中國的網路安全服務領域在國際上的競爭力詳情如何?
量化指標或國內外數據對比
我先介紹下國內的現狀,目前國內從事信息安全服務的企業可以大體上分為3類:
- 洋槍:四大+IBM、HP等外資企業;
- 土炮:綠盟、啟明星辰、天融信等民營企業;
- 游擊隊:各地網監、測評中心下屬企業,專業信息安全外包公司;
信息安全服務內容又可以大概分為3類:
- 滲透測試、安全加固、技術類風險評估等純技術安全服務;
- 安全管理體系諮詢、等保測評諮詢、SOX諮詢、ISO27001諮詢、安全體系規劃等管理規劃類的安全服務;
- 安全代維、遠程監控等賣人的服務。
第一類安全服務基本被土炮把持,也有小部分游擊隊參與,或者土炮拿下外包給游擊隊。
第二類安全服務高端客戶基本還是選擇洋槍,中低端客戶還是主要由土炮把持。第三類安全服務做的人就多了,除了洋槍不做游擊隊和土炮都做,甚至還有些軟體開發商也做。
洋槍確實在方法論、理念、項目管理等方面有非常大的優勢,國內的專業安全服務團隊一直都在苦苦掙扎中,現在各大安全廠商的服務團隊都基本散了。賣服務哪有賣產品來錢快,還費時費力。以前服務團隊的骨幹要麼去了甲方,要麼去了洋槍隊。 國內安全公司在第一類安全服務還有點積累,第二類基本都靠忽悠了。Roy Li說的雖然比較絕對,但是對的。中國在特定的技術上面,還有有不少牛人的,但是產品整體就要差一些了,更加強調體系性的服務就差距更大了。
目前,即使華人在國際上成立的公司,也是以產品取勝的,比如NetScreen。目前還沒關注到以服務取勝的國際型公司。這方面,以色列做得不錯。完全沒有競爭力。 網路安全這個市場早幾年謝青就說過了,在國外都沒有一家可以獨大,能有15%的份額就可以上市。
在中國企業級的網路安全靠關係,個人級的網路安全只能做免費產品圖謀其他盈利模式。
噹噹, 世紀佳緣這樣的上市公司都可以被拖庫就能看出來國內這種公司自己招募的散兵游勇級的安全團隊能力有多差了。
知道創宇是我目前最看好的一個,可惜還在位A輪融資掙扎。首先,這個問題就有一點點奇怪,因為一般要麼比較產品,要麼比較技術,至於題目中的網路安全服務我覺得是難以比較的,除非有更細的要求,安全諮詢不是我的菜,就技術工作簡單談談。
安全服務其實有很多種,@趙偉 說的那種服務一般說的是乙方安全廠商 到甲方做一些安全諮詢,評估或者加固之類的工作。
而在國外一些有技術實力的公司的個人一般會給客戶提供以下幾種類型的安全服務:1.滲透測試說白了就是授權的攻擊測試,授權安全公司/個人對自己的重要資產進行安全評估,以發現安全漏洞,屬於黑盒測試。2.漏洞挖掘
這個屬於高端的安全服務,也就是幫客戶發現其系統中的漏洞,行內簡稱0day漏洞,一個稀有的0day漏洞幾乎是無價之寶,可以在互聯網中掀起一陣腥風血雨。至於以上這兩個工作的比較,國外的做的好一些。
歡迎補充。從信息安全服務的領域來說,國內公司在國際上非常缺乏競爭力的。這不光是技術的問題,而是觀念和文化的問題。技術上的差距可以通過引進、合作和學習進行彌補,所以國內安全產品和國際上優秀產品的差距並不是特別大。
但是,安全服務,特別是高端的諮詢服務,提供的是體系、理念、管理、道德等軟性的東西。國人在這方面和國際的差距是很大的。國內的安全服務市場也不是很認可體系諮詢的價值。
國內的:沒在安全公司呆過,不過通過接觸的幾家安全公司和安全公司的朋友們了解知道,國內安全公司所提供的服務基本有兩種: 1.提供所謂的安全諮詢服務,這個主要是以滲透測試為主,另外就是單獨的直接賣安全產品。2.曾幫朋友公司做過諮詢服務支持,效果還是很明顯的,不過執行起來根據各被諮詢公司執行能力而定了,提供一個強悍的安全解決方案,執行不下去這個就不是安全公司的問題了。3.國內提供安全服務的公司的主要客戶是zf客戶,為zf客戶提供安全諮詢服務,然後賣產品,提供所謂的整體的解決方案,最終效果就是買一堆設備堆砌一個防護網,實際效果並不明顯,該被黑還是一樣被黑。4.國內安全做的好的互聯網公司都是靠自己組件的安全團隊來組建起來的,比較有名的有騰訊、阿里巴巴等。5.國外的公司產品接觸過幾家的,就技術實力上來說,做安全產品還是要比國內的做的好的,國內很多公司的安全產品基本都是copy來的。6.國外公司的安全服務沒接觸過,不做評價。7.國外公司的安全,從最近sony被黑n多次可以說明,沒有絕對的安全。
啥都沒,幾乎就是空氣,活著的都是做產品的。
國內這塊基本沒什麼市場,主要是我國目前來說在安全領域這塊沒什麼強制性措施,比如美國sox帶來巨大的市場,我國只有GBT。
