信息安全“行業”為什么那么小

信息安全行業發展的這10年的時間里，應該說技術已經有了一定的發展，但前景仍然不確定。

信息安全，附屬于IT行業，受制于IT行業的整體發展趨勢。目前來看還不能稱其為獨立的“行業”。由于信息安全產品的特殊性，要研發和銷售一個產品，需要拿N多部門的證照，條塊分割太厲害，不利于這個行業的發展。除了監管部門多以外，國家信息安全標準也不太健全。但近些年來國家對信息安全的重視程度有所提高，通過全國信息安全標準化委員會、中國信息安全認證中心等機構的成立，在基本制度和長遠發展上已經有了很好的鋪墊，我堅信這個行業會發展起來。

我國信息安全行業是從90年代后期才開始的，在這10年的發展道路上，伴隨著信息化的快速發展，信息安全有了一定的發展，然而相比較而言，其發展速度遠遠滯后于信息化的建設。

推動信息安全發展的主要動力來源于信息安全事件的發生。安全本身的一個特征就是防患于未然，然而我們的廣大用戶領導層基于幾個原因，沒有對信息安全產生足夠的關注，都是在以“消防員”的模式運行，第一，業務是任何企業的核心，因此，在IT的投入上都放在了基礎設施和業務開發上，殊不知已經將IT安全這個隱患悄悄的放在了其中；第二，從事信息安全的公司，“忽悠”成分太大，這一點我覺也是可以理解的，安全技術本身就不成熟，它的發展速度也滯后于計算機技術的發展，另外安全公司太小了，市場供求關系沒有建立起來，不去忽悠用戶，恐怕難以維持生計。

就此，拉開了“用戶不重視，安全公司亂忽悠”的長期局面。我經常做的一個比喻是信息安全就好比是病人去看病，哪里有“萬能藥”（安全技術產品）包治百病（信息安全問題）啊！大家的共識就是信息安全真的是太復雜了，不僅僅是技術問題，還包括管理等等。這句話估計大家已經聽的耳朵都生繭子了，說實在的這也是句真理，毋庸置疑，不必再講了。需要講的是怎么解決這個問題，我認為：安全公司是制藥廠，生產好自己的產品，治療某種或者幾種病，并且藥效比較好，那么你就可以長期生存和發展壯大；而醫院的工作應該交給專門從事安全咨詢服務的公司，咨詢服務公司把重點和精力都放在如何給用戶看病，如何開出處方，如何做手術。我堅信兩者分離是信息安全發展的必然結果。

信息安全行業發展的這10年的時間里，應該說技術已經有了一定的發展，但是技術發展前景仍然不確定。從成熟的老三樣安全產品，到不成熟的SOC/UTM等產品，其發展方向和利潤增長點都比較“虛”。從行業壟斷程度這個方面來講，我認為信息安全行業應該分為兩個大方向來看。其一，是從保護國家信息安全的角度，我認為應該建立“大壟斷”，保護國內信息安全公司的成長，設置國外公司進入的門檻；第二，值得慶幸的是，這個行業的市場結構是完全競爭，雖然資源是市場配置，但是大環境不太樂觀。

隨著我國加入WTO，各行業在不同程度上面臨著國外同業的競爭壓力。而在信息安全領域，目前國內的公司都比較小，只從信息安全產品和安全咨詢服務兩個方面來講，一個是信息安全產品，國外大的IT公司近幾年都在并購信息安全公司，開展這個業務。國外大的安全公司也紛紛進入中國，占領了絕大部分市場；另一個是安全咨詢服務，目前國外的信息安全市場是安全硬件產品、軟件產品和安全咨詢服務各占三分之一，而我國前兩者占據了幾乎99%的市場份額，咨詢服務免費贈送階段。雖然咨詢服務近兩年才有所增長，但是離國外的33%還有很大的差距，而國內的大的公司和企業這部分業務也是統統外包給了少數幾家國際咨詢公司，環境不變，前景堪憂。