论文部分内容阅读
天融信CEO金玉丹先生告诉我们:“IT安全就是一个长跑,每一个人都要按照自己的体能,按照自己的节奏,扎扎实实一步一步跑下去,谁气长就能跑得最好。如何拥有良好的体能,对于企业来说,就是要不断创新。”
如今,留给国内信息安全企业思考和应对的时间已经不多,市场发展的提速在一定程度上决定了像思科、微软这样的网络设备提供商全面进军信息安全市场的时间也大大提前了。一旦市场规模发展到收益超过成本,那么短时期内信息安全市场就将出现滔天巨浪。
外有强敌环视,内是倾轧不断,面对着市场需求、资金投入、技术革新等等壁垒的我们究竟该如何抉择,才能走出这座几近死局的围城呢?
敬请关注《科技创业》为您演绎的突围之路。
提到中国的信息安全产业,很多人都怀念三四年前的光景,可是那时的热闹也就是一把虚火,市场仅仅是以概念形式“炒”起来的,没有太多的实质内容。信息安全的“崛起”得益于正处于严冬中的IT业迫切需要这类素材来“粉饰太平”!
1.市场之忧
提到中国的信息安全产业,很多人都怀念三四年前的光景,那时候信息安全已然成为概念,每天都会有新的信息安全企业冒出来。可是,行内人都明白,那时的热闹也就是一把虚火,市场仅仅是以概念形式“炒”起来的,没有太多的实质内容。信息安全的“崛起”得益于正处于严冬中的IT业迫切需要这类素材来“粉饰太平”!而实际上,那时国内信息安全市场的规模也就在20亿元左右,1000多家厂商连站的地方都不够。
根据IDC的统计数据,2006年中国信息安全产业的市场总额不到世界信息安全市场的2%,中国对信息安全的投入占整个IT投入在1/200以下,市场需求仍与国外15%的正常水平相距甚远。
国家安全中心安全研究与服务中心主任吴亚非认为,信息安全市场需求不足的根本原因在于,我们国家的信息化程度不够高,很多行业还没有实现信息化。比如,具有安全需要的上网人数不多,电子商务也没形成规模,一些行业的计算机应用还没有普及。这就造成信息安全的“顾客基数”小,总体消费需求弱。另外,还有“成本”问题。保证信息安全是要付出成本的,如果成本太高,那对安全的需求就不会那么迫切。实际上,安全就理解上永远只是二线业务,它是保障一线主流业务的。因此,如果一线主流业务没有发展起来,没有带来足够的效益,二线业务的需求就不可能有太大变化。
此话不假,但还不够全面。我们知道,国外信息化已经有数十年历史,且工业化基础深厚,而我国在跨越式发展的过程里欠帐太多,个别地域的经济差异已经出现了明显的断层,农村和少数偏远地区更是信息化建设的死角。对于连网络和计算机都还没弄明白的他们,何以奢谈信息安全?至于在生存线上抑或是温饱状态的群体,信息安全更是恍如天外之物。因此,等待中国信息化建设完成来催生市场估计不太现实,至少不是短期内能指望的,信息安全企业必须另寻生路。
可是,国内信息安全的既有市场到底在哪呢?
