時間:2023-05-15 15:21:03
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇信息安全產業市場,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
然而值得我們欣慰的是近兩年IT經濟普遍走向低迷的狀況下,信息安全市場穩重有升,持續保持住增長。雖說目前這個產業市場容量目前還不大,但對于剛剛起步的信息安全產業,潛伏著巨大的市場潛力。
按照經濟學的觀點,我們劃分信息安全行業為:“導入期,成長期,成熟期,衰退期”四個階段。
導入期
中國信息安全市場的導人期已經過去,但其時間發展較長,從1997年至2000年末期。這時期的特點一般為:市場增長率較高,需求增長很快,技術變動較大。行業中的企業主要致力于開辟新用戶和占領市場,但此時技術尚不成熟,行業競爭狀況和用戶特點等尚不明朗。競爭較少,但風險很大,利潤很少甚至是虧損。
成長期
目前中國信息安全市場已進人成長期,這一時期的特點為:市場增長率很高,需求高速增長,技術漸趨定型,行業競爭狀況和用戶特點比較明朗,顧客對產品的認知能力迅速提高,產品形成差別化趨勢以滿足顧客不同的需求,生產能力呈現不足;市場競爭逐漸形成,進人壁壘拔高,企業應付風險的能量得到增強,利潤呈加速增長態勢。
成熟期
預計在未來的5、6年安全行業就會進人成熟期,那個時候,行業競爭激烈,盈利能力下降,進人壁壘更高,企業利潤不再增長甚至開始回落。中國的信息安全主要市場已經被瓜分。就算有新的產品進人,由于國家政策和行業規范的壁壘,新產品也會被已有的行業瓜分成員所享用。
衰退期
信息安全行業很難估計這個時期,由于存在長期的需求和技術進步的推動力,這一時期應該很長。
影響信息安全行業發展的主要因素
目前中國信息安全市場正處在成長期的時候,國內的信息安全市場雖然增長很快,但是問題不少,信息安全市場還遠未成熟。當前信息安全領域主要存在以下主要問題:
安全應用需求不明,當前市場上存在的眾多錯誤概念和混亂意識,使得剛剛開始形成安全意識的企業用戶莫衷一是。在眾口一詞“滿足用戶需求”的宣傳口號下,信息安全廠商是否真正滿足了用戶需求?一個客觀的不容忽視的現狀是:信息安全市場是越來越大了,產品是越來越成熟了,可是我們的用戶們卻越來越迷惘了。
信息安全公司的銷售人員往往向用戶宣稱自己的產品是最好的,可是購買了他們的產品就安全了嗎?裝上殺毒軟件和防火墻,甚至人侵檢測就萬事無憂了嗎?如果不知道花錢能不能得到效果,那么還不如不花。這個清況代表了一部分,甚至是大部分企業用戶的想法。事實上,我們的用戶已經在市場的熱情攻勢下迷惑了,市場和需求完完全全地脫了鉤。這是因為,作為用戶根本不知道自己到底需求什么,而廠商為了推銷自己的產品和服務對用戶加以誤導。
產業結構失調,產品過度集中,低水平重復嚴重。現在的安全產品的開發“扎堆兒”現象嚴重,有特色的產品少,重復投資現象嚴重。由此帶來的市場競爭非常激烈。由于防火墻、防病毒產品和IDS的熱銷,新進人的廠商多半也集中在這幾個領域。目前,僅開發防火墻的廠商就有200多家,就三兩個人,把Li~操作系統改一改就做一個防火墻的現象非常嚴重。
核心技術受制于人,我國的信息化建設,基本上是依賴國外技術設備裝備起來的。在國際財團涌向我國信息化建設的市場,大舉推銷電子信息設備之時,我們卻在相對缺乏知識和經驗的情況下,存在著一些花錢買淘汰技術和不成熟技術的現象,這其中就潛伏著信息安全隱患的極大危險。我們的計算機軟件也同樣面臨受人遏制和封鎖的威脅。雖然我國的計算機制造業有很大的進步,但其中許多核心部件都是原始設備制造商的,我們對其的研發、生產能力很弱,關鍵部位完全處于受制于人的地位。
國內幾千萬臺計算機(包括服務器)CPU是英特爾和AMD公司的產品(由于廠商在芯片上安有序列號,可以通過網絡監視遠程計算機);操作系統80%的使用微軟視窗,余下一部分也基本上被其它公司瓜分;大型數據庫大多數使用ORACLE、DBZ、SQLSERVER、INFORMIX等國外數據庫;另外,承載防火墻的硬件設施目前也大多被國外控制,包括路由器。所謂“超級端口”的隱患,以路由器為例:當路由最高管理層丟失了超級密碼,幾乎所有的路由器都提供一個特別端口,可以使管理員繞過口令重新設置密碼,而這樣的設置其實在方便管理的同時,也為在線攻擊者留下了人侵的機會。無疑,這些都是國家安全系統無法接受的。
技術水平相對于國外的同類產品還比較落后,產業化水平較低。在我國自主開發產品并不在少數,但技術水平相對于國外的同類產品還比較落后。目前除了在密碼方面有政策保護之外,其他產品在技術及性能方面不占任何優勢,尤其在防火墻、防病毒及人侵檢測方面完全是國外產品一邊倒的局面。應該說信息安全產品的技術含量是非常高的,這就要求知識積累一定要充足,才能開發出有競爭力的產品。國內安全產品市場近八成高端用戶的首選是國外產品,而國內廠商整體上是以技術模仿和重復投資的手段爭奪區區幾億元的低端市場。
信息安全行業缺乏統一管理,多頭管理嚴重。中國對信息安全的管理太過分散,沒有一個有實權、有效率的專管部門。各職能部門在信息安全管理上沒有明確分工,各類上級主管部門都不想放棄對信息安全行業的管轄。各種各樣的銷售許可、人圍許可、資質認證、產品測評,對廠家而言除了付出幾十萬的測評費用不說,還耗費了大量的人力、物力,令廠商苦不堪言,疲憊不堪。這種種現象嚴重阻礙了我國安全軟件產業的發展。
缺乏產業政策引導,政府對信息安全產業的發展沒有明確的總體設計思路,安全廠商在缺乏總體框架引導的情況下,發展方向不明確,導致我國的安全產業缺乏主流產品的引導,而仍處在混戰之中。人才問題,有人才能做一切,這是沒什么爭辯的。
如何提高信息安全企業的核心竟爭力
面對以上信息安全行業存在的諸多問題,我國的信息安全企業如何能突出重圍,確保企業在激烈的市場競爭中立于不敗之地呢?對一個企業來講,如何打造企業的核心競爭力是至關重要的一環。當然,核心競爭力可以是多種多樣的,它可能是某項技術;可能是企業管理;可能是一種產品;可能是企業文化也可能是某種人才;或者是它們的某種組合。總而言之,真正的核心競爭力是那些能使企業獲得競爭優勢因素,針對不同的企業,其內容也是不一樣的。但是,核心競爭力還是可以通過改善一下方面來加以提。
當有那么一批優秀的國內安全企業享足了本土的給養、當眾多的機遇和挑戰擺放在國際的大舞臺上,
國際化就成為業界同仁們,甚至社會各界人士,遲早要面對的事。
IT產業作為國家產業的領先陣地,信息安全做為IT產業的陣地前沿,自然首當其沖地感受國際化的浪潮。
入關
得知中國入世之后,我的心情也很復雜,總的來說是兩句話,第一句話是非常高興,入世肯定會讓中國面貌一新。第二句話,入世所帶來的沖擊是現實的。首先來說入世是會帶來沖擊,入世的本質是政府的承諾,承諾遵守世界通行的游戲規則。――――――――――吳敬鏈
中國入世,并沒有象大家想像的那樣,東西便宜得不得了,也沒有象專家預言的那樣,民族產業面臨崩潰的境地。不管現實如何,一個不爭的事實是,國際巨頭紛紛進駐中國,開始把中國納入全球市場的版圖,成為重點攻關的對象,因此有人說,21世紀,世界經濟的中心在中國。
信息安全是IT產業的第一淘金圣地,這源于個人與企業旺盛的安全需求,隨著網絡爆炸式的發展,病毒與黑客也迅速跳入每個人的視野,它們已經象網絡一樣成為一個社會詞匯,正在真真切切威脅著人們的電腦安全,于是安全產業這塊蛋糕逐年增大,如今已經形成一個數千億美元的巨大市場。信息安全產業與其它產業不同的是,它是一個講究積累的產業,隨著時間的推移,會形成越來越高的行業和技術壁壘,這些壁壘一旦形成,將會形成一個相對壟斷的市場,天然阻隔其它企業的進入,幾家寡頭共同分享一個市場,為企業提供穩定的利潤來源。縱觀國內信息安全市場,這么多年始終是幾個熟面孔,金山公司用了五年時間,經過多場營銷大戰,才在反病毒市場打拼出一片天地。
但是,這種行業壁壘并不能阻止國際信息安全巨頭的進入,他們技術積累的時間更長,起步也更早,具有更強的攻擊力,另一方面,他們早已渡過資本積累的初級時代,積累了大量的金錢,在中國入世之后,它們顯然已經把中國作為新的淘金場,攜先進的技術與充盈的資金,紛紛入關。
