贾娟:尊敬的各位领导,各位同仁大家上午好,非常感谢信息安全大会提供了这样一个平台让我与大家就信息安全行业的发展进行交流。我是来自赛迪顾问信息安全领域的分析师贾娟,赛迪顾问只属于中国电子信息产业发展研究院,作为ICT领域权威第三方研究机构,我们每年都会定期发布世界信息安全产业,中国信息安全产业及中国信息安全产品市场的研究年度报告,同时我们还为地方政府、园区企业提供信息安全专业研究。
刚才我们听到了赛门铁克,蓝盾等各位领导从不同视角对信息安全进行详细的阐述,我今天就从一个宏观的角度对信息安全产业进行一个概述,我今天演讲主题是中国信息安全行业发展的现状与趋势。今天的演讲主要有四个部分的内容,第一,中国信息安全产品市场的发展现状。第二,市场的发展趋势。第三,产业的发展现状和趋势。第四,信息安全未来的一些发展热点。
首先我们来看第一部分,对于信息安全市场的发展现状,我们从三个方面来说:市场的规模,市场的结构还有市场的特点。2009年中国信息安全产品市场规模达到了92.94亿元,比2008年增长了17.2%,增长的驱动力来自于信息安全需求的扩展,信息安全需后从中央向省市甚至县级渗透,从核心的业务安全监管向全面安全保护拓展,从网络部署向网络运行过程的安全维护来延伸,也就是安全需求的层次增长空间在扩大。我们从图中可以清楚的看到,从2007年以来整个市场的增长率有所缓慢下降,这种下降并不是说用户需求增长放慢,而是目前现有信息安全产品和用户需求之间存在一定的差距,整个市场处于结构性的调整阶段,相信随着国内信息安全企业实力的增强,更多的创新型安全产品和解决方案,比如说本次大会探讨的融合安全和风险识别等等将会更多的出现,整个信息安全市场的增长潜力依然很大。
目前防火墙、入侵检测为代表的安全硬件仍然占据市场的主角,2009年份额达到54%,其次是安全软件和按照服务,从增长率来看安全服务增长最快,达到24.1%,安全硬件增长仅为13.3%。从细分的产品来看,从防火墙和内容安全管理是占据市场最大的比重,都超过了20%。不过由于价格的下降,防火墙以及IDS增速都出现了比较明显的放缓,2009年增速都不超过10%,而一些新兴的安全产品的增长明显高于市场的总体增长率。
从市场的特点来看,我们从四个方面,一个是需求,一个是政策,还有一个是企业,另外是产品。从需求的角度我们可以看到两个方面,一个是用户安全的防范意识在增强,用户的安全防范意识在增强,我想在座的各位无论是厂商还是用户,但是都有一个比较明显的体会。2000年公安部的调查显示,目前各级单位和计算机用户的网络安全放缓意识明显增强,网络安全事件以及感染计算机病毒的比例有所下降,网络安全管理水平有所提高。不过值得注意的是用户面临的网络威胁仍然很大,比如说网页篡改,帐号被盗情况还是非常明显。从行业合规性的角度,这个要求是日趋严格,我们来看三个比较典型的行业,政府、银行、证券,政府采购法规定的范围内即将对防火墙,反垃圾邮件,安全审计等十三类产品进行强制认证,银行业2009年发布网上信息安全系统规范,将对内部建设和合规性审计进行全面的要求,要有效防范网上银行风险隐患。
2009年证监会在证券公司分类监管规定中明确指出将信息安全作为重要指标,另外证券公司和证券期货系统安全检查,贯彻落实指引中都对信息安全做出更细化规定,这表明证券化正在加速,安全将成为今后信息化工作的重中之重。
从政策层面看到标准化和法律法规的建设也在持续推动,标准化在2008年的基础上,2009年信息安全标准化工作完成了信息安全技术及信息系统安全等级保护设计,技术要求等三十项国家标准修订和制定工作,开展了基于互联网,电子政务,信息安全实施指南,信息安全等级保护,测评要求等多项过程要求试点认证研究工作。从企业的角度来看,与信息安全漏洞共享平台为代表的信息安全企业的合作共赢局面开始出现,2009年在国家互联网应急中心,国家信息技术安全研究中心的牵头下,国内主要软件厂商和腾讯等互联网企业共同参与开始建设国家信息安全漏洞共享平台,这标志着信息安全企业合作联盟共建共赢的良好开端。
