信息安全产业未来的三点思考

　　在网络通信界的巨头们热烈讨论网络融合美妙前景的同时，网络安全界已经用行动去品尝各种安全技术融合的滋味。但如果我们比较一下两种融合趋势就会发现他们之间有很大差异。

　　网络通信的融合的源动力来自新技术的创新，而这种融合的方向是多种业务在一个平台上的承载。而信息安全界的融合源动力来自网络攻击手段的融合。而融合的方向是以安全技术的融合对抗攻击手段的融合。可以说信息安全界的融合是让愈演愈烈的网络攻击逼出来的虽然这听起来有点以彼之道还彼之身的味道，但事实确实如此。以网络病毒为例从去年的尼姆达到今年的振荡波，冲击波，还有最近的QQ尾巴，我们可以看出在现在的网络攻击手段中，既包括病毒攻击，也包括隐通道、拒绝服务攻击，还可能包括口令攻击、路由攻击、中继攻击等多种攻击模式。双拳难敌四手，众多攻击手段让传统上各自为战的安全产品破绽百出。

　　IDS不是用来对付网络蠕虫的，防病毒软件不会理睬网络上拒绝服务攻击，防火墙对病毒攻击和隐藏在合法服务下木马后门鞭长莫及。用户不是技术专家，当安全问题出现时，他们不会追究到底是摆在这边的防火墙还是放在那边的IDS谁失职，他们会责问安全提供商：我掏了一大堆钱，为什么我的网络老出问题，你们安全产品到底灵不灵？

　　入侵检测技术侧重监测、监控和预警领域，而防火墙和IPS能在访问控制领域发挥长处，防病毒软件，安全认证分属于不同的安全领域的安全产品,可惜用户并不是讨论某一种安全技术乃至某一个安全产品与其他技术和产品哪个更安全，其实不如探讨如何将各种安全产品整合成一个安全体系让这些安全产品有效地协同工作更为务实。

　　我们可以看到现在各大安全产品制造商的产品线已经在尝试将不同的技术融合在一起：以侧重于检测的入侵检测技术和侧重于访问控制的防火墙技术两种技术协同和融合起来一直是信息安全研究的前沿课题。而防火墙和防病毒的融合已经在防毒墙这一产品中得到体现。所以只有将不同安全侧重点的安全技术有效的融合起来，安全产品的性价比才能更高，才能在日益激烈的信息安全市场上有优异的表现。

　　一个木桶能装多少水不但要看木桶最短的那块模板的长度，也要看木板之间的紧密程度。这个模型应用在信息安全领域就是：一个企业网络的信息安全不但依赖单个安全产品自身的性能也依赖于各个安全产品之间的协作。众多安全产品之间的关系不是简单堆砌，而是相互协作，将不同安全防范领域的安全产品融合成一个无缝的安全体系。

　　来自天融信的余海波介绍说：这种融合趋势不仅仅是安全技术，也席卷了安全体系和架构。网络安全产品已不能再仅仅是个安全设备，还必须是个高性能的网络设备。

　　思科自防御网络的体系框架把安全的基因融合到路由器、交换机、终端、防火墙+VPN+IDS产品中，并采用了集成化管理软件。从终端方面的网络准备控制（NAC），到交换机上的防火墙、入侵检测、流量分析与监控、内容过滤形成全面的网络安全防御体系。这个安全防御体系代表了安全和网络融合成一体的整体安全解决方案也成为网络安全领域的共识和发展方向。

　　火花2： 安全厂商之间不仅仅是竞争关系

　　说到竞争，在信息安全市场上，安全厂商们之间不仅仅是激烈的竞争，他们还有合作。合作不仅仅是不同领域的安全产品之间的必须有良好的兼容性，这个技术问题对于前来座谈的厂商不是什么大问题，真正的问题来自于厂商之间在市场竞争中的合作。来自瑞星公司的市场部副总经理马刚谈到了价格竞争，讲了一个真实案例，在一次采购招标中，一家小的安全产品服务商为了能拿到一个单子，用低于盗版的价格硬是将瑞星还有另外两家国内知名安全厂商挤出局，马刚说：“当我听到他的报价，一个单机版5元！那就没什么可说的了。5元一个软件，别说是软件开发成本，服务提供成本，就是我的服务人员来你这里提供及时的上门服务的车票钱都不够！”