賽門鐵克公司早在1998年就進入了中國市場,如今已經牢牢坐穩了企業反病毒市場的頭把交椅;安氏集團在1999年建立了安氏中國有限公司,經過幾年的滲透,已經同政府建立了良好的關系,開始參與政府機關的某些安全項目;趨勢科技于2001年進入中國,是最早推廣防毒墻的信息安全廠商,具有綜合的實力;而具有最好的反病毒公司之稱的卡巴斯基公司,于2004年進入中國,一進入中國便引起了行業震動,雖然在市場端還沒有太大的作為,但是國際巨頭進入中國市場已經成為定局,就象三百年前的清兵入關,新舊國際巨頭的交替進入,將會使中國的信息安全市場更加撲朔迷離。
困斗
真的猛士,敢于直面慘淡的人生,敢于正視淋漓的鮮血。這是怎樣的哀痛者和幸福者?然而造化又常常為庸人設計,以時間的流駛,來洗滌舊跡,僅使留下淡紅的血色和微漠的悲哀。
――――――――魯迅
在國際化的形勢下,我們還沒走出去,國際列強就已經走進來,在與國際巨頭的短兵相接中,國內企業可以取長補短,增強體質,在家門口做好準備。
不過,對于中國信息安全產業來講,形勢要好得多。縱觀整個信息安全市場,硬件領域由天融信、啟明星辰等國內企業控制著市場的大半;軟件領域由瑞星、金山、江民完全掌控,雖然趨勢、熊貓等國際巨頭攜防毒墻攻城略地、賽門鐵克還在企業防病毒市場盤據,但是國內廠商經過這幾年的技術與資金積累,開始紛紛出招。金山、江民在兩年前推出了企業級反病毒產品,瑞星在推出企業反病毒軟件四年之后,又推出了防火墻、防毒墻、網控等硬件信息安全產品,開始全面介入信息安全市場,就連國內信息安全二線廠商安天公司,也推出了獨有的用于大網監控的VDS網絡病毒監控系統,以獨有的技術亮點蠶食著信息安全市場。因此,中國并沒有形成象日本那樣的,幾乎沒有本土信息安全企業的信息安全殖民地狀態。
究其原因,首先是我國本土信息安全企業的自身特色決定的。有人說,中國人最適合編軟件,雖然有著強烈的民族色彩,卻是事實,正是由于經濟的落后,人的思想才沒有被成熟的工業化變得體制化,才會有那么多的奇思妙想來完成有創意的軟件。有人批評中國軟件的非工程化而贊賞印度,并把印度注重實現不重視優化的做法歸結為軟件產業的成熟,這對于應用類軟件來說或許是必要的,但是對于安全軟件來說,就是一種桎梏。安全類軟件都工作在系統最底層,任何一個小的毗漏都可能造成系統崩潰,因此任何一個功能都是反復雕琢的結果,這種對技術追求的結果是印度至今還在做著世界的軟件工廠,而中國卻已經有了自己成熟的產業。
還可以看到,當世界上已經有了成熟的特征碼查毒技術時,江民在自身條件基礎上創立了廣譜特征查毒的方法,在AVP已經積累了上千個脫殼模塊后,瑞星卻繞過這種積累創立了虛擬機查毒技術,在賽門鐵克只刪不殺的反病毒策略下,國內企業打起了完全清除病毒的旗幟,還將實時監控完善成一個龐大的監控體系,使個人防火墻成為安全軟件的標配,這些都構成了國內安全廠商自身的技術特色,成為與先行者角逐的資本和后來者必須跨越的門檻。
政府壁壘也是國內信息安全廠商困斗的利器。就象美國政府當年揚言不向中國出口128位的加密產品那樣,國家政府機構的安全問題也不會交給國外廠商來打理。因此,在政府、軍方的安全產品采購方面,國家清一色地選擇了國產安全產品,象瑞星的企業版、天融信的防火墻最初都是在這種情況下發展起來的。而趨勢、安氏等國際企業也是在中國建立了完全的本土化企業之后,經過數年的政府攻關,并在重大事件之前標榜自己將完全站在中國國家立場,才得以在政府方面的采購中有所收獲,而國家出錢的安全項目,是毫無例外和本土安全企業進行合作的,啟明星辰是最大的受益者。對于這類政府壁壘,即便是經濟最開放的美國尚且謹慎,更不用說是發展中國家了,這不在開放之列,也是國內信息安全企業能夠走向成熟的一個重要的內部環境。
亮劍
古代劍客們在與對手狹路相逢時,無論對手有多么強大,就算對方是天下第一劍客,明知不敵,也要亮出自己的寶劍,即使倒在對手的劍下,也雖敗猶榮,這就是亮劍的精神。―――――《亮劍》
說到底,中國市場只是國外企業眾多觸角中的一只,與國內企業斗得再苦也不會對他們產生太大的傷害,他們早在資本主義大后方建立起了龐大的帝國,就象黑客帝國的MATRIX一樣控制著整個世界,只要時機成熟他們可以以毀滅者的姿態傾銷自己的產品、技術、服務,在打擊中國信息安全市場之后重建游戲規則和秩序。
全球范圍內有超過600家年銷售額超過1000萬美元的IT安全企業在搶奪著市場,而且新的安全公司還在不斷興起,加入信息安全市場的角逐,僅2004年,文本控制的公司從 4個發展到 14個,補丁管理的公司從 6個發展到 16個,安全配置管理的公司從 11個發展到 17個,掃描和風險評估的公司從30個發展到40個,這些公司都依靠自己國家的環境發展,并會在條件成熟后迅速切入國際市場。
在安全產業領域內部,還存在著一些問題,比如所有的IT安全產品類型都在為同樣的公司資源而競爭,量化投入產出很困難,太多的解決方案淹沒了管理人員,潛在的客戶對需求、優先的工作和技術選擇非常困惑,大單位不愿意為啟動重要安全系統花錢等等。因此,國內企業不能只在自己的家門口爭食,還要走出去,直接挺進國際市場。
國際化意味著本土優勢很可能不適合國際市場的胃口,依賴于中國民眾使用習慣與觀念的特色技術也很有可能在國際市場上行不通,因此如何讓別人接受你是國際化的第一步。老外在工業化的過程中發明了各種各樣的標準,關于質量的有ISO9000系列,關于軟件開發的有CMM系列,要想將自己的產品國際化,就必須首先拿到這些執照,否則無照經營,國際市場是不認的。
2009年“險中取勝”
在很多人眼中,信息安全很重要,但卻是一個難以出現大企業的行業。經歷了2009年“險中取勝”的中國本土信息安全企業,要想謀求更大的發展還需做出發展思路的轉變。
孫定: 2009年,隨著信息安全行業主管部門的機構調整,等級保護等信息安全工作的推進也不像之前那么高調了。這種情況是不是給我們的信息安全產業造成一些新的問題?2009年,網御神州的發展情況如何?
任增強: 確實如此。2009年,政府機構的變化給信息安全行業也帶來了一些思路的變化。但是,作為信息安全建設的一項基本工作,我相信等級保護工作一定會持續、穩定地向前推進。主要有兩方面的原因: 第一,等級保護工作的開展有益于信息安全行業的健康發展; 第二,等級保護工作對整個國家的安全建設有巨大的支撐作用。其實, 2009年等級保護在政府各個機構的信息安全建設中發揮了明顯的作用,我相信2010年等級保護的推進力度會繼續加大。當然,這項工作的推進也會促進信息安全企業產品、服務的相應升級。
對于網御神州來說,2009年與2008年形成了鮮明的對比。參考2006年和2007年的發展情況,2008年初期我們制定了“大干、快上”的發展路線,但受雪災、地震以及金融危機的影響,全年我們僅實現了20%左右的增長。2009年則截然不同,考慮到金融危機的“余威”,年初我們制定的目標也比較保守,甚至一度認為業績只要不出現下滑就是勝利。但從目前的統計結果看,我們全年實現了50%左右的增長,這有點“險中取勝”的味道。
2009年的取勝,首先應該得益于信息安全行業的特殊性。受金融危機的影響,企業對自己核心數據的保護意識加強,從而加大了在信息安全方面的投入。其次,應該歸功于我們在產品創新、用戶需求方面的突破。2009年8月,我們了業內領先的SOC2.0概念以及相關新產品,實現了在安全管理領域的再次領先,也進一步擴大了我們“安全管理市場第一”的優勢。同時,我們以客戶需求為中心,研發推出了泰山紅日“小包王”系列,解決了很多用戶在小包上遇到的難題,這也成為我們業績快速增長的關鍵點。
信息安全企業一向求穩,但如果能夠放開手腳發展,信息安全產業的發展速度也是不容小視的,只不過現在的信息安全市場還是一個溫和發展的市場。當然,信息安全企業要適應產業將來快速發展的速度,就必須做出思路轉變。
孫定: 如果等級保護能夠在全社會推行,對政府、對所有企業來說都是一個規范的過程。那么,安全企業為用戶提供的業務服務樣式是否應該發生一些變化呢?
