[这个贴子最后由绿茶之星在 2005/07/30 03:48am 第 1 次编辑]
尽管中国用户对信息安全的平均投入不足IT总投入的1%,一些用户却开始抱怨购买安全产品过多,不好管理。到底是哪个环节出了问题呢?
“安全产品用得越多,未必就真安全。”
国家某部委信息中心的系统管理员说,几年下来,他们上的安全产品有十几类,涵盖了国内20多个品牌 ,但出现故障的概率似乎比以前还多。
在他看来,一是安全产品总是跟不上安全问题 ,产品的种类虽然多,但没谁能真正满足需求;二是每一个安全产品都需要配置,配置不好,网络就不通。而且对大多数由系统管理员兼任的安全员来说,要了解每一个安全产品的性能和功能是一件相当令人头疼的事情。
“更何况各品牌产品标准没统一,接口不一样。”他说,通常的做法是谁的产品出问题了,就找谁来。可是,判断是谁出问题也很麻烦,把相关厂商凑齐至少得要花上两三天。
象这位系统管理员一样闹心的人似乎并不少。在电子政务的采购和实施过程中,几乎没有哪家国内品牌厂商能够提供满足多种安全需求的综合安全解决方案,用户只能是这家买一点,那家买一点。而为了管理这些品种繁多的安全产品,国家工商总局、国土资源部甚至再掏一笔钱去购置了某家厂商提供的安全管理平台,来提高安全的整体性能,帮助那些处在忙乱但功效不大之中的系统管理员们。
“市场需求越来越多,是件好事;同时,由于需求超前于整个产业的一些技术,给厂商们带来了很大的压力。”国内著名的信息安全厂商天融信公司总裁贺卫东告诉记者,而中国信息安全产业的总体市场规模小,不足以支撑太多企业在中运转,更无法培育象国外那样大的技术型安全厂商。“2003年底,登记在册的安全厂商有1300多家,今天还能看到几家?”他反问。
根据IDC的最新报告,2004年中国的信息安全产业总产值约为22亿元人民币,而全球信息安全总产值折合人民币为2200亿元左右,中国不到全球总产值的1/100;2004年,中国IT行业的总产值已经超过了万亿元人民币,信息安全只占其中的1/500,这与国外在实际应用中,一个信息系统的安全投入应该占据整体IT基础架构的15% ,依然是冰火两重天。
问题究竟出在哪儿?是什么因素造成了信息安全产业发展缓慢的局面?我们将如何打破用户和厂商之间的巨大落差?本报记者深入用户和厂商中进行采访,希望能客观地展示安全业的基本生存状态,引起有关部门的深思和高度重视。
情况紧急
尽管被访用户和企业普遍认为,同几年前相比,中国信息安全业在比以往更为有利的环境中开始蓬勃发展起来。
一方面信息安全市场需求看涨。随着信息化的进一步推进和电子政务的展开,一些有资金和技术积累信息安全厂商在几年的大浪淘沙后,研发实力都得以增强。
据中国人民银行信息安全处处长郭全明的介绍,目前人民银行在采购中,在某些范围类可以比较放心地优先使用国内产品。检测表明,国内一些大一点的厂商的产品,例如东软、天融信、联想网御的防火墙,启明星辰的入侵检测在技术性能上并不逊色同类的国际品牌;在性能价格比上,服务上有自己的独特优势。
另一方面政策环境大为改善。随着2003年27号文的颁发与落实,国家的信息安全宏观政策已经全面启动。尤其是安全等级保护制度 、灾难备份、风险评估标准正在制定并即将出台,使得一些重要部门的领导,把对安全的认识提到了前所未有的高度。
但是,被访用户和企业又一致认为,中国安全业的形势并不乐观,情况紧急: 一方面,一些旧的问题尚未解决,例如产品标准,市场认证,相关的安全法规都没有统一或完善;另一方面 ,各种外部环境的变化,包括市场竞争、技术发展等的快速变化,使得旧问题尚未完全解决,新问题又紧急凸现。
其一,中国安全市场竞争是处在整体的低水平竞争状态,这种趋势日益明显。普遍认为这是由于国内安全市场规模小,市场竞争领域过分集中,以及厂商和用户对安全价值理解上的偏差所致。
从目前来看除了几家大一些的厂商天融信、联想网御、启明星辰、瑞星等意图或者正在把触角伸向电信、金融等企业领域外,大部分国内安全厂商的市场领域基本上还是拘泥在电子政务领域。“而政府对安全的投入实际上是雷声大,雨点小。”天元龙马科技公司总经理张昕尉说,“ 在安全方面的投入属于停留在方案,技术,论证,概念这个阶段,真正投的现金并不想象中那么大 。”
