對資訊保安產業未來的三點思考

前不久筆者有幸參加了由賽迪顧問舉辦的一次資訊保安廠商的座談會，座談會中的精彩的議題引發了筆者的一些思考，將這些思考的火花記錄下來希望能和廣大網友一起探討，也歡迎對我的下面觀點進行批評指正：braveheart_

火花1 ： 安全產品走向融合

在網路通訊界的巨頭們熱烈討論網路融合美妙前景的同時，網路安全界已經用行動去品嚐各種安全技術融合的滋味。但如果我們比較一下兩種融合趨勢就會發現他們之間有很大差異。

網路通訊的融合的源動力來自新技術的創新，而這種融合的方向是多種業務在一個平臺上的承載。而資訊保安界的融合源動力來自網路攻擊手段的融合。而融合的方向是以安全技術的融合對抗攻擊手段的融合。可以說資訊保安界的融合是讓愈演愈烈的網路攻擊逼出來的雖然這聽起來有點以彼之道還彼之身的味道，但事實確實如此。以網路病毒為例從去年的尼姆達到今年的振盪波，衝擊波，還有最近的QQ尾巴，我們可以看出在現在的網路攻擊手段中，既包括病毒攻擊，也包括隱通道、拒絕服務攻擊，還可能包括口令攻擊、路由攻擊、中繼攻擊等多種攻擊模式。雙拳難敵四手，眾多攻擊手段讓傳統上各自為戰的安全產品破綻百出。

IDS不是用來對付網路蠕蟲的，防病毒軟體不會理睬網路上拒絕服務攻擊，防火牆對病毒攻擊和隱藏在合法服務下木馬後門鞭長莫及。使用者不是技術專家，當安全問題出現時，他們不會追究到底是擺在這邊的防火牆還是放在那邊的IDS誰失職，他們會責問安全提供商：我掏了一大堆錢，為什麼我的網路老出問題，你們安全產品到底靈不靈？

入侵檢測技術側重監測、監控和預警領域，而防火牆和IPS能在訪問控制領域發揮長處，防病毒軟體，安全認證分屬於不同的安全領域的安全產品,可惜使用者並不是討論某一種安全技術乃至某一個安全產品與其他技術和產品哪個更安全，其實不如探討如何將各種安全產品整合成一個安全體系讓這些安全產品有效地協同工作更為務實。

我們可以看到現在各大安全產品製造商的產品線已經在嘗試將不同的技術融合在一起：以側重於檢測的入侵檢測技術和側重於訪問控制的防火牆技術兩種技術協同和融合起來一直是資訊保安研究的前沿課題。而防火牆和防病毒的融合已經在防毒牆這一產品中得到體現。所以只有將不同安全側重點的安全技術有效的融合起來，安全產品的價效比才能更高，才能在日益激烈的資訊保安市場上有優異的表現。

一個木桶能裝多少水不但要看木桶最短的那塊模板的長度，也要看木板之間的緊密程度。這個模型應用在資訊保安領域就是：一個企業網路的資訊保安不但依賴單個安全產品自身的效能也依賴於各個安全產品之間的協作。眾多安全產品之間的關係不是簡單堆砌，而是相互協作，將不同安全防範領域的安全產品融合成一個無縫的安全體系。

來自天融信的餘海波介紹說：這種融合趨勢不僅僅是安全技術，也席捲了安全體系和架構。網路安全產品已不能再僅僅是個安全裝置，還必須是個高效能的網路裝置。

思科自防禦網絡的體系框架把安全的基因融合到路由器、交換機、終端、防火牆+VPN+IDS產品中，並採用了整合化管理軟體。從終端方面的網路準備控制（NAC），到交換機上的防火牆、入侵檢測、流量分析與監控、內容過濾形成全面的網路安全防禦體系。這個安全防禦體系代表了安全和網路融合成一體的整體安全解決方案也成為網路安全領域的共識和發展方向。

火花2： 安全廠商之間不僅僅是競爭關係

說到競爭，在資訊保安市場上，安全廠商們之間不僅僅是激烈的競爭，他們還有合作。合作不僅僅是不同領域的安全產品之間的必須有良好的相容性，這個技術問題對於前來座談的廠商不是什麼大問題，真正的問題來自於廠商之間在市場競爭中的合作。來自瑞星公司的市場部副總經理馬剛談到了價格競爭，講了一個真實案例，在一次採購招標中，一家小的安全產品服務商為了能拿到一個單子，用低於盜版的價格硬是將瑞星還有另外兩家國內知名安全廠商擠出局，馬剛說：“當我聽到他的報價，一個單機版5元！那就沒什麼可說的了。5元一個軟體，別說是軟體開發成本，服務提供成本，就是我的服務人員來你這裡提供及時的上門服務的車票錢都不夠！”

