据此前中国证券报报道,中国网安的目标是2017年收入超过100亿元,净利润超过10亿元。未来不排除集团部分子公司进入上市公司,也不排除通过兼并重组形式,整合社会资源,最终实现资产证券化。
在上述会议上,李成刚曾公开表示,“中国的信息安全界有数千家企业,但是目前还只是一片草地,像中国网安、启明星辰、中国电子等也只是这块草地上长得比较高的几颗草而已,还没有树,更没有参天大树,所以我们希望中国网安成为参天大树。”
打造全产业链战略
对于正在准备定增计划的卫士通来说,融资的目的已经初步显露。李成刚曾表示,网络安全产业发展资本的力量作用明显,很多企业都是通过资本运作的方式来对外实现资源整合。
长江证券此前的研究亦指出,中国电科组建中国网安大力发展信息安全产业,同时四川省强力支持,中国网安的愿景是打造中国信息安全的旗舰企业,而公司作为电科集团旗下唯一的信息安全上市平台,将充分发挥平台整合作用。
卫士通的发展战略,从中国网安的布局中亦可以窥探一二。李成刚透露,中国网安将构建信息安全产品、安全信息系统、信息安全服务与测评、安全运营及系统安全集成五大业务板块,成为国内最大的集网络安全技术、产品、服务、运营为一体的综合供应商。“我们搞的是互联网++,是互联网+应用再+安全,安全是互联网任何地方都离不开的。”李成刚透露,中国网安7大新业务领域包括云计算安全、网络监督预警、移动互联网安全、工业控制系统安全、自主高安全网络与信息系统、安全运营服务、物理电磁安全。
全产业链一体化供应商战略也是卫士通的发展方向。2014年,公司通过重大资产重组,收购三零盛安、三零瑞通和三零嘉微三家信息安全企业,形成从芯片到模块、从单机到系统的信息安全完整产业链。
2014年,卫士通实现主营业务收入12.36亿元,增幅60.45%,归属于母公司所有者的净利润1.19亿元,增幅62.17%。因重组标的企业纳入卫士通合并范围,公司产值规模由2014年的4.58亿跃升至2015年的12.36亿,增幅高达170%。
公司样本2
“民营队”绿盟科技:从卖产品到卖服务 向“平台化”进军
◎每经实习记者 吴林静
六月初,第二届国家网络安全宣传周上,绿盟科技(300369,SZ)网站安全预警与检测平台首次亮相,通过该平台,能达到事前防微杜渐的目的。
云安全服务正在快速升温,通过技术创新,绿盟科技谋求转身平台化服务。其技术水平已得到业内认可,据2013年IDC报告,在安全软件厂商的竞争力展望中,绿盟科技位居中国首位。
在外界看来,以绿盟科技等“民营队”为代表的企业将与“国家队”瓜分市场。面对强有力的劲敌,绿盟科技通过技术快速迭代,同时以“企业级客户”为主打,摸索出差异化竞争的路线。
绿盟科技证券代表杜彦英接受《每日经济新闻》记者采访时表示:“对于‘国家队’这个竞争对手感受不明显,公司服务的是市场化程度较高的企业级客户。”
提供平台化整体服务
信息安全是技术密集型行业,技术与研发水平成为灵魂。
据2014年年报显示,绿盟科技的研发投入1.6亿元,占营收的22.91%,在以往较高比例的基础上略有增加,将继续巩固其技术优势。
依托技术研发和持续创新,绿盟科技逐渐形成了网络入侵检测/防御系统、抗拒服务系统、远程安全评估系统等组成的网络安全产品及服务体系。其领先的研发优势也受到了信息安全行业的认可,2013年绿盟科技获“国家漏洞库一级技术支撑单位”。
本月初,在第二届国家网络安全宣传周上,绿盟科技现场展示了基于SDN技术的云环境下恶意行为监测系统,并首次展示网站安全预警与检测平台。“技术人员基于此平台对用户安全进行7×24小时的监控,若是出现攻击行为,将排查平台上其他用户的风险,遏止传染性爆发。”杜彦英告诉《每日经济新闻》记者,随着互联网+时代的到来,市场倾向寻求智慧安全、一体化解决方案,“向云安全平台的转化也顺应了市场走向,我们将根据用户的具体业务,提供完整的解决方案”。
