中国网络安全企业尴尬篇—市场综合

网络安全

　本文乃一家之言，仅从市场的角度综合描述中国的网络安全现状，包括用户、产品、渠道、网络安全状况，希冀能够促进安全业界的发展，促进中国用户网络安全的改善，为我们中国的信息化贡献一点力量；
<br>
<br>　　从事网络安全多年，接触厂家和企业无数，跌跌撞撞走过来后，回首往事，真得颇多感触，对于中国的网络安全事业既爱又恨，网络安全作为中国的朝阳产业，是刚刚学步的幼儿，需要来自各界的支持和自我的努力奋斗，而现实中，把安全作为事业的公司却生存艰难，借他来作秀的公司却早已脱离了安全的本质，提供给用户的很多产品是混淆视听的垃圾产品，而中国的网络现状又确实漏洞百出，大部分人睡在自己架设的温床里，一旦大规模的病毒爆发或者黑客攻击，绝大部分网站和用户都很难幸免于难，近几年接连爆发的安全事件就说明了这一点，从华为对内部离职员工的起诉到冲击波造成的互联网瘫痪等等已经给我们带来了太多的教训，可是没有遭受致命打击的用户仍然沉睡着，给黑客和病毒营造温床，想想这个就很可怕。比如大家都知道保险有益，可以分散风险，而很多人却很少采取行动，类似的情况在网络安全届尤其如此，没有出事前谁也不会管的，出事了再亡羊补牢，如果事情小还可以，如果事情大，则所有一切将遭受灭顶之灾，连挽救的机会都没有。\r<br>
<br>　　互联网发展自诞生之日起就与风险同行，由E_mail，ftp，网上会话等简单应用发展到现在的电子商务和电子政务，应用越来越复杂，安全问题也呈几何级数增长，黑客和病毒给网络带来了前所未有的挑战，安全产品也从防病毒、防火墙、入侵监测、VPN等单一产品走向整体化，比如防火墙原来更多的设计是如何防范黑客入侵，而现在已经在演变成一个综合安全网关，包括了传统的防火墙功能、防病毒网关、网页内容过滤、VPN等等，入侵监测也由单纯的监测走向防御，IDS正在被IDP和IPS取代，概念层出不穷，用户面临的负担也越来越重，每天面对这么多的设备、这么多危险，如何来管理，截止到目前为止，并没有很好的办法，大家只能寄希望与黑客的疏忽，哈哈哈，大家都知道网络安全界的木桶理论，最短的木桶决定了整体的装水数量，黑客指挥找最薄弱的地方攻击，因此我们所面临的问题依然很严重。\r<br>
<br>　　首先让我们来看看用户，国内信息化走在前沿的一直集中在政府、电信、金融、电力、烟草、石油化工等行业大户，中小企业仍处于信息化初期，在没有很大量的IT应用的情况下，网络安全问题不会那么突出，尽管这几年是IT市场中增长速度最快的一块，大部分应用比较简单，基础设施的建设和一些初始的应用是主流，ERP软件在该领域的应用是时下各个厂商抢占的重点，增长迅速，而对于安全产品还主要是防火墙和防病毒。\r<br>
<br>　　政府市场从99年开始进行大规模的IT建设，已经走过了政府触网（网站建设）、物理设施投入、电子政务等几个阶段，由开始的盲目投资逐渐进入理性规划，以OA为例，在九九年一套OA产品能够卖到近百万，而现在最低的报价甚至只有几万，政府一直对安全比较关注，曾经专门发布文件限定副省级政府部门禁止与互联网连接，造成了网络隔离卡和网闸的巨大市场，由于区域的经济发达程度不同，信息化的理念也有很大的区域差距，华东华南华北等沿海城市远远领先于中部和西部，很多地方已经把其列入政府的目标中，各级政府部门很重视信息化和安全，但由于我们的系统集成商对于安全的认识深浅不一，而政府IT部门也限于人力，可以说我们的安全状况并不好，首先是认识问题，意识决定了很多方面，中央的统一规划到现在也没有，一部分也是国内的现实状况决定的，我们的体制和政府管理都是潜在的影响信息化力量，其次是经济问题，IT建设和安全设备的购买都需要投入很大的金钱，没有钱是没法搞信息化的，再次是IT服务商的问题，很多服务商短视，提供劣质的产品和方案，错误的引导政府部门。\r<br>
