国内安全厂商全线告急

时间: 2005-07-25 09:00:42    来自:计算机世界报
 

  市场竞争领域过分集中,而且整体处于低水平的竞争状态,且这一状态日趋明显。

  技术在研发的前瞻性上普遍乏力,越来越不能满足用户日益增长的需求。

  用户除了一些重要的信息系统外,用户对安全产品的价值认同还处在一种初级阶段。

  环境政策与法律有待进一步完善,以及资本市场的不健全,影响着产业环境。

  压力近两年来面临黑客、通信厂商、操作系统厂商的多重挑战,且这种挑战正愈演愈烈。


  安全产品用得越多,未必就越安全。同家某部委信息中心的一位系统管理员说,几年下来,他们上的安全产品有十几类,涵盖了国内20多个品牌,但出现故障的概率似乎比以前还多了。

  在他看来,一是安全产品总是跟不上安全问题,产品的种类虽然多,但都不能真正满足需求;二是每一个安全产品都需要配置,配置不好,要么安全功能下降,要么造成网络不通。对大多数由系统管理员兼任的安全人员来说,要了解每一个安全产品的性能和功能是一件相当令人头疼的事情。

  更何况各品牌产品标准不统一、接口不一样。他说,通常的做法是谁的产品出问题了,就找谁来修理或配置,但判断哪款产品出了问题也很麻烦,而把相关厂商凑齐至少得花上两三天的时间。

  如这位系统管理员一样闹心的人,在国内并不少见。在电子政务的采购和实施过程中,几乎没有哪家司内品牌厂商能够提供满足多种安全需求的综合安全解决方案,用户只能是这家买一点,那家买一些。而为了管理这些品种繁多的安全产品,国家工商总局、国土资源部甚至需要再掏一笔钱去购置某厂商提供的专业信息安全管理平台,用以提高安全的整体性能,帮助那些处在忙乱之中的系统管理员。

  市场对信息安全的需求越来越多,这是件好事,但由于需求超前于整个产业的技术发展,给厂商们带来了很大的压力。国内信息安全厂商天融信公司总裁贺卫东告诉记者,中国信息安全产业的总体市场规模小,不足以支撑太多企业在其中运转,更无法培育像国外那样大的技术型安全厂商。“2001年底,登记在册的安全厂商有1300多家,今天还能看到几家?”他反问。

  根据IDC的最新报告。2004年中国的信息安全产业总产值约为22亿元人民币,而全球信息安全总产值折合人民币为2200亿元左右, 中国不到全球总产值的 1%2004年,中国IT行业的总产值已经超过了万亿元人民币,信息安全只占其中的1╱500。从这些数据来看。国内的安全应用现状与国外在实际应用中一个信息系统的安全投入占据整体IT基础架构的 15%相比,依然是冰火两重天

  问题究竟出在哪里?是什么因素造成了信息安全产业发展缓慢的局面?该如何打破用户需求和厂商之间的巨大落差?本报记者深入用户和厂商中进行调查,希望能客观地展示国内安全企业的基本生存状态,引起有关部门的深思和高度重视。

  全面告急

  被访用户和企业普遍认为,同几年前相比,中国信息安全产业在比以往更为有利的环境中开始蓬勃发展起来。

  一方面信息安全市场需求看涨。随着信息化的进一步推进和电子政务的展开,一些有资金和技术积累的信息安全厂商在几年来的大浪淘沙后,研发实力都得以增强。据中国人民银行信息安全处处长郭全明介绍,目前人民银行在采购中,某些范围内可以比较放心地优先使用国产安全产品。检测表明,国内一些较大厂商的产品,例如东软、天融信、联想网御等的防火墙,启明星辰的入侵检测,在技术性能上并不逊色同类的国际品牌,且在性能价格比、服务上有自己的独特优势。

  另一方面政策环境大为改善。随着200327号文的颁发与落实,国家的信息安全宏观政策已经全面启动。尤其是安全等级保护制度、灾难备份、风险评估标准正在制定并即将出台,使得一些重要部门的领导把对安全的认识提到了前所未有的高度。

