目前,網絡安全成爲熱門話(huà)題,國内網絡安全市場方興未艾,在國家隊與民間隊、互聯網巨頭與中(zhōng)小(xiǎo)企業、黑帽子與白(bái)帽子的競争之下(xià),一(yī)個千億規模市場正在起航。近日,《每日經濟新聞》記者采訪調研多家知(zhī)名網安企業,解讀行業變化趨勢,通過與權威專家的深入對話(huà),深度還原産業發展背後的現實困境。
過去(qù)十年,信息安全并不被大(dà)多數企業重視。相關機構統計顯示,國内大(dà)中(zhōng)型企業在過去(qù)一(yī)年内因信息安全事件平均每家損失達240萬美元。而每年計算機及網絡犯罪活動帶來的損失超過4450億美元。《每日經濟新聞》記者注意到,來自網絡的威脅已經不再僅限于傳統IT系統,已經擴展至傳統工(gōng)業基礎設施。國内網絡安全市場規模也呈爆發式增長,企業級市場有望從目前的約100億元規模擴張到千億以上。有業内人士預計,目前國内網安市場還在起步階段,未來可能催生(shēng)萬億級别市場。
網絡威脅掣肘“互聯網+”
截至2014年底,國内網民規模達6.49億。與互聯網行業飛速發展形成鮮明對比的是,網絡安全市場的明顯滞後。廣發證券研報認爲,國内網絡安全市場從規模上僅增長了2~3倍,年均複合增速約17%,遠低于互聯網發展速度。這種不平衡的發展,顯示了我(wǒ)國企業對信息安全的重視程度不夠,大(dà)量的主機在互聯網上仍處于“裸奔”狀态。
國家計算機網絡應急技術處理協調中(zhōng)心今年5月發布的《2014年中(zhōng)國互聯網網絡安全報告》(以下(xià)簡稱《2014年網安報告》)顯示,2014年,CNCERT/CC共接收境内外(wài)報告的網絡安全事件56180起,較2013年增長了77.5%。
網站數據和個人信息洩露仍是洩露事件的重災區。《2014年網安報告》認爲,數據洩露事件仍頻(pín)繁出現,移動應用程序成爲數據洩露的新主體(tǐ)。2014年,訂票(piào)、社交、點評、論壇、浏覽器等國内多種知(zhī)名移動應用發生(shēng)用戶數據洩露事件。
醫療行業、物(wù)流行業、零售業等傳統行業,其數據大(dà)多是用戶的真實身份,而且這些行業的網絡安全意識相對落後,信息技術基礎薄弱,随着線上業務與線下(xià)業務交融,這些行業逐漸成爲隐私洩露的重災區。
《2014年網安報告》最新披露,網絡攻擊威脅日益向工(gōng)業互聯網領域滲透,已發現我(wǒ)國部分(fēn)地址感染專門針對工(gōng)業控制系統的惡意程序事件。針對工(gōng)業控制系統的攻擊方法和手段已逐漸成熟,并有能力影響物(wù)理生(shēng)産運行環境。
衛士通董事長李成剛在一(yī)次會議上公開(kāi)表示,互聯網+的時代,信息安全将作爲互聯網+的核心基因,也将連通各行各業。網絡空間已經延伸到了傳統産業的方方面面,但“互聯網+應用”中(zhōng)很多時候應用對象不重視網絡安全。
在“中(zhōng)國制造2025”的國家戰略下(xià),“互聯網+工(gōng)業”成爲推動制造業向智能化發展的重要支撐。這打破了工(gōng)業網絡與公共互聯網之間的物(wù)理隔離(lí),使得工(gōng)控系統不可避免地面對來自互聯網的各種潛在的網絡攻擊威脅。不同于傳統IT系統,工(gōng)業控制系統直接與物(wù)理現實世界相連接,其網絡攻擊一(yī)旦成功,可能造成重大(dà)經濟損失、物(wù)理和人身傷害。一(yī)位長期從事網絡安全業内人士透露,目前國内很多工(gōng)廠的智能閥門等工(gōng)控系統一(yī)度處于“裸奔”狀态。
事實上,這也是全球範圍内的“老大(dà)難”問題。長江證券研報顯示,從2012年全球各個行業成爲網絡安全目标的份額來看,制造業占比24%,位居各個行業之首。而據不完全統計,超過80%涉及國計民生(shēng)的關鍵基礎設施,依靠工(gōng)業控制系統來實現自動化作業,工(gōng)業控制系統已是國家安全戰略的重要組成部分(fēn)。
市場規模從百億到千億
層出不窮的信息安全事件引起企業重視,進而轉化爲信息安全需求,驅動信息安全行業景氣度提升。在安全事件頻(pín)出之時,也有樂觀的聲音認爲,安全防護有望一(yī)改過去(qù)在IT建設中(zhōng)無足輕重、可有可無的尴尬境地,信息安全産業迎來難得機遇。“我(wǒ)們依然處在快速成長階段。”在衛士通董事長李成剛看來,我(wǒ)國在安全領域的投入還比較低,主要投入不到信息系統投入的3%,僅占整個IT産業的2%左右,而歐美國家的這一(yī)比例通常在8%~10%。
網絡安全的投入不足也讓諸多企業付出慘重代價。依據普華永道的調查報告,2014年,受訪的内地和香港大(dà)中(zhōng)型企業在過去(qù)一(yī)年内因信息安全事件平均每家損失達240萬美元,同比增加33%。
網絡安全和互聯網産業之間的發展差距正在縮短。2014年開(kāi)始,高層開(kāi)始高度重視網絡安全工(gōng)作,成立中(zhōng)央網絡安全和信息化領導小(xiǎo)組,中(zhōng)共十八屆四中(zhōng)全會明确提出加強互聯網領域立法,政府工(gōng)作報告首次出現“維護網絡安全”表述,相關管理辦法和指導意見先後出台。“沒有網絡安全,就沒有國家安全;沒有信息化,就沒有現代化。”這句高層指示成爲中(zhōng)國網絡安全備受重視的最佳寫照。
招商(shāng)證券認爲,傳統的網絡安全需求主要局限于企業和個人,國家網絡空間安全需求的出現不僅使得網絡安全含義立體(tǐ)化,也使得行業市場空間将從目前的一(yī)兩百億擴展到千億元以上,網絡安全公司的市值空間将被打開(kāi)。
