信息安全的“暗伤”


来源:计算机世界 原创-IT

胡英

——————————————————————————–

“城外的人想进去,城内的人想出来,人生的事,大抵如此。”

钱钟书老先生这句名言,用在信息安全领域再恰当不过。

没有进入这一领域的人,将它看成是摆脱IT困境,维持高速发展的最后一轮机会,于是,一窝蜂而上。

已经进入这一领域的人,过得好的并不多,很多在惨淡经营,有些在苦撑,有些在暗地里转型,有些干脆从此消失……

信息安全产业并不像想象的那样充满了机会,产业在荆棘的道路上跋涉,反而处处布满了陷阱,被划上了道道“暗伤”。

我们披露这些“暗伤”,是为了引起业内更多的领导、专家、用户及厂商的重视,让幼小的信息安全产业能在一个健康有序的环境中顺利发展、壮大。

政策暗伤:收费繁多何时了?

在发展初期,政策就像一把双刃剑,在保护企业和用户的同时,由于管理的不规范,也深深刺伤了产业。

在进入信息安全产业之前,许多中国企业凭着直觉感到,这一产业似乎是国内企业在新IT时代赶超国外的最后一轮机会!因为,信息安全不仅指企业或个人的信息网络安全,它更是关系到国家安全、社会稳定的头等大事,尤其在许多专家预计不久将爆发的信息大战中,谁掌握了网络信息安全的核心技术,谁就能掌握网络信息战的制空权!谁都清楚,保卫国家安全必须依靠自己的军队,而不能依靠雇佣军,所以,这些网络安全的核心武器,必须掌握在自己人的手中!就连美国这样一个号称高度自由的国家,也于今年出台了美国《网络空间安全国家战略》,其中不仅详细说明了未来美国将面临的信息安全风险,还指出必须依靠本国自己的力量才能保证国家的安全!

在这种大环境下,国内厂商兴奋异常,国家依靠自己的力量发展自己的信息安全产业,意味着国家在资金、政策、税收等方面的扶植力度将会加大,意味着虽然我们的信息安全产业相对国外起步较晚,但国内企业具有非常高的胜算机会,而不会像以往的IT业一样,不得不被国际社会几大巨头牵着鼻子走!尤其在近年来整体IT环境下滑的情况下,信息安全无疑是国内企业的突破口。

被美好的预期冲昏了头脑,许多人来不及仔细思索便一猛子扎进了信息安全江湖!却不知,刚刚潮起的信息安全领域,里面布满了暗礁和荆棘。在发展初期,政策就像一把双刃剑,在保护企业和用户的同时,由于管理的不规范,也深深刺伤了产业。

很多人以为获得了公安部的销售许可就算是领到了进入这一领域的“许可证”,但只有那些在此领域“混”得稍久的“老牌厂商”才了解里面的“难言之隐”:公安部的销售许可只是进入这一行业的第一道门槛,随后,进入军队系统要有军队许可、进入涉密网要获得保密许可、产品质量保证要获得安全部门的许可。这就是业内许多厂商自嘲又无奈的“公保机盯”大餐。此外,各个行业还专门自设了自己的“入围选型”门槛,如进入金融业要获得金融选型入围,进入电信网要获得电信选型入围……这几道门槛,就像几块大石,压得幼小的企业抬不起头,许多企业不堪重负,甚至夭折。

之所以有这么多的“许可门槛”、“认证门槛”,是因为里面有着巨大的经济利益。一位国内信息安全企业老总给记者算过一笔账:企业研究出一种新的信息安全产品,如果要拿齐这几种许可证,至少得花10万元人民币,这还只是新产品的价码,不包括产品升级换代的费用。一个企业不可能只研制一种信息安全产品,一般来说会有3~5种产品,每种产品一年中很可能升级1~2次,仅各类认证费用,一个企业一年就得花上百万元人民币!

国家对信息安全产业实行许可证管理制度本无可厚非,这是为了保障广大用户的合法权益,保证产品的质量,也保障信息安全企业的合法利益。但问题的关键是,需不需要如此多的部门进行多重认证?作为发放许可证的职能机构,需不需要索取这样高额的费用?

