中国信息安全行业发展之路

最近（2007—8）在网络上看到很多关于信息安全发展趋势的讨论，我便搜集一些，做了点整理的工作，写下这篇短文，希望对解决中国信息安全行业的现状及以后何去何从有所帮助。

 

这里讲的信息安全不光包括物理介质上的设备、数据、软件等的安全，也包括了网络传输中的数据等信息的安全。早期保护信息安全的方法主要是运用密码技术，将信息人为地从一个地方传递到另一个地方，随着网络技术的发展，Internet将世界连为一体，计算机上的信息在Internet下可能完全暴露给另外一台计算机，此时信息安全开始向横向和纵深发展，不光要保护计算机上的资源和通过网络传输的信息，同时因为不安全因素增多，使得这种保护牵涉面更广、情况更复杂、代价更高，于是形成一个立体的保障体系。信息安全行业也将向着开发新概念、整合理念产品方向迈进，整体的应用上的安全解决方案是人们渴望得到的。同时，安全因素的主要产生原因也会逐步从外部入侵转变为内部泄露。

1、中国信息安全的起步历史

中国信息安全行业是随着中国连入Internet网开始的，1994年4月，中国实现了与Internet全功能连接。从此以后，中国连入Internet网的电脑数量、网站数量、国际出口带宽迅速增长。1995年5月，张树新创立中国第一家互联网服务供应商——瀛海威，将商业行为架设于Internet之上。中国电信和中国联通架设了全国性的网络系统，这使得中国的普通老百性都能畅游于Internet。Internet的接入，很大程度上改变了普通百姓的生活，同时给企事业单位带来了新的发展机遇，与此同时，病毒、木马、恶意软件、垃圾邮件、黑客入侵等安全问题被提上计事日程，中国网民越来越重视和关心自己的私人信息，企事业单位也开始认真考虑自身的安全问题。1996年，早期的信息安全公司启明星辰创立，此后，在神舟大地上一系列的安全类企业诞生了。此后的四五年里，中国信息安全行业进入了爆炸式的快速增长时期，信息安全企业纷纷建立，部分企业取得了骄人的成绩，同时，中国政府积极支持这个行业，投入巨额资金，在宣传上也下足了工夫，短短的几年时间里，信息安全这个词红遍了大江南北。在宏观上，国家为加以调控，成立了一些管理部门，1999年，中国国家信息安全测评认证中心（CNISTEC）正式成立，2001年，中国信息安全产品测评认证中心成立；另外，还制订了许多相关的信息安全法规和规范，这些都大大促进了这个行业的健康发展。

 

2、信息安全行业现阶段状况

2.1 信息安全市场规模

中国信息安全行业发展潜力巨大，有报道称中国将会发展成为世界第二大信息安全市场，先来看看中国的总体市场规模。2003年，中国信息安全市场规模为21.9亿元，2004年达到28.7亿元，年增长率31.1%，2005年为3.78亿美元，年增长率28.5%（此时整个IT增长11.4%），预计到2010年中国IT安全市场的规模将达到9.76亿美元。中国的信息安全市场规模以年均27%左右的速度增长，这样的增长速度将会大大刺激安全行业的发展。下图是2006年9月，iResearch艾瑞市场咨询发布的《2006中国网络安全研究报告》中的网络安全市场规模发展趋势图。

                   

2.2 05~06年中国信息安全领域发生的大事

2005年：

1、《中华人民共和国电子签名法》于2005年4月1日正式生效。

2、网银跨入第三方认证时代，数字证书全面启用。《电子签名法》推动了数字证书的普及应用，中国各大银行将统一使用中国金融认证中心 (CFCA) 颁发的数字证书。

从中可以看出，身份认证已成为重要的信息安全技术，3A产品有良好的市场需求。

2006年：

1、我国颁布《互联网电子邮件服务管理办法》，并于3月30日起施行。

2、安全首次成为世界电信日主题， 2006 年世界电信日的主题为“促进全球网络安全 (Promoting Global CyberSecurity) ”

3、全国最大盗窃QQ虚拟财产案告破，批捕11人获利70 多万。

4、盼望已久的全球统一标准的严格身份验证SSL证书- EV SSL 证书已经正式推出。

5、网络内容安全开始成为继防火墙、IDS、网络防病毒之后，安全领域的另一个重要领域。

从中可以看出，涉及网上交易的安全问题是脆弱的，汲待加强，同时，新技术、新概念的信息安全产品会带来新的机遇。

另外，还有下面的事：

6、EMC公司以21亿美元收购著名的身份认证公司RSA公司，IBM以13亿美元收购著名的入侵检测与防御公司ISS公司，微软同样以巨资收购Web应用防火墙专业厂商Whale等。

这意味着全球IT大公司开始全面关注信息安全技术和产品，并开始将这些信息安全技术应用在基础IT产品技术中，以便为用户提供更基础的信息安全服务。对中国而言，它给我们带来一个信息就是中国的信息安全产业将进入转型期，它意味着信息安全企业将逐步走向集中。

 

