时间:2023-05-15 15:21:03
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇信息安全产业市场,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
然而值得我们欣慰的是近两年IT经济普遍走向低迷的状况下,信息安全市场稳重有升,持续保持住增长。虽说目前这个产业市场容量目前还不大,但对于刚刚起步的信息安全产业,潜伏着巨大的市场潜力。
按照经济学的观点,我们划分信息安全行业为:“导入期,成长期,成熟期,衰退期”四个阶段。
导入期
中国信息安全市场的导人期已经过去,但其时间发展较长,从1997年至2000年末期。这时期的特点一般为:市场增长率较高,需求增长很快,技术变动较大。行业中的企业主要致力于开辟新用户和占领市场,但此时技术尚不成熟,行业竞争状况和用户特点等尚不明朗。竞争较少,但风险很大,利润很少甚至是亏损。
成长期
目前中国信息安全市场已进人成长期,这一时期的特点为:市场增长率很高,需求高速增长,技术渐趋定型,行业竞争状况和用户特点比较明朗,顾客对产品的认知能力迅速提高,产品形成差别化趋势以满足顾客不同的需求,生产能力呈现不足;市场竞争逐渐形成,进人壁垒拔高,企业应付风险的能量得到增强,利润呈加速增长态势。
成熟期
预计在未来的5、6年安全行业就会进人成熟期,那个时候,行业竞争激烈,盈利能力下降,进人壁垒更高,企业利润不再增长甚至开始回落。中国的信息安全主要市场已经被瓜分。就算有新的产品进人,由于国家政策和行业规范的壁垒,新产品也会被已有的行业瓜分成员所享用。
衰退期
信息安全行业很难估计这个时期,由于存在长期的需求和技术进步的推动力,这一时期应该很长。
影响信息安全行业发展的主要因素
目前中国信息安全市场正处在成长期的时候,国内的信息安全市场虽然增长很快,但是问题不少,信息安全市场还远未成熟。当前信息安全领域主要存在以下主要问题:
安全应用需求不明,当前市场上存在的众多错误概念和混乱意识,使得刚刚开始形成安全意识的企业用户莫衷一是。在众口一词“满足用户需求”的宣传口号下,信息安全厂商是否真正满足了用户需求?一个客观的不容忽视的现状是:信息安全市场是越来越大了,产品是越来越成熟了,可是我们的用户们却越来越迷惘了。
信息安全公司的销售人员往往向用户宣称自己的产品是最好的,可是购买了他们的产品就安全了吗?装上杀毒软件和防火墙,甚至人侵检测就万事无忧了吗?如果不知道花钱能不能得到效果,那么还不如不花。这个清况代表了一部分,甚至是大部分企业用户的想法。事实上,我们的用户已经在市场的热情攻势下迷惑了,市场和需求完完全全地脱了钩。这是因为,作为用户根本不知道自己到底需求什么,而厂商为了推销自己的产品和服务对用户加以误导。
产业结构失调,产品过度集中,低水平重复严重。现在的安全产品的开发“扎堆儿”现象严重,有特色的产品少,重复投资现象严重。由此带来的市场竞争非常激烈。由于防火墙、防病毒产品和IDS的热销,新进人的厂商多半也集中在这几个领域。目前,仅开发防火墙的厂商就有200多家,就三两个人,把Li~操作系统改一改就做一个防火墙的现象非常严重。
核心技术受制于人,我国的信息化建设,基本上是依赖国外技术设备装备起来的。在国际财团涌向我国信息化建设的市场,大举推销电子信息设备之时,我们却在相对缺乏知识和经验的情况下,存在着一些花钱买淘汰技术和不成熟技术的现象,这其中就潜伏着信息安全隐患的极大危险。我们的计算机软件也同样面临受人遏制和封锁的威胁。虽然我国的计算机制造业有很大的进步,但其中许多核心部件都是原始设备制造商的,我们对其的研发、生产能力很弱,关键部位完全处于受制于人的地位。
国内几千万台计算机(包括服务器)CPU是英特尔和AMD公司的产品(由于厂商在芯片上安有序列号,可以通过网络监视远程计算机);操作系统80%的使用微软视窗,余下一部分也基本上被其它公司瓜分;大型数据库大多数使用ORACLE、DBZ、SQLSERVER、INFORMIX等国外数据库;另外,承载防火墙的硬件设施目前也大多被国外控制,包括路由器。所谓“超级端口”的隐患,以路由器为例:当路由最高管理层丢失了超级密码,几乎所有的路由器都提供一个特别端口,可以使管理员绕过口令重新设置密码,而这样的设置其实在方便管理的同时,也为在线攻击者留下了人侵的机会。无疑,这些都是国家安全系统无法接受的。
技术水平相对于国外的同类产品还比较落后,产业化水平较低。在我国自主开发产品并不在少数,但技术水平相对于国外的同类产品还比较落后。目前除了在密码方面有政策保护之外,其他产品在技术及性能方面不占任何优势,尤其在防火墙、防病毒及人侵检测方面完全是国外产品一边倒的局面。应该说信息安全产品的技术含量是非常高的,这就要求知识积累一定要充足,才能开发出有竞争力的产品。国内安全产品市场近八成高端用户的首选是国外产品,而国内厂商整体上是以技术模仿和重复投资的手段争夺区区几亿元的低端市场。
信息安全行业缺乏统一管理,多头管理严重。中国对信息安全的管理太过分散,没有一个有实权、有效率的专管部门。各职能部门在信息安全管理上没有明确分工,各类上级主管部门都不想放弃对信息安全行业的管辖。各种各样的销售许可、人围许可、资质认证、产品测评,对厂家而言除了付出几十万的测评费用不说,还耗费了大量的人力、物力,令厂商苦不堪言,疲惫不堪。这种种现象严重阻碍了我国安全软件产业的发展。
缺乏产业政策引导,政府对信息安全产业的发展没有明确的总体设计思路,安全厂商在缺乏总体框架引导的情况下,发展方向不明确,导致我国的安全产业缺乏主流产品的引导,而仍处在混战之中。人才问题,有人才能做一切,这是没什么争辩的。
如何提高信息安全企业的核心竟争力
面对以上信息安全行业存在的诸多问题,我国的信息安全企业如何能突出重围,确保企业在激烈的市场竞争中立于不败之地呢?对一个企业来讲,如何打造企业的核心竞争力是至关重要的一环。当然,核心竞争力可以是多种多样的,它可能是某项技术;可能是企业管理;可能是一种产品;可能是企业文化也可能是某种人才;或者是它们的某种组合。总而言之,真正的核心竞争力是那些能使企业获得竞争优势因素,针对不同的企业,其内容也是不一样的。但是,核心竞争力还是可以通过改善一下方面来加以提。
当有那么一批优秀的国内安全企业享足了本土的给养、当众多的机遇和挑战摆放在国际的大舞台上,
国际化就成为业界同仁们,甚至社会各界人士,迟早要面对的事。
IT产业作为国家产业的领先阵地,信息安全做为IT产业的阵地前沿,自然首当其冲地感受国际化的浪潮。
入关
得知中国入世之后,我的心情也很复杂,总的来说是两句话,第一句话是非常高兴,入世肯定会让中国面貌一新。第二句话,入世所带来的冲击是现实的。首先来说入世是会带来冲击,入世的本质是政府的承诺,承诺遵守世界通行的游戏规则。――――――――――吴敬链
中国入世,并没有象大家想像的那样,东西便宜得不得了,也没有象专家预言的那样,民族产业面临崩溃的境地。不管现实如何,一个不争的事实是,国际巨头纷纷进驻中国,开始把中国纳入全球市场的版图,成为重点攻关的对象,因此有人说,21世纪,世界经济的中心在中国。
信息安全是IT产业的第一淘金圣地,这源于个人与企业旺盛的安全需求,随着网络爆炸式的发展,病毒与黑客也迅速跳入每个人的视野,它们已经象网络一样成为一个社会词汇,正在真真切切威胁着人们的电脑安全,于是安全产业这块蛋糕逐年增大,如今已经形成一个数千亿美元的巨大市场。信息安全产业与其它产业不同的是,它是一个讲究积累的产业,随着时间的推移,会形成越来越高的行业和技术壁垒,这些壁垒一旦形成,将会形成一个相对垄断的市场,天然阻隔其它企业的进入,几家寡头共同分享一个市场,为企业提供稳定的利润来源。纵观国内信息安全市场,这么多年始终是几个熟面孔,金山公司用了五年时间,经过多场营销大战,才在反病毒市场打拼出一片天地。
但是,这种行业壁垒并不能阻止国际信息安全巨头的进入,他们技术积累的时间更长,起步也更早,具有更强的攻击力,另一方面,他们早已渡过资本积累的初级时代,积累了大量的金钱,在中国入世之后,它们显然已经把中国作为新的淘金场,携先进的技术与充盈的资金,纷纷入关。
