2006年信息安全业的拐点

来源：中国计算机报作者：宋丽娜朱杰出处：巧巧读书 2006-11-15 进入讨论组

　　最初，“拐点”一词源自数学，它标志着曲线上升或下降的形式发生了变化。后来，“拐点”被广泛用来形容事物的发展所面临的转折。今天，启明星辰首席战略官潘柱廷用“拐点”为我们揭示了目前信息安全产业所面临的契机。

　　转眼间，又到了2006年岁末盘点时刻。尽管各个安全厂商全年销售情况还没有完全统计出来，但是前三个季度信息安全市场所表现的20%左右的增长态势还是奠定了今年市场的基调——增长平缓、波澜不惊。

　　单纯从统计数字上，我们看不出今年的信息安全市场与去年有多大不同，在某种程度上说，今年的信息安全市场甚至保持了去年的“沉默”。不过，沉默之中却透着十足的理性和成熟，呈现出前所未有的特点。这些特点体现为客户需求的理性、安全厂商的老练、安全产品的成熟以及外部政策的明朗化。

　　启明星辰首席战略官潘柱廷因此预言2006年将成为信息安全产业的拐点。果真如此的话，那么这个让安全厂商们期待了多年，已经让许多人失去耐心和坚持的拐点，则为那些执着者带来了春天的信息。从1995年的萌动开始，到2000年左右快速增长后的沉寂，再到“十五”期间的大浪淘沙，终于到了2006年的柳暗花明。经过十多年的发展，国内信息安全产业真的时来运转，迎来发展转机么？

　　潘柱廷从信息安全产业的构成要素入手分析了信息安全产业面临的发展机遇，给出了2006年成为信息安全产业拐点的理由。

　　潘柱廷认为，与其他产业一样，信息安全产业的构成可以细分成四类要素：交易品(安全产品、服务等)、客户(需求等)、提供商和第三方(包括主管机构、评测机构、媒体等)。2006年，安全产品、客户需要、提供商都表现出一定的成熟度，发自企业内部的业务安全和符合性的需求，加上等级保护、萨班斯(SOX)法案这些来自企业外部的政策力量，都为2006年成为拐点创造了大环境。

　　客户需求更理性

　　“亲历2006年各大安全招标项目的圈内人体会都很深刻。随着信息安全市场的不断发展，客户需求也日渐趋于理性和成熟。这种理性与成熟表现在客户对信息安全‘效果’的看重，对安全投资的‘理性’。”潘柱廷说。

　　几年前，简单进行一下设备选型，就上马安全项目的作法比较普遍，而现在绝大多数客户对安全投资变得前所未有的谨慎。用户在采购产品的时候很清楚自己想要什么，想通过产品达到什么样的效果，不再盲目相信厂家提供的白皮书。更关键的是，客户安全需求更多的是针对自己的业务安全。

　　潘柱廷以中资银行为例，解释客户需求的这种变化。当前中资银行最关心的问题莫过于从主要靠息差获得收益，向多样化经营发展。在这一过程中，银行需要进行数据大集中，增加多样的金融产品，确保符合银监会、中国人民银行的各项相关规定，为未来向符合巴塞尔新资本协议的要求靠拢，在激烈的国际金融竞争中生存和发展。相应地在IT安全方面，银行格外关心大集中后的系统和数据安全、金融产品的安全以及操作风险中的IT风险。就是在上述需求的驱动下，中资银行的安全建设也围绕上述具有很强业务属性的工作展开。像中资银行这样理性的客户越来越多，在2006年进行的许多电子政务的招标活动中，都能感受到这种变化。

　　客户需求的理性还体现在对安全服务的逐渐接受。在2006年里，很多网络安全厂商都接到了几笔安全服务的大单子。原来难于被客户认可的服务逐渐开始被接受，而且这还不是个别案例。这在一定程度源于日益增多的安全事件，当越来越多的用户意识到，产品方案解决不了全部安全问题，而企业又缺乏足够而又专业的技术人员，求助外部专家力量无疑是最明智的选择。2006年，用户对安全服务的接受程度之好，与IDC对2006年中国IT安全服务市场的年复合增长率为30.7%的预测很是吻合。

　　客户需求的理性与成熟，为产业带来了坚实的变化。在这些林林总总的变化趋势中，最值得引人注目的就是网络安全开始从系统安全走向业务安全；从面向问题的安全防护拓展到面向合规性的内控审计。

　　安全厂商走向成熟

　　从去年开始，信息安全市场的供需双方就开始发生了微妙变化。原来的信息安全市场，是以厂商为中心的卖方市场，信息安全厂商推出什么样的产品，客户就接受什么样的产品。现在，随着信息安全市场转向以客户为中心的买方市场，促使信息安全企业必须要根据客户的需求来确定方向、提供产品及服务，通过提升客户使用安全产品的效果来体现产品与服务的价值，这促使安全厂商变得成熟起来。

　　安全厂商的成熟突出地表现在更加关心客户的业务安全，试图系统地解决用户问题，不再单纯“头痛医头，脚痛医脚”。从中国IT安全主流厂商无一例外地在加强类似于“SOC”的IT安全服务和管理体系建设就可以看到这一点。大潘认为，SOC作为平台，介于宏观与微观之间，属于中观层面，更有利于保护用户业务系统的持续发展。国内最早的SOC平台出现在2002年，一出现便受到质疑。然而，现在平台已经从一个抽象的概念转化为实在的需求，在产品和服务之外，平台可以作为一个很好的补充，保护企业的业务安全。

　　客户需要什么，安全厂商就会提供什么。在产品如此，在服务方面更是如此。2006年涌现出更加多样化的服务形式，这些多样化的服务包括:总体规划、渗透性测试、合规性咨询服务、网络的拓扑结构整合以及信息安全管理体系(ISMS)等。

巧巧读书:http://www.qqread.com/erp/12/y277895.html