信息安全產(chǎn)業(yè)要素探索和應(yīng)用

作者: 潘柱廷

　　產(chǎn)業(yè)要素探索ISO9001認(rèn)證

　　當(dāng)今，信息安全產(chǎn)業(yè)作為信息產(chǎn)業(yè)中一個(gè)相對獨(dú)立的產(chǎn)業(yè)分支，在業(yè)內(nèi)已經(jīng)成為普遍共識，一些產(chǎn)業(yè)要素的出現(xiàn)，也標(biāo)志著這是一個(gè)獨(dú)立的產(chǎn)業(yè)分支。比如：有專門從事信息安全業(yè)務(wù)的企業(yè)，有信息安全產(chǎn)業(yè)商會，有針對信息安全的資質(zhì)和相關(guān)認(rèn)證機(jī)構(gòu)，有針對信息安全產(chǎn)業(yè)的市場調(diào)查統(tǒng)計(jì)報(bào)告等等。ISO14000認(rèn)證

　　當(dāng)討論產(chǎn)業(yè)問題的時(shí)候，我們首先應(yīng)當(dāng)問問自己“到底什么是產(chǎn)業(yè)?”然而，對于產(chǎn)業(yè)的定義有多種方法，本文用產(chǎn)業(yè)要素作為分析和描述產(chǎn)業(yè)的方法。

　　那么，產(chǎn)業(yè)要素到底包括哪些呢?這里主要從交易品、客戶、提供商、第三方這四大方面來分析和闡述。

　　一、交易品

　　交易品是標(biāo)示產(chǎn)業(yè)差異化的最重要要素。通過交易品可以區(qū)分某個(gè)產(chǎn)業(yè)是飲料產(chǎn)業(yè)、交通產(chǎn)業(yè)、軟件產(chǎn)業(yè)，還是我們所討論的信息安全產(chǎn)業(yè)。在信息安全產(chǎn)業(yè)中，交易品包括產(chǎn)品類的防病毒、防火墻、入侵檢測、漏洞掃描、認(rèn)證、PKI、存儲災(zāi)備、加密、內(nèi)容過濾、UTM、安全管理平臺等等;服務(wù)類則包括安全高端咨詢、風(fēng)險(xiǎn)評估、系統(tǒng)和網(wǎng)絡(luò)加固、應(yīng)急服務(wù)、安全運(yùn)營外包服務(wù)等等;當(dāng)然，交易品也可以是產(chǎn)品和服務(wù)的不同組合，以解決方案和集成的方式為客戶提供價(jià)值。

　　1、交易品的價(jià)值

　　能夠形成產(chǎn)業(yè)并產(chǎn)生具有行業(yè)性的交易規(guī)模，交易品必然帶有其獨(dú)特的價(jià)值。這個(gè)價(jià)值可以為客戶帶來利益，并通過交易行為為交易品的提供者帶來收入。

　　在信息安全產(chǎn)業(yè)中，這方面的價(jià)值主要通過安全價(jià)值來體現(xiàn)。而安全價(jià)值，主要通過減小損失的大小和可能性來衡量。安全價(jià)值的這個(gè)“減少負(fù)面影響”的特點(diǎn)，對整個(gè)產(chǎn)業(yè)形成了重大的影響。

　　2、交易品的核心技術(shù)

　　要想實(shí)現(xiàn)交易品(產(chǎn)品和服務(wù))的價(jià)值，交易品自身必須具有相當(dāng)?shù)暮诵募夹g(shù)。這里的技術(shù)不僅僅被理解為計(jì)算機(jī)安全相關(guān)技術(shù)，其實(shí)表達(dá)為核心能力competence也許更加合適。比如：防病毒產(chǎn)品和入侵檢測產(chǎn)品的核心技術(shù)之一都是特征庫，防火墻的核心技術(shù)已經(jīng)由包轉(zhuǎn)發(fā)技術(shù)轉(zhuǎn)變?yōu)樾酒夹g(shù)，加密技術(shù)的核心技術(shù)也從算法發(fā)展為包括密鑰管理體系等等。當(dāng)然，服務(wù)也有核心技術(shù)，比如項(xiàng)目管理、滲透性測試技術(shù)等等。是否具有核心技術(shù)，是支撐交易品價(jià)值的根本。