记者通过走访了解到,通信业、金融业、政府部门是我国计算机网络普及程度较高的几个有限领域,信息安全需求的愿望也最“迫切”。他们或者是出于本身业务和发展的需求,或者是出于政府的主观愿望,总之,他们就是现在最舍得掏钱买“安全”的主。很明显,国内信息安全产业优质的市场资源多半集中在政府和国资企业手中,按道理,通过公开招标将这些资源用于扶持国内信息安全产业,既符合政府和民众利益,又有利于国内创新型民营中小企业发展。但现实情况却让人寒心,据一位业内人士透露:凡是利润丰厚的项目不是被国家扶持的企业拿走,就是政府自己出面做了,像二代身份证、护照更新换代以及奥运会的相关项目几乎都被政府垄断,广受关注的二代身份证就是公安部第一研究所在做,这些东西民营企业想都不用去想。以前国家的一些项目研讨会总是引起很多厂商关注参与,但最后都会变相撇开“外面的人”,空头支票开多了,市场也就“冷清”了。在失去这些利润丰厚的项目参与权后,国内中小民营信息安全企业也就失去了最后的一根稻草,现在的状况可以用四个字形容:自生自灭。
2.资金之困
资金对于企业的重要性就相当于血液之于人,少了就贫血,气力受到影响,抵抗力下降;如果长时间得不到改善,就会危及生命。不幸的是,对于国内大多数的中小信息安全企业,资金不足从来都是一个摆脱不了的难题,研发的投入、市场的推广……这些都需要钱,可是初创企业一般也就准备了一次性的研发启动资金,6个月、1年、2年,最多也就3年,如果到那个时候企业还不能实现自我供给,企业的生存就成问题了。
有人要问,为什么不选择融资?记者也将这些问题给了许多企业的负责人,他们的回答惊人地一致:不可能!上海龙方信息技术有限公司总经理李嫚说:“风险投资从来不是信息安全企业能指望的,我从没听说哪一家信息安全企业获得过风投,我也没想过从这方面入手解决资金问题,我们只能靠自己。”陈小兵透露:“纯粹的信息安全企业目前还很难盈利,研发需要的时间长,产出的周期也不稳定,这些都不符合风险投资的要求。”上海可鲁系统软件有限公司产品总监晏培也认为:“国内风险投资向来注重概念,做一些旱涝保收的事情,并不太注重技术性的投资,所以短期内还不太可能以融资解决问题。可鲁的信息安全业务还是建立在自动化的基础上,这也是目前很多国内企业的模式。”上海敏创软件的徐总还提过过这样一件事,一些风险投资拿到他们的计划书直接就问:“你们公司和web2.0有什么关系?”
综合来看,国内风险投资早已没有风险意识和勇气,锦上添花的特性基本断绝了正处于阵痛中的信息安全企业融资发展的可能。这样,国内的很多安全企业只能靠积累发展,他们像无头苍蝇一样整日为生存奔忙,基本上就失去了战略部署的时间和空间。
值得注意的是,市场需求不足的确在一定程度上影响了投资者信心,但真正阻碍风险投资进入行业的还有其他因素,其中,退出通道就是很重要的一个方面。专家指出,国内的企业缺乏合作的精神,视同行如敌国的竞争理念影响了国内企业的相互融合,在技术、市场乃至企业层面很少出现成功的对接。一些很有潜力的公司因此失去了发展的机会,一些优秀的技术和产品也得不到应有的推动,久而久之,风险投资也就失去了兴趣。这与国外形成了鲜明的对比。以NetScreen公司为例,在发展之初融得了关键的200万美元发展资金,此后通过在Nasdaq上市,又融得了企业需要的大量技术研发资金,迅速发展成为全球最大的硬件防火墙厂商,在成立后的第9年,以40亿美元被Juniper收购,实现了一个企业的圆满的生命周期。风险投资在企业前期作用关键,而最后的回报也相当丰厚,双赢!
可是,天融信等国内企业也是10年左右的发展了,结局在哪呢?贺卫东认为,资本市场的不成熟,是制约中国信息安全厂商发展的主要瓶颈。国外有成熟的资本市场,而中国缺少这样的机制,看不到善终希望的风险投资对信息安全企业冷眼旁观也就不足为奇了。
3.技术之苦
两年前,我国信息安全产品门类就已经基本形成体系。可是,用户的抱怨仍在与日俱增,新的攻击手段和用户的理性认识使得需求层面出现了惊人的矛盾:以往的宠儿防火墙、入侵检测和杀病毒,俗称“老三样”的防护手段再也不能独当一面了。在国内市场无法提供足够动力而技术趋势却必须与国际厂商看齐的双重夹击中,国内企业的技术之路变得格外艰难。
