国家的宏观产业政策互相呼应才能营造出一种良好的市场环境,促进信息安全市场健康发展。显然信息安全市场的健康发展的受益者是信息安全市场的每一个参与者,不仅是产品和服务的提供者,还有产品和服务的接受者。我想信息安全界自律公约的出台就说明这种合作的必要性已经被各大信息安全相关厂商意识到了。
火花3 :信息安全服务-产业的盲点
启明星辰的杨继生分析当前信息安全服务市场时说道:现在的信息安全服务基本上分为安全评估服务,安全培训,安全外包、安全集成、和应急相应。现在能看到利润的主要是安全评估和安全集成。而安全培训和应急相应多是对用户的售后服务,而在国外开始流行的安全外包服务在国内尚没有成气候。信息安全服务对安全设备提供商意味着什么?冠群金辰的黄逊认为服务就是赢得客户对产品以及产品背后的厂商信赖和认可的重要手段,良好的服务积累起来的口碑是冠群金辰取得用户信任的干将莫邪(注:冠群金辰曾以七种上古神兵做为自己七款产品的代言人)!而东软市场的路娜则讲述了东软在完成了一次及时高效应急服务后,赢得大客户的信任,得到一笔不菲订单的成功案例。也许是受限于座谈会的时间短暂,关于信息安全服务的话题没有深入的进行下去。
还有什么没有谈到的吗?
在我看来,良好的服务给安全产品提供商带来不仅仅是口碑、商机。信息安全服务对于信息安全提供商还有两个战略意义。
1 信息安全市场的入场劵
让我们先从两个统计数据来感受热闹的信息安全市场:
数据1:2007年全球安全市场的总额将从2002年的639亿美元增长为1,188亿美元,其中硬件、软件和服务的市场占有率将分别为32.4%、34%和33.6%,其市场规模平均增长率分别是11.8%、12.2%和15.8%。按照IDC对安全的新定义,安全领域可细分为物理安全、信息安全和业务连续性安全,信息安全是安全市场增长最多的领域。IDC预测,亚太区信息安全的市场规模将从将从2003年的37亿美元增长为2007年的83.4亿美元,而中国信息安全市场则从2亿美元增长为6.7亿美元,年均增长率为34%,远远超过整个亚太市场22.9%的年均增长率。 (数据来源:IDC(国际数据公司)2004年亚太安全论坛)
数据2:2002年底,我国国内与信息安全相关的注册公司已达1300多家,其中具有技术研发能力的350多家,有自主产品的190家,具有成熟产品的80家;已领取了安全产品销售许可证的产品有近500种,通过信息安全测评认证的产品有140多个。 (数据来源:中国信息产业商会信息安全产业分会)
两个统计数据给我们这样一个问题:信息安全市场容的下1300家企业吗?
答案是:过去容不下,将来更容不下。信息安全市场的高速发展的另一面就是高淘汰率。显而易见,信息安全市场越成熟,市场的资源配置会就越来越集中到更少而不是更多的公司手中,这是资本的规律。问题的关键是会淘汰什么样的企业?第一感觉告诉我们是技术,只有拥有核心技术的信息安全公司才会在激烈的市场竞争中幸存,但是如果你站在用户的角度上就会发现并不完全是这样。用户真正关心的不是你卖给他的硬件设备是基于NP还是ASIC的硬件平台,是千兆设备还是百兆设备,他关心的是你的设备能否既能保证他内部网络的安全的同时,又能兼顾正常的网络转发性能。他们最终关心不是你的防火墙是采用状态检测机制还是深度检测机制,你的IDS是基于主机的还是基于网络的,而是用了你的设备后,他的机密信息是否真正安全了,他们的内网安全在你的设备和你的安全方案下得到了真正的安全。简而言之,核心技术对用户应该是透明的,用户看的到的是厂家的服务。厂家所能提供服务水平是这个厂家的技术实力、资本实力、管理实力、市场运作实力的综合体现。限于条件,笔者只能在这里提出一个假设:如果能将这四种实力进行计量形成一个加权综合服务指数,那么这个综合服务指数的排名和厂商在市场的份额应该是直接对应的。
这种信息安全厂商的服务随着信息安全市场的发展将积累成一种资格,而这种资格一面淘汰那些不能提供长期优质服务的信息安全厂商,一面也逐渐成为信息安全产业后来者的入场劵。现在的信息安全厂商要想利用先发优势享用更多的信息安全市场高速发展带来的丰厚利润,就必须做好他们的服务,他们的服务越好,后来者就越不容易进入这个产业。
2 未来安全产品制造商的避风港
常言道:居安思危。现在信息安全产品提供商现在注意到的是不规范的市场秩序和高速发展的市场,不知他们考虑过螳螂捕蝉,黄雀在后。或许在他们相互为争夺客户拼个你死我活时,像CISCO这样的网络设备提供商和微软这样的软件商正在暗自打算如何抢走他们的奶酪,他们苦心经营的技术优势恐怕对于这些巨头来说只是薄薄的一层窗纱。显而易见CICSO和华为这样的网络设备提供商进入防火墙、IDS的市场难度,远小于防火墙制造商进入交换路由市场的难度,微软做防毒软件更是有得天独到的优势。
如果换一个角度看CISCO的自防御体系和华为的“i3安全”,就会发现CICSO和华为这样的网络设备提供商,正在考虑利用其完善的网络基础设施产品线,把相关的安全产品融合到网络构架中。对用户来说绝对是一个好事,因为他们把技术层次上的信息安全做的可谓滴水不漏。可是对于现在得信息安全厂商来说可是一个严峻得考验。当网络设备提供商用自己全面的生产线为用户建立起完善的安全体系的时候,真不知道,防火墙也好,IDS也罢,他们能卖出多少。我是在危言耸听吗?但愿是。
至于微软捆绑销售防毒软件我不想多说,免的给他造势,反正我知道网景当年可是高速成长的明星公司......
