對信息安全產業未來的三點思考

前不久筆者有幸參加了由賽迪顧問舉辦的一次信息安全廠商的座談會，座談會中的精彩的議題引發了筆者的一些思考，將這些思考的火花記錄下來希望能和廣大網友一起探討，也歡迎對我的下面觀點進行批評指正：braveheart_

火花1 ： 安全產品走向融合

在網絡通信界的巨頭們熱烈討論網絡融合美妙前景的同時，網絡安全界已經用行動去品嚐各種安全技術融合的滋味。但如果我們比較一下兩種融合趨勢就會發現他們之間有很大差異。

網絡通信的融合的源動力來自新技術的創新，而這種融合的方向是多種業務在一個平台上的承載。而信息安全界的融合源動力來自網絡攻擊手段的融合。而融合的方向是以安全技術的融合對抗攻擊手段的融合。可以説信息安全界的融合是讓愈演愈烈的網絡攻擊逼出來的雖然這聽起來有點以彼之道還彼之身的味道，但事實確實如此。以網絡病毒為例從去年的尼姆達到今年的振盪波，衝擊波，還有最近的QQ尾巴，我們可以看出在現在的網絡攻擊手段中，既包括病毒攻擊，也包括隱通道、拒絕服務攻擊，還可能包括口令攻擊、路由攻擊、中繼攻擊等多種攻擊模式。雙拳難敵四手，眾多攻擊手段讓傳統上各自為戰的安全產品破綻百出。

IDS不是用來對付網絡蠕蟲的，防病毒軟件不會理睬網絡上拒絕服務攻擊，防火牆對病毒攻擊和隱藏在合法服務下木馬後門鞭長莫及。用户不是技術專家，當安全問題出現時，他們不會追究到底是擺在這邊的防火牆還是放在那邊的IDS誰失職，他們會責問安全提供商：我掏了一大堆錢，為什麼我的網絡老出問題，你們安全產品到底靈不靈？

入侵檢測技術側重監測、監控和預警領域，而防火牆和IPS能在訪問控制領域發揮長處，防病毒軟件，安全認證分屬於不同的安全領域的安全產品,可惜用户並不是討論某一種安全技術乃至某一個安全產品與其他技術和產品哪個更安全，其實不如探討如何將各種安全產品整合成一個安全體系讓這些安全產品有效地協同工作更為務實。

我們可以看到現在各大安全產品製造商的產品線已經在嘗試將不同的技術融合在一起：以側重於檢測的入侵檢測技術和側重於訪問控制的防火牆技術兩種技術協同和融合起來一直是信息安全研究的前沿課題。而防火牆和防病毒的融合已經在防毒牆這一產品中得到體現。所以只有將不同安全側重點的安全技術有效的融合起來，安全產品的性價比才能更高，才能在日益激烈的信息安全市場上有優異的表現。

一個木桶能裝多少水不但要看木桶最短的那塊模板的長度，也要看木板之間的緊密程度。這個模型應用在信息安全領域就是：一個企業網絡的信息安全不但依賴單個安全產品自身的性能也依賴於各個安全產品之間的協作。眾多安全產品之間的關係不是簡單堆砌，而是相互協作，將不同安全防範領域的安全產品融合成一個無縫的安全體系。

來自天融信的餘海波介紹説：這種融合趨勢不僅僅是安全技術，也席捲了安全體系和架構。網絡安全產品已不能再僅僅是個安全設備，還必須是個高性能的網絡設備。

思科自防禦網絡的體系框架把安全的基因融合到路由器、交換機、終端、防火牆+VPN+IDS產品中，並採用了集成化管理軟件。從終端方面的網絡準備控制（NAC），到交換機上的防火牆、入侵檢測、流量分析與監控、內容過濾形成全面的網絡安全防禦體系。這個安全防禦體系代表了安全和網絡融合成一體的整體安全解決方案也成為網絡安全領域的共識和發展方向。

火花2： 安全廠商之間不僅僅是競爭關係

説到競爭，在信息安全市場上，安全廠商們之間不僅僅是激烈的競爭，他們還有合作。合作不僅僅是不同領域的安全產品之間的必須有良好的兼容性，這個技術問題對於前來座談的廠商不是什麼大問題，真正的問題來自於廠商之間在市場競爭中的合作。來自瑞星公司的市場部副總經理馬剛談到了價格競爭，講了一個真實案例，在一次採購招標中，一家小的安全產品服務商為了能拿到一個單子，用低於盜版的價格硬是將瑞星還有另外兩家國內知名安全廠商擠出局，馬剛説：“當我聽到他的報價，一個單機版5元！那就沒什麼可説的了。5元一個軟件，別説是軟件開發成本，服務提供成本，就是我的服務人員來你這裏提供及時的上門服務的車票錢都不夠！”