  但被访用户和企业又一致认为,中国安全产业的形势并不乐观、情况紧急:一方面,一些旧的问题尚未解决、例如技术标准、产品认证、相关的安全法规都没有得到统一或完善;另一方面,各种外部环境的变化,包括市场竞争、技术发展等的快速变化,使得旧问题尚未完全解决,新问题又开始凸现。

  首先,中国安全市场竞争还处在整体的低水平竞争状态,且这种状态日益明显。被访者普遍认为,这是由于国内安全市场规模小,市场竞争领域过分集中,以及厂商和用户对安全价值理解上的偏差所致。


  从目前来看,除了几家较大的安全厂商,比如天融信、联想网御、启明星辰、瑞星等意图或者正在把触角伸向电信、金融等企业领域外,大部分国内安全厂商的市场领域基本上还是拘泥于电子政务领域。而政府对安全的投入实际上是雷声大、雨点小。天元龙马科技公司总经理张昕尉说,在安全方面的投入还停留在方案、技术,论证、概念等阶段,真正投入的资金并没有想像中的那么大。

  尽管电子政务安全领域对国外安全企业实施壁垒政策,客观上能保护国内的安全产业,但东软集团网络安全事业部总经理曹斌认为,这种保护只能算是政府给国内安全厂商的一笔存款,目前这个存款快花完了。政府把所有的钱拿出来让你去成长,你为什么没有成长上去?你为什么没有能力去抢别人的钱,去同国外厂商在电信、金融等行业企业市场角逐?”曹斌说,这是我们大家都需要反思的问题。

  国内厂商在电子政务领域的角逐当中,的确成就了一批企业,但这批企业并非大家所想的腰包鼓鼓技术研发需要钱,品牌宣传需要钱、教育用户也需要钱。曹斌说,在政府行业打单的过程中,很多企业出现自杀性竞争行为。据悉,与三年前比,防火墙的价格下降了一半多,IDS下降得更厉害,有的甚至不到原先的20%;而在某次某地的政府采购过程中,杀毒软件的价格居然只有5元,比盗版还低。

  联想网御总经理任增强和天融信总裁贺卫东等认为,如果是充分的市场竞争导致产品价格走低,倒也无可厚非。在采购过程当中,一般要综合考虑技术、服务、价格等因素,但在一些政府采购中,往往将价格作为招标的最重要依据。这使得一些低质量的产品进入市场中,造成了国产品牌质不如人、满足不了需求的混乱现象。

  除了一些重要的信息系统外,政府用户对安全产品的价值认同,还处在一种初级阶段。本来安全产品是一种高技术含量,高附加值的产品,但目前安全技术还处在一种不成熟状态。任增强说,怎么能将安全产品同钢笔等办公用品一样,将价格作为采购的惟一标准呢?”

  同时,对市场的规范管理方面也有一些现实问题。比如,一些地方为了保护地方厂商,采取了本地开发、本地注册的公司才能进人市场的土政策。

  其次,国内厂商在技术研究的前瞻性上普遍乏力,技术越来越不能满足日益增长的需求。

  此前,本报曾掀起关于安全厂商卖过期药的讨论,并在业界引起了争论。多数被采访的企业认为这是由安全问题本身性质所定的,而厂商缺乏研发投入和技术不成熟是其中很重要的原因。

  安全问题永远是层出不穷的,只有发生了,才有可能真正地去研究它。天元龙马总经理张昕尉说,就好比医生对病人必须是对症下药。

  而动辄几千万元的前瞻性技术投资,让国内安全企业只能是望而止步。即使是像东软、联想网御、天融信、瑞星、启明星辰等所谓的规模过亿的安全大企业,营收也不过是国外安全巨头的小小零头。况且信息安全市场充满了变数,一旦投资决策失误,将使企业很难有机会翻身。
 

  于是,仅靠自有资金滚动发展起来的中国安全企业不得不将产品的研发主要集中在防火墙、IDS杀病毒等有限的几类产品上,而目前市场上呼声很高的WLANVolP的安全性等产品却乏人问津。同时,国内大多数的安全投资集中在科研单位,缺乏对实用技术的创新投资,这就导致专家型的、以追求完美为目标的科研投资与产业型的、追求实用为目标的技术投资之间的矛盾。

