市场和客户应用对比
最近常常被问到这个问题:中国信息安全产业与国际信息安全产业相比,到底处在一个什么地位?其实,大家问这个问题的时候,这个国际是指比较发达的美国、欧洲和日本的情况,也就是指所谓的国际先进水平。要回答好这个问题并不容易,必须要对于中国的产业有全面的认识,而且还要对于国际先进情况有较准确的了解。我自己对此的了解不敢说深入,不过,对于这个必须回答的问题总可以说两句。
要对比中国信息安全产业和国际先进水平,也许可以参考《信息安全产业的产业要素探索和应用》中谈到的产业四要素:交易品、客户、提供商、第三方。在这里,我想把这产业四要素变换成评价产业五个指标:核心技术、安全产品、安全服务、应用、产业环境。核心技术是交易品要素中的关键部分;而安全产品和安全服务则凝聚了交易品要素和提供商要素的关键结果,产品和服务其实是提供商所提供的交易品的两种形态;应用则是体现客户要素对于安全需求的认识、满足和实现;产业环境主要是谈客户、提供商和第三方机构组成的大环境,比如政策、竞争、合作等等。下面就从核心技术、安全产品、安全服务、应用、产业环境几个方面谈谈。
市场和客户应用对比
比较两个产业,也许从市场开始比较时比较妥当的。而比较市场,可能从比较客户开始会更直接,更能够说明市场统计数据背后的事实。如果拿信息安全领域的中国客户和发达国家客户来对比,应当说会体现出比较大的差距。我认为,这主要体现在两个方面的差距:
一方面是客户对于自己安全需求的认识上存在落后,也就是对于信息安全没有足够的“用的意愿”。任何一个客户或者客户群要能够真正有效地做好信息安全工作,必须有明确的需求驱动力。在中国的客户中,一个相当普遍的现象就是,客户是因为确实出了安全事故(比如,病毒泛滥、资料泄密、网站被黑等情况)才想起来要稍微干点安全保护相关的事情,若不然,客户会停留在盲目自信和乐观的状态;或者是因为上级领导机构或者行业主管机关强制命令要求一定要如何如何,客户才想起来勉强投资买些产品来应付检查,而这些买来的产品很可能还放在库房中睡觉呢;很少有比较成熟的客户能够为了支撑和保障核心业务而有体系、有步骤地投资于信息安全,而在信息安全方面的投资占IT总投资的比例也并不高。
从具体的市场数字上对比,我国信息安全产业的市场规模占整个信息产业的市场规模的比例,在2%以下;而在发达国家这个比例会在10%左右。当然,这也很好理解,在信息化发展的初期,机构关键业务对于信息的依赖性还不大,自然也就没有动力投资于信息安全;而在信息的重要性不断提高的时候,对于安全投入的增长可不是同比增长,而是会增长稍快。这和我们自己对待家庭财产的心态是类似的,没钱的时候安全投资极少、比例也极低,而当家庭资产增加的时候对于安全的重视也就越来越重了,比例和绝对投入值都会自然提升。
所以说,按照这个现状判断,整个中国信息安全产业未来的市场前景,由于客户的不成熟所带来的巨大Gap,造就了巨大的市场潜力。所以,我国信息安全产业的市场增长率会高于发达国家和地区的增长率,这为我国信息安全企业带来很大的潜在机会。作为我国信息安全企业,只要从这个战略高度看到应用需求增长的必然趋势,那么就可以在产业耕耘中坚定信念,必然可以在产业中获得丰厚的回报。
另一方面的客户差距,就是在即使意识到了安全需求之后,在安全的应用实践上也存在较大差距,也就是没有用好。在欧美,都有大银行、大企业、军事机构、政府机构等等信息安全用户来和安全厂商一起引领信息安全技术发展、制定信息安全标准、修炼最佳实践;这种情况在我国就比较少。在我国相对比较成熟的用户群中,也大多处在学习国外先进经验和被安全厂商引导的状态。在具体应用环节上,比如:大规模网络中网关设备的设置管理、大量检测设备所采集数据的分析和利用、大安全体系的有效运行等等,在用户中非常普遍地存在问题。当然,我也并不认为发达国家的信息安全用户在应用上就已经非常出色。
