進入到9月下旬,一則名爲XcodeGhost惡意軟件的消息迅速傳遍了朋友圈和各大媒體。這次網絡信息安全事件引發極大的關注,是因爲它感染了被公認最爲安全的iPhone手機,受影響的iPhone APP赫然包括了微信、網易雲音樂、高德地圖、58同城等。而根據騰訊移動安全實驗室數據,2015年上半年新增手機支付***病毒29762個,感染用戶總數達到1145.5萬,最高峯6月平均每天6.8萬名用戶中毒。
針對普通消費者的網絡信息安全事件僅僅是冰山一角。2015年上半年,全球有記錄的企業及政府數據泄露事件數量爲888起,被盜檔案數略少於2.46億份。美國最大的醫療保險提供商安騰(Anthem)在今年三月遭到***,約7880萬用戶自2014年12月以來的數據被盜。Gemalto發佈的2015年上半年數據泄露等級指數顯示,全球受數據泄露影響最大的產業分別爲醫療、政府、科技和零售。
剛收購了趨勢科技中國業務的亞信安全董事長何政認爲,隨着雲計算和大數據技術的發展,傳統網絡信息安全行業將會發生巨大變化,整個產業格局將產生重大調整。
千億規模僅是開始
Gartner的最新預測數字顯示,2015年全球信息安全開支將達到754億美元,比去年增長4.7%。加上未公開的數據,2015年全球信息安全市場的規模將超過1000億美元的水平。Gartner的研究分析師Elizabeth Kim認爲,數字化企業的多個要素日益推動全球關注信息安全,尤其是雲計算、移動計算和物聯網等,而錯綜複雜、影響重大的高級針對性***同樣起到了推動作用。
據有關統計,國內企業的信息安全投入佔IT總投入比例僅爲2%左右,而發達國家已經達到10%~12%左右。儘管如此,根據中國電子信息產業發展研究院的《信息安全產業發展白皮書(2015 版)》,2014 年我國信息安全產業業務收入爲739.8 億元,是2012 年的2.4倍,近三年來我國信息安全產業規模年均增長率超過了40%。基本上國內信息安全市場也達到千億元人民幣的規模。
就信息安全產業而言,全球市場達到了千億美元、中國市場達到了千億人民幣的規模,但整體來看信息安全產業纔剛剛開始,尤其是中國的信息安全產業正在經歷從小到大的鉅變。一方面,據中國互聯網絡信息中心的統計,截至2014年12月我國網民規模達6.49億,互聯網普及率爲47.9%,一旦出現網絡安全問題很容易造成巨大影響。另一方面,隨着互聯網+行動的升級,企業的安全邊界正在消失。漏洞盒子的報告顯示,在2015年上半年無論保險、銀行、證券或是新興的互聯網金融,互聯網安全漏洞的數量相比去年同期有爆發性增長,特別是互聯網金融業的高、中危級別漏洞數量總和佔比高達97.2%。
爲什麼說信息安全產業纔剛剛開始,這主要是由於雲計算、移動互聯網、大數據等底層新技術的廣泛應用。漏洞盒子的報告指出,由於支撐互聯網金融的雲計算、大數據等新技術發展還不完全成熟,安全機制尚不完善,而同時第三方支付、P2P等互聯網金融新業務飛速發展,企業安全技術、安全意識以及運維管理水平往往難以跟上,許多互聯網金融企業願意花費幾百萬、上千萬元投放廣告,卻不願在安全方面有任何預算。而在其它行業,也在出現與互聯網金融行業類似的信息安全現狀。展望未來五到十年,信息安全產業有着遠超千億的發展潛力,在更遠的未來則有着達萬億規模的可能。
中國市場鉅變中
自2014年以來,中國信息安全市場正在經歷巨大的變革期。
首先,從國家層面開始高度重視網絡信息安全。2014年是我國信息安全產業發展的變革之年,中央網絡安全和信息化領導小組辦公室於2014年初正式成立,有效推動了信息安全行業的全面成長。2015年6月24日,人大常委審議了《網絡安全法》草案,這是我國首部網絡信息安全法。我國政府對信息安全的高度重視,極大推動了信息安全產品國產化的進程。