乱收费现象严重,已经深深制约了刚刚起步的国内信息安全企业的发展,以至于业内出现了一个很奇怪的现象: 国外企业的产品反正进不了那几个关键部门,于是不需要拿那么多的许可证,反而凭借技术、资金实力而一身轻松地攻打大行业,如金融、电信等企业领域,而对本来就弱小的国内企业而言,在大行业内没有实力与国外企业竞争,进入关键部门又有这道道收费门槛,无疑是雪上加霜!

由此出现一个无奈的现象,很多国内企业不愿意进行产品升级,即使升了级,也不愿意大肆渲染,对外还宣称产品改动不多。一家很著名的企业,明明在防火墙和入侵检测系统中对产品进行了重新设计和巨大的改造,但在版本号中只是从3.0升级到了3.1,对外显示产品变化不大。这家企业老总说:我们也很无奈,谁不希望说自己的企业有技术含量,具备快速更新换代的能力,但如果说产品改变巨大,接下来就是大笔认证费用等着你,在防火墙市场竞争如此激烈的情况下,我们什么时候才能收回这笔费用啊?

有专家认为,近年来,公路乱收费现象严重,国家已开始抓紧整顿治理,而在信息安全产业道路上的乱收费现象同样严重,同样需要国家下大力整顿,否则,发展我国自主的信息安全产业只是一句空话而已。

据悉,一家机关媒体通过新闻内参的形式已经向中央有关领导反映了此事,目前,中央有关领导已经有了明确的批示,要对信息安全产业乱收费现象进行整顿治理,这无疑是产业的利好消息,产业急切地盼望政策环境改善的那一天早日到来。

市场暗伤:只见森林,不见树木?

中国信息安全产业一年的产值只有区区十多亿元,还不及短信在春节黄金周期间短短的8天里创造的70多亿元产值的三分之一,这真令人失望!

虽然产业发展呼声极高,不时出现的黑客攻击事件也在不断地提醒着业内的人们要高度重视信息安全建设,企业在进行IT投资时,也在不断加大对信息安全的投资比例,但信息安全整体市场究竟有多大?值不值得人们趋之若骛、一窝蜂地投入到产业内?恐怕许多人没有深思过。

中国整体信息安全市场的数字究竟有多大?一段时间以来,业内流行的数据是,2002年中国的信息安全市场达到了40亿元人民币,统计渠道不得而知,也许就像中国的许多数据一样是某些专家“拍脑袋”得出的。虽然IDC公司对2002年的数据还没有统计出来,但从IDC2001年的数据来分析,IDC预计2002年中国的信息安全市场只有16亿元人民币。两者相差2倍多,这不得不让人迷惑。

专家分析,这种现状是必然的,这是由于信息安全产业的特殊性造成的。大量采用信息安全产品的用户“养在深闺,足不出户”,因为,谁也不愿意将自己需要保护的系统对外宣传,引起广泛的注意,因为,谁也不能保证自己的系统是万无一失的。此外,军队、政府等特殊部门的应用情况从来不对外公布,这就造成了统计渠道的不畅和统计数据的混乱。

但是,从信息安全厂商的销售数据来看,我们或许可以得出些结论。据记者了解,一般在中国的大型信息安全厂商(包括本土企业和在中国的外企)一年的销售额只有几千万元人民币,最大的1~2家也声称刚刚超过了1亿元人民币,而大部分企业在信息安全领域的销售额只有几百万元人民币,如此一来,虽然在册的从事信息安全销售的厂商数超过了千家,但总体销售数据依然很小!

中国信息安全产业一年的产值只有区区十多亿元,还不及短信在春节期间短短的8天内创造的70多亿元产值的三分之一,这真令人失望!

其实,仔细思索,这也不奇怪,产值不大但责任重大,是信息安全产业的主要特点。一个企业无论对信息安全产业如何重视,但一般对它的投资仅占IT总体投资的15%左右,最依赖IT生存的企业对它的投资也不会超过IT总体投资的50%。毕竟,信息安全产业是依附于信息产业发展而发展的一个小门类,要想将产业做大很难!