随着物(wù)聯網、雲計算等新技術的發展,以及“互聯網+”不斷開(kāi)拓的需求,國内網絡安全市場迎來高增長時代。李成剛透露,從狹義的信息安全概念來看,2014年的國内網絡安全産業規模達到321.3億元,比2013年增長21%。
在業内人士看來,這個市場的規模遠遠不止數百億。一(yī)位四川網安企業高管表示,“網絡安全意識正實實在在傳導到市場,我(wǒ)們已經感覺到市場是在加大(dà)投入。”
事實上,在四川省2015年推出總投資(zī)近3萬億元的重點項目投資(zī)計劃中(zhōng),信息安全等産業投資(zī)成爲投資(zī)重點,信息安全産業發展的新目标是2020年達到1100億元,帶動相關産業規模突破3800億元。
而四川大(dà)學計算機網絡與安全研究所所長李濤表示,現在股市上最火(huǒ)的就是IT方面,尤其是信息安全。由信息安全帶動整個國産化是一(yī)個大(dà)的戰略,有專家估計,可能催生(shēng)的市場大(dà)緻上萬億。
《《《
市場格局
網安國家隊民營隊共存誰能成長爲“大(dà)樹(shù)”
“中(zhōng)國信息安全界有數千家企業,但目前還隻是一(yī)片草地,做得比較好的企業,也隻是長得比較高的草而已。這塊草地上還沒有樹(shù),更沒有參天大(dà)樹(shù)。”在近日的一(yī)次券商(shāng)大(dà)會中(zhōng),意外(wài)亮相的衛士通(002268,SZ)董事長李成剛這樣說。
接入互聯網20餘年的中(zhōng)國,爲何遲遲未見網絡安全龍頭企業?誰可能成長爲“大(dà)樹(shù)”?國企陣營中(zhōng),以衛士通爲代表的企業從不諱言自己要做“網安國家旗艦隊”的目标,其資(zī)金實力雄厚、背靠央企集團是明顯優勢;另一(yī)邊,以BAT爲代表的民營企業也加緊布局,将網絡安全視作未來盈利的重要業務。
阿裏安全研究實驗室總監雲舒在接受《每日經濟新聞》記者采訪時表示,網安是個快速變化的行業,相比國企,民企更能快速反應,爲搶占前沿市場甚至不惜放(fàng)棄既有的業務份額。
行業處草莽階段
廣發證券研報顯示,我(wǒ)國的網絡安全市場個體(tǐ)相對較小(xiǎo),尚未形成具有全局影響力的大(dà)公司。“這還是和企業隻爲看得見的東西買單這種根深蒂固的觀念有關。”雲舒認爲,長期以來,大(dà)家對隻花錢但不賺錢的網安服務不重視,即便是要在網安上投入,也更情願買看得見摸得着的設備。大(dà)量企業主體(tǐ)對網安的重視度不夠,久而久之導緻我(wǒ)國的網安産業和公司逐漸與海外(wài)拉開(kāi)了距離(lí)。
據Choice數據端統計,A股市場上,網絡安全闆塊的上市公司有20家:聯絡互動、旋極信息、浪潮信息、飛天誠信、二三四五、東軟集團、任子行、藍(lán)盾股份、美亞柏科、星網銳捷、威創股份、衛士通、國民技術、拓爾思、航天信息、啓明星辰、北(běi)信源、立思辰、綠盟科技和梅泰諾。
其中(zhōng),衛士通、綠盟科技、啓明星辰等公司,是較早進入網絡安全行業并以此爲主業的企業代表。用李成剛的話(huà)來說,這些先行者也是在網絡安全草原上長得比較高的幾株苗子。
一(yī)位不願具名的資(zī)深網安研究者分(fēn)析,從産品來看,每個細分(fēn)領域都有龍頭。如衛士通是信息加密及身份認證方面産品的龍頭;啓明星辰在國内入侵檢測、漏洞掃描市場的占有率第一(yī);綠盟科技的優勢在于入侵檢測和入侵防禦。“不過,我(wǒ)國的網安企業的主營業務仍是賣産品,相比安全硬件和軟件,安全服務的市場份額并不大(dà)。”他表示。
廣發證券研報稱,網安硬件占産業總份額49%,安全服務和安全軟件分(fēn)别占整個産業的27%和24%。而從全球市場來看,安全服務占57%,安全軟件和安全硬件分(fēn)别僅占27%和16%。雖然我(wǒ)國安全行業與國外(wài)總體(tǐ)技術水平差别不大(dà),但産業結構卻有根本不同。
事實上,網安行業的市場趨勢正悄然生(shēng)變。上述資(zī)深網安研究者表示,以網絡安全行業最發達的美國爲例,名列前茅的網安公司是基于大(dà)數據存儲和分(fēn)析能力,将衆多類似客戶放(fàng)在同一(yī)個平台上,對其進行安全監測和預警服務的方式。國内的網安企業同樣如此,誰越能抓住平台化、大(dà)數據化、服務化的主流技術和市場方向,從賣産品爲主轉變爲平台化服務,誰就越有機會成長爲“大(dà)樹(shù)”。
互聯網巨頭搶地盤
除了主業是從事網絡安全的傳統企業外(wài),面對網絡安全的藍(lán)海,互聯網巨頭公司們也涉足其中(zhōng)。李成剛認爲,跨界競争對網絡安全産業發展帶來新挑戰,除了央企以外(wài),集成商(shāng)、互聯網公司、網絡設備商(shāng)也在進入安全領域。“比如阿裏,後台有上千人的隊伍在保障淘寶天貓、支付寶的交易安全。”
今年4月,百度宣布全資(zī)收購安全寶,将之融入百度雲安全體(tǐ)系;在剛剛結束的國家網絡安全周上,騰訊宣布進一(yī)步投資(zī)知(zhī)道創宇,并與啓明星辰聯手推出企業安全産品。
安全牛網主編王小(xiǎo)瑞認爲,這些擁有強大(dà)雲服務和大(dà)數據的互聯網公司,将展開(kāi)雲安全和大(dà)數據安全的火(huǒ)拼。今年将會有更多的安全公司被更大(dà)的企業兼并聯合,或投資(zī)或入股、或收購。
據了解,以BAT爲代表的互聯網巨頭們,也正不斷用重金将全國的頂尖“白(bái)帽子”(發現網絡漏洞的安全專家)收入麾下(xià)。一(yī)場白(bái)帽子峰會,常常能讓登台演講的白(bái)帽子身價飙升兩三倍。一(yī)位白(bái)帽子對記者表示,其團隊時常能接到互聯網巨頭公司年薪200萬元的邀請。
10年内行業格局确立