其次,當前信息安全需求已逐漸從單一信息安全技術產品轉向針對行業個性化需求的信息安全整體解決方案,但我國信息安全企業仍集中在防火牆、***檢測、***防禦等單點技術產品上,綜合性信息安全技術發展仍處於較低水平。工業和信息化部賽迪智庫網絡安全研究所所長劉權指出,我國在網絡安全技術方面存在大量技術短板,不能完全實現自主可控,產品同質化競爭非常嚴重,缺少網絡信息安全龍頭企業。
再次,我國企業對於信息安全的思維和認知還停留在初級階段。企業並不是每天都會受到***,而一旦受到***則需要進行快速反應。那麼解決問題需要有一個思路,如果沒有進行日常鍛鍊的話,在受到***的時候企業就不會知道如何反應。賽門鐵克亞太區大客戶部副總裁兼大中華區總裁梅正宇介紹說,賽門鐵克專門提供了***演練模擬平臺,幫助企業進行***模擬,還可以進行論證和考試。但實際上,我國企業對於信息安全的認知水平還停留在購買硬件和軟件層面,很少引入類似信息安全***模擬演練這種諮詢服務。
第四,我國尚缺乏信息安全方面的國家標準,這造成了多種不同規格、不同接口、不同標準信息安全產品並存的混亂局面。國內信息安全創業公司青藤雲安全創始人張福介紹,美國由美國國家標準局NIST出面制定了一套網絡信息安全方面的行業標準,美國的信息安全廠商都要支持這一標準,因而美國的信息安全產業能發展出完整的生態。而我國信息安全管理現狀比較混亂,缺乏國家層面上的整體策略,實際管理力度、政策執行和監督力度等也不夠,相關的風險評估標準體系有待完善。
巨大的缺口導致了巨大的機會。2015年5月,360公司宣佈成立了企業安全集團;6月,網宿科技發公告將3.5億元投入雲安全項目;9月,亞信科技宣佈收購趨勢科技在中國的全部業務,同時宣佈成立亞信安全公司。2015年的中國信息安全市場,可以說是山雨欲來風滿樓。
顛覆性技術:自適應安全
面對一個龐大而龐雜的信息安全技術與產品市場,企業如何以點帶面地入手抓信息安全、廠商如何提綱挈領地提供技術與產品、不同的信息安全技術與產品如何形成一個生態體系,這些都是打開未來信息安全產業發展空間的關鍵所在。
2015年上半年,有一家叫做Illumio的美國創業公司宣佈了1億美元的C輪融資,該公司在 2013 年 1 月完成了800 萬美元的 A 輪融資,當年9月又完成3450 萬美元的 B 輪融資。在該公司後面的投資陣容包括了微軟董事長John W. Thompson、Salesforce.com CEO Marc Benioff、Yahoo創始人楊致遠、Box CEO Aaron Levie,包括Andreesen Horowit、Formation 8、Data Collective和General Catalyst在內的硅谷四大VC,以及全球最大上市投資管理集團BlackRock和五大VC之一Accel Partners。
什麼讓這家創業公司獲得豪華級科技界明星投資人和投資機構的青睞?原來這家公司所開創的信息安全技術領域叫做自適應安全。2014年2月,Gartner發佈了《自適應安全架構:應對高級定向***而設計的下一代安全防護平臺》報告,從理論層面闡述了未來顛覆性網絡信息安全技術的框架——自適應安全。自適應安全從本質上說,屬於基於大數據的持續監控和分析系統,通過對企業內部、邊緣和外部的大數據監控與分析,不斷描繪企業信息安全現狀圖並且有針對性地提供解決方案的智能安全防護體系。
國內創業公司青藤雲安全是目前國內唯一從事自適應安全技術研發的公司,目前全球只有兩家公司專注於研發基於自適應安全框架,這就是Palantir創始人Joe Lonsdale今年9月底到北京走訪一圈後想投青藤雲安全的重要原因,Illumio也是Palantir投的創業公司之一。儘管成立於2014年8月,青藤雲安全的技術思路其實早在Gartner的報告之前就已經形成了。創始人張福曾在同濟大學就讀期間就是知名的***,畢業後到盛大、崑崙萬維等互聯網遊戲公司任技術負責人等職,2014年初開始思考類似自適應安全的技術架構,獲得真格、雲天使及豐厚資本的聯合天使投資650萬人民幣後開始創業。
