■信息安全国家重点实验室 荆继武
中国软件与技术服务股份有限公司 尚 铭
受到信息安全市场迅猛发展的推动,我国萌生了一大批信息安全企业,甚至许多国营大中型企业也纷纷投身到信息安全产业中来。在目前的大好形势下,许多企业可能会被媒体的宣传带入信息安全领域,然而由于选择了错误的方向和产品,使许多安全企业不能得到应有的利润和市场。因此。不少企业开始怀疑信息安全是不是一种泡沫,也有些企业开始犹豫并退回到其他领域。
我们认为,原始的信息领域利润空间巨大,信息安全产业将是我们冲击信息产业的一条光明大道,是最不能放弃的光明产业。从信息安全自身的发展趋势来看,信息安全有着潜力巨大的市场。据IDC预测,2007年全球信息安全市场总额将从 2002年的639亿美元增长为1188亿美元,其中硬件、软件和服务的市场占有率将分别为32.4%、34%和33.6%;亚太区信息安全的市场规模将从2003年的37亿美元增长为2007年的83.4亿美元,而中国信息安全市场则从2亿美元增长为6.7亿美元,年均增长率为34%,远远超过整个亚太市场22.9%的年均增长率。
纵观我国信息安全产业的发展,信息安全产业已经深入到诸多领域,包括我们熟知的密码技术、认证技术、防火墙、 IDS、操作系统和无线安全等,但我国信息安全企业的实力和市场竞争力相对于国际厂商却一直处于弱势。导致这一现象出现的原因有很多,其中之一是微软、Intel、 IBM、Cisco等国际巨头的技术垄断。虽然在密码等特殊安全领域,我国的国有技术受到一定程度的保护,但是更多的安全企业只能在夹缝中求生存,简单依靠对国外技术的拷贝已经不能获得市场和更多的利益了。
与企业发展和赢利面临困难形成鲜明对比的是我国国家信息化发展对自主技术需求的重大缺口,特别是那些关系国家经济安全的重大信息领域。一方面是对自主技术需求的巨大市场,一方面是强劲的竞争对手,我国的信息安全企业该何去何从?这一问题不仅仅关乎个别企业自身的生存和发展,更关系到我国信息产业的健康发展,没有信息安全产业的保驾护航,信息产业也必将举步为艰。我们认为很有必要回过头来看看我国信息安全产业发展的轨迹,从中寻找信息安全企业的发展与突破之路。
看清安全产品的方向
信息安全技术是服务于信息系统的技术,看清信息技术的发展,才能找到信息安全技术与产品的未来。目前信息技术向着多样化、网络化、移动和小型化的方向发展,并逐步深入到从政府办公到家庭生活的各个方面。比如,随着网络的铺开,网络带宽和网络备份已经不是问题,数据大集中就成为未来十年信息技术的一个重要方向,而数据大集中的安全问题就会成为非常重要的安全问题。有专家预测,在未来的十年内,移动PDA设备将迅速增长,移动商务要超过基于固定网络的电子商务;无线计算机网络将迅速普及,无线网络也将无处不在;新的主流操作系统可能出现并与微软进行竞争。而安全技术和产品也会跟着这些信息技术的发展而不断变化着。
从多年的发展和当前的现状来看,信息安全技术本身也有着自己的发展轨迹和趋势:
1.可信计算技术。PKI技术以及基于生物特征的识别技术是信息安全技术的主流。在未来的几年内,生存技术、风险分析和管理技术、安全服务、综合型安全产品、无线安全技术等也可能会成为主流。
2.安全技术开始与其他技术进行融合。量子、DNA等技术进入密码领域,而成为密码技术中的神话;机器学习、数据挖掘成为攻击发现的重要手段;生物识别、DNA识别技术成为认证技术中的优秀选手;以密码技术为基础的PMI被称为信息系统授权管理的基础设施;行政管理方法和物理隔离手段成为信息安全的重要战场;甚至间谍也来到信息安全领域,号称是Social—Engineering。
3.安全技术本身也在融合。防御系统 由简单的防火墙向VPN、电子邮件网关、 防DoS网关和网络攻击防御系统综合迈 进。事实上,安全技术本身的融合已经出 现了具体的产品形态和市场。援引IDC的 预测,“全球的信息安全领域正出现一个新 的细分市场, 这就是统一威胁管理 (UTM),这类新型设备将成为未来信息安 全领域的主流设备”。统一威胁管理就是将 企业防火墙、入侵检测和防御以及防病毒 结合于一体的设备。