大(dà)企業的一(yī)系列并購舉措之下(xià),網安行業的中(zhōng)小(xiǎo)型民營企業的生(shēng)存環境也發生(shēng)了變化。四川無聲信息技術有限公司董事長黃勇表示,雖然網絡安全行業的發展大(dà)方向是向好的,但對中(zhōng)小(xiǎo)民企而言,其生(shēng)存境況會更加艱難。一(yī)方面這種體(tǐ)量較小(xiǎo)的公司,很容易被大(dà)企業兼并、收購;另一(yī)方面,從用戶接受度而言,黨政軍部門在選擇網安産品和服務時,對有國資(zī)背景的網安企業具有先天的認同優勢,接受民企則有一(yī)定過程。
網絡安全專家張瑞冬對記者分(fēn)析道,優質的網絡安全服務不是一(yī)次性的賣産品或是出事故後堵漏洞,而應該是動态的長期維護,甚至需要網安公司時常進行上門測試服務。在這點上,擁有強大(dà)專業團隊的本地網安公司比總部在北(běi)京的大(dà)型網安公司更能提供方便的服務。“BAT也好,國資(zī)背景的網安公司也罷,都不可能把這個市場全盤吃下(xià)。”
事實上,網安行業不乏細分(fēn)技術水平領先的中(zhōng)小(xiǎo)企業。“比如有的公司專做災難備份的特色領域,十多年的技術積累後,也做出了自己的特色。”李濤舉例稱,現在關于信息安全的龍頭該怎麽劃,這個還真的沒有什麽定論。中(zhōng)小(xiǎo)企業不一(yī)定要做全産業鏈,針對一(yī)兩個最擅長的技術下(xià)功夫效果會更好。“行業目前的市場格局還不清晰,但在未來5~10年内就會沉澱下(xià)來,有些公司會崛起,有的則走向末路。”
《《《
未來趨勢
“老三樣”難擋新型攻擊手段解決網絡安全現在流行“平台化”
網絡漏洞風險向傳統領域、智能終端領域泛化演進。令人眼花缭亂的新型攻擊方式,逼迫防禦手段不斷轉型升級,同時也逼迫網絡安全行業轉型。目前看來,入侵檢測、防火(huǒ)牆、防病毒“老三樣”正在向平台化方案轉變。“我(wǒ)們過去(qù)站在别人肩膀上進行信息化建設,突然有一(yī)天别人不讓我(wǒ)們踩肩膀了,怎麽辦?”衛士通董事長李成剛說。盡管自主技術、自主品牌、自主标準至關重要,但國産化道路依然艱巨。
物(wù)聯網、雲計算、大(dà)數據和智慧城市等相關新興技術發展的同時,出現了新一(yī)代信息安全問題。
四川大(dà)學計算機網絡與安全研究所所長李濤告訴記者,在已建成的物(wù)聯網系統中(zhōng),傳感器在感知(zhī)層面幾乎沒任何防禦能力。《每日經濟新聞》記者了解到,新技術帶來的威脅正在逼迫網絡安全行業轉型。網絡安全企業正從此前單純售賣“老三樣”安全設備,向以數據分(fēn)析爲基礎的平台化整體(tǐ)服務轉變;從事後處置、事中(zhōng)應急,向事前預警靠攏,這一(yī)新技術形态,被認爲是未來的發展趨勢。
在安全服務商(shāng)努力推進平台化服務的同時,基礎網絡設備商(shāng)也在加緊國産化進程。中(zhōng)國工(gōng)程院院士倪光南(nán)對記者表示,CPU、操作系統和交換機等核心軟硬件的自主、可控,是應對網絡安全新挑戰的關鍵。
網絡攻擊滲入多個領域
據媒體(tǐ)報道,某品牌的電(diàn)動汽車(chē)車(chē)載控制系統的安全漏洞曾被黑客利用,能遠程控制車(chē)輛開(kāi)鎖、鳴笛、開(kāi)啓天窗,甚至有高級黑客現場演示控制心髒起搏器,遠程殺人于無形之中(zhōng)。“物(wù)聯網本身的設計在技術上有一(yī)定的脆弱性。”李濤告訴記者,“比如傳感器,現在在建的、已經建成的物(wù)聯網系統,在感知(zhī)層面實際上幾乎沒任何防禦能力。”
惠普旗下(xià)應用安全部門Fortify曾審查過10款高人氣的物(wù)聯網設備,發現竟存在250個安全漏洞,平均每款25個。
國家互聯網應急中(zhōng)心今年5月發布的《2014年我(wǒ)國互聯網網絡安全态勢報告》(以下(xià)簡稱《2014安全報告》)顯示,雲服務正日益成爲網絡攻擊的重點目标,移動應用程序成爲數據洩露的新主體(tǐ),“漏洞風險向傳統領域、智能終端領域泛化演進。”
李濤還告訴記者,目前針對雲計算中(zhōng)心出現了新的攻擊手段,“有人把雲控制了,運用雲計算中(zhōng)心去(qù)攻擊别人。”
平台化方案成趨勢
令人眼花缭亂的新型攻擊方式,也逼迫防禦手段不斷轉型升級。“2005年以前,安全行業固守着‘入侵檢測、防火(huǒ)牆、防病毒’老三樣。”一(yī)位信息安全資(zī)深專家告訴記者,早期的信息安全是被動防禦,如今“以平台化的服務爲主,在數據中(zhōng)發現入侵痕迹,對攻擊行爲進行預判、阻止,必然是一(yī)種趨勢。”
衛士通董事長李成剛表示,“安全不是單一(yī)的産品,不是給你一(yī)套密碼設備、一(yī)個防火(huǒ)牆,安全是一(yī)個過程,到最後,安全是一(yī)個服務。”
阿裏巴巴安全研究實驗室總監雲舒認爲,目前平台化的服務有了海量數據作爲支撐,“不少公司的數據存儲、分(fēn)析和處理能力比較強,以雲平台爲載體(tǐ)聚合大(dà)數據,通觀全局,進行安全監測。”
在網絡安全專家張瑞冬看來,傳統網絡安全進行的事後處置、事中(zhōng)應急,是“亡羊補牢”,“現在要在攻擊發生(shēng)前做預警。”“從第二屆網絡安全宣傳周上,已經看到一(yī)些基于數據分(fēn)析的平台化整體(tǐ)服務産品了。”上述專家告訴記者。
國産化道路艱巨
《2014安全報告》顯示,當前我(wǒ)國在能源、制造、交通等衆多工(gōng)業領域的核心硬件設備、軟件産品仍然大(dà)量依賴于國外(wài)進口,基礎網絡設備仍存在較多安全漏洞風險。
