2011年信息安全展望

 

总体上，2011年信息安全市场将延续前几年的发展势头，继续保持快速扩张的态势，国内安全市场仍会保持20%左右的年增长率。2011年关注的对象主要有移动终端安全、云计算和虚拟化安全、应用安全平台和内网（终端）安全。

随着移动互联、智能手机等移动终端的不断普及，2011年移动终端的安全威胁（如手机病毒和木马）将成为新的关注对象。

会如人们所料，云计算和虚拟安全将在2011年成为热捧的话题。但由于云计算的安全问题本质上并不是新的安全问题，甚至不需要新的安全技术和产品。一般认为，云计算安全问题的解决靠三个途径：一是虚拟化的厂商负责提供虚拟隔离以防止不同系统之间数据的交叉泄露；二是应用产品提供商负责应用系统的身份鉴别、鉴权控制、审计和数据保密；三是依赖客户和云服务提供商之间的信任关系以解决客户对数据安全的顾虑。所以，在云计算安全领域，我预计2011年虽有很热烈的讨论，但不会有什么新的重大突破，传统的安全厂商也很难真正介入。云计算数据中心的安全防护技术和产品也是传统的技术手段，无所谓新的突破。

2011年是“十二五”的开局之年。在刚刚过去的“十一五”期间，电子政务得到了长足进展，内外网建设取得了明显成效。有理由相信，新的五年计划里加速推进应用系统建设、保障应用系统安全以充分发挥电子政务内、外网作用和信息安全基础设施的作用，将会成为新的关注点。作为基础设施和应用系统之间的桥梁，一种新的平台产品“应用安全支撑平台”将于2011年成为电子政务的热门话题。在这一年里，大型或有政府背景的信息安全企业将会推出应用安全平台类的产品。

内网安全延续2010年迅速发展的势头，继续受到关注，但2011年电子文件保护将成为内网安全的重点内容。国家有关部门开始高度关注电子文件安全，这将使电子文件安全在接下来的几年里成为内网安全的最主要特征。密级标识、电子文件保密、木马威胁防御、传播途径控制、操作监控、运动轨迹跟踪、泄密责任认定、文件交换共享和数据彻底销毁等，构成电子文件安全的主要研究内容。

实际上，各跨国公司一直寻求进入中国市场，纷纷与国内公司合作进入中国市场。2011年国际间的合作将会出现新的特点，其一是各跨国巨头公司通过技术层面的渗透，使产品你中有我、我中有你，方便进入国内市场；其二是通过整体解决方案的模式，在客户信赖的整体解决方案中囊括跨国公司的产品与技术，并向国内客户提供网络与信息安全服务，跨国公司在这个过程中依靠的是具有良好口碑的、具有实力的系统集成商或有能力提供安全整体解决方案的服务提供商。

 

 

最有可能被热炒的概念是云安全，而云计算应用的成熟度及云安全本身的特点决定了云计算安全在2011年里不会取得突破性进展。还有可能成为热点话题的是信息安全消费市场的免费策略，继去年360拉开的免费序幕，2011年将有更多的公司推出免费的产品与服务，这将给个人消费市场造成较大冲击。

综上，预计2011年信息安全领域将流行“云计算、虚拟化、应用安全平台和免费”等关键词。

 

 

 

可以肯定的是，2011年几乎所有的成熟安全厂商都会云计算安全、移动互联安全方面作出自己的计划，有着政府背景的企业会在应用安全支撑方面有所设想。

对于具有政府背景的信息安全提供商而言，政府、军队和军工企业将得到安全市场的青睐；数据防泄密、内容安全、政策合规定性产品和技术是2011年新的增长点。传统“集装箱”式安全防护措施进一步转向企业内部的细粒度的内部安全防护，对上述产品和技术提出了急迫的需求。另外，无论是大家热衷参与的云计算安全，还是倍受政府关注的电子文件安全，数据防泄密、内容安全和政策合规性技术和产品都是其中的重要内容。很显然，对于高度市场化、对政策依赖度不高的小企业来说，新的增长点应在巨大的企业用户，例如制造业企业、高新技术企业等。

