[严望佳:下一个十年更“黄金”]中国下一个黄金产业

　　“覆巢之下,焉有完卵”,金融风暴侵袭下,许多行业市场在2008年都深受其苦。信息安全市场所受影响却不甚明显,IDC关于2009年上半年中国IT安全硬件市场分析报告指出,2009年上半年,中国IT安全硬件市场的规模为2.207亿美元,同比增长10.5%。
　　道魔相争,此消彼长!维系这种增长的力量,来自于国家、企业和消费者对于信息安全的迫切需求。那么,中国信息安全产业能否把握住机遇?
　　这就要看中国信息安全前10年的积淀和后10年的发力了。
　　
　　“信息安全产业已经进入了整合阶段。”谈及下一个10年的产业变化,启明星辰CEO严望佳的语气颇为肯定,“未来将是不断淘汰的过程。”
　　就在一个月前,严望佳刚刚带领着启明星辰,完成了北京市应急办、北京市测试中心、海淀区公安局、人民银行、北京燃气集团等多个国庆安保项目。而现在,她考虑得最多的,是如何让启明星辰更加贴近大客户的需求,提高产品的成熟度; 如何与合作伙伴长期共赢,在竞争日益激烈的信息安全产业中保持不败。“在这个新的阶段里,不管是做网络安全产品提供商、服务提供商还是外包商,企业都要找准自己的定位。”
　　这种趋势更是产业发展的必然。自从上世纪90年代初单机版杀毒软件推出,我国信息安全产业开始起步,网络安全的技术、产品和应用随着互联网的发展发生了翻天覆地的变化,中国的信息安全产业几乎是以奔跑的速度在发展。市场的繁荣景象一度令其他IT领域叹为观止,最多时曾经发展到1300多家防火墙厂商,但经过十几年的洗礼,目前只剩下区区几十家……
　　而这种整合的趋势,还只是一个开始。
　　
　　下一个十年是整合期
　　
　　“如果说最近10年是中国IT产业的黄金十年,那么,下一个10年才是信息安全产业的黄金十年。”尽管一些企业未来将不可避免地经历并购、重组甚至破产等“阵痛”,但严望佳认为,这是中国信息安全产业调整、升级、壮大的必经之路。
　　“虽然有一些企业会消失,但信息安全的人才、知识产权依然还存在,未来还是会形成一个健康的生态链条。”严望佳说。
　　我国信息安全行业从起步到现在只有十几年的时间,虽然近几年发展速度较快,但市场盘子小、安全企业多,仍然是困扰整个产业发展的突出问题。另一方面,市场竞争愈发激烈,一批有实力的优秀民族安全品牌逐渐形成,产业整合成为必然。
　　经过10年发展,中国已经形成了一批具有领先技术和丰富实战经验的网络安全企业,拥有了大部分网络安全技术和产品的自主知识产权。现在,国内政府、军队、企事业单位的网络安全系统,绝大多数使用的是国内企业自主研发的安全产品。虽然和赛门铁克等国际巨头动辄数十亿美元的年营业额相比,中国信息安全企业规模还有很大的差距,但严望佳认为,只要坚持走自主创新道路,我国就一定能够产生具有国际竞争力的信息安全领导厂商。
　　“其实,和国外相比,中国的信息安全技术已经称得上是国际主流,我们的人才比国外还要丰富,信息安全产业的知识产权数量甚至远远高于很多IT细分领域。但是,我们将技术转变成产品和服务的能力还不够成熟,在信息安全的战略地位、市场、客户的成熟度等方面还需要时间来完善。所以,在上一个10年完成了技术、人才的积累和服务客户的能力之后,下一个10年的焦点就放在了对产业、技术的整合上。”
　　严望佳说,这种整合目前已经初见端倪,安全厂商开始了相互间的市场渗透。这种渗透主要表现在行业之间相互渗透、安全子市场之间的相互渗透和地域之间的相互渗透。出现相互渗透虽然残酷,却是产业发展的必然结果。一方面,相互渗透取得的销售收入可以作为网络安全厂商的有力补充,巩固他们在网络安全市场的地位;另一方面,也加速淘汰了一些弱势的网络安全厂商。