“我(wǒ)們過去(qù)站在别人肩膀上進行信息化建設,突然有一(yī)天别人不讓我(wǒ)們踩肩膀了,怎麽辦?”李成剛說。
倪光南(nán)在接受《每日經濟新聞》記者采訪時表示,自主技術、自主品牌、自主标準對于我(wǒ)國信息通信産業乃至整個社會穩定和經濟發展都至關重要;國産化首先可以做到“自主可控”,然後做到“安全可信”。
據招商(shāng)證券研報梳理,基礎網絡設備領域的國産化已初見成效。比如服務器已經湧現出華爲、浪潮科技、曙光科技本土巨頭;數據庫随着華勝天成與IBM在源代碼層面的合作,未來存在反超可能;操作系統領域,中(zhōng)标軟件和麒麟操作系統占據國内40%以上市場份額……
實際上,國産化道路依然艱巨。“我(wǒ)們做出來的産品,市場承認度比較小(xiǎo)。”李濤認爲,“自主可控”的網絡安全缺少一(yī)條完整的産業鏈。
《《《
公司樣本1
“國家隊”衛士通:背靠中(zhōng)國網安瞄準全産業鏈
作爲網絡安全市場“國家隊”的代表,衛士通(002268,SZ)是A股最早的信息安全上市公司,其加密産品領域的龍頭地位已頗爲穩固。在資(zī)本市場,衛士通亦可謂風生(shēng)水起,公司股價從2012年階段性底部爬升至今,漲幅超13倍。
在網絡安全這塊千億大(dà)蛋糕的劃分(fēn)中(zhōng),衛士通已經顯露出其“野心”。6月18日晚間,衛士通公告其國有股權無償劃轉至中(zhōng)國電(diàn)子科技網絡信息安全有限公司(以下(xià)簡稱中(zhōng)國網安),公司實際控制人未發生(shēng)變更,仍爲中(zhōng)國電(diàn)科。
衛士通因謀劃非公開(kāi)發行自5月8日起停牌,但停牌期間的這次股權劃轉意義非凡。身兼中(zhōng)國網安、衛士通董事長的李成剛,曾在6月中(zhōng)旬的一(yī)次會議上透露了中(zhōng)國網安的“國家隊标杆”目标以及衛士通的網絡安全全産業鏈戰略。
控股股東變爲中(zhōng)國網安
5月份以來,衛士通股價已上漲近四成。作爲國内極少數同時具有商(shāng)密的研發、生(shēng)産、銷售資(zī)質以及商(shāng)密和涉密頂級資(zī)質的企業,且是唯一(yī)國資(zī)控股的信息安全上市公司,衛士通備受資(zī)金追捧。
2014年,衛士通完成與大(dà)股東旗下(xià)的三零盛安、三零瑞通和三零嘉微的重組。彼時,關于組建中(zhōng)國網安及成爲電(diàn)科集團信息安全相關資(zī)産證券化平台的猜測就不斷傳出。直到6月18日,衛士通才公布了其劃入中(zhōng)國網安旗下(xià)的消息。
工(gōng)商(shāng)注冊信息顯示,中(zhōng)國網安注冊資(zī)本20億元,2015年5月8日成立,股東爲中(zhōng)國電(diàn)子科技集團公司。在成都舉行的一(yī)次會議上李成剛曾表示,中(zhōng)國網安目前的成員(yuán)單位主要是依托專業從事電(diàn)磁頻(pín)譜安全、軌道交通安全的中(zhōng)國電(diàn)科33所,從事信息安全、網絡通信、網絡對抗的中(zhōng)國電(diàn)科30所,還有中(zhōng)電(diàn)科技(北(běi)京)公司,主要有計算機可信固件方面的相關資(zī)源。
對于中(zhōng)國網安的定位,李成剛透露,中(zhōng)國網安在全國目前有2個所、5個事業部以及10家子公司(未包括衛士通),公司要成爲國家網絡信息安全的龍頭企業,成爲國際知(zhī)名的信息安全技術和産品的服務提供商(shāng),成爲國際領先的全生(shēng)命周期高安全級信息系統供應商(shāng)。
據此前中(zhōng)國證券報報道,中(zhōng)國網安的目标是2017年收入超過100億元,淨利潤超過10億元。未來不排除集團部分(fēn)子公司進入上市公司,也不排除通過兼并重組形式,整合社會資(zī)源,最終實現資(zī)産證券化。
在上述會議上,李成剛曾公開(kāi)表示,“中(zhōng)國的信息安全界有數千家企業,但是目前還隻是一(yī)片草地,像中(zhōng)國網安、啓明星辰、中(zhōng)國電(diàn)子等也隻是這塊草地上長得比較高的幾顆草而已,還沒有樹(shù),更沒有參天大(dà)樹(shù),所以我(wǒ)們希望中(zhōng)國網安成爲參天大(dà)樹(shù)。”
打造全産業鏈戰略
對于正在準備定增計劃的衛士通來說,融資(zī)的目的已經初步顯露。李成剛曾表示,網絡安全産業發展資(zī)本的力量作用明顯,很多企業都是通過資(zī)本運作的方式來對外(wài)實現資(zī)源整合。
長江證券此前的研究亦指出,中(zhōng)國電(diàn)科組建中(zhōng)國網安大(dà)力發展信息安全産業,同時四川省強力支持,中(zhōng)國網安的願景是打造中(zhōng)國信息安全的旗艦企業,而公司作爲電(diàn)科集團旗下(xià)唯一(yī)的信息安全上市平台,将充分(fēn)發揮平台整合作用。
衛士通的發展戰略,從中(zhōng)國網安的布局中(zhōng)亦可以窺探一(yī)二。李成剛透露,中(zhōng)國網安将構建信息安全産品、安全信息系統、信息安全服務與測評、安全運營及系統安全集成五大(dà)業務闆塊,成爲國内最大(dà)的集網絡安全技術、産品、服務、運營爲一(yī)體(tǐ)的綜合供應商(shāng)。“我(wǒ)們搞的是互聯網++,是互聯網+應用再+安全,安全是互聯網任何地方都離(lí)不開(kāi)的。”李成剛透露,中(zhōng)國網安7大(dà)新業務領域包括雲計算安全、網絡監督預警、移動互聯網安全、工(gōng)業控制系統安全、自主高安全網絡與信息系統、安全運營服務、物(wù)理電(diàn)磁安全。