新时代,信息安全的概念变得更为宽泛。信息安全已经不再局限于以往的黑客攻击了。信息安全隐患已经展现出了多样性的特性,变得更加复杂,更加需要专业人员专门对待。除了普通网络用户,国家的电力系统、通信设备、金融系统等等核心命脉部门都成为信息安全领域中的重点保护对象,因为一旦这些部门出现信息安全威胁,则关系重大。
新时代信息安全的另一个特点就是在技术层面更加尖深。现在的网络攻击完全可以达到“私人定制”程度。比如说一些公司的领导者要在公司内汇报一项重要的工作,这份文件在行业内很有价值,吸引了一些不法分子的觊觎。攻击者只需要给这位公司领导发一封看似非常正常的word文件,可能就是一份完全看不出任何问题的普通文档。但当这位领导打开文件之后,电脑可能只是闪了一下,攻击者就已经攻入这位领导的电脑。而随之而来的不仅是这份重要文件的被盗,还有整个公司的网络系统对攻击者而言已经处于“”状态了。而且可能相当长一段时间,这个公司的人员都不会意识到自己每天正处于被监控状态下,因为一切隐患都发生的相当自然,没有任何异常之处。
而且,正如刚才案例中所谈到的,仅仅偷取一份文件,并不是攻击者现在的目标,留下后门从而随时将入侵电脑乃至整个公司电脑系统处于自己的监控之下才是攻击者的追求。
此前,有一家公司的CIO在和笔者交流时表示,最近发现自己的商业网站遭到了黑客攻击。笔者当时初步判断,这次攻击可能仅仅是个开始,黑客可能不满足于“偷一把信息就跑”。于是笔者从这位CIO的公司内找到一台瓷碗没有被发现已经被攻陷的服务器,经过检测,我们发现这台服务器上已经被黑客留下了十几个后门。这就是一件非常可怕的事情,因为任何一个后门没被彻底清除,黑客就可以自由出入窃取信息。对公司而言,这样的黑客入侵已经造成了全系统地的瘫痪,因为越多地用网络传递公司信息就会有越多的信息被窃取,而不用网络,正常的工作可能就无法进行。信息安全是一个非常严肃而且关键的事情。
综合来看,中国的互联网安全水平在国际上处于中上水平,并没有很多人想象的那么差。去年3月,微软官方博客的安全报告指出,中国电脑的恶意软件感染率指标为0.6‰,不仅远远低于7.0‰的全球平均线,也是恶意软件感染率最低的国家。中国的个人用户市场发展最好,既有免费的杀毒软件,同时也取得了非常好的效果。
当然比起国际一流水平,中国的差距还很大,但必须要看到中国互联网用户数量多、信息安全情况复杂等一系列现实情况。
具体来讲,中国信息安全整体水平与国际一流水准在三个方面存在差距。
首先,中国的信息安全或者说整个电子信息产业在自主可控方面,还有很长的路要走。互联网的基础架构起源于美国,中国互联网方面直到目前依然深度依赖美国的技术和标准,比如说域名解析系统、证书公司基本上都是美国公司研制的,更严重的是,中国公司的量信息和数据服务也是有美国公司参与完成的。
这就需要中国企业在尽可能短的时期内尽快完成核心技术和产品的研发,早日实现自主可控。
其次,中国的产业环境不利于网络安全专家的发展,而人才是电子信息产业最为重要的资源。在早些时候,网络安全领域的专家被很多公司和部门像防贼一样地防着。相比中国,欧美的网络安全专家的成长环境远好于我们,在国外网络安全专家被视为稀缺人才,甚至国家出面进行人才安置和延揽。另一个值得注意的问题是,整个信息安全产业氛围国内外差距显著。中国的信息安全企业之间很难建立融洽的合作关系,甚至一些企业见面如同仇敌一样,更谈不上坐下来聊聊合作的事情了。去年,国内互联网安全公司的市场规模有300元亿左右,最大一家才只有9.9亿元,这说明中国的互联网安全市场高度碎片化,成规模的大企业几乎没有。在这一点上美国同中国一样,美国的信息安全公司也面临着高度碎片化的问题。其中一个原因是由于信息安全产业的链条特别长,基本上没有公司可以把所有的信息安全产业全部覆盖,能做好一个环节或者几个环节就已经非常不容易。
成立中央网络安全和信息化领导小组的一个重要意义在于把各个环节的龙头企业集合起来,通过分工协作来真正做强中国的信息安全产业。
中国的信息安全市场其实是一块非常大的蛋糕,目前还说不上是一个红海,还有着巨大的市场空间可以让企业去争取。
还有一个问题是政府导向问题。大量中国企业的CIO只是按部就班地完成任务,并没有承担责任,没有冒风险的勇气和决心。举例来讲,中国的很多CIO只是把有名气、有资质的安全产品用在企业上,但是并没有把重点放在踏踏实实建设企业信息安全上。这导致的直接后果之一就是很多信息安全产品公司把发展重点放在了去申请各种各样的资质和开拓市场品牌上,至于产品性能并不关注。这对中国信息安全产业来讲绝不是一件好事。
根据公开资料,中国60%以上的网站存在漏洞,20%的网站存在严重漏洞。一个非常极端的例子是,某网站在成立两年多的时间里先后发现了7000多万个漏洞,这说明中国的信息安全形势并不乐观。
鉴于这样的产业现状和发展问题,政府应该继续加大对国产信息安全软硬件的支持,但是在具体的方法上应该有所改变,不是政府花非常大的力气去护航,而是应该用市场机制去淘汰一批企业,扶持一批企业,比如政府应该鼓励更多真正踏踏实实研发技术的企业。政府应当是引领一种风气,而不是去简单地护航,护航式的支持并不利于中国信息安全产业的发展。
国际化就成为业界同仁们,甚至社会各界人士,迟早要面对的事。
IT产业作为国家产业的领先阵地,信息安全做为IT产业的阵地前沿,自然首当其冲地感受国际化的浪潮。
入关
得知中国入世之后,我的心情也很复杂,总的来说是两句话,第一句话是非常高兴,入世肯定会让中国面貌一新。第二句话,入世所带来的冲击是现实的。首先来说入世是会带来冲击,入世的本质是政府的承诺,承诺遵守世界通行的游戏规则。――――――――――吴敬链
中国入世,并没有象大家想像的那样,东西便宜得不得了,也没有象专家预言的那样,民族产业面临崩溃的境地。不管现实如何,一个不争的事实是,国际巨头纷纷进驻中国,开始把中国纳入全球市场的版图,成为重点攻关的对象,因此有人说,21世纪,世界经济的中心在中国。
信息安全是IT产业的第一淘金圣地,这源于个人与企业旺盛的安全需求,随着网络爆炸式的发展,病毒与黑客也迅速跳入每个人的视野,它们已经象网络一样成为一个社会词汇,正在真真切切威胁着人们的电脑安全,于是安全产业这块蛋糕逐年增大,如今已经形成一个数千亿美元的巨大市场。信息安全产业与其它产业不同的是,它是一个讲究积累的产业,随着时间的推移,会形成越来越高的行业和技术壁垒,这些壁垒一旦形成,将会形成一个相对垄断的市场,天然阻隔其它企业的进入,几家寡头共同分享一个市场,为企业提供稳定的利润来源。纵观国内信息安全市场,这么多年始终是几个熟面孔,金山公司用了五年时间,经过多场营销大战,才在反病毒市场打拼出一片天地。
但是,这种行业壁垒并不能阻止国际信息安全巨头的进入,他们技术积累的时间更长,起步也更早,具有更强的攻击力,另一方面,他们早已渡过资本积累的初级时代,积累了大量的金钱,在中国入世之后,它们显然已经把中国作为新的淘金场,携先进的技术与充盈的资金,纷纷入关。
赛门铁克公司早在1998年就进入了中国市场,如今已经牢牢坐稳了企业反病毒市场的头把交椅;安氏集团在1999年建立了安氏中国有限公司,经过几年的渗透,已经同政府建立了良好的关系,开始参与政府机关的某些安全项目;趋势科技于2001年进入中国,是最早推广防毒墙的信息安全厂商,具有综合的实力;而具有最好的反病毒公司之称的卡巴斯基公司,于2004年进入中国,一进入中国便引起了行业震动,虽然在市场端还没有太大的作为,但是国际巨头进入中国市场已经成为定局,就象三百年前的清兵入关,新旧国际巨头的交替进入,将会使中国的信息安全市场更加扑朔迷离。
困斗
真的猛士,敢于直面惨淡的人生,敢于正视淋漓的鲜血。这是怎样的哀痛者和幸福者?然而造化又常常为庸人设计,以时间的流驶,来洗涤旧迹,仅使留下淡红的血色和微漠的悲哀。
――――――――鲁迅
在国际化的形势下,我们还没走出去,国际列强就已经走进来,在与国际巨头的短兵相接中,国内企业可以取长补短,增强体质,在家门口做好准备。