天元龙马科技公司总经理张昕尉认为,中国的网络安全厂商之所以很难快速推出适应安全形势发展的新技术产品,与绝大多数安全厂商还是在生死线上苦苦挣扎有关,这就是前面提到的市场和资金的限制。
“由于中国安全厂商基本上是靠自有资金滚动来发展,因此,大多数中小厂商不得不将产品的研发集中在防火墙、IDS杀病毒等市场需求已经起来的产品上。它们以生存为研发的第一要素,对新生事物不敢问津。”(张昕尉语)
企业对于技术的谨慎进一步导致市场趋于同质化,竞争愈演愈烈,许多厂商情急之下就血拼价格,这种杀敌一千,自伤八百的做法让信息安全市场变得一片狼藉。最终的结果是,光靠市场的回报再也达不到技术型安全企业的生存需求,许多以技术见长的企业被迫向产业链的上下游转型,整个产业开始畸形发展。
不过,这些问题很难怪责中小企业,技术虽然是他们安身立命的根本,可是当生存出现危机,技术的研发也就失去了意义。毕竟,像天融信、东软、联想网御、瑞星、启明星辰等这些所谓规模过亿的安全厂商,对于前瞻性的技术投资也同样是小心翼翼。
为什么不敢轻举妄动?资金不足是根本原因。号称国内第一的天融信也就几亿元人民币的营业额,而国外的赛门铁克早已直奔千亿美元。很明显,国内企业的抗风险能力太差,手中无粮,自然就不可能大胆投入。毕竟,在充满了变数的信息安全市场,一旦投资决策失误,很难有机会抬头。
而在认识上,我们的企业仍然过于重视防杀的概念,并没有几个人真正去琢磨从根本上解决安全漏洞,建立可信的运行环境。在集成电路、软件、关键电子元器件上的差距已经成了所有企业却步的借口。如今的技术之苦就苦在我们对于原始创新的重视不够,导致我们只能在外围做一些文章,技术价值和产业形态均不对称。不管我们如何有信心,中国芯的命运一定程度上表明我们还没有真正打破国外厂商在核心技术上的垄断优势。有人将IC比作是信息安全领域的核武器,没有任何防线可以阻止其发生作用。一旦真刀真枪,由国产安全产品堆砌的“铜墙铁壁”顷刻间就能成了对方的俘虏。
这绝不是危言耸听,事实上有关信息安全的战略使用已经有了先例。美国军方早在1987年就开始耗巨资研制带有病毒的集成电路。在和平时期,美国将含有病毒的集成电路作为普通商品售往他国要害部门,一旦战时需要,可以随时远程激活病毒,使敌方的指挥系统和武器系统失灵或者瘫痪。在海湾战争中,美军在空袭巴格达之前,将伊拉克打印机(战前供应中东地区)集成电路上隐蔽的病毒遥控激活,使之侵入伊拉克军事指挥中心的主计算机系统,导致伊军指挥系统失灵,整个防空系统随即瘫痪。因此谁拥有了先进的集成电路,从某种程度说谁就能掌握战场和国防的主动权。
此外,标准模糊也是国内厂商疲于奔命的原因。尽管我国一些行业具有安全等级应用标准,但缺乏产品标准。由于各家的接口不一,标准不同,大家基本上是各自为阵,研发成本高昂。也由于缺乏统一标准,国内客户经常会提出定制服务的要求,每一个项目都需要重复开发,企业基本上不可能实现技术上的积累。国内安全厂商天融信公司董事长贺卫东认为,用户的市场需求越来越多是件好事,但由于需求超前于整个产业的一些技术,给厂商们带来了很大的压力。中国缺乏国外那样的安全“巨无霸”企业,也缺乏技术创新型安全厂商。
最后也是最重要的就是人才问题。虽然信息安全的创业者很多都是海归或者研究所的一些科研人员,但就产业层面而言,高水平的信息安全人员在数量上远远不够。长期致力于网络信息安全研究的吴亚非,谈到中国信息安全现状也说:“人才是关键中的关键。有了人才,其他问题都可逐步解决。但国家在信息安全方面的人才极度缺乏。”
据有关部门估计,国内安全专业人才的需求量在15万人左右,但国内具有专科以上学历的信息安全专业人不到两万人,缺口很大,很多企业都是用其他专业人员临时“救场”,效果可想而知。与我们相比,外国的数字则“宽裕”得多:美国在这方一面的人才达60万人,且每年以60000~80000人的速度增长。