专家用“只见森林,不见树木”来形容产业的现状。我们能看到前景,但要看清楚直至挖到财富,依然要走很长的路!

厂商数量太多、规模普遍偏小,不仅使厂商的抗风险能力极差,也影响风险投资的进入,如果没有风险资金的进入,缺乏资金的老问题又会困扰企业的发展,不利于产业的迅速扩张。据悉,有关专家已经看到了这一问题,并提出,“减少数量、扩大规模”是2003年中国信息安全产业的主要目标。

好在信息安全产业每年50%以上的增长速度足以令人兴奋,就凭这一点,也足以成为习惯了长期高速发展的中国IT企业继续保持高速发展的新的经济增长点。只是,作为准备涉足这一领域的厂商,进入之前一定要有充分的思想准备和资金技术储备。

产品暗伤:谁了解用户需求?

大多数厂商在防火墙、IDS、反病毒、VPN等几类主流的产品中,拼杀得“你死我活”,而用户需要的一些专业的安全防护工具在市场却难觅踪影,这就是业内专家所说的“产业结构失衡”状态。

提起信息安全,很多人自然联想到防火墙、IDS、杀病毒、VPN等耳熟能详的产品,于是,很多厂商以这几类产品切入信息安全领域,然后逐渐扩张到信息安全的其他门类。那么,作为用户又是如何想的呢?

跟踪信息安全领域两年多,记者多次与用户交流,发现很多大型行业用户在考虑信息安全问题时,首先考虑如何进行组织机构的调整,如何在现有网络拓扑的基础上制定信息安全策略,最后才考虑采用信息安全产品的问题。换言之,信息安全产品在用户心目中的位置排在最后,并且只是作为实现策略的工具而已。

一位在银行负责信息安全的处长说,很多厂商提供的产品根本满足不了我们的需求,他们提供的是产品,而我们需要的是适合自己银行网络拓扑结构的安全策略,虽然很多厂商也说能提供策略咨询服务,但那些策略要么是站在产品立场上的咨询服务,要么是纸上谈兵,并不适合我们的网络结构,而由于银行网络的保密性,我们很难将自己的需求直接告诉厂商。于是,不得已,我们只有自己学习,自己制定安全策略,自己选择产品。

据记者了解,在市场上,大多数厂商还是以提供产品为主,虽然也打整体解决方案的大旗,虽然也号称提供安全咨询服务,但正如用户的理解,这些服务都是建立在产品基础上的服务,是为了卖产品而为用户画的一个饼!

于是,一方面,用户对信息安全有着强烈的需求,另一方面,信息安全厂商的规模和利润做不大,因为,中间缺少一个必要的环节,那就是专业的信息安全服务。专家分析,实施信息安全工程就像实施 ERP一样,企业首先必须进行流程重组(在信息安全领域是进行组织机构、人员的重组)后,才能利用各种安全工具实施安全策略。

市场呼唤中立的、专业的信息安全服务厂商,但它们的生存状态又怎么样呢?记者也曾接触过一些这样中立的服务公司,但它们普遍生存状态不佳。一方面,人们的观念还没有更改过来,为服务单独付一大笔费用在某些用户的观念中还很难接受;另一方面,这些新成立的中立性服务公司还没有创出品牌,其咨询水平还很难让人信服。

在信息安全领域,需求与供给的矛盾日渐突出。

大多数厂商提供的产品依然集中在防火墙、IDS、反病毒、VPN等主流上,使产业走上了一条“千军万马过独木桥”的现象,在这几类主流的产品中,厂商拼杀得“你死我活”,而用户需要的一些专业防护安全产品,如审计工具、预防入侵工具等,市场却难觅踪影,这就是业内专家所说的“产业结构失衡”状态。

造成这种现状的原因一方面是进入这几类主流产品领域的技术门槛近年来已经极大降低,投入点资金就能顺利地开发自己的防火墙、IDS等产品;另一方面,很多厂商不了解信息安全领域囊括的产品门类多、技术含量高的特点,致使其他新类别的产品因为厂商缺乏创新性而无人问津,使整个产业缺乏创新意识。