中小企业或创业型信息安全企业2011年将在资金积累上面有频繁动作。受创业板上市的刺激和创业投资资金的影响，很多中小型企业正在进行上市前的股份制改造，如MBO和融资，在资金上形成积累。资金积累一方面使得人才资源和技术资源逐步聚集，另一方面，大鱼吃小鱼的并购故事会陆续上演，这种现象在2011年还会持续升温。由于聚集效应，在内网安全与数据泄露保护等市场会出现较大厂商，进一步和竞争对手拉开距离。

究竟是大而全、还是小而精更有生命力，不能一概而论，要具体情况具体分析。一般情况下，对于创业型的中小企业，专注某一领域更适合其生存和发展；对于具有规模的成熟企业，具备完整的解决方案才可能提供大而全的产品和技术服务。

 

 

 

 

如果将用户简单地分为企业级用户和个人消费类用户两种，那么企业级用户将延续2010年的销售态势，对于个人消费类用户免费态势将越来越明显。针对免费服务的盈利模式，会在2011年里得到更多的探讨和实践，会有新的厂商推出免费产品与服务。

奇虎360的战略将极大地影响市场格局，一方面不可避免地招致同行的不安和指责，另一方面带动了相当多同行的跟进和效仿。厂商之间的用户纠纷，由于政府所呈现的影响力以及用户感受给厂商所造成的压力，这些厂商将会吸取2010年的教训，2011年的竞争会变得更加理性和规范，不管采取何种竞争手段都会更多地照顾客户感受和政府态度。

现在的用户群与过去的区别在于，他们的安全水平和安全意识越来越高，在产品和技术采购方面表现得越来越理性。整体而言，价格竞争以前不是用户考虑的最大因素，今后也不是。用户首先关心的是技术、产品和服务是否真正解决了他们的问题。价格竞争只是在特定情况下、特定领域里才出现的暂时现象，一般在某类产品成熟期，价格竞争才会得到用户的认同。根据我们的经验，不同用户也有所不同看法，小企业考虑成本多一些，大企业考虑质量多一些。

 

 

政府对安全市场的重视在不断加强。应该说，政府目前所营造的安全市场环境已经比较有利于产业的发展，估计近期国家不会出台针对安全市场大的新动作。

国家反复强调的“自主可控”实际上给安全市场提供了更广阔的空间。从基础的终端、服务器和操作系统、数据库，到中间件、应用系统、运维保障，都要求自主可控，所有方面都对信息安全提出了更高要求。

这些要求对信息安全厂商产生了一系列影响，信息安全必须与第三方结合才能发挥其作用。在整体安全市场上，传统的提供防火墙、入侵检测或防御、数据防泄密等安全厂商面临很多新的情况，第一，在安全市场新的空间里，具有安全咨询能力的厂商将具有更多优势和机会。用户从“集装箱”式的安全转到对内部细粒度的安全控制，要求厂商不仅能提供规范统一的安全产品，还能提供针对客户特定需求的解决方案，这个过程中，传统的安全厂商面临转型任务；第二，传统安全厂商存在来自于设备提供商、基础软件提供商和应用软件提供商的压力，设备提供商和基础软件提供商利用其自身的技术优势和客户优势，在其设备中和基础软件中加入安全特性从而战胜单一的安全产品提供商；应用系统开发商最了解客户对应用系统的安全要求，相比之下，应用系统开发商更有能力给客户提供量身定制的安全应用系统和安全服务。

希望国家加大力度扶持国内安全企业，从市场准入、税收优惠、政府采购等方面进一步加大对国内企业的扶持力度，希望政府在加快信息安全人才培养，规范产品认证制度，规定财政支持项目中安全设施达到的必要水平，进一步鼓励和刺激信息安全产业的发展。

关于等级保护。“十一五”国家实施了网络信息安全等级保护制度，这对于我国网络和信息安全发展具有重大、深远影响，对于合理配置资源、有效保护网络信息安全具有极其重要的意义，在宏观层面极大地拉动了整个产业的发展。在具体实施上来看，拉动了信息系统测评评估的市场需求；规范了产品开发，促使产品安全功能达到某种等级的要求和自身的保护功能；规范了咨询评估行为，促进产品得到正确的部署和配置。