早在2012年,绿盟科技首席战略官赵粮就曾提出,“充分利用云计算技术和思想来创建或变革现有的安全防护技术和产品”。杜彦英对记者表示,“公司是国内第一家进入云计算和云安全领域的网络安全厂商。”安信证券更是将其定义为“信息安全云交付模式的开创者”。
云安全服务正在快速升温,“谁能在平台化、大数据化、服务化的技术上有所突破,谁就将赢得市场。”一位从业近20年的网络安全专家告诉记者。
然而从其2013、2014年报的主营业务构成中,记者发现,其安全产品占比仍然较大,分别为72%、75%;安全服务在营收中占比略有下降,分别为27%、24%。从卖产品向提供平台化整体服务变身,看来还有一定的过程。
寻求差异化竞争
2000年就成立的绿盟科技,是最早进入信息安全行业的企业之一。2014年1月登陆资本市场,其成长性被外界看好。然而,与“国家队”企业相比,“民营队”在资源、资本、技术方面都有差距。
面对“国家队”和同行抢食蛋糕,绿盟科技正在摸索差异化竞争路线。
以卫士通为例,其在2014年报中表示,“将继续重点开拓政府、军工、金融、能源等与国计民生相关的领域”。相比之下,绿盟科技定位为“企业级网络安全解决方案供应商”,避免了与其正面厮杀。
绿盟科技年报显示,2013年分行业收入排名中,政府占25%,运营商占25%,金融占17%,能源占9%,并逐步在电信和金融两大安全领域站稳脚跟。绿盟科技下游行业覆盖更广,业务增长不单单依赖于政府的需求拉动。
近年来随着中小企业信息安全意识的提高,绿盟科技还在直销之外,开启了代销模式。绿盟科技表示,去年上半年签约了32家区域总代理,扩展了销售渠道。此外,由于在入侵检测和入侵防御方面深耕多年,如今借助网络完全预警和检测平台,绿盟科技有意从传统安全设备厂商向平台化整体服务转变。
杜彦英对《每日经济新闻》记者表示,“企业实现的应该是商业行为,对于‘国家队’这个竞争对手感受不明显。公司服务的是市场化程度较高的企业级客户。”
“对企业来说,网络安全是成本一部分,每年的支出相对固定。”杜彦英告诉记者,这会使绿盟科技在这一块的营业收入不会爆发性增长,公司的对策则是不断开拓新行业,发展新用户。
用户对于网络安全的认知也是影响其市场扩张的因素。杜彦英表示,“目前国内的客户更倾向于买你的安全设备,把盒子放在企业,进行安全防御,就放心了”。绿盟科技表示,除了卖产品,希望企业提高对“持续性整体服务”的接受度。
公司样本3
“BAT队”阿里网安:告别“裸奔”变身“神盾局”
◎每经记者 丁舟洋
不久前,阿里巴巴对国内网络安全公司韩海源的收购,引发了业界的讨论——阿里为何会收购一家安全公司?
事实上,作为互联网行业的先行者,以阿里巴巴为代表的互联网巨头们,布局网络安全业务已久。阿里巴巴的安全部门也被人们称作是阿里巴巴最神秘的部门“神盾局”。阿里的网络安全算盘是什么?“神盾局”又是如何运作的?
近日,《每日经济新闻》记者(以下简称“NBD”)专访了阿里巴巴安全研究实验室总监云舒,他大学本来学的是经济类专业,却因为喜欢网络安全而果断肄业,投身网络安全的浪潮中。在2009年阿里云成立之初,他加入阿里,负责云安全设计。2014年阿里成立了安全事业部,云舒又加入其中,负责安全研究实验室的工作。
阿里网安曾裸奔4年
NBD:网络安全是一个要花钱但不容易赚钱的业务,所以很多公司最初对网络安全不重视,阿里是否也经历过这样的阶段?
