中国网络安全产业联盟陈兴跃:大数据产业的发展安全是基础
(CWW)近日,由人民邮电出版社主办的“2017第四届中国国际大数据大会”在新世纪日航酒店举办,本届大会以“数据驱动,智能引领——共享数字经济新机遇”为主题,聚焦大数据全产业链创新与发展,务实推进大数据在各行业的落地应用,深化产业交流对接,引导产业与行业的融合合作,助推大数据产业务实健康发展。在大会现场,中国网络安全产业联盟秘书长陈兴跃就大数据安全做了主旨报告。
客观的讲,整个安全产业还在摸索的过程中,今年虽然谈治理稍早一点,明年这个时候更合适,但是大数据产业的发展安全是基础,没有一个强有力的安全技术能力保障,大数据产业很难发展起来,今天跟大家分享中国网络安全产业的一个情况。
当然,我们联盟目前也在推大的数据安全的一些工作和实践,我们现在跟贵阳市战略合作伙伴,也载帮助贵阳打造大数据安全的产业链。关于网络安全产业,特别是中央网信办就是国家网络安全和信息化小组成立以来,国家在网络安全方面的立法、战略、规划、标准各方面工作在进入加速的状态,特别是6月1号网络安全法的实施,前面4个部委在专项考察大型网站的个人数据和的相关条例,现在正在出台个人隐私和关键数据促进条例,以及相关基础设施网络的条件都在征求意见,相应法的配套也是有中央网信办进行了重点工作。这个会成为历史阶段的一个标准,一个新的起点,网络安全法作为行业的,把网络安全的责任体系,包括网络运营者安全的要求,包括安全责任进行了系统规范和要求。
总的来说,我们网企业目前发展是很活跃的,根据我们初步统计,截止到上个月,我们在沪深A股上市的网络安全公司约20家,新三板是119家,我们在资本市场还是很受追捧,整个增长的态势也常好。
从企业研发投入的情况来看,在大数据、云、态势这些重点领域,这是我们的网络安全企业,包括一些新兴的也很有潜力的一些安全企业重点投入和发展的方向。我们对行业中的主要的安全企业的技术和业务服务做了一个调研,企业最关注的技术,就是云计算、机器学习、人工智能和大数据的分析,大数据本身也是作为网络安全技术发展的一个重要的技术基础和产业基础。
我们联盟是2015年12月29日成立的,这是第一个网络安全产业,目前我们的会员数200多家,应该包括了国内主要网络安全企业。在国家层面,产业发展需要人才,国家在网络安全学科和人才培养上正在快速的推进,今天的网络安全周在上海主会场,我们有7个高校成为了网络安全重点实验室示范建设的院校。整体经济情况就不多捉了,相对来说,我们产业的发展远远领先的。
(PPT图示)就是一个汇总图,最偏红色的那条曲线是中国网络安全产业每年的增长率,相对平直的是全球的情况,大家看到我们从2015年开始算,近3年增长率超过20%,国际上相对平稳态势,这个速度我们在国际上也算是领跑。
另外,在国内的产业中来看,网络安全企业算是IT大产业中的一个技术门类,我们应该算在IT产业领域增长最迅猛的一个技术团队,最下面的柱状图是产业规模,确实我们网络安全现在也是产业中的一个大问题,就是产业整体的规模不够,没有形成一个强有力的产业基础来支撑国家的网络空间战略,保障我们信息化社会的发展。
(PPT图示)是区域的分布图,主要我们的产业区域分布还主要在发达地区,特别是沿海和东部地区占了半壁江山,西部很多地方一个是信息化程度不够,还有网络安全建设、运维和保障的意识非常欠缺。
(PPT图示)是按行业来分的,大家看到最大的是,第二大是电信,第三个是金融,这三个加在一起超过了50%,我个人理解电信和金融是准资产,因为它监管要求规范很强的细分市场,但是更大的像广大的商用市场特别是企业级市场安全还没有起动,或者是正在起动。所以说这个结构也凸现了现在我们整个全社会网络安全的意识,包括各级的网络运营者和互联网公司安全意识和投入的不足,这个情况我相信随着网络安全法配套相对应规范措施和一些全面的网络安全意识的提高,会得到迅速的改善,这也是未来我们产业发展的一个重要的新方向。