根据记者的了解,具有创新性的安全产品目前在市场上依然非常紧俏。例如,记者曾编发过一篇一个厂商推出了专业防止宽带偷盗新品的新闻,新闻发出不久,就收到了读者的反馈,要求与厂商联系购买产品,不经意间,记者促成了一笔生意。由此可见,用户因为自身安全需求一直在不断寻找适合自己的安全新产品,而厂商的产品只要能解决特定安全问题,总会有用户需要,厂商所面临的竞争环境也不会那么激烈。

对业内的厂商而言,多动动脑筋开发一些功能性能独特的产品,是不是比跟在别人后面,“人云亦云”挤在狭小的空间中竞争更有意义呢?

应用暗伤:谁能将产品用好?

很多企业即使买来了信息安全产品,但事故依然不断,安全还是得不到保障。为什么呢?这至少让用户对信息安全产业的信心大打折扣!

以上四类主流产品之所以在信息安全领域产值所占比例较高,成为众厂商追捧的对象,是因为其所覆盖的应用领域较广的缘故,除了在那些大的行业,如金融、电信、政府、民航、电力等严重依赖信息化的行业对它有需求外,一些中小企业在保护自己的企业网安全时,首先就想到了这四种产品,正因为中小企业的关注,才显示出它们在数量上的优势,显示出在产业中所占产值比例较高,因此,其重要性的权重也相应加大。

但对那些广大的中小企业,即使买来了信息安全产品,为什么事故依然不断,安全还是得不到保障呢?这至少让用户对信息安全产业的信心大打折扣!

以今年1月25日流行的Slammer病毒攻击为例,几个小时之内,病毒席卷全球,攻击了全球成千上万的网络,其实,病毒所依据的只是微软去年7月份就发布了补丁程序的SQL数据库的漏洞,那么,为什么还有那么多的网络“中毒”?这是因为用户没有及时打上补丁,其中,很多用户不知道要打补丁,也有很多用户是抱着侥幸心理懒得打补丁。换句话说,是用户信息安全意识不强或对已有产品使用不当造成的。

而更多的情况是,作为广大中小企业的用户,本身并没有信息安全专业人员,即使有那么1~2个技术人员,也只是普通的IT人员,对信息安全知识一知半解,对信息安全产品似懂非懂,这就注定了无法将产品用好!

记者曾经接触过几个这样的用户,网络防毒产品买了来自不同厂商的2套,之所以这样做,只是因为不会用以前的老版本,而厂商的服务又不到位,于是干脆换一家服务好、好用的产品,反正花的不是自家的钱。另一些情况是,有些用户对防火墙的配置策略基本上半年甚至一年都不变,一旦需要变化,却由于没有懂得相关配置的人员而束手无策,因此,每次更换策略都依赖于厂商人员的上门服务,厂商对此不堪重负,而用户也甚感不方便。

应用的不到位有几个方面的原因:一是用户对信息安全产品本身的认识不足,以为凭几个网管员就可以管好整个网络的安全,而舍不得在信息安全的人员培训方面进行再投资。这其实是应用上的最大误区,因为IT与信息安全是完全不同的学科,专业的IT人员不一定是专业的信息安全人员,专业的信息安全人员必须经过再培训的过程。国家已认识到这一问题,目前正在制定信息安全维护人员持证上岗制度,保证上岗人员的质量。

应用不到位的另一个重要原因是厂商的服务不到位,虽然很多厂商号称自己已经转型为安全服务厂商,但提供的服务多数是前述的安全咨询服务或产品的售后服务,而惟独缺少对产品应用的运维服务。对信息安全产业而言,这是维持信息安全产业链的一个必要的环节,也是考验厂商实力的指标。信息安全的运维服务不能像PC的后期服务一样,换某些板卡就能解决问题,而是需要让渠道同样具有安全服务能力,能为用户提供贴身的服务,这就要求厂商对渠道服务进行深入培训,建立良好的对渠道的掌控能力,而这需要时间的积累。

用户对信息安全产品应用得不好,直接影响信息安全产品的推广,产品推广不出去,直接影响信息安全产业,成为制约产业发展的另一主要障碍。