中国信息安全产业与国际情况对比研究

network

中国信息安全产业与国际情况对比研究   

--------------------------------------------------------------------------------

做了4年多信息安全，常常想这样一个问题：“中国信息安全产业与国际信息安全产业相比，到底处在一个什么地位？”，国际是指比较发达的美国、欧洲和日本的情况，也就是指所谓的国际先进水平。要回答好这个问题并不容易，必须要对于中国的产业有全面的认识，而且还要对于国际先进情况有较准确的了解。对此，我谈一下自己的看法。  
我想信息产业的评价列出产业五个指标：核心技术、安全产品、安全服务、应用、产业环境。核心技术是交易品要素中的关键部分；而安全产品和安全服务则凝聚了交易品要素和提供商要素的关键结果，产品和服务其实是提供商所提供的交易品的两种形态；应用则是体现客户要素对于安全需求的认识、满足和实现；产业环境主要是谈客户、提供商和第三方机构组成的大环境，比如政策、竞争、合作等等。下面就从核心技术、安全产品、安全服务、应用、产业环境几个方面谈谈。
1、市场和客户应用对比
我想这方面国内与国际比较存在着很大的差距。
一方面是客户对于自己安全需求的认识上存在落后，也就是对于信息安全没有足够的“用的意愿”。在国内的客户中，一个相当普遍的现象就是，客户是因为确实出了安全事故（比如，病毒泛滥、资料泄密、网站被黑等情况）才想起来要稍微干点安全保护相关的事情，若不然，客户会停留在盲目自信和乐观的状态；或者是因为上级领导机构或者行业主管机关强制命令要求一定要如何如何，客户才想起来勉强投资买些产品来应付检查，而这些买来的产品很可能还放在库房中睡觉呢；很少有比较成熟的客户能够为了支撑和保障核心业务而有体系、有步骤地投资于信息安全，而在信息安全方面的投资占IT总投资的比例也并不高。
从具体的数字上对比，我国信息安全产业的市场占全球2%以下；而发达国家是10%左右。当然，这也很好理解，在信息化发展的初期，机构关键业务对于信息的依赖性还不大，自然也就没有动力投资于信息安全；
所以说，按照这个现状判断，整个中国信息安全产业未来的市场前景应该是非常有潜力的，所以，和我一样从事信息安全产业的兄弟们，应该有信息呀。
另一方面客户的差距，就是在即使意识到了安全需求之后，在安全的应用实践上也存在较大差距，也就是没有用好。在欧美，都有大银行、大企业、军事机构、政府机构等等信息安全用户来和安全厂商一起引领信息安全技术发展、制定信息安全标准、修炼最佳实践；这种情况在我国就比较少。
2、安全产品对比
安全产品就是在信息安全市场中销售的主流产品，比如：防火墙、入侵检测系统ＩＤＳ、漏洞扫描、防病毒、加密、双因素认证、防垃圾邮件、安全管理平台等等。如果将中国信息安全产业中的信息安全产品和国际先进产品来对比的话，应当说从整体上还是有一定的差距的。
如果从市场占有率来看，特别是在国际市场的成功来看，目前，在整个中国信息安全产业中还没有一个产品能够成为国际性的产品。个别产品能够卖到国外，并不能说从产业和市场上成为国际化产品。在国际市场中，在防火墙方面的Juniper/Netscreen, Cisco等，在UTM方面的Fortinet，在IDS领域的ISS/IBM，在防病毒领域的Symantec和TrendMicro等，认证领域的RSA产品和Verisign服务等等。这些国际化的产品上市时间早、市场占有率高、产品相对成熟、品牌影响力较大。
从国际著名的信息安全产品评奖（比如SC Awards）和国际第三方机构的评价来看，我国信息安全产品还没能占据一席之地。这种差距，不仅仅是产品技术上有差距，更大的差距是在整个企业、整个产业的产品化能力和商业化能力上。在TrendMicro的早期，Intel就帮助其修炼产品化能力有很多年。在信息安全核心技术方面，由于其中很多技术适合于个人研究和小团队研究，所以可以能够追赶得较快。而在产品化能力和商业化能力上，是需要整体企业的综合实力提升，甚至于是整个产业上下游全面的实力提升，才能真正做成国际化的优秀产品。比如，很多信息安全软件产品都需要一个性能优异、稳定可靠的硬件平台，而硬件设计、制造工艺等方面的水平提升也不是一般的信息安全企业能够左右的。
