如果供给侧改革难以撬动中国网络安全市场……
每一个企业级的人 都置顶了 中国软件网
中国软件网 为你带来最新鲜的行业干货
本文作者│渣渣小编
微信号│weikaiyuan1991
联系邮箱│wky@soft6.com
每当媒体曝出漏洞、攻击事件或者数据泄露事件的时候,某些安全厂商总会显得十分活跃。部分安全厂商会说:“嘿,伙计!没买我的安全产品出事儿了吧”或者“别担心,我的安全产品可以解决这个问题,保你没事”。但是不管说什么,他们想要表达的就是“我的产品给力,你来买吧”。
殊不知,这样的宣传除了造成部分消费者的恐慌,并没有什么其他作用。那些的确该为安全买单的企业,仍然无动于衷。为安全买单的企业太少,市场的增长就太慢。启明星辰首席战略官潘柱廷提到过这样一个观点:在网络安全圈这个中观经济模型下,供给侧结构性改革,监管侧拉动需求,需求侧自我管理调整,几大阵营共同努力,才能撬动中国的网络安全市场。
启明星辰首席战略官 潘柱廷
具体是什么意思呢?各位看官请继续。
供给侧改革难以撬动中国庞大的网络安全市场
看起来庞大的中国网络安全市场,并没有带来与之匹配的巨大财富。换言之,中国的网络安全风口还没有来,相当数量的单位仍然不愿意为安全买单。当然有些人会跳出来说,中国的网络安全产品不够好,对保障网络安全的帮助不大。是的,中国的网络安全企业、网络安全产品、技术和服务可能都落后于美国、以色列等网络安全强国,那么是不是意味着网络安全供给侧改革可以解决问题呢?
供给侧改革在百度百科上是这样说的:供给侧结构性改革旨在调整经济结构,使要素实现最优配置,提升经济增长的质量和数量。放在网络安全圈中,供给侧改革可以这样理解:我们的网络安全企业需要优化网络安全产品的质量和能力,保障并促进业务安全发展。
可是,我们的网络安全企业真的没这样做么?
在业界广泛的批评声中,这两年我国的网络安全产品技术水平与市场环境悄无声息地进步了一大截。总得来说,一方面近两年我国紧跟全球发展趋势,在主动防御、安全自动化与安全智能、大数据安全、工控安全与支付安全等领域不断发力,逐渐缩小与国际先进水平的差距,并在以量子通信为代表的部分学术领域,走在了国际前列。不论是传统的IDS/IPS、UTM、WAF还是内容安全、抗DDoS等方面,中国厂商都有着不错的表现,很多也都进入了Gartner魔力象限。另一方面,随着网络安全上升到国家战略的高度,网信办、网络安全核信息化领导小组的成立,《中华人民共和国网络安全法》(以下简称《网络安全法》)正式通过等等红利事件接二连三,网络安全越发收到重视。可是,中国网络安全市场规模的增长却不十分明显。尽管从IDC的数据来看,这几年都保持着25%以上的复合增长率,但是上市公司的财报数据却能更真实的反映市场情况。
从2016年主板上市的网络安全公司的财报数据来看,除飞天诚信的总营业收入下降外,启明星辰、绿盟科技、卫士通等公司的营业收入、营业利润都能保持着一定幅度的增长。不过,在这样的增长背后,并表收入占据了相当一部分。潘柱廷这样评价过2016年中国的网络安全市场状况:“2016年中国网络安全市场比较平稳,企业在寻求自身业务增长时遇到了瓶颈,而通过并购手段来实现财务数据的增长是上市公司的一个重要手段。”
这句话真实的反映出了国内网络安全市场的现状:在企业追求技术产品上的创新时,并没有找到足够的与之相匹配的业务增长点。上市公司为了追求财务数据上的突破,只靠本身的销售增长尚且不够,而通过并购来实现财务并表则是一个非常大的补充。并且,即便是那些已经在资本层面和产品技术层面打出相当名气的创新型安全公司,比如安天实验室、知道创宇等,还依然处于资本输血的状态,难以实现盈利。
可以说,网络安全供给侧的快速进步,并没有为中国网络安全市场带来想象中那么大的影响。我们可以回过头来想一个问题:假设中国的网络安全企业可以生产出媲美国际领先水平的网络安全产品,作为企业用户,你会为此买单么?