不过,对于中国信息安全产业来讲,形势要好得多。纵观整个信息安全市场,硬件领域由天融信、启明星辰等国内企业控制着市场的大半;软件领域由瑞星、金山、江民完全掌控,虽然趋势、熊猫等国际巨头携防毒墙攻城略地、赛门铁克还在企业防病毒市场盘据,但是国内厂商经过这几年的技术与资金积累,开始纷纷出招。金山、江民在两年前推出了企业级反病毒产品,瑞星在推出企业反病毒软件四年之后,又推出了防火墙、防毒墙、网控等硬件信息安全产品,开始全面介入信息安全市场,就连国内信息安全二线厂商安天公司,也推出了独有的用于大网监控的VDS网络病毒监控系统,以独有的技术亮点蚕食着信息安全市场。因此,中国并没有形成象日本那样的,几乎没有本土信息安全企业的信息安全殖民地状态。
究其原因,首先是我国本土信息安全企业的自身特色决定的。有人说,中国人最适合编软件,虽然有着强烈的民族色彩,却是事实,正是由于经济的落后,人的思想才没有被成熟的工业化变得体制化,才会有那么多的奇思妙想来完成有创意的软件。有人批评中国软件的非工程化而赞赏印度,并把印度注重实现不重视优化的做法归结为软件产业的成熟,这对于应用类软件来说或许是必要的,但是对于安全软件来说,就是一种桎梏。安全类软件都工作在系统最底层,任何一个小的毗漏都可能造成系统崩溃,因此任何一个功能都是反复雕琢的结果,这种对技术追求的结果是印度至今还在做着世界的软件工厂,而中国却已经有了自己成熟的产业。
还可以看到,当世界上已经有了成熟的特征码查毒技术时,江民在自身条件基础上创立了广谱特征查毒的方法,在AVP已经积累了上千个脱壳模块后,瑞星却绕过这种积累创立了虚拟机查毒技术,在赛门铁克只删不杀的反病毒策略下,国内企业打起了完全清除病毒的旗帜,还将实时监控完善成一个庞大的监控体系,使个人防火墙成为安全软件的标配,这些都构成了国内安全厂商自身的技术特色,成为与先行者角逐的资本和后来者必须跨越的门槛。
政府壁垒也是国内信息安全厂商困斗的利器。就象美国政府当年扬言不向中国出口128位的加密产品那样,国家政府机构的安全问题也不会交给国外厂商来打理。因此,在政府、军方的安全产品采购方面,国家清一色地选择了国产安全产品,象瑞星的企业版、天融信的防火墙最初都是在这种情况下发展起来的。而趋势、安氏等国际企业也是在中国建立了完全的本土化企业之后,经过数年的政府攻关,并在重大事件之前标榜自己将完全站在中国国家立场,才得以在政府方面的采购中有所收获,而国家出钱的安全项目,是毫无例外和本土安全企业进行合作的,启明星辰是最大的受益者。对于这类政府壁垒,即便是经济最开放的美国尚且谨慎,更不用说是发展中国家了,这不在开放之列,也是国内信息安全企业能够走向成熟的一个重要的内部环境。
亮剑
古代剑客们在与对手狭路相逢时,无论对手有多么强大,就算对方是天下第一剑客,明知不敌,也要亮出自己的宝剑,即使倒在对手的剑下,也虽败犹荣,这就是亮剑的精神。―――――《亮剑》
说到底,中国市场只是国外企业众多触角中的一只,与国内企业斗得再苦也不会对他们产生太大的伤害,他们早在资本主义大后方建立起了庞大的帝国,就象黑客帝国的MATRIX一样控制着整个世界,只要时机成熟他们可以以毁灭者的姿态倾销自己的产品、技术、服务,在打击中国信息安全市场之后重建游戏规则和秩序。
全球范围内有超过600家年销售额超过1000万美元的IT安全企业在抢夺着市场,而且新的安全公司还在不断兴起,加入信息安全市场的角逐,仅2004年,文本控制的公司从 4个发展到 14个,补丁管理的公司从 6个发展到 16个,安全配置管理的公司从 11个发展到 17个,扫描和风险评估的公司从30个发展到40个,这些公司都依靠自己国家的环境发展,并会在条件成熟后迅速切入国际市场。
在安全产业领域内部,还存在着一些问题,比如所有的IT安全产品类型都在为同样的公司资源而竞争,量化投入产出很困难,太多的解决方案淹没了管理人员,潜在的客户对需求、优先的工作和技术选择非常困惑,大单位不愿意为启动重要安全系统花钱等等。因此,国内企业不能只在自己的家门口争食,还要走出去,直接挺进国际市场。
记者注意到,此次专项主要针对金融、云计算与大数据、信息系统保密管理、工业控制等领域面临的信息安全实际需要而来,专项重点支持领域包括金融信息安全领域、云计算与大数据信息安全领域、信息安全分级保护领域、工业控制信息安全等四大领域。
其中,金融领域又包括,智能入侵检测产品、高级可持续威胁(APT)安全监测产品、面向电子银行的Web漏洞扫描产品、金融领域应用软件源代码安全检查产品等;云计算与大数据方面,又侧重高性能异常流量检测和清洗产品、云操作系统安全加固和虚拟机安全管理产品、高速固态盘阵安全存储产品、大数据平台安全管理产品等。
再者,该专项还提出,在上述四大领域中开展重要信息系统安全可控试点示范。
其中在金融领域,支持商业银行开展一体化信息安全风险感知体系试点示范;支持商业银行开展电子银行和移动支付业务系统安全态势监控试点示范;支持商业银行、信息安全专业机构、行业主管部门对电子银行系统联合开展金融领域钓鱼网站和金融诈骗事件安全应急保障试点示范,探索银行、机构和政府部门合作的新模式,建立联合处置、及时有效的应急保障机制。
云计算与大数据方面,在金融、能源、交通、电子政务、电子商务和互联网服务领域,支持重点骨干企业,围绕主要业务应用,采用安全可控的技术和产品,开展云计算和大数据安全应用试点示范。
工业控制信息安全领域,在电力电网、石油石化、先进制造、轨道交通领域,支持大型重点骨干企业,按照信息安全等级保护相关要求,建设完善安全可控的工业控制系统。建立以杜绝重大灾难性事件为底线的工业控制系统综合安全防护体系,建立完善工业控制信息安全技术与管理的机制和规范。
需求爆发在即
业内人士指出,信息安全产业是保障国家信息安全的战略性核心产业。我国信息安全产业与软件和信息服务业相比不到1.5%,而欧美国家这一比例普遍达到8%-12%。信息安全上升至国家战略,整个产业“爆发”在即。
“电子政务、金融、军工、电力等行业对信息安全都有着非常迫切的需求。据赛迪顾问预测,未来三年信息安全产品市场仍将保持快速增长态势,年均复合增长率为20.3%,2014年市场规模将达到228.03亿元。”华创证券认为,国务院总理7月份在主持召开国务院常务会议中,明确提出构建安全可信的信息消费环境。而根据《信息安全产业“十二五”发展规划》,到2015年,我国信息安全产业规模突破670亿元,保持年均30%以上的增速,高于全球的信息安全产业20%的增速。
据工信部测算,今年1-5月份信息消费的规模已经达到1.38万亿元,同比增长19.8%。特别是,移动互联网发展迅猛,新兴消费信息消费领域的服务和产品快速增长,以家庭宽带接入、网络视频、网络购物、微媒体、手机支付、手机视频为依托的新兴消费对经济增长的拉动作用增强。
包括高端软件在内的软件和信息服务业是我国增长最快的“朝阳产业”。有分析师表示,加快培育高端软件,可以催生和壮大云计算、物联网等新增长点、扩大内需、拉动产业和经济增长、推动软件和信息服务业的发展。另一方面,高端软件的发展对新一代信息技术及新能源、新材料、节能环保、生物医药、高端制造等战略性新兴产业的发展有着重要的支撑和推动作用。
发展空间巨大
近年来,通过政府、联盟与产业界的共同努力,国内高端软件行业取得长足进步。
以工业软件为例,2010年,我国工业软件规模超过273亿元;来自中国工业软件产业发展联盟的《2011中国工业软件产业发展年度报告》显示,2011年,中国工业软件市场规模已达到616.34亿元,同比增长17.9%,远远高于全球市场增长。
来自工信部2012年的中国软件和信息服务业发展报告(以下简称“报告”),也总结了在这一利好数字下所取得的具体成绩,报告指出,在工业软件中的研发设计软件部分,初步建立相对完善的产业体系,核心软件在低端市场快速普及。国内研发设计工具产品已经基本形成体系,覆盖CAD、CAE、CAM、CAPP、PDM、PLM等产品生命周期的各个阶段,涌现出数码大方、中望、浩辰、中科辅龙、山大华天等优秀企业。在生产管理软件领域龙头骨干企业快速成长,中端市场的核心竞争力显著增强。目前,生产管理软件已经占据中高端市场40%的份额,业务也开始逐渐向海外拓展。
工业软件中的生产控制软件在部分领域的产业化取得突破,加速从低端向中端市场迈进。生产过程软件控制软件在电力、化工、冶金、军工、装备等领域的产业发展取得突破,如和利时、浙江中控等国产DCS系统占电力和化工领域的市场份额分别达到50%和35%。