這種嚴重的惡意壓低產品價格只能是阻礙，而不是促進資訊保安業的健康發展。非理智的低價競爭恐怕受損失不僅是廠商自己，使用者最終也會為這個非理智低價承擔相應的損失。而剛才那個案例的使用者就是折騰了兩個星期後又把上面3家安全產品提供商請回來重新競標，原因當然也勿須多說，從這個案例我們可以看出資訊保安這個產業需要每一個參與遊戲者都自覺遵守一定的遊戲規則，而其中一條重要的規則就是不參與低價競爭。需要指出的是現階段的資訊保安產業環境和網路通訊界的產業環境有一個重要的不同：那就是競爭過度。網路通訊界天天有人喊打破壟斷，鼓勵競爭，只有競爭可以讓壟斷者出讓一部分剩餘讓消費者享受，可是在資訊保安產業內是恰恰相反，競爭的不止是有點過頭，而是千軍萬馬過獨木橋，十幾家廠商為一個單子互開低價，而且是一邊罵別人瞎搞拆臺，一邊給使用者開出0折扣的支票，讓客戶自己去填價格！這種惡性競爭不但影響安全製造商，安全服務提供商自己的健康成長，而且超低價產品和超廉價服務只是一個短期行為，長期下去會滋生劣質產品、劣質服務，這反而不利於資訊保安市場的成長。

所以安全廠商之間不僅僅是刺刀見紅的競爭關係，而且每一個想在資訊保安產業做久做大的企業都必須建立一種戰略合作，通過這種合作去建立一種行業秩序，這種行業秩序同國家的巨集觀產業政策互相呼應才能營造出一種良好的市場環境，促進資訊保安市場健康發展。顯然資訊保安市場的健康發展的受益者是資訊保安市場的每一個參與者，不僅是產品和服務的提供者，還有產品和服務的接受者。我想資訊保安界自律公約的出臺就說明這種合作的必要性已經被各大資訊保安相關廠商意識到了。

火花3 ：資訊保安服務－產業的盲點

啟明星辰的楊繼生分析當前資訊保安服務市場時說道：現在的資訊保安服務基本上分為安全評估服務，安全培訓，安全外包、安全整合、和應急相應。現在能看到利潤的主要是安全評估和安全整合。而安全培訓和應急相應多是對使用者的售後服務，而在國外開始流行的安全外包服務在國內尚沒有成氣候。資訊保安服務對安全裝置提供商意味著什麼？冠群金辰的黃遜認為服務就是贏得客戶對產品以及產品背後的廠商信賴和認可的重要手段，良好的服務積累起來的口碑是冠群金辰取得使用者信任的干將莫邪（注：冠群金辰曾以七種上古神兵做為自己七款產品的代言人）！而東軟市場的路娜則講述了東軟在完成了一次及時高效應急服務後，贏得大客戶的信任，得到一筆不菲訂單的成功案例。也許是受限於座談會的時間短暫，關於資訊保安服務的話題沒有深入的進行下去。

還有什麼沒有談到的嗎？

在我看來，良好的服務給安全產品提供商帶來不僅僅是口碑、商機。資訊保安服務對於資訊保安提供商還有兩個戰略意義。

1 資訊保安市場的入場劵

讓我們先從兩個統計資料來感受熱鬧的資訊保安市場：

資料1：2007年全球安全市場的總額將從2002年的639億美元增長為1,188億美元，其中硬體、軟體和服務的市場佔有率將分別為32.4%、34%和33.6%，其市場規模平均增長率分別是11.8%、12.2%和15.8%。按照IDC對安全的新定義，安全領域可細分為物理安全、資訊保安和業務連續性安全，資訊保安是安全市場增長最多的領域。IDC預測，亞太區資訊保安的市場規模將從將從2003年的37億美元增長為2007年的83.4億美元，而中國資訊保安市場則從2億美元增長為6.7億美元，年均增長率為34%，遠遠超過整個亞太市場22.9%的年均增長率。 （資料來源：IDC（國際資料公司）2004年亞太安全論壇）

資料2：2002年底，我國國內與資訊保安相關的註冊公司已達1300多家，其中具有技術研發能力的350多家，有自主產品的190家，具有成熟產品的80家；已領取了安全產品銷售許可證的產品有近500種，通過資訊保安測評認證的產品有140多個。 （資料來源：中國資訊產業商會資訊保安產業分會）

