"互联网+"时代 网络安全需求催生千亿市场

投资潮  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  

目前,网络安全成为热门话题,国内网络安全市场方兴未艾,在国家队与民间队、互联网巨头与中小企业、黑帽子与白帽子的竞争之下,一个千亿规模市场正在起航。近日,记者采访调研多家知名网安企业,解读行业变化趋势,通过与权威专家的深入对话,深度还原产业发展背后的现实困境。

过去十年,信息安全并不被大多数企业重视。相关机构统计显示,国内大中型企业在过去一年内因信息安全事件平均每家损失达240万美元。而每年计算机及网络犯罪活动带来的损失超过4450亿美元。《每日经济新闻》记者注意到,来自网络的威胁已经不再仅限于传统IT系统,已经扩展至传统工业基础设施。国内网络安全市场规模也呈爆发式增长,企业级市场有望从目前的约100亿元规模扩张到千亿以上。有业内人士预计,目前国内网安市场还在起步阶段,未来可能催生万亿级别市场。

网络威胁掣肘“互联网+”

截至2014年底,国内网民规模达6.49亿。与互联网行业飞速发展形成鲜明对比的是,网络安全市场的明显滞后。广发证券研报认为,国内网络安全市场从规模上仅增长了2~3倍,年均复合增速约17%,远低于互联网发展速度。这种不平衡的发展,显示了我国企业对信息安全的重视程度不够,大量的主机在互联网上仍处于“裸奔”状态。

国家计算机网络应急技术处理协调中心今年5月发布的《2014年中国互联网网络安全报告》(以下简称《2014年网安报告》)显示,2014年,CNCERT/CC共接收境内外报告的网络安全事件56180起,较2013年增长了77.5%。

网站数据和个人信息泄露仍是泄露事件的重灾区。《2014年网安报告》认为,数据泄露事件仍频繁出现,移动应用程序成为数据泄露的新主体。2014年,订票、社交、点评、论坛、浏览器等国内多种知名移动应用发生用户数据泄露事件。

医疗行业、物流行业、零售业等传统行业,其数据大多是用户的真实身份,而且这些行业的网络安全意识相对落后,信息技术基础薄弱,随着线上业务与线下业务交融,这些行业逐渐成为隐私泄露的重灾区。

《2014年网安报告》最新披露,网络攻击威胁日益向工业互联网领域渗透,已发现我国部分地址感染专门针对工业控制系统的恶意程序事件。针对工业控制系统的攻击方法和手段已逐渐成熟,并有能力影响物理生产运行环境。

卫士通董事长李成刚在一次会议上公开表示,互联网+的时代,信息安全将作为互联网+的核心基因,也将连通各行各业。网络空间已经延伸到了传统产业的方方面面,但“互联网+应用”中很多时候应用对象不重视网络安全。

在“中国制造2025”的国家战略下,“互联网+工业”成为推动制造业向智能化发展的重要支撑。这打破了工业网络与公共互联网之间的物理隔离,使得工控系统不可避免地面对来自互联网的各种潜在的网络攻击威胁。不同于传统IT系统,工业控制系统直接与物理现实世界相连接,其网络攻击一旦成功,可能造成重大经济损失、物理和人身伤害。一位长期从事网络安全业内人士透露,目前国内很多工厂的智能阀门等工控系统一度处于“裸奔”状态。

事实上,这也是全球范围内的“老大难”问题。长江证券研报显示,从2012年全球各个行业成为网络安全目标的份额来看,制造业占比24%,位居各个行业之首。而据不完全统计,超过80%涉及国计民生的关键基础设施,依靠工业控制系统来实现自动化作业,工业控制系统已是国家安全战略的重要组成部分。

市场规模从百亿到千亿

层出不穷的信息安全事件引起企业重视,进而转化为信息安全需求,驱动信息安全行业景气度提升。在安全事件频出之时,也有乐观的声音认为,安全防护有望一改过去在IT建设中无足轻重、可有可无的尴尬境地,信息安全产业迎来难得机遇。“我们依然处在快速成长阶段。”在卫士通董事长李成刚看来,我国在安全领域的投入还比较低,主要投入不到信息系统投入的3%,仅占整个IT产业的2%左右,而欧美国家的这一比例通常在8%~10%。

网络安全的投入不足也让诸多企业付出惨重代价。依据普华永道的调查报告,2014年,受访的内地和香港大中型企业在过去一年内因信息安全事件平均每家损失达240万美元,同比增加33%。

网络安全和互联网产业之间的发展差距正在缩短。2014年开始,高层开始高度重视网络安全工作,成立中央网络安全和信息化领导小组,中共十八届四中全会明确提出加强互联网领域立法,政府工作报告首次出现“维护网络安全”表述,相关管理办法和指导意见先后出台。“没有网络安全,就没有国家安全;没有信息化,就没有现代化。”这句高层指示成为中国网络安全备受重视的最佳写照。