赛门铁克公司早在1998年就进入了中国市场,如今已经牢牢坐稳了企业反病毒市场的头把交椅;安氏集团在1999年建立了安氏中国有限公司,经过几年的渗透,已经同政府建立了良好的关系,开始参与政府机关的某些安全项目;趋势科技于2001年进入中国,是最早推广防毒墙的信息安全厂商,具有综合的实力;而具有最好的反病毒公司之称的卡巴斯基公司,于2004年进入中国,一进入中国便引起了行业震动,虽然在市场端还没有太大的作为,但是国际巨头进入中国市场已经成为定局,就象三百年前的清兵入关,新旧国际巨头的交替进入,将会使中国的信息安全市场更加扑朔迷离。
困斗
真的猛士,敢于直面惨淡的人生,敢于正视淋漓的鲜血。这是怎样的哀痛者和幸福者?然而造化又常常为庸人设计,以时间的流驶,来洗涤旧迹,仅使留下淡红的血色和微漠的悲哀。
――――――――鲁迅
在国际化的形势下,我们还没走出去,国际列强就已经走进来,在与国际巨头的短兵相接中,国内企业可以取长补短,增强体质,在家门口做好准备。
不过,对于中国信息安全产业来讲,形势要好得多。纵观整个信息安全市场,硬件领域由天融信、启明星辰等国内企业控制着市场的大半;软件领域由瑞星、金山、江民完全掌控,虽然趋势、熊猫等国际巨头携防毒墙攻城略地、赛门铁克还在企业防病毒市场盘据,但是国内厂商经过这几年的技术与资金积累,开始纷纷出招。金山、江民在两年前推出了企业级反病毒产品,瑞星在推出企业反病毒软件四年之后,又推出了防火墙、防毒墙、网控等硬件信息安全产品,开始全面介入信息安全市场,就连国内信息安全二线厂商安天公司,也推出了独有的用于大网监控的VDS网络病毒监控系统,以独有的技术亮点蚕食着信息安全市场。因此,中国并没有形成象日本那样的,几乎没有本土信息安全企业的信息安全殖民地状态。
究其原因,首先是我国本土信息安全企业的自身特色决定的。有人说,中国人最适合编软件,虽然有着强烈的民族色彩,却是事实,正是由于经济的落后,人的思想才没有被成熟的工业化变得体制化,才会有那么多的奇思妙想来完成有创意的软件。有人批评中国软件的非工程化而赞赏印度,并把印度注重实现不重视优化的做法归结为软件产业的成熟,这对于应用类软件来说或许是必要的,但是对于安全软件来说,就是一种桎梏。安全类软件都工作在系统最底层,任何一个小的毗漏都可能造成系统崩溃,因此任何一个功能都是反复雕琢的结果,这种对技术追求的结果是印度至今还在做着世界的软件工厂,而中国却已经有了自己成熟的产业。
还可以看到,当世界上已经有了成熟的特征码查毒技术时,江民在自身条件基础上创立了广谱特征查毒的方法,在AVP已经积累了上千个脱壳模块后,瑞星却绕过这种积累创立了虚拟机查毒技术,在赛门铁克只删不杀的反病毒策略下,国内企业打起了完全清除病毒的旗帜,还将实时监控完善成一个庞大的监控体系,使个人防火墙成为安全软件的标配,这些都构成了国内安全厂商自身的技术特色,成为与先行者角逐的资本和后来者必须跨越的门槛。
政府壁垒也是国内信息安全厂商困斗的利器。就象美国政府当年扬言不向中国出口128位的加密产品那样,国家政府机构的安全问题也不会交给国外厂商来打理。因此,在政府、军方的安全产品采购方面,国家清一色地选择了国产安全产品,象瑞星的企业版、天融信的防火墙最初都是在这种情况下发展起来的。而趋势、安氏等国际企业也是在中国建立了完全的本土化企业之后,经过数年的政府攻关,并在重大事件之前标榜自己将完全站在中国国家立场,才得以在政府方面的采购中有所收获,而国家出钱的安全项目,是毫无例外和本土安全企业进行合作的,启明星辰是最大的受益者。对于这类政府壁垒,即便是经济最开放的美国尚且谨慎,更不用说是发展中国家了,这不在开放之列,也是国内信息安全企业能够走向成熟的一个重要的内部环境。
亮剑
古代剑客们在与对手狭路相逢时,无论对手有多么强大,就算对方是天下第一剑客,明知不敌,也要亮出自己的宝剑,即使倒在对手的剑下,也虽败犹荣,这就是亮剑的精神。―――――《亮剑》
说到底,中国市场只是国外企业众多触角中的一只,与国内企业斗得再苦也不会对他们产生太大的伤害,他们早在资本主义大后方建立起了庞大的帝国,就象黑客帝国的MATRIX一样控制着整个世界,只要时机成熟他们可以以毁灭者的姿态倾销自己的产品、技术、服务,在打击中国信息安全市场之后重建游戏规则和秩序。
全球范围内有超过600家年销售额超过1000万美元的IT安全企业在抢夺着市场,而且新的安全公司还在不断兴起,加入信息安全市场的角逐,仅2004年,文本控制的公司从 4个发展到 14个,补丁管理的公司从 6个发展到 16个,安全配置管理的公司从 11个发展到 17个,扫描和风险评估的公司从30个发展到40个,这些公司都依靠自己国家的环境发展,并会在条件成熟后迅速切入国际市场。
在安全产业领域内部,还存在着一些问题,比如所有的IT安全产品类型都在为同样的公司资源而竞争,量化投入产出很困难,太多的解决方案淹没了管理人员,潜在的客户对需求、优先的工作和技术选择非常困惑,大单位不愿意为启动重要安全系统花钱等等。因此,国内企业不能只在自己的家门口争食,还要走出去,直接挺进国际市场。
国际化意味着本土优势很可能不适合国际市场的胃口,依赖于中国民众使用习惯与观念的特色技术也很有可能在国际市场上行不通,因此如何让别人接受你是国际化的第一步。老外在工业化的过程中发明了各种各样的标准,关于质量的有ISO9000系列,关于软件开发的有CMM系列,要想将自己的产品国际化,就必须首先拿到这些执照,否则无照经营,国际市场是不认的。
2009年“险中取胜”
在很多人眼中,信息安全很重要,但却是一个难以出现大企业的行业。经历了2009年“险中取胜”的中国本土信息安全企业,要想谋求更大的发展还需做出发展思路的转变。
孙定: 2009年,随着信息安全行业主管部门的机构调整,等级保护等信息安全工作的推进也不像之前那么高调了。这种情况是不是给我们的信息安全产业造成一些新的问题?2009年,网御神州的发展情况如何?
任增强: 确实如此。2009年,政府机构的变化给信息安全行业也带来了一些思路的变化。但是,作为信息安全建设的一项基本工作,我相信等级保护工作一定会持续、稳定地向前推进。主要有两方面的原因: 第一,等级保护工作的开展有益于信息安全行业的健康发展; 第二,等级保护工作对整个国家的安全建设有巨大的支撑作用。其实, 2009年等级保护在政府各个机构的信息安全建设中发挥了明显的作用,我相信2010年等级保护的推进力度会继续加大。当然,这项工作的推进也会促进信息安全企业产品、服务的相应升级。
对于网御神州来说,2009年与2008年形成了鲜明的对比。参考2006年和2007年的发展情况,2008年初期我们制定了“大干、快上”的发展路线,但受雪灾、地震以及金融危机的影响,全年我们仅实现了20%左右的增长。2009年则截然不同,考虑到金融危机的“余威”,年初我们制定的目标也比较保守,甚至一度认为业绩只要不出现下滑就是胜利。但从目前的统计结果看,我们全年实现了50%左右的增长,这有点“险中取胜”的味道。
2009年的取胜,首先应该得益于信息安全行业的特殊性。受金融危机的影响,企业对自己核心数据的保护意识加强,从而加大了在信息安全方面的投入。其次,应该归功于我们在产品创新、用户需求方面的突破。2009年8月,我们了业内领先的SOC2.0概念以及相关新产品,实现了在安全管理领域的再次领先,也进一步扩大了我们“安全管理市场第一”的优势。同时,我们以客户需求为中心,研发推出了泰山红日“小包王”系列,解决了很多用户在小包上遇到的难题,这也成为我们业绩快速增长的关键点。
信息安全企业一向求稳,但如果能够放开手脚发展,信息安全产业的发展速度也是不容小视的,只不过现在的信息安全市场还是一个温和发展的市场。当然,信息安全企业要适应产业将来快速发展的速度,就必须做出思路转变。
孙定: 如果等级保护能够在全社会推行,对政府、对所有企业来说都是一个规范的过程。那么,安全企业为用户提供的业务服务样式是否应该发生一些变化呢?