  另外,近两年来,安全厂商面临来自黑客、通信厂商、操作系统厂商的多重挑战,且这种挑战正愈演愈烈。

  在过去的18年中,黑客和病毒是没有商业利益的,但从 2004年起,间谍软件已被用于收集E-mail名单,黑客们开始获得利益,这使得网络安全问题变得非常严重,利益有可能使得黑客对网络的攻击变得具有摧毁性。而计算机病毒与网络黑客结合,使得病毒渗入计算机,由内向外爆发,导致目前常用的防火墙、杀毒软件、入侵检测等老三样产品防不胜防。

  与此同时,传统的网络通信设备厂商如思科、华为3Com、诺基业等都宣布进入信息安全领域。比如,思科推出了网络准入 (NAC)计划;微软从早期的可信赖计算计划到20052月份宣布进入反垃圾邮件、反病毒领域;而国际专业的信息安全公司赛门铁克,则靠着收购存储厂商Veritas,让安全的概念扩展到了灾难备份和存储领域。这些巨头们在技术、资金、规模等各方面都具有强大的优势,很难说哪天不夺走国内安全厂商的奶酪。

  难题未解

  网络技术的发展使得各种形式的网络应用风起云涌,也使得网络的安全形势日益严峻,这为安全厂商的发展提供了一个极好的机会。全球安全产业的整合与并购,成就了一批安全巨头,趋势、赛门铁克,以及被Juniper收购的NetScreen公司。其价值在短短几年中迅速高涨到几十亿,甚至过百亿美元。但中国的安全企业为什么不仅很难长大,还出现利润下滑,技术满足不了需求且面临多方挑战的紧急情况呢?

  接受读者采访的大部分企、贬和一些用户认为,多年来制约安全企业成长和安全产业发展的一些关键性问题还是没有得到解决。当一个企业发展到一定规模的时候,他能否长得大,不仅仅取决于企业自身,还取决于整个社会环境和产业环境。天融信公司总裁贺卫东认为。

  首先,政策与法律有待进一步完善,是影响产业环境的一个重要原因。

  虽然我国关于信息安全的宏观政策已经出台,但微观政策却不具体,目前只是对网络信息安全技术的政府采购进行了原则性的规定,缺乏操作性较强的采购实施管理办法。而美国等发达国家在信息安全保护方面的条例多如牛毛。最关键的两点是:在政府采购法中,有强制性的政府采购限制;同时,为了扶持本地公司,美国政府有大量的政府委托开发项目,将资金作为技术研发费用投到企业中,其中包括用于新技术创新的科研经费,也有大量的技术产业化的经费。美国在体制上强调以骨干或核心企业创新为主体的国家扶持办法。

  而且我国还没有任何法律规定单位信息泄露该受到怎佯的制裁。联想网御总经理任增强告诉记者,美国自出台了SOX法案之后,对IT产业起到了极大的促进作用,对美国信息安全产业尤为明显。

  该法案规定,企业的CEO必须对企业财务数据的真实性负责,否则要承担最多监禁25年的刑事责任。其中有一段规定: CEO必须将这些财务信息保存8年以上,供随时审计,其中过程、由网络产生的数据都作为审计对象,这实际上是要求企业 CEO必须对信息的存储、保密性、真实性、可用性负责,这些正是信息安全技术和产品涵盖的主要内容,企业CEO不得不加大对信息安全技术和产品的投入,以让自己免于刑事责任。由此,极大地刺激了信息安全产业在美国的发展。

  其次,标准的不统一,以及桉心技术的缺乏,是用户和厂商的心头之痛。

  目前,我们国家有一些行业制定了自己的安全应用标准, 但缺乏产品的标准。天元龙马总经理张昕尉告诉记者,由于各家的接口不一、标准不同,不同的安全产品在配置和管理上比较麻烦,容易出现问题,影响到彼此的连通。也正是这样的原因。才出现了对信息安全管理技术的巨大需求。