招商证券认为,传统的网络安全需求主要局限于企业和个人,国家网络空间安全需求的出现不仅使得网络安全含义立体化,也使得行业市场空间将从目前的一两百亿扩展到千亿元以上,网络安全公司的市值空间将被打开。

随着物联网云计算等新技术的发展,以及“互联网+”不断开拓的需求,国内网络安全市场迎来高增长时代。李成刚透露,从狭义的信息安全概念来看,2014年的国内网络安全产业规模达到321.3亿元,比2013年增长21%。

在业内人士看来,这个市场的规模远远不止数百亿。一位四川网安企业高管表示,“网络安全意识正实实在在传导到市场,我们已经感觉到市场是在加大投入。”

  事实上,在四川省2015年推出总投资近3万亿元的重点 项目 投资计划中,信息安全等产业投资成为投资重点,信息安全产业发展的新目标是2020年达到1100亿元,带动相关产业规模突破3800亿元。

而四川大学计算机网络与安全研究所所长李涛表示,现在股市上最火的就是IT方面,尤其是信息安全。由信息安全带动整个国产化是一个大的战略,有专家估计,可能催生的市场大致上万亿。

市场格局

网安国家队民营队共存谁能成长为“大树”

“中国信息安全界有数千家企业,但目前还只是一片草地,做得比较好的企业,也只是长得比较高的草而已。这块草地上还没有树,更没有参天大树。”在近日的一次券商大会中,意外亮相的卫士通(002268,SZ)董事长李成刚这样说。

接入互联网20余年的中国,为何迟迟未见网络安全龙头企业?谁可能成长为“大树”?国企阵营中,以卫士通为代表的企业从不讳言自己要做“网安国家旗舰队”的目标,其资金实力雄厚、背靠央企集团是明显优势;另一边,以BAT为代表的民营企业也加紧布局,将网络安全视作未来盈利的重要业务。

阿里安全研究实验室总监云舒在接受《每日经济新闻》记者采访时表示,网安是个快速变化的行业,相比国企,民企更能快速反应,为抢占前沿市场甚至不惜放弃既有的业务份额。

行业处草莽阶段

广发证券研报显示,我国的网络安全市场个体相对较小,尚未形成具有全局影响力的大公司。“这还是和企业只为看得见的东西买单这种根深蒂固的观念有关。”云舒认为,长期以来,大家对只花钱但不赚钱的网安服务不重视,即便是要在网安上投入,也更情愿买看得见摸得着的设备。大量企业主体对网安的重视度不够,久而久之导致我国的网安产业和公司逐渐与海外拉开了距离。

据Choice数据端统计,A股市场上,网络安全板块的上市公司有20家:联络互动、旋极信息、浪潮信息、飞天诚信、二三四五、东软集团、任子行、蓝盾股份、美亚柏科、星网锐捷、威创股份、卫士通、国民技术、拓尔思、航天信息、启明星辰、北信源、立思辰、绿盟科技和梅泰诺。

其中,卫士通、绿盟科技、启明星辰等公司,是较早进入网络安全行业并以此为主业的企业代表。用李成刚的话来说,这些先行者也是在网络安全草原上长得比较高的几株苗子。

一位不愿具名的资深网安研究者分析,从产品来看,每个细分领域都有龙头。如卫士通是信息加密及身份认证方面产品的龙头;启明星辰在国内入侵检测、漏洞扫描市场的占有率第一;绿盟科技的优势在于入侵检测和入侵防御。“不过,我国的网安企业的主营业务仍是卖产品,相比安全硬件和软件,安全服务的市场份额并不大。”他表示。

广发证券研报称,网安硬件占产业总份额49%,安全服务和安全软件分别占整个产业的27%和24%。而从全球市场来看,安全服务占57%,安全软件和安全硬件分别仅占27%和16%。虽然我国安全行业与国外总体技术水平差别不大,但产业结构却有根本不同。

事实上,网安行业的市场趋势正悄然生变。上述资深网安研究者表示,以网络安全行业最发达的美国为例,名列前茅的网安公司是基于大数据存储和分析能力,将众多类似客户放在同一个平台上,对其进行安全监测和预警服务的方式。国内的网安企业同样如此,谁越能抓住平台化、大数据化、服务化的主流技术和市场方向,从卖产品为主转变为平台化服务,谁就越有机会成长为“大树”。

互联网巨头抢地盘

除了主业是从事网络安全的传统企业外,面对网络安全的蓝海,互联网巨头公司们也涉足其中。李成刚认为,跨界竞争对网络安全产业发展带来新挑战,除了央企以外,集成商、互联网公司、网络设备商也在进入安全领域。“比如阿里,后台有上千人的队伍在保障淘宝天猫支付宝的交易安全。”