全産業鏈一(yī)體(tǐ)化供應商(shāng)戰略也是衛士通的發展方向。2014年,公司通過重大(dà)資(zī)産重組,收購三零盛安、三零瑞通和三零嘉微三家信息安全企業,形成從芯片到模塊、從單機到系統的信息安全完整産業鏈。
2014年,衛士通實現主營業務收入12.36億元,增幅60.45%,歸屬于母公司所有者的淨利潤1.19億元,增幅62.17%。因重組标的企業納入衛士通合并範圍,公司産值規模由2014年的4.58億躍升至2015年的12.36億,增幅高達170%。
《《《
公司樣本2
“民營隊”綠盟科技:從賣産品到賣服務向“平台化”進軍
六月初,第二屆國家網絡安全宣傳周上,綠盟科技(300369,SZ)網站安全預警與檢測平台首次亮相,通過該平台,能達到事前防微杜漸的目的。
雲安全服務正在快速升溫,通過技術創新,綠盟科技謀求轉身平台化服務。其技術水平已得到業内認可,據2013年IDC報告,在安全軟件廠商(shāng)的競争力展望中(zhōng),綠盟科技位居中(zhōng)國首位。
在外(wài)界看來,以綠盟科技等“民營隊”爲代表的企業将與“國家隊”瓜分(fēn)市場。面對強有力的勁敵,綠盟科技通過技術快速叠代,同時以“企業級客戶”爲主打,摸索出差異化競争的路線。
綠盟科技證券代表杜彥英接受《每日經濟新聞》記者采訪時表示:“對于‘國家隊’這個競争對手感受不明顯,公司服務的是市場化程度較高的企業級客戶。”
提供平台化整體(tǐ)服務
信息安全是技術密集型行業,技術與研發水平成爲靈魂。
據2014年年報顯示,綠盟科技的研發投入1.6億元,占營收的22.91%,在以往較高比例的基礎上略有增加,将繼續鞏固其技術優勢。
依托技術研發和持續創新,綠盟科技逐漸形成了網絡入侵檢測/防禦系統、抗拒服務系統、遠程安全評估系統等組成的網絡安全産品及服務體(tǐ)系。其領先的研發優勢也受到了信息安全行業的認可,2013年綠盟科技獲“國家漏洞庫一(yī)級技術支撐單位”。
本月初,在第二屆國家網絡安全宣傳周上,綠盟科技現場展示了基于SDN技術的雲環境下(xià)惡意行爲監測系統,并首次展示網站安全預警與檢測平台。“技術人員(yuán)基于此平台對用戶安全進行7×24小(xiǎo)時的監控,若是出現攻擊行爲,将排查平台上其他用戶的風險,遏止傳染性爆發。”杜彥英告訴《每日經濟新聞》記者,随着互聯網+時代的到來,市場傾向尋求智慧安全、一(yī)體(tǐ)化解決方案,“向雲安全平台的轉化也順應了市場走向,我(wǒ)們将根據用戶的具體(tǐ)業務,提供完整的解決方案”。
早在2012年,綠盟科技首席戰略官趙糧就曾提出,“充分(fēn)利用雲計算技術和思想來創建或變革現有的安全防護技術和産品”。杜彥英對記者表示,“公司是國内第一(yī)家進入雲計算和雲安全領域的網絡安全廠商(shāng)。”安信證券更是将其定義爲“信息安全雲交付模式的開(kāi)創者”。
雲安全服務正在快速升溫,“誰能在平台化、大(dà)數據化、服務化的技術上有所突破,誰就将赢得市場。”一(yī)位從業近20年的網絡安全專家告訴記者。
然而從其2013、2014年報的主營業務構成中(zhōng),記者發現,其安全産品占比仍然較大(dà),分(fēn)别爲72%、75%;安全服務在營收中(zhōng)占比略有下(xià)降,分(fēn)别爲27%、24%。從賣産品向提供平台化整體(tǐ)服務變身,看來還有一(yī)定的過程。
尋求差異化競争
2000年就成立的綠盟科技,是最早進入信息安全行業的企業之一(yī)。2014年1月登陸資(zī)本市場,其成長性被外(wài)界看好。然而,與“國家隊”企業相比,“民營隊”在資(zī)源、資(zī)本、技術方面都有差距。
面對“國家隊”和同行搶食蛋糕,綠盟科技正在摸索差異化競争路線。
以衛士通爲例,其在2014年報中(zhōng)表示,“将繼續重點開(kāi)拓政府、軍工(gōng)、金融、能源等與國計民生(shēng)相關的領域”。相比之下(xià),綠盟科技定位爲“企業級網絡安全解決方案供應商(shāng)”,避免了與其正面厮殺。
綠盟科技年報顯示,2013年分(fēn)行業收入排名中(zhōng),政府占25%,運營商(shāng)占25%,金融占17%,能源占9%,并逐步在電(diàn)信和金融兩大(dà)安全領域站穩腳跟。綠盟科技下(xià)遊行業覆蓋更廣,業務增長不單單依賴于政府的需求拉動。
近年來随着中(zhōng)小(xiǎo)企業信息安全意識的提高,綠盟科技還在直銷之外(wài),開(kāi)啓了代銷模式。綠盟科技表示,去(qù)年上半年簽約了32家區域總代理,擴展了銷售渠道。此外(wài),由于在入侵檢測和入侵防禦方面深耕多年,如今借助網絡完全預警和檢測平台,綠盟科技有意從傳統安全設備廠商(shāng)向平台化整體(tǐ)服務轉變。
杜彥英對《每日經濟新聞》記者表示,“企業實現的應該是商(shāng)業行爲,對于‘國家隊’這個競争對手感受不明顯。公司服務的是市場化程度較高的企業級客戶。”
“對企業來說,網絡安全是成本一(yī)部分(fēn),每年的支出相對固定。”杜彥英告訴記者,這會使綠盟科技在這一(yī)塊的營業收入不會爆發性增長,公司的對策則是不斷開(kāi)拓新行業,發展新用戶。
用戶對于網絡安全的認知(zhī)也是影響其市場擴張的因素。杜彥英表示,“目前國内的客戶更傾向于買你的安全設備,把盒子放(fàng)在企業,進行安全防禦,就放(fàng)心了”。綠盟科技表示,除了賣産品,希望企業提高對“持續性整體(tǐ)服務”的接受度。
《《《
公司樣本3
“BAT隊”阿裏網安:告别“裸奔”變身“神盾局”
不久前,阿裏巴巴對國内網絡安全公司韓海源的收購,引發了業界的讨論——阿裏爲何會收購一(yī)家安全公司?
