我國信息安全管理軟件前景探究

[摘 要] 研究了我國信息安全市場的現狀與不足、行業需求特征與本質，并分析了信息安全管理軟件的市場前景與藍海定位點——安全管理的測評軟件。

[關鍵詞] 信息安全市場 管理軟件 藍海定位點

在國內隨著信息安全產品成為炙手可熱的焦點，網絡設備廠商與專業信息安全廠商之間戰火重燃。從此前的思科、H3C進軍安全市場，到2006年百度以“整合資源”的方式高調進人，可以看出更多的網絡企業越來越關注信息安全產業。不能否認，這對于當前整體安全領域的形勢是有利的，但網絡設備廠商與專業安全廠商之間的競爭，對于先占市場先機的專業安全廠商仍是一個嚴峻的挑戰。因此，身處競爭激烈的信息安全市場的專業安全廠商，應如何恰當地選擇屬于自己的“藍海”，延續在信息安全市場的些許優勢尤為重要。

一、信息安全市場現狀

在網絡安全產品的平行市場中，政府繼續保持了市場份額第一位，電信和金融行業的市場份額分列第二和第三位，這主要得益于電子政務市場保持高速的增長，而電信、金融等行業的信息化建設相對放緩。從各類IT安全產品部署情況來看，“防病毒系統”、“防火墻”、和“入侵檢測與防御系統”仍然是最常見的安全產品。在2007年，SSL VPN在用戶得普及程度也逐步擴大，已經有接近15.2%得用戶部署了SSL VPN產品。而對于一些高級的安全產品，比如“企業資源管理”和“系統漏洞評估系統”等，部署的用戶則較少。

二、信息安全行業本質

1.信息安全市場需求特征

從需求方而言，對信息安全的迫切需求，即在信息廣泛流通而導致的巨大風險時，就有了對信息安全的需求。因此，信息產業發展得越快，對信息安全產品的需求也就越大。在中國網絡安全產品的垂直市場中，政府、大中型企業仍占據最大市場份額，但市場份額同比有所降低；教育和家庭市場對于網絡安全產品的需求較為平穩，市場份額變化不大。影響信息安全產品市場需求的主要因素有以下幾個：(1)信息本身帶給使用者的收益大小：收益越大，要求保護的愿望越強烈，對信息安全產品的需求也就越強烈。(2)信息的流動渠道暢通程度和被攻擊的可能性(外部環境的安全性)：渠道越暢通，信息資源共享越深入，信息流傳開的可能性越大，損失產生的可能性也就越大，對信息安全產品的需求也就越大。(3)對信息安全產品需求還具有一個突出特點：對選定的往往希望它與其他各種信息產品具有兼容性。由此可見，信息本身對使用者收益越大、信息流動越暢通、被攻擊可能性越大的用戶越可能成為信息安全產品市場的聚焦點。

2.信息安全需求本質

（1)三分技術、七分管理。信息系統已經成為政府及企業這個復雜系統中的神經網絡。一個政府或企業，管理信息的機密性、完整性和認證性深刻地影響著企業的生產經營管理。因此，現代政府和企業需要構建和維護安全的信息系統，而這并不是僅僅依靠計算機技術人員就能夠完成的。信息安全主要是一個管理問題，而不是技術問題。

（2)無法測量，就無從管理。信息安全“三分技術，七分管理”的思想已被廣泛接受，然而在實際的安全實踐中，安全管理依然被人們忽視。導致這種局面的一個重要原因是安全管理的效果未能得到科學的評價。一方面安全管理的有效性難以評價，相對于安全技術，安全管理包括了眾多的非量化的難以測量的因素，所以評價工作難度較大；另一方面，人們過分依賴信息安全技術的實踐應用，而對于安全管理的評價研究卻比較零散。

（3)安全問題以“短板”為切入點。雖然制訂了較多的制度和標準，當信息化發展到一定程度，這些制度就顯得很單薄，就事論事的管理方式必然會產生安全管理的盲區。

（4)動態管理。在信息安全管理過程中，重點是抓好人員安全、風險評估、信息安全事件、保持業務持續性等重要環節，采取明確職責、動態檢查、嚴格考核等措施，使信息安全走上常態管理之路。

三、藍海的定位點——信息安全管理軟件

近期，《Information Week》研究部和埃森哲咨詢公司合作進行了第九年度“全球安全調查”，該調查全面揭示了商業計算環境所面臨的各種威脅。在受訪者當中，有57%的美國公司表示在過去一年中曾遭受病毒攻擊，34%曾受到蠕蟲的攻擊，18%經歷了拒絕服務攻擊；而中國的情形更差一些，有23%的公司表示其客戶數據安全受到威脅，27%的公司遭受了身份竊取形式的攻擊，受訪的2193名安全專家和商業經理中，58%的人認為安全管理已成為當務之急。可見，信息安全需求主體必將對信息安全管理的軟件產品與服務產生迫切的需求。

針對安全管理的疏忽和漏洞統計及動態處理的相關解決方案必將有極強的吸附性。實際上目前一個組織對信息安全政策的實施度、信息安全保障的實際效果等都亟需客觀系統性的評價，而軟件行業的解決方案將準確高效的處理這些復雜的系統工程難題。

國際信息安全管理度量標準及模式開始在我國被廣泛認可。但信息安全管理標準是抽象的，因此在實施過程中需要選用那些已經對其進行充分量化的信息安全管理軟件，通過這些軟件，組織可以盡早的發現其內部的信息安全管理中所存在的薄弱點和威脅，并制定出決策方案使其損失降至最低。目前國外較常用的ASSET、COBRA和Callio Secura 17799三款軟件。

信息技術及管理學科的人才力量。在科研人才方面，目前我國重點高校都設置了與信息安全相關的專業，在管理學科領域，也出現了一些依托互聯網技術而產生的新專業。從職場人才來看，我國已具備了一批有戰斗力的網絡警察、反病毒工程師、紅客(信息安全員)等。與此同時，我國組織了大量的信息安全領域專家，成立了中國信息協會信息安全專業委員會等，為領導和指揮我國信息安全產業的發展提供了穩固的人才基礎。

參考文獻:

[1]ISACA[S].IS Auditing Standards

[2]ISO/IEC 3rd WD 27004，Information technology-Security techniques -Information security management measurements[S]