尽管在电子政务安全领域,对国外安全企业实施壁垒政策,客观上能保护国内的安全产业。但东软集团网络安全事业部总经理曹斌认为,这种保护只能算是政府给国内安全厂家的一笔存款,目前这个存款快花完了。“政府把所有的钱拿出来让你去成长,你为什么没有成长上去?你为什么没有能力去抢别人的钱,去同国外厂商在电信、金融等行业企业市场上去角逐?” 曹斌说,“这是我们大家需要反思的问题。”
国内厂商在电子政务领域的角逐当中,的确成就了一批企业,但这批企业并非大家所想的腰包鼓鼓。“技术研发需要钱,品牌宣传需要钱,教育用户也需要钱。” 曹斌说,在打政府单的过程中,很多企业出现自杀性竞争行为。据悉,同三年前比,防火墙的价格下降了一半以上,IDS下降得更厉害,有的不到原先的20%,而在某次某地的政府采购过程中杀毒软件居然只有5元人民币,比盗版还低。
联想网御总经理任增强和天融信总裁贺卫东等认为,如果是充分的市场竞争中,导致产品价格走低,倒也无可厚非。在采购过程当中,一般要综合考虑技术、服务、价格等综合因素, 但在一些政府采购中,往往将价格作为招标的最重要依据 。这样使得一些低质量的产品进入到市场中去,造成了国产品牌质不如人,满足不了需求的混乱现象。
除了一些重要的信息系统外,政府用户对安全产品的价值认同,还处在一种初级阶段。“本来安全产品是一种高技术含量高附加值的产品,在目前安全技术还处在一种不成熟状态。” 任增强说,“怎么能将安全产品同钢笔等办公用品一样,将价格作为采购的唯一标准呢?”
对市场的规范管理方面,也有一些现实问题。比如,中国各个地方为了保护地方厂商,很多地区采取了“本地开发、本地注册的公司才能进入市场”的土政策。
其二,国内厂商在技术研究的前瞻性上普遍乏力,技术越来越不能满足日益增长的需求。
本报掀起关于安全厂商中的卖过期药的讨论在业界引起了争论,但多数被采访的企业认为这是由安全问题本身性质所定,厂商缺乏研发投入和技术不成熟是其中很重要的原因。
“安全问题永远是层出不穷的,只有在它发生了,才有可能真正的去研究它。”天元龙马总经理张昕尉说,“就好比医生对病人只能是对症下药。”
而动辄几千万元的前瞻性技术投资,让国内安全企业只能是望而止步。即使是象东软、联想网御、天融信、瑞星、启明星辰等所谓的规模过亿的安全大企业,营收也不过是国外安全巨头的小小零头。况且信息安全市场充满了变数,一旦投资决策失误,将使企业很难有机会抬头。
在全靠自有资金滚动起来的中国安全企业不得不将产品的研发多数集中在防火墙、IDS杀病毒等有限的几类产品上,而对目前市场上呼声很高的WLAN、VoIP的安全性等产品却乏人问津。国内大多数安全投资集中在科研单位,缺乏对实用技术的创新投资,这就导致专家型的以追求完美为目标的科研投资与产业型的追求实用为目标的技术投资之间的矛盾。
其三, 这两年来,安全厂商面临来自黑客、通信厂商、操作系统厂商的多重挑战,目前这种挑战愈演愈烈。
在过去的18年中,黑客和病毒是没有商业利益的,但从2004年起,间谍软件已被用于收集E-mail名单,黑客们开始获得利益,这使得网络安全问题变得非常严重,利益有可能使得黑客对网络的攻击变得具有摧毁性。而计算机病毒与网络黑客结合,使得病毒渗入计算机,由内向外爆发,使得目前常用的防火墙、杀毒软件、入侵检测老三样产品防不胜防。
而传统的网络通讯设备厂商如思科、华为3Com、诺基亚等都宣布进入信息安全领域。思科推出了网络准入(NAC)计划;微软从早期的“可信赖计算”计划到最近2005年2月份的RSAConference上宣布进入反垃圾邮件、反病毒领域。而国际专业的信息安全公司赛门铁克,则靠着收购存储厂商Veritas,不仅让安全的概念扩展到了灾难备份和存储领域。这些巨头们在技术、资金、规模等各方面都具有强大的优势,很难说哪天不夺走国内安全厂商的奶酪。
|
