中美网络信息安全产业比较研究
2015-08-07王滢波
王滢波
中美网络信息安全产业比较研究
王滢波
回顾中国20年来的网络信息化发展之路,尽管成绩骄人,但与全球第二大经济体的地位并不相称。特别是随着美国曼迪恩特报告、“棱镜门”事件、美起诉我军官等事件的相继曝光,我国网络信息安全风险也在全面凸显。摆脱网络信息安全核心技术“受制于人”的困境,实现“自主可控,安全可信”发展,成了我国信息安全产业的新命题。
环顾全球,美国在信息安全产业方面一枝独秀,欧盟、俄罗斯和以色列虽然各有所长,但整体实力难与美国抗衡。因此,研究、借鉴美国信息安全产业的发展经验和成功模式,无论对当下奋起直追尽早摆脱“八大金刚”的控制,还是从长远建立起与网络强国相匹配的信息安全产业体系来说,都具有重要的现实意义和深远的历史意义。
本文力图从中美两国的信息安全产业环境、产业体系、产业规模和增速、商业模式、融资和并购、人才培养和吸引等多角度去进行比较分析,从中找出中国的差距和原因,并提出相应的对策建议。
一、中美信息安全产业环境比较
1.国家层面的安全战略引领
美国是世界上最早制定国家网络安全战略的国家,也是颁布国家信息产业政策最多的国家。截至2014年,美国已经颁布了40多份与网络安全有关的文件。其中,2003年美国率先发布了面向国内的《确保网络空间安全的国家战略》。2011年,美国政府超前发布了面向全球的《网络空间国际战略》和《网络空间行动战略》。2014年2月,奥巴马又宣布启动《网络安全框架》,意在“改善关键基础设施的网络安全”。这些国家安全战略文件都提出并奠定了与国家信息安全政策导向有关的三个准则:首先是对美国国家信息安全利益的认定;其次是对威胁的判断;最后是提出合作防范信息安全威胁。这充分体现了美国产业发展战略和国家安全战略的契合性和融合性,也为构筑不断成型的、步步为营的“国家安全防线”提供了不可替代的支撑作用。
与国家安全战略相对应的则是具体的行动计划和定向的政策评估。美国的国家安全战略中都包含与战略目标相匹配的“网络公民计划”和“行动计划”,以及细化至多项可实施、可评估的国家安全行动。由此,定向的安全政策评估具有了可实现性。奥巴马政府上台后采取的举措有:2009年2月要求对国家网络安全状况展开为期60天的全面评估,以检查联邦政府部门的机密信息和数据保护措施;5月公布的《网络安全评估报告》指出,过去两年网络入侵事件已给美国造成80亿美元的经济损失,美国的数字基础设施并不安全,现状“不可接受”,来自网络空间的威胁已经成为美国面临的最严重经济和军事威胁之一。国家面临着双重挑战,即维护高效、创新、经济繁荣和自由贸易的环境,同时又要提升安全、公民自由和隐私权。国家正处于面临抉择的十字路口;8月,政府问责办公室就国土安全部履行国家网络安全战略的现状发布了报告,包括满意和不足之处,以及5个方面的30项建议等,建议任命网络安全官员负责协调美国的网络安全政策和行动;对民众开展网络安全教育;制定网络安全事件应急计划等。这一切都强调了构筑坚固的国家安全防线的重要性,也指明了清晰的产业方向。
相比较而言,中国至今还没有一部统领性的国家信息安全战略,与网络大国的地位极不相符。另外,对国家信息和网络安全的评估预测也仅限于局部和半公开状态,如中国互联网应急中心(CNCERT)会定期发布中国互联网网络安全态势报告,但由于这是一个非盈利的非政府网络安全技术协调组织,影响力和权威性稍逊。中国至今没有国家层面释放的预警信号以及关于国家整体安全现状的全景图,产业方向也就难以清晰。
2014年2月,中央网络安全与信息化领导小组的成立标志着中国朝着“加快完善互联网管理领导体制”的方向迈出了实质性一步。体现了中国最高层加强顶层设计的意志,显示出在保障网络安全、维护国家利益、推动信息化发展的决心。“两个一百年”和建设“网络强国”的目标所释放的政策和制度方面的积极信号,不仅明确了政府的职能定位,也必将鼓舞产业界信心,良好的产业环境值得期待。