兩個統計資料給我們這樣一個問題：資訊保安市場容的下1300家企業嗎？

答案是：過去容不下，將來更容不下。資訊保安市場的高速發展的另一面就是高淘汰率。顯而易見，資訊保安市場越成熟，市場的資源配置會就越來越集中到更少而不是更多的公司手中，這是資本的規律。問題的關鍵是會淘汰什麼樣的企業？第一感覺告訴我們是技術，只有擁有核心技術的資訊保安公司才會在激烈的市場競爭中倖存，但是如果你站在使用者的角度上就會發現並不完全是這樣。使用者真正關心的不是你賣給他的硬體裝置是基於NP還是ASIC的硬體平臺，是千兆裝置還是百兆裝置，他關心的是你的裝置能否既能保證他內部網路的安全的同時，又能兼顧正常的網路轉發效能。他們最終關心不是你的防火牆是採用狀態檢測機制還是深度檢測機制，你的IDS是基於主機的還是基於網路的，而是用了你的裝置後，他的機密資訊是否真正安全了，他們的內網安全在你的裝置和你的安全方案下得到了真正的安全。簡而言之，核心技術對使用者應該是透明的，使用者看的到的是廠家的服務。廠家所能提供服務水平是這個廠家的技術實力、資本實力、管理實力、市場運作實力的綜合體現。限於條件，筆者只能在這裡提出一個假設：如果能將這四種實力進行計量形成一個加權綜合服務指數，那麼這個綜合服務指數的排名和廠商在市場的份額應該是直接對應的。

這種資訊保安廠商的服務隨著資訊保安市場的發展將積累成一種資格，而這種資格一面淘汰那些不能提供長期優質服務的資訊保安廠商，一面也逐漸成為資訊保安產業後來者的入場劵。現在的資訊保安廠商要想利用先發優勢享用更多的資訊保安市場高速發展帶來的豐厚利潤，就必須做好他們的服務，他們的服務越好，後來者就越不容易進入這個產業。

2 未來安全產品製造商的避風港

常言道：居安思危。現在資訊保安產品提供商現在注意到的是不規範的市場秩序和高速發展的市場，不知他們考慮過螳螂捕蟬，黃雀在後。或許在他們相互為爭奪客戶拼個你死我活時，像CISCO這樣的網路裝置提供商和微軟這樣的軟體商正在暗自打算如何搶走他們的乳酪，他們苦心經營的技術優勢恐怕對於這些巨頭來說只是薄薄的一層窗紗。顯而易見CICSO和華為這樣的網路裝置提供商進入防火牆、IDS的市場難度，遠小於防火牆製造商進入交換路由市場的難度，微軟做防毒軟體更是有得天獨到的優勢。

如果換一個角度看CISCO的自防禦體系和華為的“i3安全”，就會發現CICSO和華為這樣的網路裝置提供商，正在考慮利用其完善的網路基礎設施產品線，把相關的安全產品融合到網路構架中。對使用者來說絕對是一個好事，因為他們把技術層次上的資訊保安做的可謂滴水不漏。可是對於現在得資訊保安廠商來說可是一個嚴峻得考驗。當網路裝置提供商用自己全面的生產線為使用者建立起完善的安全體系的時候，真不知道，防火牆也好，IDS也罷，他們能賣出多少。我是在危言聳聽嗎？但願是。

至於微軟捆綁銷售防毒軟體我不想多說，免的給他造勢，反正我知道網景當年可是高速成長的明星公司......

我猜想現在這些巨頭們光動口，不動手的根本原因是現在的資訊保安市場還不夠肥，他們進入的時機還沒有成熟，他們一面在炒概念，一面在不遠處的地方觀望著，對他們來說這是收益和成本的權衡，一旦他們資訊保安市場規模發展到他們的收益超過他們的成本，他們可以在很短的時間內殺入這個狹窄的市場。

為當前資訊保安廠商計，現在很多資訊保安廠商是將產品、服務、方案捆綁在一起的推向客戶的，這也許就是他們的先發優勢。他們可以利用這個優勢去打造他們的客戶群，當你讓客戶相信使用你的產品和服務他們已經足夠安全時，別的廠商在價格不是很大優勢的前提下，是很難跟你搶走你的使用者的，同時產品或許有很大的價格下降空間，可是服務的空間就很小了。

所以我想強調的是現在的資訊保安廠商應該居安思危，苦心經營自己的使用者群，因為這些資訊保安的使用者資源有很強的粘性，憑藉多年的服務積累起來的粘性使用者資源，一旦資訊保安產業滄海桑田，資訊保安服務將是他們在面臨不測風雲的避風港。