任增强: 你说得特别对。其实安全要真正起作用,它应该是各个方面配合的整体方案,而不仅是某一个产品在起作用。等级化其实就是从系统的角度来看怎么保护用户的安全,厂家必须要适应这个方向。
我们很早以前就在推系统级的等级保护――可控安全。这里的可控安全是指局面是可控的,实现这种可控的关键是我们的SOC系统管理平台。它以SOC为核心,用技术手段实现对风险的统一管理和控制,从而实现整个安全局面的可控。它不仅能提供强有力的产品,同时还能提供整体的安全风险解决方案,必将成为信息安全行业内新的发展趋势,很有幸,我们率先迈入了这一领域。
中小企业、家庭、3G的新机遇
本土信息安全企业要实现规模突破就需要找到新的发展机遇。我们关注的新兴市场包括中小企业信息安全、家庭信息安全,以及3G信息安全等。
孙定: 您认为, 2010年中国信息安全的新兴机遇在哪里?
网御神州科技有限公司总裁任增强
任增强: 首先,政府工程仍然是很大一块市场,比如电子政务的推进、税务等专业系统的建设。其次,就是政府投资拉动的社会信息工程建设,如社保系统、医疗系统等。在金融加大监管、电信加大投资的背景下,未来信息安全的机会有很多。我们正在关注的新兴市场包括中小企业信息安全、家庭信息安全,以及3G信息安全等。
如今中小企业十分活跃,各类公司不断涌现,很多企业为了降低成本都开展网上业务,当这种业务达到一定规模以后,加强网络信息安全建设就成为必然。以美国为例,由于美国的中小企业尤其活跃,所以美国信息安全企业的投入也很多。
另一方面,随着中国经济的发展、人们的财富尤其是个人财富的增加,网上交易开始日益发达。有的家庭甚至已经有了几台电脑,这些电脑上用于网上交易的银行账号都需要管理。所以,一个家庭除了物理上的“门”之外,还需要在虚拟的网络里设一个“门”。无论是中小企业还是家庭用户,对安全产品都有很高的要求,即未经授权的人无法开启,而自己能简单、快捷地开启。因此,这些产品虽然属于低端产品,但也需要高端的技术和服务。
此外,随着3G的日益成熟,3G的安全问题也开始备受关注,我们在2006年就开始着手手机安全领域的布局,这一方面我们已经走在了大多数信息安全厂商的前面。
孙定: 本土信息安全企业的发展需要技术和服务创新来支撑,网御神州也是非常热衷创新的民族信息安全企业代表。网御神州为什么要不断创新?创新是信息安全企业发展的必由之路吗?
任增强: 中国GDP如今已是世界第二,要实现从第二向第一的跨越,科技创新是主要推动力。面对资源有限的环境,只有用自主创新产生新的附加值、用科技手段充分提高效率,我国经济才能在整体上有一个质的飞跃。信息安全行业更是如此,要想成为一个国际性的企业,就需要研发有特色的企业产品,而这些必须依靠创新。
网御神州的创新节奏把握得还是不错的,我们有自己的创新脉络: 2006年、2007年,我们的重点在于市场发展的高速; 2008年我们在品牌上做了很多工作; 从2008年后半期到现在,以及未来若干年内,产品技术上的创新将是主流。
这两年我们的发展速度比别的厂商快得多,2009年公司研发投入占了总投入的55%,研发人员达到了公司总人数的50%。研发总是体现了技术的前瞻性,比如我们独立研发的多核操作系统Secos,在业界率先实现了全线多核; 接着是SOC2.0平台,以及“小包王”的出现,这种创新速度是业内其它厂商无法比拟的。
我们希望通过这两三年的积淀,公司产品能够在业界全面打开局面。现在我们的SOC、“小包王”已经有明显的领先优势了,我们也希望其它产品实现新的突破,这对我们整个业务发展会有很大的推动作用。
孙定: 除了产品和技术的创新,我们的服务创新最近有怎样的发展呢?
任增强: 中国信息安全服务还有很大的发展空间。在美国市场,服务已经占整体市场的40%~50%,而中国市场服务的比例大约只有10%。我们向用户提供的方案中,不仅有产品和技术,还有服务。服务从咨询开始,一直持续到后续运维。
现在,我们不仅为政府项目提供了很好的服务,也为中小企业用户提供了更便捷、灵活的服务。中小企业的需求可能比政府的简单,但它们的问题更多、需求更个性化。在家庭用户上,我们也在考虑调整服务模式,为数量庞大的家庭用户提供类似企业级的上门咨询以及运维服务,这是很难实现的,因此为家庭用户提供的服务应该是自助的、更“聪明”的。
向海外市场要空间
对中国信息安全企业来说,海外市场有更广阔的发展空间,但是资金的缺乏、文化的差异、异国政策的壁垒都构成了中国信息安全企业拓展海外的瓶颈,而“抱团出海”不失为一条捷径。
孙定: 为拓展生存空间,网御神州在2010年有什么具体的计划吗?
任增强: 2009年我们在市场上已经取得了不俗的成绩,2010年我们首要的任务还是深耕政府市场,挖掘金融领域的潜力,在目前的基础上再上一个台阶。针对中小企业市场,我们也将加大投入,开发出适合它们的产品。在产品技术上,我们会加大产品创新的力度,使产品获得更多的发言权。最后,我们在国际化上可能还有一些动作。
说到国际化,以前我们从来没有宣传过,其实我们现在海外市场的收入已经占到整体收入的大约10%。目前我们主要的国际市场是韩国、日本和东南亚。今年,我们希望国外市场所占的比例能够提升到大约15%。未来5年里,希望国外的收入能占到总收入的1/3,甚至70%。如果做得好,我们很快就能实现,毕竟国际上有100多个国家和地区,中国只是其中之一的市场。
孙定: 本土信息安全企业像这样拓展海外市场的还不多见,这会是行业的趋势吗?大规模向海外进军,中国本土信息安全企业会遇到什么挑战,如何解决?
任增强: 本土信息安全企业要做大做强、寻求进一步发展,拓展海外市场一定是必然选择,而海外突围要面临的问题也确实不小。
第一个要面临的就是资金问题。海外市场为民族信息安全企业提供了一片广阔的发展空间,却也需要花费不少资金,比如说办事处的设立、营销费用的支出等。现阶段,网御神州主要将资源和精力集中在国内信息安全市场,等到时机成熟,相信我们会在国际舞台上崭露头角的。
其次是国际人才缺乏。很多跨国公司在成立之初就定位于国际化,人才平台也是国际化的,它们能很好地利用各国人才。而中国的信息安全企业目前很难做到这点。
第三个困难就是海外渠道的拓展与维护。海外渠道很难开发,维护也很耗费财力和精力。传统的办法就是靠国家支持,但等待可能会失去机会。缺资金可以在资本市场寻求支持,比如网御神州就在计划登陆创业板。还有一种很好的方法就是合作,比如卖防火墙的企业不一定有IDS,那就可以找有IDS的企业打包销售,共同开发海外渠道与营销,也就是“抱团出海”。
采访手记
网御神州的“二五规划”
今年是网御神州成立的第五个年头。在过去的“第一个五年规划”里,网御神州完成了一家本土高科技公司从创立到最终形成自主创新的技术风格和稳健的市场风格的转变。
而今,从“IT新贵”成长为“业界翘楚”的这家本土信息安全企业,又提出了新的五年规划。中国的GDP从世界100多位发展到世界第二位,接下来还要从第二发展到第一。网御神州其实也是按着这么一个节奏来发展的。建立的头5年,公司基本上实现了做一个一流公司的理想; 今后5年,公司要向大规模、国际知名品牌突破。
“信息安全产业的大规模或者国际知名,就是朝着1~2亿美元这种市场规模去发展。当然,这种规模相对其它产业来说还是比较小的。”网御神州科技有限公司总裁任增强坦言,若想发展到上亿美元的规模,光靠自有资金和国内市场恐怕不足以支撑。因此,上市和国际化是网御神州现在的头等大事。同样重要的还有人才培养,任增强希望再过5年,他的主要工作是考虑公司的战略规划,而更加具体的事务则由新培养的青年才俊打理。(文/李敬)
总裁感悟
做信息安全要有国际视野
“如果仅依靠国家的保护来发展,企业可能一睁眼突然发现自己已经落后了。”网御神州科技有限公司总裁任增强认为,人类社会其实已经非常国际化了,我们的信息安全企业也必须有国际化的视野,在国际化的平台下做成一个优秀的企业。
转眼间,又到了2006年岁末盘点时刻。尽管各个安全厂商全年销售还没有完全统计出来,但是前三个季度信息安全市场所表现的20%左右的增长态势还是奠定了今年市场的基调―增长平缓、波澜不惊。
单纯从统计数字上,我们看不出今年的信息安全市场与去年有多大不同,在某种程度上说,今年的信息安全市场甚至保持了去年的“沉默”。不过,沉默之中却透着十足的理性和成熟,呈现出前所未有的特点。这些特点体现为客户需求的理性、安全厂商的老练、安全产品的成熟以及外部政策的明朗化。
可以说,2006年也成为了信息安全产业的又一个拐点。这个让安全厂商们期待了多年,已经让许多人失去耐心和坚持的拐点,为那些执着者带来了春天的消息。从1995年的萌动开始,到2000年左右快速增长后的沉寂,再到“十五”期间的大浪淘沙,终于到了2006年的柳暗花明。
经过十多年的发展,国内信息安全产业真的时来运转,迎来发展转机么?