2.相关政策支持环境
美国学术界不认为美国存在有意识的信息产业政策。其特点是,发挥市场机制,政府辅以调控。一般所说的产业政策主要通过聚焦几个方面来体现:
首先,在知识产权保护方面出台相关法案,提供一个可预测的、持续及公平的商业和法律环境,由此发挥市场机制,巩固和加强信息产业在技术上的产权优势,同时促进信息安全技术及相关高新技术的转移;其次,美国实行有效的政府采购政策,由此降低信息技术企业的研发风险;第三,加大信息安全技术的研发力度,增加相关研发投入,确定优先资助项目和有利于技术扩散的项目;第四,鼓励风险投资对信息安全技术企业的扶持。据统计,美国有近50%的风险资本投入信息产业,由此造就了一大批明星企业;第五,建立激励机制,鼓励私营企业参与。坚持扶持中小型企业与大企业战略并举,政府积极鼓励和扶持中小企业的技术创新,如对小企业先进技术长期投资收益实施税收优惠。
中国的信息产业政策总体来说是政府主导式的。来自各方面的重视和投入力度持续上升,且规模巨大,由此孕育和推动了中国自主信息产业的逐渐成型。多年来,国家层面的五年发展计划对信息产业都有明确的路线图,各部委也有针对性的中长期产业计划和目标。与此同时,针对各个时期信息化建设需要的各种专项计划、攻关工程、重大项目、创新基金等都有不小的经费投入和政策倾斜,包括长期针对目标领域的财税、信贷和外汇的支持政策等,都在鼓励本土信息企业的成长和壮大。
但与美国相比,我国的产业由于缺乏市场的培育,缺乏规范的法律秩序和透明公平的竞争机制以及缺乏政府采购政策对研发风险的规避……使得出自多门的政策无法聚焦,大量的资金投入没有收到应有的效果。业内人士认为,一些扶持资金的盲目投入反而使产业政策变成了扶持政策的代名词。
3.运作机制和信息安全保障体系
从运作机制和保障体系看,中美之间的差距较大。在美国的国家信息安全保障体系中,政府、企业和社团分别扮演了不同角色。正是由于全社会具有对国家安全威胁的共识和警惕,对创新的宽容和鼓励以及对相关核心技术的价值导向,形成了良性的运作机制,由此构建起了推动信息安全技术良性发展和应用提高的各种关系,包括政府、军方与承包商之间的角色与关系,产品与市场的关系以及企业与用户的关系等。近10年来,美国已形成了分工协作明确、体系功能完善、开拓创新迭出的国家信息安全保障体系。如由国防网络装备体系、国家信息装备体系和基础网络运营体系支撑的强大产业体系,其中美国国防部、国土安全部、联邦调查局、中央情报局等政府部门以及IT企业、网络企业、运营商等在此体系中各司其职。
由于历史原因,我国的互联网管理、网络安全管理以及信息产业管理曾是“九龙治水”,存在多头管理、职能交叉、权责不一、效率不高等弊端,由此造成运行机制不畅、产业体系不清晰等现状。当前,中央已经释放出积极的信号,加强顶层设计和战略统筹已提上议事日程,建设网络安全保障体系指日可待。
4.产业渗透和控局能力
产业布局由国家战略引领。随着美国网络安全战略从“被动防御”到“战略威慑”,再到“现实攻击”的重大转变,其注重进攻和全球布局的产业渗透也不断加码。相比之下,中国处于战略空白期,“韬光用晦”策略下的产业政策仍立足于以防御为主。
近年来,美国不仅具备了对国际产业市场的绝对统治力,而且完成了对中国市场的渗透和控制。“八大金刚”对中国的全覆盖已经到了触目惊心的地步,据资料显示,“八大金刚”不仅和中国三大运营商、电商、门户网站、社交网络有合作,还和地方政府、中国高校有合作,甚至和中国军工企业也有合作。目前,仅“思科”在中国金融行业,在海关、公安、武警、工商、教育等政府机构,在铁路、民航、港口等系统,在石油、制造、轻工和烟草等行业,包括在传媒行业,都占有50%—80%以上的份额……在软件系统方面,微软等公司在中国几乎做到了全覆盖。