  这种严重的恶意压低产品价格只能是阻碍，而不是促进信息安全业的健康发展。非理智的低价竞争恐怕受损失不仅是厂商自己，用户最终也会为这个非理智低价承担相应的损失。而刚才那个案例的用户就是折腾了两个星期后又把上面3家安全产品提供商请回来重新竞标，原因当然也勿须多说，从这个案例我们可以看出信息安全这个产业需要每一个参与游戏者都自觉遵守一定的游戏规则，而其中一条重要的规则就是不参与低价竞争。需要指出的是现阶段的信息安全产业环境和网络通信界的产业环境有一个重要的不同：那就是竞争过度。网络通信界天天有人喊打破垄断，鼓励竞争，只有竞争可以让垄断者出让一部分剩余让消费者享受，可是在信息安全产业内是恰恰相反，竞争的不止是有点过头，而是千军万马过独木桥，十几家厂商为一个单子互开低价，而且是一边骂别人瞎搞拆台，一边给用户开出0折扣的支票，让客户自己去填价格！这种恶性竞争不但影响安全制造商，安全服务提供商自己的健康成长，而且超低价产品和超廉价服务只是一个短期行为，长期下去会滋生劣质产品、劣质服务，这反而不利于信息安全市场的成长。

　　所以安全厂商之间不仅仅是刺刀见红的竞争关系，而且每一个想在信息安全产业做久做大的企业都必须建立一种战略合作，通过这种合作去建立一种行业秩序，这种行业秩序同国家的宏观产业政策互相呼应才能营造出一种良好的市场环境，促进信息安全市场健康发展。显然信息安全市场的健康发展的受益者是信息安全市场的每一个参与者，不仅是产品和服务的提供者，还有产品和服务的接受者。我想信息安全界自律公约的出台就说明这种合作的必要性已经被各大信息安全相关厂商意识到了。

　　火花3 ：信息安全服务－产业的盲点

　　启明星辰的杨继生分析当前信息安全服务市场时说道：现在的信息安全服务基本上分为安全评估服务，安全培训，安全外包、安全集成、和应急相应。现在能看到利润的主要是安全评估和安全集成。而安全培训和应急相应多是对用户的售后服务，而在国外开始流行的安全外包服务在国内尚没有成气候。信息安全服务对安全设备提供商意味着什么？冠群金辰的黄逊认为服务就是赢得客户对产品以及产品背后的厂商信赖和认可的重要手段，良好的服务积累起来的口碑是冠群金辰取得用户信任的干将莫邪（注：冠群金辰曾以七种上古神兵做为自己七款产品的代言人）！而东软市场的路娜则讲述了东软在完成了一次及时高效应急服务后，赢得大客户的信任，得到一笔不菲订单的成功案例。也许是受限于座谈会的时间短暂，关于信息安全服务的话题没有深入的进行下去。

　　还有什么没有谈到的吗？

　　在我看来，良好的服务给安全产品提供商带来不仅仅是口碑、商机。信息安全服务对于信息安全提供商还有两个战略意义。

　　1 信息安全市场的入场劵

　　让我们先从两个统计数据来感受热闹的信息安全市场：

　　数据1：2007年全球安全市场的总额将从2002年的639亿美元增长为1,188亿美元，其中硬件、软件和服务的市场占有率将分别为32.4%、34%和33.6%，其市场规模平均增长率分别是11.8%、12.2%和15.8%。按照IDC对安全的新定义，安全领域可细分为物理安全、信息安全和业务连续性安全，信息安全是安全市场增长最多的领域。IDC预测，亚太区信息安全的市场规模将从将从2003年的37亿美元增长为2007年的83.4亿美元，而中国信息安全市场则从2亿美元增长为6.7亿美元，年均增长率为34%，远远超过整个亚太市场22.9%的年均增长率。 （数据IDC（国际数据公司）2004年亚太安全）

　　数据2：2002年底，我国国内与信息安全相关的注册公司已达1300多家，其中具有技术研发能力的350多家，有自主产品的190家，具有成熟产品的80家；已领取了安全产品销售许可证的产品有近500种，通过信息安全测评认证的产品有140多个。 （数据中国信息产业商会信息安全产业分会）