尽管在中低端市场取得了很大成绩,但是在高端市场,工业高端软件仍被跨国公司垄断。报告指出,2010年,SAP、Honeywell、Autodesk三家外企与大恒科技、用友、和利时三家中国企业相比,在营业收入、净利润、员工数量、当前市值、总资产方面分别是3家中国企业的42、52、12、31、44倍。
不仅如此,我国在网络安全领域的高端软件市场形势也很严峻。
云计算、物联网、移动互联网等新技术的应用与发展,使信息的获取方法、存储形态、传输渠道等发生了新的变化,网络结构的复杂、大数据的疯涨、用户的增长都给信息安全防护带来难度。但是,我国的信息安全市场仍然处于发展初期,市场整体规模较小,企业普遍发展缓慢,与同类知名企业相比差距较大。例如,四家国内信息安全上市企业奇虎360、网秦、启明星辰、卫士通与两家国外上市企业Symantec、Check Point,对比它们2011年的营收数据来看,虽然国内企业的营收增长率都高于国外企业,但是,国内企业的高增长率并非来自主营业务;同时,在产品层面,启明星辰与卫士通主要经营信息安全的硬件产品,奇虎360、Symantec主要经营信息安全软件产品,Check Point则更全面,软硬件产品都有涉足。
不过,中国安全软件市场仍然有很大的增长空间。2012年,IDC的研究报告指出,2011年中国IT安全市场规模为14.7亿美元,同比增长18.1%。IDC预计2011到2016年,中国IT安全市场的复合增长率将为12.8%。
政策关注度高
高端软件市场巨大,由此,国产软件与国外先进水平存在一定差距的现象得到了国家与有关部委的高度重视。
2010年10月,《国务院关于加快培育和发展战略性新兴产业的决定》明确,着力发展高端软件产业。“十二五”规划中得到再次明确;2011年初,《国务院关于印发进一步鼓励软件产业和集成电路产业发展若干政策的通知 》将高端软件及具体内容列为重点研发对象。
在《“十二五”国家战略性新兴产业发展规划》(以下简称“规划”) 中,国家对高端软件给予了更多的政策支持,同时明确提出高端软件和新兴信息服务产业发展路线图。
规划指出,支持高端软件和新兴信息服务研发,研发关键技术和产品;实施高端软件产业的标准化和知识产权保护战略,提升产业竞争力。具体内容就是积极实施物联网、云计算、移动互联网、数字电视网等新兴服务业态推进计划,以重大应用工程带动相关产业发展。开展移动智能终端软件、网络化计算平台与支撑软件、智能海量数据处理相关软件研发和产业化。组织实施搜索引擎、虚拟现实、云计算平台、数字版权等系统研发。推进信息安全关键产品研发和产业化。加强计算机辅助设计与制造、智能化管理等工业软件研发。鼓励电子政务、金融、电信、保险、交通、广播电视等领域重大信息系统的自主研发。加强在信息系统咨询设计、集成实施、系统运维、测试评估等领域支撑技术研发。组织实施数字内容共性关键技术攻关和产业化。加强生物特征识别与身份认证技术的研发与应用;加快软件和信息技术服务产业共性技术、测试认证、软件评测、开发环境、内容资源、技术标准等公共技术支撑平台建设;实施骨干软件和信息服务企业培育计划,培育20家左右软件和信息服务业务收入超过100亿元的骨干软件和信息服务企业等。
在很多人眼中,信息安全很重要,但却是一个难以出现大企业的行业。经历了2009年“险中取胜”的中国本土信息安全企业,要想谋求更大的发展还需做出发展思路的转变。
孙定: 2009年,随着信息安全行业主管部门的机构调整,等级保护等信息安全工作的推进也不像之前那么高调了。这种情况是不是给我们的信息安全产业造成一些新的问题?2009年,网御神州的发展情况如何?
任增强: 确实如此。2009年,政府机构的变化给信息安全行业也带来了一些思路的变化。但是,作为信息安全建设的一项基本工作,我相信等级保护工作一定会持续、稳定地向前推进。主要有两方面的原因: 第一,等级保护工作的开展有益于信息安全行业的健康发展; 第二,等级保护工作对整个国家的安全建设有巨大的支撑作用。其实, 2009年等级保护在政府各个机构的信息安全建设中发挥了明显的作用,我相信2010年等级保护的推进力度会继续加大。当然,这项工作的推进也会促进信息安全企业产品、服务的相应升级。
对于网御神州来说,2009年与2008年形成了鲜明的对比。参考2006年和2007年的发展情况,2008年初期我们制定了“大干、快上”的发展路线,但受雪灾、地震以及金融危机的影响,全年我们仅实现了20%左右的增长。2009年则截然不同,考虑到金融危机的“余威”,年初我们制定的目标也比较保守,甚至一度认为业绩只要不出现下滑就是胜利。但从目前的统计结果看,我们全年实现了50%左右的增长,这有点“险中取胜”的味道。
2009年的取胜,首先应该得益于信息安全行业的特殊性。受金融危机的影响,企业对自己核心数据的保护意识加强,从而加大了在信息安全方面的投入。其次,应该归功于我们在产品创新、用户需求方面的突破。2009年8月,我们了业内领先的SOC2.0概念以及相关新产品,实现了在安全管理领域的再次领先,也进一步扩大了我们“安全管理市场第一”的优势。同时,我们以客户需求为中心,研发推出了泰山红日“小包王”系列,解决了很多用户在小包上遇到的难题,这也成为我们业绩快速增长的关键点。
信息安全企业一向求稳,但如果能够放开手脚发展,信息安全产业的发展速度也是不容小视的,只不过现在的信息安全市场还是一个温和发展的市场。当然,信息安全企业要适应产业将来快速发展的速度,就必须做出思路转变。
孙定: 如果等级保护能够在全社会推行,对政府、对所有企业来说都是一个规范的过程。那么,安全企业为用户提供的业务服务样式是否应该发生一些变化呢?
任增强: 你说得特别对。其实安全要真正起作用,它应该是各个方面配合的整体方案,而不仅是某一个产品在起作用。等级化其实就是从系统的角度来看怎么保护用户的安全,厂家必须要适应这个方向。
我们很早以前就在推系统级的等级保护――可控安全。这里的可控安全是指局面是可控的,实现这种可控的关键是我们的SOC系统管理平台。它以SOC为核心,用技术手段实现对风险的统一管理和控制,从而实现整个安全局面的可控。它不仅能提供强有力的产品,同时还能提供整体的安全风险解决方案,必将成为信息安全行业内新的发展趋势,很有幸,我们率先迈入了这一领域。
中小企业、家庭、3G的新机遇
本土信息安全企业要实现规模突破就需要找到新的发展机遇。我们关注的新兴市场包括中小企业信息安全、家庭信息安全,以及3G信息安全等。
孙定: 您认为, 2010年中国信息安全的新兴机遇在哪里?
网御神州科技有限公司总裁任增强
任增强: 首先,政府工程仍然是很大一块市场,比如电子政务的推进、税务等专业系统的建设。其次,就是政府投资拉动的社会信息工程建设,如社保系统、医疗系统等。在金融加大监管、电信加大投资的背景下,未来信息安全的机会有很多。我们正在关注的新兴市场包括中小企业信息安全、家庭信息安全,以及3G信息安全等。
如今中小企业十分活跃,各类公司不断涌现,很多企业为了降低成本都开展网上业务,当这种业务达到一定规模以后,加强网络信息安全建设就成为必然。以美国为例,由于美国的中小企业尤其活跃,所以美国信息安全企业的投入也很多。
另一方面,随着中国经济的发展、人们的财富尤其是个人财富的增加,网上交易开始日益发达。有的家庭甚至已经有了几台电脑,这些电脑上用于网上交易的银行账号都需要管理。所以,一个家庭除了物理上的“门”之外,还需要在虚拟的网络里设一个“门”。无论是中小企业还是家庭用户,对安全产品都有很高的要求,即未经授权的人无法开启,而自己能简单、快捷地开启。因此,这些产品虽然属于低端产品,但也需要高端的技术和服务。
此外,随着3G的日益成熟,3G的安全问题也开始备受关注,我们在2006年就开始着手手机安全领域的布局,这一方面我们已经走在了大多数信息安全厂商的前面。
孙定: 本土信息安全企业的发展需要技术和服务创新来支撑,网御神州也是非常热衷创新的民族信息安全企业代表。网御神州为什么要不断创新?创新是信息安全企业发展的必由之路吗?