事實上,作爲互聯網行業的先行者,以阿裏巴巴爲代表的互聯網巨頭們,布局網絡安全業務已久。阿裏巴巴的安全部門也被人們稱作是阿裏巴巴最神秘的部門“神盾局”。阿裏的網絡安全算盤是什麽?“神盾局”又(yòu)是如何運作的?
近日,《每日經濟新聞》記者(以下(xià)簡稱“NBD”)專訪了阿裏巴巴安全研究實驗室總監雲舒,他大(dà)學本來學的是經濟類專業,卻因爲喜歡網絡安全而果斷肄業,投身網絡安全的浪潮中(zhōng)。在2009年阿裏雲成立之初,他加入阿裏,負責雲安全設計。2014年阿裏成立了安全事業部,雲舒又(yòu)加入其中(zhōng),負責安全研究實驗室的工(gōng)作。
阿裏網安曾裸奔4年
NBD:網絡安全是一(yī)個要花錢但不容易賺錢的業務,所以很多公司最初對網絡安全不重視,阿裏是否也經曆過這樣的階段?
雲舒:阿裏是1999年成立的,但直到2002~2003年才有安全方面的人才進來,中(zhōng)間大(dà)概四五年時間處于網絡安全裸奔狀态。最開(kāi)始是大(dà)家不了解有網絡安全這個東西,後來知(zhī)道了,但覺得是花錢的東西不願意去(qù)做。後來重視了又(yòu)肯花錢了,但也經過一(yī)兩年的時間才完全做起來,直到現在做得比較好的這個階段。
當初,我(wǒ)們在公司也會做一(yī)些安全策略、制度建設方面的東西,還有員(yuán)工(gōng)出來吐槽說,阿裏的安全部權力很大(dà)又(yòu)管得很寬,所以阿裏的安全建設是用強力手段來推動的。
阿裏的安全部也曾是一(yī)個比較邊緣的部門,到現在才成爲地位很重要的一(yī)個部門,職員(yuán)有1000多個,首席風險官直接彙報給集團CEO。而且,經過了長時間的建設,我(wǒ)們已不僅僅是一(yī)個部門的概念了,更像是一(yī)個安全公司,連做安全産品銷售的職務都有。
NBD:阿裏是如何建設自己的網絡安全人才隊伍?
雲舒:近年來,阿裏持續用重金網羅全國的頂尖“白(bái)帽子”群體(tǐ),可見如今對安全人才非常重視。除此以外(wài),我(wǒ)們還會到高校去(qù)尋找人才。我(wǒ)也時常到全國各大(dà)高校去(qù)宣講,看到不少同學都對網絡安全行業充滿熱情。
但我(wǒ)們在招募的過程中(zhōng),也确實發現大(dà)學裏信息安全專業學科才剛剛起步,學校教的偏理論、缺少實踐課程。所以我(wǒ)們也經常和學校溝通,和很多高校聯合起來做阿裏巴巴技術聯盟,去(qù)引導學生(shēng),帶領他們走有實際效果的方向。
生(shēng)産物(wù)聯網安全産品
NBD:阿裏安全研究實驗室主要做哪幾方面的業務?
雲舒:首先是研究最新的攻擊和防禦手段,這塊是我(wǒ)們一(yī)直保持不丢的業務,也是根基。
在此基礎上,我(wǒ)們會看未來3~5年的行業方向,圍繞這個方向去(qù)做研究。比如我(wǒ)們看到可穿戴設備和智能家居是未來的一(yī)個重要方式,這技術趨勢就是從PC到移動端到物(wù)聯網的必然發展結果導緻的,所以我(wǒ)們現在做物(wù)聯網智能家居的安全産品,目前已經有幾個國内大(dà)型智能家居企業和我(wǒ)們合作,用我(wǒ)們的安全産品。
另外(wài),現在很多安全服務都是針對技術層面的,業務層的風險控制被忽視掉了。舉例而言,如果有人在網站上惡意注冊賬号、惡意點贊等,就會擾亂你網站的正常業務和信用體(tǐ)系。比如某些音樂網站,就可以通過操作大(dà)量賬号投票(piào)的方式,把一(yī)個音樂頂上去(qù)。防止惡意操縱的方式,就是業務層的風險控制,而管理員(yuán)對這種業務層的行爲了解得比較少。
阿裏有維護淘寶10多年的經驗,對淘寶、支付寶交易的風險控制有充分(fēn)的優勢,所以我(wǒ)們也會通過機器、模型、策略等方式,來做業務層的安全服務,現在國内能做這塊的還不多。
NBD:看來阿裏的安全業務,已不僅是保護阿裏自己平台上的客戶了,還可以外(wài)延到更廣闊的市場上去(qù)賺錢?