今年4月,百度宣布全资收购安全宝,将之融入百度云安全体系;在刚刚结束的国家网络安全周上,腾讯宣布进一步投资知道创宇,并与启明星辰联手推出企业安全产品。

安全牛网主编王小瑞认为,这些拥有强大云服务和大数据的互联网公司,将展开云安全和大数据安全的火拼。今年将会有更多的安全公司被更大的企业兼并联合,或投资或入股、或收购。

据了解,以BAT为代表的互联网巨头们,也正不断用重金将全国的顶尖“白帽子”(发现网络漏洞的安全专家)收入麾下。一场白帽子峰会,常常能让登台演讲的白帽子身价飙升两三倍。一位白帽子对记者表示,其团队时常能接到互联网巨头公司年薪200万元的邀请。

10年内行业格局确立

大企业的一系列并购举措之下,网安行业的中小型民营企业的生存环境也发生了变化。四川无声信息技术有限公司董事长黄勇表示,虽然网络安全行业的发展大方向是向好的,但对中小民企而言,其生存境况会更加艰难。一方面这种体量较小的公司,很容易被大企业兼并、收购;另一方面,从用户接受度而言,党政军部门在选择网安产品和服务时,对有国资背景的网安企业具有先天的认同优势,接受民企则有一定过程。

网络安全专家张瑞冬对记者分析道,优质的网络安全服务不是一次性的卖产品或是出事故后堵漏洞,而应该是动态的长期维护,甚至需要网安公司时常进行上门测试服务。在这点上,拥有强大专业团队的本地网安公司比总部在北京的大型网安公司更能提供方便的服务。“BAT也好,国资背景的网安公司也罢,都不可能把这个市场全盘吃下。”

事实上,网安行业不乏细分技术水平领先的中小企业。“比如有的公司专做灾难备份的特色领域,十多年的技术积累后,也做出了自己的特色。”李涛举例称,现在关于信息安全的龙头该怎么划,这个还真的没有什么定论。中小企业不一定要做全产业链,针对一两个最擅长的技术下功夫效果会更好。“行业目前的市场格局还不清晰,但在未来5~10年内就会沉淀下来,有些公司会崛起,有的则走向末路。”

未来趋势

“老三样”难挡新型攻击手段 解决网络安全现在流行“平台化”

网络漏洞风险向传统领域、智能终端领域泛化演进。令人眼花缭乱的新型攻击方式,逼迫防御手段不断转型升级,同时也逼迫网络安全行业转型。目前看来,入侵检测、防火墙、防病毒“老三样”正在向平台化方案转变。“我们过去站在别人肩膀上进行信息化建设,突然有一天别人不让我们踩肩膀了,怎么办?”卫士通董事长李成刚说。尽管自主技术、自主品牌、自主标准至关重要,但国产化道路依然艰巨。

物联网、云计算、大数据和智慧城市等相关新兴技术发展的同时,出现了新一代信息安全问题。

四川大学计算机网络与安全研究所所长李涛告诉记者,在已建成的物联网系统中,传感器在感知层面几乎没任何防御能力。《每日经济新闻》记者了解到,新技术带来的威胁正在逼迫网络安全行业转型。网络安全企业正从此前单纯售卖“老三样”安全设备,向以数据分析为基础的平台化整体服务转变;从事后处置、事中应急,向事前预警靠拢,这一新技术形态,被认为是未来的发展趋势。

在安全服务商努力推进平台化服务的同时,基础网络设备商也在加紧国产化进程。中国工程院院士倪光南对记者表示,CPU、操作系统和交换机等核心软硬件的自主、可控,是应对网络安全新挑战的关键。

网络攻击渗入多个领域

据媒体报道,某品牌的电动汽车车载控制系统的安全漏洞曾被黑客利用,能远程控制车辆开锁、鸣笛、开启天窗,甚至有高级黑客现场演示控制心脏起搏器,远程杀人于无形之中。“物联网本身的设计在技术上有一定的脆弱性。”李涛告诉记者,“比如传感器,现在在建的、已经建成的物联网系统,在感知层面实际上几乎没任何防御能力。”

惠普旗下应用安全部门Fortify曾审查过10款高人气的物联网设备,发现竟存在250个安全漏洞,平均每款25个。

国家互联网应急中心今年5月发布的《2014年我国互联网网络安全态势报告》(以下简称《2014安全报告》)显示,云服务正日益成为网络攻击的重点目标,移动应用程序成为数据泄露的新主体,“漏洞风险向传统领域、智能终端领域泛化演进。”

李涛还告诉记者,目前针对云计算中心出现了新的攻击手段,“有人把云控制了,运用云计算中心去攻击别人。”

平台化方案成趋势

令人眼花缭乱的新型攻击方式,也逼迫防御手段不断转型升级。“2005年以前,安全行业固守着‘入侵检测、防火墙、防病毒’老三样。”一位信息安全资深专家告诉记者,早期的信息安全是被动防御,如今“以平台化的服务为主,在数据中发现入侵痕迹,对攻击行为进行预判、阻止,必然是一种趋势。”