任增强: 中国GDP如今已是世界第二,要实现从第二向第一的跨越,科技创新是主要推动力。面对资源有限的环境,只有用自主创新产生新的附加值、用科技手段充分提高效率,我国经济才能在整体上有一个质的飞跃。信息安全行业更是如此,要想成为一个国际性的企业,就需要研发有特色的企业产品,而这些必须依靠创新。
网御神州的创新节奏把握得还是不错的,我们有自己的创新脉络: 2006年、2007年,我们的重点在于市场发展的高速; 2008年我们在品牌上做了很多工作; 从2008年后半期到现在,以及未来若干年内,产品技术上的创新将是主流。
这两年我们的发展速度比别的厂商快得多,2009年公司研发投入占了总投入的55%,研发人员达到了公司总人数的50%。研发总是体现了技术的前瞻性,比如我们独立研发的多核操作系统Secos,在业界率先实现了全线多核; 接着是SOC2.0平台,以及“小包王”的出现,这种创新速度是业内其它厂商无法比拟的。
我们希望通过这两三年的积淀,公司产品能够在业界全面打开局面。现在我们的SOC、“小包王”已经有明显的领先优势了,我们也希望其它产品实现新的突破,这对我们整个业务发展会有很大的推动作用。
孙定: 除了产品和技术的创新,我们的服务创新最近有怎样的发展呢?
任增强: 中国信息安全服务还有很大的发展空间。在美国市场,服务已经占整体市场的40%~50%,而中国市场服务的比例大约只有10%。我们向用户提供的方案中,不仅有产品和技术,还有服务。服务从咨询开始,一直持续到后续运维。
现在,我们不仅为政府项目提供了很好的服务,也为中小企业用户提供了更便捷、灵活的服务。中小企业的需求可能比政府的简单,但它们的问题更多、需求更个性化。在家庭用户上,我们也在考虑调整服务模式,为数量庞大的家庭用户提供类似企业级的上门咨询以及运维服务,这是很难实现的,因此为家庭用户提供的服务应该是自助的、更“聪明”的。
向海外市场要空间
对中国信息安全企业来说,海外市场有更广阔的发展空间,但是资金的缺乏、文化的差异、异国政策的壁垒都构成了中国信息安全企业拓展海外的瓶颈,而“抱团出海”不失为一条捷径。
孙定: 为拓展生存空间,网御神州在2010年有什么具体的计划吗?
任增强: 2009年我们在市场上已经取得了不俗的成绩,2010年我们首要的任务还是深耕政府市场,挖掘金融领域的潜力,在目前的基础上再上一个台阶。针对中小企业市场,我们也将加大投入,开发出适合它们的产品。在产品技术上,我们会加大产品创新的力度,使产品获得更多的发言权。最后,我们在国际化上可能还有一些动作。
说到国际化,以前我们从来没有宣传过,其实我们现在海外市场的收入已经占到整体收入的大约10%。目前我们主要的国际市场是韩国、日本和东南亚。今年,我们希望国外市场所占的比例能够提升到大约15%。未来5年里,希望国外的收入能占到总收入的1/3,甚至70%。如果做得好,我们很快就能实现,毕竟国际上有100多个国家和地区,中国只是其中之一的市场。
孙定: 本土信息安全企业像这样拓展海外市场的还不多见,这会是行业的趋势吗?大规模向海外进军,中国本土信息安全企业会遇到什么挑战,如何解决?
任增强: 本土信息安全企业要做大做强、寻求进一步发展,拓展海外市场一定是必然选择,而海外突围要面临的问题也确实不小。
第一个要面临的就是资金问题。海外市场为民族信息安全企业提供了一片广阔的发展空间,却也需要花费不少资金,比如说办事处的设立、营销费用的支出等。现阶段,网御神州主要将资源和精力集中在国内信息安全市场,等到时机成熟,相信我们会在国际舞台上崭露头角的。
其次是国际人才缺乏。很多跨国公司在成立之初就定位于国际化,人才平台也是国际化的,它们能很好地利用各国人才。而中国的信息安全企业目前很难做到这点。
第三个困难就是海外渠道的拓展与维护。海外渠道很难开发,维护也很耗费财力和精力。传统的办法就是靠国家支持,但等待可能会失去机会。缺资金可以在资本市场寻求支持,比如网御神州就在计划登陆创业板。还有一种很好的方法就是合作,比如卖防火墙的企业不一定有IDS,那就可以找有IDS的企业打包销售,共同开发海外渠道与营销,也就是“抱团出海”。
采访手记
网御神州的“二五规划”
今年是网御神州成立的第五个年头。在过去的“第一个五年规划”里,网御神州完成了一家本土高科技公司从创立到最终形成自主创新的技术风格和稳健的市场风格的转变。
而今,从“IT新贵”成长为“业界翘楚”的这家本土信息安全企业,又提出了新的五年规划。中国的GDP从世界100多位发展到世界第二位,接下来还要从第二发展到第一。网御神州其实也是按着这么一个节奏来发展的。建立的头5年,公司基本上实现了做一个一流公司的理想; 今后5年,公司要向大规模、国际知名品牌突破。
“信息安全产业的大规模或者国际知名,就是朝着1~2亿美元这种市场规模去发展。当然,这种规模相对其它产业来说还是比较小的。”网御神州科技有限公司总裁任增强坦言,若想发展到上亿美元的规模,光靠自有资金和国内市场恐怕不足以支撑。因此,上市和国际化是网御神州现在的头等大事。同样重要的还有人才培养,任增强希望再过5年,他的主要工作是考虑公司的战略规划,而更加具体的事务则由新培养的青年才俊打理。(文/李敬)
总裁感悟
做信息安全要有国际视野
一、IT架构国产化成趋势
(一)信息安全市场规模加速发展,市场发展空间较大
据统计,2014年全球信息安全市场规模总共达到670多亿美元,全球的年复合增长率是8.7%,预计2016年,市场总规模将达到960亿美元。
我国的信息安全建设起步较晚,意识形态在逐步提升,从行业分析的数据来看,国内信息安全市场规模的平均增幅达到17%,远远超过国外的增速。我们认为国内信息安全市场规模的增长速度还会提升,预期会达到20%左右。主要原因有以下两点:一是中国的人口和企业基数多,信息化程度提升后带来的边际效应特别快,特别是移动互联网的到来,中国的移动用户终端数量达到5.5亿,基础的安全建设将随之有较大比例的提升;二是目前互联网建设过程中信息安全投资的比例低,据公开信息,2010年我国信息安全产业与软件和信息服务业相比不足1.5%,远低于国外的安全投入比例。
(二)棱镜门是信息安全可控的助推器
从国家层面来看,十八届三中全会公报指出将设立国家安全委员会,完善国家安全体制和国家安全战略,确保国家安全。2014年2月27日,中央网络安全和信息化领导小组召开第一次会议。指出,网络安全和信息化对一个国家很多领域都是非常重要,要认清面临的形势和任务,充分认识做好工作的紧迫性和重要性,因势而谋,顺势而为。网络安全和信息化是一体两翼、双轮驱动,必须统一部署、统一谋划、统一推进、统一实施。做好网络信息化安全工作,要处理好安全和发展的关系,做到协调一致、齐头并进,以安全保发展、以发展促安全,努力建久安之势、成长治之业。
棱镜门事件的爆发,使人们发现美国国家安全局可以接触到大量个人聊天日志、存储的数据、语音通信、文件传输、个人社交网络数据。最重要的是通过对本国公司的合作,达到监控他国政府的目的,另外这个名为“棱镜”的项目还可以使情报人员通过“后门”进入9家主要科技公司的服务器,包括微软、雅虎、谷歌、Facebook、PalTalk、美国在线、Skype、YouTube、苹果。
当代社会已经进入数字社会,互联网开始连接一切,构成互联网时代的基础则是各种通信设备和系统应用软件,信息安全是国家安全的重中之重,保障互联网安全,保障IT信息产业安全将是重头戏。在互联网的时代,IT产业国产化的进程不可逆转。