与其他产业一样,信息安全产业的构成可以细分成四类要素:交易品(安全产品、服务等)、客户(需求等)、提供商和第三方(包括主管机构、评测机构、媒体等)。2006年,安全产品、客户需要、提供商都表现出一定的成熟度,发自企业内部的业务安全和符合性的需求,加上等级保护、萨班斯(SOX)法案这些来自企业外部的政策力量,都为2006年成为拐点创造了大环境。
行业需求更理性
亲历2006年各大安全招标项目的圈内人体会都很深刻,随着信息安全市场的不断发展,客户需求也日渐趋于理性和成熟。这种理性与成熟表现在客户对信息安全“效果”的看重,对安全投资的“理性”。
几年前,简单进行一下设备选型,就上马安全项目的作法比较普遍,而现在绝大多数客户对安全投资变得前所未有的谨慎。用户在采购产品的时候很清楚自己想要什么,想通过产品达到什么样的效果,不再盲目相信厂家提供的白皮书,更关键的是,客户安全需求更多的是针对自己的业务安全。
以中资银行为例,解释客户需求的这种变化。当前中资银行最关心的问题莫过于从主要靠息差获得收益,向多样化经营发展。在这一过程中,银行需要进行数据大集中,增加多样的金融产品,确保符合银监会、中国人民银行的各项相关规定,为未来向符合巴塞尔新资本协议的要求靠拢,在激烈的国际金融竞争中生存和发展。相应地在IT安全方面,银行格外关心大集中后的系统和数据安全、金融产品的安全以及操作风险中的IT风险。就是在上述需求的驱动下,中资银行的安全建设也围绕上述具有很强业务属性的工作展开。像中资银行这样理性的客户越来越多,在2006年进行的许多电子政务的招标活动中,都能感受到这种变化。
客户需求的理性还体现在对安全服务的逐渐接受。在2006年里,很多信息安全厂商都接到了几笔安全服务的大单子。原来难于被客户认可的服务逐渐开始被接受,而且这还不是个别案例。这在一定程度源于日益增多的安全事件,当越来越多的用户意识到,产品方案解决不了全部安全问题,而企业又缺乏足够而又专业的技术人员,求助外部专家力量无疑是最明智的选择。2006年,用户对安全服务的接受程度之好,与IDC对2006年中国IT安全服务市场的年复合增长率为30.7%的预测相当吻合。
客户需求的理性与成熟,为产业带来了坚实的变化。在这些林林总总的变化趋势中,最值得引人注目的就是信息安全开始从系统安全走向业务安全;从面向问题的安全防护拓展到面向合规性的内控审计。
安全厂商走向成熟
从去年开始,信息安全市场的供需双方就开始发生了微妙变化。原来的信息安全市场,是以厂商为中心的卖方市场,信息安全厂商推出什么样的产品,客户就接受什么样的产品。现在,随着信息安全市场转向以客户为中心的买方市场,促使信息安全企业必须要根据客户的需求来确定方向、提品及服务,通过提升客户使用安全产品的效果来体现产品与服务的价值,这促使安全厂商变得成熟起来。
安全厂商的成熟突出地表现在更加关心客户的业务安全,试图系统地解决用户问题,不再单纯“头痛医头,脚痛医脚”。
从中国IT安全主流厂商无一例外地在加强类似于“SOC”的IT安全服务和管理体系建设就可以看到这一点。SOC作为平台,介于宏观与微观之间,属于中观层面,更有利于保护用户业务系统的持续发展。国内最早的SOC平台出现在2002年,一出现便受到质疑。然而,现在平台已经从一个抽象的概念转化为实在的需求,在产品和服务之外,平台可以作为一个很好的补充,保护企业的业务安全。
客户需要什么,安全厂商就会提供什么。在产品如此,在服务方面更是如此。2006年涌现出更加多样化的服务形式,这些多样化的服务包括:总体规划、渗透性测试、合规性咨询服务、网络的拓扑结构整合以及信息安全管理体系(ISMS)等等。
产品日趋完善
几年前,针对复合型的安全需求,安全厂商陆续推出整合式的安全设备。如今,信息安全产品功能融合和一体化的趋势更加明朗,UTM就是一个典型的代表。在“十五”期间的大浪淘沙中,那些没有核心竞争力的产品早已被市场所淘汰。换句话说,现在能够留在市场上的产品都具备了相当的实力,同时产品、服务和平台的格局均已出现。
目前,单项产品的能力几乎做到了极致,新的单项技术革新很难有所突破,因此产品功能的融合成为必然趋势。可以预测,单就UTM这一项产品来说,它的拐点将出现在2007年底到2008年初,必将出现市场的爆发性增长;从整个网络信息安全领域来说,其发展趋势在2006年正处在一个变化上升的拐点上。
不过就现实而言,单项产品并非没有市场,相反一体化的产品和单项高性能安全产品共存,将为客户带来更多的选择。此外,信息安全管理平台成为整体安全的落脚点等等,任何某某体系都会落实到一个某某平台上。
由于产品需求的增加,产品的供给也相应增加,因此,对于安全产品来说,2007年较2006年的增长幅度将大于2006年较2005年的增长幅度。
外部政策驱动
在2006年,两部法规的正式实施对于信息安全产业产生了标志性的影响。
一部是国内的《信息安全等级保护管理办法》,另一部是美国的《萨班斯―奥克斯利法案》。这两部法规都以法规的形式敦促企业加强内部控制,增强抵御风险的能力。
《萨班斯―奥克斯利法案》对在美国上市的公司提供了符合性要求,使上市公司不得不考虑控制IT风险在内的各种风险。随着这个法规生效时限的到来,国内众多在美国上市的公司都纷纷动了起来,其中最为突出的就是各大电信运营商,人、财、物的投入都非常巨大。
9月20日,以太信御网络科技有限公司(简称以太信御)在北京SecurityLink系列解决方案,提出“安全技术+商业应用”的理念。以太网科COO、以太信御董事兼CEO肖波表示,以太信御的创新在于实现以往一直平行而无交集的企业级应用和信息安全软件的跨界,关注企业级信息安全市场,为企业应用安全提供安全应用,进而提供无处不在的安全应用。
肖波认为,当前我国企业级信息安全领域尚比较薄弱,管理软件和信息安全分属不同领域,两者平行运营而无交集,以太信御在此一背景下,选择定位于企业级信息安全领域,向行业领军企业、平台级公司进军。
肖波对此雄心勃勃。他强调,过去10年全球信息安全产业的每个细分领域都产生了一个世界级巨头,他相信中国信息安全也会诞生世界级巨头,并带动本土信息安全产业的发展。“如今在消费级市场已经有了巨头,企业级市场还没有。”肖波说,“我就不能想一想吗?”