所以在这方面,国际国内都有很大的提升空间。而这些“用得好”的提升空间切切实实地为信息安全服务带来的巨大的市场机会。再加上SaaS所体现的安全服务发展趋势,进一步让信息安全企业看到必须给予“服务”的战略认识。
从观察客户到观察整个市场,我们还会发现中国信息安全市场的战略性特点。纵观全球信息安全市场,发达的北美、欧洲存在大规模的信息安全市场,众多先进的厂商在较大的市场空间中竞争;而少数技术先进国家比如以色列等,就直接参与到全球市场的产品竞争;而如日本、东南亚等等市场并没有较强势的全球性安全厂商,所以欧美大厂商都冲进这片市场空间,使得这些地区并没有自主的信息安全企业群体;再有就是如俄罗斯和韩国等相对比较封闭的市场,自主企业能够在其中占有相当的份额。而中国信息安全市场既不是完全封闭的市场,也不是一个完全开放的市场,这是一个政策和市场规则共同发挥作用的特殊的战略市场环境。作为一个中国企业一定要确保自主技术和产品、服务发展,一方面能够为国家基础设施安全、公共基础设施安全等方面提供保障并因此获得一定政策性的支持和市场机会;另一方面也能够凭借自身的技术实力在自由竞争的市场空间中搏取领军地位。中国信息安全市场的这个战略性地位和必要性地位,也造就了中国信息安全企业可以立足中国市场向国际市场迈进。
小结起来结论就是,中国信息安全市场具有巨大的增长潜力,这个增长必然在某个时刻形成井喷式增长,要想把握这样的机会必须在技术、产品、服务、市场开拓等多方面做好充分的准备、占据有利的地位。用好信息安全产品和服务将是这个产业中永恒的话题,为了能够针对性地解决客户的这个问题,安全企业必须从战略上对于安全服务有足够的认识。而企业必须仅仅把握自主创新的发展路线,得以在政策支持+市场竞争的环境中谋求持续快速的发展。
核心技术对比
核心技术对比
核心技术是一个产业存在和发展的根基,也是一个企业在产业中生存和发展的基础。在信息安全领域,不同的厂商和研究机构对于核心技术的理解是不太一样的。可以把信息安全技术分成两大类,结构性体系化技术、解构性对抗技术。
一类是结构性技术,也就是体系化技术。其中最突出的代表技术就是加密技术,再比如认证/授权技术就是在加密技术支持下的应用技术形态。加密技术等相关技术就是为了能够为防御体系和保障体系构建各个要素之间的紧密关联。网络安全域理论和方法是在网络和系统层面的将网络设备节点、链路、服务器、客户端等等组成一个结构性体系,以抵抗攻击、保障服务能力、增加强壮性。以TCG为代表的可信计算技术则是结构性安全思路的一个比较极端的代表,TCG可信计算简单说就是以芯片为可信根、加密算法为可信链的可信结构体系。而信息安全管理体系ISMS更是将人员组织、制度、流程和技术等各个环节组成一个有机的结构,让技术和管理结合在一起构成更加强壮的体系,以提高安全性。
另外一类就是解构性技术,其最最主要的就是对抗技术。攻击技术就是一个矛,一个将保障体系进行解构的力量,一个突破防御体系的力量。不管是渗透性攻击、防御躲避、暴力猜解等都是解构的;即使分布式拒绝服务攻击其攻击体系虽然有结构,但是就攻击本身来说也是解构的。对于攻击当然可以用攻击来对抗,但是我更愿意说“检测技术”是和攻击技术进行对抗的。注意,这里不是说用防御技术来对抗攻击技术,而是用“检测技术”来对抗攻击技术。当我们认真分析所有的防御技术的时候,其实发现,除去结构性的内容之外,剩下的最关键部分就是检测能力。比如,防火墙其实是一个对数据包进行甄别和判断的设备,也就是说是一个检测设备;防病毒当然更是一个检测系统。为了能够将检测技术和检测设备做好,则要求产品商必须能够对于攻击技术有非常深入的了解。
孙子兵法[虚实第六]孙子曰:“行千里而不劳者,行于无人之地也;攻而必取者,攻其所不守也。守而必固者,守其所必攻也。故善攻者,敌不知其所守;善守者,敌不知其所攻。”其中阐述的攻守要义,在信息安全对抗中也具有非常高的指导意义。