斯诺登事件给中国敲响了警钟,相关部门已明确提出:中央机关禁用Win8,网络安全审查制度即将出台,近日中国银监会关于应用安全可控信息技术指导意见明确提出了国产化替代的时间表。2014年8月28日工信部下发了《加强电信和互联网行业网络安全工作指导意见》,提出了以提升网络安全保障能力为主线,以完善网络安全保障体系为目标的总体要求。危机意识下的补漏行动正在全面展开。
二、中美信息安全产业体系比较
1.信息安全产业链和市场
美国具备了国际产业市场的绝对统治力。美国凭借在信息技术上的巨大优势,在操作系统、数据库、网络设备等信息安全基础领域占据了全球大部分市场份额。在芯片方面,国际知名厂商大多是美国企业,如英特尔、AMD、高通等。据IC Insights的研究报告,2015年一季度英特尔芯片销售额为115.6亿美元,占全球芯片销售额的21.6%;在桌面操作系统方面,微软的统治地位至今无人可以撼动,市场份额超过96%;在移动操作系统方面,谷歌的安卓系统全面把控,市场份额已超过85%;在浏览器方面,美国企业的产品 IE、Firefox、Chrome和Safari占据了全球市场的前四位,份额超过98%;在数据库方面,甲骨文、IBM和微软三家企业的产品占据着约85%的市场份额。
美国的网络安全产业体系非常完善,涉及从基础芯片、操作系统、网络硬件到综合网络安全服务再到各种细分网络安全产品以及政府专属信息保障体系等诸多领域,包括思科、IBM、HP、微软、英特尔、谷歌、微软、苹果、Qualcomm、Facebook、Oracle、EMC等一系列掌控着全球互联网话语体系的网络安全基础产业巨头;赛门铁克、Trend Micro以及已经被英特尔收购的Mcafee等传统综合性信息安全企业;Fireeye和Fortinet等专注于诸如APT攻击防护、下一代防火墙、统一威胁管理等具体领域的细分市场龙头以及专门为美国政府及其关联机构提供服务的专业技术公司。前三类公司多为上市公司,第四类公司主要为非上市公司,其业务基本不对外开放,其中包括美国政府御用的大数据分析企业Palantir,为NSA提供大数据分析服务、曾参与NSA开源数据库Apache Accumulo建设的的Sqrrl,作为NSA承包商之一的信息技术咨询公司Booz Allen Hamilton(斯诺登的前雇主),信号分析处理厂商Argon ST以及面向C4I系统的网络安全服务厂商Gnostech等。此外,美国中情局还专门成立了一家名为In-Q-Tel的风险投资公司,主要投资于高科技公司,不以盈利为目的,主要目的是确保美国中央情报局能够随时配备最新的信息技术,以支持联合国和美国的情报战能力。美国的信息安全企业几乎无所不包,而且分合有序,边界清晰,共同构成了其庞大而完善的信息安全体系。
相比较而言,中国的信息安全企业体系非常不完善,不仅缺乏掌控诸如芯片、操作系统等产业链上游核心技术的公司,就细分行业而言也缺乏具有明显技术优势的龙头企业。这使得中国网络信息安全自主可控生态难以建立,产业链无法实现闭环。中国也在信息安全的基础领域进行了大量尝试和巨额投资,但收效甚微。曾被寄予厚望的中科红旗于2014年2月轰然倒塌,宣布破产清算,8月以3862万元的对价被五甲万京信息产业集团收购。
2.信息安全产业的规模和增速