這種嚴重的惡意壓低產品價格只能是阻礙，而不是促進信息安全業的健康發展。非理智的低價競爭恐怕受損失不僅是廠商自己，用户最終也會為這個非理智低價承擔相應的損失。而剛才那個案例的用户就是折騰了兩個星期後又把上面3家安全產品提供商請回來重新競標，原因當然也勿須多説，從這個案例我們可以看出信息安全這個產業需要每一個參與遊戲者都自覺遵守一定的遊戲規則，而其中一條重要的規則就是不參與低價競爭。需要指出的是現階段的信息安全產業環境和網絡通信界的產業環境有一個重要的不同：那就是競爭過度。網絡通信界天天有人喊打破壟斷，鼓勵競爭，只有競爭可以讓壟斷者出讓一部分剩餘讓消費者享受，可是在信息安全產業內是恰恰相反，競爭的不止是有點過頭，而是千軍萬馬過獨木橋，十幾家廠商為一個單子互開低價，而且是一邊罵別人瞎搞拆台，一邊給用户開出0折扣的支票，讓客户自己去填價格！這種惡性競爭不但影響安全製造商，安全服務提供商自己的健康成長，而且超低價產品和超廉價服務只是一個短期行為，長期下去會滋生劣質產品、劣質服務，這反而不利於信息安全市場的成長。

所以安全廠商之間不僅僅是刺刀見紅的競爭關係，而且每一個想在信息安全產業做久做大的企業都必須建立一種戰略合作，通過這種合作去建立一種行業秩序，這種行業秩序同國家的宏觀產業政策互相呼應才能營造出一種良好的市場環境，促進信息安全市場健康發展。顯然信息安全市場的健康發展的受益者是信息安全市場的每一個參與者，不僅是產品和服務的提供者，還有產品和服務的接受者。我想信息安全界自律公約的出台就説明這種合作的必要性已經被各大信息安全相關廠商意識到了。

火花3 ：信息安全服務－產業的盲點

啟明星辰的楊繼生分析當前信息安全服務市場時説道：現在的信息安全服務基本上分為安全評估服務，安全培訓，安全外包、安全集成、和應急相應。現在能看到利潤的主要是安全評估和安全集成。而安全培訓和應急相應多是對用户的售後服務，而在國外開始流行的安全外包服務在國內尚沒有成氣候。信息安全服務對安全設備提供商意味着什麼？冠羣金辰的黃遜認為服務就是贏得客户對產品以及產品背後的廠商信賴和認可的重要手段，良好的服務積累起來的口碑是冠羣金辰取得用户信任的干將莫邪（注：冠羣金辰曾以七種上古神兵做為自己七款產品的代言人）！而東軟市場的路娜則講述了東軟在完成了一次及時高效應急服務後，贏得大客户的信任，得到一筆不菲訂單的成功案例。也許是受限於座談會的時間短暫，關於信息安全服務的話題沒有深入的進行下去。

還有什麼沒有談到的嗎？

在我看來，良好的服務給安全產品提供商帶來不僅僅是口碑、商機。信息安全服務對於信息安全提供商還有兩個戰略意義。

1 信息安全市場的入場劵

讓我們先從兩個統計數據來感受熱鬧的信息安全市場：

數據1：2007年全球安全市場的總額將從2002年的639億美元增長為1,188億美元，其中硬件、軟件和服務的市場佔有率將分別為32.4%、34%和33.6%，其市場規模平均增長率分別是11.8%、12.2%和15.8%。按照IDC對安全的新定義，安全領域可細分為物理安全、信息安全和業務連續性安全，信息安全是安全市場增長最多的領域。IDC預測，亞太區信息安全的市場規模將從將從2003年的37億美元增長為2007年的83.4億美元，而中國信息安全市場則從2億美元增長為6.7億美元，年均增長率為34%，遠遠超過整個亞太市場22.9%的年均增長率。 （數據來源：IDC（國際數據公司）2004年亞太安全論壇）

數據2：2002年底，我國國內與信息安全相關的註冊公司已達1300多家，其中具有技術研發能力的350多家，有自主產品的190家，具有成熟產品的80家；已領取了安全產品銷售許可證的產品有近500種，通過信息安全測評認證的產品有140多個。 （數據來源：中國信息產業商會信息安全產業分會）