(三)国家意志下,IT架构国产化的必然性
虽然要求“去IOE”的呼声在国内喊了很久,此前实际上并没有实质进展。但2014年9月银监会的39号文,让“去IOE”真正落实成“白纸黑字”的文件。
根据39号文件要求,从2015年起,各银行业金融机构对安全可控信息技术的应用以不低于15%的比例逐年增加,直至2019年达到不低于75%的总体占比。2015年起,银行业金融机构应安排不低于5%的年度信息化预算,专门用于支持本机构围绕安全可控信息系统开展前瞻性、创新性和规划性研究,支持本机构掌握信息化核心知识和技能。同时,银监会还要求,2015年银行业至少完成一个信息系统的迁移,至少实现一个数据级灾备系统主要部件采用国产设备或软件,并明确表示不建议再采购大型机设备。
在2015年的银行采购中,某行已经要求采购国产IT产品,最新采购的服务器主要来自联想集团、浪潮信息等国内知名IT企业。
二、云安全成为新的热点
(一)云计算的发展推动行业新一轮成长
据Gartner公司统计,2014年全球云计算市场总规模已达1500亿美金,而整个全球IT投入是3.6亿美金,云计算占其中不足4%的份额。据Gartner公司日前的调查结果显示,2013年全球公共云市场规模将从2012年的1110亿美元增至1310亿美元,私有云服务及混合云服务发展势头也十分迅猛。工信部云计算研究中心主任杨东日日前也透露,包括中国电信、中国联通、中国移动在内蒙古的云计算投入将达到200亿元。微软亚太研发集团主席张亚勤曾预测,云计算未来几年在全球范围可创造1300万份工作机会,未来五年年化符合增速将达到30%。
随着越来越多的企业部署SaaS和BYOD,Gartner预计企业云安全服务的接受度和依赖性将逐渐增加,而未来几年云安全市场将进入高速发展期。近日,Gartner报告“2014年全球云安全服务市场趋势”预测:随着越来越多的企业,尤其是中小企业采用云安全服务,云安全服务市场,包括安全邮件/web网关、身份和访问管理IAM、远程漏洞评估、安全信息和事件管理将迎来高速发展时期,2017年该市场规模将高达41.3亿美元。
(二)国外云安全趋势的最新动态
2014年8月,IBM收购了云安全服务提供商Lighthouse Security Group,是继7月下旬收购意大利云安全厂商CrossIdeas后,再次进行的另一安全业务并购。该收购显示IBM在身份和访问管理安全服务领域将持续发力。
(三)国内企业逐渐布局云安全
启明星辰紧跟云计算、虚拟化和SDN技术发展,结合公司在信息安全领域深厚的技术、产品、经验积累,推出了“启明星辰智慧流安全平台”,深入诠释和实践了公司SDS(Software Defined Security,软件定义安全)的理念,实现了安全按需使用、安全个性化编排、安全资源高弹性、切实抵御未知威胁等功能,助力SDN网络及云数据中心安全。目前,“启明星辰智慧流安全平台”已经成功完成了与华为SDN网络的联合对接测试,并于“2015华为网络大会”上。
三、信息安全行业发展的海外映射
(一)国外信息安全行业发展历程
近年来,全球网络威胁持续增长,各类网络攻击和网络犯罪现象日益突出,并呈现出:攻击工具专业化、目的趋于商业化、行为趋于组织化、手段趋于多样化等特点。许多漏洞和攻击工具被网络犯罪组织商品化,使网络威胁的范围加速扩散。随着网络犯罪背后的黑色产业链获利能力的大幅提高,互联网的无国界性使得网络威胁对全球各国用户造成的损失随着范围的扩散而迅速增长。
国外信息安全领域龙头企业逐渐从内生性成长向外延并购扩张。
(二)美国信息安全龙头的成长之路
赛门铁克营业收入从1989年上市的7400万美元增长到2010年的61.9亿美元,净利润从800万美元增长到6亿美元,是全球收入规模最大的信息安全产商。
赛门铁克向全球的企业及服务供应商提供包括:入侵检测、互联网内容及电子邮件过滤、病毒防护、防火墙、VPN、风险管理、远程管理技术及安全服务等。公司旗下的诺顿品牌是个人安全产品全球零售市场的领导者。
安全需求从单一产品逐渐转向信息安全整体解决方案及服务;信息安全发展迅速,新需求层出不穷;通过收购来扩充自己的产品线和赢得客户。从2000年2月到2006年2月,其收购了不下25家公司。而其也在收购之路上屡试不爽,成功率颇高。
(三)信息安全国产化替代百亿空间
由于信息安全在互联网时代的重要性,我国政府采购信息安全产品有着很高的要求,都要求采购“自主可控的国产安全产品”,具有完全自主创新特点的安全产品成为我国国家战略部门采购时的首选产品,在政策上也受到政府的大力鼓励。我国国家保密局、公安部、国务院信息化工作办公室联合制定《信息安全等级保护管理办法》指出,我国第三级以上信息系统选择使用的安全产品,其产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格。同时要求,产品的核心技术、关键部件具有我国自主知识产权。
截至2014年底,国内信息安全市场规模110亿,信息安全占IT支出比例为1%,而欧美是8%-12%;政府、军队将被划入第三级以上的信息安全等级保护,如果未来信息安全支出可以达到企业级IT支出比例的2%-3%,则每年将会有80-120亿的市场。
四、信息安全产业的发展趋势展望
过去,由于我国IT产业发展相对滞后,在基础核心技术方面缺乏自有技术,导致安全隐患不断增加。
近几年来,由于棱镜门事件的发生,我国已经意识到要在关键核心技术方面形成自主可控,加速布局IT产业核心技术国产化。
在产业发展上,我国在一些技术领域取得了一定的进展,已经形成了以“龙芯+国产操作系统+配套应用软件”为核心的龙芯产业链,尤其是一批国产基础软件的领军企业的发展给中国IT市场打了一支兴奋剂,增添了国产化发展信心。总体来说,核心技术与国外的IT巨头还有一些差距,具有巨大的发展空间。
2015年,我国网络安全立法取得重大突破,通过了《国家安全战略纲要》,新的《国家安全法》开始实施。其中,新的《国家安全法》中还要求建设网络与信息安全保障体系,实现网络和信息核心技术、关键基础设施和重要领域信息系统与数据的安全可控。
2015年,信息安全市场竞争加剧加速了行业整合,具有核心关键技术、产品和较强服务能力支撑的信息安全骨干企业,以及具有较强集成能力的系统集成商、平台服务商等大型信息技术服务企业,都继续利用自身的优势地位加大投融资力度。
传统安全企业加速投资合作,丰富产品线。
天融信、上讯信息均在“新三板”挂牌。华胜天成与IBM合作后推出基于IBM POWER技术的国产服务器。腾讯和启明星辰在终端安全服务方面达成合作、阿里云与安恒在云安全领域达成合作、普华永道与谷安天下在安全咨询服务方面达成战略合作。亚信科技收购趋势科技全部中国业务,成立独立安全公司亚信安全。
单纯从统计数字上,我们看不出今年的信息安全市场与去年有多大不同,在某种程度上说,今年的信息安全市场甚至保持了去年的“沉默”。不过,沉默之中却透着十足的理性和成熟,呈现出前所未有的特点。这些特点体现为客户需求的理性、安全厂商的老练、安全产品的成熟以及外部政策的明朗化。
可以说,2006年也成为了信息安全产业的又一个拐点。这个让安全厂商们期待了多年,已经让许多人失去耐心和坚持的拐点,为那些执着者带来了春天的消息。从1995年的萌动开始,到2000年左右快速增长后的沉寂,再到“十五”期间的大浪淘沙,终于到了2006年的柳暗花明。
经过十多年的发展,国内信息安全产业真的时来运转,迎来发展转机么?