　　3、按產(chǎn)品進(jìn)行產(chǎn)業(yè)子區(qū)間劃分

　　由于交易品明顯可區(qū)分、可比較的特點(diǎn)，所以我們會看到很多產(chǎn)業(yè)調(diào)查統(tǒng)計(jì)機(jī)構(gòu)，都會按照產(chǎn)品分類來分析產(chǎn)業(yè)的結(jié)構(gòu)。目前在信息安全領(lǐng)域，最主流的按照產(chǎn)品分類進(jìn)行調(diào)查統(tǒng)計(jì)的分類方式是分為防火墻等安全網(wǎng)關(guān)、入侵檢測和漏洞掃描、防病毒等內(nèi)網(wǎng)安全、認(rèn)證授權(quán)和管理、加密產(chǎn)品等。

　　二、客戶

　　客戶是真正掏錢來購買交易品(產(chǎn)品和服務(wù))的一方，是整個(gè)產(chǎn)業(yè)賴以生存的衣食父母。

　　1、客戶群分類

　　(1)、按規(guī)模分類

　　一般，客戶常常會被按照規(guī)模來分類：消費(fèi)類客戶(比如家庭和個(gè)人)、中小企業(yè)客戶(比如500人以下的企業(yè)或者規(guī)模較小的事業(yè)單位等)、大企業(yè)規(guī)模的客戶(比如：一個(gè)省級運(yùn)營商等)、超大規(guī)模的客戶(比如：一個(gè)商業(yè)銀行)。不同規(guī)模類型的客戶，會有自己相近的特點(diǎn)，特別是交易行為會有相似性。

　　(2)按區(qū)域分類

　　按照區(qū)域進(jìn)行客戶群劃分是一個(gè)非常常規(guī)的行業(yè)分析方法。眾所周知，我國的信息產(chǎn)業(yè)常常會形成北京、華東、華南、華中、華北、東北、西南、西北等區(qū)域。由于地域的關(guān)系，不同區(qū)域的經(jīng)濟(jì)發(fā)展水平、信息化發(fā)展水平、地方消費(fèi)形態(tài)都不盡相同。比如，廣東的一個(gè)地市級電信公司的營業(yè)額可能相當(dāng)于中部地區(qū)一個(gè)省的營業(yè)額。

　　(3)按行業(yè)分類

　　客戶被天然地分為不同的行業(yè)。比如：金融行業(yè)、電信行業(yè)、電力行業(yè)、政府機(jī)構(gòu)、軍隊(duì)、涉密單位、制造企業(yè)、教育等等。由于不同行業(yè)客戶自身的業(yè)務(wù)特點(diǎn)不同，導(dǎo)致其對于安全的要求也都不盡相同。

　　2、客戶需求

　　客戶對外表現(xiàn)出來的最重要特征就是“需求”，對于信息安全產(chǎn)業(yè)來說，就是“安全需求”。安全需求可能被不同的原因所誘發(fā)：

　　(1)問題驅(qū)動(dòng)(Problem-driven)

　　因機(jī)構(gòu)中正在發(fā)生、曾經(jīng)發(fā)生的安全問題所引出的安全需求。比如：網(wǎng)站被入侵、網(wǎng)絡(luò)遭到病毒侵害、發(fā)生火災(zāi)導(dǎo)致數(shù)據(jù)丟失等等。這些問題會立刻引發(fā)解決安全問題的需求。當(dāng)然，機(jī)構(gòu)能夠觀察到的其他機(jī)構(gòu)出現(xiàn)的安全問題也可能誘發(fā)自身的安全需求。這類需求是信息安全產(chǎn)業(yè)最原始的動(dòng)力。

　　(2)政策驅(qū)動(dòng)(Policy-driven)

　　由于主管機(jī)關(guān)的要求和政策性引導(dǎo)，敦促機(jī)構(gòu)重視安全問題，加強(qiáng)安全投入，從而引出了很多安全需求。這樣的需求，常常由于機(jī)構(gòu)自身對于問題的緊迫性認(rèn)識不足，對于需求的理解不透，而導(dǎo)致安全投入和安全建設(shè)流于形式。但是這種需求在一定階段支撐了整個(gè)信息安全產(chǎn)業(yè)的發(fā)展。

　　(3)體系化需求(systematic-need)