<br>　　电信市场一直处于信息化的最前沿，投入了大量的设备进行基础设施建设，培养了华为、中兴通讯等巨型厂商，为中国经济建设发展提供了宝贵的动力和保障，目前正在步入信息化的高级阶段，对于安全方面力量投入也是不遗余力， 往往采购了很多安全设备，但由于安全设备来自于世界各地各个方面的厂商，而安全产品本身也是日新月异，这里面最缺乏安全规划和安全管理，这也是现状决定的，安全人才的缺乏本身就制约了安全方面的投入，相比于硬件的投入，更需要安全管理等软件因素。\r<br>
<br>　　金融市场*盖银行、保险、证券、信托、基金、财务公司等领域，目前在IT方面各都投入了很大的精力，入世在即，将会面临着巨大的市场竞争压力，信息化建设将决定银行等在未来的竞争力，金融业务不断创新，IT服务于业务需求，今年网上银行业逐渐开展起来，很多都采取身份认证和SSLVPN等作为网上银行的保护方法，这是很好的开始。我所认识的金融业系统集成极其复杂，目前银行内部已形成了多个系统，对于未来的规划和整合将是很大的挑战，而关于安全方面现在还缺少针对应用的方案，更多的是依据产品的安全规划和安全服务，更需要能与银行业务系统紧密结合起来的安全方案和规划。\r<br>

网络安全

而对于电力、烟草、石油化工等行业大户，ERP、OA、业务系统等都在逐步的建设中，很多都有了基础安全产品，例如防火墙、防病毒、入侵检测等等，但IT主管在安全方面投入的精力明显很少，这可能也是用户的现状决定了，很多IT部都说他们公司内部懂电脑的人很少，现在基本安全，不怕来自内外部的威胁，这种假设是不成立，本身这个社会就是在动态发展的，现在并不等于将来，现在没人利用你的漏洞，不等于永远都安全，而我们关注的是企业长期发展的保障，比如核电站建设，在一开始的时候就要考虑所有的安全因素，稍有不慎将造成巨型灾难，而对于行业用户的网络安全不用达到这个程度，但是也应该根据本身进行相应的规划，而不应存在侥幸心理。\r<br>
<br>　　来自计世咨询的调查报告（样本来自华东、华南、华北的政府、金融、电信、制造等行业）显示：目前中国的用户普遍自我感觉良好，调查显示，92.7％的用户都采取了一定的措施来防止和解决信息安全问题；88.9％的用户建立了相应的安全管理制度；50.9％的用户有专门的信息安全管理机构；74.4％的用户建立了针对信息安全的应急机制；73.1％的用户在建设IT系统时专门考虑过信息安全问题。这些结果表明，绝大部分的用户不仅在理论上很重视信息安全，而且也在组织机构和管理制度上对信息安全给予了充分的保证。调查还发现，用户对“数据被非法利用”非常关注。这说明，国内行业用户对信息安全的重要问题——数据安全已有了相当的认识，因此也得出了一个结论，信息安全事故影响不大。\r<br>
<br>　　更进一步的调查则显示了另一面：一方面，这些信息安全事故均属于“低级水平”，本身的影响有限；另一方面，对国内绝大部分行业用户而言，还没有真正到“离了IT系统企业就无法运营”的状态。对有电脑的用户来说，利用IT系统来帮助自己完成工作已成习惯。一旦没有IT系统，个人的工作会觉得影响非常大，但却不会对整个企业造成多大损失。这也是国内很多用户IT系统的应用现状。造成这种情况深入的解析，由以下原因：一、认识深度不够,从统计看,“IT系统不稳定”是引发信息安全事故的主要导火索，却没有被纳入信息安全的管理之中，这便是国内行业用户对信息安全认识不足的第一个典型表现。二、没有对信息安全做专门的风险评估。调查结果表明，仅有15.7％的用户对信息安全的风险做过专门评估。更进一步，即使在那些已做过评估的用户中，其评估的内容也不够全面。\r<br>