云舒:阿里是1999年成立的,但直到2002~2003年才有安全方面的人才进来,中间大概四五年时间处于网络安全裸奔状态。最开始是大家不了解有网络安全这个东西,后来知道了,但觉得是花钱的东西不愿意去做。后来重视了又肯花钱了,但也经过一两年的时间才完全做起来,直到现在做得比较好的这个阶段。
当初,我们在公司也会做一些安全策略、制度建设方面的东西,还有员工出来吐槽说,阿里的安全部权力很大又管得很宽,所以阿里的安全建设是用强力手段来推动的。
阿里的安全部也曾是一个比较边缘的部门,到现在才成为地位很重要的一个部门,职员有1000多个,首席风险官直接汇报给集团CEO。而且,经过了长时间的建设,我们已不仅仅是一个部门的概念了,更像是一个安全公司,连做安全产品销售的职务都有。
NBD:阿里是如何建设自己的网络安全人才队伍?
云舒:近年来,阿里持续用重金网罗全国的顶尖“白帽子”群体,可见如今对安全人才非常重视。除此以外,我们还会到高校去寻找人才。我也时常到全国各大高校去宣讲,看到不少同学都对网络安全行业充满热情。
但我们在招募的过程中,也确实发现大学里信息安全专业学科才刚刚起步,学校教的偏理论、缺少实践课程。所以我们也经常和学校沟通,和很多高校联合起来做阿里巴巴技术联盟,去引导学生,带领他们走有实际效果的方向。
生产物联网安全产品
NBD:阿里安全研究实验室主要做哪几方面的业务?
云舒:首先是研究最新的攻击和防御手段,这块是我们一直保持不丢的业务,也是根基。
在此基础上,我们会看未来3~5年的行业方向,围绕这个方向去做研究。比如我们看到可穿戴设备和智能家居是未来的一个重要方式,这技术趋势就是从PC到移动端到物联网的必然发展结果导致的,所以我们现在做物联网智能家居的安全产品,目前已经有几个国内大型智能家居企业和我们合作,用我们的安全产品。
另外,现在很多安全服务都是针对技术层面的,业务层的风险控制被忽视掉了。举例而言,如果有人在网站上恶意注册账号、恶意点赞等,就会扰乱你网站的正常业务和信用体系。比如某些音乐网站,就可以通过操作大量账号投票的方式,把一个音乐顶上去。防止恶意操纵的方式,就是业务层的风险控制,而管理员对这种业务层的行为了解得比较少。
阿里有维护淘宝10多年的经验,对淘宝、支付宝交易的风险控制有充分的优势,所以我们也会通过机器、模型、策略等方式,来做业务层的安全服务,现在国内能做这块的还不多。
NBD:看来阿里的安全业务,已不仅是保护阿里自己平台上的客户了,还可以外延到更广阔的市场上去赚钱?
云舒:没错,我们的阿里云盾就有相当不错的收入,但具体多少现在还不能说,也许明年就可以说了,总的来说安全业务能给阿里带来可观的收入。
人物专访
四川大学计算机网络与安全研究所所长李涛:民企也可争当信息安全“国家队”
◎每经实习记者 吴林静
网络安全行业的“小草”、“大树”之争正在上演,有企业争当年营收50亿元的龙头,有的希望做细分行业的尖兵。那么,行业里的“国家队”和“民营队”各自有什么优势?政策这根指挥棒该往哪儿指?
近日,四川大学计算机网络与安全研究所所长李涛在接受《每日经济新闻》记者(以下简称NBD)专访时表示,“国家队”是能够拿出代表国家实力、解决国家安全问题的队伍,而不是狭义指代国企、央企。在企业的定位上,李涛认为,龙头企业注重信誉,小企业在专业技术上突破,更适合彼此发展。
谈及网络安全的人才培养,李涛提出需要“规范化”,技术精英缺乏思想教育,培养出来的或许是“定时炸弹”。
信息安全产业薄弱
NBD:有统计显示,截至2014年底,在已经上市的几家安全公司中,未有出现市场占有率超过10%的企业。为什么会出现这样的格局?