与其他产业一样,信息安全产业的构成可以细分成四类要素:交易品(安全产品、服务等)、客户(需求等)、提供商和第三方(包括主管机构、评测机构、媒体等)。2006年,安全产品、客户需要、提供商都表现出一定的成熟度,发自企业内部的业务安全和符合性的需求,加上等级保护、萨班斯(SOX)法案这些来自企业外部的政策力量,都为2006年成为拐点创造了大环境。
行业需求更理性
亲历2006年各大安全招标项目的圈内人体会都很深刻,随着信息安全市场的不断发展,客户需求也日渐趋于理性和成熟。这种理性与成熟表现在客户对信息安全“效果”的看重,对安全投资的“理性”。
几年前,简单进行一下设备选型,就上马安全项目的作法比较普遍,而现在绝大多数客户对安全投资变得前所未有的谨慎。用户在采购产品的时候很清楚自己想要什么,想通过产品达到什么样的效果,不再盲目相信厂家提供的白皮书,更关键的是,客户安全需求更多的是针对自己的业务安全。
以中资银行为例,解释客户需求的这种变化。当前中资银行最关心的问题莫过于从主要靠息差获得收益,向多样化经营发展。在这一过程中,银行需要进行数据大集中,增加多样的金融产品,确保符合银监会、中国人民银行的各项相关规定,为未来向符合巴塞尔新资本协议的要求靠拢,在激烈的国际金融竞争中生存和发展。相应地在IT安全方面,银行格外关心大集中后的系统和数据安全、金融产品的安全以及操作风险中的IT风险。就是在上述需求的驱动下,中资银行的安全建设也围绕上述具有很强业务属性的工作展开。像中资银行这样理性的客户越来越多,在2006年进行的许多电子政务的招标活动中,都能感受到这种变化。
客户需求的理性还体现在对安全服务的逐渐接受。在2006年里,很多信息安全厂商都接到了几笔安全服务的大单子。原来难于被客户认可的服务逐渐开始被接受,而且这还不是个别案例。这在一定程度源于日益增多的安全事件,当越来越多的用户意识到,产品方案解决不了全部安全问题,而企业又缺乏足够而又专业的技术人员,求助外部专家力量无疑是最明智的选择。2006年,用户对安全服务的接受程度之好,与IDC对2006年中国IT安全服务市场的年复合增长率为30.7%的预测相当吻合。
客户需求的理性与成熟,为产业带来了坚实的变化。在这些林林总总的变化趋势中,最值得引人注目的就是信息安全开始从系统安全走向业务安全;从面向问题的安全防护拓展到面向合规性的内控审计。
安全厂商走向成熟
从去年开始,信息安全市场的供需双方就开始发生了微妙变化。原来的信息安全市场,是以厂商为中心的卖方市场,信息安全厂商推出什么样的产品,客户就接受什么样的产品。现在,随着信息安全市场转向以客户为中心的买方市场,促使信息安全企业必须要根据客户的需求来确定方向、提品及服务,通过提升客户使用安全产品的效果来体现产品与服务的价值,这促使安全厂商变得成熟起来。
安全厂商的成熟突出地表现在更加关心客户的业务安全,试图系统地解决用户问题,不再单纯“头痛医头,脚痛医脚”。
从中国IT安全主流厂商无一例外地在加强类似于“SOC”的IT安全服务和管理体系建设就可以看到这一点。SOC作为平台,介于宏观与微观之间,属于中观层面,更有利于保护用户业务系统的持续发展。国内最早的SOC平台出现在2002年,一出现便受到质疑。然而,现在平台已经从一个抽象的概念转化为实在的需求,在产品和服务之外,平台可以作为一个很好的补充,保护企业的业务安全。
客户需要什么,安全厂商就会提供什么。在产品如此,在服务方面更是如此。2006年涌现出更加多样化的服务形式,这些多样化的服务包括:总体规划、渗透性测试、合规性咨询服务、网络的拓扑结构整合以及信息安全管理体系(ISMS)等等。
产品日趋完善
几年前,针对复合型的安全需求,安全厂商陆续推出整合式的安全设备。如今,信息安全产品功能融合和一体化的趋势更加明朗,UTM就是一个典型的代表。在“十五”期间的大浪淘沙中,那些没有核心竞争力的产品早已被市场所淘汰。换句话说,现在能够留在市场上的产品都具备了相当的实力,同时产品、服务和平台的格局均已出现。
目前,单项产品的能力几乎做到了极致,新的单项技术革新很难有所突破,因此产品功能的融合成为必然趋势。可以预测,单就UTM这一项产品来说,它的拐点将出现在2007年底到2008年初,必将出现市场的爆发性增长;从整个网络信息安全领域来说,其发展趋势在2006年正处在一个变化上升的拐点上。
不过就现实而言,单项产品并非没有市场,相反一体化的产品和单项高性能安全产品共存,将为客户带来更多的选择。此外,信息安全管理平台成为整体安全的落脚点等等,任何某某体系都会落实到一个某某平台上。
由于产品需求的增加,产品的供给也相应增加,因此,对于安全产品来说,2007年较2006年的增长幅度将大于2006年较2005年的增长幅度。
外部政策驱动
在2006年,两部法规的正式实施对于信息安全产业产生了标志性的影响。
一部是国内的《信息安全等级保护管理办法》,另一部是美国的《萨班斯―奥克斯利法案》。这两部法规都以法规的形式敦促企业加强内部控制,增强抵御风险的能力。
1引言
中国电子信息产业集团有限公司是“共和国的长子”,也是电子信息产业的“国家队”。三年前,为改变制约集团公司科学发展的重大结构性问题,进一步提升中国电子对国家经济的贡献力,中国电子集团党组审时度势,科学谋划,果断做出实施“新型显示、信息安全、信息服务”三大系统工程的战略决策部署。中国电子集团聚集团之力,积极开展战略合作,周密组织、大力协同、联合攻关,履行央企的政治责任、经济责任与社会责任,体现了中国电子集团领导班子超前战略谋划的眼界、组织高度复杂系统工程的能力和中国电子人强国惠民的自觉担当。三年布局,如今已开花结果,三大系统工程建设成果喜人,各项经营指标连创历史新高,企业核心竞争力得到明显增强。近年来,信息技术的无孔不入带来了人类生产生活和思维方式的改变,同时也引发了人们对信息安全问题的担忧。“斯诺登事件”后,信息安全问题更是成为影响全球的重大课题。指出,网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,没有网络安全就没有国家安全,没有信息化就没有现代化。中国电子集团董事长、党组书记芮晓武指出:中国电子集团作为电子信息产业国家队,在保障国家信息安全方面责无旁贷,我们要准确把握总书记作出的战略判断,深刻认识信息安全工作的极端重要性,因势而谋,应势而动,顺势而为,将“信息安全系统工程”推向深入,同时联合产业力量,共同铸造我国网络安全新长城,托起中国信息安全强国梦。
2审时度势战略先行,筑起国家安全屏障
