[摘 要] 研究了我國(guó)信息安全市場(chǎng)的現(xiàn)狀與不足、行業(yè)需求特征與本質(zhì)，并分析了信息安全管理軟件的市場(chǎng)前景與藍(lán)海定位點(diǎn)——安全管理的測(cè)評(píng)軟件。

[關(guān)鍵詞] 信息安全市場(chǎng) 管理軟件 藍(lán)海定位點(diǎn)

在國(guó)內(nèi)隨著信息安全產(chǎn)品成為炙手可熱的焦點(diǎn)，網(wǎng)絡(luò)設(shè)備廠商與專業(yè)信息安全廠商之間戰(zhàn)火重燃。從此前的思科、H3C進(jìn)軍安全市場(chǎng)，到2006年百度以“整合資源”的方式高調(diào)進(jìn)人，可以看出更多的網(wǎng)絡(luò)企業(yè)越來(lái)越關(guān)注信息安全產(chǎn)業(yè)。不能否認(rèn)，這對(duì)于當(dāng)前整體安全領(lǐng)域的形勢(shì)是有利的，但網(wǎng)絡(luò)設(shè)備廠商與專業(yè)安全廠商之間的競(jìng)爭(zhēng)，對(duì)于先占市場(chǎng)先機(jī)的專業(yè)安全廠商仍是一個(gè)嚴(yán)峻的挑戰(zhàn)。因此，身處競(jìng)爭(zhēng)激烈的信息安全市場(chǎng)的專業(yè)安全廠商，應(yīng)如何恰當(dāng)?shù)剡x擇屬于自己的“藍(lán)海”，延續(xù)在信息安全市場(chǎng)的些許優(yōu)勢(shì)尤為重要。

一、信息安全市場(chǎng)現(xiàn)狀

在網(wǎng)絡(luò)安全產(chǎn)品的平行市場(chǎng)中，政府繼續(xù)保持了市場(chǎng)份額第一位，電信和金融行業(yè)的市場(chǎng)份額分列第二和第三位，這主要得益于電子政務(wù)市場(chǎng)保持高速的增長(zhǎng)，而電信、金融等行業(yè)的信息化建設(shè)相對(duì)放緩。從各類IT安全產(chǎn)品部署情況來(lái)看，“防病毒系統(tǒng)”、“防火墻”、和“入侵檢測(cè)與防御系統(tǒng)”仍然是最常見(jiàn)的安全產(chǎn)品。在2007年，SSL VPN在用戶得普及程度也逐步擴(kuò)大，已經(jīng)有接近15.2%得用戶部署了SSL VPN產(chǎn)品。而對(duì)于一些高級(jí)的安全產(chǎn)品，比如“企業(yè)資源管理”和“系統(tǒng)漏洞評(píng)估系統(tǒng)”等，部署的用戶則較少。

二、信息安全行業(yè)本質(zhì)

1.信息安全市場(chǎng)需求特征

從需求方而言，對(duì)信息安全的迫切需求，即在信息廣泛流通而導(dǎo)致的巨大風(fēng)險(xiǎn)時(shí)，就有了對(duì)信息安全的需求。因此，信息產(chǎn)業(yè)發(fā)展得越快，對(duì)信息安全產(chǎn)品的需求也就越大。在中國(guó)網(wǎng)絡(luò)安全產(chǎn)品的垂直市場(chǎng)中，政府、大中型企業(yè)仍占據(jù)最大市場(chǎng)份額，但市場(chǎng)份額同比有所降低；教育和家庭市場(chǎng)對(duì)于網(wǎng)絡(luò)安全產(chǎn)品的需求較為平穩(wěn)，市場(chǎng)份額變化不大。影響信息安全產(chǎn)品市場(chǎng)需求的主要因素有以下幾個(gè)：(1)信息本身帶給使用者的收益大?。菏找嬖酱?，要求保護(hù)的愿望越強(qiáng)烈，對(duì)信息安全產(chǎn)品的需求也就越強(qiáng)烈。(2)信息的流動(dòng)渠道暢通程度和被攻擊的可能性(外部環(huán)境的安全性)：渠道越暢通，信息資源共享越深入，信息流傳開(kāi)的可能性越大，損失產(chǎn)生的可能性也就越大，對(duì)信息安全產(chǎn)品的需求也就越大。(3)對(duì)信息安全產(chǎn)品需求還具有一個(gè)突出特點(diǎn)：對(duì)選定的往往希望它與其他各種信息產(chǎn)品具有兼容性。由此可見(jiàn)，信息本身對(duì)使用者收益越大、信息流動(dòng)越暢通、被攻擊可能性越大的用戶越可能成為信息安全產(chǎn)品市場(chǎng)的聚焦點(diǎn)。

2.信息安全需求本質(zhì)

（1)三分技術(shù)、七分管理。信息系統(tǒng)已經(jīng)成為政府及企業(yè)這個(gè)復(fù)雜系統(tǒng)中的神經(jīng)網(wǎng)絡(luò)。一個(gè)政府或企業(yè)，管理信息的機(jī)密性、完整性和認(rèn)證性深刻地影響著企業(yè)的生產(chǎn)經(jīng)營(yíng)管理。因此，現(xiàn)代政府和企業(yè)需要構(gòu)建和維護(hù)安全的信息系統(tǒng)，而這并不是僅僅依靠計(jì)算機(jī)技術(shù)人員就能夠完成的。信息安全主要是一個(gè)管理問(wèn)題，而不是技術(shù)問(wèn)題。