李涛:我国的网络安全产业,包括一些上市公司,规模都不是很大。这是客观存在的问题,也反映出信息安全比较薄弱,需要大力培养高水平的信息安全队伍。最近,中央提出打造信息安全“国家队”,加强国家信息安全产业,通过国家队的帮助,带动信息安全产业的发展。
企业规模相对较小也有产业本身的原因。从国际上看,从事信息安全产业的公司,比如美国的赛门铁克规模也较小。
与我国类似,美国也有很多小的从事信息安全的公司,主要原因是信息安全用户的需求多样化。政府、企业、个人的需求都不同,用户的资金实力也导致需求不同,一个公司要想满足所有的安全产品需求很困难。信息安全是一个平衡问题,你越要安全种类就越多。
另外,不像IT行业其他领域有很成熟的模式,包括产品的研发、生产、销售到推广,信息安全行业还没有非常固定的模式。
NBD:您提到打造信息安全“国家队”,未来是否有“国家队”和“民营队”之分?
李涛:“国家队”的概念很容易让人误会,带“国”字头的是信息安全的“国家队”,这种理解很片面。
我们所说的信息安全“国家队”,是国家呼唤一批代表国家实力的一些公司,能够解决国家问题的信息安全队伍。就像体育比赛,国家队和省队、市队、县队的区别。从产品服务来看,更多是技术层面的区别。
中国电子产业集团、中国电子科技集团等很多央企都还处于争当信息安全“国家队”的阶段。这些企业在政策、资源、资本上有一定优势。但是,也不可以小视民企,它们的创新机制更加灵活,比如华为、阿里巴巴等。从某种意义上看,他们也代表了国家水平。
我认为,信息安全“国家队”不是狭义的国企、央企概念。现在国家的政策比较好,大家都可以去争当信息安全的“国家队”,提高国家信息安全的技术、产品和服务水平。
信息安全产品必须国产化
NBD:企业分层发展和全产业链布局,哪一种更适合未来的网络安全行业?
李涛:个人觉得信息安全市场现在比较混乱,未来5~10年会沉淀下来。有些公司可能会消失,有的会崛起。不过,现在对信息安全龙头企业的划分,没有定论。
这个与信息安全的特点有关。首先,要信誉好,别人才来请你来做安全防护。其次,这个市场具有排他性,中国的信息安全企业要进入白宫肯定不行,反之亦然。从某种意义上说,国内外企业在市场层面正面交锋的可能性越来越小,但保护国家安全的对抗会越来越激烈。
我认为,现在的需求过于广泛,中小企业应在自己擅长的方面做好研究。比如,在我国灾难备份方面,成都一家企业就做得非常有特色。
NBD:我国的网络安全行业是否需要政策先行?
李涛:国家政策在一些关键领域采取了行政干预方式,涉及国家部门、央企、银行、金融、证券、交通等领域。为了保障国家安全,信息安全行业的产品必须国产,即使投入大点也是值得的。通过政策引导,实现信息安全产品的国产化。
NBD:相比国际水平,我们在技术上还有一定差距,该如何解决?
李涛:实际上,最重要的是人才问题,现在信息安全人才还是比较缺乏,国家需要加强这方面的宣传和培养,尤其是这方面的企业。我建议,一定要加大投入,否则会严重影响我国的信息安全。
NBD:一位“白帽子”黑客说国家对他们的身份认同存在尴尬,您如何看待网络安全人才培养?
李涛:怎样培养出真正对国家有用的人才非常重要,培养需要规范化。打个比方,训练军人不光是要求军事素质过硬,还要在政治思想上进行教育,否则训练出来的不一定是保卫国家的人才,可能变成“定时炸弹”。
李涛:最重要的是人才问题,现在信息安全人才比较缺乏,国家需要加强这方面的宣传和培养,尤其是这方面的企业。我建议一定要加大投入,否则会严重影响我国的信息安全。
人物专访
“白帽子”黑客张瑞冬:互联网用户安全意识薄弱是最大风险
◎每经记者 丁舟洋
在信息安全领域中,所有研究智取计算机安全系统的人员统称黑客。但在黑客的世界里,又有“正”与“邪”两个阵营,分别是以破坏网络安全来获取个人利益的“黑帽子”和维护网络安全的“白帽子”。
22岁的张瑞冬创建的“白帽子”团队,长期居漏洞查找排行榜首位。一次次漏洞曝光,奠定了张瑞冬团队在圈内的“牛人”地位。
近日,《每日经济新闻》记者(以下简称NBD)在成都专访了这名年轻的黑客。在张瑞冬看来,“白帽子”们最大的优势,就是通过模拟恶意黑客的攻击方法,监测网络系统的实际安全性,提前发现漏洞或缺陷,并进行必要的修补。
自学成才的“白帽子”
NBD:能谈谈您的“白帽子”成长史吗?