　　“这也是一个将安全需求集成的过程。”严望佳认为,一方面,虽然国内大型的信息安全企业不可能迅速集中,但他们之间已经有了很多交流和共享;另一方面,无论是在企业内部部门之间还是在企业之间,信息安全的用户们也在相互交流和共享。而这样的互动,就能进一步带动信息安全产业生态圈的形成。
　　
　　2009中国信息安全大会上,与会嘉宾围绕“信息安全 基础为本”主题展开了热烈讨论。
　　
　　产业调整
　　考验企业战略
　　
　　要迎接即将到来的产业大调整,就必须做好充足的准备,这对企业的战略定位提出了很大挑战。
　　单从网络安全产品看,从最早单一的防火墙、IDS(入侵检测系统)、网络密码机发展到今天的反垃圾邮件、IPS(入侵防御系统)、内容过滤、网络审计、可信计算机、UTM(统一威胁管理)、动态密码认证、设备认证、内网安全等,网络安全所涵盖的产品范围已经有几十类。做什么?不做什么?应该怎么做?答案只有一个,就是任何战略决策都要以客户需求为中心。
　　2002年～2007年,启明星辰完成了从入侵检测产品的单一供应商到网络安全产品、服务和解决方案综合供应商的转型,从以产品为中心转变为以客户价值为中心。公司重新整合资源,将企业的战略决策、资源配置全部围绕客户需求展开。早些年,启明星辰在低端安全产品上已经有很好的成绩; 近年来,公司在高端产品上也有了长足的进展,并且已经能够代表民族品牌与国外企业分庭抗礼。
　　“企业的资源毕竟有限,在合适的阶段做合适的事,执行合理的企业战略,这就是我们要做的事。”严望佳特别强调“专注”和“沉静”。“沉静”是启明星辰企业文化中非常重要的元素。“所谓‘沉静’,就是说首先能够静得下来,在动态的环境中找好自己的位置,然后踏踏实实、孜孜不倦地加强企业核心竞争力,而不是追求快。越是在浮躁的环境下,企业就越需要沉得住气。”
　　严望佳说,启明星辰在13年的发展历史里,不是没有过“急功近利”的尝试,事实证明,凡是受到客户认可的产品,都是通过认真的分析、规划,做好战略一步步成功的。“所以,对产品的创新不仅仅是技术的问题,更重要的是对客户需求的分析和把握,这是在产业整合过程中立于不败的关键。”
　　这种文化也体现在启明星辰对新技术的理解上。比如,尽管云计算已经成为当今IT领域的热门词汇,“云安全”概念也在信息安全领域甚嚣尘上,但严望佳认为,对云计算的关注过于超前,也不见得是一件好事。企业的产品要重视技术,但也要强调时宜,也就是用户在不同时段的需求。由于信息安全领域涉及的范围非常广,因此对产品的需求也会稍微滞后一点,要等到信息化发展到一定程度时,才会对网络安全有新需求。“有很多企业,原来推出的产品都非常优秀,但是由于在那个时候客户需求还没有成熟,产品没有市场,企业就会很被动,甚至倒闭。而过几年你会发现,由于需求上来了,在这个时候推出同样的产品,就很容易成功。”
　　“安全技术本身并不能成为企业的核心竞争力。技术必须和客户的需求相结合才能产生价值。所以,我们要沉下心来研究客户的业务,研究他们的业务特点、所面临的风险、所遇到的问题; 同时还要关注国家政策层面,研究应该怎样更好地为政策落地做好技术支撑。”严望佳说。
　　
　　市场催熟
　　“黄金时代”
　　
　　黄金时代的到来,同样需要市场支撑。
　　“企业开始整合,用户也在走向成熟。”严望佳称,企业和消费者正在对信息安全产业提出更高的要求。在金融危机期间,大部分集团性企业用户也感受到信息安全漏洞带来的危机,尤其是因为管理不善、使得企业因人员离职而导致重要文件数据大量流失―典型的泄密事件就有LG、长虹、富士康等案例。今年,令中国损失达7000亿元的“力拓门”事件,成为国人心头挥之不去的痛,再一次敲响了中国信息安全的警钟。