2003年全球只有7个UTM厂商,而在2004年,这一数字扩大了2倍,2002年, UTM的整体销售额仅有4000万美元,而 2003年超过了1亿美元,增长率超过了 160%。因此,IDC认为,这个市场非常具有潜力。按照IDC的预测,UTM市场到 2008年时,将占有整个信息安全市场的半壁江山,达到57.6%。(如表所示)
4.当全方位的防御技术仍不能独当一面的时候,监控技术就成为了Internet安全的主流。流量监控、内容监控、病毒监控、人员操作监控等成为企业和政府用好Internet的基础安全部件。监控不仅成为一种维护企业网络效率的重要手段,更是一种针对滥用的威慑力量,在近阶段会成为企业网络安全的新宠。针对核心系统的安全,防御、监控、备份与入侵容忍技术都布置在—起协同工作。
例如,上网的人数越来越多、网速越来越快,网络的安全如何保证,如何御黑客于国门之外?P2P的广泛流行, 计算机之间交换信息,数据共享将变得非常便捷,这也让我们更难控制网上的行为。同时网络连接的各个终端将会是一个惊人的数字,未来各种各样的传感器、通信设备、信息家电等等都要上网。网络上连接的不是几个亿的设备。而是10亿、百亿乃至千亿个设备,这将是一个庞大的网络,在未来可能需要对整个网络进行监控。
5.信息安全技术体系逐步形成和成熟起来。具体包括:密码技术,认证技术,访问控制技术,网络安全技术(包括防火墙,VPN、人侵检测、防病毒软件、抗DDoS攻击技术等),系统安全技术(包括硬件平 台、数据库、操作系统以及应用软件等的 安全保护技术等),信息安全管理技术,信 息安伞产品和系统的讦测技术,信息安全 服务技术等。由于信息安全服务技术已 经成为综合各项技术的一项软技术, 在 未来的安全市场中肯定会占有一个较大 的份额。据Gartner统计,2005年信息 安全软件和事件管理软件╱应用市场增长 了32.2%,达到2.88亿美元,其中CA以 17%的市场占有率位居第一。
看清安全产品的方向是安全企业应该 努力做到的。正是由于安全技术的交叉融 合,企业很难自己决策安全的系统和方向, 要通过咨询专家和了解用户,预测到未来 的信息世界发展方向。看清方向不能简单 靠自己,要依靠专家,依靠专业咨询机构, 当然自己也要有一定的洞察力。比如嵌入 式系统、手机操作系统等,就对安全性和 稳定陛要求很高。
放弃正面战场
即使是中国的大中型安全企业,当面 临微软和Intel这样的企业时.不论从投入 还是市场占有率上看,都是极其微弱的游 击队。也就是说,在信息世界我们几乎没 有自己的地盘。只要你的产品敢与微软竞 争,微软一定有能力把你赶出去。如果微 软开始销售他们的杀毒软件,世界上所有 的杀毒公司将基本没有活路。
凭借我们现有企业的实力,与国际大 公司正面作战,有一定的困难。把不足的 资金和人力投进去,可能什么也收不回 来。
正如毛主席带领红军走农村路线一样,我们的信息企业也可以暂时放弃正面的正规战场,走农村包围城市,最后“夺取政权”的路。残酷的正面战场包括操作系统、数据库系统、Web服务器系统等。这些系统可能有巨大的市场空间,但我们的投入,我们的市场都不可能敌过微软,敌不过Intel。然而,我们可以从安全人手,从中文处理人手,从外设和配件人手。
工业控制软件、工业控制用专用操作 系统、家电系统、PDA软件、小型设备、 新型的计算机外设等都是我们可以占领的 “农村”。只要我们的企业能够逐步牢固地 占领这些日前还不太挣钱的领域,我们就 有机会争得更人的市场空间,通过技术和 产权的壁垒,把强大的竞争者逐步驱逐到 门外去。
当前, 反病毒软件市场已经相当成 熟,2005年业界前三大厂商瓜分了全球 86%的反病毒软件市场,其中Symantec 继续保持全球领先地位,市场占有率达 53.6%。McAfee和Trend Micro的市场 占有率分别为18.8%利13.8%。但是值得 注意的是,虽然Panda Software在2005 年全球市场的占有率仅有3.2%,但在欧洲 中小企业小的使用率较高,使得它的增长 速度高达23.9%。可以说这正是我国信息 安全企业的发展方向。
沉淀自主知识产权
