“城外的人想进去,城内的人想出来,人生的事,大抵如此。”
钱钟书老先生这句名言,用在信息安全领域再恰当不过。 没有进入这一领域的人,将它看成是摆脱IT困境,维持高速发展的最后一轮机会,于是,一窝蜂而上。
已经进入这一领域的人,过得好的并不多,很多在惨淡经营,有些在苦撑,有些在暗地里转型,有些干脆从此消失……
信息安全产业并不像想象的那样充满了机会,产业在荆棘的道路上跋涉,反而处处布满了陷阱,被划上了道道“暗伤”。
我们披露这些“暗伤”,是为了引起业内更多的领导、专家、用户及厂商的重视,让幼小的信息安全产业能在一个健康有序的环境中顺利发展、壮大。
政策暗伤:收费繁多何时了?
在发展初期,政策就像一把双刃剑,在保护企业和用户的同时,由于管理的不规范,也深深刺伤了产业。
在进入信息安全产业之前,许多中国企业凭着直觉感到,这一产业似乎是国内企业在新IT时代赶超国外的最后一轮机会!因为,信息安全不仅指企业或个人的信息网络安全,它更是关系到国家安全、社会稳定的头等大事,尤其在许多专家预计不久将爆发的信息大战中,谁掌握了网络信息安全的核心技术,谁就能掌握网络信息战的制空权!谁都清楚,保卫国家安全必须依靠自己的军队,而不能依靠雇佣军,所以,这些网络安全的核心武器,必须掌握在自己人的手中!就连美国这样一个号称高度自由的国家,也于今年出台了美国《网络空间安全国家战略》,其中不仅详细说明了未来美国将面临的信息安全风险,还指出必须依靠本国自己的力量才能保证国家的安全!
在这种大环境下,国内厂商兴奋异常,国家依靠自己的力量发展自己的信息安全产业,意味着国家在资金、政策、税收等方面的扶植力度将会加大,意味着虽然我们的信息安全产业相对国外起步较晚,但国内企业具有非常高的胜算机会,而不会像以往的IT业一样,不得不被国际社会几大巨头牵着鼻子走!尤其在近年来整体IT环境下滑的情况下,信息安全无疑是国内企业的突破口。
被美好的预期冲昏了头脑,许多人来不及仔细思索便一猛子扎进了信息安全江湖!却不知,刚刚潮起的信息安全领域,里面布满了暗礁和荆棘。在发展初期,政策就像一把双刃剑,在保护企业和用户的同时,由于管理的不规范,也深深刺伤了产业。
很多人以为获得了公安部的销售许可就算是领到了进入这一领域的“许可证”,但只有那些在此领域“混”得稍久的“老牌厂商”才了解里面的“难言之隐”:公安部的销售许可只是进入这一行业的第一道门槛,随后,进入军队系统要有军队许可、进入涉密网要获得保密许可、产品质量保证要获得安全部门的许可。这就是业内许多厂商自嘲又无奈的“公保机盯”大餐。此外,各个行业还专门自设了自己的“入围选型”门槛,如进入金融业要获得金融选型入围,进入电信网要获得电信选型入围……这几道门槛,就像几块大石,压得幼小的企业抬不起头,许多企业不堪重负,甚至夭折。
之所以有这么多的“许可门槛”、“认证门槛”,是因为里面有着巨大的经济利益。一位国内信息安全企业老总给记者算过一笔账:企业研究出一种新的信息安全产品,如果要拿齐这几种许可证,至少得花10万元人民币,这还只是新产品的价码,不包括产品升级换代的费用。一个企业不可能只研制一种信息安全产品,一般来说会有3~5种产品,每种产品一年中很可能升级1~2次,仅各类认证费用,一个企业一年就得花上百万元人民币!
国家对信息安全产业实行许可证管理制度本无可厚非,这是为了保障广大用户的合法权益,保证产品的质量,也保障信息安全企业的合法利益。但问题的关键是,需不需要如此多的部门进行多重认证?作为发放许可证的职能机构,需不需要索取这样高额的费用?
乱收费现象严重,已经深深制约了刚刚起步的国内信息安全企业的发展,以至于业内出现了一个很奇怪的现象:国外企业的产品反正进不了那几个关键部门,于是不需要拿那么多的许可证,反而凭借技术、资金实力而一身轻松地攻打大行业,如金融、电信等企业领域,而对本来就弱小的国内企业而言,在大行业内没有实力与国外企业竞争,进入关键部门又有这道道收费门槛,无疑是雪上加霜!
由此出现一个无奈的现象,很多国内企业不愿意进行产品升级,即使升了级,也不愿意大肆渲染,对外还宣称产品改动不多。一家很著名的企业,明明在防火墙和入侵检测系统中对产品进行了重新设计和巨大的改造,但在版本号中只是从3.0升级到了3.1,对外显示产品变化不大。这家企业老总说:我们也很无奈,谁不希望说自己的企业有技术含量,具备快速更新换代的能力,但如果说产品改变巨大,接下来就是大笔认证费用等着你,在防火墙市场竞争如此激烈的情况下,我们什么时候才能收回这笔费用啊?
有专家认为,近年来,公路乱收费现象严重,国家已开始抓紧整顿治理,而在信息安全产业道路上的乱收费现象同样严重,同样需要国家下大力整顿,否则,发展我国自主的信息安全产业只是一句空话而已。
据悉,一家机关媒体通过新闻内参的形式已经向中央有关领导反映了此事,目前,中央有关领导已经有了明确的批示,要对信息安全产业乱收费现象进行整顿治理,这无疑是产业的利好消息,产业急切地盼望政策环境改善的那一天早日到来。
市场暗伤:只见森林,不见树木?
中国信息安全产业一年的产值只有区区十多亿元,还不及短信在春节黄金周期间短短的8天里创造的70多亿元产值的三分之一,这真令人失望!
虽然产业发展呼声极高,不时出现的黑客攻击事件也在不断地提醒着业内的人们要高度重视信息安全建设,企业在进行IT投资时,也在不断加大对信息安全的投资比例,但信息安全整体市场究竟有多大?值不值得人们趋之若骛、一窝蜂地投入到产业内?恐怕许多人没有深思过。
中国整体信息安全市场的数字究竟有多大?一段时间以来,业内流行的数据是,2002年中国的信息安全市场达到了40亿元人民币,统计渠道不得而知,也许就像中国的许多数据一样是某些专家“拍脑袋”得出的。虽然IDC公司对2002年的数据还没有统计出来,但从IDC2001年的数据来分析,IDC预计2002年中国的信息安全市场只有16亿元人民币。两者相差2倍多,这不得不让人迷惑。
专家分析,这种现状是必然的,这是由于信息安全产业的特殊性造成的。大量采用信息安全产品的用户“养在深闺,足不出户”,因为,谁也不愿意将自己需要保护的系统对外宣传,引起广泛的注意,因为,谁也不能保证自己的系统是万无一失的。此外,军队、政府等特殊部门的应用情况从来不对外公布,这就造成了统计渠道的不畅和统计数据的混乱。
但是,从信息安全厂商的销售数据来看,我们或许可以得出些结论。据记者了解,一般在中国的大型信息安全厂商(包括本土企业和在中国的外企)一年的销售额只有几千万元人民币,最大的1~2家也声称刚刚超过了1亿元人民币,而大部分企业在信息安全领域的销售额只有几百万元人民币,如此一来,虽然在册的从事信息安全销售的厂商数超过了千家,但总体销售数据依然很小!
中国信息安全产业一年的产值只有区区十多亿元,还不及短信在春节期间短短的8天内创造的70多亿元产值的三分之一,这真令人失望!
其实,仔细思索,这也不奇怪,产值不大但责任重大,是信息安全产业的主要特点。一个企业无论对信息安全产业如何重视,但一般对它的投资仅占IT总体投资的15%左右,最依赖IT生存的企业对它的投资也不会超过IT总体投资的50%。毕竟,信息安全产业是依附于信息产业发展而发展的一个小门类,要想将产业做大很难!
专家用“只见森林,不见树木”来形容产业的现状。我们能看到前景,但要看清楚直至挖到财富,依然要走很长的路!
厂商数量太多、规模普遍偏小,不仅使厂商的抗风险能力极差,也影响风险投资的进入,如果没有风险资金的进入,缺乏资金的老问题又会困扰企业的发展,不利于产业的迅速扩张。据悉,有关专家已经看到了这一问题,并提出,“减少数量、扩大规模”是2003年中国信息安全产业的主要目标。
好在信息安全产业每年50%以上的增长速度足以令人兴奋,就凭这一点,也足以成为习惯了长期高速发展的中国IT企业继续保持高速发展的新的经济增长点。只是,作为准备涉足这一领域的厂商,进入之前一定要有充分的思想准备和资金技术储备。
产品暗伤:谁了解用户需求?
大多数厂商在防火墙、IDS、反病毒、VPN等几类主流的产品中,拼杀得“你死我活”,而用户需要的一些专业的安全防护工具在市场却难觅踪影,这就是业内专家所说的“产业结构失衡”状态。
提起信息安全,很多人自然联想到防火墙、IDS、杀病毒、VPN等耳熟能详的产品,于是,很多厂商以这几类产品切入信息安全领域,然后逐渐扩张到信息安全的其他门类。那么,作为用户又是如何想的呢?
跟踪信息安全领域两年多,记者多次与用户交流,发现很多大型行业用户在考虑信息安全问题时,首先考虑如何进行组织机构的调整,如何在现有网络拓扑的基础上制定信息安全策略,最后才考虑采用信息安全产品的问题。换言之,信息安全产品在用户心目中的位置排在最后,并且只是作为实现策略的工具而已。
一位在银行负责信息安全的处长说,很多厂商提供的产品根本满足不了我们的需求,他们提供的是产品,而我们需要的是适合自己银行网络拓扑结构的安全策略,虽然很多厂商也说能提供策略咨询服务,但那些策略要么是站在产品立场上的咨询服务,要么是纸上谈兵,并不适合我们的网络结构,而由于银行网络的保密性,我们很难将自己的需求直接告诉厂商。于是,不得已,我们只有自己学习,自己制定安全策略,自己选择产品。
据记者了解,在市场上,大多数厂商还