而在上面的两大类核心技术之外,信息安全领域还应用到一些IT领域的其它核心技术,比如:网络技术、数据库技术、操作系统技术、芯片技术等等。这些技术虽然对于信息安全也非常重要,但它们不是信息安全领域的独特技术,所以并不把这些关键技术归入信息安全核心技术中。应当说,在网络、数据库、操作系统、芯片等IT核心技术来看,我国是比较落后于国际先进水平的。
如果按照结构性体系化技术和解构性攻防技术来看待信息安全领域的核心技术的话,中心信息安全产业和国际先进水平对比,应当说我们并不落后太多,甚至有些方面还能够全面地抗衡。比如,密码技术方面,山东大学王小云教授破译了MD5算法就是我国密码技术先进性的一个突出代表;我国在保密工作方面对于密码的研究和应用一直也是推动信息安全工作和产业的重要力量。再比如,攻防对抗技术,以启明星辰和绿盟为代表的民营企业,都能够成团队地开展攻防技术的研究和产品化开发,在一个代表攻击技术研究水平的CVE漏洞库中,国内企业每年都可以贡献很多条目;在国际前沿性的僵尸网络研究中,国内民营企业和一些研究机构配合达到了很高的研究和应用水平。而且在以攻击技术和检测技术为内涵的服务中,国内企业更是能够成为我国信息安全产业中的一支重要力量。再比如,网络安全域技术和应用、信息安全管理体系相关服务等方面,我更是看到我国企业在这方面的领先地位。在我接触到的国内外企业和机构中,可以说在我看待的信息安全核心技术方面,我国信息安全产业完全可以和国际先进水平进行抗衡。
小结起来结论就是,在信息安全核心技术方面,我国信息安全产业界和国际先进水平的差距不大,甚至在某些方面还能够抗衡。这为我们抓住巨大的市场机会,规避基础IT核心技术的不足,提高产品和服务能力等打下了坚实的基础。没有核心技术就没有企业的长期持续稳定的发展,仅仅依靠代理贸易、OEM、系统集成是无法将自己成长为信息安全行业的领袖企业的。为了能够巩固核心技术的优势,继续紧跟甚至赶超国际先进水平,作为我国信息安全企业的龙头企业,我们必须继续坚持在这方面持续投入,以担负起带领中国信息安全产业的责任。
安全产品对比
安全产品对比
安全产品就是在信息安全市场中销售的主流产品,比如:防火墙、入侵检测系统IDS、漏洞扫描、防病毒、加密、双因素认证、防垃圾邮件、安全管理平台等等。对于安全产品的范畴不需要太多解释。如果将中国信息安全产业中的信息安全产品和国际先进产品来对比的话,应当说从整体上还是有一定的差距的。
如果从市场占有率来看,特别是在国际市场的成功来看,目前,在整个中国信息安全产业中还没有一个产品能够成为国际性的产品。个别产品能够卖到国外,并不能说从产业和市场上成为国际化产品。在国际市场中,在防火墙方面的Juniper/Netscreen, Cisco等,在UTM方面的Fortinet,在IDS领域的ISS/IBM,在防病毒领域的Symantec和TrendMicro等,认证领域的RSA产品和Verisign服务等等。这些国际化的产品上市时间早、市场占有率高、产品相对成熟、品牌影响力较大。
从国际著名的信息安全产品评奖(比如SC Awards)和国际第三方机构的评价来看,我国信息安全产品还没能占据一席之地。这种差距,不仅仅是产品技术上有差距,更大的差距是在整个企业、整个产业的产品化能力和商业化能力上。在TrendMicro的早期,Intel就帮助其修炼产品化能力有很多年。在信息安全核心技术方面,由于其中很多技术适合于个人研究和小团队研究,所以可以能够追赶得较快。而在产品化能力和商业化能力上,是需要整体企业的综合实力提升,甚至于是整个产业上下游全面的实力提升,才能真正做成国际化的优秀产品。比如,很多信息安全软件产品都需要一个性能优异、稳定可靠的硬件平台,而硬件设计、制造工艺等方面的水平提升也不是一般的信息安全企业能够左右的。