供给侧改革与需求侧管理对立统一
当然,这个假设的前提至少在现阶段还难以实现。想要挖掘中国网络安全市场的巨大金矿,我们不妨把视线转移到需求侧。国务院发展研究中心宏观经济研究部研究员张立群曾说过:“供给和需求就像一个硬币的两面,是对立统一、紧密联系的,不能简单地割裂开来。因为如果整体需求不足、经济失速,那么即使是新兴、优质的企业也会受到影响。”针对这样的状况,潘柱廷提到了这样的一个模型:
(注:阻断攻击用虚线表示代表着没有万无一失的安全产品)
这个模型直观地反映出了网络安全生态中,四大阵营之间的关系。其中,攻击侧代表的是黑产等攻击群体,监管侧代表的是网络安全相关行政权力机关与政策法规,供给侧则代表着网络安全解决方案供应商,而需求侧代表着为网络安全买单的用户。从需求侧出发,想要拉动需求,有三种方法:
第一,需求侧通过自身业务发展,拉动自身网络安全需求。
第二,攻击侧加大攻击力度,从而提升需求,这种方法显然不可取,但是却是黑产发展的必然规律。
第三,监管侧通过加大合规监管力度,拉动需求侧消费。
第一种方法很容易理解。在即将实施的《网络安全法》中有这样的规定:网络安全需要和信息化并行建设。也就是说,企业的信息化基础建设和创新业务发展搞上去了,信息化风险也就来了,网络安全建设需求当然也就随之而来。在最近的移动安全需求调研中,企业认为阻碍移动信息化发展的最大因素是缺乏相应的解决方案,第二点才是安全风险问题。这就很说明了问题,企业的关注焦点仍然在基础的信息化建设上,而不是安全上。潘柱廷举了一个云计算的例子,在本地化部署的阶段,企业的网络安全上没有得到充分保障,云计算的来临却带来企业边界模糊化的问题,从而推倒了本来就不够结实的“围墙”,放大了企业的网络安全风险。但云计算乃是大势所趋,因噎废食的做法是不可取的。这样一种全新的部署模式,既拉动了需求,也倒逼着网络安全企业不断创新发展。当然,移动互联网、物联网、工控网络等等业务方向也是同理。
第二种方法并不符合相关法律规定,这里就不展开了,谈一谈第三种方法。提到合规监管,中国的等级保护制度就不得不提。并且随着《网络安全法》的出台,等级保护制度更是被列入法律条款。这里列举一些《网络安全法》中与等保相关的条款:第二十一条,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改;第五十九条,网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
这两条就是说,网络运营者必须要做等保,不做等保就要受到警告、罚款等行政处罚。要做等保,企业当然要做最基本的网络安全采购。另外,还有一条规定非常有意思:《网络安全法》第三十八条,关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。这项规定最直接有效的执行方法就是每年做一次等保。
除了等保以外,其他的一些监管手段也非常行之有效。比如定期对关键基础设施进行渗透测试,定期在真实的网络环境中举行攻防演练,就像去年底贵阳做的那次攻防演练一样。
说了这么多,还是要强调一点:需求侧管理不是要通过监管手段,强制拉动企业购买那些没用的安全设备,而是要通过硬性规定,提升用户对于网络安全的重视程度,推动网络安全产业乃至信息化产业蓬勃发展。需求侧和供给侧两手都要抓,才是正确的选择。退一万步来说,买一个防火墙总要比实实在在的“裸奔”要安全得多。
供给侧的生态力量
话又说回来,撬动网络安全市场并不是最终目的,最终目的是要确保网络是安全的。面对日益猖獗的黑客攻击,供给侧仍然面临着巨大的挑战和机遇。对于站在中国网络安全供给侧顶端的启明星辰(16年实现超过19亿的营业收入,中国第一),是怎样看待自己在网络安全生态中的作用的呢?潘柱廷提到了以下几点:
第一,针对需求侧发挥市场的力量。启明星辰会利用自身的技术优势,占领更多的需求侧市场,面向用户提供更好的技术产品。大家都知道,启明星辰是一家以检测技术见长的综合性安全厂商,启明星辰会在巩固传统IDS/IPS、UTM等产品的同时,抓住新技术的机会。比如在面向大数据的安全业务和SaaS(安全即服务)等方面发力。
第二,针对供给侧发挥资本的力量。资本可以把大家连接在一起,启明星辰再大也不会一手遮天,你做你擅长的事,我做我擅长的事,毕竟协同才是网络安全的未来。2016年,启明星辰可以说是国内资本层面最活跃的安全厂商之一了,并购赛博兴安、与北信源合作、与腾讯进一步合作等等大手笔都出自于启明星辰之手。
第三,针对监管侧发挥政策的力量。启明星辰集团CEO严望佳是网络安全圈唯一的两会代表,通过在两会发声,启明星辰可以更好的为网络安全圈带来政策红利。近两年,严望佳提出的历案制度、智慧城市、移动支付等提案,已经起到了积极的推动作用。
另外还有一点非常有意思,潘柱廷提到了ADLab发布的黑雀攻击报告。黑客在攻击目标的时候,永远不知道背后是否有更大的一双手在罩着自己。就像螳螂捕蝉,黄雀是否会在后面?黄雀的背后,是否还会有一只更大的黄雀?具体做法可以是这样:供给侧通过为监管侧提供技术支持,向攻击侧投放带有后门的攻击工具。一旦小白黑客难以辨清工具中是否隐藏着后门,中招后便会被有关部门监控到。这样一来,监管侧便可以针对攻击侧进行精准打击,从而降低黑产数量,提升攻击成本。
保障网络安全不是某一方的责任,而是政府、企业、社会组织、网民的共同责任。信息系统运营单位是网络安全责任主体,要确保重要信息系统安全、稳定地运行;企业是创新的主体,要加强技术创新,提供创新的安全产品和服务;社会组织和专家要积极为网络安全提供智力支持,推动行业自律。供给侧、需求侧与监管侧共同发力,安全生态才能良好的运转,不是么?
更多阅读:
本文由中国软件网(www.soft6.com)原创发布,未经许可,禁止转载。
报名请点击“阅读原文”