卫士通董事长李成刚表示,“安全不是单一的产品,不是给你一套密码设备、一个防火墙,安全是一个过程,到最后,安全是一个服务。”

阿里巴巴安全研究实验室总监云舒认为,目前平台化的服务有了海量数据作为支撑,“不少公司的数据存储、分析和处理能力比较强,以云平台为载体聚合大数据,通观全局,进行安全监测。”

在网络安全专家张瑞冬看来,传统网络安全进行的事后处置、事中应急,是“亡羊补牢”,“现在要在攻击发生前做预警。”“从第二届网络安全宣传周上,已经看到一些基于数据分析的平台化整体服务产品了。”上述专家告诉记者。

国产化道路艰巨

《2014安全报告》显示,当前我国在能源、制造、交通等众多工业领域的核心硬件设备、软件产品仍然大量依赖于国外进口,基础网络设备仍存在较多安全漏洞风险。

“我们过去站在别人肩膀上进行信息化建设,突然有一天别人不让我们踩肩膀了,怎么办?”李成刚说。

倪光南在接受《每日经济新闻》记者采访时表示,自主技术、自主品牌、自主标准对于我国信息通信产业乃至整个社会稳定和经济发展都至关重要;国产化首先可以做到“自主可控”,然后做到“安全可信”。

据招商证券研报梳理,基础网络设备领域的国产化已初见成效。比如服务器已经涌现出华为、浪潮科技、曙光科技本土巨头;数据库随着华胜天成与IBM在源代码层面的合作,未来存在反超可能;操作系统领域,中标软件和麒麟操作系统占据国内40%以上市场份额……

实际上,国产化道路依然艰巨。“我们做出来的产品,市场承认度比较小。”李涛认为,“自主可控”的网络安全缺少一条完整的产业链。

公司样本1

“国家队”卫士通:背靠中国网安 瞄准全产业链

作为网络安全市场“国家队”的代表,卫士通(002268,SZ)是A股最早的信息安全上市公司,其加密产品领域的龙头地位已颇为稳固。在资本市场,卫士通亦可谓风生水起,公司股价从2012年阶段性底部爬升至今,涨幅超13倍。

  在网络安全这块千亿大蛋糕的划分中,卫士通已经显露出其“野心”。6月18日晚间,卫士通公告其国有股权无偿划转至中国电子科技网络信息安全有限公司 (以下简称中国网安),公司实际控制人未发生变更,仍为中国电科。

卫士通因谋划非公开发行自5月8日起停牌,但停牌期间的这次股权划转意义非凡。身兼中国网安、卫士通董事长的李成刚,曾在6月中旬的一次会议上透露了中国网安的“国家队标杆”目标以及卫士通的网络安全全产业链战略。

控股股东变为中国网安

5月份以来,卫士通股价已上涨近四成。作为国内极少数同时具有商密的研发、生产、销售资质以及商密和涉密顶级资质的企业,且是唯一国资控股的信息安全上市公司,卫士通备受资金追捧。

2014年,卫士通完成与大股东旗下的三零盛安、三零瑞通和三零嘉微的重组。彼时,关于组建中国网安及成为电科集团信息安全相关资产证券化平台的猜测就不断传出。直到6月18日,卫士通才公布了其划入中国网安旗下的消息。

工商注册信息显示,中国网安注册资本20亿元,2015年5月8日成立,股东为中国电子科技集团公司。在成都举行的一次会议上李成刚曾表示,中国网安目前的成员单位主要是依托专业从事电磁频谱安全、轨道交通安全的中国电科33所,从事信息安全、网络通信、网络对抗的中国电科30所,还有中电科技(北京)公司,主要有计算机可信固件方面的相关资源。

对于中国网安的定位,李成刚透露,中国网安在全国目前有2个所、5个事业部以及10家子公司(未包括卫士通),公司要成为国家网络信息安全的龙头企业,成为国际知名的信息安全技术和产品的服务提供商,成为国际领先的全生命周期高安全级信息系统供应商。

据此前中国证券报报道,中国网安的目标是2017年收入超过100亿元,净利润超过10亿元。未来不排除集团部分子公司进入上市公司,也不排除通过兼并重组形式,整合社会资源,最终实现资产证券化。

在上述会议上,李成刚曾公开表示,“中国的信息安全界有数千家企业,但是目前还只是一片草地,像中国网安、启明星辰、中国电子等也只是这块草地上长得比较高的几颗草而已,还没有树,更没有参天大树,所以我们希望中国网安成为参天大树。”

打造全产业链战略

对于正在准备定增计划的卫士通来说,融资的目的已经初步显露。李成刚曾表示,网络安全产业发展资本的力量作用明显,很多企业都是通过资本运作的方式来对外实现资源整合。

长江证券此前的研究亦指出,中国电科组建中国网安大力发展信息安全产业,同时四川省强力支持,中国网安的愿景是打造中国信息安全的旗舰企业,而公司作为电科集团旗下唯一的信息安全上市平台,将充分发挥平台整合作用。