兩個統計數據給我們這樣一個問題：信息安全市場容的下1300家企業嗎？

答案是：過去容不下，將來更容不下。信息安全市場的高速發展的另一面就是高淘汰率。顯而易見，信息安全市場越成熟，市場的資源配置會就越來越集中到更少而不是更多的公司手中，這是資本的規律。問題的關鍵是會淘汰什麼樣的企業？第一感覺告訴我們是技術，只有擁有核心技術的信息安全公司才會在激烈的市場競爭中倖存，但是如果你站在用户的角度上就會發現並不完全是這樣。用户真正關心的不是你賣給他的硬件設備是基於NP還是ASIC的硬件平台，是千兆設備還是百兆設備，他關心的是你的設備能否既能保證他內部網絡的安全的同時，又能兼顧正常的網絡轉發性能。他們最終關心不是你的防火牆是採用狀態檢測機制還是深度檢測機制，你的IDS是基於主機的還是基於網絡的，而是用了你的設備後，他的機密信息是否真正安全了，他們的內網安全在你的設備和你的安全方案下得到了真正的安全。簡而言之，核心技術對用户應該是透明的，用户看的到的是廠家的服務。廠家所能提供服務水平是這個廠家的技術實力、資本實力、管理實力、市場運作實力的綜合體現。限於條件，筆者只能在這裏提出一個假設：如果能將這四種實力進行計量形成一個加權綜合服務指數，那麼這個綜合服務指數的排名和廠商在市場的份額應該是直接對應的。

這種信息安全廠商的服務隨着信息安全市場的發展將積累成一種資格，而這種資格一面淘汰那些不能提供長期優質服務的信息安全廠商，一面也逐漸成為信息安全產業後來者的入場劵。現在的信息安全廠商要想利用先發優勢享用更多的信息安全市場高速發展帶來的豐厚利潤，就必須做好他們的服務，他們的服務越好，後來者就越不容易進入這個產業。

2 未來安全產品製造商的避風港

常言道：居安思危。現在信息安全產品提供商現在注意到的是不規範的市場秩序和高速發展的市場，不知他們考慮過螳螂捕蟬，黃雀在後。或許在他們相互為爭奪客户拼個你死我活時，像CISCO這樣的網絡設備提供商和微軟這樣的軟件商正在暗自打算如何搶走他們的奶酪，他們苦心經營的技術優勢恐怕對於這些巨頭來説只是薄薄的一層窗紗。顯而易見CICSO和華為這樣的網絡設備提供商進入防火牆、IDS的市場難度，遠小於防火牆製造商進入交換路由市場的難度，微軟做防毒軟件更是有得天獨到的優勢。

如果換一個角度看CISCO的自防禦體系和華為的“i3安全”，就會發現CICSO和華為這樣的網絡設備提供商，正在考慮利用其完善的網絡基礎設施產品線，把相關的安全產品融合到網絡構架中。對用户來説絕對是一個好事，因為他們把技術層次上的信息安全做的可謂滴水不漏。可是對於現在得信息安全廠商來説可是一個嚴峻得考驗。當網絡設備提供商用自己全面的生產線為用户建立起完善的安全體系的時候，真不知道，防火牆也好，IDS也罷，他們能賣出多少。我是在危言聳聽嗎？但願是。

至於微軟捆綁銷售防毒軟件我不想多説，免的給他造勢，反正我知道網景當年可是高速成長的明星公司......

我猜想現在這些巨頭們光動口，不動手的根本原因是現在的信息安全市場還不夠肥，他們進入的時機還沒有成熟，他們一面在炒概念，一面在不遠處的地方觀望着，對他們來説這是收益和成本的權衡，一旦他們信息安全市場規模發展到他們的收益超過他們的成本，他們可以在很短的時間內殺入這個狹窄的市場。

為當前信息安全廠商計，現在很多信息安全廠商是將產品、服務、方案捆綁在一起的推向客户的，這也許就是他們的先發優勢。他們可以利用這個優勢去打造他們的客户羣，當你讓客户相信使用你的產品和服務他們已經足夠安全時，別的廠商在價格不是很大優勢的前提下，是很難跟你搶走你的用户的，同時產品或許有很大的價格下降空間，可是服務的空間就很小了。

所以我想強調的是現在的信息安全廠商應該居安思危，苦心經營自己的用户羣，因為這些信息安全的用户資源有很強的粘性，憑藉多年的服務積累起來的粘性用户資源，一旦信息安全產業滄海桑田，信息安全服務將是他們在面臨不測風雲的避風港。