　　因此,在政府、金融、电信等行业信息安全建设的带动下,再加上网页篡改、黑客攻击、数据泄密、内部人员违规等事件的频频发生,大部分企业用户开始意识到安全规划的重要性。除了购买相应的安全设备,安全管理咨询、风险评估、应急响应等安全服务也逐渐被用户所接受。
　　严望佳至今仍对去年北京奥运会的成功举办记忆犹新。奥运安保项目是中国近年来任务最繁重的安全保障项目,代表着当前国内安全产品集成、安全服务的最高水平。该项目需要企业对网络安全有强大的宏观把控能力,包括设计安全体系、控制各方风险、应急预案准备、服务跟进等多方内容,是对企业团队能力的综合考量。最终,启明星辰成为了北京奥运会最大的信息安全产品、服务提供商,独家中标了奥组委所有公开对外招标的安全项目,负责奥组委内网、奥运会官网、奥帆委内外网和央视国际网站等安全建设和服务。
　　奥运期间,除了奥运核心网络系统,在金融、电信、电力、海关、民航、铁道、制造、医疗等领域,企业也都将网络安全提升到一个前所未有的高度。据严望佳介绍,仅启明星辰负责的此类奥运周边系统安全保障项目就有50余个。
　　“奥运会带来了信息安全理念上的革新,从来没有用户像这样重视安全,这本身就是对信息安全企业的巨大挑战,也直接促使了用户市场的成熟。”严望佳说。
　　工业和信息化部信息安全协调司司长周宝源也表示,北京奥运会充分检验了我国信息安全的总体水平,并对我国信息安全建设的快速发展起到了促进作用。经过奥运的洗礼之后,国内用户进一步提高了对民族企业和自主安全产品的信心。
　　与此同时,政府政策的规范和监督,也为信息安全未来10年的繁荣做好了准备。2003年,中共中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(27号文),将信息安全等级保护作为国家信息安全保障工作的重点,成为中国信息安全建设的分水岭;有“中国萨班斯法”之称的《企业内部控制基本规范》出台,在为企业进行信息系统的风险管理提供标准和指导依据的同时,也在客观上提升了对信息安全的需求。
　　当然,我国的信息安全产业还存在很多问题,内外部环境也不尽如人意。严望佳说,要用积极的心态迎接挑战,这是让中国的信息安全产业进入良性发展轨道所必须的。
　　
　　IT两会
　　与信息安全
　　
　　信息安全的这10年,也是中国CSO(首席安全官)阵营日渐形成并逐步壮大的10年。
　　在此之前,各行各业的信息安全工作多半由CIO负责,随着信息化程度的提高,信息安全工作变得日益复杂、尤为重要,随之衍生了CSO这一职位,而且在国际上得到认可,但在中国,CSO阵营似乎还很模糊。2003年,《计算机世界》报社率先发起并成立了中国CSO俱乐部。
　　而后每年的IT两会,也都对信息安全给予了高度关注。2005年~2007年,中国信息安全产业开始思考转型、Web 2.0兴起带来新的安全隐患、政府对信息安全愈加关注,IT两会分别对每一年的信息安全热点进行了探讨,为信息安全企业寻找商机。在2008年IT两会上,北京奥组委技术部副主任侯欣逸也特别透露,奥运会共发生了几十万次信息安全警报,但没有产生恶劣的影响,在信息安全方面相当成功。
　　经过10年的发展,网络安全的技术、产品、应用、政策法律环境等都发生了翻天覆地的变化; 10年之后,信息安全产业依旧在上演着快速且残酷的优胜劣汰。基于此,IT两会对信息安全的关注将继续,今年关注的重点是: 云计算和虚拟化技术的流行以及云安全的出现,将给企业信息安全带来哪些挑战和影响; 在内外网边界越来越模糊的今天,该如何保证企业的内外网安全,尤其是内网安全; 当企业的数据资产日益重要甚至关乎企业生存时,企业该如何管理好数据,并保证数据的安全; 产业链各个环节如何通过通力协作保障企业的内外网安全。