任增強: 你說得特別對。其實安全要真正起作用,它應該是各個方面配合的整體方案,而不僅是某一個產品在起作用。等級化其實就是從系統的角度來看怎么保護用戶的安全,廠家必須要適應這個方向。
我們很早以前就在推系統級的等級保護――可控安全。這里的可控安全是指局面是可控的,實現這種可控的關鍵是我們的SOC系統管理平臺。它以SOC為核心,用技術手段實現對風險的統一管理和控制,從而實現整個安全局面的可控。它不僅能提供強有力的產品,同時還能提供整體的安全風險解決方案,必將成為信息安全行業內新的發展趨勢,很有幸,我們率先邁入了這一領域。
中小企業、家庭、3G的新機遇
本土信息安全企業要實現規模突破就需要找到新的發展機遇。我們關注的新興市場包括中小企業信息安全、家庭信息安全,以及3G信息安全等。
孫定: 您認為, 2010年中國信息安全的新興機遇在哪里?
網御神州科技有限公司總裁任增強
任增強: 首先,政府工程仍然是很大一塊市場,比如電子政務的推進、稅務等專業系統的建設。其次,就是政府投資拉動的社會信息工程建設,如社保系統、醫療系統等。在金融加大監管、電信加大投資的背景下,未來信息安全的機會有很多。我們正在關注的新興市場包括中小企業信息安全、家庭信息安全,以及3G信息安全等。
如今中小企業十分活躍,各類公司不斷涌現,很多企業為了降低成本都開展網上業務,當這種業務達到一定規模以后,加強網絡信息安全建設就成為必然。以美國為例,由于美國的中小企業尤其活躍,所以美國信息安全企業的投入也很多。
另一方面,隨著中國經濟的發展、人們的財富尤其是個人財富的增加,網上交易開始日益發達。有的家庭甚至已經有了幾臺電腦,這些電腦上用于網上交易的銀行賬號都需要管理。所以,一個家庭除了物理上的“門”之外,還需要在虛擬的網絡里設一個“門”。無論是中小企業還是家庭用戶,對安全產品都有很高的要求,即未經授權的人無法開啟,而自己能簡單、快捷地開啟。因此,這些產品雖然屬于低端產品,但也需要高端的技術和服務。
此外,隨著3G的日益成熟,3G的安全問題也開始備受關注,我們在2006年就開始著手手機安全領域的布局,這一方面我們已經走在了大多數信息安全廠商的前面。
孫定: 本土信息安全企業的發展需要技術和服務創新來支撐,網御神州也是非常熱衷創新的民族信息安全企業代表。網御神州為什么要不斷創新?創新是信息安全企業發展的必由之路嗎?
任增強: 中國GDP如今已是世界第二,要實現從第二向第一的跨越,科技創新是主要推動力。面對資源有限的環境,只有用自主創新產生新的附加值、用科技手段充分提高效率,我國經濟才能在整體上有一個質的飛躍。信息安全行業更是如此,要想成為一個國際性的企業,就需要研發有特色的企業產品,而這些必須依靠創新。
網御神州的創新節奏把握得還是不錯的,我們有自己的創新脈絡: 2006年、2007年,我們的重點在于市場發展的高速; 2008年我們在品牌上做了很多工作; 從2008年后半期到現在,以及未來若干年內,產品技術上的創新將是主流。
這兩年我們的發展速度比別的廠商快得多,2009年公司研發投入占了總投入的55%,研發人員達到了公司總人數的50%。研發總是體現了技術的前瞻性,比如我們獨立研發的多核操作系統Secos,在業界率先實現了全線多核; 接著是SOC2.0平臺,以及“小包王”的出現,這種創新速度是業內其它廠商無法比擬的。
我們希望通過這兩三年的積淀,公司產品能夠在業界全面打開局面。現在我們的SOC、“小包王”已經有明顯的領先優勢了,我們也希望其它產品實現新的突破,這對我們整個業務發展會有很大的推動作用。
孫定: 除了產品和技術的創新,我們的服務創新最近有怎樣的發展呢?
任增強: 中國信息安全服務還有很大的發展空間。在美國市場,服務已經占整體市場的40%~50%,而中國市場服務的比例大約只有10%。我們向用戶提供的方案中,不僅有產品和技術,還有服務。服務從咨詢開始,一直持續到后續運維。
現在,我們不僅為政府項目提供了很好的服務,也為中小企業用戶提供了更便捷、靈活的服務。中小企業的需求可能比政府的簡單,但它們的問題更多、需求更個性化。在家庭用戶上,我們也在考慮調整服務模式,為數量龐大的家庭用戶提供類似企業級的上門咨詢以及運維服務,這是很難實現的,因此為家庭用戶提供的服務應該是自助的、更“聰明”的。
向海外市場要空間
對中國信息安全企業來說,海外市場有更廣闊的發展空間,但是資金的缺乏、文化的差異、異國政策的壁壘都構成了中國信息安全企業拓展海外的瓶頸,而“抱團出海”不失為一條捷徑。
孫定: 為拓展生存空間,網御神州在2010年有什么具體的計劃嗎?
任增強: 2009年我們在市場上已經取得了不俗的成績,2010年我們首要的任務還是深耕政府市場,挖掘金融領域的潛力,在目前的基礎上再上一個臺階。針對中小企業市場,我們也將加大投入,開發出適合它們的產品。在產品技術上,我們會加大產品創新的力度,使產品獲得更多的發言權。最后,我們在國際化上可能還有一些動作。
說到國際化,以前我們從來沒有宣傳過,其實我們現在海外市場的收入已經占到整體收入的大約10%。目前我們主要的國際市場是韓國、日本和東南亞。今年,我們希望國外市場所占的比例能夠提升到大約15%。未來5年里,希望國外的收入能占到總收入的1/3,甚至70%。如果做得好,我們很快就能實現,畢竟國際上有100多個國家和地區,中國只是其中之一的市場。
孫定: 本土信息安全企業像這樣拓展海外市場的還不多見,這會是行業的趨勢嗎?大規模向海外進軍,中國本土信息安全企業會遇到什么挑戰,如何解決?
任增強: 本土信息安全企業要做大做強、尋求進一步發展,拓展海外市場一定是必然選擇,而海外突圍要面臨的問題也確實不小。
第一個要面臨的就是資金問題。海外市場為民族信息安全企業提供了一片廣闊的發展空間,卻也需要花費不少資金,比如說辦事處的設立、營銷費用的支出等。現階段,網御神州主要將資源和精力集中在國內信息安全市場,等到時機成熟,相信我們會在國際舞臺上嶄露頭角的。
其次是國際人才缺乏。很多跨國公司在成立之初就定位于國際化,人才平臺也是國際化的,它們能很好地利用各國人才。而中國的信息安全企業目前很難做到這點。
第三個困難就是海外渠道的拓展與維護。海外渠道很難開發,維護也很耗費財力和精力。傳統的辦法就是靠國家支持,但等待可能會失去機會。缺資金可以在資本市場尋求支持,比如網御神州就在計劃登陸創業板。還有一種很好的方法就是合作,比如賣防火墻的企業不一定有IDS,那就可以找有IDS的企業打包銷售,共同開發海外渠道與營銷,也就是“抱團出海”。
采訪手記
網御神州的“二五規劃”
今年是網御神州成立的第五個年頭。在過去的“第一個五年規劃”里,網御神州完成了一家本土高科技公司從創立到最終形成自主創新的技術風格和穩健的市場風格的轉變。
而今,從“IT新貴”成長為“業界翹楚”的這家本土信息安全企業,又提出了新的五年規劃。中國的GDP從世界100多位發展到世界第二位,接下來還要從第二發展到第一。網御神州其實也是按著這么一個節奏來發展的。建立的頭5年,公司基本上實現了做一個一流公司的理想; 今后5年,公司要向大規模、國際知名品牌突破。
“信息安全產業的大規模或者國際知名,就是朝著1~2億美元這種市場規模去發展。當然,這種規模相對其它產業來說還是比較小的。”網御神州科技有限公司總裁任增強坦言,若想發展到上億美元的規模,光靠自有資金和國內市場恐怕不足以支撐。因此,上市和國際化是網御神州現在的頭等大事。同樣重要的還有人才培養,任增強希望再過5年,他的主要工作是考慮公司的戰略規劃,而更加具體的事務則由新培養的青年才俊打理。(文/李敬)
總裁感悟
做信息安全要有國際視野
“如果僅依靠國家的保護來發展,企業可能一睜眼突然發現自己已經落后了。”網御神州科技有限公司總裁任增強認為,人類社會其實已經非常國際化了,我們的信息安全企業也必須有國際化的視野,在國際化的平臺下做成一個優秀的企業。
轉眼間,又到了2006年歲末盤點時刻。盡管各個安全廠商全年銷售還沒有完全統計出來,但是前三個季度信息安全市場所表現的20%左右的增長態勢還是奠定了今年市場的基調―增長平緩、波瀾不驚。
單純從統計數字上,我們看不出今年的信息安全市場與去年有多大不同,在某種程度上說,今年的信息安全市場甚至保持了去年的“沉默”。不過,沉默之中卻透著十足的理性和成熟,呈現出前所未有的特點。這些特點體現為客戶需求的理性、安全廠商的老練、安全產品的成熟以及外部政策的明朗化。
可以說,2006年也成為了信息安全產業的又一個拐點。這個讓安全廠商們期待了多年,已經讓許多人失去耐心和堅持的拐點,為那些執著者帶來了春天的消息。從1995年的萌動開始,到2000年左右快速增長后的沉寂,再到“十五”期間的大浪淘沙,終于到了2006年的柳暗花明。
經過十多年的發展,國內信息安全產業真的時來運轉,迎來發展轉機么?
