随着信息化的广泛推进与互联网的深入渗透,信息安全的需求已经变得无处不在。习总书记的论断就反映了这点——“没有信息安全就没有信息化,没有信息化就没有现代化”,“网络安全和信息化是一体之两翼、驱动之双轮”。不管是哪个行业,不管是产品,还是服务,信息安全是重要的属性,是系统保密性、完整性、可用性等的重要保障。
政府网站被挂上反动页面,官方媒体被插入色情信息,反映了信息安全的政治效益,更不用提面向一个国家重要机构的APT攻击;电子商务网站被攻击导致网购业务中断、电脑中毒导致网游账号或银行账号被偷,反映了信息安全的经济效益;手机个人隐私被窃取、钓鱼WIFI等引发公众恐慌,反映了信息安全的社会效益。但在过去二十年里,国内对信息安全的意识相对淡薄,只有发生了一次又一次的事件,相关部门、相关民众才有所注意;很长的一段时间内,国内信息安全厂商过得很艰难,靠政策吃饭,靠安全事件营销,信息安全的市场很小,但投入不低,从业人员的薪酬也普遍偏低。
这两年来严重的信息安全事件、政策的大幅度倾斜明显的提升了整个社会的安全意识,也吹来了国内信息安全市场蓬勃发展的春风。根据《信息安全产业“十二五”发展规划》,到2015年,我国信息安全产业规模达670亿,保持年均30%以上的增速,高于全球的信息安全产业20%的增速。调查还发现,美国信息安全投资占IT总投资的8%~12%,我国仅为2%~3%。参考美国信息安全行业发展史,受各种安全事件影响,美国政府信息安全直接投入同比历年均有大幅度增长,特别是2002年增加了64%。在各种因素的综合作用下,我国政府及人民对信息安全的认知将极大地改变,潜在的信息安全需求将快速释放,政府将加大信息安全产品的采购,而军队、金融、电信等行业在信息安全体系建设上的投资也将不断增加,多个知名证券分析机构也指出整个中国信息安全行业市场规模增速有望达到20~30%。
中国的信息安全行业走到现在,国家政策起到相当大的作用,2000年十五届五中全会将“强化信息网络的安全保障体系”作为信息基础设施建设的一部分;2003年《国家信息化领导小组关于加强信息安全保障工作的意见》对信息安全保障工作进行了全面部署,并提出了“推进信息安全产业发展”;2004年十六届四中全会把信息安全与政治安全、经济安全和文化安全提到同等高度;2006年的《2006~2020年国家信息化发展战略》将建设国家信息安全保障体系作为战略重点,并明确“促进我国信息安全技术产业自主发展”;2011年《进一步鼓励软件产业和集成电路产业发展的若干政策》明确提出“完善网络环境下消费者隐私及企业秘密保护制度,逐步在各级政府机关和事业单位推广符合安全要求的产品;2012年《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》将信息安全提到与信息化发展同等重要的地位;2013年十八大三中全会成立国家安全委员会,提出确保国家网络与信息安全的要求;2014年,成立了规格最高的由习总书记担任组长的中央网络安全与信息化领导小组,指出“没有网络安全就没有国家安全”,“网络安全与信息化是一体之两翼、驱动之双轮”的战略思想,各省市陆续成立省级网络安全和信息化领导小组,并开始落实国家信息安全政策。此外,一些部委也发布了引导性的政策,如2014年9月,银监会发布《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》,要求在金融机构使用包括安全产品在内的国产IT产品。习主席2015年访美时将网络安全列为重要议题之一,并开启中美网络安全对话。
政策的倾斜,首先响应的是政府类市场,当前政府部门越来越重视信息安全,特别是在全国各地推动智慧城市建设后,各级政府领导为减少因信息安全事件产生的追责,会提出信息安全责任外包的业务,这时提供服务的信息安全厂商就应当挑起大梁,基于技术扎实的团队,主动的把安全责任接过来,提供全生命周期的信息安全保障。例如浙江丽水智慧城市建设中,业主就提出除了总集成商、电信运营商之外还需要有独立的、专业的、第三方信息安全服务方,后来明确由杭州安恒全权负责丽水智慧城市云计算中心的信息安全,即将信息安全风险完整的转移、外包。
在熬过了艰难的几年后,如前所述,“棱镜事件”、政策的引导让中国的信息安全市场发生变化,众多欧美安全厂商被逐出中国,国内信息安全企业开始获得了几倍于前期的生长补给。但总体来看,当前国内信息安全厂商企业规模普遍偏小,市场集中度分散,收、并购已经成为信息安全厂商加强技术实力或引进新技术的有效手段。仅2014年,见诸报道的收、并购案就有近10起,如启明星辰收购书生电子、赛贝卡、合众信息,绿盟收购亿赛通、安华金和、深之度、敏讯等等。2015年国内信息安全企业进入扩充、联合、兼并的活跃期,虽然当年的下半年受股市影响,形势有所变缓,但大型信息安全企业在品牌、人才、研发、技术、产品、客户等方面的优势愈发明显,创新型小安全企业通过各种方式抱团增强力量的做法也时有出现。
在这样的背景下,信息安全市场的淘汰力度将日趋增强,也不排除进入巨头时代。目前,中国有近千家各类信息安全厂商,其中有些OEM企业依靠地域性的人际关系以及强大的营销手腕来生存。由于现在政府层面想切实提升国家整体的信息安全技术,很有可能会出台以核心技术及专利水平为基准的准入门槛,仍走OEM模式的企业可能就无法继续生存——实际上,这两年来信息安全各类资质的认证与评测程序变得严格就已释放出了这种信号。对于小的信息安全厂商与OEM厂商而言,现在还多出了像华为这样的通信业巨头以及原本做信息化服务的周边企业等竞争对手,如百度、腾讯、阿里巴巴以收购或投资的形式涉足信息安全领域,例如腾讯2015年注资5亿到知道创宇,阿里高调收购瀚海源。尽管还有些技术创新型厂商一向以技术为竞争筹码,但与华为等巨人企业对抗,胜算也很小。
前面的分析表明,当前国内信息安全市场既充满了商机,也是竞争重重,时不我待,想切取蛋糕,必须赶快行动。对于公司战略层面而言,要积极投入,不管是人还是钱。互联网时代,技术日新月异;习总上台后,全社会倡导实干,有落地的技术才能有长远的发展。公司管理方面,学习互联网公司,实行扁平化管理是趋势。(本文写于2015年初,当年股灾之后,信息安全方向的整体投入有所减少,质疑信息安全投入效益的声音继续出现,类似的还有威胁情报领域)
需要指出的是,现在IT技术从业人员以80后为主,甚至有部分是90后,这批人思维活跃,崇尚平等,有部分人在有创意的同时个性远比60后、70后的前辈要强。出现了新兴的安全公司与老牌安全公司之间的理念、产品的碰撞。