 当前，威胁网络安全的主要有木马程序病毒、蠕虫病毒、电子邮件攻击、web攻击、软件漏洞、系统漏洞、拒绝服务（Dos）攻击、IP地址欺骗、即时通信攻击、端到端攻击等。

2006年信息安全灾难性事件：

1、2006年12月，地震震断海底光缆。

2、网银用户资金频频被盗。

3、2007年1月，证券交易系统大面积拥堵，2006年爆发的股票热，证券交易市场异常火。
由此可见，中国的信息安全还有很多事要做，任重道远。

2.3 信息安全企业面临的问题

中国的信息安全企业多数是中小型企业，自身实力不强，产品多集中在中低档层次，客户群体也大多为中小型企业。以下是2002年前后网上总结的信息安全企业所面临的一些问题，到目前来讲，这些问题还多多少少存在：

²        市场 竞争领域过分集中，而且整体处于低水平的竞争状态，且这一状态日趋明显。

²        技术 在研发的前瞻性上普遍乏力，越来越不能满足用户日益增长的需求。

²        用户 除了一些重要的信息系统外，用户对安全产品的价值认同还处在一种初级阶段。

²        环境 政策与法律有待进一步完善，以及资本市场的不健全，影响着产业环境。

²        压力 近两年来面临黑客、通信厂商、操作系统厂商的多重挑战，且这种挑战正愈演愈烈。

从2002年以来，诺基亚、微软、以色列Check Point等大型公司已经将安全市场瞄准我国。思科、美国网络联盟、冠群等全球著名网络安全厂商已经在我国安全市场中设立机构，在防火墙产品销售市场中占绝对优势地位。

目前，中国和信息安全相关的企业注册有1500多家；具有研发能力的厂商350家；有自己产品的厂商187家，防火墙厂商100多家，而有成熟产品的厂商只有近80家。整个市场80%的利润，只来源于20%的厂商，可见中国的众多安全产品厂商举步维艰。（网上摘录，2002年前后）

高端市场主要被国外厂商占据，包括思科、Check Point、趋势科技、安氏；中低端市场主要是国内厂商的竞争领域，包括瑞星、冠群金辰、江民、天融信等众多公司。由于中国中小企业数量众多，国外厂商在继续保持高端市场优势的同时，也在向中低端市场发力，以扩大市场占有率；而少数实力较强的国内安全厂商也有意向高端领域涉足，毕竟进入高端市场是安全技术和实力的体现，对扩展中低端市场有非常强的影响力。

 

数据1：2007年全球安全市场的总额将从2002年的639亿美元增长为1,188亿美元，其中硬件、软件和服务的市场占有率将分别为32.4%、34%和33.6%，其市场规模平均增长率分别是11.8%、12.2%和15.8%。按照IDC对安全的新定义，安全领域可细分为物理安全、信息安全和业务连续性安全，信息安全是安全市场增长最多的领域。IDC预测，亚太区信息安全的市场规模将从将从2003年的37亿美元增长为2007年的83.4亿美元，而中国信息安全市场则从2亿美元增长为6.7亿美元，年均增长率为34%，远远超过整个亚太市场22.9%的年均增长率。 （数据来源：IDC（国际数据公司）2004年亚太安全论坛）

 

数据2：2002年底，我国国内与信息安全相关的注册公司已达1300多家，其中具有技术研发能力的350多家，有自主产品的190家，具有成熟产品的80家；已领取了安全产品销售许可证的产品有近500种，通过信息安全测评认证的产品有140多个。 （数据来源：中国信息产业商会信息安全产业分会）

 

两个统计数据给我们这样一个问题：信息安全市场容的下1300家企业吗？

答案是：过去容不下，将来更容不下。信息安全市场的高速发展的另一面就是高淘汰率。显而易见，信息安全市场越成熟，市场的资源配置会就越来越集中到更少而不是更多的公司手中，这是资本的规律。问题的关键是会淘汰什么样的企业？第一感觉告诉我们是技术，只有拥有核心技术的信息安全公司才会在激烈的市场竞争中幸存，但是如果你站在用户的角度上就会发现并不完全是这样。用户真正关心的不是你卖给他的硬件设备是基于NP还是ASIC的硬件平台，是千兆设备还是百兆设备，他关心的是你的设备能否既能保证他内部网络的安全的同时，又能兼顾正常的网络转发性能。他们最终关心不是你的防火墙是采用状态检测机制还是深度检测机制，你的IDS是基于主机的还是基于网络的，而是用了你的设备后，他的机密信息是否真正安全了，他们的内网安全在你的设备和你的安全方案下得到了真正的安全。简而言之，核心技术对用户应该是透明的，用户看的到的是厂家的服务。厂家所能提供服务水平是这个厂家的技术实力、资本实力、管理实力、市场运作实力的综合体现。限于条件，笔者(网上的作者)只能在这里提出一个假设：如果能将这四种实力进行计量形成一个加权综合服务指数，那么这个综合服务指数的排名和厂商在市场的份额应该是直接对应的。