而从国内市场占有率来看,我国企业自主地信息安全产品倒没有多大的差距。在网关类产品中,低端产品市场中已经在竞争中被国内厂商占据了优势,在以ASIC为基础架构的高端产品市场中国为产品占据较大优势,而在新的以多核硬件平台为基础的新产品竞争中,国内外企业则基本处于同一起跑线。在检测类产品中,则完全是以启明星辰为代表国内企业占据了绝对的垄断地位,而且这种垄断地位完全是通过近5年的市场竞争得来的。在终端安全产品市场,国际和国内厂商还处在一个混战的局面,但是随着终端安全产品市场边界的逐渐清晰,也随着终端市场和服务之间的交融,这个产品市场最终会为国内厂商所霸占。在管理平台市场中,国外产品起步稍早,在产品成熟度上有些许优势,但是由于平台本身弹性需求的客观存在,对于其客户化定制能力的要求是的这个市场中最终一定是国内产品占据优势。在存储产品市场中,则完全是一边倒的国外厂商。在防病毒市场中,国外厂商还占据一定的领先地位,但是国内企业如瑞星已经能够切实地抢占相当的份额,而像奇虎360更是创新出用免费产品加云服务的模式来冲击市场,对于所有病毒厂商都带来威胁。
小结起来结论就是,在安全产品方面,我国信息安全产业界和国际先进水平在产业规模和产品国际化程度等方面还有不小的差距,这种差距是需要依靠整个产业链的全面提升来缩小的。但是,从国内信息安全市场竞争看,我国信息安全产品相比的产品个体差距并不大,这也让我们看到希望。要缩短差距并锻造出国际化的优秀产品,需要产业中的企业在以“产品管理”能力为核心的产品化能力上面加大投入,而且是持续的投入。这种持续的投入和坚持要经历多年的市场起伏波动,跟随技术的发展和更新换代,把握技术跳跃和盈利模式变化的时机,经受各种客户的考验。我国信息安全企业迈向国际的敲门砖,还是会落在安全产品上。
安全服务对比
安全服务对比
安全服务可以被看成一种特殊的产品(交付品),但是按照业界习惯,还是单独谈谈信息安全服务。我们常说的信息安全服务包括:系统风险评估和加固、网络风险评估和结构调整、企业全面风险评估、管理咨询、信息安全管理体系咨询和认证、渗透性测试、广义威胁用例分析(沙盘分析)、系统集成、运维、应急、培训等等。区别于安全产品,安全服务是主要依靠人和人的活动来完成的。
由于安全服务可以暂时回避产品化这个难关,所以核心技术可以比较直接地应用于安全服务;另外,安全服务的可模仿性比产品更强,所以在安全服务方面拉开差距并不容易。在发展围绕服务的业务中,单个服务的水平和能力不是关键;服务整体的产能管理、项目群管理等方面才是关键;而解决这些关键问题,服务产品化还是一个必须迈过的一道坎儿。从我观察现在能够看到的信息安全服务机构及其项目,我国企业和国际一流企业的差距并不大,从客户能够实际获得的服务价值来说差距也不大;而且在有些服务门类上,我国企业还能够为本国用户提供更贴切的优质服务。当然,现在我国信息安全企业还没有能力在国外提供服务,不管是直接服务还是授权服务;不过国际信息安全企业在我国国内所实施的服务,以我看来也不敢恭维。
当然,在服务方面,现在还有一个最新的发展趋势,就是SaaS。这可以有两个解释:Software as a Service或者Secruity as a Service。而实现SaaS的主流方式就是以云模式构建的服务体系,也就是类似google云计算类型的服务形态。云模式的SaaS已经在IT领域强烈地冲击了IT产品,在信息安全产品领域也必将带来巨大的冲击和产业格局变化。在这方面,我国的IT产业界特别是互联网产业界跟随国际先进水平是非常紧的,比如百度对Google的跟随,阿里巴巴的领先都是例证。在信息安全领域的SaaS,国际和国内都还处于懵懂的状态,这为我们在这个领域中与国际企业提供了公平的竞争环境。
小结起来结论就是,在传统信息安全服务领域,我国企业和国际企业的差距并不大,甚至于在一些服务门类上还能够更加贴合我国用户的服务需求。在实际提供的服务价值方面,也完全可以和国际先进水平相比。在新兴的以云模式服务为代表的SaaS方面,国内外的信息安全企业都还处在起步阶段。基于这个现状,安全服务是中国信息安全企业弥补安全产品的相对落后,保持较高行业水平的重要手段。作为我国信息安全企业要战略性地加大对于安全服务发展的持续投入。
产业环境对比
产业环境对比