<br>　　根据世界经合组织制定的“信息系统安全准则”，没有做过专门的风险评估，就不会有科学合理的信息安全策略。事实上，调查结果也反映了这一现象。调查发现，尽管有74.4％的用户都建立了信息安全的应急机制，但他们制定应急机制所包含的内容却远远不够。只有21.5％的用户建立了“保证业务连续性”的应急计划，排在第五位。但从世界经合组织制定的“信息系统安全准则”来看，“业务连续性”是必须首先要得到保证的。\r<br>

网络安全

其次再让我们来看看国内的主要安全产品供应商，据统计，在市场销售额前10名的厂商中国内外企业各占半壁江山，具体排名依次为：赛门铁克、思科、天融信、瑞星、东软、江民、趋势科技、NetScreen、Check Point和金山，合计销售产品2.66亿元，占中国网络安全软件市场总销售额的44.2%。其它厂商合计销售额为3.36亿元，占中国网络安全软件市场总销售额的55.8%。从网络安全产品来看，主要包括防杀毒软件、防火墙、入侵检测系统、信息加密以及安全认证等产品。2004年第一季度，中国防杀毒软件市场的销售额为1.75亿元，比2003年同期增长28.7%，占网络安全产品市场销售额的29.1%；防火墙市场的销售额为2.53亿元，比2003年同期增长20.5%，占网络安全产品市场销售额的42.0%；入侵检测系统市场的销售额为0.71亿元，比2003年同期增长9.2%，占网络安全产品市场销售额的11.8%；其它网络安全产品市场的销售额为1.03亿元，比2003年同期增长19.8%，占网络安全产品市场销售额的17.1%。\r<br>
<br>　　从2004年第一季度的数据来看，中国网络安全产品市场保持了良好的发展势头，整体市场规 模达到6.02亿元，比2003年同期增长21.1%，总体表现较佳。本季度以来，以Mydoom、Netsky和Bagle等恶性蠕虫病毒以及它们的变种为代表 的各种病毒大规模轮番发作，严重威胁计算机网络安全，给用户带来了极大的麻烦并造成十分严重的经济损失。垃圾邮件问题成为本季度人们关注的热点，社会各界强烈呼吁采取有效办法制止垃圾邮件，目前已经建立了国内第一个“反垃圾邮件技术联盟”，有关反垃圾邮件立法方案亦有望出台，这是目前的几个热点。\r<br>
<br>　　防病毒由单机版发展到网络版，由桌面防毒、网关防毒再到整体防毒，曾几何时，存在安全就是病毒的误解，病毒技术的不断创新造成了反病毒市场的繁荣，从CIH到尼姆达、红色代码、冲击波，每一次新的病毒都造成前所未有的冲击，带来了巨大的损失的同时也给厂商创造了无限的商机，从国内的厂商江民、瑞星、金山、熊猫、KILL到国外的厂商诺顿、趋势、Mcafee等等，诺顿、趋势等已在国际资本市场不断的创造商业契机，相比而言，国内的安全厂商就寒酸的多了，除了瑞星近两年不断创新在中小企业市场逐渐占领了一席之地外，江民、金山等都日益在走下坡路，根本问题在于没有核心竞争力和持续的创新，仅仅靠渠道和市场炒作，就如昙花一现，很难持久，几年以前，我们更多的是单机市场，但是自2001年网络病毒的流行造成了巨大的企业市场，而中国本土企业在技术更新换代方面远远落后，目前瑞星在中小企业市场逐渐站稳了脚跟，但产品与国外产品相比仍有差距，而金山和江民虽推出网络版，但产品稳定性和市场策略都差距较大，渠道中都很少见到，短期内很难有大的作为，而诺顿和MCAfee一支盘踞中高端市场，趋势科技在国内进入比较晚，现在也奋起直追，而且大家都不约而同的扑向中小企业市场，相信病毒市场竞争将会更加激烈，淘汰更加残酷。技术创新和服务创新将是未来的生存之道。\r<br>