與其他產業一樣,信息安全產業的構成可以細分成四類要素:交易品(安全產品、服務等)、客戶(需求等)、提供商和第三方(包括主管機構、評測機構、媒體等)。2006年,安全產品、客戶需要、提供商都表現出一定的成熟度,發自企業內部的業務安全和符合性的需求,加上等級保護、薩班斯(SOX)法案這些來自企業外部的政策力量,都為2006年成為拐點創造了大環境。
行業需求更理性
親歷2006年各大安全招標項目的圈內人體會都很深刻,隨著信息安全市場的不斷發展,客戶需求也日漸趨于理性和成熟。這種理性與成熟表現在客戶對信息安全“效果”的看重,對安全投資的“理性”。
幾年前,簡單進行一下設備選型,就上馬安全項目的作法比較普遍,而現在絕大多數客戶對安全投資變得前所未有的謹慎。用戶在采購產品的時候很清楚自己想要什么,想通過產品達到什么樣的效果,不再盲目相信廠家提供的白皮書,更關鍵的是,客戶安全需求更多的是針對自己的業務安全。
以中資銀行為例,解釋客戶需求的這種變化。當前中資銀行最關心的問題莫過于從主要靠息差獲得收益,向多樣化經營發展。在這一過程中,銀行需要進行數據大集中,增加多樣的金融產品,確保符合銀監會、中國人民銀行的各項相關規定,為未來向符合巴塞爾新資本協議的要求靠攏,在激烈的國際金融競爭中生存和發展。相應地在IT安全方面,銀行格外關心大集中后的系統和數據安全、金融產品的安全以及操作風險中的IT風險。就是在上述需求的驅動下,中資銀行的安全建設也圍繞上述具有很強業務屬性的工作展開。像中資銀行這樣理性的客戶越來越多,在2006年進行的許多電子政務的招標活動中,都能感受到這種變化。
客戶需求的理性還體現在對安全服務的逐漸接受。在2006年里,很多信息安全廠商都接到了幾筆安全服務的大單子。原來難于被客戶認可的服務逐漸開始被接受,而且這還不是個別案例。這在一定程度源于日益增多的安全事件,當越來越多的用戶意識到,產品方案解決不了全部安全問題,而企業又缺乏足夠而又專業的技術人員,求助外部專家力量無疑是最明智的選擇。2006年,用戶對安全服務的接受程度之好,與IDC對2006年中國IT安全服務市場的年復合增長率為30.7%的預測相當吻合。
客戶需求的理性與成熟,為產業帶來了堅實的變化。在這些林林總總的變化趨勢中,最值得引人注目的就是信息安全開始從系統安全走向業務安全;從面向問題的安全防護拓展到面向合規性的內控審計。
安全廠商走向成熟
從去年開始,信息安全市場的供需雙方就開始發生了微妙變化。原來的信息安全市場,是以廠商為中心的賣方市場,信息安全廠商推出什么樣的產品,客戶就接受什么樣的產品。現在,隨著信息安全市場轉向以客戶為中心的買方市場,促使信息安全企業必須要根據客戶的需求來確定方向、提品及服務,通過提升客戶使用安全產品的效果來體現產品與服務的價值,這促使安全廠商變得成熟起來。
安全廠商的成熟突出地表現在更加關心客戶的業務安全,試圖系統地解決用戶問題,不再單純“頭痛醫頭,腳痛醫腳”。
從中國IT安全主流廠商無一例外地在加強類似于“SOC”的IT安全服務和管理體系建設就可以看到這一點。SOC作為平臺,介于宏觀與微觀之間,屬于中觀層面,更有利于保護用戶業務系統的持續發展。國內最早的SOC平臺出現在2002年,一出現便受到質疑。然而,現在平臺已經從一個抽象的概念轉化為實在的需求,在產品和服務之外,平臺可以作為一個很好的補充,保護企業的業務安全。
客戶需要什么,安全廠商就會提供什么。在產品如此,在服務方面更是如此。2006年涌現出更加多樣化的服務形式,這些多樣化的服務包括:總體規劃、滲透性測試、合規性咨詢服務、網絡的拓撲結構整合以及信息安全管理體系(ISMS)等等。
產品日趨完善
幾年前,針對復合型的安全需求,安全廠商陸續推出整合式的安全設備。如今,信息安全產品功能融合和一體化的趨勢更加明朗,UTM就是一個典型的代表。在“十五”期間的大浪淘沙中,那些沒有核心競爭力的產品早已被市場所淘汰。換句話說,現在能夠留在市場上的產品都具備了相當的實力,同時產品、服務和平臺的格局均已出現。
目前,單項產品的能力幾乎做到了極致,新的單項技術革新很難有所突破,因此產品功能的融合成為必然趨勢。可以預測,單就UTM這一項產品來說,它的拐點將出現在2007年底到2008年初,必將出現市場的爆發性增長;從整個網絡信息安全領域來說,其發展趨勢在2006年正處在一個變化上升的拐點上。
不過就現實而言,單項產品并非沒有市場,相反一體化的產品和單項高性能安全產品共存,將為客戶帶來更多的選擇。此外,信息安全管理平臺成為整體安全的落腳點等等,任何某某體系都會落實到一個某某平臺上。
由于產品需求的增加,產品的供給也相應增加,因此,對于安全產品來說,2007年較2006年的增長幅度將大于2006年較2005年的增長幅度。
外部政策驅動
在2006年,兩部法規的正式實施對于信息安全產業產生了標志性的影響。
一部是國內的《信息安全等級保護管理辦法》,另一部是美國的《薩班斯―奧克斯利法案》。這兩部法規都以法規的形式敦促企業加強內部控制,增強抵御風險的能力。
《薩班斯―奧克斯利法案》對在美國上市的公司提供了符合性要求,使上市公司不得不考慮控制IT風險在內的各種風險。隨著這個法規生效時限的到來,國內眾多在美國上市的公司都紛紛動了起來,其中最為突出的就是各大電信運營商,人、財、物的投入都非常巨大。
9月20日,以太信御網絡科技有限公司(簡稱以太信御)在北京SecurityLink系列解決方案,提出“安全技術+商業應用”的理念。以太網科COO、以太信御董事兼CEO肖波表示,以太信御的創新在于實現以往一直平行而無交集的企業級應用和信息安全軟件的跨界,關注企業級信息安全市場,為企業應用安全提供安全應用,進而提供無處不在的安全應用。
肖波認為,當前我國企業級信息安全領域尚比較薄弱,管理軟件和信息安全分屬不同領域,兩者平行運營而無交集,以太信御在此一背景下,選擇定位于企業級信息安全領域,向行業領軍企業、平臺級公司進軍。
肖波對此雄心勃勃。他強調,過去10年全球信息安全產業的每個細分領域都產生了一個世界級巨頭,他相信中國信息安全也會誕生世界級巨頭,并帶動本土信息安全產業的發展。“如今在消費級市場已經有了巨頭,企業級市場還沒有。”肖波說,“我就不能想一想嗎?”