据悉,以太信御推出的SecurityLink系列解决方案将为企业级信息安全保驾护航。以太信御副总经理林森介绍,SecurityLink包含基础架构安全A、业务应用安全X、业务数据安全D和运维安全M这四个系列产品,在技术架构、业务应用、业务数据、运维安全四个领域整合出50个安全组件,并根据企业信息化安全各种需求,将不同的安全组件进行组合,为企业信息安全提供全方位立体化防御。
其中,基础架构安全A系列包含以太信御统一威胁管理(A-USM)、以太信御Web应用安全网关(A-WAG)、以太信御安全虚拟专线系统(A-VPN),、以太信御应用交付系统(A-ADC)和以太信御主机安全卫士(A-HSG)五款产品。
业务应用安全X系列是SecurityLink系列解决方案的核心,以BowlineBox硬件盒子的方式整合了业务系统保护、ERP安全保护等安全组件,旨在解决用户核心的业务系统数据安全。BowlineBox安全盒子针对应用规模分别推出X1、X3、X5、X6、X9不同系列产品。BowlineBox安全盒子可以为企业提供全生命周期的业务安全保障体系:通过访问准入、安全准入、系统可用性保障、企业敏感信息防泄漏实现事前防范,通过实时、全面的监控体系和高校、快捷的报警机制进行事中监测,通过多样化分析体系、面向企业的个性化安全报告进行事后分析。
业务数据安全D系列由以太信御敏感信息防泄密系统(D-DLP)进行防护,包含敏感信息泄漏阻断、敏感信息泄露监测、敏感信息加密、数据备份/异地灾备等防护措施,保障企业业务数据的安全问题。
运维安全M系列由以太信御漏洞扫描系统(M-APS)和以太信御运维安全审计系统(M-OSM)共同防护,解决运维安全审计、日志统一管理、漏洞扫描/基线核查和IT运行综合管理等安全问题。
此外,以太信御还针对SecurityLink系列解决方案提供全面的企业安全服务,其中包括信息安全演练、信息安全加固优化、信息安全咨询服务、信息安全风险评估、信息安全远程监测、信息安全应急响应、信息安全培训和信息安全运维服务内容。
为自主创新奠定基础
信息安全共享是世界性难题,美国军队将实现端到端的安全和信息安全共享列为其远景目标。安全公文传输系统以创新思路和全新技术体制解决了文件安全共享这一难题,其市场应用前景将会非常广阔。
安全公文传输系统是在我国自主创新、具有自主知识产权的CPK技术和基于标识的认证系统基础上开发出的新一代文件安全系统。
该系统利用标识认证系统提供的基于标识(身份)的数字签名和密钥交换能力,将访问控制、授权管理与文件加密有机结合,解决了文件在存储、传递和使用过程中的安全问题,在最大限度保证用户方便应用IT系统的基础上,将安全管理落实到每一个人、每一份文件、每一次调用上,从而实现信息安全共享这一理想状态。
该系统可以广泛应用于电子政务系统,解决当前文件数据的安全问题;也可以广泛用于企、事业单位,用于保护其内部的重要信息。
CPK技术是我国的重大自主创新。我国权威专家认为,CPK密钥管理算法是我国具有自主知识产权的密钥管理算法,经过多年研究和实践,已经建立了坚实的工作基础,具有重大创新意义和广阔应用前景。
2007年5月,CPK算法经过严格审查,在西班牙巴塞罗那召开的欧洲密码年会上被介绍时,得到了国际上的承认。目前,国家密码管理局已经通过对TF-CPK密码体制的审查,CPK技术已经得到了国家的认可。
曾任美洲(国际)密码年会执行主席的美国著名密码学家詹姆斯 ・P ・休斯认为,CPK是“极好的解决方案”;“CPK算法将基于标识的加密技术向前推进了一大步。它创造了一种易懂、易行、易普及的系统,能够为梦想家提供关于公钥和基于标识的密码体制所能想象到的所有好处”;它“能应对互联网的挑战,使其成为更加安全的地方”;“使社会享有电子商务的好处,满足社会的需求”。
有人认为,CPK技术可能重新洗牌信息安全技术和产业,为发展我国独立自主的信息安全产业奠定坚实的基础。北京市软件与信息服务业促进中心(简称北京市软促中心)指导完成的一份基础研究报告指出,认证基础设施(相当于电子身份证体系)是构建信息化的社会管理体系、信用体系及安全体系的重要基础。基于CPK技术的标识认证系统,是继PKI之后的新一代系统。该系统可以支撑国家级认证基础设施的构建,为当前云计算、物联网等新应用所遇到的安全问题提供一个有效的解决途径。
在CPK技术基础上开发出新一代基于标识的认证系统,可以作为目前PKI认证系统的理想换代产品。利用该系统可以构建国家级规模的认证基础设施(相当于电子身份证体系),为构建信息化的社会管理体系、信任体系以及安全体系奠定坚实基础。该系统也能够为当前云计算、物联网等新概念所遇到的安全问题提供有效的解决途径。
取得三方面成果
北京市科委对CPK技术这项创新非常重视。2005年,易恒信公司在北京市科委和北京市软促中心的支持下组建成立。该公司专门从事CPK技术的产业化工作,到目前为止已经取得了重要的阶段性成果。这主要体现在以下三方面:
第一,提出了基于管理的新一代安全体系概念,提出并验证了代码认证(可有效遏制木马、病毒攻击)、可信连接等新一代安全关键技术。
第二,开发出基于标识认证的系列产品,如认证登录、综合审计、电子印章电子标签防伪、安全视频监控、认证手机、文件保险箱、文件守护神、电子保密室等系列产品。目前,有关产品正在接受职能部门的测试。一旦通过测试、认证,这些产品即可投入市场。
第三,整合相关资源,开发移动电子政务系统,将CPK技术扩展到手机系统中。目前,主要关键技术问题,如邮件加密和推送等已经解决。
值得一提的是,易恒信公司目前围绕CPK技术所做的所有工作,都是在北京市科委及北京市软促中心的支持和指导下完成的。而安全公文传输系统则是在北京市软促中心直接参与下,根据政府办公实际需要开发出的一款应用系统。该系统不仅可以直接用于解决当前带有普遍性的文件数据丢失和管理失控问题,而且能够让公众直接感受到新的安全技术和体系所带来的好处,对于推动新技术产业化的发展具有直接的现实意义。
推动产业化进程
创新是对传统的否定,决定了其发展注定要经历困难和磨难。为此,在CPK产业化发展长达5年的历程中,北京市软促中心在其中扮演了指导者、支持者以及参与者的角色。目前,CPK技术已经克服种种困难,开始进入产业化阶段。
在易恒信公司已经开发了包括安全公文传输系统在内的系列安全产品的基础上,北京市软促中心站在整个信息安全产业发展的高度,协助企业进行产业推广和市场前期准备工作,其中包括向相关企业介绍CPK技术,促进企业间的横向合作,筹备建立网际安全研究所,以及策划建立相关产业联盟等。与此同时,北京市软促中心还介绍了一批潜在用户单位了解情况,进行市场预热。
值得一提的是,北京网际安全研究所旨在继续深入开展新一代安全技术研究,并在此基础上逐步建立独立自主的信息安全标准体系。
在我国,信息安全人才培养分为学历和非学历两种方式,二者既密切联系又有区别,是我国现有信息安全人才教育培养体系的两个重要组成部分。学历教育为非学历教育提供必要的基本文化科学知识,非学历教育为学历教育提供发展的方向性引导。从70年代开始,我国普通高校已开始培养信息安全人才,武汉大学于2000年获得教育部批准,次年建立了我国第一个信息安全本科专业,截至2013年,全国已有80多所高校设置了信息安全本科专业,经过多年发展,我国信息安全人才已形成从本科、硕士到博士的完成体系。信息安全非学历教育主要分为继续教育和职业培训两种形式。继续教育或职业培训是以培养信息安全岗位技能型人才为目的的,主要包括技术和技能的学习和提升,这是普通高校本专科教育无法独立完成的,必须由高校以外的社会机构所提供的非学历教育和培训来承担。据工信部2013年预测,未来5年我国从事信息安全应用的专业人才的需求将达到60到100万,而现有的信息安全专业人才总数不足20万,信息安全方面的专业人才不足已成为一大瓶颈。而同时,随着信息化建设的逐渐普及和网络的深入应用,企业或政府部门的网站、主机或服务器面临的网络攻击风险越来越高,因此,加大和掌握网络安全知识成为必要知识。通过十多年的发展,我国信息安全继续教育形成了以各种认证为核心,各种职业技能培训为辅的培养模式。如由国家信息化工程师认证考试管理中心与美国国家通信系统工程师协会(NACSE)合作的认证考试,考生通过国家信息安全技术水平考试后,可获得相应证书;另外由中国信息安全测评中心的推出“注册信息安全专业专家”(CISP)资质认证项目,系国家对信息安全人员资质的最高认可。
2、信息安全人才培训的必要和紧迫性
信息科技已发展成为当今影响力最为深远的技术,无论工作、生活还是学习,人们对其依赖性越来越强,网络科技在给我们带来便利和提升效率的同时,如果安全防范措施和手段没有到位,产生的后果将不堪设想。2013年美国斯诺登引爆的“监控门”事件引起世界舆论一片哗然,包括中国在内的多个国家都受到美国情报部门的监听,可以说信息安全问题已成为影响到国家政局的稳定、经济的发展和国防的建设,是社会稳定发展的关键问题。当前信息技术发展迅速,这对信息部门人员,尤其是信息安全技术人员提出了更高的要求,而仅仅通过高校学历教育远远不够,还必须借助相关职业培训和继续教育,在此过程中,信息安全培训是成本最低、效果最快、最显著的信息安全管理措施。
3、信息安全人才培训对策
3.1加强信息安全管理方面的培训
信息安全涉及两个方面:信息安全技术和信息安全管理。传统上信息安全技术培训易得到重视,而信息安全规划与管理工作往往被管理层忽视。另外从实践中来看,信息安全首先是一项管理工作,其次才是一项技术工作,而管理工作的效果最终由具体实施人员的素质水平决定,因此我们提出更要从部门或组织全局的角度对信息安全进行规划与管理,建立科学信息安全保障计划,才能做到信息安全技术操作有细致周密的规划。同时加强对信息安全人员在国家法律法规、岗位职责、保密意识和管理流程等信息安全管理方面的培训和继续教育工作。