　　在客戶的逐漸成熟過程中，政策性指導(dǎo)被逐步深化理解和實(shí)踐，越來越多的客戶開始從體系化的角度考慮安全需求和安全建設(shè)，強(qiáng)調(diào)建立“信息安全保障體系”、“監(jiān)控體系”、“應(yīng)急體系”、“業(yè)務(wù)安全體系”等等。這種體系化需求，通常是持續(xù)的，常常表現(xiàn)為一個(gè)持續(xù)2-3年以上的安全規(guī)劃。

　　(4)合規(guī)性要求(compliance)

　　最近幾年，安全需求開始逐漸向合規(guī)性要求方向轉(zhuǎn)化。合規(guī)性要求常常表現(xiàn)為法律法規(guī)的要求、標(biāo)準(zhǔn)的要求、行業(yè)主管機(jī)關(guān)和監(jiān)管機(jī)關(guān)的行政要求等等。比如國際上的薩班斯-奧克斯利法案、巴塞爾協(xié)議、ISO27000系列(7799系列)等;再比如國內(nèi)的等級保護(hù)要求、風(fēng)險(xiǎn)評估、商業(yè)銀行內(nèi)控要求等等。這些合規(guī)性要求已經(jīng)是多方面安全需求和經(jīng)驗(yàn)的綜合，常常具有一定的強(qiáng)制性。通過合規(guī)性所引發(fā)的安全需求會形成非常穩(wěn)定的產(chǎn)業(yè)交易需求，是產(chǎn)業(yè)穩(wěn)定發(fā)展的重要支柱。

　　三、提供商

　　在一個(gè)產(chǎn)業(yè)中，最關(guān)注整個(gè)產(chǎn)業(yè)命運(yùn)的就是置身于產(chǎn)業(yè)中的交易品提供商(provider)。提供商是依靠產(chǎn)業(yè)而生存的。

　　1、經(jīng)營模式

　　隨著互聯(lián)網(wǎng)公司的興起和平靜，“業(yè)務(wù)模式”這個(gè)詞匯已經(jīng)為大家耳熟能詳，明白只有好的產(chǎn)品是不夠的，同時(shí)還必須有好的業(yè)務(wù)模式。在整個(gè)信息安全產(chǎn)業(yè)中存在著不同類型的經(jīng)營模式，也有不同經(jīng)營模式并存的企業(yè)。例如：

　　(1)產(chǎn)品提供商

　　主要通過產(chǎn)品開發(fā)和銷售來獲得利潤。原則上，渠道分銷應(yīng)當(dāng)是產(chǎn)品供應(yīng)商實(shí)現(xiàn)銷售的主要方法。提高產(chǎn)品的品質(zhì)、增加產(chǎn)品差異化、降低成本是其提高利潤的主要方法。

　　(2)服務(wù)提供商

　　主要通過為客戶提供服務(wù)來獲得利潤。比如：風(fēng)險(xiǎn)評估與加固服務(wù)、遠(yuǎn)程外包監(jiān)控服務(wù)等。如何實(shí)現(xiàn)服務(wù)的規(guī)?；瘉慝@得高利潤，或者通過維持服務(wù)的高差異性來保持利潤，這些都是服務(wù)提供商考慮的問題。

　　(3)集成商

　　在信息安全產(chǎn)業(yè)中的集成商，實(shí)際上大部分都是從網(wǎng)絡(luò)集成商、系統(tǒng)集成商轉(zhuǎn)化來的。在對于客戶的理解，以及項(xiàng)目實(shí)施的規(guī)范化和成本控制方面，集成商往往擁有產(chǎn)品商和服務(wù)商所不能比擬的優(yōu)勢。

　　(4)渠道分銷

　　渠道是產(chǎn)品提供商通向客戶的通道。一個(gè)交易品提供商出于自身經(jīng)營成本的考慮，如果要實(shí)現(xiàn)產(chǎn)品放大效應(yīng)的銷售，僅僅依靠直銷方式是不足取的。通過渠道網(wǎng)絡(luò)來使產(chǎn)品快速到達(dá)客戶是非常必要的。當(dāng)然，渠道商的自身價(jià)值就是通過網(wǎng)絡(luò)的規(guī)模，傳遞的速度等等來體現(xiàn)的。

　　(5)科研和開發(fā)

　　在產(chǎn)品提供商的背后，還有真正進(jìn)行技術(shù)研究和產(chǎn)品開發(fā)的團(tuán)隊(duì)。如果這個(gè)團(tuán)隊(duì)在產(chǎn)品提供商的內(nèi)部，那就是該企業(yè)的研發(fā)中心，如果這個(gè)團(tuán)隊(duì)在產(chǎn)品提供商的外圍，那么他就是一個(gè)獨(dú)立的研發(fā)機(jī)構(gòu)。例如，有的企業(yè)自己不向市場提供防病毒產(chǎn)品，而專門向防病毒產(chǎn)品廠商提供病毒代碼庫。這樣的企業(yè)要體現(xiàn)價(jià)值就要保持技術(shù)的先進(jìn)性。

　2、人才

　　“21世紀(jì)最貴的是什么?人才!”這句某部電影里有些搞笑的經(jīng)典對白，卻是當(dāng)今社會的現(xiàn)實(shí)反映。在信息安全產(chǎn)業(yè)中，有其他IT行業(yè)共性的人才需求，如：企業(yè)管理人員、產(chǎn)品研發(fā)技術(shù)和管理人才、項(xiàng)目管理人才、客戶行業(yè)專家等等。另一方面，信息安全產(chǎn)品也由于其自身特點(diǎn)，產(chǎn)生了很多特殊的人才需求，例如：

　　(1)黑客攻防類技術(shù)人才

　　安全是具有很強(qiáng)對抗性的技術(shù)，很多貌似“固若金湯”的防護(hù)體系，經(jīng)常被具有逆向思維的黑客人才輕易攻破。這類人才是這個(gè)行業(yè)所必須的，但是由于這類人才的群體文化、歷史沿革等特殊因素，形成了一個(gè)不同于傳統(tǒng)企業(yè)管理文化的特殊形態(tài)，所以這類團(tuán)隊(duì)的管理和發(fā)展具有很大的挑戰(zhàn)性。

　　(2)體系化人才

　　信息安全問題具有超復(fù)雜的特點(diǎn)，在解決該類問題時(shí)，需從整體的體系上去考慮。體系化人才的培養(yǎng)將是一個(gè)長期的過程。

　　(3)綜合技術(shù)人才

　　由于安全問題是依附在網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用之上的，這種復(fù)雜的存在形式將要求那些分析和解決網(wǎng)絡(luò)安全問題的人員具備綜合的技能和知識。然而，這類安全人才卻是非常缺乏的。

　　信息安全產(chǎn)業(yè)中這些特殊人才需求，導(dǎo)致信息安全產(chǎn)業(yè)整體上的人力成本過高，從而大大地影響了信息安全企業(yè)的盈利能力。

　　3、組織

　　不同的供應(yīng)商，由于其自身的發(fā)展史、業(yè)務(wù)模式的不同，逐漸形成了自己特有的組織結(jié)構(gòu)。不同組織結(jié)構(gòu)和管理執(zhí)行體制，反過來也會影響企業(yè)的業(yè)務(wù)模式和經(jīng)營行為。在當(dāng)前中國的信息安全產(chǎn)業(yè)中，典型的組織形態(tài)包括：獨(dú)立的專注的信息安全公司、系統(tǒng)集成商的一個(gè)安全部門或事業(yè)部、軟件企業(yè)演化而來的安全公司、網(wǎng)絡(luò)設(shè)備制造商發(fā)展的一個(gè)部門、個(gè)人初創(chuàng)的小團(tuán)隊(duì)公司、科研院所發(fā)展的安全企業(yè)等等。這些不同類型的安全企業(yè)正隨著市場和產(chǎn)業(yè)的發(fā)展變化而起起落落、分分合合。

　　盡管我國大多數(shù)的信息安全企業(yè)都大不過10歲，談不上文化的積淀和積累，但是不同的文化風(fēng)格卻是客觀存在的，而且，企業(yè)中的這種文化氛圍也是企業(yè)組織、制度、管理形態(tài)的重要組成部分。

　　4、資本

　　資本，作為為企業(yè)經(jīng)營注入關(guān)鍵性資金的方式，從中國信息安全產(chǎn)業(yè)形成的階段起便對整個(gè)產(chǎn)業(yè)有了很大的影響力。一筆融資的成功獲得不但會影響到一個(gè)企業(yè)的發(fā)展，甚至?xí)绊懙秸麄€(gè)信息安全產(chǎn)業(yè)的走向。眾多的信息安全企業(yè)已不再按部就班地進(jìn)行傳統(tǒng)的資金積累和常規(guī)發(fā)展。伴隨著互聯(lián)網(wǎng)公司的起落，雖然沒有一個(gè)中國信息安全企業(yè)在這輪泡沫中成功上市，但是大家也都或深或淺地進(jìn)行著資本運(yùn)作。

　　5、商會協(xié)會

　　眾多提供商在一起形成的組織，常常以商會和行業(yè)協(xié)會的形式存在。這種商會或者行業(yè)協(xié)會的存在是產(chǎn)業(yè)成熟和有序的標(biāo)志。

　　四、第三方

　　在信息安全產(chǎn)業(yè)中，除了買方(客戶)、賣方(提供商)、交易的產(chǎn)品或服務(wù)之外，還有一些要素是以第三方的形式出現(xiàn)的。第三方在整個(gè)產(chǎn)業(yè)中不但是不容忽視的因素，甚至還起到舉足輕重的作用。

　　1、主管機(jī)構(gòu)

　　在我國，有多家信息安全的主管機(jī)構(gòu)來應(yīng)對信息安全工作的特殊性、敏感性和復(fù)雜性，作為第三方，它所制定的指導(dǎo)性政策和強(qiáng)制性法規(guī)標(biāo)準(zhǔn)對于整個(gè)信息安全產(chǎn)業(yè)的推動(dòng)和影響是至關(guān)重要的。

　　今年，由信息安全主管機(jī)構(gòu)推動(dòng)的等級保護(hù)工作、風(fēng)險(xiǎn)評估工作、分級測評工作等不但促進(jìn)了我國關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的信息安全工作的開展，也客觀地促進(jìn)了整個(gè)產(chǎn)業(yè)的良性發(fā)展。

　　信息安全產(chǎn)業(yè)作為一種特殊產(chǎn)業(yè)，多頭主管的局面應(yīng)當(dāng)是一個(gè)正常的局面，同安全產(chǎn)業(yè)本身的風(fēng)險(xiǎn)分散、安全制衡等原理具有極大的相似性。所以多頭主管、中央?yún)f(xié)調(diào)的產(chǎn)業(yè)主管機(jī)制是一種非常良好的結(jié)構(gòu)。當(dāng)然，這樣的主管結(jié)構(gòu)必須能夠在面對突發(fā)性全國性網(wǎng)絡(luò)災(zāi)難的時(shí)候，能夠迅速集中并協(xié)調(diào)一致地應(yīng)對。例如，美國的國土安全部就是這樣一個(gè)總體協(xié)調(diào)性機(jī)構(gòu)的角色。

　　2、測評和認(rèn)證機(jī)構(gòu)

　　測評和認(rèn)證機(jī)構(gòu)不同于行使行政權(quán)力的產(chǎn)業(yè)主管機(jī)構(gòu)，它體現(xiàn)的是公正和權(quán)威。通過對信息安全產(chǎn)品的安全功能能力、安全保障能力、產(chǎn)品質(zhì)量和性能等等方面進(jìn)行測試和評價(jià)，為客戶和提供商提供公正的第三方觀點(diǎn)。

　　同時(shí)，隨著產(chǎn)業(yè)的發(fā)展，這樣的測評認(rèn)證不僅僅包括對于產(chǎn)品的測評認(rèn)證，還包括人員資質(zhì)、企業(yè)資質(zhì)、服務(wù)能力資質(zhì)、產(chǎn)品型號資質(zhì)、產(chǎn)品抽查、系統(tǒng)安全等級等等方面的各種形式的測試、評估、評價(jià)、認(rèn)證、認(rèn)可等。

　　3、媒體

　　一個(gè)產(chǎn)業(yè)如果沒有媒體的介入，就不是一個(gè)活力四射的產(chǎn)業(yè)。在我國信息安全產(chǎn)業(yè)的發(fā)展中，從2000年開始，媒體的高調(diào)介入便成為推動(dòng)整個(gè)產(chǎn)業(yè)發(fā)展的一股不可忽視的力量。2000年，媒體對“黑客”這個(gè)詞匯的反復(fù)宣傳，客觀上提高了整個(gè)國家各個(gè)層面對于安全的認(rèn)知水平和重視程度。