进入互联网时代,国家已经从传统的领土、领海、领空、太空四大疆域延伸到网络空间。维护国家网络,关键在于保障国家网络安全。党的十报告首次明确了网络安全的战略地位,提出要高度关注网络空间安全。事实上,我国正面临着严峻的信息安全形势。中国电子集团掌门人芮晓武董事长意识到肩上的责任重大。中央企业作为“共和国的长子”、党执政的重要基础、中国特色社会主义的重要支柱和全面建成小康社会的重要力量,必须在维护国家利益方面勇于担重任、挑大梁。中国电子集团有自主可控的安全芯片、安全整机、基础软件和应用系统,关键时刻要替国分忧,扛起信息安全产业国家队的重任。基于雄厚的产业基础,和对国家网络安全需求的深刻理解,2011年,中国电子集团便着力布局信息安全领域,提出实施“信息安全系统工程”的战略举措,即中国电子集团二号工程。围绕信息安全产业进行战略转型,通过内部整合及充分组织社会资源,以“4106”布局为蓝图,发展“安全芯片、整机、基础软件、安全应用产品”4类信息安全基础产品,实施10项信息安全系统工程,建立健全“信息安全运维、集成、咨询、灾备、培训、测评”6项信息安全服务能力,逐步构建可发现、可防范、可替代的国家信息安全产业体系,形成和谐共生的产业生态圈,铸造我国信息安全“长城”。芮晓武董事长说,作为中央企业,一定要首先学好政治经济学。因为中国特色社会主义市场经济条件下,行业变化、市场变化、产业变化均与国家政策导向有极其密切的关系。必须把中央政策吃准,吃透,才能有超前的战略眼光,对未来作出准确研判,先于市场启动布局,牢牢把握发展先机。从事信息安全系统工程,体现了中国电子集团的战略价值。我们能够在国家信息安全领域有所作为,有重大项目支撑,就是由于中国电子集团早期卡准定位、提前布局、果断实施的结果,如果没有当初前瞻性的产业布局,就没有今天的一系列发展成果。
3勇担重任不辱使命,夯实安全防护能力
三年来,中国电子集团为了国家安全的目标,面对困难不畏缩,历经挫折不气馁,保持定力不动摇,牢牢把握信息安全产业这个主攻方向,坚持战略取胜,积聚实力,苦练内功,在国家需要的时候挺身而出,参与了一系列国家信息安全重大项目的实施。在实现自身转型升级目标的同时,培养了人才,锻炼了队伍,凝练了精神,建立了核心能力,取得了丰硕成果,“国家队”的影响力不断增强。在我国信息安全核心关键技术薄弱、企业力量分散的情况下,自2011年起,中国电子集团在工信部支持下,依托国家核高基重大科技专项和安全可靠软硬件应用推广工作,组织了国内30多家基础软硬件厂商、集成商、测试机构、科研机构,成立了工信部“安全可靠软硬件联合技术攻关基地”,共同推进国产化的关键技术攻关,全力推进国产软硬件一体化平台的研发及产业化工作。该攻关基地创新了国家重大科技专项的组织方式,推动了基础软硬件产品的完善与适配,开展6项关键技术攻关,填补了自主技术体系空白。几十家合作单位经过反复磨合、调整、适配,对国产化应用系统进行集成优化,目前已经使整体性能提升5倍以上。为改变自主可控的计算机软硬件系统磨合效率偏低的现状,中国电子集团在最核心的CPU芯片方面布局,选择“联合开发、弯道超车”的全新技术路线,实现既自主可控,又与国际接轨。基于ARM芯片绿色、低耗、完全开放、应用广的特点,采用自主的核心设计,既保障了信息安全,又实现了国际通用,同时适合云计算技术,由此走在世界前列。WindowsXP停止服务后,中国电子集团及时推出“白细胞”操作系统免疫平台,利用以密码为基础的信任链传递,使用可信计算技术的静态度量、动态度量、访问控制等技术,实现计算机识别“非己”的程序、数据等,从而排斥进入计算机的病毒、木马、恶意程序等抗原物质,维持计算机的健康。“白细胞”自免疫系统实现了主动防御的革命性目标,彻底扭转了计算机系统只能依靠“杀毒、打补丁”等技术进行被动防御的局面。工业和信息化部副部长杨学山对此给予高度评价,“白细胞”操作系统免疫平台的使可信技术取得了实质性的进展。在全球激烈的网络竞争中,我国保障网络信息安全要想“站得住”,必须形成“国家队”的力量。2014年4月,在中国电子集团等60家单位发起和推动下,中关村可信计算产业联盟正式成立。中国电子集团作为理事长单位,对于推动可信计算产业发展作出了应有贡献。可信计算的核心思想是通过在硬件上引入可信芯片,构建可信链条,从根本上解决计算机体系结构的安全问题,改变传统的“封堵查杀”等“被动应对”的防护模式,形成“主动防御”能力,实现“进不来、拿不走、改不了、看不懂、赖不掉”的安全效果。中国工程院院士沈昌祥寄语说,要通过创新推动,使联盟成为国内产业联盟创新典范,成为建设自主可控、安全可信网络安全保障体系的主力军。回首往事,芮晓武董事长认为这三年的辛苦是完全值得的。中国的信息安全面临很多难题,是一块“硬骨头”。中国电子集团作为央企和国家队,基于长期的技术产业积累,勇于啃这块“硬骨头”。我们要广泛联合科研、企业、应用单位众多力量,加快技术创新、加快应用推广、加快产业发展,并建立高效协调的行政、技术、保障支持系统,为国家实现自主可控、安全可信的网络安全多做贡献。
4凝聚力量共谱新篇,铸造信息安全长城
中国电子集团的信息安全系统工程已进入新阶段,但芮晓武董事长说这并不意味未来就一帆风顺了,更苦、更累、更艰巨的工作还在后面。中国电子集团已在谋划新的布局,开启新的篇章。芮晓武董事长认为,做好信息安全工作,最重要的还是联合。任何一家企业,都无法独立担当国家信息安全的重任,必须联合产业的力量团结协作,合力推进,进一步形成国家防护能力。中国电子集团自2012年起便动作频频,逐步完善内部组织保障体系:成立了中国信息安全研究院,赋予其技术总体和市场运作平台职能;与国家专控队伍联合组建中电长城网际系统应用有限公司,作为“8+2”重点行业和智慧城市信息安全解决方案的服务商;组建了深圳中电长城信息安全系统有限公司,承担自主可控计算机、服务器和网络交换设备的研发和推广;收购了盛科网络(苏州)有限公司,该公司是IP/以太网核心芯片及系统自主研发商,提升了中国电子集团的信息安全芯片能力;并购了广州鼎甲计算机科技有限公司,致力于容灾备份软件领域,为数据安全提供完美可靠的数据保护方案。这一系列的举措不仅丰富和完善了中国电子集团整个信息安全的业务体系,也增加了企业内外部的协同能力。三年来,中国电子集团始终把自主创新、开放合作作为提升产业竞争力和企业可持续发展能力的关键手段。中国电子集团相继与国防科技大学、北京邮电大学、西安电子科技大学、中科院信息工程研究所、中国信息安全测评中心、中兴通讯股份有限公司等单位和机构签订数十余份战略合作协议,与神华集团、航天科技、中国石油等建立了战略合作关系。目前,中国电子集团已为神华集团、中国石油、新华社、中国航信等重要机构和部门,以及地方省市提供了信息化建设总体安全体系设计咨询和基于信息安全的云服务平台,更多更深入的合作正在逐步展开。为了进一步加快产业联合,中国电子集团积极打造国际先进水平的未来科技城信息安全产业基地,为国家信息安全保障体系提业支撑。信息安全产业基地总规划建筑面积30万平方米,其中项目一期建筑面积16万平方米,于2014年投入使用,未来将在基地内培育信息安全技术与产品的科研开发、生产制造、评测认证、人才培养和规模市场等较为完整的国内一流信息安全产业化体系,力争在较短的时间内把基地建设成为我国重要的信息安全研发、服务和成果产业化中心。通过集聚资源、重点突破,积极打造以可替代、可发现、可防护为目标的信息安全核心方案、产品和技术,中国电子集团为国家重要信息系统穿上“防弹衣”,提高“免疫力”,为国家信息安全保障体系建设提供有力支撑,从根本上解决了我国网络安全的心腹之患。