3.2加强信息安全培训的实践性
信息技术或信息安全自身就具有很强的实践属性,主要原因在于,信息技术的变化和更新迅速,这要求相关知识的能快速更新,另外信息技术属于工程领域学科,必然有高的实践性要求。因此在信息安全培训或继续教育课程的设计中,要多结合学员的实际工作情况,多采用案例教学的方式,不能光停留在理论层面的解读,而要将信息安全实际运作过程中碰到的技术或管理问题。
3.3加强人才培养产学研相结合
信息安全人才的培养可在政府的鼓励和支持下,以企业的实际需求为核心,通过政产学研合作的方式加以培养。信息安全的诸多问题来自企业和政府部门,在这个过程中,政府主要从政策、环境方面营造氛围,充分发挥高校和科研机构的重点实验室、工程研究中心等资源,以企业带动,将问题、需求、资源和人力有效地整合,必将提升信息安全人才培养的效果。
3.4打造完整信息安全人才培育体系
进一步完善学历教育和非学历教育的信息安全人才培养体系,建立以高等学历教育为主,以继续教育、职业培训为辅的信息安全人才培养体系。信息安全人才培养要得到保障,加强信息安全学科的重要性是重要一环,因此,在学科建设上,要努力提高信息安全学科的重要性,争取把信息安全学科提升为一级学科,同时进一步完善信息安全专业的本硕博的学科建设;另外政府在信息安全认证培训方面应加强立法,规范信息安全培训的市场行为,比如可强制规定哪些安全技术岗位的人员必须持什么样的信息安全证书,以及必须接受何种培训的管理等。
3.5构建信息安全人才培训市场
关键词:火电厂;控制系统;信息安全;策略
1我国工业控制系统信息安全发展态势
从2011年底起,国家各部委了一系列关于工业控制系统信息安全的文件,把工控信息安全列为“事关经济发展、社会稳定和国家安全”的重要战略,受到国家层面的高度重视。在国家层面的推动下,工控信息安全工作轰轰烈烈展开,大批行政指令以及标准应运而生;在行政和市场双重动力的推动下,安全信息产业如雨后春笋般发展,工控信息安全产业联盟迅速壮大。这种形势下,我国电力、石化、钢铁等各大行业的集团和公司面临着如何迅速研究工控信息安全这个新课题,学习这一系列文件精神和标准,加强工控信息安全管理,研究采取恰当的信息安全技术措施等,积极稳妥地把工控信息安全工作踏踏实实地开展起来这一系列紧迫任务。但是,当前面临的困难是,从事信息安全产业的公司大多不太熟悉特点各异的各行业工控系统,有时还不免把工控系统视作一个互联网信息系统去思考和防护,而从事工控系统应用行业的人们大多还来不及了解信息安全技术,主导制定本行业的相关标准和本行业控制系统信息安全的工作策略,并推动两支力量的紧密配合。这正是当前面临的困境和作者力图要与同仁们一起学习和探讨的问题。
2从工控系统特点出发正确制定信息安全发展策略
火电厂控制系统与传统信息系统相比,相对来说,与外部完全开放的互联网联系极少,分布地域有限,接触人员较少,而对实时性、稳定性和可靠性却要求极高。这正是我们制定火电厂控制系统信息安全工作策略的基本出发点。为了形象起见,我们以人类抵抗疾病为例。人要不生病,一方面要自身强壮,不断提高肌体的免疫系统和自修复能力;另一方面,要尽可能营造一个良好的外部环境(不要忽冷忽热,空气中污染物少,无弥漫的病菌和病毒)。人类积累了丰富的经验,根据实际情况采取非常适当的保护措施。例如,对于一般人来说,他们改变环境的可行性较差。因此,确保自身强壮以及发现病兆及时吃药修复等是其保护自己的主要手段。但是,对于新生儿,因为自身免疫系统还比较脆弱,短时间也不可能马上提高。刚出生时医生也有条件将其暂时置于无菌恒温保护箱中哺养,以隔绝恶劣的环境。信息安全与人类抵抗病十分相似。对于一般互联网信息系统,分布地域极广,接触人员多而杂,因此信息安全策略重点,除了在适当地点采取一些防火墙等隔离措施外,主要依靠提高自身健壮性,以及查杀病毒等措施防御信息安全。对于工控系统,特别是火电厂控制系统,它与外部互联网联系较少,分布地域有限,接触人员较少。因此,对火电厂应该首先把重点放在为控制系统营造一个良好环境上。也就是说,尽可能与充斥病毒和恶意攻击的源泉隔离,包括从互联网进来的外部入侵,以及企业内外人员从内部的直接感染和入侵。前者可采取电力行业中证明行之有效的硬件网络单向传输装置(单向物理隔离装置)等技术手段;后者则主要通过加强目前电厂内比较忽视和薄弱的信息安全管理措施。火电厂控制系统采取这种信息安全策略可以达到事半功倍的效果。从当前国内外出现的不少工控系统遭受恶意攻击和植入病毒导致的严重事故来看,几乎大多数是没有或者隔离措施非常薄弱经互联网端侵入,或者通过企业内外人员从内部直接植入病毒导致。当然,我们不能忽视提高控制系统自身健壮性的各种努力和措施,以便万一恶意攻击和病毒侵入的情况下仍能万无一失确保安全。但是,开展这方面工作,特别是在已经投运的控制系统上进行这方面工作要特别慎重,这不仅因为这些工作代价较高,而且在当前信息安全产业中不少公司还不太熟悉相关行业工控系统特点,有些产品在工控系统中应用尚不成熟,而火电厂控制系统厂家对自身产品信息安全状态研究刚刚开始,或者由于种种原因没有介入和积极配合的情况下风险较高。这不是耸人听闻,实践已经发生,有的电厂为此已经付出了DCS停摆,机组误跳的事故代价。
3火电厂控制系统供应侧和应用侧两个信息安全战场的不同策略及相互协调
火电厂控制系统,主要是DCS,不仅是保证功能安全的基础,也是提高自身健壮性,确保信息安全的关键,它包括供应侧和应用侧两个信息安全战场。在DCS供应侧提高自身健壮性,并通过验收测收,确保系统信息安全有许多明显的优点。它可以非常协调地融入信息安全策略,可以离线进行危险性较大的渗透性测试,发现的漏洞对应用其控制系统的电厂具有一定的通用性等。此外,DCS供应侧在提高信息安全方面积累的经验和措施,培养起来的队伍,也将有助于现有电厂DCS的测试评估,以及安全加固等直接升级服务或配合服务。与信息安全产业的公司提供服务扩大了公司的市场不同,DCS供应侧提高其信息安全水平增加了DCS成本。因此,为了推动DCS供应侧提高信息安全水平,除了目前已经在发挥作用的行政手段外,我们还必须加强市场手段的动力。为此,当前我们电力行业应尽快从信息安全角度着手制定DCS准入标准,制定火电厂DCS信息安全技术标准和验收测试标准,以及招标用典型技术规范书等。火电厂DCS应用侧,是当前最紧迫面临现实信息安全风险,而且范围极广的战场,必须迅速有步骤地点面结合提高信息安全,降低风险。具体意见如下:
3.1应迅速全面开展下列三方面工作
(1)全面核查DCS与SIS及互联网间是否真正贯彻落实了发改委2014年14号令和国家能源局2015年36号文附件中关于配置单向物理隔离的规定,没有加装必须尽快配置,已配置的要检查是否符合要求。(2)迅速按照《工业控制系统信息安全防护指南》加强内部安全管理,杜绝内部和外部人员非法接近操作、介入或在现场总线及其它接入系统上偷挂攻击设备等,并适度开展一些风险较小的安全测评项目。上述两项工作,在已投运系统上实施难度较低,实施风险相对较低,但是却能起到抵御当前大部分潜在病毒侵袭和恶意攻击的风险。(3)通过试点,逐步开展对已运DCS进行较为深入的安全测评,适度增加信息安全技术措施,待取得经验后,再组织力量全面推广,把我国火电厂控制系统信息安全提高到一个新的水平。为了提高这项工作的总体效益,建议针对国内火电厂应用的各种型号的DCS品牌出发,各大电力集团互相协调,统筹规划,选择十个左右试点电厂,由应用单位上级领导组织,国家级或重点的测评机构、实验室技术指导,相关DCS供应商、优秀信息安全产品生产商以及电厂负责DCS的工程师一起成立试点小组。这样不仅可以融合DCS厂家的经验,包括他们已经开展的信息安全测评和信息安全加强措施,减少不必要的某些现场直接工作带来的较大风险。也有利于当前复合人才缺乏的情况下,确保工控系统技术和工控系统信息安全技术无缝融合,防止发生故障而影响安全生产(目前已经有电厂在测试和加入安全措施导致DCS故障而停机的事件)。
4DCS信息安全若干具体问题的建议
4.1关于控制大区和管理大区隔离的问题
根据国家发改委2014年14号令颁发的《电力监控系统安全防护规定》,以及国家能源局36号文附件《电力监控系统安全防护总体方案》的要求:(1)生产拉制大区和管理信息大区之间通信应当部署专用横向单向安全隔离装置,是横向防护的关键设备。(2)生产控制大区内的控制区与非控制区之间应当采取具有访问功能的设施,实现逻辑隔离。2016年修订的电力行业标准《火电厂厂级监控信息系统技术条件》(DL/T 924-2016)对隔离问题做了新的补充规定:(1)当MIS网络不与互联网连接时,宜采用SIS与MIS共用同一网络,在生产控制系统与SIS之间安装硬件的网络单向传输装置(单向物理隔离装置)。(2)当MIS网络与互联网连接时,宜采用SIS网络独立于MIS网络,并加装硬件的网络单向传输装置(单向物理隔离装置),而在生产控制系统与SIS之间安装硬件防火墙隔离。根椐当前严峻的网络安全形势,应当重新思考单向物理隔离装置这个行之有效的关键安全措施的设置点问题。建议无论是刚才提到的哪一种情况,单向物理隔离装置均应设置在生产控制系统(DCS)与SIS之间,理由是:(1)生产控制系统(DCS)对电厂人身设备危害和社会影响极大,而且危险事件瞬间爆发。因此,一定要把防控恶意操作、网络攻击和传播病毒的区域限制在尽可能小的范围内,这样可以最大限度提高电厂控制系统应对网络危害的能力。(2)SIS是全厂性的,涉及人员相对广泛,跟每台机组均有联系。因此,一旦隔离屏障被攻破,故障将是全厂性的,事故危害面相对较大。
4.2DCS信息安全认证和测试验收问题