  而一些用户也表示,在选择产品时,因为没有统一的产品质量衡量标准。往往只能根据厂商的品牌知名度模糊地定义出厂商的技术实力,导致系统中应用各种不同品牌的产品后管理成本的急剧增加;或者不得不自己定义行业的应用标准而导致各种选型成本的增加。

  标准是双刃剑。信息安全专家、北京信息安全测评(服务)中心主任助理冷飚说,一个标准要做完善有可能牵引产业的发展,但制订过程非常复杂漫长,而一个仓促的标准则可能制约产业的百花齐放、欣欣向荣。

  他认为,要建立一个适合所有行业的标准是不现实的,毕竟,各个行业对信息系统的安全性有自己不同的需求。

  尽管大部分厂商认为,从技术上讲,国内厂商同国外厂商的差距不大。天融信公司总裁贺卫东认为:软件上的差距在一年左右,硬件上的差距则为两年,管理产品类的产品差距则较大,有四年的差距。但大家又都承认,中国信息安全的生态链条是不完备的。一般而言,信息安全业的生态链由芯片设计和制造、硬件提供、软件集成和服务四个环节组成。同国内其他 IT产品一样,国内信息安全设备的质量水平很大程度上也依赖于上游芯片制造厂商。

  从目前来看,我们的核心技术,特别是专用芯片和专用硬件的设计、生产能力基奉受制于国外厂商尤其是美国厂商。一位业内专家说, 安全芯片由Cavium╱ HiFin以及跨行业发展的NetScreen公司垄断。而国内许多网络安全企业的硬件平台也基本都是直接来自美国。

  信息安全产业的上游链受控于人,使得我们很难实现自主可控的目标,这在关系到社会稳定、国家安全的信息安全领域,是一个令政府相当头疼的老大难题。而对厂商来讲。容易受到政治因素或其他原因的影响而出现禁运或断货现象,可能造成产业链的断裂。

  再者,多敷厂商都认同,资本是制约信息安全企业高速发展的最重要的因素。

  在采访过程中,记者发现,无论是居于市场领先的国内安全大厂商天融信、东软、联想网御,还是定位于安全新领域的新兴的企业天元龙马公司,谁也无法逃脱资金紧箍咒

  天融信的贺卫东和东软的曹斌表示,他们在资金投入上,每年的20%用于新技术和产品的开发。从比例上看,似乎并不低,但从绝对数额上讲,根本无法和国外企业媲美。贺卫东说,加上国家的许多重点科研项目经费很少用于现有产品的技术改造,这使得国内企业在新技术、新产品的推出速度方面普遍低于国际企业,在一定程度上很难跟得上安全形势,满足用户的各种需求。
 

  天元龙马公司在2004年成立一年后,销售收入就超过了1500万元,并且已经实现赢利。但仅仅靠自有资金来发展,显然不够。该公司总经理张昕慰说:做安全厂商就跟开镖局一样,最终生存下来的镖局,必须形成规模,在各地都有分舵,才能承接大单。

  联想网御总经理任增强认为,同内资本市场的不完善以及信息安全产品的特殊性,使得安全厂商不易纳金。一方面,国内资本市场没有良性的退出机制,没有真正意义上的风险投资;另一方面,国家政策要求信息安全产品实现自主可控的目标,这使得中国的信息安全企业不敢轻易引入国外的风险投资。如果企业股本中含有国外资本,是否意味着它不再是纯粹的国内企业,因而丧失原有的政府市场?

  出路何在?

