2015年6月第十二屆全國人大常委會第十五次會議初次審議了《中華人民共和國網絡安全法(草案)》于2015年7月6日在中國人大網公布,并向社會公開征求意見。草案指出:在中華人民共和國境內建設、運營、維護和使用網絡,以及網絡安全的監督管理,適用網絡安全法。國家堅持網絡安全與信息化發展并重,遵循積極利用、科學發展、依法管理、確保安全的方針,推進網絡基礎設施建設,鼓勵網絡技術創新和應用,建立健全網絡安全保障體系,提高網絡安全保護能力。網絡安全正在上升到國家法律層面,意義可見一斑。
隨著微信、支付寶、攜程等與人們的日常生活息息相關的各類服務安全事故的發生,以往網絡安全主要體現為網絡詐騙、木馬中毒等個案,如今網絡安全事故越來越多成為社會公共安全的一部分。電信運營商,作為網絡設施的建設、運營和維護單位,在網絡層面承擔了基礎和關鍵性的角色。同時,又與網絡應用服務和終端服務有著緊密的聯系,因此,電信運營商在網絡安全領域的作用不言而喻。在這種情況下,以我們傳統的看待運營商的眼光,大數據時代,網絡安全市場規模快速增長,電信運營商能在這一細分市場掘到金嗎?
一、網絡安全行業市場規模如何?
云服務的快速普及、無線通訊、公共事業行業的網絡犯罪增加以及更加嚴格的政府監管措施出臺是市場快速發展的主要推動因素。特別是網絡犯罪逐漸增長導致資產的損失,并可能損害國家的基礎設施和經濟,因此網絡運營商、云服務提供商和垂直行業都將加大網絡安全解決方案的投入。從行業來看,航空航天、國防等領域仍將是網絡安全市場的主要推動力量。因此,我們首先可以用網絡安全市場規模將快速增長來定性描述,定量的分析,不同的機構給出的研究報告由于涵蓋的范圍差異,市場規模數據差異較大。
國際網絡安全研究報告顯示,2014年全球網絡安全市場規模近6000億元,在未來5年,年復合增長率達到10.3%,到2019年,市場規模接近萬億。其中,全球無線網絡安全市場規模將接近1000億元,年復合增長率約12.94%。
根據國家十二五規劃,到2015年,將形成30家信息安全業務收入過億元企業,力爭培育出信息安全業務收入達50億元的骨干企業。預計到2018年,中國信息安全產品市場規模將達到480億元以上,復合增長率約為21%。
投行研究機構則認為,隨著網絡安全法的加快出臺,將對整個信息安全產業發展起到重要支撐作用,預計市場規模將達千億規模。
2014年12月,IDC發布了2014年上半年中國網絡安全市場分析報告,統計出2014年上半年中國IT安全硬件市場規模接近30億元,并預計全年可達70億元,同比增長18.8%。據IDC統計分析,防火墻硬件市場規模上半年超過10億元,同比增13.6%。IDC還指出,2013年中國IT支出已超越日本、僅次于美國達1827億美元。而信息安全僅占其中1%,仍有巨大發展空間和潛力。而防火墻36.1%的份額仍是最大的安全子市場。
從這些相關數據中我們可以發現,網絡安全市場與電信運營商直接相關的市場規模情況并不是很清晰。因此,對于電信運營商而言,首先要研究明確與自身能力或者未來目標有關的行業市場情況如何。否則,電信運營商在網絡安全領域的具體動作就是盲目的。
二、運營商在網絡安全具體領域能力如何?
要在網絡安全領域有所作為,獲得收益,從而找到業務轉型的新方向,這是三大運營商高層的基本判斷。這一點,在2014年首屆全球互聯網大會上三大運營商的主題發言中,中國電信董事長和中國聯通董事長均提到了網絡安全問題。尤其是中國電信,在主題發言中花了較大篇幅闡述對網絡安全問題的看法以及中國電信在網絡安全方面所做的努力,同時也在具體產品或者解決方案方面進行了更加積極的探索,如從網絡特性上強調電信C網起源于軍用的高安全和保密性、去年年底推出的十余款安全手機以及與酷派合作推出的首款雙系統安全手機,再比如2015年7月16日在北京舉辦了“天翼安全”系列產品發布會(發布了三款自有產品:DDos防護產品“云堤”、安全辦公產品和支付安全產品“天翼U盾”),同時還宣布將與騰訊深入合作,共同推出網絡安全合作產品。
這都表明,在“互聯網+”時代,信息安全上升到國家戰略高度,運營商都將其視為互聯網化轉型的一次重大業務布局。但問題是,運營商在網絡安全領域到底有哪些優勢和劣勢?這從根本上決定了電信運營商能否在網絡安全領域的實際作為,能否掘到金礦。
如果從網絡、應用和終端三個層面來分析,個人認為,電信運營商的優勢主要(或者不客氣的說,僅僅)體現在網絡層面,而至于應用層面和終端層面表現的更多是劣勢。