就规模而言,美国信息安全专业公司的营收规模远较国内为高,但增速较慢。以美国纯信息安全企业中市值最高的赛门铁克和中国市值最高的奇虎360对比为例。奇虎2013年的总收入为6.71亿美元,2012年的总收入为3.29亿美元,2011年为1.68亿美元,而赛门铁克2013-2014财年(截至每年的3月30日)的总收入为66.76亿美元,2012-2013年度的总收入为69.06亿美元,2011-2012年度的总收入为67.3亿美元。2013年度奇虎360的营业收入只有赛门铁克的10%左右,但其增长率远高于赛门铁克。近三年奇虎360每年收入的增长率都在100%以上,而赛门铁克的营收则基本保持稳定,基本在65亿美元上下波动。类似的情况也可以在很多企业身上发现。出现这种现象的原因主要是中国信息安全市场还处于发展的早期阶段,市场覆盖率较低,而美国的信息安全市场则较为成熟。这种情况也导致中国企业的估值远高于境外同业,例如同在美国上市,赛门铁克的市盈率就只有11倍左右,而奇虎360的市盈率则接近80倍。奇虎360以仅仅十分之一的收入在市值上和赛门铁克一起进入百亿美元俱乐部。
3.信息安全企业的商业模式方面
中美信息安全企业的商业模式也存在很大差别。美国信息安全企业的收入主要来自主营业务,例如赛门铁克的安全业务收入占其总收入的90%以上,而中国一些龙头信息安全企业的收入则主要来自于非主营业务,也就是非信息安全业务。这种模式也被称为免费+增值服务(Freemium)模式,即以安全作为流量入口,通过开发衍生服务盈利。例如奇虎360以免费的360安全卫士为通道,吸引用户流量,随后以安全为由,推出简单易用的综合安全服务,并进而捆绑用户使用360安全浏览器,通过360网址导航和360搜索建立广告盈利模式。奇虎360目前年营收的90%以上都来自游戏和广告业务,网秦的安全业务收入也仅占其收入的50%,而境外公司这种情况比较罕见。这反映了两个问题,一个是商业模式和商业环境的差别,即中国还不习惯为网络安全付费;另一个也说明中国的信息安全技术在全球确实还缺乏足够的市场号召力和盈利能力。
4.相关企业的融资和并购
美国成熟和层次丰富的资本市场也是信息安全企业快速成长的一个重要诱因。2014年上半年美国市场风险投资事件2033起,披露交易额的事件1841起,披露交易额378.5亿美元;并购事件624起,披露交易额的事件270起,披露交易额5163亿美元。投资的重点是医疗和IT。
近年来,在所谓中国军方黑客发动APT攻击等宣传的渲染下,信息安全,特别是网络安全领域成为美国资本追逐的热点。不仅传统信息安全企业致力于通过并购扩展业务范围,提高协同效应,增强核心竞争力,就连传统IT巨头也纷纷通过全球收购涉足网络安全产业,补足原有的技术短板。它们试图以安全为支点撬动更多产业,努力打造全产业链。一时之间,信息安全并购风起云涌。仅以网络巨头思科为例,2012年收购了数据中心安全公司Virtuata;2013年初又收购了捷克的网络安全初创企业Cognitive Security;2013年7月宣布以27亿美元收购Sourcefire公司,并于当年10月完成。被思科收入囊中的Sourcefire成立于 2001 年,提供的产品包括安全检测 / 防护系统(主打产品)、防火墙以及恶意软件保护等,可连续自动侦测和保护各类大中型组织的动态网络、端点、移动设备及虚拟环境的安全。收购该公司使思科获取了“深度安全DNA”技术。当前,由于移动计算、云计算和物联网在IT安全领域引入了各种复杂的安全变量,深度安全DNA已经成为一个越来越重要的技能。思科在公告中称,此次收购为思科注入深度的安全 DNA血液,并加快思科防护、发现及修复威胁的安全战略的执行。2014年5月22日,思科又宣布计划收购由少数人持股的创投企业ThreatGrid,以加强其计算机安全技术方面的业务。ThreatGrid总部位于纽约,向客户提供关于恶意代码的动态分析和安全威胁情报技术。这一系列收购都在不断强化思科产业的安全厚度。
三、对发展中国信息安全产业的几点建议
1.呼唤网络安全国家战略早日出台