火电厂在推广应用DCS的30年历史中,从一开始就适时提出了供编制招标技术规范书参考的典型技术规范书,进而逐步形成了标准, 明确规定了功能规范、性能指标以及验收测试等一系列要求。随后又根据发展适时增加了对电磁兼容性和功能安全等级认证的要求。当前,为确保得到信息安全的DCS产品,历史经验可以借鉴。笔者认为,宜首先对控制系统供应侧开展阿基里斯认证(Achilles Communications Certification,简称ACC)作为当前提高DCS信息安全的突破口。众所周知,ACC已得到全球前十大自动化公司中八个公司的确认,并对其产品进行认证;工业领域众多全球企业巨头,均已对其产品供应商提供的产品强制要求必须通过ACC认证。目前,ACC事实上已成为国际上公认的行业标准。国内参与石化和电厂市场竞争的不少外国主流DCS均已通过了ACC一级认证。至于国产主流DCS厂家,他们大多也看到了ACC认证是进入国际市场的门槛,也嗅到了国内市场未来的倾向,都在积极为达到ACC一级认证而努力(紧迫性程度明显与行业客户对ACC认证紧迫性要求有关)。此外,我国也已建立了进行测试认证的合格机构,具备了国内就地认证的条件。根据调查判断,如果我们电力行业侧开始编制技术规范书将ACC一级认证纳入要求,相信在行政推动和市场促进双重动力下,国产主流DCS在一年多时间内通过ACC一级认证是可以做到的。除ACC认证外,如前所述,当前还急需编制招标用火电厂信息安全技术规范和验收测试标准,使用户在采购时对其信息安全的保障有据可依。从源头抓起,取得经验,必将有利于在运DCS信息安全工作,少走弯路。
5结语
深信服科技“整网安全与移动接入解决方案研讨会”于7月22日至8月26在全国27个城市全面展开。
作为国内信息安全的领先厂商,深信服科技积极引领信息安全领域技术和服务潮流,并致力于成为国际领先厂商。此次深信服巡展以现场主题演讲和演示体验为主,所到城市包括北京、广州、上海、深圳、天津、武汉、成都、郑州、沈阳、长沙等27个。
巡展中,深信服针对不同地区的需求和安全应用差异,与客户、网络安全从业人士及技术专家共同探讨网络安全存在的问题、网络安全技术及应用趋势,包括采用VPN技术构建跨地域的网络平台,并实现集中维护、集中管理;采用多功能一体化安全网关,避免内部信息泄密,并杜绝病毒和垃圾邮件的困扰;采用IPSec和SSL VPN二合一的解决方案,应对各种场所的移动接入等。同时深信服还与来自政府、金融、教育、电力、物流等重点行业及企业级客户们就满足各行业安全需求的行业应用方案展开探讨。本次巡展是深信服科技举办的规模最大的巡展活动。
与此同时,深信服科技积极参与了由中国电子信息产业发展研究院主办、中国计算机报社承办的第六届中国信息安全大会和2005中国信息化推进大会,并荣获“2005年度中国信息安全值得信赖的VPN品牌”称号。
顺应社会发展需求及信息安全行业发展需求,深信服科技将进一步助力中国信息化发展进程,引领信息安全产业发展的新一轮浪潮。
记者点评:
深信服一直以做深技术为企业发展的生命力,同时加深技术人员对于市场的把握,在巡展活动中,鼓励研发人员与市场密切接触,把握来自市场一线客户的需求。目前,各个厂商都在花大力气做巡展,如何将巡展与技术研发、深入行业结合起来,深信服的做法也许值得借鉴。
展望
未来深信服将推出基于Sinfor VPN的多种解决方案,同时还将推出一些新产品满足市场需求。除了将在性能上进行持续改进,还将推出电信级、更高端的产品和新的平台,进一步提升产品速度,凸现产品高速、稳定的特性。基于深信服新产品,还将开展一系列的巡展活动。
加快制定国家信息安全战略
近日,第十三届中国信息安全大会在北京召开。工信部官员在会议期间透露,将加快起草国家信息安全战略和规划文件。业内人士认为,受政策引导和市场需求双引擎驱动,信息安全产业发展有望大提速。
当天的会议上,赛迪智库信息安全走势预测课题组专家指出,伴随我国信息化发展进入新阶段,一些新的领域应运而生,这也给我国网络与信息安全保障工作提出了新任务。
以物联网为例,这一技术运用大量感知节点,可能成为窃取情报、盗窃隐私的攻击对象。再比如,随着智能手机快速普及,移动安全问题也日益凸显。
针对种种担忧,工信部信息安全协调司副司长欧阳武表示,我国信息安全面临日趋严峻的新形势,我们迫切需要营造有利于信息安全建设的政策环境,逐步形成国家信息安全保障体系。工信部今年将加强信息安全顶层设计和统筹协调,加快国家信息安全战略和规划文件的研究起草工作。
欧阳武还透露,今后一段时间,工信部将加强核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要领域工业控制系统信息安全管理工作的指导监督和安全检查。
财政部:继续实施积极财政政策
财政部部长谢旭人近日部署下半年财政工作重点时指出,要继续实施积极的财政政策,促进经济稳定增长。
在当日举行的全国财政厅(局)长座谈会上,谢旭人表示,下半年要继续实施积极财政政策,促进经济稳定增长。这些政策主要包括:落实和完善结构性减税政策;加快和扩大营业税改征增值税试点;落实支持小微型企业发展的税收政策;完善促进流通产业发展的财税政策措施;稳定支持外贸的财税政策等。谢旭人强调,下半年要发挥财税政策调控优势,推进经济结构调整和发展方式转变。
今年以来,尽管经济已经局部显露出企稳回升的苗头,但至少从目前来看仍较为疲弱。在稳增长和控物价的双向压力下,市场期待宏观调控政策表现出更大的前瞻性和灵活性,保证中国经济平稳软着陆。年初,财政部部长谢旭人曾发表文章说,实施积极财政政策是应对经济形势变化的重大决策。2012年我国经济运行的基本面是好的,但面临的形势将更为复杂严峻。继续实施积极的财政政策,既有必要,也有可能。
财政部门上半年已经实施了积极的财政政策,财政部财政科学研究所所长贾康曾表示,下半年会更加突出一些重点,一方面,政府在就业、教育、医疗、养老、保障房、文化、中心区域域市建设等领域的财政支出将继续增加;另一方面,政府也将继续深化结构性减税。
斯诺登事件之后,信息安全问题彻底浮出水面。为了抗衡国际“信息战争”,我国政府已经将信息安全上升至国家战略。
2014年5月16日,中央国家机关政府采购中心通知,对入围中央机关采购范围内的信息类产品提出新的采购要求:所有计算机类产品不允许安装windows8操作系统。消息传来,拥有自主知识产权操作系统的中国软件(600536.SH)股价狂飙,连续拉出4个涨停,一个月之内大涨82.67%。
信息安全布局之下,国产IT迎来爆发期。特别是为通讯、军工、政府、金融等“要害”领域做配套服务的国内企业,在信息安全政策的扶持下,似乎迎来了“逆袭”国际行业龙头“IOE”(IBM、Oracle、MEC)的大好机会。
军工通讯:主打反窃听
(海能达002583.SZ、海格通信002465.SZ)
防止政府和军队通讯信息被监听,是相关部门必须要解决的问题。这成为了我国通讯信息安全建设的第一大要务,也是相关扶持政策最为侧重的领域。
海能达(002583.SZ)是通讯领域中,最突出的国家通讯安全战略获益品种。该公司证券代表田智勇向《英才》记者介绍,主打产品PDT数字对讲机产品具备自主的知识产权,基本杜绝了信息泄露的可能,目前已经占据了北疆地区全部的市场份额。在整个公安系统的采购中占据了30%以上的市场份额。
海格通信(002465.SZ)是一家聚焦于军工无线通讯的重要企业,专注于为陆海空三军、导弹部队和武警提供通信、导航装备,身处军工通信建设第一梯队。
根据公司2013年的年报显示,公司营收中有超过50%归属于军用通信相关业务,毛利率水平高达58%。公司目前市值整体规模约160亿元,股价在2014年2月创出了历史新高后,震荡整理的过程已经持续半年。在军用通讯政策扶持、以及军工产业更新换代的背景下,具备一定的中长期投资价值。
导航系统:快速上冲
(北斗星通002151.SZ 、中海达300177.SZ)
GPS(全球定位系统)的研制方是美国陆海空三军。这样的背景,无疑和我国国防信息安全天然相悖。
中国政府显然不可能容忍导航系统受国外机构的控制,军工国防地理信息系统的核心技术,一定要掌控在国内企业手中。因此国产的“北斗”导航系统已经在近些年加速发展。
北斗星通(002151.SZ)是国产导航企业的领导者之一, 在资本市场起着北斗导航系统的标杆作用。今年6月,公司宣布将增加军工方面的业务投入,并进行了收购整合,股价因此出现连续一字板涨停,快速上冲。
中海达(300177.SZ)是国内具备完整产业链条的导航企业。公司在街景业务等方面已经和百度展开合作,完成了全国多个城市的街景数据采集,市场空间非常巨大。
公司目前市值64亿,是北斗导航产业链中市值最低的品种之一。2013年以来,在民用、军用产品的良好市场预期之下,已经取得了150%以上的涨幅。
网络信息:小市值公司值得期待
(榕基软件002474.SZ、绿盟科技300369.SZ、任子行300311.SZ)
从2014年8月3日起,美国赛门铁克、俄罗斯的卡巴斯基这两大杀毒软件品牌,将不会出现在中国政府的采购名单之内。而进入采购名单的,全部为国产品牌。
资深信息安全顾问、游侠安全网创始人张百川对《英才》记者表示,互联网信息安全的核心内容,就是保护政府、军工部门不受攻击。
网络安全评估与漏洞管理产品细分市场的龙头,是来自福建的榕基软件(002474.SZ)。公司在军事机关、政府、电力、金融等重要行业具有一定的竞争优势。
另外,绿盟科技(300369.SZ)是我国最早从事网络安全业务的企业之一,是近期上市的次新股中资质较好的企业,社保基金对该股进行了持续加仓。2014年中报显示,机构投资者对该股的持股比例已经攀升至34.87%.