(PPT图示)这是我们产业的结构图,右侧这个丙图放为安全产品和安全服务两大类,我们安全服务这里面占比不到30%,大概28%点多,这个比例是稳中有加,国际上这个比例超过60%,国际上这个比例稳中有升,这就凸现出产业结构上不合理,我们跟企业向客户提供服务,核心目的是解决客户的安全问题,就是我们是向客户输送安全能力和安全价值,这个输送过程中体现我们产品和服务的价值,但是现在我们的市场大量成为了来买我们产品,这个产品本身并不解决问题,我们知道有一些企业买了之后,因为内部人员团队不能够支撑,很多产品就闲置甚至没有发挥作用,大家知道很多该投入的地方没有投入,这就导致我们的产业目前发生大的困境和问题。
对产业我们做了几个总结,安全肯定是一个政策导向非常显著的行业,现在从国家的网络攻坚战略到互联网+的发展战略,到做网络安全强国的目标,这些都需要安全产业的支撑,这里面有大量的产业需求。
另外,随着新技术的发展,特别是像云、物联网、虚拟化这些技术的发展,我们安全的边界会越来越模糊,产业边界也会越来越模糊,以前边界的方式现在可能这些传统的观点就不适用了。
第三个就是市场碎片化,就是安全这个行业虽然不大,但是他有一个特点就是它有非常多的资质认证的要求,各个相应的主管部门下面有它的资质认证,甚至到地方还有地方性的认证,我们叫一纵一横,这个就会导致整个市场比较破碎。在封建社会要过个河,过个线,封建社会很难形成产业,因为要素很难流通,一个产业基本要素不能流通的市场是没有办法做到产业化,我们网络安全行业现在就有这样的客户,我们看到在中华人民国网络安全法23条明确指出,针对网络安全关键设备和网络安全的相应的重要产品,提出支持、互认、减速的问题,这个实际上确实对网络安全企业这是一个比较大的,一个就是刚才我说的人为的把本身不太大的市场更加让它破碎,另外一个问题确实给安全带来了负担。
去年、今年我们在联盟内对安全企业做了一个专项调研,针对资质的问题,我们回收了大概50多个安全企业的有效的数据,我们计算了一下,平均下来每家每年在拿资质和配套的相应的人力成本加在一起,大概都是100多万,每家算下来超过100万,这个数字占到了这些企业当年的利润的10%略多一点。就相当于如果这些费用能减下来,他们收益会提升很多,我们说安全企业活的蛮辛苦。
第四个问题就是不规模化的,有点像小农经济的特点,小农经济最大的特点就是自洽,不是基于大的产业分工,他自己什么都不做,所以我们行业内这些大的企业,我们发现它的产品线同质化竞争的情况很严重,因为有很多知识在那里,有很多门槛,所以对于一些创新型的企业很难快速成长起来。因为它新的产品,新的技术出来之后还要拿一堆资质,那儿资质门槛也不低,所以就大量的贴牌,大量的OEM,这就导致产业效益低下。
我们现在主要问题和困难前面都已经提到了一部分,这边也有一个柱状图,这是2015年高的是全球,低的是中国,中国2015年就狭义的网络安全技术产业,包含舆情和内容安全相关的,就是网络攻防、加密等为核心的产业大概283亿人民币,这个做一个对比,同期的美国的山门杰克是65亿美金,这个比重也失衡于中国互联网产业在全球占的比例,我们现在已经是网络大国,不管从用户数量,互联网产业规模我们在全球的占比都常高的。某些像移动支付领域,我们毫不谦虚的来讲在领跑全世界。但是,同样的信息化我们习总讲网络安全与信息化是很高的,这在战略上是一个并重,我们产业份额比重远远低于互联网的比重,这也说明我们产业面临发展紧迫的压力。