　　这种信息安全厂商的服务随着信息安全市场的发展将积累成一种资格，而这种资格一面淘汰那些不能提供长期优质服务的信息安全厂商，一面也逐渐成为信息安全产业后来者的入场劵。现在的信息安全厂商要想利用先发优势享用更多的信息安全市场高速发展带来的丰厚利润，就必须做好他们的服务，他们的服务越好，后来者就越不容易进入这个产业。

2.4 信息安全产品

信息安全产品发展经历了从被动防范到积极防御，再到可信计算这三个阶段。在信息化建设的初期，用户受到来自某一方面的安全威胁，则迫切希望解决这方面的安全问题，如系统总是被病毒所侵扰，于是购买防病毒产品则迫在眉睫，这一阶段里，厂商提供的产品是针对某一具体问题的解决方案，产品相互间完全独立，是一种“头疼医头，脚疼医脚”的状态，因此我们称为被动防范阶段；当信息系统越来越复杂，出现的安全问题种类也越来越多时，简单堆积防火墙、防病毒、IDS等产品出现的管理难题、协同难题和升级服务难题摆在了信息建设者的面前，企业和研究机构推出了安全关联解决方案和统一安全管理平台，通过这两类特殊产品把静止孤立的安全产品连成一个集预警、监控、保护、响应和恢复于一体的整体防御体系，我们称这一产品发展阶段为积极防御阶段；在积极防御阶段，信息系统的安全性已大为提升，但并未从网络体系框架上彻底解决安全问题，信息系统的安全属性都是后加上去的，而不是与生俱来的，因此缺乏先天的安全免疫力，于是人们开始建立新的安全体系标准，努力使所有的信息产品在出厂时就具备相应的安全属性，于是安全路由器、安全计算机、安全操作系统、安全数据库，以及安全中间件等产品必将应运而生，我们将即将到来的这一阶段称为可信计算环境阶段。

信息安全专家沈昌祥院士多年来一直倡导可信计算技术和产品的开发。他预测2007年，中国有望通过加强可信计算研究，打破信息安全领域被国外企业占据主导地位的局面。

 

信息安全中的一类非常重要的产品信息安全服务，它的发展经历了从产品售后服务到构架方案服务，再到风险管理服务这三个阶段。在信息安全发展的初级阶段，用户仅仅需要面向信息安全产品的培训、安装和标准售后服务；之后用户要求安全建设者提供从物理安全到系统安全、网络安全、应用安全，直至管理安全的整体解决方案；到信息系统深入应用，以及信息安全威胁日益严峻今天，单纯的整体解决方案已经难以解决不断升级的信息安全问题，于是推动信息安全服务从方案构架服务阶段进入到风险管理服务阶段。用户要求信息安全提供商提供风险评估与资产评估服务，提供需求分析与安全策略设计服务，提供项目规划与方案设计服务，提供安全管理体系、技术体系和运作体系建设服务，以及提供安全运营外包服务。至此，信息安全逐步进入持续改善的良性发展阶段。

 

为2005年凸现出的新兴安全子市场包括：安全内容管理、统一威胁管理硬件、身份管理和访问控制。然而，中国安全服务和安全产品比例严重失调，国外的安全服务和安全产品的比例是1：1，在国内这个比例是1：9，这是由于中国客户不习惯买服务造成的，这个角度讲中国的IT安全市场缺乏安全感。

3、信息安全行业发展之前景

   

总的来说，中国信息安全行业发展不成熟，机会巨大，但其中也有很多暗礁，因此这条路是一条不平常之路，它的健康发展需要国家、安全企业、安全从业人员、网民各类人士的共同努力扶助。不过有理由相信中国的信息安全行业将会是如下前景：

1、              信息安全法律法规将逐步健全，由于信息安全是影响社会安定的大问题，因此国家会投大力气在上面，并且积极参与和支持国内的民族信息安全企业的发展。

2、              商用信息安全技术将突飞猛进地发展，在这个大环境下，企业竞争异常残酷和激烈，有可能会产生不良竞争等问题，不过实力、资本雄厚的大企业将始终起引导作用。

3、              国内信息安全企业将逐步走向融合，一方面为对抗外来信息安全企业的竞争压力，另一方面，信息安全行业本身也需要大量的资本和人力投入，小型企业很难走得很远。这期间，有可能一些新兴高科技公司会转入信息安全行业，给国内信息安全行业带来新的血液和冲激。

4、              从长远来看，中国信息安全行业还有巨大的发展空间，单单从市场规模来看就可以看出来，而且相信中国的信息安全行业远远没有达到市场饱和，而且中国的计算机行业逐步向城镇、农村发展，那么以后的人人计算机安全市场也将举足轻重，同时，由于中国经济实力、社会发展等自身问题，其安全技术还落后于欧美国家，国产高端信息安全产品很值得人们的期待呀。

5、              中国信息安全从业人员的素质将会大大提高，近年来国家大量培养了信息安全人才，但他们缺乏足够的从业时间，因此，他们要成为中国信息安全行业的中坚力量还有待时日。