卫士通的发展战略,从中国网安的布局中亦可以窥探一二。李成刚透露,中国网安将构建信息安全产品、安全信息系统、信息安全服务与测评、安全运营及系统安全集成五大业务板块,成为国内最大的集网络安全技术、产品、服务、运营为一体的综合供应商。“我们搞的是互联网++,是互联网+应用再+安全,安全是互联网任何地方都离不开的。”李成刚透露,中国网安7大新业务领域包括云计算安全、网络监督预警、移动互联网安全、工业控制系统安全、自主高安全网络与信息系统、安全运营服务、物理电磁安全。

全产业链一体化供应商战略也是卫士通的发展方向。2014年,公司通过重大资产重组,收购三零盛安、三零瑞通和三零嘉微三家信息安全企业,形成从芯片到模块、从单机到系统的信息安全完整产业链。

2014年,卫士通实现主营业务收入12.36亿元,增幅60.45%,归属于母公司所有者的净利润1.19亿元,增幅62.17%。因重组标的企业纳入卫士通合并范围,公司产值规模由2014年的4.58亿跃升至2015年的12.36亿,增幅高达170%。

公司样本2

“民营队”绿盟科技:从卖产品到卖服务 向“平台化”进军

六月初,第二届国家网络安全宣传周上,绿盟科技(300369,SZ)网站安全预警与检测平台首次亮相,通过该平台,能达到事前防微杜渐的目的。

云安全服务正在快速升温,通过技术创新,绿盟科技谋求转身平台化服务。其技术水平已得到业内认可,据2013年IDC报告,在安全软件厂商的竞争力展望中,绿盟科技位居中国首位。

在外界看来,以绿盟科技等“民营队”为代表的企业将与“国家队”瓜分市场。面对强有力的劲敌,绿盟科技通过技术快速迭代,同时以“企业级客户”为主打,摸索出差异化竞争的路线。

绿盟科技证券代表杜彦英接受《每日经济新闻》记者采访时表示:“对于‘国家队’这个竞争对手感受不明显,公司服务的是市场化程度较高的企业级客户。”

提供平台化整体服务

信息安全是技术密集型行业,技术与研发水平成为灵魂。

据2014年年报显示,绿盟科技的研发投入1.6亿元,占营收的22.91%,在以往较高比例的基础上略有增加,将继续巩固其技术优势。

依托技术研发和持续创新,绿盟科技逐渐形成了网络入侵检测/防御系统、抗拒服务系统、远程安全评估系统等组成的网络安全产品及服务体系。其领先的研发优势也受到了信息安全行业的认可,2013年绿盟科技获“国家漏洞库一级技术支撑单位”。

本月初,在第二届国家网络安全宣传周上,绿盟科技现场展示了基于SDN技术的云环境下恶意行为监测系统,并首次展示网站安全预警与检测平台。“技术人员基于此平台对用户安全进行7×24小时的监控,若是出现攻击行为,将排查平台上其他用户的风险,遏止传染性爆发。”杜彦英告诉《每日经济新闻》记者,随着互联网+时代的到来,市场倾向寻求智慧安全、一体化解决方案,“向云安全平台的转化也顺应了市场走向,我们将根据用户的具体业务,提供完整的解决方案”。

早在2012年,绿盟科技首席战略官赵粮就曾提出,“充分利用云计算技术和思想来创建或变革现有的安全防护技术和产品”。杜彦英对记者表示,“公司是国内第一家进入云计算和云安全领域的网络安全厂商。”安信证券更是将其定义为“信息安全云交付模式的开创者”。

云安全服务正在快速升温,“谁能在平台化、大数据化、服务化的技术上有所突破,谁就将赢得市场。”一位从业近20年的网络安全专家告诉记者。

然而从其2013、2014年报的主营业务构成中,记者发现,其安全产品占比仍然较大,分别为72%、75%;安全服务在营收中占比略有下降,分别为27%、24%。从卖产品向提供平台化整体服务变身,看来还有一定的过程。

寻求差异化竞争

2000年就成立的绿盟科技,是最早进入信息安全行业的企业之一。2014年1月登陆资本市场,其成长性被外界看好。然而,与“国家队”企业相比,“民营队”在资源、资本、技术方面都有差距。

面对“国家队”和同行抢食蛋糕,绿盟科技正在摸索差异化竞争路线。

以卫士通为例,其在2014年报中表示,“将继续重点开拓政府、军工、金融、能源等与国计民生相关的领域”。相比之下,绿盟科技定位为“企业级网络安全解决方案供应商”,避免了与其正面厮杀。

绿盟科技年报显示,2013年分行业收入排名中,政府占25%,运营商占25%,金融占17%,能源占9%,并逐步在电信和金融两大安全领域站稳脚跟。绿盟科技下游行业覆盖更广,业务增长不单单依赖于政府的需求拉动。