  尽管信息安全被认为是中国企业掌握 IT控制权的最后机会,尽管在各个国家都有潜在的规定:信息安全关系到国家安全和社会稳定,必须由自己的企业唱主角。但记者在调查中却发现,面对全球安全业出现的整合、并购热潮,以及国外IT巨头大举进军信息安全产业的现状,国内企业大都还在价格利润低——无资金进行前瞻性研发——产品在低端徘徊的怪圈中。

  在数字时代,信息安全肩负的重担是国泰民安。信息安全企业如何走出发展的困境,需要政府、企业的共同努力。

  一方面,政府可以从法律和宏观政策上着手,为企业扩大市场领域、吸纳资金和改进基础技术方面创造一个良好的大环境。

  联想网御总经理任增强认为,目前国内的信息安全市场还是一个自发的市场,对企业没有任何强制性要求,如果国内能像美国那样,对上市公司重要信息泄露或者公众信息泄露给予法律的制裁,将带来一个巨大的市场。天融信公司总裁贺卫东也赞成这一观点,他认为趋势科技也好,赛门铁克也好,在中国市场也是表现平平,其迅猛发展主要依赖于美国、欧洲和日本市场。

  在资本市场上,可以借鉴外国政府借助风险资金加速产业发展的策略。虽然国外政府在安全领域具有很强制性的政策手段,但对安全行业的管理模式是利用上市手段从资本市场获得全球资金,大量引入全球人才,创造新的技术。沉淀积累在本土,然后向全球获取市场回报。

  天融信公司总裁贺卫东介绍,国外政府多是从技术拥有者是否是本土居民?技术资源是否在本土产生和可控?”等几个角度衡量企业的属性,而不纯粹是企业资本的性质。这样不仅可以迅速发展自有的信息安全技术,还能将产业迅速做大做实。

  对产业链中所缺乏的技术,冷飚认为,政府既要制定有利于产学研相结合的政策,促进科研成果的快速转换;又要从总体角度进行规划,并进行重点投资,摆脱安全产业在芯片设计和制造上依赖国外的局面。

  此外,大家还呼吁要建立专业、统一的认证认可制度,在统一的认证标准中,区分产品的优劣。还有专家建议,政府应推动建立一种利益集团式的技术同盟?让各个厂商提供的技术更加专业,而在整个产业层面上形成战略联盟关系,使产业在一个良好的规划中有序发展。

  另一方面,企业要研究产业发展的趋势,寻找新的业务增长点,要研究用户的真正需求,提高服务质量。

  冷飚认为,从目前全球安全产业的发展趋势来看,说明安全已经不单纯是安全厂商的问题了,而是走向了融合与综合,Cisco、微软、IBM都开始跨入这一行列。因此,国内安全厂商要跟上这一趋势,一是和国内网络通信设备厂商如华为、中兴等合作,形成互补融合;二是和自己的操作系统数据库产品以及终端设备融合,寻求整体的突破。

  曹斌认为,在未来,靠单一的产品在单一的市场上来打天下不再是长久之计,综合的安全解决方案将成为主流,安全最终将走向服务。而眼下,研究或者发现用户的潜在需求是企业需要做的事情。东软安全在进入电信领域的过程中,发现了网络运营商有许多潜在需求,例如在未来,运营商可能会对不同的用户提供不同的安全需求,以此作为其业务增长点。曹斌说,我想东软在其中应该会有所作为。

  而天元龙马总经理张昕慰则认为,对于新进入安全行业的中小企业,应该在市场的细分空间上来谋求生存和发展,既要在技术上做独到的研发,又要在现有市场上去寻找和用户贴近的粘合点。他认为,像天元龙马这样的小公司能在成立一年后,就做到赢利150万元,正是得益于此。我们不能与天融信、联想这样的安全厂商比,但我们做到了在安全管理领域的全国第一,就有了成功的机会。安全领域永远有机会,就看自己能不能把握。

  声音

  联想网御总经理任增强

  在目前安全技术还处在一种不成熟状态时,怎么能把安全产品同钢笔等办公用品一样,将价格作为采购的惟一标准呢?

  天融信公司总裁贺卫东

  当一个企业发展到一定规模的时候,它能否长大,不仅仅取决于企业自身,还要依靠整个社会环境和产业环境。

  东软集团网络安全

  事业部总经理曹斌

 政府拿钱让你去成长,你为什么没有成长上去?你为什么没有能力去抢别人的钱。去同国外厂商在电信、金融等行业企业市场进行角逐?

  天元龙马科技公司总经理张昕尉

  安全领域永远有机会。就看自己能不能把握。

 
期期必出30码网站