　　两个统计数据给我们这样一个问题：信息安全市场容的下1300家企业吗？

　　答案是：过去容不下，将来更容不下。信息安全市场的高速发展的另一面就是高淘汰率。显而易见，信息安全市场越成熟，市场的资源配置会就越来越集中到更少而不是更多的公司手中，这是资本的规律。问题的关键是会淘汰什么样的企业？第一感觉告诉我们是技术，只有拥有核心技术的信息安全公司才会在激烈的市场竞争中幸存，但是如果你站在用户的角度上就会发现并不完全是这样。用户真正关心的不是你卖给他的硬件设备是基于NP还是ASIC的硬件平台，是千兆设备还是百兆设备，他关心的是你的设备能否既能保证他内部网络的安全的同时，又能兼顾正常的网络转发性能。他们最终关心不是你的防火墙是采用状态检测机制还是深度检测机制，你的IDS是基于主机的还是基于网络的，而是用了你的设备后，他的机密信息是否真正安全了，他们的内网安全在你的设备和你的安全方案下得到了真正的安全。简而言之，核心技术对用户应该是透明的，用户看的到的是厂家的服务。厂家所能提供服务水平是这个厂家的技术实力、资本实力、管理实力、市场运作实力的综合体现。限于条件，笔者只能在这里提出一个假设：如果能将这四种实力进行计量形成一个加权综合服务指数，那么这个综合服务指数的排名和厂商在市场的份额应该是直接对应的。

　　这种信息安全厂商的服务随着信息安全市场的发展将积累成一种资格，而这种资格一面淘汰那些不能提供长期优质服务的信息安全厂商，一面也逐渐成为信息安全产业后来者的入场劵。现在的信息安全厂商要想利用先发优势享用更多的信息安全市场高速发展带来的丰厚利润，就必须做好他们的服务，他们的服务越好，后来者就越不容易进入这个产业。

　　2 未来安全产品制造商的避风港

　　常言道：居安思危。现在信息安全产品提供商现在注意到的是不规范的市场秩序和高速发展的市场，不知他们考虑过螳螂捕蝉，黄雀在后。或许在他们相互为争夺客户拼个你死我活时，像CISCO这样的网络设备提供商和微软这样的软件商正在暗自打算如何抢走他们的奶酪，他们苦心经营的技术优势恐怕对于这些巨头来说只是薄薄的一层窗纱。显而易见CICSO和华为这样的网络设备提供商进入防火墙、IDS的市场难度，远小于防火墙制造商进入交换路由市场的难度，微软做防毒软件更是有得天独到的优势。

　　如果换一个角度看CISCO的自防御体系和华为的“i3安全”，就会发现CICSO和华为这样的网络设备提供商，正在考虑利用其完善的网络基础设施产品线，把相关的安全产品融合到网络构架中。对用户来说绝对是一个好事，因为他们把技术层次上的信息安全做的可谓滴水不漏。可是对于现在得信息安全厂商来说可是一个严峻得考验。当网络设备提供商用自己全面的生产线为用户建立起完善的安全体系的时候，真不知道，防火墙也好，IDS也罢，他们能卖出多少。我是在危言耸听吗？但愿是。

　　至于微软捆绑销售防毒软件我不想多说，免的给他造势，反正我知道网景当年可是高速成长的明星公司......

　　我猜想现在这些巨头们光动口，不动手的根本原因是现在的信息安全市场还不够肥，他们进入的时机还没有成熟，他们一面在炒概念，一面在不远处的地方观望着，对他们来说这是收益和成本的权衡，一旦他们信息安全市场规模发展到他们的收益超过他们的成本，他们可以在很短的时间内杀入这个狭窄的市场。

　　为当前信息安全厂商计，现在很多信息安全厂商是将产品、服务、方案捆绑在一起的推向客户的，这也许就是他们的先发优势。他们可以利用这个优势去打造他们的客户群，当你让客户相信使用你的产品和服务他们已经足够安全时，别的厂商在价格不是很大优势的前提下，是很难跟你抢走你的用户的，同时产品或许有很大的价格下降空间，可是服务的空间就很小了。

　　所以我想强调的是现在的信息安全厂商应该居安思危，苦心经营自己的用户群，因为这些信息安全的用户资源有很强的粘性，凭借多年的服务积累起来的粘性用户资源，一旦信息安全产业沧海桑田，信息安全服务将是他们在面临不测风云的避风港。