近年来随着中小企业信息安全意识的提高,绿盟科技还在直销之外,开启了代销模式。绿盟科技表示,去年上半年签约了32家区域总代理,扩展了销售渠道。此外,由于在入侵检测和入侵防御方面深耕多年,如今借助网络完全预警和检测平台,绿盟科技有意从传统安全设备厂商向平台化整体服务转变。

杜彦英对《每日经济新闻》记者表示,“企业实现的应该是商业行为,对于‘国家队’这个竞争对手感受不明显。公司服务的是市场化程度较高的企业级客户。”

“对企业来说,网络安全是成本一部分,每年的支出相对固定。”杜彦英告诉记者,这会使绿盟科技在这一块的营业收入不会爆发性增长,公司的对策则是不断开拓新行业,发展新用户。

用户对于网络安全的认知也是影响其市场扩张的因素。杜彦英表示,“目前国内的客户更倾向于买你的安全设备,把盒子放在企业,进行安全防御,就放心了”。绿盟科技表示,除了卖产品,希望企业提高对“持续性整体服务”的接受度。

公司样本3

“BAT队”阿里网安:告别“裸奔”变身“神盾局”

不久前,阿里巴巴对国内网络安全公司韩海源的收购,引发了业界的讨论——阿里为何会收购一家安全公司?

事实上,作为互联网行业的先行者,以阿里巴巴为代表的互联网巨头们,布局网络安全业务已久。阿里巴巴的安全部门也被人们称作是阿里巴巴最神秘的部门“神盾局”。阿里的网络安全算盘是什么?“神盾局”又是如何运作的?

近日,《每日经济新闻》记者(以下简称“NBD”)专访了阿里巴巴安全研究实验室总监云舒,他大学本来学的是经济类专业,却因为喜欢网络安全而果断肄业,投身网络安全的浪潮中。在2009年阿里云成立之初,他加入阿里,负责云安全设计。2014年阿里成立了安全事业部,云舒又加入其中,负责安全研究实验室的工作。

阿里网安曾裸奔4年

NBD:网络安全是一个要花钱但不容易赚钱的业务,所以很多公司最初对网络安全不重视,阿里是否也经历过这样的阶段?

云舒:阿里是1999年成立的,但直到2002~2003年才有安全方面的人才进来,中间大概四五年时间处于网络安全裸奔状态。最开始是大家不了解有网络安全这个东西,后来知道了,但觉得是花钱的东西不愿意去做。后来重视了又肯花钱了,但也经过一两年的时间才完全做起来,直到现在做得比较好的这个阶段。

当初,我们在公司也会做一些安全策略、制度建设方面的东西,还有员工出来吐槽说,阿里的安全部权力很大又管得很宽,所以阿里的安全建设是用强力手段来推动的。

阿里的安全部也曾是一个比较边缘的部门,到现在才成为地位很重要的一个部门,职员有1000多个,首席风险官直接汇报给集团CEO。而且,经过了长时间的建设,我们已不仅仅是一个部门的概念了,更像是一个安全公司,连做安全产品销售的职务都有。

NBD:阿里是如何建设自己的网络安全人才队伍?

云舒:近年来,阿里持续用重金网罗全国的顶尖“白帽子”群体,可见如今对安全人才非常重视。除此以外,我们还会到高校去寻找人才。我也时常到全国各大高校去宣讲,看到不少同学都对网络安全行业充满热情。

但我们在招募的过程中,也确实发现大学里信息安全专业学科才刚刚起步,学校教的偏理论、缺少实践课程。所以我们也经常和学校沟通,和很多高校联合起来做阿里巴巴技术联盟,去引导学生,带领他们走有实际效果的方向。

生产物联网安全产品

NBD:阿里安全研究实验室主要做哪几方面的业务?

云舒:首先是研究最新的攻击和防御手段,这块是我们一直保持不丢的业务,也是根基。

在此基础上,我们会看未来3~5年的行业方向,围绕这个方向去做研究。比如我们看到可穿戴设备和智能家居是未来的一个重要方式,这技术趋势就是从PC到移动端到物联网的必然发展结果导致的,所以我们现在做物联网智能家居的安全产品,目前已经有几个国内大型智能家居企业和我们合作,用我们的安全产品。

另外,现在很多安全服务都是针对技术层面的,业务层的风险控制被忽视掉了。举例而言,如果有人在网站上恶意注册账号、恶意点赞等,就会扰乱你网站的正常业务和信用体系。比如某些音乐网站,就可以通过操作大量账号投票的方式,把一个音乐顶上去。防止恶意操纵的方式,就是业务层的风险控制,而管理员对这种业务层的行为了解得比较少。

阿里有维护淘宝10多年的经验,对淘宝、支付宝交易的风险控制有充分的优势,所以我们也会通过机器、模型、策略等方式,来做业务层的安全服务,现在国内能做这块的还不多。

NBD:看来阿里的安全业务,已不仅是保护阿里自己平台上的客户了,还可以外延到更广阔的市场上去赚钱?

