中国计算机报：2006年 信息安全业的拐点

　　宋丽娜 朱杰

　　最初，“拐点”一词源自数学，它标志着曲线上升或下降的形式发生了变化。后来，“拐点”被广泛用来形容事物的发展所面临的转折。今天，启明星辰首席战略官潘柱廷用“拐点”为我们揭示了目前信息安全产业所面临的契机。

　　转眼间，又到了2006年岁末盘点时刻。尽管各个安全厂商全年销售情况还没有完全统计出来，但是前三个季度信息安全市场所表现的20%左右的增长态势还是奠定了今年市场的基调——增长平缓、波澜不惊。

　　单纯从统计数字上，我们看不出今年的信息安全市场与去年有多大不同，在某种程度上说，今年的信息安全市场甚至保持了去年的“沉默”。不过，沉默之中却透着十足的理性和成熟，呈现出前所未有的特点。这些特点体现为客户需求的理性、安全厂商的老练、安全产品的成熟以及外部政策的明朗化。

　　启明星辰首席战略官潘柱廷因此预言2006年将成为信息安全产业的拐点。果真如此的话，那么这个让安全厂商们期待了多年，已经让许多人失去耐心和坚持的拐点，则为那些执着者带来了春天的信息。从1995年的萌动开始，到2000年左右快速增长后的沉寂，再到“十五”期间的大浪淘沙，终于到了2006年的柳暗花明。经过十多年的发展，国内信息安全产业真的时来运转，迎来发展转机么？

　　潘柱廷从信息安全产业的构成要素入手分析了信息安全产业面临的发展机遇，给出了2006年成为信息安全产业拐点的理由。

　　潘柱廷认为，与其他产业一样，信息安全产业的构成可以细分成四类要素：交易品(安全产品、服务等)、客户(需求等)、提供商和第三方(包括主管机构、评测机构、媒体等)。2006年，安全产品、客户需要、提供商都表现出一定的成熟度，发自企业内部的业务安全和符合性的需求，加上等级保护、萨班斯(SOX)法案这些来自企业外部的政策力量，都为2006年成为拐点创造了大环境。

　　客户需求更理性

　　“亲历2006年各大安全招标项目的圈内人体会都很深刻。随着信息安全市场的不断发展，客户需求也日渐趋于理性和成熟。这种理性与成熟表现在客户对信息安全‘效果’的看重，对安全投资的‘理性’。”潘柱廷说。

　　几年前，简单进行一下设备选型，就上马安全项目的作法比较普遍，而现在绝大多数客户对安全投资变得前所未有的谨慎。用户在采购产品的时候很清楚自己想要什么，想通过产品达到什么样的效果，不再盲目相信厂家提供的白皮书。更关键的是，客户安全需求更多的是针对自己的业务安全。

　　潘柱廷以中资银行为例，解释客户需求的这种变化。当前中资银行最关心的问题莫过于从主要靠息差获得收益，向多样化经营发展。在这一过程中，银行需要进行数据大集中，增加多样的金融产品，确保符合

　　客户需求的理性还体现在对安全服务的逐渐接受。在2006年里，很多网络安全厂商都接到了几笔安全服务的大单子。原来难于被客户认可的服务逐渐开始被接受，而且这还不是个别案例。这在一定程度源于日益增多的安全事件，当越来越多的用户意识到，产品方案解决不了全部安全问题，而企业又缺乏足够而又专业的技术人员，求助外部专家力量无疑是最明智的选择。2006年，用户对安全服务的接受程度之好，与IDC对2006年中国IT安全服务市场的年复合增长率为30.7%的预测很是吻合。

　　客户需求的理性与成熟，为产业带来了坚实的变化。在这些林林总总的变化趋势中，最值得引人注目的就是网络安全开始从系统安全走向业务安全；从面向问题的安全防护拓展到面向合规性的内控

　　安全厂商走向成熟

　　从去年开始，信息安全市场的供需双方就开始发生了微妙变化。原来的信息安全市场，是以厂商为中心的卖方市场，信息安全厂商推出什么样的产品，客户就接受什么样的产品。现在，随着信息安全市场转向以客户为中心的买方市场，促使信息安全企业必须要根据客户的需求来确定方向、提供产品及服务，通过提升客户使用安全产品的效果来体现产品与服务的价值，这促使安全厂商变得成熟起来。

　　安全厂商的成熟突出地表现在更加关心客户的业务安全，试图系统地解决用户问题，不再单纯“头痛医头，脚痛医脚”。从中国IT安全主流厂商无一例外地在加强类似于“SOC”的IT安全服务和管理体系建设就可以看到这一点。大潘认为，SOC作为平台，介于宏观与微观之间，属于中观层面，更有利于保护用户业务系统的持续发展。国内最早的SOC平台出现在2002年，一出现便受到质疑。然而，现在平台已经从一个抽象的概念转化为实在的需求，在产品和服务之外，平台可以作为一个很好的补充，保护企业的业务安全。

　　客户需要什么，安全厂商就会提供什么。在产品如此，在服务方面更是如此。2006年涌现出更加多样化的服务形式，这些多样化的服务包括:总体规划、渗透性测试、合规性咨询服务、网络的拓扑结构整合以及信息安全管理体系(ISMS)等。

　　产品日趋完善

　　几年前，针对复合型的安全需求，安全厂商陆续推出整合式的安全设备。如今，信息安全产品功能融合和一体化的趋势更加明朗，UTM就是一个典型的代表。

　　在“十五”期间的大浪淘沙中，那些没有核心

　　不过，潘柱廷认为，单项产品并非没有市场，相反一体化的产品和单项高性能安全产品共存，将为客户带来更多的选择。此外，信息安全管理平台成为整体安全的落脚点等等，任何体系都会落实到一个相对应的的平台上。

　　由于产品需求的增加，产品的供给也相应增加，因此大潘预测，对于安全产品来说，2007年较2006年的增长幅度将大于2006年较2005年的增长幅度。

　　合规性成为最大动力

　　在2006年，两部法规的正式实施对于信息安全产业产生了标志性的影响。一部是国内的《信息安全等级保护管理办法》，另一部是美国的《萨班斯—奥克斯利法案》。这两部法规都以法规的形式敦促企业加强内部控制，增强抵御风险的能力。

　　《萨班斯—奥克斯利法案》对在美国上市的公司提供了合规性要求，使上市公司不得不考虑控制IT风险在内的各种风险。随着这个法规生效时限的到来，国内众多在美国上市的公司都纷纷动了起来，其中最为突出的就是各大电信运营商对人、财、物的投入都非常巨大。

　　在“十一五”期间，国家积极推动信息安全等级保护制度，以最大限度避免系统安全漏洞和低级庸俗内容带来的信息安全风险。这一强制性的安全要求，形成了一种合规性要求，必将逐步带动实际需求并形成持续投入的动力。当然，等级保护的相关要求要考虑进一步精简和明确，以利于通过合规性的方式来推动。

　　作为“十一五”计划的开局年，2006年是国家各机关部委及企事业单位规划五年发展计划的第一年，又适逢国家“等级保护”法案实施、萨班斯(SOX)法案的推行，无论从产业发展阶段、国家政策、外部环境来看，还是借鉴国外的发展规律，都预示着我国的信息安全产业将由此迈入一个快速发展的新阶段。

　　潘柱廷认为，对于安全厂商来说，只有认清当前信息安全产业的形势，真正关注用户的业务安全和合规性需求，才能把握千载难逢的发展机会，成为信息安全业的旗舰企业!