雲舒:沒錯,我(wǒ)們的阿裏雲盾就有相當不錯的收入,但具體(tǐ)多少現在還不能說,也許明年就可以說了,總的來說安全業務能給阿裏帶來可觀的收入。
《《《
人物(wù)專訪
四川大(dà)學計算機網絡與安全研究所所長李濤:民企也可争當信息安全“國家隊”
網絡安全行業的“小(xiǎo)草”、“大(dà)樹(shù)”之争正在上演,有企業争當年營收50億元的龍頭,有的希望做細分(fēn)行業的尖兵。那麽,行業裏的“國家隊”和“民營隊”各自有什麽優勢?政策這根指揮棒該往哪兒指?
近日,四川大(dà)學計算機網絡與安全研究所所長李濤在接受《每日經濟新聞》記者(以下(xià)簡稱NBD)專訪時表示,“國家隊”是能夠拿出代表國家實力、解決國家安全問題的隊伍,而不是狹義指代國企、央企。在企業的定位上,李濤認爲,龍頭企業注重信譽,小(xiǎo)企業在專業技術上突破,更适合彼此發展。
談及網絡安全的人才培養,李濤提出需要“規範化”,技術精英缺乏思想教育,培養出來的或許是“定時炸彈”。
信息安全産業薄弱
NBD:有統計顯示,截至2014年底,在已經上市的幾家安全公司中(zhōng),未有出現市場占有率超過10%的企業。爲什麽會出現這樣的格局?
李濤:我(wǒ)國的網絡安全産業,包括一(yī)些上市公司,規模都不是很大(dà)。這是客觀存在的問題,也反映出信息安全比較薄弱,需要大(dà)力培養高水平的信息安全隊伍。最近,中(zhōng)央提出打造信息安全“國家隊”,加強國家信息安全産業,通過國家隊的幫助,帶動信息安全産業的發展。
企業規模相對較小(xiǎo)也有産業本身的原因。從國際上看,從事信息安全産業的公司,比如美國的賽門鐵克規模也較小(xiǎo)。
與我(wǒ)國類似,美國也有很多小(xiǎo)的從事信息安全的公司,主要原因是信息安全用戶的需求多樣化。政府、企業、個人的需求都不同,用戶的資(zī)金實力也導緻需求不同,一(yī)個公司要想滿足所有的安全産品需求很困難。信息安全是一(yī)個平衡問題,你越要安全種類就越多。
另外(wài),不像IT行業其他領域有很成熟的模式,包括産品的研發、生(shēng)産、銷售到推廣,信息安全行業還沒有非常固定的模式。
NBD:您提到打造信息安全“國家隊”,未來是否有“國家隊”和“民營隊”之分(fēn)?
李濤:“國家隊”的概念很容易讓人誤會,帶“國”字頭的是信息安全的“國家隊”,這種理解很片面。
我(wǒ)們所說的信息安全“國家隊”,是國家呼喚一(yī)批代表國家實力的一(yī)些公司,能夠解決國家問題的信息安全隊伍。就像體(tǐ)育比賽,國家隊和省隊、市隊、縣隊的區别。從産品服務來看,更多是技術層面的區别。
中(zhōng)國電(diàn)子産業集團、中(zhōng)國電(diàn)子科技集團等很多央企都還處于争當信息安全“國家隊”的階段。這些企業在政策、資(zī)源、資(zī)本上有一(yī)定優勢。但是,也不可以小(xiǎo)視民企,它們的創新機制更加靈活,比如華爲、阿裏巴巴等。從某種意義上看,他們也代表了國家水平。
我(wǒ)認爲,信息安全“國家隊”不是狹義的國企、央企概念。現在國家的政策比較好,大(dà)家都可以去(qù)争當信息安全的“國家隊”,提高國家信息安全的技術、産品和服務水平。
信息安全産品必須國産化
NBD:企業分(fēn)層發展和全産業鏈布局,哪一(yī)種更适合未來的網絡安全行業?
李濤:個人覺得信息安全市場現在比較混亂,未來5~10年會沉澱下(xià)來。有些公司可能會消失,有的會崛起。不過,現在對信息安全龍頭企業的劃分(fēn),沒有定論。
這個與信息安全的特點有關。首先,要信譽好,别人才來請你來做安全防護。其次,這個市場具有排他性,中(zhōng)國的信息安全企業要進入白(bái)宮肯定不行,反之亦然。從某種意義上說,國内外(wài)企業在市場層面正面交鋒的可能性越來越小(xiǎo),但保護國家安全的對抗會越來越激烈。
我(wǒ)認爲,現在的需求過于廣泛,中(zhōng)小(xiǎo)企業應在自己擅長的方面做好研究。比如,在我(wǒ)國災難備份方面,成都一(yī)家企業就做得非常有特色。
NBD:我(wǒ)國的網絡安全行業是否需要政策先行?
李濤:國家政策在一(yī)些關鍵領域采取了行政幹預方式,涉及國家部門、央企、銀行、金融、證券、交通等領域。爲了保障國家安全,信息安全行業的産品必須國産,即使投入大(dà)點也是值得的。通過政策引導,實現信息安全産品的國産化。
NBD:相比國際水平,我(wǒ)們在技術上還有一(yī)定差距,該如何解決?
李濤:實際上,最重要的是人才問題,現在信息安全人才還是比較缺乏,國家需要加強這方面的宣傳和培養,尤其是這方面的企業。我(wǒ)建議,一(yī)定要加大(dà)投入,否則會嚴重影響我(wǒ)國的信息安全。
NBD:一(yī)位“白(bái)帽子”黑客說國家對他們的身份認同存在尴尬,您如何看待網絡安全人才培養?
