摘要：總地來看，雖然巨頭紛紛布局企業安全，新興初創企業也躍躍欲試，但網絡安全能力依然較差，如何攻克目前存在的制約條件，需要從政府到企業各個層面的相互配合。技術的發展和需求的細化必然引來越來越多的參與者。雖然目前存在諸多局限，但行業正在變得更務實，更落地，這至少說明一切都在慢慢變好。

近年來，個人信息被泄漏、隱私安全遭威脅、“數據黑市”已經成為越來越猖獗的存在。從身份證、郵箱到銀行卡信息等，每個人都不得不承認自己的個人信息數據正在以并不昂貴的價格反復倒賣。

隨著各類泄露事件的不斷曝光，大眾開始擔憂起來：在各種數據泛濫的時代，互聯網還有安全可言嗎？

現實很殘酷，網絡安全形勢并不美好

網絡上的個人信息并不能得到安全的保障，很大一部分原因，在于個人不良的上網習慣。在不同網站使用同名賬戶和密碼，隨意在平臺上填寫個人信息，都會給不法分子創造竊取信息的機會。

比如，近期國內發生了多起用戶蘋果ID賬號被盜、鎖定、以及遠程抹掉并遭遇鎖機以此來惡意敲詐的情況，而被盜的用戶多數使用的是QQ郵箱。

事實上，蘋果ID被盜，首先是因為注冊用的QQ郵箱被盜。不法分子通過釣魚等手段盜取QQ郵箱密碼仿冒合法用戶，之后才能將蘋果ID鎖定，并進行一系列勒索敲詐等犯罪活動。

而這種程度的個人信息泄露只不過是漏洞黑市的冰山一角。危害更大的狀況，則是公司數據庫被黑導致的信息外泄。

2016年一月，凱悅連鎖酒店超過50% 遭安全入侵；四月土耳其出現重大數據泄露事件，5000w公民信息被泄露；5月俄國黑客盜取2.73億郵箱信息以1美元價錢販賣；9月，雅虎被曝出隱瞞了5億賬戶信息被竊事件……2016年還沒到頭，大規模信息泄露事件便已不一而足。

眼觀國內，網絡安全事故發生的頻率也在不斷上升。比如今年3月，開源的加密工具OpenSSL被爆出新的安全漏洞“水牢”，允許黑客攻擊網站，并讀取密碼、信用卡賬號等加密信息，我國有十萬余家網站受到影響。

而除了信息泄露，其他種類的安全事故也并不少見。今年5月，攜程網由于員工錯誤操作導致長達十幾個小時的宕機，大量用戶無法訪問網站的事件。剛剛過去的9月份，阿里云安全產品云盾“安騎士”升級觸發bug,將所有新啟動的可執行文件都當成惡意文件進行隔離，也造成了較大范圍的影響。

由此可見，在互聯網安全領域，即使大企業也不一定做得有多好。究其根源，網絡安全并不是一個簡單的漏洞問題，系統的網絡安全問題，往往是背后綜合性原因導致的。

互聯網企業網絡安全狀況堪憂，背后隱藏多重原因

近兩年，互聯網創業極端狂熱，不少公司都將精力花在能夠直接帶來公司業務增長的層面，長期忽視底層技術的加固。同時，網絡安全領域的尖端人才高度缺乏，各方面因素導致企業增長速度和技術投入程度完全不成正比。互聯網安全問題時有發生，可以歸結出一些共因：

安全意識問題。如上文所說，目前國內不少互聯網運營公司缺乏網絡安全意識，不重視對用戶信息的安全保護。這也造成了整個公司員工的安全意識缺失，比如密碼強度，離開電腦及時鎖屏等習慣，和被釣魚社工等。軟件開發人員的視覺盲區。在過去，對開發工程師的要求僅僅停留在代碼質量的層面，開發人員對信息安全的理解其實是比較淺薄的。在開發過程中，很可能因為沒有考慮到位或者引用了存在問題的開源項目，導致代碼有先天性漏洞。系統運維人員和測試等技術盲區。無法第一時間發現被攻擊，不能及時發現漏洞，修補漏洞，造成后天性漏洞。黑客、同行攻擊、敲詐勒索現象嚴重，會消耗公司的技術資源和增加技術成本，導致有些公司對其運營的互聯網服務平臺沒有能力或不愿意投入巨額來部署高級的風險控制或主動防御體系。

互聯網的特征之一即為開放，過去從來沒有像今天這樣，不同的行業在互聯網的框架下緊密關聯。加上現代科技的日新月異，各種形式的攻擊層出不窮，想要杜絕安全問題是過于理想化了，任何一個系統都存在百密一疏的風險。