早在在1999年第三次国家级的信息安全人才教育培训研讨会上,就有美国专家指出,在信息安全人才的教育培训方而,我们“已经失去了两个10年”。这就是差距,没有任何掩饰的余地。
记者发现,虽然目前社会上关于信息安全的培训很多,但是否具备资质和能达到什么效果,就不好说了。许多“机构”的培训标准和教材都是未经科学化的工具书,还有好些是直接“从网上 copy下来的”。就连一位接受采访的政府人士在看到记者提供的一份有关信息安全培训的宣传材料时都说:“这些培训能收到什么样的效果,我们现在也还很难判定,市场还有待规范。”
“没有人才,难谈其他。”吴亚非一语道破了信息安全领域技术之苦的根源。
4.生存之难
国内的信息安全企业生存到底有多难,留美博士李嫚的一段话或许能给我们一些直观印象:“我们这些做技术的信息安全企业从业者(创业者)都做好了两年不赚钱,甚至是最后一无所获的思想准备。不过实际情况比我们想的要复杂,预亏的时间和金额都超过了当初的设计,现在龙方已经过了第三年,仍然没有实现收支平衡,这在行业里面是很普遍的现象。有时只能自嘲,那些有国家资助的大企业也亏着,我们不着急。当然这都是笑谈,今年公司开始调整市场策略,以前是主推电子签名这样的纯信息安全技术产品,现在我们更多的是做网站和电子商务平台的业务,将电子签名这样的技术融入到平台上。说实话,这也是被迫的,关键是国内的电子签名市场份额还养不活我们,必须找其他出路。”
以国内目前的情形,单独做信息安全产品和服务的企业总会遇到瓶颈,国内一家做漏洞扫描的公司在占据70%的市场后发现,国内能卖的地方都卖过了,市场没有了!这可能是很多信息安全企业都会遇到的问题,某些单一的安全产品市场太小,不足以支撑企业的持续发展。虽然,安全的需求随着网络的普及已经越来越突出,但有效需求并没有大的增长,用户并不愿意把钱花在安全产品和服务上,总认为信息安全可有可无。基于此,国家每年都会对行业内的某些企业进行扶持,如今稍微有点规模的企业几乎都得到过政府的关照。
悲观的从业者甚至认为,在这个行业,但凡想做点技术和产品的企业,没有政府的支持几乎无法生存!据知情人透露,万达每年拿1000万元,金仕达、用友每年500万元,这些都是政府资助的。可即使这样,最后能做到帐面盈利的企业也不多,偶尔有一两家宣称盈利,也就是10万元或者20万元,这样的数字游戏能说明什么?恐怕也就是生存之难吧。
在放开的市场里,由于盘子小,安全厂商多,主流产品的市场竞争已趋于白热化,防火墙、杀毒软件的价格出现了明显的下降趋势,厂商的利润空间被急剧压缩,打单过程中的低价撕杀比比皆是。与最初几年相比,某些厂商的防火墙价格已经只有原来的三分之一,认证服务器更是从200万元跌到10万元!而在某次某地的政府采购过程中,中标的杀毒软件居然只有5元人民币,包括瑞星在内的众多安全厂商面对这疑似甚至还低于盗版的价格只能是知“难”而退。
李嫚在参与过多次竞标后表示:“国内的某些项目竞标已经没有技术成分,他们在乎的只有两样东西——价格和品牌,对于国内民营信息安全企业来讲,就是价格之争。很多项目到最后一点利润都没有,经过一些中间环节后还可能低于成本。”
而对于国内的大企业而言,还有更大的挑战在后面。很多信息表明,像思科这样的网络设备提供商和微软这样的软件商正在暗自打算如何抢走他们的奶酪,他们苦心经营的技术优势唬住了业内的“小朋友”,却难不住外敌,技术壁垒对于这些巨头来说就如同薄薄的一层窗纱。显而易见,思科和华为这样的网络设备提供商进入防火墙、IDS的市场难度,远小于防火墙制造商进入交换路由市场的难度,而微软做防毒软件更是有得天独到的优势。如果我们从安全的角度审视思科的自防御体系和华为的“i3安全”,恐怕一部分的安全厂商再也睡不着了。从产品功能上看,思科和华为这样的网络设备提供商,已经在考虑利用其完善的网络基础设施产品线,把相关的安全产品融合到网络构架中。诚然,这对用户来说绝对是一个好事,因为他们把技术层次上的信息安全做的可谓滴水不漏;可是对于现在的信息安全厂商来说这绝对是一个严峻的考验。当网络设备提供商用自己全面的生产线为用户建立起完善的安全体系的时候,真不知道,防火墙也好,IDS也罢,他们还能卖出多少。