任子行(300311.SZ)董事长董晓军认为,由于整个行业明确的良好前景,规模较小的上市公司获得了明确的发展机会。任子行作为两市市值最低的信息安全个股之一,有望获得良好的表现机会。
金融信息:软硬兼吃
(浪潮信息000977.SZ、赢时胜300377.SZ)
虽然IBM中国的高管和员工已经开始纷纷跳槽至浪潮信息(000977.SZ),但中国银行界“去IBM化”的过程依然漫长,“理想很丰满,现实很骨感”。中国邮电大学信息安全中心主任杨先义对《英才》记者表示。
但资本市场则提前进入了亢奋状态,浪潮信息自2013年初以来已大涨了5倍之多。浪潮所拥有的市场空间无疑是极其广阔的。但公司目前高昂的股价,已经提前透支了部分未来业绩。
金融软件方面则是国内企业的优势所在。几家国际上的大型企业如DST、Sungard在中国的业务发展并不顺利。行业内的老牌企业金证股份(600334.SH)和恒生电子(600570.SH)在资本市场估值溢价明显,市值分别达到90亿和接近200亿的水平。
今年刚上市的次新股赢时胜(300377.SZ),主营资产托管和资产管理系统软件,服务客户包括平安银行、兴业银行等大型金融机构。目前市值规模仅30亿,拥有更大的成长空间。
数据存储:数据价值体现
(同有科技300320.SZ、华东电脑600850.SH、中科金财002657.SZ)
我国数据存储备份行业唯一的上市公司是同有科技(300320.SZ)。公司主要从事数据资产的储存、灾难备份等业务,拥有自主知识产权,在数据安全存储管理方面处于国内领先地位。目前,华夏基金已经连续两个季度对该股进行了重仓持有。
华东电脑(600850.SH)是我国第一家IT上市公司,控股股东是华东计算技术研究所,是我国最早建立的计算机技术研究所之一,长期以来专业从事军用计算机技术和产品研发。
5月31日下午,由工业和信息化部、国家发改委、科技部、国家外国专家局和北京市人民政府共同主办、工业和信息化部电子科学技术情报研究所承办的“2012中国信息安全产业创新发展论坛”在北京举办。工业和信息化部电子科学技术情报研究所所长洪京一、工业和信息化部软件服务业司副司长陈英等多位领导和专家出席了本次论坛。
加快发展意义重大
随着信息化进程的不断深入,国民经济和社会发展对信息系统的依赖程度越来越高。从电网、铁路等基础设施,到水、电、气等日常生活的供应,各行各业的数字化、网络化进程都在全面而深入地展开,网络信息系统已经成为金融、能源、交通、现代物流、现代制造等行业的神经中枢、调动中心。人民的生活、娱乐、消费更是与互联网紧密相关。CNNIC的数据显示,2011年底我国网民规模已经超过5亿,互联网普及率达38.3%,其中,手机网民3.56亿,移动电话用户接近10亿。2011年,网络购物用户达到1.94亿人,交易额达到5.88万亿元,占社会消费品零售总额的比重达到4.3%。
洪京一表示,当前,信息技术已经成为我国经济社会发展的重要驱动和支撑要素,信息网络已经成为国民经济运行的重要基础设施。信息安全威胁不仅会阻碍信息化发展,也会影响我国经济社会发展和安全。因此提高信息安全水平,加快信息安全产业的发展是保障我国信息化建设的必然选择。
重点提升保障能力
“十一五”期间,我国信息安全产业持续快速发展,年均增速超过30%,产业规模不断扩大,2010年达182亿元,产品体系逐渐健全,企业实力逐步提升,标准化体系不断完善,人才队伍不断壮大,信息安全产业占信息产业的比重稳步提高,对国民经济和社会发展的支撑作用进一步增强。2011年,我国信息安全产业进一步扩大,估计产业规模超过230亿元,过亿元的企业有10多家,部分企业开始进入国际市场。2011年12月,工业和信息化部《信息安全产业“十二五”发展规划》。在总结“十一五”期间我国信息安全产业发展现状、分析面临形势的基础上,规划明确了“十二五”期间的发展思路和目标,通过发展重点和重大工程的实施,推动我国信息安全产业向体系化、规模化、特色化、高端化方向发展,促进我国信息安全产业做大做强。
针对我国未来在信息安全领域的工作重心,工业和信息化部软件服务业司副司长陈英在本次论坛上发表了题为《促进信息安全产业发展,提升信息安全保障能力》的主题演讲。在演讲中,陈英重点强调了我国在“十一五”期间取得的成就,并就“十二五”期间的任务进行了总结。他表示,“十一五”期间,我国信息安全产业实现了较快的发展,为国家信息化建设和信息安全保障体系建设提供了有力的保障,并为“十二五”时期的发展奠定了良好的基础。
产业规模将超670亿元
全国信息安全标准化技术委员会委员曲成义在题为《网络空间信息安全态势和对策》的演讲中表示,信息网络正在成为国家的重要基础设施,网络正在承载着保障国家安全的重要使命。他特别强调说:“我们要在信息安全技术领域掌握主动权,前提是一定要大力发展我国自主可控的信息安全产业。要推进我国信息安全产业的自主创新发展,来保护我国当前在网络空间对抗中所面临的各种严峻的威胁,使经济更安全地运行,这是信息安全产业的重要使命。
在《数字解读》的演讲中,工业和信息化部电子科学技术情报研究所软件产业研究室主任陈新河总结了当前信息安全领域的发展态势,以及未来的发展路线。数据显示,全球信息安全产业的规模在1998年首次超过100亿美元,10年之后超过了1000亿美元。这一数据在2011年达到1188亿美元。目前这一产业的年增速平均在15%左右,是同期GDP、软件产业增速的2.5倍左右。
陈新河表示,从工业和信息化部的统计数据来看,2015年我国信息安全产业规模将达670亿元。目前我国共有712家从事信息安全的企业。相对于全国3万多家软件企业而言,信息安全企业还是比较集中的,这与技术门槛、牌照门槛有关。目前国内信息安全企业产值过亿的企业有十多家。同时,国内信息安全投入占IT投入的比重也在逐步提高。
据悉,本次“2012中国信息安全产业创新发展论坛”吸引到了100多名政府、制造业、能源、金融、电信、医疗、零售、房地产等行业用户参与,并获得了与会者的好评。