有四类产品特别值得关注,这四类产品刚才东软的天融信和蓝盾领导都讲到。UTM随着多核技术发展,硬件性能得到了提升,这个分析处理能力也明显提高,国内主流安全厂商纷纷推出这个产品,也得到用户更多的认可。SOP是一个管理,中国体制和国外一个很大的不同,以及本土化的特点,使得这个概念自从传入中国就跟中国用户的特性紧密结合。国内安全厂商的SOP产品更能满足国内用户特别是政府以及中小企业用户的需求,这一点东软的曹总和天融信刘总都进行了详细的介绍。
终端安全和服务器安全,边界安全发展目前比较成熟,但是构筑一个全面的安全体系光有边界安全是远远不够的,还需要对服务器和主要业务操作设备,也就是个人计算机终端进行针对性安全防护同样重要。
第二部分,我们对于信息安全产品市场趋势从三个方面来说:规模、结构和趋势热点。赛迪顾问预测2012年中国信息安全产品市场有望达到166.58亿元,未来2010-2012年年均符合增长率将达到21.5%,也就是中国信息安全产品市场即将进入下一个快速增长阶段。从产品结构上来说,整个市场软化和服务化的趋势正在加剧,到了2012年安全软件和安全服务将首次超过安全硬件,占据半壁江山,达到50.4%的比重。
趋势的特点来看有五个方面值得大家关注:一个是产品方面的,主动性安全产品将更受关注,被动防御只是治标不治本,主动的安全防御将成为未来安全的一个应用的主流,新的模型、技术以及方法都将被采用。
第二,安全网关的升级换代。比如说WEB2.0,三网融合这些新的应用将使得对网络带宽提出更高的要求,这样也就对安全网关设备提出新的要求。比如说需要更高的综合性能的表现,更灵活的操作和响应,更大的接口容量等等。另外就是安全审计,刚才蓝盾的杨总也提到安全审计就是随着国内安全类政策完善,未来企业用户,特别是大企业用户会不断加强IT内控,并催生对信息系统安全审计技术产品与解决方案的强烈需求,有此带动国内安全审计市场呈现一个快速增长态势。从企业的竞争角度,我们认为有两个方面值得关注,一个是在安全信息市场价格流动,从单一的产品向安全解决方案转变,安全集成将更加普及。
我们知道面对越来越复杂,越来越频繁的混合式攻击,用户需要的不单单是一个简单的安全产品,而是一个安全可信的整体结构,面对用户的一体化解决方案需求,产品结构单一的厂商将会显得力不重新,必须整合第三方和自身的软硬件产品融合行业应用,才能为用户提供更为全面的安全解决方案,也就是解决方案的能力和安全集成能力将成为企业未来竞争的砝码。
从竞争的角度来看,我们认为信息安全企业的并购整合上市融资将加速信息安全企业分化,从全球的视角来看信息安全领域的不断挑战以及持续需求的升级,使得信息安全的并购活动非常的频繁,尤其是在2005年非常突出,未来中国信息安全行业的并购整合也将开始升温,在综合性IT厂商及大型IT厂商将占据更多的市场优势,特别是获得资本市场亲睐的企业,在资金、研发创新,品牌战略等方面的优势将会更加突出。
看完市场的角度我们对信息行业进行预测,我们现在转入产业的角度。首先我们来分析一下信息安全产业的特点,信息安全产业最大的特点,也就是这个产业发展的核心驱动力我们认为问题就是机会,因为存在威胁才会注重安全,面临的威胁越大信息安全的地位也就会越来越突出。信息安全是信息化发展到一定阶段的衍生性产业,这个产业的价值是减少损失大小和可能性,并且信息安全面临的问题和信息化程度呈正比关系。信息按照作为对国家安全,经济发展,社会生活具有生存性和保障性的关键行业,在整个产业布局和国家战略格局中具有很重要的地位和作用。信息安全产业是信息化建设的支撑保证基础,也是组成部分和新的增长点,更值得指出的是信息安全是信息产业跨越式发展,也就是提高自主创新能力的一个重要的突破口。
如此重要的一个信息安全产业,目前的发展现状如何呢?我们认为有以下几点值得关注:一个是成长周期来看,整个信息安全产业虽然重要,但还是处在一个成长的初期阶段。我们看一看产业的周期,一般从启盟期,成长期,成熟期和衰退期来看,2002年以前我们认为中国信息安全产业处在启盟期,2012年之后开始进入成长期。随着安全需求的大力挖掘产业增长方式向多元化驱动模式转型,产业规模持续扩大,以及产业竞争愈发激烈,整个生命周期上仍处于波动周期上升阶段。
信息安全产业和中国的信息产业非常不同的特点,内需在产业发展中的拉动作用非常明显。反过来说也是中国信息安全产品出口比较少,在国际上的影响力非常有限,内需是中国信息安全产业成长的主要推动力,特别是在政府、国防,能源、金融、电信、交通、媒体等关系到社会民生的以及国家安全的信息系统中,信息安全是主要的应用领域。
信息安全目前阶段还存在很多的不足,主要表现为产业的发展环境有待改善,产业结构有待优化,配套能力有待提高,安全服务有待规范,发展环境有待改善主要表现为以下方面,国家以及省市关于信息安全的发展规划还稍显落后,标准体系还有待完善,安全意识还有待提高。特别重要的是信息安全产业的规模还较小,在整个信息安全中的比重不足1%。产业结构优化表现为以下方面,产业创新能力有待提升,低水平重复开发和竞争现象比较普遍,另外企业规模偏小,缺乏骨干企业,国内最大的信息安全企业规模也就在五亿元左右,无法充分满足我国信息化的安全需求。
产业配套能力有待提高,这主要表现为安全产品与服务,安全产品和安全产业链方面价值链比较短。安全服务有待规范,我们刚才看到安全服务的比重在市场中只占到9.6%,安全服务的价值链还存在服务规范性服务人员培训,服务产品开发以及服务工具开发方面还有很大的提升空间。
尽管目前中国信息安全产业存在一定问题和不足,不过赛迪顾问仍然对信息安全产业未来的发展持乐观观点,认为未来的潜力巨大,较长时间内仍将保持快速增长,这个理由主要来自于一方面国家高度重视信息安全,对信息安全产业的发展和实力提升提出了更高的要求,信息安全产业发展迎来机遇期。随着电子政务,电子商务企业信息化的深度开展,信息安全保障体系建设仍在持续,应用在金融、电信、政府以及中小企业拓展,用户对信息安全的投资在IT投资的比重将逐年加大,未来三年年均符合增长率接近19%,信息安全产业对外依存度下降,自主可控能力得到进一步提升。我们可以从三个方面来看,在十一五阶段可以看到在信息产业,科学技术发展,软件产业的专项规划中都对信息安全提供了基础研究的支持,为信息安全产业在基础上提供了强大支撑,即将到来十二五阶段,我们相信信息安全自主可控能力仍然是支持重点,因为只有这样才能保证中国网络和信息系统真正的安全。
从产业链的角度来看,尽管在PC领域产业链建设比较薄弱,但是在信息安全领域,在标准和操作系统关键环节上的技术研发实力都具有实力。从产业的协作上来看,安全解决方案和按照集成能力成为未来竞争的焦点,这要求国内厂商要加强上下游企业合作,来打造完善与竞争力中国信息产业连体系,以满足用户建立一体化安全体系的要求。产业发展更加多元化,这种多元化表现为由于用户需求从被动向主动转型,信息安全从网络安全一枝独秀加入数据安全以及系统安全,使得产品结构更加多元化。前面讲了边界安全,服务器安全形成整体的防护体系。
安全的生命周期要拉长,从部署延伸到整个运行维护阶段。产业急剧效应将释放更大的能量,目前来看北京、成都、上海这三个城市急剧效应比较突出,未来信息安全产业空间急剧效应更加明显,产业基地的建设将成为一种趋势,未来南京、武汉、深圳等等城市有望在信息安全产业急剧方面产生更大的突破,产业急剧将对产业创新和产业人才培养起到积极作用,有助于信息安全产业的健康、持续发展。
最后一个部分就是信息安全未来的发展重点,赛迪顾问认为以下的重点值得关注:针对移动互联网的安全,移动云及计算的安全,可信计算和可信网络,安全认证,安全管理,数据保护,安全传输,容灾与应急安全服务等等。当然对于信息安全未来的发展重点,我想在座的各位大家从不同的角度会有不同的看法,我这里也只是抛砖引玉,希望和在座的专家和同仁进行探讨,更希望能够达成一个共识,来共同推动中国信息安全行业健康可持续的发展。由于时间的关系,我今天对于信息安全行业的分析比较简单的概述,更多的细节大家可以在赛迪顾问发布的年度相关报告中看到,我今天的演讲就到这里,谢谢大家。
(责任编辑:陈曲)