李濤:怎樣培養出真正對國家有用的人才非常重要,培養需要規範化。打個比方,訓練軍人不光是要求軍事素質過硬,還要在政治思想上進行教育,否則訓練出來的不一(yī)定是保衛國家的人才,可能變成“定時炸彈”。
李濤:最重要的是人才問題,現在信息安全人才比較缺乏,國家需要加強這方面的宣傳和培養,尤其是這方面的企業。我(wǒ)建議一(yī)定要加大(dà)投入,否則會嚴重影響我(wǒ)國的信息安全。
《《《
人物(wù)專訪
“白(bái)帽子”黑客張瑞冬:互聯網用戶安全意識薄弱是最大(dà)風險
在信息安全領域中(zhōng),所有研究智取計算機安全系統的人員(yuán)統稱黑客。但在黑客的世界裏,又(yòu)有“正”與“邪”兩個陣營,分(fēn)别是以破壞網絡安全來獲取個人利益的“黑帽子”和維護網絡安全的“白(bái)帽子”。
22歲的張瑞冬創建的“白(bái)帽子”團隊,長期居漏洞查找排行榜首位。一(yī)次次漏洞曝光,奠定了張瑞冬團隊在圈内的“牛人”地位。
近日,《每日經濟新聞》記者(以下(xià)簡稱NBD)在成都專訪了這名年輕的黑客。在張瑞冬看來,“白(bái)帽子”們最大(dà)的優勢,就是通過模拟惡意黑客的攻擊方法,監測網絡系統的實際安全性,提前發現漏洞或缺陷,并進行必要的修補。
自學成才的“白(bái)帽子”
NBD:能談談您的“白(bái)帽子”成長史嗎(ma)?
張瑞冬:我(wǒ)可能不是鑽研程序和代碼的“黑客男”,玩的更多是邏輯性的東西。13歲去(qù)銀行取錢時,我(wǒ)發現ATM機的程序有一(yī)個邏輯漏洞,可以讓人取錢以後銀行卡的餘額不改變。
比如,取1000元,我(wǒ)拿走其中(zhōng)9張留1張,90秒以後系統會顯示超時并把這一(yī)張收回去(qù),但系統在收回去(qù)的過程中(zhōng)是沒有做點鈔機制的,顯示的餘額沒有減少。這就是典型的業務邏輯漏洞,後來我(wǒ)幫助銀行解決了這個問題。
NBD:“白(bái)帽子”們往往非常年輕,而且大(dà)多都不是學計算機的,您怎麽理解這一(yī)現象?
張瑞冬:的确如此,以我(wǒ)們團隊爲例,10多個人中(zhōng),隻有兩人有大(dà)學以上學曆,一(yī)個是生(shēng)物(wù)學博士,一(yī)個是物(wù)理碩士。其餘人基本是初中(zhōng)、高中(zhōng)學曆,我(wǒ)自己隻有初中(zhōng)文憑。據我(wǒ)了解,BAT的安全部門中(zhōng)有一(yī)半的技術人員(yuán)都沒有大(dà)學文憑。
我(wǒ)們這群人大(dà)多從小(xiǎo)就對電(diàn)腦網絡感興趣,通過閱讀相關書(shū)籍和大(dà)量的實踐與思考自學成才。高校裏的網絡安全培養方式理論性太強,而且往往是正向思維,缺乏用攻擊思維來防守的實踐課程。
NBD:您怎樣理解黑客從事網絡安全的特點?
張瑞冬:傳統的安全産品,是用防禦類設備對抗攻擊設備,但畢竟設備的匹配規則是死的,攻擊者可以繞過設備。所以,傳統的設備已經攔不住攻擊者。
我(wǒ)們這群“白(bái)帽子”黑客非常熟悉“黑帽子”的行爲,可以完全模拟“黑帽子”的行爲,找到脆弱點,然後提出一(yī)套完整的修補建議,漏洞修補後再測試。
用戶安全意識差
NBD:人們一(yī)提到黑客就會聯想到網絡破壞,這種誤解會對網絡安全人才隊伍的發展産生(shēng)不利影響嗎(ma)?
張瑞冬:公衆對黑客的理解确實有些誤解,黑客本身不是一(yī)個負面形象。在我(wǒ)看來,黑客就是對技術的極緻追求,發現問題、質疑權威、充滿好奇。我(wǒ)喜歡鑽研邏輯問題,想刨根問底研究系統中(zhōng)有沒有邏輯漏洞,這就是黑客思維。黑客這個稱号是對技術的極大(dà)肯定,我(wǒ)非常樂意别人叫我(wǒ)黑客。
事實上,黑客群體(tǐ)中(zhōng)的網絡安全高手輩出,高校裏的培養方式實用性不夠強。我(wǒ)們團隊曾做過幾次實踐類型的安全培訓,白(bái)天在烏雲網上找一(yī)些漏洞案例來講解,晚上帶大(dà)家實戰。但這些實戰也不是真正去(qù)黑别人,我(wǒ)們寫一(yī)套系統,導師帶着學員(yuán)學習攻擊手段。
不過,後來這個課程被叫停了,理由是涉及“黑客教程”。所以,這是一(yī)個悖論,一(yī)方面國家的網絡安全行業缺乏“白(bái)帽子”人才;另一(yī)方面黑客的社會身份又(yòu)很尴尬。
NBD:我(wǒ)國接入互聯網逾20年,網絡安全與互聯網發展的程度似乎并不匹配,您認爲網絡安全行業最薄弱的環節是什麽?
張瑞冬:我(wǒ)認爲最薄弱的環節還是用戶安全意識太薄弱。我(wǒ)們經常處理一(yī)些應急事故,發現真正高難度入侵行爲是很少的,導緻事故頻(pín)發的原因是,用戶密碼設置太簡單或者是操作失誤。
我(wǒ)曾幫一(yī)家上市公司做網站安全測試,他們的系統很安全,測了半天也沒有找到問題。後來我(wǒ)發現該公司有内部交流的QQ群,點擊加入,立馬就把我(wǒ)放(fàng)進去(qù)了。進去(qù)後,我(wǒ)發現群共享裏有個文件夾,文件夾的名字叫公司各種系統密碼。就這樣簡單,我(wǒ)輕易獲得該公司系統密碼。這是很普遍的問題,互聯網用戶的安全意識薄弱,對安全的管控能力比較差。
張瑞冬:我(wǒ)認爲最薄弱的環節還是用戶安全意識太薄弱。這是很普遍的問題,互聯網用戶的安全意識薄弱,對安全的管控能力比較差。