解密国内信息安全服务市场的“怪圈”

Jack Zhai


一、背景

安全不仅仅是技术与工具的对抗,而且还是智慧与经验的对抗。由于必需是人的高度参与,使得信息安全产品很难做成傻瓜式的即开即用,通常专业化程度越高,易用性就越差。所以,信息安全行业的特点除了销售安全解决方案,还销售专业的安全服务,为技术力量不是十分强大的用户提供专业的技术支持,如风险分析、策略优化、应急处理、***性测试等,目的是确实发挥安全产品的效能,确保业务的安全运营,用户是不需要都成为信息安全专家的。

IT技术较为发达的国家,安全服务要占到信息安全行业市场的一半以上。但不能不遗憾的说:我国的信息安全领域,安全服务的市场还占不到整个行业的10%,近几年还有下降的趋势。令人更加不安的是:国内大一些的信息安全企业,对安全服务业务大多不看好,有的压缩了安全服务部门,有的干脆撤销了安全服务部门。

目前,国内的信息安全市场就呈现出一个非常奇怪的现象:一方面是信息安全市场随着IT与互联网市场的火爆而扩大,另一方面是信息安全服务市场的急剧萎缩。用户机房内,常常可以见到这样的情景:部署的安全设备,连电都没加;有的通了电却没有接网络线;即使是看接入网络了,却没有部署任何安全策略……

斯诺登爆出的“棱镜门事件”中提到这样一件事情,指明清华大学被人通过某公司的路由器***了,而之前我们好像一无所知(很希望是有人知道而没说)。我们不用揣测清华大学是否有信息安全“大牛”,但好像没有看到他们有什么反应,对于自己被***一事,是一脸茫然。当然,这也是事实,国内大多政府、企业的网络安全状态还远不如清华大学。

棱镜门事件说明了两点:一是不拥有自己的核心安全技术是要受欺负地;二是我们不是没有投资安全,而是安全设备利用得太差,甚至可能就没用。现有的安全措施都不能发挥该有应用的效力,即使拥有最高端的技术也是白扯。当年我们“小米加×××”一样对付“飞机加大炮”,人的态度才是对抗中的关键!

那么,国内的用户为什么不愿意为信息安全服务买单呢?是用户没有意识到安全的重要性,还是国内的服务人员水平太低,根本就提供不了用户满意的信息安全服务呢?


二、奇怪的生态圈

信息安全是一门很特殊的领域,既不可以大肆做广告,也没有办法全面测试对比谁家的产品更好;安全是一门能说却又不能细说的技术,用户觉得很神奇,但又很难进一步的了解。

用户对安全服务的结果就如同雾里看花,大到几千万,小到几千元的服务项目,用户看到的只是投入的人多少不同,工作的时间长短不同,最后得到的都是一份精美报告。所罗列大堆的安全分析,对于用户来说如同天书,结论基本都是让你继续买设备,接着买服务。至于用户关心的业务安全状态,现在是什么层次,将来可能是什么水平,服务完成后还是一头雾水。

这个“不明白”是起点,逐渐形成了一个奇异的、闭环的市场生态圈:

1、信息安全很神秘,能测试的方法与渠道不多,用户对安全缺乏必要的了解,对安全服务的效果看不懂,服务商也不主动体现其服务效果的差异;

2、信息安全的服务的成果多是一份精美的报告(大公司的印刷很精美),罗列一大堆安全漏洞,最后建议你买很多的设备,或继续加大服务的投入。去年的报告是这样,今年的报告还是这样,也许明年的报告还是这样(报告模板是越来越雷同了)。用户搞不懂为什么每年不断地整改,不断的采购,但每次都是一大堆的新“漏洞”;

3、用户看不到不同安全服务团队的差异,大的公司无非是持有一堆的“能力证书”(获取是需要花钱的),但获取这些证书的大牛们,在实际服务工作中是看不见的;用户体会最大的就是不同的团队,报价差异很大;既然服务的结果得不到公开比较,服务者自己也无法证明自己究竟有何不同,用户可以选择的依据就只有价格。这不用技术,采购人员们都很熟悉;

4、计算人工成本是从软件定制开发模式中继承过来的,来了几个人,花了几天时间,既容易看见,也容易考核。先“砍”每个人天的价格,再压缩总的人天数,压得服务商的脸都是绿的。没办法,为了团队生存,接下来再想对策吧;

5、服务总是有成本的,最难压缩的就是人工成本,大牛们不愿意为了“五斗米折腰”,纷纷逃离信息安全服务业,开发产品、黑产经济为了生活,路总是有的;大牛们走了,剩下的“菜鸟”成为主角,大家水平差不多,拼得就是“力气”。能降低成本、维持微薄利最简单的方法,就是降低服务质量,这办法连盖房子的包工头们都会;

6、服务质量越来越差,用户更加没了感觉,信息安全服务有什么用啊?能少就省了吧!用户不愿意买单,安全服务的市场越来越萎缩;

7、市场都萎缩了,投资人更加没有兴趣,研究人员也都远离了,那些如何衡量安全服务的方法与理论的问题,就更加无人问津了;

8、如此循环,没有谁是赢家然而,没有了安全服务的用户安全服务体系,就如同聋子的耳朵(斯诺登解密的是清华大学,各个***交流圈内解密的又有多少?只不过是没有与政治挂钩,引发轰动效应罢了),至少在高手的眼里一定是这样的。

解密国内信息安全服务市场的“怪圈”_第1张图片

三、产生恶性循环的原因

安全服务市场的恶性循环,其结果直接导致了国内信息安全的现状,用户的钱没少花,安全防护效果极差;安全厂商钱没挣到,步履艰难,哪里有资金投入技术研究?大多选入低层次的、为生存的同质化竞争中。其原因可以归结为两个方面:

1、用户领导对信息安全不重视:业务建设可以带来直接效益,投资回报明显,IT技术本身更新就快,一项新功能还没用熟练呢,就升级换代了。因此,保证业务的安全就被放到了次要位置。此时,信息安全服务再让人一头雾水,让领导糊涂,用户自然就“以后考虑”了。因此,预算中被压缩的通常是安全投资,运维中精简的常常是安全人员。信息安全在领导们的眼里是:说起来重要,做起来次要,忙起来不要。

2、安全服务企业自身不努力:服务是产品,不是技术人员的孤芳自赏;是产品就需要很好的展示。用户需要看到服务的效果差别,我们应该设法体现服务的不同。不同水平的人做的服务应该看到不同的结果,不同服务能力团队做的服务应该有不同的深度。有了差别,才能体现价值。为了降低成本,抹杀了差别,等于抹杀了自己的价值。

前一种因素,是会自行改变的,出现安全事件之后,用户在“血”的教训面前,很快就意识到安全服务的重要性,部署合理的安全防御体系,提高自己安全防御能力,糊弄安全就是糊弄自己。后一种因素需要我们自己努力,安全服务商拿出自己对安全服务结果的度量办法,展现给用户自己服务的成果内涵,体现自己服务的价值,这是必须要做的,是必须要做到的。

企业糊弄用户,用户就远离企业;没有了用户,企业就失去了存在的价值。


四、小结

不拥有信息技术的核心技术,是信息安全被动落后的重要原因,但主观上不重视信息安全,才是目前安全状态极其糟糕的根本原因。手里有的“武器”都不会使用,只顾抱怨没有最好的,是永远也得不到安全的。