而从国内市场占有率来看，我国企业自主地信息安全产品倒没有多大的差距。在网关类产品中，低端产品市场中已经在竞争中被国内厂商占据了优势，在以ASIC为基础架构的高端产品市场中国为产品占据较大优势，而在新的以多核硬件平台为基础的新产品竞争中，国内外企业则基本处于同一起跑线。在检测类产品中，则完全是以启明星辰为代表国内企业占据了绝对的垄断地位，而且这种垄断地位完全是通过近5年的市场竞争得来的。在终端安全产品市场，国际和国内厂商还处在一个混战的局面，但是随着终端安全产品市场边界的逐渐清晰，也随着终端市场和服务之间的交融，这个产品市场最终会为国内厂商所霸占。在管理平台市场中，国外产品起步稍早，在产品成熟度上有些许优势，但是由于平台本身弹性需求的客观存在，对于其客户化定制能力的要求是的这个市场中最终一定是国内产品占据优势。在存储产品市场中，则完全是一边倒的国外厂商。在防病毒市场中，国外厂商还占据一定的领先地位，但是国内企业如瑞星已经能够切实地抢占相当的份额，而像奇虎360更是创新出用免费产品加云服务的模式来冲击市场，对于所有病毒厂商都带来威胁。
结论就是，在安全产品方面，我国信息安全产业界和国际先进水平在产业规模和产品国际化程度等方面还有不小的差距，这种差距是需要依靠整个产业链的全面提升来缩小的。但是，从国内信息安全市场竞争看，我国信息安全产品相比的产品个体差距并不大，这也让我们看到希望。
3、核心技术对比
核心技术是一个产业存在和发展的根基，也是一个企业在产业中生存和发展的基础。在信息安全领域，不同的厂商和研究机构对于核心技术的理解是不太一样的。可以把信息安全技术分成两大类，结构性体系化技术、解构性对抗技术。
这方面不想太多，像绿盟的安全小组等，在信息安全核心技术方面，我国信息安全产业界和国际先进水平的差距不大，甚至在某些方面还能够抗衡。
4、安全服务对比
我们常说的信息安全服务包括：系统风险评估和加固、网络风险评估和结构调整、企业全面风险评估、管理咨询、信息安全管理体系咨询和认证、渗透性测试、广义威胁用例分析、系统集成、运维、应急、培训等等。区别于安全产品，安全服务是主要依靠人和人的活动来完成的。
相对来说安全产品来说，很少有人关注服务，我这一年来一直在做趋势的TMES服务，可是发现，很多用户情愿用钱来买PC，也不愿意买服务，也就是说大家根本意识不到服务的重要性；当然，对于代理商或者厂商来说，如何把服务产品化，也是一个十分重要的过程。从这方面，国内外都属于相对起步的阶段，只有少数厂商才有形成产品化的服务体系。
5、产业环境的对比
我个人认为我国相关主管机构为中国信息安全企业提供了相当好的发展环境。国内并不是一个围墙高筑的封闭环境，而是适度引入国外先进技术、适度接触国际市场的环境，在这样的环境中的中国信息安全企业不会在保护中畸形生长而失去实际竞争力和创造力，而是能够切实提高自身核心竞争力和企业经营水平，在竞争中成长；这个环境也不是一个完全洞开的国际竞争环境，而是适度引进国际竞争和压力，利用符合市场规律的政策性导向、扶植，让中国的信息安全企业有在强者身边生存、变强并赶超的机会，而像启明星辰这样的企业能够在某个或某几个领域中达到国内市场领先和相对的国际技术先进水平。
另一个政策层面，国际上有SOX方案，而我国也开始制订了等级保护制度，这对今后国内信息安全的全面发展定下了一个政策基础。
当然，我们很多国内厂商与国外厂商的合作还是停留在OEM的阶段，当然，这和中国国情也有关系，中国一向是一个仿照高手嘛，这就可能用于相互的竞争，导致双方的合作关系破裂。

最后，对比我国信息安全产业和发达国家的信息安全产业，在市场和应用方面，我国客户整体上的差距较大，但是这也给产业带来的不小的潜在机会；在信息安全核心技术方面差距不大、可以抗衡；在安全产品上有一定的差距，需要在产品化的综合能力上持续投入并提升，巩固国内市场上的成绩并迈进国际市场；在安全服务上差距不大，但是要保持警醒继续跟进，提高服务的整体能力；所以，只要战略清晰，投入坚决而持续，在信息安全产业中谋求稳步发展是非常有前途的。