张瑞冬:我可能不是钻研程序和代码的“黑客男”,玩的更多是逻辑性的东西。13岁去银行取钱时,我发现ATM机的程序有一个逻辑漏洞,可以让人取钱以后银行卡的余额不改变。
比如,取1000元,我拿走其中9张留1张,90秒以后系统会显示超时并把这一张收回去,但系统在收回去的过程中是没有做点钞机制的,显示的余额没有减少。这就是典型的业务逻辑漏洞,后来我帮助银行解决了这个问题。
NBD:“白帽子”们往往非常年轻,而且大多都不是学计算机的,您怎么理解这一现象?
张瑞冬:的确如此,以我们团队为例,10多个人中,只有两人有大学以上学历,一个是生物学博士,一个是物理硕士。其余人基本是初中、高中学历,我自己只有初中文凭。据我了解,BAT的安全部门中有一半的技术人员都没有大学文凭。
我们这群人大多从小就对电脑网络感兴趣,通过阅读相关书籍和大量的实践与思考自学成才。高校里的网络安全培养方式理论性太强,而且往往是正向思维,缺乏用攻击思维来防守的实践课程。
NBD:您怎样理解黑客从事网络安全的特点?
张瑞冬:传统的安全产品,是用防御类设备对抗攻击设备,但毕竟设备的匹配规则是死的,攻击者可以绕过设备。所以,传统的设备已经拦不住攻击者。
我们这群“白帽子”黑客非常熟悉“黑帽子”的行为,可以完全模拟“黑帽子”的行为,找到脆弱点,然后提出一套完整的修补建议,漏洞修补后再测试。
用户安全意识差
NBD:人们一提到黑客就会联想到网络破坏,这种误解会对网络安全人才队伍的发展产生不利影响吗?
张瑞冬:公众对黑客的理解确实有些误解,黑客本身不是一个负面形象。在我看来,黑客就是对技术的极致追求,发现问题、质疑权威、充满好奇。我喜欢钻研逻辑问题,想刨根问底研究系统中有没有逻辑漏洞,这就是黑客思维。黑客这个称号是对技术的极大肯定,我非常乐意别人叫我黑客。
事实上,黑客群体中的网络安全高手辈出,高校里的培养方式实用性不够强。我们团队曾做过几次实践类型的安全培训,白天在乌云网上找一些漏洞案例来讲解,晚上带大家实战。但这些实战也不是真正去黑别人,我们写一套系统,导师带着学员学习攻击手段。
不过,后来这个课程被叫停了,理由是涉及“黑客教程”。所以,这是一个悖论,一方面国家的网络安全行业缺乏“白帽子”人才;另一方面黑客的社会身份又很尴尬。
NBD:我国接入互联网逾20年,网络安全与互联网发展的程度似乎并不匹配,您认为网络安全行业最薄弱的环节是什么?
张瑞冬:我认为最薄弱的环节还是用户安全意识太薄弱。我们经常处理一些应急事故,发现真正高难度入侵行为是很少的,导致事故频发的原因是,用户密码设置太简单或者是操作失误。
我曾帮一家上市公司做网站安全测试,他们的系统很安全,测了半天也没有找到问题。后来我发现该公司有内部交流的QQ群,点击加入,立马就把我放进去了。进去后,我发现群共享里有个文件夹,文件夹的名字叫公司各种系统密码。就这样简单,我轻易获得该公司系统密码。这是很普遍的问题,互联网用户的安全意识薄弱,对安全的管控能力比较差。
张瑞冬:我认为最薄弱的环节还是用户安全意识太薄弱。这是很普遍的问题,互联网用户的安全意识薄弱,对安全的管控能力比较差。