没有创新,就没有企业的未来。然而,目前我国的基础仍旧是以跟随国外企业为主。我们没有自己的主流芯片,没有自己控制的核心主流技术。那些以外国技术为主的眼务和代理公司确实能够挣到很多利润,也给中国政府带来了足够的税收。然而,这些企业的前途却不是自己的,它们的发展实际上给有创新的企业带来了压力和竞争,当然也有先进的管理和运作方法。但我们觉得,中国的企业不应该参与这样的事业,更不应该以这种简单的事业为主要方向。
大中型企业应该高瞻远瞩,投入到有特色的大项目中,而不是跟在别人后面跑。长效投资是长期生存的重要保证。当然,这样的方向可能没有代理销售有利润,但作为有战略眼光的大中型企业不能仅仅只看到眼前利益。比如3G企业,我们很多企业喜欢跟随,而这种跟随确实能够在近期为企业带来效益,但最终结果只能是受制于人。我们也希望国家和政府投资支持有思路、有创新、有自主产权和想法的方案,而不是投资给那些仅仅能用外国的产品把事情做好,做成的企业。
沉淀自主知识产权是保护我国信息安全产业健康发展,保障信息安全企业利益的重要举措,其重要性是不容忽视的。百度、3721等企业能够从中文处理入手赢得市场和利润,靠的是自主创新。如果我们有一大批这样的企业,我们才可以说有了自己可以控制的产业,否则所有的利润都会随着资源的耗尽而消失。
没有自主知识产权,我们的信息产业发展可能将面临前所未有的窘境。例如,最近被吵得沸沸扬扬的“软件加密锁、身份认证锁”专利事件。援引北京大学知识产权学院的论文:“2005年3月,阿拉丁在美国某州的联邦地区法院控告中国信息安全行业某本土骨干制造商构成专利侵权”。美国的专利诉讼爆发后, 中国企业才注意到阿拉丁已经在中国申请了两项足以封杀全部中国本土竞争对手的发明专利。目前,每个用户必须用一个USBKey保存其购买的电子签名,每次使用必须在计算机上插入该商用密码产品。一旦中国制造商被国外专利权人清理出国内外市场,届时中国企业和个人将只能购买和使用国外公司提供的商用密码产品。这样,《商用秘密管理条例》的效力将被架空,它追求的国家经济安全目标也将完全落空。
总体而言,我国信息安全企业的发展应该遵循技术发展的规律,在战略上选择合适的发展道路,在战术上以科技创新为本,脚踏实地地推动信息安全产业的发展。
俄罗斯信息安全产业发展特点
俄罗斯安全产业的发展与我国有诸多 相似之处, 同样面临严峻的国际竞争, 国 内企业在国际大型企业?例如微软、Intel、 Sun、Oracle等的围追堵截中生存,近年来俄 罗斯的信息安全产业发展呈现出一些明显 的特点,从中我们可以看到适合我国信息 安全企业发展的方向。
1.安全市场增长迅速。据业内专家粗 略统计,去年俄罗斯信息安全工具市场销 售额超过2亿美元,其年增长速度达45%。
2.内需是带动市场的主要原因。近 年来,各种形式的网络犯罪给俄罗斯带来 了高额损失。据有关公司估计,俄罗斯企 业每年囤垃圾邮件造成的损失近3000万 美元,电信运营商因非法连接和盗打电话 每年遭受损失约2亿美元,家用个人电脑 因密码被盗和病毒入侵每年损失约2000 万美元。
3.信息安全市场初具规模。俄罗斯企 业主要开拓的信息安全市场包括:信息资 源权限控制系统、反黑客系统、防病毒和 防垃圾邮件等内存安全控制系统、信息保 密工具等。
4.国家计划是进一步推动信息安全市场发展的原动力。俄政府也是信息安全投资的大户,俄将实施耗资5亿美元的“生物护照”国家计划,政府批准的《关于建立新一代护照和签证文件制作、办理和监督国家系统的构想》,要求护照和签证文件中包括持有者的电子信息。这一新系统预计2007年投入使用,届时8000多个护照签证办理机构,边防站和俄外交部领事机构将联网。
5.特色发展是企业存活的关键。目 前俄65%的信息保护工具从国外进口, 其国内从事信息安全的公司也主要面向 国内市场。尽管俄公司打入被欧美大公 司垄断的国外市场有不少困难, 但俄生 产的一些产品颇具竞争力,特别是防病 毒软件具有很好的出口潜力。在俄每年 5000万美元信息安全工具出口中,防病 毒软件出口额约占60%。另一个具有发 展前景的出口领域是生物测量技术和相 关设备。俄信息保护公司、卡斯别尔斯基 试验室公司等正在认真考虑如何打入欧 洲和亚洲国家市场。