據悉,以太信御推出的SecurityLink系列解決方案將為企業級信息安全保駕護航。以太信御副總經理林森介紹,SecurityLink包含基礎架構安全A、業務應用安全X、業務數據安全D和運維安全M這四個系列產品,在技術架構、業務應用、業務數據、運維安全四個領域整合出50個安全組件,并根據企業信息化安全各種需求,將不同的安全組件進行組合,為企業信息安全提供全方位立體化防御。
其中,基礎架構安全A系列包含以太信御統一威脅管理(A-USM)、以太信御Web應用安全網關(A-WAG)、以太信御安全虛擬專線系統(A-VPN),、以太信御應用交付系統(A-ADC)和以太信御主機安全衛士(A-HSG)五款產品。
業務應用安全X系列是SecurityLink系列解決方案的核心,以BowlineBox硬件盒子的方式整合了業務系統保護、ERP安全保護等安全組件,旨在解決用戶核心的業務系統數據安全。BowlineBox安全盒子針對應用規模分別推出X1、X3、X5、X6、X9不同系列產品。BowlineBox安全盒子可以為企業提供全生命周期的業務安全保障體系:通過訪問準入、安全準入、系統可用性保障、企業敏感信息防泄漏實現事前防范,通過實時、全面的監控體系和高校、快捷的報警機制進行事中監測,通過多樣化分析體系、面向企業的個性化安全報告進行事后分析。
業務數據安全D系列由以太信御敏感信息防泄密系統(D-DLP)進行防護,包含敏感信息泄漏阻斷、敏感信息泄露監測、敏感信息加密、數據備份/異地災備等防護措施,保障企業業務數據的安全問題。
運維安全M系列由以太信御漏洞掃描系統(M-APS)和以太信御運維安全審計系統(M-OSM)共同防護,解決運維安全審計、日志統一管理、漏洞掃描/基線核查和IT運行綜合管理等安全問題。
此外,以太信御還針對SecurityLink系列解決方案提供全面的企業安全服務,其中包括信息安全演練、信息安全加固優化、信息安全咨詢服務、信息安全風險評估、信息安全遠程監測、信息安全應急響應、信息安全培訓和信息安全運維服務內容。
為自主創新奠定基礎
信息安全共享是世界性難題,美國軍隊將實現端到端的安全和信息安全共享列為其遠景目標。安全公文傳輸系統以創新思路和全新技術體制解決了文件安全共享這一難題,其市場應用前景將會非常廣闊。
安全公文傳輸系統是在我國自主創新、具有自主知識產權的CPK技術和基于標識的認證系統基礎上開發出的新一代文件安全系統。
該系統利用標識認證系統提供的基于標識(身份)的數字簽名和密鑰交換能力,將訪問控制、授權管理與文件加密有機結合,解決了文件在存儲、傳遞和使用過程中的安全問題,在最大限度保證用戶方便應用IT系統的基礎上,將安全管理落實到每一個人、每一份文件、每一次調用上,從而實現信息安全共享這一理想狀態。
該系統可以廣泛應用于電子政務系統,解決當前文件數據的安全問題;也可以廣泛用于企、事業單位,用于保護其內部的重要信息。
CPK技術是我國的重大自主創新。我國權威專家認為,CPK密鑰管理算法是我國具有自主知識產權的密鑰管理算法,經過多年研究和實踐,已經建立了堅實的工作基礎,具有重大創新意義和廣闊應用前景。
2007年5月,CPK算法經過嚴格審查,在西班牙巴塞羅那召開的歐洲密碼年會上被介紹時,得到了國際上的承認。目前,國家密碼管理局已經通過對TF-CPK密碼體制的審查,CPK技術已經得到了國家的認可。
曾任美洲(國際)密碼年會執行主席的美國著名密碼學家詹姆斯 ?P ?休斯認為,CPK是“極好的解決方案”;“CPK算法將基于標識的加密技術向前推進了一大步。它創造了一種易懂、易行、易普及的系統,能夠為夢想家提供關于公鑰和基于標識的密碼體制所能想象到的所有好處”;它“能應對互聯網的挑戰,使其成為更加安全的地方”;“使社會享有電子商務的好處,滿足社會的需求”。
有人認為,CPK技術可能重新洗牌信息安全技術和產業,為發展我國獨立自主的信息安全產業奠定堅實的基礎。北京市軟件與信息服務業促進中心(簡稱北京市軟促中心)指導完成的一份基礎研究報告指出,認證基礎設施(相當于電子身份證體系)是構建信息化的社會管理體系、信用體系及安全體系的重要基礎。基于CPK技術的標識認證系統,是繼PKI之后的新一代系統。該系統可以支撐國家級認證基礎設施的構建,為當前云計算、物聯網等新應用所遇到的安全問題提供一個有效的解決途徑。
在CPK技術基礎上開發出新一代基于標識的認證系統,可以作為目前PKI認證系統的理想換代產品。利用該系統可以構建國家級規模的認證基礎設施(相當于電子身份證體系),為構建信息化的社會管理體系、信任體系以及安全體系奠定堅實基礎。該系統也能夠為當前云計算、物聯網等新概念所遇到的安全問題提供有效的解決途徑。
取得三方面成果
北京市科委對CPK技術這項創新非常重視。2005年,易恒信公司在北京市科委和北京市軟促中心的支持下組建成立。該公司專門從事CPK技術的產業化工作,到目前為止已經取得了重要的階段性成果。這主要體現在以下三方面:
第一,提出了基于管理的新一代安全體系概念,提出并驗證了代碼認證(可有效遏制木馬、病毒攻擊)、可信連接等新一代安全關鍵技術。
第二,開發出基于標識認證的系列產品,如認證登錄、綜合審計、電子印章電子標簽防偽、安全視頻監控、認證手機、文件保險箱、文件守護神、電子保密室等系列產品。目前,有關產品正在接受職能部門的測試。一旦通過測試、認證,這些產品即可投入市場。
第三,整合相關資源,開發移動電子政務系統,將CPK技術擴展到手機系統中。目前,主要關鍵技術問題,如郵件加密和推送等已經解決。
值得一提的是,易恒信公司目前圍繞CPK技術所做的所有工作,都是在北京市科委及北京市軟促中心的支持和指導下完成的。而安全公文傳輸系統則是在北京市軟促中心直接參與下,根據政府辦公實際需要開發出的一款應用系統。該系統不僅可以直接用于解決當前帶有普遍性的文件數據丟失和管理失控問題,而且能夠讓公眾直接感受到新的安全技術和體系所帶來的好處,對于推動新技術產業化的發展具有直接的現實意義。
推動產業化進程
創新是對傳統的否定,決定了其發展注定要經歷困難和磨難。為此,在CPK產業化發展長達5年的歷程中,北京市軟促中心在其中扮演了指導者、支持者以及參與者的角色。目前,CPK技術已經克服種種困難,開始進入產業化階段。
在易恒信公司已經開發了包括安全公文傳輸系統在內的系列安全產品的基礎上,北京市軟促中心站在整個信息安全產業發展的高度,協助企業進行產業推廣和市場前期準備工作,其中包括向相關企業介紹CPK技術,促進企業間的橫向合作,籌備建立網際安全研究所,以及策劃建立相關產業聯盟等。與此同時,北京市軟促中心還介紹了一批潛在用戶單位了解情況,進行市場預熱。
值得一提的是,北京網際安全研究所旨在繼續深入開展新一代安全技術研究,并在此基礎上逐步建立獨立自主的信息安全標準體系。
在我國,信息安全人才培養分為學歷和非學歷兩種方式,二者既密切聯系又有區別,是我國現有信息安全人才教育培養體系的兩個重要組成部分。學歷教育為非學歷教育提供必要的基本文化科學知識,非學歷教育為學歷教育提供發展的方向性引導。從70年代開始,我國普通高校已開始培養信息安全人才,武漢大學于2000年獲得教育部批準,次年建立了我國第一個信息安全本科專業,截至2013年,全國已有80多所高校設置了信息安全本科專業,經過多年發展,我國信息安全人才已形成從本科、碩士到博士的完成體系。信息安全非學歷教育主要分為繼續教育和職業培訓兩種形式。繼續教育或職業培訓是以培養信息安全崗位技能型人才為目的的,主要包括技術和技能的學習和提升,這是普通高校本專科教育無法獨立完成的,必須由高校以外的社會機構所提供的非學歷教育和培訓來承擔。據工信部2013年預測,未來5年我國從事信息安全應用的專業人才的需求將達到60到100萬,而現有的信息安全專業人才總數不足20萬,信息安全方面的專業人才不足已成為一大瓶頸。而同時,隨著信息化建設的逐漸普及和網絡的深入應用,企業或政府部門的網站、主機或服務器面臨的網絡攻擊風險越來越高,因此,加大和掌握網絡安全知識成為必要知識。通過十多年的發展,我國信息安全繼續教育形成了以各種認證為核心,各種職業技能培訓為輔的培養模式。如由國家信息化工程師認證考試管理中心與美國國家通信系統工程師協會(NACSE)合作的認證考試,考生通過國家信息安全技術水平考試后,可獲得相應證書;另外由中國信息安全測評中心的推出“注冊信息安全專業專家”(CISP)資質認證項目,系國家對信息安全人員資質的最高認可。
2、信息安全人才培訓的必要和緊迫性
信息科技已發展成為當今影響力最為深遠的技術,無論工作、生活還是學習,人們對其依賴性越來越強,網絡科技在給我們帶來便利和提升效率的同時,如果安全防范措施和手段沒有到位,產生的后果將不堪設想。2013年美國斯諾登引爆的“監控門”事件引起世界輿論一片嘩然,包括中國在內的多個國家都受到美國情報部門的監聽,可以說信息安全問題已成為影響到國家政局的穩定、經濟的發展和國防的建設,是社會穩定發展的關鍵問題。當前信息技術發展迅速,這對信息部門人員,尤其是信息安全技術人員提出了更高的要求,而僅僅通過高校學歷教育遠遠不夠,還必須借助相關職業培訓和繼續教育,在此過程中,信息安全培訓是成本最低、效果最快、最顯著的信息安全管理措施。
3、信息安全人才培訓對策
3.1加強信息安全管理方面的培訓
信息安全涉及兩個方面:信息安全技術和信息安全管理。傳統上信息安全技術培訓易得到重視,而信息安全規劃與管理工作往往被管理層忽視。另外從實踐中來看,信息安全首先是一項管理工作,其次才是一項技術工作,而管理工作的效果最終由具體實施人員的素質水平決定,因此我們提出更要從部門或組織全局的角度對信息安全進行規劃與管理,建立科學信息安全保障計劃,才能做到信息安全技術操作有細致周密的規劃。同時加強對信息安全人員在國家法律法規、崗位職責、保密意識和管理流程等信息安全管理方面的培訓和繼續教育工作。
3.2加強信息安全培訓的實踐性
信息技術或信息安全自身就具有很強的實踐屬性,主要原因在于,信息技術的變化和更新迅速,這要求相關知識的能快速更新,另外信息技術屬于工程領域學科,必然有高的實踐性要求。因此在信息安全培訓或繼續教育課程的設計中,要多結合學員的實際工作情況,多采用案例教學的方式,不能光停留在理論層面的解讀,而要將信息安全實際運作過程中碰到的技術或管理問題。
3.3加強人才培養產學研相結合
信息安全人才的培養可在政府的鼓勵和支持下,以企業的實際需求為核心,通過政產學研合作的方式加以培養。信息安全的諸多問題來自企業和政府部門,在這個過程中,政府主要從政策、環境方面營造氛圍,充分發揮高校和科研機構的重點實驗室、工程研究中心等資源,以企業帶動,將問題、需求、資源和人力有效地整合,必將提升信息安全人才培養的效果。
3.4打造完整信息安全人才培育體系
進一步完善學歷教育和非學歷教育的信息安全人才培養體系,建立以高等學歷教育為主,以繼續教育、職業培訓為輔的信息安全人才培養體系。信息安全人才培養要得到保障,加強信息安全學科的重要性是重要一環,因此,在學科建設上,要努力提高信息安全學科的重要性,爭取把信息安全學科提升為一級學科,同時進一步完善信息安全專業的本碩博的學科建設;另外政府在信息安全認證培訓方面應加強立法,規范信息安全培訓的市場行為,比如可強制規定哪些安全技術崗位的人員必須持什么樣的信息安全證書,以及必須接受何種培訓的管理等。
3.5構建信息安全人才培訓市場
關鍵詞:火電廠;控制系統;信息安全;策略
1我國工業控制系統信息安全發展態勢
從2011年底起,國家各部委了一系列關于工業控制系統信息安全的文件,把工控信息安全列為“事關經濟發展、社會穩定和國家安全”的重要戰略,受到國家層面的高度重視。在國家層面的推動下,工控信息安全工作轟轟烈烈展開,大批行政指令以及標準應運而生;在行政和市場雙重動力的推動下,安全信息產業如雨后春筍般發展,工控信息安全產業聯盟迅速壯大。這種形勢下,我國電力、石化、鋼鐵等各大行業的集團和公司面臨著如何迅速研究工控信息安全這個新課題,學習這一系列文件精神和標準,加強工控信息安全管理,研究采取恰當的信息安全技術措施等,積極穩妥地把工控信息安全工作踏踏實實地開展起來這一系列緊迫任務。但是,當前面臨的困難是,從事信息安全產業的公司大多不太熟悉特點各異的各行業工控系統,有時還不免把工控系統視作一個互聯網信息系統去思考和防護,而從事工控系統應用行業的人們大多還來不及了解信息安全技術,主導制定本行業的相關標準和本行業控制系統信息安全的工作策略,并推動兩支力量的緊密配合。這正是當前面臨的困境和作者力圖要與同仁們一起學習和探討的問題。
2從工控系統特點出發正確制定信息安全發展策略
火電廠控制系統與傳統信息系統相比,相對來說,與外部完全開放的互聯網聯系極少,分布地域有限,接觸人員較少,而對實時性、穩定性和可靠性卻要求極高。這正是我們制定火電廠控制系統信息安全工作策略的基本出發點。為了形象起見,我們以人類抵抗疾病為例。人要不生病,一方面要自身強壯,不斷提高肌體的免疫系統和自修復能力;另一方面,要盡可能營造一個良好的外部環境(不要忽冷忽熱,空氣中污染物少,無彌漫的病菌和病毒)。人類積累了豐富的經驗,根據實際情況采取非常適當的保護措施。例如,對于一般人來說,他們改變環境的可行性較差。因此,確保自身強壯以及發現病兆及時吃藥修復等是其保護自己的主要手段。但是,對于新生兒,因為自身免疫系統還比較脆弱,短時間也不可能馬上提高。剛出生時醫生也有條件將其暫時置于無菌恒溫保護箱中哺養,以隔絕惡劣的環境。信息安全與人類抵抗病十分相似。對于一般互聯網信息系統,分布地域極廣,接觸人員多而雜,因此信息安全策略重點,除了在適當地點采取一些防火墻等隔離措施外,主要依靠提高自身健壯性,以及查殺病毒等措施防御信息安全。對于工控系統,特別是火電廠控制系統,它與外部互聯網聯系較少,分布地域有限,接觸人員較少。因此,對火電廠應該首先把重點放在為控制系統營造一個良好環境上。也就是說,盡可能與充斥病毒和惡意攻擊的源泉隔離,包括從互聯網進來的外部入侵,以及企業內外人員從內部的直接感染和入侵。前者可采取電力行業中證明行之有效的硬件網絡單向傳輸裝置(單向物理隔離裝置)等技術手段;后者則主要通過加強目前電廠內比較忽視和薄弱的信息安全管理措施。火電廠控制系統采取這種信息安全策略可以達到事半功倍的效果。從當前國內外出現的不少工控系統遭受惡意攻擊和植入病毒導致的嚴重事故來看,幾乎大多數是沒有或者隔離措施非常薄弱經互聯網端侵入,或者通過企業內外人員從內部直接植入病毒導致。當然,我們不能忽視提高控制系統自身健壯性的各種努力和措施,以便萬一惡意攻擊和病毒侵入的情況下仍能萬無一失確保安全。但是,開展這方面工作,特別是在已經投運的控制系統上進行這方面工作要特別慎重,這不僅因為這些工作代價較高,而且在當前信息安全產業中不少公司還不太熟悉相關行業工控系統特點,有些產品在工控系統中應用尚不成熟,而火電廠控制系統廠家對自身產品信息安全狀態研究剛剛開始,或者由于種種原因沒有介入和積極配合的情況下風險較高。這不是聳人聽聞,實踐已經發生,有的電廠為此已經付出了DCS停擺,機組誤跳的事故代價。
3火電廠控制系統供應側和應用側兩個信息安全戰場的不同策略及相互協調
火電廠控制系統,主要是DCS,不僅是保證功能安全的基礎,也是提高自身健壯性,確保信息安全的關鍵,它包括供應側和應用側兩個信息安全戰場。在DCS供應側提高自身健壯性,并通過驗收測收,確保系統信息安全有許多明顯的優點。它可以非常協調地融入信息安全策略,可以離線進行危險性較大的滲透性測試,發現的漏洞對應用其控制系統的電廠具有一定的通用性等。此外,DCS供應側在提高信息安全方面積累的經驗和措施,培養起來的隊伍,也將有助于現有電廠DCS的測試評估,以及安全加固等直接升級服務或配合服務。與信息安全產業的公司提供服務擴大了公司的市場不同,DCS供應側提高其信息安全水平增加了DCS成本。因此,為了推動DCS供應側提高信息安全水平,除了目前已經在發揮作用的行政手段外,我們還必須加強市場手段的動力。為此,當前我們電力行業應盡快從信息安全角度著手制定DCS準入標準,制定火電廠DCS信息安全技術標準和驗收測試標準,以及招標用典型技術規范書等。火電廠DCS應用側,是當前最緊迫面臨現實信息安全風險,而且范圍極廣的戰場,必須迅速有步驟地點面結合提高信息安全,降低風險。具體意見如下:
3.1應迅速全面開展下列三方面工作
(1)全面核查DCS與SIS及互聯網間是否真正貫徹落實了發改委2014年14號令和國家能源局2015年36號文附件中關于配置單向物理隔離的規定,沒有加裝必須盡快配置,已配置的要檢查是否符合要求。(2)迅速按照《工業控制系統信息安全防護指南》加強內部安全管理,杜絕內部和外部人員非法接近操作、介入或在現場總線及其它接入系統上偷掛攻擊設備等,并適度開展一些風險較小的安全測評項目。上述兩項工作,在已投運系統上實施難度較低,實施風險相對較低,但是卻能起到抵御當前大部分潛在病毒侵襲和惡意攻擊的風險。(3)通過試點,逐步開展對已運DCS進行較為深入的安全測評,適度增加信息安全技術措施,待取得經驗后,再組織力量全面推廣,把我國火電廠控制系統信息安全提高到一個新的水平。為了提高這項工作的總體效益,建議針對國內火電廠應用的各種型號的DCS品牌出發,各大電力集團互相協調,統籌規劃,選擇十個左右試點電廠,由應用單位上級領導組織,國家級或重點的測評機構、實驗室技術指導,相關DCS供應商、優秀信息安全產品生產商以及電廠負責DCS的工程師一起成立試點小組。這樣不僅可以融合DCS廠家的經驗,包括他們已經開展的信息安全測評和信息安全加強措施,減少不必要的某些現場直接工作帶來的較大風險。也有利于當前復合人才缺乏的情況下,確保工控系統技術和工控系統信息安全技術無縫融合,防止發生故障而影響安全生產(目前已經有電廠在測試和加入安全措施導致DCS故障而停機的事件)。
4DCS信息安全若干具體問題的建議
4.1關于控制大區和管理大區隔離的問題
根據國家發改委2014年14號令頒發的《電力監控系統安全防護規定》,以及國家能源局36號文附件《電力監控系統安全防護總體方案》的要求:(1)生產拉制大區和管理信息大區之間通信應當部署專用橫向單向安全隔離裝置,是橫向防護的關鍵設備。(2)生產控制大區內的控制區與非控制區之間應當采取具有訪問功能的設施,實現邏輯隔離。2016年修訂的電力行業標準《火電廠廠級監控信息系統技術條件》(DL/T 924-2016)對隔離問題做了新的補充規定:(1)當MIS網絡不與互聯網連接時,宜采用SIS與MIS共用同一網絡,在生產控制系統與SIS之間安裝硬件的網絡單向傳輸裝置(單向物理隔離裝置)。(2)當MIS網絡與互聯網連接時,宜采用SIS網絡獨立于MIS網絡,并加裝硬件的網絡單向傳輸裝置(單向物理隔離裝置),而在生產控制系統與SIS之間安裝硬件防火墻隔離。根椐當前嚴峻的網絡安全形勢,應當重新思考單向物理隔離裝置這個行之有效的關鍵安全措施的設置點問題。建議無論是剛才提到的哪一種情況,單向物理隔離裝置均應設置在生產控制系統(DCS)與SIS之間,理由是:(1)生產控制系統(DCS)對電廠人身設備危害和社會影響極大,而且危險事件瞬間爆發。因此,一定要把防控惡意操作、網絡攻擊和傳播病毒的區域限制在盡可能小的范圍內,這樣可以最大限度提高電廠控制系統應對網絡危害的能力。(2)SIS是全廠性的,涉及人員相對廣泛,跟每臺機組均有聯系。因此,一旦隔離屏障被攻破,故障將是全廠性的,事故危害面相對較大。
4.2DCS信息安全認證和測試驗收問題
火電廠在推廣應用DCS的30年歷史中,從一開始就適時提出了供編制招標技術規范書參考的典型技術規范書,進而逐步形成了標準, 明確規定了功能規范、性能指標以及驗收測試等一系列要求。隨后又根據發展適時增加了對電磁兼容性和功能安全等級認證的要求。當前,為確保得到信息安全的DCS產品,歷史經驗可以借鑒。筆者認為,宜首先對控制系統供應側開展阿基里斯認證(Achilles Communications Certification,簡稱ACC)作為當前提高DCS信息安全的突破口。眾所周知,ACC已得到全球前十大自動化公司中八個公司的確認,并對其產品進行認證;工業領域眾多全球企業巨頭,均已對其產品供應商提供的產品強制要求必須通過ACC認證。目前,ACC事實上已成為國際上公認的行業標準。國內參與石化和電廠市場競爭的不少外國主流DCS均已通過了ACC一級認證。至于國產主流DCS廠家,他們大多也看到了ACC認證是進入國際市場的門檻,也嗅到了國內市場未來的傾向,都在積極為達到ACC一級認證而努力(緊迫性程度明顯與行業客戶對ACC認證緊迫性要求有關)。此外,我國也已建立了進行測試認證的合格機構,具備了國內就地認證的條件。根據調查判斷,如果我們電力行業側開始編制技術規范書將ACC一級認證納入要求,相信在行政推動和市場促進雙重動力下,國產主流DCS在一年多時間內通過ACC一級認證是可以做到的。除ACC認證外,如前所述,當前還急需編制招標用火電廠信息安全技術規范和驗收測試標準,使用戶在采購時對其信息安全的保障有據可依。從源頭抓起,取得經驗,必將有利于在運DCS信息安全工作,少走彎路。
5結語
深信服科技“整網安全與移動接入解決方案研討會”于7月22日至8月26在全國27個城市全面展開。
作為國內信息安全的領先廠商,深信服科技積極引領信息安全領域技術和服務潮流,并致力于成為國際領先廠商。此次深信服巡展以現場主題演講和演示體驗為主,所到城市包括北京、廣州、上海、深圳、天津、武漢、成都、鄭州、沈陽、長沙等27個。
巡展中,深信服針對不同地區的需求和安全應用差異,與客戶、網絡安全從業人士及技術專家共同探討網絡安全存在的問題、網絡安全技術及應用趨勢,包括采用VPN技術構建跨地域的網絡平臺,并實現集中維護、集中管理;采用多功能一體化安全網關,避免內部信息泄密,并杜絕病毒和垃圾郵件的困擾;采用IPSec和SSL VPN二合一的解決方案,應對各種場所的移動接入等。同時深信服還與來自政府、金融、教育、電力、物流等重點行業及企業級客戶們就滿足各行業安全需求的行業應用方案展開探討。本次巡展是深信服科技舉辦的規模最大的巡展活動。
與此同時,深信服科技積極參與了由中國電子信息產業發展研究院主辦、中國計算機報社承辦的第六屆中國信息安全大會和2005中國信息化推進大會,并榮獲“2005年度中國信息安全值得信賴的VPN品牌”稱號。
順應社會發展需求及信息安全行業發展需求,深信服科技將進一步助力中國信息化發展進程,引領信息安全產業發展的新一輪浪潮。
記者點評:
深信服一直以做深技術為企業發展的生命力,同時加深技術人員對于市場的把握,在巡展活動中,鼓勵研發人員與市場密切接觸,把握來自市場一線客戶的需求。目前,各個廠商都在花大力氣做巡展,如何將巡展與技術研發、深入行業結合起來,深信服的做法也許值得借鑒。
展望
未來深信服將推出基于Sinfor VPN的多種解決方案,同時還將推出一些新產品滿足市場需求。除了將在性能上進行持續改進,還將推出電信級、更高端的產品和新的平臺,進一步提升產品速度,凸現產品高速、穩定的特性。基于深信服新產品,還將開展一系列的巡展活動。
加快制定國家信息安全戰略
近日,第十三屆中國信息安全大會在北京召開。工信部官員在會議期間透露,將加快起草國家信息安全戰略和規劃文件。業內人士認為,受政策引導和市場需求雙引擎驅動,信息安全產業發展有望大提速。
當天的會議上,賽迪智庫信息安全走勢預測課題組專家指出,伴隨我國信息化發展進入新階段,一些新的領域應運而生,這也給我國網絡與信息安全保障工作提出了新任務。
以物聯網為例,這一技術運用大量感知節點,可能成為竊取情報、盜竊隱私的攻擊對象。再比如,隨著智能手機快速普及,移動安全問題也日益凸顯。
針對種種擔憂,工信部信息安全協調司副司長歐陽武表示,我國信息安全面臨日趨嚴峻的新形勢,我們迫切需要營造有利于信息安全建設的政策環境,逐步形成國家信息安全保障體系。工信部今年將加強信息安全頂層設計和統籌協調,加快國家信息安全戰略和規劃文件的研究起草工作。
歐陽武還透露,今后一段時間,工信部將加強核設施、航空航天、先進制造、石油石化、油氣管網、電力系統、交通運輸、水利樞紐、城市設施等重要領域工業控制系統信息安全管理工作的指導監督和安全檢查。
財政部:繼續實施積極財政政策
財政部部長謝旭人近日部署下半年財政工作重點時指出,要繼續實施積極的財政政策,促進經濟穩定增長。
在當日舉行的全國財政廳(局)長座談會上,謝旭人表示,下半年要繼續實施積極財政政策,促進經濟穩定增長。這些政策主要包括:落實和完善結構性減稅政策;加快和擴大營業稅改征增值稅試點;落實支持小微型企業發展的稅收政策;完善促進流通產業發展的財稅政策措施;穩定支持外貿的財稅政策等。謝旭人強調,下半年要發揮財稅政策調控優勢,推進經濟結構調整和發展方式轉變。
今年以來,盡管經濟已經局部顯露出企穩回升的苗頭,但至少從目前來看仍較為疲弱。在穩增長和控物價的雙向壓力下,市場期待宏觀調控政策表現出更大的前瞻性和靈活性,保證中國經濟平穩軟著陸。年初,財政部部長謝旭人曾發表文章說,實施積極財政政策是應對經濟形勢變化的重大決策。2012年我國經濟運行的基本面是好的,但面臨的形勢將更為復雜嚴峻。繼續實施積極的財政政策,既有必要,也有可能。
財政部門上半年已經實施了積極的財政政策,財政部財政科學研究所所長賈康曾表示,下半年會更加突出一些重點,一方面,政府在就業、教育、醫療、養老、保障房、文化、中心區域域市建設等領域的財政支出將繼續增加;另一方面,政府也將繼續深化結構性減稅。
斯諾登事件之后,信息安全問題徹底浮出水面。為了抗衡國際“信息戰爭”,我國政府已經將信息安全上升至國家戰略。
2014年5月16日,中央國家機關政府采購中心通知,對入圍中央機關采購范圍內的信息類產品提出新的采購要求:所有計算機類產品不允許安裝windows8操作系統。消息傳來,擁有自主知識產權操作系統的中國軟件(600536.SH)股價狂飆,連續拉出4個漲停,一個月之內大漲82.67%。
信息安全布局之下,國產IT迎來爆發期。特別是為通訊、軍工、政府、金融等“要害”領域做配套服務的國內企業,在信息安全政策的扶持下,似乎迎來了“逆襲”國際行業龍頭“IOE”(IBM、Oracle、MEC)的大好機會。
軍工通訊:主打反竊聽
(海能達002583.SZ、海格通信002465.SZ)