这里面也做了几个总结,像这几条在信息化里面也有类似的情况,虽然我们叫重应用轻安全,我们也看过一些智慧城市一些项目的建设,大部分大家还是在完成信息化的工作,没有在这些规划中在前期就把安全作为核心,往往验收的时候发现安全还没有考虑到,我们于是在做一些补充。我们叫打补丁的安全,打补丁安全不能有效的解决安全问题。习总明确说安全是整体的、动态的、发展的。打补丁的方式做不到。
我前几天针对完全意识薄弱写了一篇文章,可能人也有,设备也有,但是最基本的安全运维领域,补丁不及时去打,系统的补丁软银已经发布了,运营人员不及时跟进,这就导致很多不必要的安全的损失。
另外一个是重合规、轻实效,我们知道现在有合规的要求,这些常好,有的企业就变成为做而做,这种掩耳盗铃的方式,有目的的黑客或者有组织的敌对下,这种不堪一击。
针对产业的情况这儿有一个对比的数据,我们选择了国内的比较领先的网络安全企业,国内网络安全巨头,世界的网络安全巨头和世界的互联网巨头,我们做两个数据的对比,一个是人均收入,一个是人均利润,我认为衡量一个企业强弱与否最关键就是看这两个财务数据,对比的情况首先看我们的网络巨头,我们界的互联网巨头对比,我们的人均收入和人均利润丝毫不输于对手,甚至我们个别主要还比他们好。同样国外的网络安全巨头和互联网巨头对比,他们这两个也是差不多的,就没有明显的差出几倍的情况,差百分之几十,我认为这都是都是比较正常的差异。
回到安全企业,人均收入大概是相当于国内互联网巨头和国际网络安全巨头大概1/5左右,人均利润就更差了,差不多是在1/6、1/7到1/10,这也意味着安全企业营收能力差很多,在国内或者国际上差很多,一个企业的营收能力不强,要大规模投入自主研发是不现实的,通俗的来讲,连问题还没有解决好,我想发达是很难的。
这导致了同质化竞争的问题,创新的能力或者创新的后劲不足,大家知道网络安全企业某种意义上是纯软问题,纯创性的企业,跟制造产业一点关系都没有,它的技术决定了它的安全能力,它的核心技术,这些必须要以踏踏实实静下心来做投入,而且持续性的投入。这里没有什么太多商业模式和创新点,也不像互联网公司,比如说像ofo这样的公司,他把共享经济模式占住头衔就可以了,这是经济上不犯错误。但是网络安全不是这样的,因为我们对手天天在成长,我们的那些来自于黑产灰产的对手们,他们没日没夜天天在琢磨怎么攻破你,所以我们必须要创新,所以我们必须有足够的创新的能力的投入,如果没有这个,这个产业未来的增长动力就会受到很大的制约,这就是我们最大的一个问题。
前不久,我参加了国家主管部门关于网络安全产业发展的一个内部研讨会,提了几点。第一就是目前中国网络安全产业目前的状况,还不足以成为支撑国家网络安全,支撑国家网络空间战略和支撑国家信息化发展强有力的产业安全基础的保障能力,他现在还不到。但是,我们这个产业发展是很快的,前面也讲了,我们这几年复合增长率超过20%,大概3年翻一番,这个在大的产业门类里面我们还常亮丽。
另外一个,就是我们这些网络安全产业还有一个特点,就是我们自主,中国人在这个领域里我们还是有很多从业者,有志向有情怀的人一直在坚守这个行业,我们还有一个特点就是我们在所有的网络安全相关的技术门类都活跃着我们自主、本土的网络金融公司,这个为支撑产业快速发展一个最好的非常宝贵的基础,这个基础绝大多数国家是没有,包括欧盟也不具备,这是中国引以为傲的。
第三个当我们网络安全产业成长成为一批以网络安全收入为主业达到百亿级人民币的时候,我们可以讲,中有了支撑国家战略发展,包括总说的两个百年发展目标的网络性产业的基础,今天我就给大家汇报到这里,谢谢大家!
推荐: