信息安全行业发展的这10年的时间里,应该说技术已经有了一定的发展,但前景仍然不确定。
信息安全,附属于IT行业,受于IT行业的整体发展趋势。目前来看还不能称其为独立的“行业”。由于信息安全产品的特殊性,要研发和销售一个产品,需要拿N多部门的证照,条块分割太厉害,不利于这个行业的发展。除了监管部门多以外,国家信息安全标准也不太健全。但近些年来国家对信息安全的重视程度有所提高,通过全国信息安全标准化委员会、中国信息安全认证中心等机构的成立,在基本制度和长远发展上已经有了很好的铺垫,我坚信这个行业会发展起来。
我国信息安全行业是从90年代后期才开始的,在这10年的发展道路上,伴随着信息化的快速发展,信息安全有了一定的发展,然而相比较而言,其发展速度远远滞后于信息化的建设。
推动信息安全发展的主要动力来源于信息安全事件的发生。安全本身的一个特征就是防患于未然,然而我们的广大用户领导层基于几个原因,没有对信息安全产生足够的关注,都是在以“消防员”的模式运行,第一,业务是任何企业的核心,因此,在IT的投入上都放在了基础设施和业务开发上,殊不知已经将IT安全这个隐患悄悄的放在了其中;第二,从事信息安全的公司,“忽悠”成分太大,这一点我觉也是可以理解的,安全技术本身就不成熟,它的发展速度也滞后于计算机技术的发展,另外安全公司太小了,市场供求关系没有建立起来,不去忽悠用户,恐怕难以维持生计。
就此,拉开了“用户不重视,安全公司乱忽悠”的长期局面。我经常做的一个比喻是信息安全就好比是病人去看病,哪里有“万能药”(安全技术产品)包治百病(信息安全问题)啊!大家的共识就是信息安全真的是太复杂了,不仅仅是技术问题,还包括管理等等。这句话估计大家已经听的耳朵都生茧子了,说实在的这也是句真理,毋庸置疑,不必再讲了。需要讲的是怎么解决这个问题,我认为:安全公司是制药厂,生产好自己的产品,治疗某种或者几种病,并且药效比较好,那么你就可以长期生存和发展壮大;而医院的工作应该交给专门从事安全咨询服务的公司,咨询服务公司把重点和精力都放在如何给用户看病,如何开出处方,如何做手术。我坚信两者分离是信息安全发展的必然结果。
信息安全行业发展的这10年的时间里,应该说技术已经有了一定的发展,但是技术发展前景仍然不确定。从成熟的老三样安全产品,到不成熟的SOC/UTM等产品,其发展方向和利润增长点都比较“虚”。从行业垄断程度这个方面来讲,我认为信息安全行业应该分为两个大方向来看。其一,是从保护国家信息安全的角度,我认为应该建立“大垄断”,保护国内信息安全公司的成长,设置国外公司进入的门槛;第二,值得庆幸的是,这个行业的市场结构是完全竞争,虽然资源是市场配置,但是大环境不太乐观。
随着我国加入WTO,各行业在不同程度上面临着国外同业的竞争压力。而在信息安全领域,目前国内的公司都比较小,只从信息安全产品和安全咨询服务两个方面来讲,一个是信息安全产品,国外大的IT公司近几年都在并购信息安全公司,开展这个业务。国外大的安全公司也纷纷进入中国,占领了绝大部分市场;另一个是安全咨询服务,目前国外的信息安全市场是安全硬件产品、软件产品和安全咨询服务各占三分之一,而我国前两者占据了几乎99%的市场份额,咨询服务免费赠送阶段。虽然咨询服务近两年才有所增长,但是离国外的33%还有很大的差距,而国内的大的公司和企业这部分业务也是统统外包给了少数几家国际咨询公司,环境不变,前景堪忧。