防止政府和軍隊通訊信息被監聽,是相關部門必須要解決的問題。這成為了我國通訊信息安全建設的第一大要務,也是相關扶持政策最為側重的領域。
海能達(002583.SZ)是通訊領域中,最突出的國家通訊安全戰略獲益品種。該公司證券代表田智勇向《英才》記者介紹,主打產品PDT數字對講機產品具備自主的知識產權,基本杜絕了信息泄露的可能,目前已經占據了北疆地區全部的市場份額。在整個公安系統的采購中占據了30%以上的市場份額。
海格通信(002465.SZ)是一家聚焦于軍工無線通訊的重要企業,專注于為陸海空三軍、導彈部隊和武警提供通信、導航裝備,身處軍工通信建設第一梯隊。
根據公司2013年的年報顯示,公司營收中有超過50%歸屬于軍用通信相關業務,毛利率水平高達58%。公司目前市值整體規模約160億元,股價在2014年2月創出了歷史新高后,震蕩整理的過程已經持續半年。在軍用通訊政策扶持、以及軍工產業更新換代的背景下,具備一定的中長期投資價值。
導航系統:快速上沖
(北斗星通002151.SZ 、中海達300177.SZ)
GPS(全球定位系統)的研制方是美國陸海空三軍。這樣的背景,無疑和我國國防信息安全天然相悖。
中國政府顯然不可能容忍導航系統受國外機構的控制,軍工國防地理信息系統的核心技術,一定要掌控在國內企業手中。因此國產的“北斗”導航系統已經在近些年加速發展。
北斗星通(002151.SZ)是國產導航企業的領導者之一, 在資本市場起著北斗導航系統的標桿作用。今年6月,公司宣布將增加軍工方面的業務投入,并進行了收購整合,股價因此出現連續一字板漲停,快速上沖。
中海達(300177.SZ)是國內具備完整產業鏈條的導航企業。公司在街景業務等方面已經和百度展開合作,完成了全國多個城市的街景數據采集,市場空間非常巨大。
公司目前市值64億,是北斗導航產業鏈中市值最低的品種之一。2013年以來,在民用、軍用產品的良好市場預期之下,已經取得了150%以上的漲幅。
網絡信息:小市值公司值得期待
(榕基軟件002474.SZ、綠盟科技300369.SZ、任子行300311.SZ)
從2014年8月3日起,美國賽門鐵克、俄羅斯的卡巴斯基這兩大殺毒軟件品牌,將不會出現在中國政府的采購名單之內。而進入采購名單的,全部為國產品牌。
資深信息安全顧問、游俠安全網創始人張百川對《英才》記者表示,互聯網信息安全的核心內容,就是保護政府、軍工部門不受攻擊。
網絡安全評估與漏洞管理產品細分市場的龍頭,是來自福建的榕基軟件(002474.SZ)。公司在軍事機關、政府、電力、金融等重要行業具有一定的競爭優勢。
另外,綠盟科技(300369.SZ)是我國最早從事網絡安全業務的企業之一,是近期上市的次新股中資質較好的企業,社保基金對該股進行了持續加倉。2014年中報顯示,機構投資者對該股的持股比例已經攀升至34.87%.
任子行(300311.SZ)董事長董曉軍認為,由于整個行業明確的良好前景,規模較小的上市公司獲得了明確的發展機會。任子行作為兩市市值最低的信息安全個股之一,有望獲得良好的表現機會。
金融信息:軟硬兼吃
(浪潮信息000977.SZ、贏時勝300377.SZ)
雖然IBM中國的高管和員工已經開始紛紛跳槽至浪潮信息(000977.SZ),但中國銀行界“去IBM化”的過程依然漫長,“理想很豐滿,現實很骨感”。中國郵電大學信息安全中心主任楊先義對《英才》記者表示。
但資本市場則提前進入了亢奮狀態,浪潮信息自2013年初以來已大漲了5倍之多。浪潮所擁有的市場空間無疑是極其廣闊的。但公司目前高昂的股價,已經提前透支了部分未來業績。
金融軟件方面則是國內企業的優勢所在。幾家國際上的大型企業如DST、Sungard在中國的業務發展并不順利。行業內的老牌企業金證股份(600334.SH)和恒生電子(600570.SH)在資本市場估值溢價明顯,市值分別達到90億和接近200億的水平。
今年剛上市的次新股贏時勝(300377.SZ),主營資產托管和資產管理系統軟件,服務客戶包括平安銀行、興業銀行等大型金融機構。目前市值規模僅30億,擁有更大的成長空間。
數據存儲:數據價值體現
(同有科技300320.SZ、華東電腦600850.SH、中科金財002657.SZ)
我國數據存儲備份行業唯一的上市公司是同有科技(300320.SZ)。公司主要從事數據資產的儲存、災難備份等業務,擁有自主知識產權,在數據安全存儲管理方面處于國內領先地位。目前,華夏基金已經連續兩個季度對該股進行了重倉持有。
華東電腦(600850.SH)是我國第一家IT上市公司,控股股東是華東計算技術研究所,是我國最早建立的計算機技術研究所之一,長期以來專業從事軍用計算機技術和產品研發。
5月31日下午,由工業和信息化部、國家發改委、科技部、國家外國專家局和北京市人民政府共同主辦、工業和信息化部電子科學技術情報研究所承辦的“2012中國信息安全產業創新發展論壇”在北京舉辦。工業和信息化部電子科學技術情報研究所所長洪京一、工業和信息化部軟件服務業司副司長陳英等多位領導和專家出席了本次論壇。
加快發展意義重大
隨著信息化進程的不斷深入,國民經濟和社會發展對信息系統的依賴程度越來越高。從電網、鐵路等基礎設施,到水、電、氣等日常生活的供應,各行各業的數字化、網絡化進程都在全面而深入地展開,網絡信息系統已經成為金融、能源、交通、現代物流、現代制造等行業的神經中樞、調動中心。人民的生活、娛樂、消費更是與互聯網緊密相關。CNNIC的數據顯示,2011年底我國網民規模已經超過5億,互聯網普及率達38.3%,其中,手機網民3.56億,移動電話用戶接近10億。2011年,網絡購物用戶達到1.94億人,交易額達到5.88萬億元,占社會消費品零售總額的比重達到4.3%。
洪京一表示,當前,信息技術已經成為我國經濟社會發展的重要驅動和支撐要素,信息網絡已經成為國民經濟運行的重要基礎設施。信息安全威脅不僅會阻礙信息化發展,也會影響我國經濟社會發展和安全。因此提高信息安全水平,加快信息安全產業的發展是保障我國信息化建設的必然選擇。
重點提升保障能力
“十一五”期間,我國信息安全產業持續快速發展,年均增速超過30%,產業規模不斷擴大,2010年達182億元,產品體系逐漸健全,企業實力逐步提升,標準化體系不斷完善,人才隊伍不斷壯大,信息安全產業占信息產業的比重穩步提高,對國民經濟和社會發展的支撐作用進一步增強。2011年,我國信息安全產業進一步擴大,估計產業規模超過230億元,過億元的企業有10多家,部分企業開始進入國際市場。2011年12月,工業和信息化部《信息安全產業“十二五”發展規劃》。在總結“十一五”期間我國信息安全產業發展現狀、分析面臨形勢的基礎上,規劃明確了“十二五”期間的發展思路和目標,通過發展重點和重大工程的實施,推動我國信息安全產業向體系化、規模化、特色化、高端化方向發展,促進我國信息安全產業做大做強。
針對我國未來在信息安全領域的工作重心,工業和信息化部軟件服務業司副司長陳英在本次論壇上發表了題為《促進信息安全產業發展,提升信息安全保障能力》的主題演講。在演講中,陳英重點強調了我國在“十一五”期間取得的成就,并就“十二五”期間的任務進行了總結。他表示,“十一五”期間,我國信息安全產業實現了較快的發展,為國家信息化建設和信息安全保障體系建設提供了有力的保障,并為“十二五”時期的發展奠定了良好的基礎。
產業規模將超670億元
全國信息安全標準化技術委員會委員曲成義在題為《網絡空間信息安全態勢和對策》的演講中表示,信息網絡正在成為國家的重要基礎設施,網絡正在承載著保障國家安全的重要使命。他特別強調說:“我們要在信息安全技術領域掌握主動權,前提是一定要大力發展我國自主可控的信息安全產業。要推進我國信息安全產業的自主創新發展,來保護我國當前在網絡空間對抗中所面臨的各種嚴峻的威脅,使經濟更安全地運行,這是信息安全產業的重要使命。
在《數字解讀》的演講中,工業和信息化部電子科學技術情報研究所軟件產業研究室主任陳新河總結了當前信息安全領域的發展態勢,以及未來的發展路線。數據顯示,全球信息安全產業的規模在1998年首次超過100億美元,10年之后超過了1000億美元。這一數據在2011年達到1188億美元。目前這一產業的年增速平均在15%左右,是同期GDP、軟件產業增速的2.5倍左右。
陳新河表示,從工業和信息化部的統計數據來看,2015年我國信息安全產業規模將達670億元。目前我國共有712家從事信息安全的企業。相對于全國3萬多家軟件企業而言,信息安全企業還是比較集中的,這與技術門檻、牌照門檻有關。目前國內信息安全企業產值過億的企業有十多家。同時,國內信息安全投入占IT投入的比重也在逐步提高。
據悉,本次“2012中國信息安全產業創新發展論壇”吸引到了100多名政府、制造業、能源、金融、電信、醫療、零售、房地產等行業用戶參與,并獲得了與會者的好評。
