“把一个系统的电源关闭,拔掉电源插头,锁进钛金属保险箱,再把它埋入水泥暗堡,周围布满神经毒气,并高薪聘请全副武装的保安守卫。这样的系统是安全的吗?即使这样,我仍然不会用我的生命来担保系统是安全的。”上述这段话出自1995年的美国在线安全白皮书。令人沮丧的是,尽管时间已经过去了8年,但这一状态仍旧没有本质的改变。刚刚过去的一个月里,各种“蠕虫”电脑病毒的肆虐使人们对IT系统的安全几乎丧失了信心。
所幸的是,电脑病毒的肆虐对于IT安全产业来说,却是一个发展的良机。
安全曾经只是IT产业发展过程中的“补丁”
在早期传统IT产业发展格局中,IT各个子行业的发展一度呈现结构失衡。一方面,企业过度投资“信息高速公路”或者大量购买“处理能力”;另一方面,“重硬轻软”导致IT应用严重滞后,使得IT自身的效能发挥受到一定影响,同时还降低了对安全的需求。这个时期,安全在传统IT中只是起到了一个可有可无、少量而分散的“打补丁”作用。
随着全球范围内电子政务和电子商务应用的不断深化,IT系统对安全的需求逐渐贯穿了IT的所有方面。目前,IT安全产业已经细分为加密、防火墙、防病毒、身份认证、入侵检测及漏洞扫描等五大类,而信息安全也从传统意义上面向数据的安全向新的内涵扩展,即面向使用者的安全也被纳入了新的信息安全概念中,包括鉴别、授权、访问控制、抗否认性和可服务性以及对于内容的个人隐私、知识产权等的保护。
换言之,安全在IT进程中已经成为一个必不可少的有机组成部分,它与IT逐渐融合,形成系统,同时它又是相对独立的一个IT新的分支产业。这预示着一个市场容量巨大的信息安全产业呼之欲出。
IT安全产业发展中的问题
经过几年时间,国内从事IT安全的企业从10多家一下子膨胀到号称1300多家,而对市场总量的估算也众说纷纭,大致上从不足十亿元到几十亿元不等。如此推算,国内每家IT安全企业的平均收入只有区区几百万元,就算最好的安全企业也刚刚达到1亿元的经营规模,这说明整个产业还处于无序的草创阶段。
人们的产业预期与现实需求之间的强烈反差,暴露出IT安全市场存在的深层问题:
(1)相关政策与法规完善过程的渐进性,导致有关法规贯彻缓慢。随着《商密管理条例》的颁布、《涉密网络安全管理规定》的实施,安全产品测评机构的建立,“安全法制环境”已从无到有。但各行各业对此的认识不够深入、不够统一,导致企业在与用户的沟通过程中“达成共识”的进程太缓慢!
(2)IT业务的不确定性阻碍了与安全的融合,也影响了安全应用面的拓宽。比如电子政务,难度不在于电子手段,不在于安全保障,难就难在政务本身的统一规划过程漫长而艰辛。而IT业务在发展过程中的标准化程度不高,不同政府职能部门之间与不同区域之间的差异,都是影响电子政务发展速度的原因。
(3)产业自身的瓶颈。IT安全产业自身的问题主要表现在:IT安全领域标准制订滞后,导致出现“安全孤岛”,难以实现安全系统的互联互通,也给用户的实际管理工作带来了极大的不便;与应用的脱节,导致面向系统、面向客户端和个人端的安全应用一体化很难实现;IT安全产品低水平重复开发,多品种少批量,产业结构问题明显;IT安全公司规模普遍偏小,生存的压力导致竞争秩序混乱、信用面临危机。
IT安全产业发展的思考
基于以上分析,IT安全产业的发展不是一个简单的问题,而是一个宏观的系统工程,非一朝一夕所致。我认为,国内信息安全产业的出路在于“安全IT化,IT安全化”。这一观点在既有的存量市场和未来的增量市场中将得以验证。
首先,存量IT的安全需求得以满足。尽管是“打补丁”的方式,但这有助于通过安全手段消除“心理顾虑”而扩充增值业务,使IT得以增值。另一方面,对信息安全企业而言,存量IT巨大的安全需求,无疑是一个大蛋糕,将对产业发展起到非常大的促进作用。
其次,IT安全化的意识增强将使增量IT在规划及建设中从一体化的角度来考虑安全,这不仅能节省投资并有效保障安全,还能为安全产业带来持续的发展商机。
目前,国内绝大多数IT安全企业从事的安全产品单一,仅有少数企业拥有复合型的IT安全产品。这一现状违背了赢家通吃的基本规律。随着IT安全化的意识加强、市场需求增加,IT业大公司将纷纷介入安全行业,市场竞争会更加激烈。未来,IT安全产业中肯定会出现大规模的整合与并购。(作者为成都卫士通信息产业公司总经理,文章只代表作者观点)