比如這次的蘋果賬號被鎖事件，雖然是發生在用戶身上的個人事件，但蘋果公司在用戶ID發生被盜之后并沒能及時預警，在很大程度上就是被自己開發的“遠程鎖定”功能坑了。

安全事件防不勝防，在互聯網世界欣欣向榮的背后，網絡安全狀況比大多數人想得都要糟糕。互聯網領域的所有參與者都面臨著不安全的風險，企業能做的只能是用高度的預警意識來對抗這種不安全性，而這種防范又必須是動態的、持續的。

互聯網企業安全需求增長，安全行業往縱深方向發展

正是由于互聯網安全的不確定性以及網絡安全問題頻發等原因，當下很多企業開始有了整體的網絡安全意識，將網絡安全提升到戰略性的位置進行考量。

有需求就有市場。面對越來越多企業安全需求跟不上業務發展的現狀，第三方安全行業開始呈現出新業態。過去合規需求導向的產品已經跟不上節奏，如何提供真正滿足企業客戶安全需求的服務，成了當下安全公司分析的重點。

從測試到防護以及預警響應，企業所需要的安全服務千差萬別，服務導向型的模式迫使安全公司深入到企業需求環節中的某一環。大而全的牛皮很難再吹得起來，信息安全行業正變得越來越務實，越來越細分。

各個安全細分領域小而美的公司開始顯現優勢，有人評價：贏家通吃變得越來越難了，單一產品解決某個單一需求已經大勢所趨。

過去，傳統的安全公司集中在賣硬件，防火墻WAF，帶安全的路由交換機等方面，而隨著安全服務的細分發展趨勢，比如滲透，掃描，應急響應，運維等都可做成服務。

( 綜合來看，目前安全行業方向圖中幾大分類，涵蓋了網絡安全領域各個環節。而技術型人才是所有細分服務的基礎，人才培養能否更上行業發展需要，又是另一個復雜的話題。)

針對新環境下的安全問題，比如個人隱私泄漏，移動安全，黑產，大數據，云計算，工業控制，物聯網，APT攻擊等新場景，不少細分領域的公司已初現創新的產品模式，例如網絡安全態勢感知、網絡攻擊可視化等。當然，這也僅僅只是初級階段，全技術和產品模式需具備更新升級能力。

網絡安全經歷了早期的防御階段，后續必然將向智能感知和快速響應更高級的層面發展。現在不對稱的黑客攻防未來或許會發生一些改變，比如大數據會不斷地學習攻擊方的知識，計算能力會讓這種學習成本越來越低。

安全行業發展仍存在諸多局限

雖然安全行業越來越受重視，也在往更加專業化的方向發展，但由于科技的發展，新的業務領域在不斷出現，這導致在快速進軍新業務領域的時候，現有的技術和產品模式并不能適應業務創新的趨勢。網絡安全行業還存在很多局限，距離成熟還有很長一段路要走。

首先，最大的短板在于缺少實戰性網絡空間安全人才 。

安全行業應該有很高的技術門檻，在互聯網安全行業的生態圈里，技術人才是生態最重要的底層建筑。不僅僅是安全領域從業者，未來對開發工程師的要求也會越來越高，越來越多的企業在面試開發工程師的時候就會把代碼安全作為重要的考量標準。

其次，網絡安全如何從B轉C，商業模式還在探索中。

隨著云計算的普及，私有云和大數據等技術會進入每個人的日常生活當中。此時私有云之間的信息泄露和安全問題很可能成為其是否能大范圍流行的關鍵。

同時，大數據分析的流行也會涉及個人隱私暴露的問題。屆時，C端一定會爆發出網絡安全方面的需求，比如一些反隱私泄露的課題，未來必然會在C端出現新的商業模式。

再次，國家層面對安全公司實質性的政策利好不夠多。

雖然政府層面已經在不斷推進安全方面的法規建設，但還是都停留在一些原則性的規范層面，并沒有涉及太多實質性的政策利好。

除此之外，面臨的問題還有很多。舉例如：

大量安全企業還是依靠政府買單，并沒有真正的市場經濟因為安全問題的敏感性，大型公司還是寧愿自己籌備安全隊伍，自己研發解決方案，而不是依賴安全公司國家對于網絡安全工程師等職業資格認證等不到位全民對網絡安全意識還不夠，沒有像交通法律等普及

總地來看，雖然巨頭紛紛布局企業安全，新興初創企業也躍躍欲試，但網絡安全能力依然較差，如何攻克目前存在的制約條件，需要從政府到企業各個層面的相互配合。

技術的發展和需求的細化必然引來越來越多的參與者。雖然目前存在諸多局限，但行業正在變得更務實，更落地，這至少說明一切都在慢慢變好。