云舒:没错,我们的阿里云盾就有相当不错的收入,但具体多少现在还不能说,也许明年就可以说了,总的来说安全业务能给阿里带来可观的收入。

人物专访

四川大学计算机网络与安全研究所所长李涛:民企也可争当信息安全“国家队”

网络安全行业的“小草”、“大树”之争正在上演,有企业争当年营收50亿元的龙头,有的希望做细分行业的尖兵。那么,行业里的“国家队”和“民营队”各自有什么优势?政策这根指挥棒该往哪儿指?

近日,四川大学计算机网络与安全研究所所长李涛在接受《每日经济新闻》记者(以下简称NBD)专访时表示,“国家队”是能够拿出代表国家实力、解决国家安全问题的队伍,而不是狭义指代国企、央企。在企业的定位上,李涛认为,龙头企业注重信誉,小企业在专业技术上突破,更适合彼此发展。

谈及网络安全的人才培养,李涛提出需要“规范化”,技术精英缺乏思想教育,培养出来的或许是“定时炸弹”。

信息安全产业薄弱

NBD:有统计显示,截至2014年底,在已经上市的几家安全公司中,未有出现市场占有率超过10%的企业。为什么会出现这样的格局?

李涛:我国的网络安全产业,包括一些上市公司,规模都不是很大。这是客观存在的问题,也反映出信息安全比较薄弱,需要大力培养高水平的信息安全队伍。最近,中央提出打造信息安全“国家队”,加强国家信息安全产业,通过国家队的帮助,带动信息安全产业的发展。

企业规模相对较小也有产业本身的原因。从国际上看,从事信息安全产业的公司,比如美国的赛门铁克规模也较小。

与我国类似,美国也有很多小的从事信息安全的公司,主要原因是信息安全用户的需求多样化。政府、企业、个人的需求都不同,用户的资金实力也导致需求不同,一个公司要想满足所有的安全产品需求很困难。信息安全是一个平衡问题,你越要安全种类就越多。

另外,不像IT行业其他领域有很成熟的模式,包括产品的研发、生产、销售到推广,信息安全行业还没有非常固定的模式。

NBD:您提到打造信息安全“国家队”,未来是否有“国家队”和“民营队”之分?

李涛:“国家队”的概念很容易让人误会,带“国”字头的是信息安全的“国家队”,这种理解很片面。

我们所说的信息安全“国家队”,是国家呼唤一批代表国家实力的一些公司,能够解决国家问题的信息安全队伍。就像体育比赛,国家队和省队、市队、县队的区别。从产品服务来看,更多是技术层面的区别。

中国电子产业集团、中国电子科技集团等很多央企都还处于争当信息安全“国家队”的阶段。这些企业在政策、资源、资本上有一定优势。但是,也不可以小视民企,它们的创新机制更加灵活,比如华为、阿里巴巴等。从某种意义上看,他们也代表了国家水平。

我认为,信息安全“国家队”不是狭义的国企、央企概念。现在国家的政策比较好,大家都可以去争当信息安全的“国家队”,提高国家信息安全的技术、产品和服务水平。

信息安全产品必须国产化

NBD:企业分层发展和全产业链布局,哪一种更适合未来的网络安全行业?

李涛:个人觉得信息安全市场现在比较混乱,未来5~10年会沉淀下来。有些公司可能会消失,有的会崛起。不过,现在对信息安全龙头企业的划分,没有定论。

这个与信息安全的特点有关。首先,要信誉好,别人才来请你来做安全防护。其次,这个市场具有排他性,中国的信息安全企业要进入白宫肯定不行,反之亦然。从某种意义上说,国内外企业在市场层面正面交锋的可能性越来越小,但保护国家安全的对抗会越来越激烈。

我认为,现在的需求过于广泛,中小企业应在自己擅长的方面做好研究。比如,在我国灾难备份方面,成都一家企业就做得非常有特色。

NBD:我国的网络安全行业是否需要政策先行?

李涛:国家政策在一些关键领域采取了行政干预方式,涉及国家部门、央企、银行、金融、证券、交通等领域。为了保障国家安全,信息安全行业的产品必须国产,即使投入大点也是值得的。通过政策引导,实现信息安全产品的国产化。

NBD:相比国际水平,我们在技术上还有一定差距,该如何解决?

李涛:实际上,最重要的是人才问题,现在信息安全人才还是比较缺乏,国家需要加强这方面的宣传和培养,尤其是这方面的企业。我建议,一定要加大投入,否则会严重影响我国的信息安全。

NBD:一位“白帽子”黑客说国家对他们的身份认同存在尴尬,您如何看待网络安全人才培养?