國內一些有隱憂的企業,比如說啥保險業,財經業啊,特別擔心數據被盜啊,內部泄密啊,他們會去做個iso27001/等保之類的合規,但是這市場太小了。
IT口這塊,傾向自己做安全,被黑也心甘,邏輯很奇怪吧,但是大多數IT企業就是這樣的。政府口這塊,採購受限制,而且這市場水特別深,你們懂的,剩下的市場大家就殺吧。。。。市場總量不大,所以做服務的企業都是大不起來的。還有一些是國外企業在國內的site,這些企業需要安全服務當然不會首先考慮國內公司。。。大部分此類市場都給四大和HP,IBM拿去了,而國內企業基本上只剩下一些做產品的,也就是@lupin 寫到的第二類廠商了,為毛呢?因為光光做諮詢服務,誰能養的下來隊伍(四大可以,不過人客戶多,而且還是做審計多,每年都有子子孫孫無窮盡),諮詢完了要實施肯定要採購設備,服務,這時候HP,IBM的優勢就很大了,因為他們有比較完整的安全產品線,雖然殺毒/防火牆/網路設備基本不摻和,但是ibm們的優勢還是很大的(我想說HP優勢大。。。。但是我是混IBM這頭的,囧)。
由於規範要求不嚴格,所以形成了一種類似以葯養醫的局面...........也是很無奈的局面,但是對比十年前提到網路安全 = 殺毒,已然有很大的進步了。列一下吧,可能跟樓上有重複的:1、網路安全行業(乃至整個信息安全行業)還沒有形成良好的盈利模式,國內的幾大廠商基本都是設備供應商,當然也有的為了賣自己的安全設備搞了系統集成資質做項目,然後做項目的同時把自己的設備賣掉,聽著就夠繞的。盈利模式的單一導致這個行業競爭異常激烈,通常幾個「巨頭」跟一堆蝦米搶一個小項目;2、網路安全廠商的痛楚:常作為乙方的乙方,因為客戶不會直接買一堆網路安全設備,通常都是在建設應用系統的同時才需要網路安全設備。整個項目往往被一些大的應用廠商拿到,比如中軟、神州數碼等,應用廠商再去找網路安全廠商,殺他的價,應用廠商拿著網路安全廠商的設備賺一鼻子,網路安全廠商很委屈,但沒辦法;
3、不能給客戶帶來直接的利益,很難得到客戶的認可,默默無聞的工作特點很難引起客戶的重視;
4、在殘酷的行業競爭環境下,一些安全廠商沒有道德底線,什麼便宜用什麼,導致了整個行業不能為客戶所認可;暫時就想到這些。個人認為信息安全也是價值取向的,很多抱怨是由於沒有找到自己對用戶或產業鏈的價值。比如說安全諮詢,目的是什麼?是在客戶系統里一陣溜達,然後告訴客戶你該裝IDS,防火牆嗎?這樣的諮詢專家滿街都是,客戶也不會在乎。如果你說客戶準備就掏100萬,那你這100萬怎麼分配能讓用戶獲得最大的安全收益,客戶就會感興趣,你的價值就體現了。企業也一樣,加一堆安全設備,就能防住APT嗎?人家是合法用戶混進來的啊。所以SOC能防住APT嗎?安全分析基礎是能覆蓋的數據,數據覆蓋到哪,安全分析才能到哪?如果你的安全分析能跨安全數據、業務數據、審計數據,甚至是其他數據,那才能和客戶說我可能能防住APT,或至少能時候分析出APT的路徑,於是企業的價值才有。如果都去做SOC,或簡單的打通協議,然後架在大數據上,就說是個安全分析,怎麼能賣的掉?
不是非常樂觀。首先,是中國文化認識上有誤區,安全人員往往被認為是搗亂的。其次,現在靜下心來討論安全的環境不多。另外,盈利模式不是很明顯,換句話說,這方面的人並不是所有的互聯網企業都認可,雖然理論上是很需要的。
3年過去了大家對這個話題的看法有更新嗎?
請問下 樓主指的四大是?
國內市場目前太小,大的安全公司一年 10 億人民幣收入,估計還比不上「海底撈」。未經證實的數據說:2012年海底撈75家門店利潤率超過10%,營業收入為31.27億元,同比增長了54%。
這種程度上追求什麼量化指標沒太大意義。實力是市場決定的,什麼土壤生長什麼花朵,我其實見過很多很好的安全諮詢和安全服務人員,但是國內劣幣淘汰良幣,經常和服務或者諮詢人員聊天很多情況讓人心寒膽顫
在中國安全領域,仍然是個人是龍,整體是蟲的現實。如果就安全服務來說,同意 馬傑的回答,以色列做的比較好,而中國在這個方面基本上沒有競爭力。
推薦閱讀:
※如何看待《[坑]00後白帽子寫給山東數游網路科技的一封信》 ?
※你對阿里雲10月11號下午出現 IO hang有什麼看法?
※XcodeGhost 事件中,迅雷的污染事件是怎麼做到的?
※黑客為什麼可以做到無需知道源碼的情況下找出系統漏洞?
※學習網路安全時遇到瓶頸了該怎麼辦?
TAG:網路安全 |