　　媒體作為一種傳播途徑，不但在協(xié)助提供商宣傳產(chǎn)品、宣傳企業(yè)自身起到了非常關(guān)鍵的作用，同時(shí)也在自身服務(wù)范圍的拓展上成績斐然，比如，從事產(chǎn)品的測試、評比、評獎(jiǎng)等，已經(jīng)成為信息安全產(chǎn)業(yè)的慣例性活動(dòng)。

　　五、其他

　　一個(gè)產(chǎn)業(yè)的要素是豐富多彩的，不可能用上面的分類全面涵蓋。上面所提取出來的產(chǎn)業(yè)要素僅僅是反映了產(chǎn)業(yè)的一個(gè)方面而已，其他的產(chǎn)業(yè)要素仍在信息安全產(chǎn)業(yè)中存在著。

　　產(chǎn)業(yè)要素應(yīng)用

　　對于信息安全產(chǎn)業(yè)要素的探索和研究是為了能夠更好地了解和把握信息安全產(chǎn)業(yè)，從而為企業(yè)的決策和經(jīng)營提供指導(dǎo)。限于篇幅，這里僅僅初步介紹一些產(chǎn)業(yè)要素應(yīng)用的例子。

　　一、企業(yè)基因和行業(yè)定位

　　每個(gè)企業(yè)都有自己的獨(dú)特性，如何能夠很好地將自己的獨(dú)特性表達(dá)出來，也許利用產(chǎn)業(yè)要素進(jìn)行梳理，將是一個(gè)好的方法。

　　將一個(gè)信息安全企業(yè)按照產(chǎn)業(yè)要素的交易品、客戶、提供商、第三方等進(jìn)行分析闡述，可以較清晰地描述出企業(yè)的“輪廓”，從中也可以看出企業(yè)的真正定位所在，進(jìn)而對這個(gè)定位進(jìn)行反省和分析，并對自身進(jìn)行更有利的調(diào)整。

　　二、合作定位

　　在信息安全產(chǎn)業(yè)中，企業(yè)和企業(yè)之間的合作，企業(yè)和客戶之間的合作，企業(yè)和第三方的合作越來越普遍。如何能夠?qū)ふ业胶线m的合作伙伴，并且能夠形成一個(gè)具有較好持續(xù)性的雙贏或者多贏局面?運(yùn)用產(chǎn)業(yè)要素分析，對合作的各方進(jìn)行產(chǎn)業(yè)定位分析，將會對其產(chǎn)生指導(dǎo)性的作用。當(dāng)描述各方在產(chǎn)業(yè)定位轉(zhuǎn)移方面的意向時(shí)，如果能夠在產(chǎn)業(yè)要素對比分析中看到矛盾大大小于共同利益，沖突大大少于相互的補(bǔ)充，那么這個(gè)合作就是有前途的。

　　如果面臨具有更加復(fù)雜和風(fēng)險(xiǎn)的企業(yè)合并問題的時(shí)候，則需格外謹(jǐn)慎。從產(chǎn)業(yè)要素的各方面進(jìn)行分析，才能得出正確結(jié)論。

　　三、產(chǎn)業(yè)要素的應(yīng)用總結(jié)

　　其實(shí)，產(chǎn)業(yè)要素分析并不是一個(gè)革命性的認(rèn)識。在我們討論產(chǎn)業(yè)問題的時(shí)候已經(jīng)或多或少地應(yīng)用過其中不同的要素。如果能夠比較全面地、有條理、有重點(diǎn)地分析這些要素，能幫助我們解決的最大問題便是“定位”問題?？梢哉f，產(chǎn)業(yè)要素分析是一個(gè)戰(zhàn)略層面的分析工具。關(guān)于產(chǎn)業(yè)要素，特別是信息安全產(chǎn)業(yè)要素的探索才剛剛開始，信息安全產(chǎn)業(yè)的多樣性必將給這個(gè)分析方法帶來越來越多的色彩。

本頁關(guān)鍵詞：信息安全產(chǎn)業(yè)要素探索和應(yīng)用