李涛:怎样培养出真正对国家有用的人才非常重要,培养需要规范化。打个比方,训练军人不光是要求军事素质过硬,还要在政治思想上进行教育,否则训练出来的不一定是保卫国家的人才,可能变成“定时炸弹”。

李涛:最重要的是人才问题,现在信息安全人才比较缺乏,国家需要加强这方面的宣传和培养,尤其是这方面的企业。我建议一定要加大投入,否则会严重影响我国的信息安全。

人物专访

“白帽子”黑客张瑞冬:互联网用户安全意识薄弱是最大风险

在信息安全领域中,所有研究智取计算机安全系统的人员统称黑客。但在黑客的世界里,又有“正”与“邪”两个阵营,分别是以破坏网络安全来获取个人利益的“黑帽子”和维护网络安全的“白帽子”。

22岁的张瑞冬创建的“白帽子”团队,长期居漏洞查找排行榜首位。一次次漏洞曝光,奠定了张瑞冬团队在圈内的“牛人”地位。

近日,《每日经济新闻》记者(以下简称NBD)在成都专访了这名年轻的黑客。在张瑞冬看来,“白帽子”们最大的优势,就是通过模拟恶意黑客的攻击方法,监测网络系统的实际安全性,提前发现漏洞或缺陷,并进行必要的修补。

自学成才的“白 帽子”

NBD:能谈谈您的“白帽子”成长史吗?

张瑞冬:我可能不是钻研程序和代码的“黑客男”,玩的更多是逻辑性的东西。13岁去银行取钱时,我发现ATM机的程序有一个逻辑漏洞,可以让人取钱以后银行卡的余额不改变。

比如,取1000元,我拿走其中9张留1张,90秒以后系统会显示超时并把这一张收回去,但系统在收回去的过程中是没有做点钞机制的,显示的余额没有减少。这就是典型的业务逻辑漏洞,后来我帮助银行解决了这个问题。

NBD:“白帽子”们往往非常年轻,而且大多都不是学计算机的,您怎么理解这一现象?

张瑞冬:的确如此,以我们团队为例,10多个人中,只有两人有大学以上学历,一个是生物学博士,一个是物理硕士。其余人基本是初中、高中学历,我自己只有初中文凭。据我了解,BAT的安全部门中有一半的技术人员都没有大学文凭。

我们这群人大多从小就对电脑网络感兴趣,通过阅读相关书籍和大量的实践与思考自学成才。高校里的网络安全培养方式理论性太强,而且往往是正向思维,缺乏用攻击思维来防守的实践课程。

NBD:您怎样理解黑客从事网络安全的特点?

张瑞冬:传统的安全产品,是用防御类设备对抗攻击设备,但毕竟设备的匹配规则是死的,攻击者可以绕过设备。所以,传统的设备已经拦不住攻击者。

我们这群“白帽子”黑客非常熟悉“黑帽子”的行为,可以完全模拟“黑帽子”的行为,找到脆弱点,然后提出一套完整的修补建议,漏洞修补后再测试。

用户安全意识差

NBD:人们一提到黑客就会联想到网络破坏,这种误解会对网络安全人才队伍的发展产生不利影响吗?

张瑞冬:公众对黑客的理解确实有些误解,黑客本身不是一个负面形象。在我看来,黑客就是对技术的极致追求,发现问题、质疑权威、充满好奇。我喜欢钻研逻辑问题,想刨根问底研究系统中有没有逻辑漏洞,这就是黑客思维。黑客这个称号是对技术的极大肯定,我非常乐意别人叫我黑客。

事实上,黑客群体中的网络安全高手辈出,高校里的培养方式实用性不够强。我们团队曾做过几次实践类型的安全培训,白天在乌云网上找一些漏洞案例来讲解,晚上带大家实战。但这些实战也不是真正去黑别人,我们写一套系统,导师带着学员学习攻击手段。

不过,后来这个课程被叫停了,理由是涉及“黑客教程”。所以,这是一个悖论,一方面国家的网络安全行业缺乏“白帽子”人才;另一方面黑客的社会身份又很尴尬。

NBD:我国接入互联网逾20年,网络安全与互联网发展的程度似乎并不匹配,您认为网络安全行业最薄弱的环节是什么?

张瑞冬:我认为最薄弱的环节还是用户安全意识太薄弱。我们经常处理一些应急事故,发现真正高难度入侵行为是很少的,导致事故频发的原因是,用户密码设置太简单或者是操作失误。

我曾帮一家上市公司做网站安全测试,他们的系统很安全,测了半天也没有找到问题。后来我发现该公司有内部交流的QQ群,点击加入,立马就把我放进去了。进去后,我发现群共享里有个文件夹,文件夹的名字叫公司各种系统密码。就这样简单,我轻易获得该公司系统密码。这是很普遍的问题,互联网用户的安全意识薄弱,对安全的管控能力比较差。

张瑞冬:我认为最薄弱的环节还是用户安全意识太薄弱。这是很普遍的问题,互联网用户的安全意识薄弱,对安全的管控能力比较差。

随意打赏

提交建议
微信扫一扫,分享给好友吧。