我們知道,構成比較重大的網絡安全事件通常都是網絡攻擊,利用網絡存在的漏洞和安全缺陷對網絡系統的硬件、軟件以及系統中的數據進行攻擊。特別是大數據時代,數據已經越來越成為一種重要的個人或者組織資產。非傳統武裝打擊方式的網絡基礎設施的攻擊引發的潛在危害巨大,因而也是最擔心的。所以電信運營商作為網絡服務商,在這方面投入的力度最大。如前述提到的電信的DDos防護產品“云堤”便是如此,流量攻擊清洗能力、攻擊溯源能力。再就是為黨政軍、金融、稅務等特殊行業提供安全保障的能力方面。
而在互聯網應用層面,其主要仍然體現為作為管道提供商,在應用服務商接入層的網絡安全能力方面。至于互聯網應用本身的安全能力,運營商不具備,主要做輔助性作用。
在終端層面,同樣的道理,也不是運營商的專長。我們看到中國電信推出的安全手機,本身也是基于網絡的抗干擾、通信安全和數據保密性等,主要是用戶隱私泄露等。但如今的網絡時代,諸如姓名、年齡、電話號碼等傳統所謂的隱私已經毫無隱私可言。
由于運營商本身提供的各類應用在行業缺乏競爭力,安全對用戶而言賣點不足,而像雙系統安全手機這樣集終端、網絡和應用為一體的整合方式,雖然解決了常見的信息安全問題,但在行業存在可替代且免費的解決方案的情況下,要形成有效付費很困難。既有行業競爭問題,也有用戶為安全買單的習慣轉變問題。因此,從側面數據來看,中國電信推出的安全手機,在市場上的反向并不佳。
因此,個人認為,運營商在網絡安全市場的金礦主要來自行業企業應用層面,主要是黨政軍、金融、稅務等要害部門為了防止突發的基礎性的網絡攻擊所支付的“保險費”,乃至大型互聯網企業為了確保網絡層安全而支付更高的費用,這方面運營商具有很強的市場定價權。至于公眾用戶層面則很難掘到金,相反更多的是必要的投入以避免自身網絡遭遇攻擊。早先殺毒軟件收費模式被免費模式替代后,面向公眾用戶基于安全付費的模式還很難轉變。同時,運營商在公眾層面的能力遠不如市場化的其他企業的情況下,首要的問題是為推廣其安全產品而花費資源。
三、幾點建議
1、網絡安全對于運營商首先是投入
根據《網絡安全法(草案)》第三章第二節中關于“關鍵信息基礎設施的運行安全”的條款(第28條),關鍵信息基礎設施的運營者還應當履行下列安全保護義務:(1)設置專門安全管理機構和安全管理負責人,并對該負責人和關鍵崗位人員進行安全背景調查;(2)定期對從業人員進行網絡安全教育、技術培訓和技能考核;(3)對重要系統和數據進行容災備份;(4)制定網絡安全事件 應急預案,并定期進行演練;(5)法律、行政法規規定的其他義務。
因此,事實上,電信運營商在網絡安全領域首先是需求方(消費投入方),主要是為網絡安全市場制造蛋糕,其次才是分享蛋糕的。即自身網絡層面的安全能力的提升,需要更大的投入,從而為設備制造商及安全服務服務商提供了更多的機會。此外,自身專業的安全人才隊伍的培養還需要加大投入。
2、有所為,有所不為
我們看中國電信的“天翼安全”系統產品發布會所推出的一系列產品就能發現,運營商普遍還是習慣性的做大而全的產品系列。把行業解決方案和公眾用戶的互聯網化產品都囊括進去。正如前文所指出的,運營商在網絡安全的市場機會主要在行業解決方案上,而公眾用戶側主要是以投入為主,大而全的方式是否是最佳選擇值得商榷。當然,我們也注意到,中國電信選擇了與騰訊合作,也從一定程度上意識到自身的短板所在。但即便如此,要想克制也還是很難的。認清能力,有所為有所不為是一個重要原則。退一步說,即便是要大而全,也有一個分步驟分階段的過程,同時推出,難以兼顧。則拿出的產品又是粗糙的。
3、網絡安全是雙刃劍,承諾太多恐惹事
對于用戶而言,網絡安全普遍的問題是(電信)詐騙,通過網絡或者電話、短信等方式進行的各種形形色色的詐騙活動,受害方指責較多的是運營商在其中的不作為行為。雖然運營商很多時候也聲稱自己也是受害方,但是當不能證明自己已經做到必要的注意和勤勉義務的情況下,也有可能要承擔一定的法律后果。
而網絡安全本身是一個很復雜的問題,俗話說的好,魔高一尺道高一丈。但同樣,也有道高一尺魔高一丈的情況,在網絡世界更多是道高一尺魔高一丈的情況。因此,運營商如果在推出具體網絡安全產品的時候,如果免責條款做的不好,出現網絡安全事件時,自身面臨的風險也是巨大的。因此,在宣傳中要避免夸大和過度承諾,避免出現超出自己能力范圍的事情。
總之,個人認為,當網絡安全問題日益突出的情況下,人們有免于網絡恐懼的自由。但對于運營商而言,它的責任和義務是第一位的,通過安全獲得利益是第二位的。這是運營商本身的特殊身份所決定的。要掘金,得首先定位好金礦的位置——基于網絡層能力的行業解決方案。應用服務和終端層,建議慎入,那不是運營商的菜。
京公網安備 11010502049343號