青藤雲安全的技術思想主要是在獲得企業同意情況下,向企業IT系統投入類似電子爬蟲的探針,在企業的內部、邊緣和外部描繪企業信息安全的現狀圖。這非常類似電影《普羅米修斯》中向一個未知山洞投下幾個不斷移動的探頭,通過返回信號清晰地描繪出山洞的內外部3D構造圖。這份企業信息安全現狀圖相當於是對企業的IT和數據資產進行了盤點,根據盤點的結果再提供標準化解決方案模塊組合,用於修補漏洞和加固系統,整個過程的90%都由機器自動化完成。而企業信息安全圖還將定期被重繪,讓安全措施自適應業務和IT的變化與發展。青藤雲安全的一個技術優勢和技術壁壘,在於對企業IT資源的消耗極低,能控制在0.1%以下,這得益於青藤雲安全團隊對於操作系統技術的深入理解。
轉型的運維:安全諮詢與託管服務
以青藤雲安全和Illumio爲代表的下一代自適應安全技術主要針對互聯網和雲計算這樣的大規模IT,對於傳統企業而言仍需考如何從安全服務方面提高企業的信息安全運維水平。
針對紛繁複雜的網絡信息安全技術與產品,企業的安全運營中心(SOC)顯得格外重要。安全運營中心就相當於企業信息安全的“大腦”,能夠調度、組織和編排企業採購的各類信息安全技術與產品,共同服務於企業的整體信息安全需求。
賽門鐵克大北區安全解決方案技術支持部總經理馬蔚彥介紹說,安全運營中心在國際上較爲主流,但對於中國市場來說則屬於較新的概念。目前賽門鐵克在全球有9大安全運營數據中心,位於歐洲、美洲、亞洲、澳大利亞等全球各地,通過專業化的安全專家和大數據分析團隊,爲企業提供安全運營中心的託管服務以及全球信息安全大數據收集與情報分析等工作。實際上賽門鐵克在全球最成功的業務其實是安全託管服務,託管安全服務在國外相當的流行,很多企業都選擇把網絡信息安全託管給專業安全廠商。無論從性價比、人才培養和維護、安全大數據積累等方面來看,安全託管服務都比企業自建安全團隊有着天然的優勢。
隨着中國市場的變化,以賽門鐵克爲代表的國際安全廠商也在調整針對中國市場的策略,信息安全諮詢服務將是賽門鐵克接下來在中國的重點推廣業務。梅正宇坦言,在過去一年半的時間裏,賽門鐵克在中國的業務基本呈下降趨勢,但在過去的6個月中賽門鐵克進行了大力轉型,加大了信息安全諮詢服務業務的力度並取得了積極成效。信息安全情報服務、信息安全系統規劃、信息安全大數據分析、信息安全培訓、信息安全***演練等都是賽門鐵克在中國逐步展開的服務業務。特別是信息安全培訓業務,賽門鐵克集合自成立以來33年的專業經驗,可以說是信息安全領域現實中的大學,展開培訓業務有着得天獨厚的優勢,而中國奇缺信息安全人才也將爲信息安全培訓服務創造剛需。
剛收購了趨勢科技中國業務的亞信安全董事長何政表示,自從去年亞信科技開始向產業互聯網轉型,就在圍繞產業互聯網設計網絡安全的戰略佈局和發展策略,構建了亞信安全的能力藍圖和安全框架,包括安全智能分析、威脅治理管控、安全管理支撐、安全運營、雲管端協同等多個技術、產品與服務層面。通過走“產品、服務、運營三位一體”的模式,亞信安全將幫助企業用戶建立積極防禦體系,實現網絡安全管理的集中化、主動化、可視化和智能化。
安全行業的未來在哪裏?青藤雲安全創始人張福有着非常獨特的看法。他認爲,目前國內信息安全行業沒有統一的標準,這是因爲行業的成熟度不夠。當行業的成熟度達到一定階段後,自然將產生相應的行業標準。而一旦出現成形的行業標準,這將意味着巨大的商業價值。
信息安全行業標準將產生什麼樣的商業價值?張福介紹說,現在美國出現了第一家數字資產保險公司,這是由美國前國防部長創立的一家新型保險公司,專門承接單筆1000萬美元以上的數字資產保單。而對數字資產的安全進行定損,則需要公正的第三方定損機構,這就是基於行業標準的信息安全企業未來發展方向之一,也是信息安全產業有朝一日達到萬億規模的路徑。(文/吳寧川)