如果从信息安全产业政策层面对比中国信息安全产业和欧美,我个人认为我国相关主管机构为中国信息安全企业提供了相当好的发展环境。这个环境既不是一个围墙高筑的封闭环境,而是适度引入国外先进技术、适度接触国际市场的环境,在这样的环境中的中国信息安全企业不会在保护中畸形生长而失去实际竞争力和创造力,而是能够切实提高自身核心竞争力和企业经营水平,在竞争中成长;这个环境也不是一个完全洞开的国际竞争环境,而是适度引进国际竞争和压力,利用符合市场规律的政策性导向、扶植,让中国的信息安全企业有在强者身边生存、变强并赶超的机会,而像启明星辰这样的企业能够在某个或某几个领域中达到国内市场领先和相对的国际技术先进水平。很多新进入信息安全行业的企业常常会抱怨很多主管机构的多头管理,很多资质的压力等等,但是我觉得由于信息安全这个行业的特殊性,这些多头管理和资质门槛其实是维护这个产业正常秩序的必要手段。
另外一个政策层面,就是和用户安全应用相关的政策。应当说,国际信息安全标准和规范是快速影响我国信息安全产业的,而且为国内企业从理念和方法上快速赶上提供了很好的台阶。而在国际上,作为合规性影响最大的一个SOX法案,也迅速在我国形成了很大的影响,真正促成了我国信息安全产业主管机构和用户主管机构认识到“合规性”这个驱动力的力量。进而,国际上的巴塞尔II协议推进了我国银监会的监管模式的快速发展,国际上的ISO15408也演变成了我国的等级保护制度和涉密分级保护制度。这些政策对于整个产业的促进作用,过去10、现在和未来都一直发挥者重要的作用。
所以,我会认为,从政策层面看产业环境,中国信息安全企业应当感到非常欣慰。当然,这并不是说我国信息安全产业政策就趋于完美了,不是的。最难的就是在“安全”这个特殊行业,对于国外技术和商业侵入,我们包容和抵御的平衡如何把握。对于IT核心技术失控,对于国家和公众关键基础设施机构对于国外企业的盲目崇拜和轻信,对于安全需求更有力的促进等等,都还可以通过政策调整来进一步改善。
在产业环境中,竞争和合作也是非常非常重要的方面。我国信息安全产业经过了10来年的发展,几个产业的龙头企业逐渐形成,总体来说产业的竞争也逐渐从群体竞争逐步向寡头竞争演变,特别是在一些比较成熟的市场分支中,这种现象更加明显;但是在一些新的市场门类中,新兴的信息安全企业还是非常有活力,能够为各种企业提供机会去参与竞争。总体来说,信息安全市场的竞争还是有序的。
但是,作为信息安全产业中的合作,却乏有成功的经典案例。在四个合作层次中,常见的是项目交易上的合作和OEM,而少有深度的技术合作开发和资本合作。这就使得更多的企业在发展中难于通过合作手段来谋求快速发展,而出现了大量的重复开发和重复市场开拓,使得整个产业发展的效率降低。这其中有一个深层的原因就是合作中对于合作的关键内容的估价容易出现分歧,而这种分歧会积小成多地最终破坏合作,虽然合作最终失败的导火索可能不同,但是究其根源就是利益估值。而改进和解决整个市场合作方面的问题,有两个方面动作可行:一个方面就是加强行业监管和行业商会合作,促进企业以更诚信的态度和方式对待合作;另一方面就是借助证券市场这个开放的价值评估平台,能够让产业内的企业借助这样一个中介来达到更加顺畅的交换,使得合作的基础更加透明和牢固。
小结起来,我认为我国信息安全产业的产业环境还是比较好的。因为,我没有在美欧经营信息安全企业的经验,无法就此进行对比,所以只能说自己对于所处产业环境还是比较满意的。
总之,对比我国信息安全产业和发达国家的信息安全产业,在市场和应用方面,我国客户整体上的差距较大,但是这也给产业带来的不小的潜在机会;在信息安全核心技术方面差距不大、可以抗衡;在安全产品上有一定的差距,需要在产品化的综合能力上持续投入并提升,巩固国内市场上的成绩并迈进国际市场;在安全服务上差距不大,但是要保持警醒继续跟进,提高服务的整体能力;所以,只要战略清晰,投入坚决而持续,在信息安全产业中谋求稳步发展是非常有前途的
网友评论