<br>　　防火墙产品已经由单一的防火墙演化成综合安全网关，该领域也是国际厂商占据领导地位，Cisco、Netscreen（被Junifor收购）、Checkpoint、nokia、sonicwall等占据了大型应用的主流，而国内厂商则风起云涌，两三年间涌现出了1000多家防火墙供应商（其中拥有自主产品就占据了200多家），可以说目前竞争也已进入白热化，而众多分销商就像卖电脑一样的去买防火墙，利润被压制的越来越薄，不过还好政府市场的硬性规定给了中国厂商特殊的机会，但是这并不能把国内厂商培养壮大，真正的IT市场在于企业市场,而中国IT公司好像很难在大的行业用户里与国外同行产品竞争，关键还是在于技术和产品本身，而且中国的厂商普遍成长时间短、积累不足、应用群窄、IT研发不足、产品雷同严重等等都是国内安全产品的硬伤，大鱼吃小鱼，末位淘汰将在未来的安全领域上演。\r<br>
<br>　　而对于入侵检测产品，目前只有高端用户采购使用，而且状况很不理想，采购后使用一段时间往往束之高阁，一部分原因该产品本身技术不成熟，海量数据造成IT人员无所适从，另一部分国内采购方往往追求概念，或者被供应商误导，在利益的驱动下匆匆采购，而并没有从本身的IT建设实用性出发，安全的本质是为业务系统保驾护航，而不是单纯的采购设备架设在那里，由问题就有需求，未来入侵监测还会有发展，只不过短期内不会成为主流。\r<br>
<br>　　垃圾邮件已成为互联网应用最令人头疼的事情，上班一打开电脑，就有几百封的垃圾邮件混杂在正常邮件中涌现出来，光处理这些就要一两个小时，如果带病毒，还会影响合作伙伴的业务往来，今年有法律规定，邮箱在1000个以上和政府教育等大型部门必须采取反垃圾邮件措施，很多服务器因为安全漏洞都成了替罪羔羊，而关于这方面的解决方案目前并没有很完善的，像趋势、诺顿等原厂商也不能很好地解决该类问题，而国内的专业反垃圾邮件厂商等也在探索之中，该方面的技术突破还需要时间。\r<br>
<br>　　对于CA等方面的建设，目前国内还处于探索阶段，无论是电子政务还是电子商务，应用前景广阔，但由于投资巨大，维护成本高昂，与应用结合的紧密程度，目前建设的几个CA中心仍处于摸索阶段，现在仍没有很好的盈利模式，亏损状况短期是难以扭转。目前国内的主流厂商有上海格尔、吉大正元、深圳维豪等等。\r<br>
<br>　　对于安全服务市场，安全服务包含两个方面，一方面是基于产品的维护升级等延伸服务，另一方面是安全策略、安全规划、安全评估等纯粹的安全咨询服务，几乎所有的厂商都会重视第一类安全服务，比如CA、诺顿等都提供整体的安全解决方案，但他们的方案因为他们的产品线齐全，也很少会从用户的角度去考虑提供第二类的服务，而第二类的服务供应商还很少，目前主要由中科网威、天融信、中联绿盟等提供，纯粹的服务商还很难生存，这主要是因为一方面市场需求还没有起来，另一方面是用户对这方面的认识不深，未来的发展机遇还是巨大的，关键是要在合适的时候进入。\r<br>
<br>　　希冀中国的安全事业能够如日中天，越走越高，能够为中国的信息化护驾保航，使中国立足于21信息化世纪的强手之林。\r<br>
<br>