（2)無(wú)法測(cè)量，就無(wú)從管理。信息安全“三分技術(shù)，七分管理”的思想已被廣泛接受，然而在實(shí)際的安全實(shí)踐中，安全管理依然被人們忽視。導(dǎo)致這種局面的一個(gè)重要原因是安全管理的效果未能得到科學(xué)的評(píng)價(jià)。一方面安全管理的有效性難以評(píng)價(jià)，相對(duì)于安全技術(shù)，安全管理包括了眾多的非量化的難以測(cè)量的因素，所以評(píng)價(jià)工作難度較大；另一方面，人們過(guò)分依賴信息安全技術(shù)的實(shí)踐應(yīng)用，而對(duì)于安全管理的評(píng)價(jià)研究卻比較零散。

（3)安全問(wèn)題以“短板”為切入點(diǎn)。雖然制訂了較多的制度和標(biāo)準(zhǔn)，當(dāng)信息化發(fā)展到一定程度，這些制度就顯得很單薄，就事論事的管理方式必然會(huì)產(chǎn)生安全管理的盲區(qū)。

（4)動(dòng)態(tài)管理。在信息安全管理過(guò)程中，重點(diǎn)是抓好人員安全、風(fēng)險(xiǎn)評(píng)估、信息安全事件、保持業(yè)務(wù)持續(xù)性等重要環(huán)節(jié)，采取明確職責(zé)、動(dòng)態(tài)檢查、嚴(yán)格考核等措施，使信息安全走上常態(tài)管理之路。

三、藍(lán)海的定位點(diǎn)——信息安全管理軟件

近期，《Information Week》研究部和埃森哲咨詢公司合作進(jìn)行了第九年度“全球安全調(diào)查”，該調(diào)查全面揭示了商業(yè)計(jì)算環(huán)境所面臨的各種威脅。在受訪者當(dāng)中，有57%的美國(guó)公司表示在過(guò)去一年中曾遭受病毒攻擊，34%曾受到蠕蟲(chóng)的攻擊，18%經(jīng)歷了拒絕服務(wù)攻擊；而中國(guó)的情形更差一些，有23%的公司表示其客戶數(shù)據(jù)安全受到威脅，27%的公司遭受了身份竊取形式的攻擊，受訪的2193名安全專家和商業(yè)經(jīng)理中，58%的人認(rèn)為安全管理已成為當(dāng)務(wù)之急?？梢?jiàn)，信息安全需求主體必將對(duì)信息安全管理的軟件產(chǎn)品與服務(wù)產(chǎn)生迫切的需求。

針對(duì)安全管理的疏忽和漏洞統(tǒng)計(jì)及動(dòng)態(tài)處理的相關(guān)解決方案必將有極強(qiáng)的吸附性。實(shí)際上目前一個(gè)組織對(duì)信息安全政策的實(shí)施度、信息安全保障的實(shí)際效果等都亟需客觀系統(tǒng)性的評(píng)價(jià)，而軟件行業(yè)的解決方案將準(zhǔn)確高效的處理這些復(fù)雜的系統(tǒng)工程難題。

國(guó)際信息安全管理度量標(biāo)準(zhǔn)及模式開(kāi)始在我國(guó)被廣泛認(rèn)可。但信息安全管理標(biāo)準(zhǔn)是抽象的，因此在實(shí)施過(guò)程中需要選用那些已經(jīng)對(duì)其進(jìn)行充分量化的信息安全管理軟件，通過(guò)這些軟件，組織可以盡早的發(fā)現(xiàn)其內(nèi)部的信息安全管理中所存在的薄弱點(diǎn)和威脅，并制定出決策方案使其損失降至最低。目前國(guó)外較常用的ASSET、COBRA和Callio Secura 17799三款軟件。

信息技術(shù)及管理學(xué)科的人才力量。在科研人才方面，目前我國(guó)重點(diǎn)高校都設(shè)置了與信息安全相關(guān)的專業(yè)，在管理學(xué)科領(lǐng)域，也出現(xiàn)了一些依托互聯(lián)網(wǎng)技術(shù)而產(chǎn)生的新專業(yè)。從職場(chǎng)人才來(lái)看，我國(guó)已具備了一批有戰(zhàn)斗力的網(wǎng)絡(luò)警察、反病毒工程師、紅客(信息安全員)等。與此同時(shí)，我國(guó)組織了大量的信息安全領(lǐng)域?qū)＜?，成立了中?guó)信息協(xié)會(huì)信息安全專業(yè)委員會(huì)等，為領(lǐng)導(dǎo)和指揮我國(guó)信息安全產(chǎn)業(yè)的發(fā)展提供了穩(wěn)固的人才基礎(chǔ)。

參考文獻(xiàn):

[1]ISACA[S].IS Auditing Standards

[2]ISO/IEC 3rd WD 27004，Information technology-Security techniques -Information security management measurements[S]