国家安全战略是产业发展的方向、目标和行动指针。借鉴国际社会的经验,网络空间国家战略要突出几个内涵:首先,强调基于“动态位置”和“利益关系”视角的大安全观。应突破以国家为唯一主体的理念,把国家、社会、个人、国际甚至非国家组织都纳入多元化的安全主体体系;其次,兼顾技术权力和政治权力的融合需求。近年来美国政府与互联网巨头的暧昧关系以及在新战略中强调与私营部门的合作就是这方面的极佳诠释;第三,改变既往“国家安全”离民众太远的神秘感。美国通过网络向全民征集修改意见,提高战略的全民认知度的做法值得借鉴;第四,细化战略中的“国家安全行动”。明确政府、企业、各级组织和国民在国家安全大局中的角色和责任。
在国家安全战略的基础上则应从组织体系、理论体系、监督体系、产业体系等多方面完善和升级国家信息安全保障体系,并从组建信息安全产业国家队、重建国家信息安全权威测评认证体系、提供国产化替代路线图等方面,逐步构建起国家信息安全产业体系。
2.完善符合目标预期的政府采购制度
我国现有的信息安全产品政府采购政策缺乏专门的细则安排,通常与其他通用类的IT产品并行,因此无法有效推动我国信息安全产业从弱小走向强大,从而承载起保障国家安全的特殊使命。尽管政府在制定信息安全产业领域的政府采购政策法规时已经考虑到偏向于保护中小企业,推动自主创新。但这些政策过于笼统,普遍存在难以落地的现象。因此建议相关部门尽快制定用于引导产业方向的更具体的政府采购补充细则,规定有助于促进国内信息安全产业内中小企业发展的倾斜性举措,国外政府采购政策中有关留给中小企业一定比例结构的规定值得借鉴。
与此同时,建议政府要充当新技术的积极使用者和推广者,这样不仅可以建立起政府和企业的合作关系,同时对社会具有良性的示范作用,从而扫除国产化替代的障碍。
3.建立首席信息安全官制度
完善的首席信息安全官(CISO)制度机制是一种遍布神经末梢的管理系统,它能感受外来刺激并传递给神经中枢,或把神经中枢的冲动传达给有关组织和企业,从而推动与之对应的审查、认证、预警、应对、标准、监测、惩处等一系列制度措施的制定和落地。当前,无论是从重塑中国信息产业的环境生态角度,还是从国产化替代的过程管理来看,都急需在管理层面有一个突破性抓手和创新机制。首席信息安全官制度应该是一个战略性选择。在CISO制度下,每位首席信息安全官都是信息大系统中的神经末梢,横向到边、纵向到底、责任到人、追踪到门的首席信息安全官的体制设置能实现产业体系内部的协调、监督和追责,解决“政令不通”、“条块矛盾”等痼疾,实现日常管理和危机管理的一体化。同时,在国产化替代中,首席信息安全官可负责对产品的跟踪和质量回馈,充当好政府和企业、产品和市场以及企业和用户关系的桥梁纽带角色。
4.呼吁社会科学介入技术创新全过程
与美国等发达国家相比,我国存在的一个不足是网络发展的速度和规模与人文研究的规模和能力不对称。迄今为止,技术崇拜一直占上风,社会科学对该领域的关注和研究始终处于缺位与错位的状态。国外经验证明,社会科学对技术发展和应用趋势的预测,对新技术主导下的国际政治经济新格局的研判,从社会层面对网络安全局势的理性分析以及对新技术的人文特征的研究等都具有不可替代的作用。特别是多学科的参与、多维度的思考,这些观点和成果既能为具体的技术研发提供突破和改良的路径,也能为社会规则、规范的制定和完善从原则上提供思路和基点,特别是能为国家信息安全战略的制定以及相关产业政策的成型提供有力的决策支持。
习近平主席强调,建设网络强国,“千军易得,一将难求”,要培养造就世界水平的科学家、网络科技领军人才、卓越工程师、高水平创新团队。其中,我们也要呼唤与网络强国地位相吻合的中国的托夫勒、奈斯比特、尼葛洛庞帝、卡斯特等蜚声国际的网络社会研究的理论和战略大师。
(作者单位:上海社会科学院信息研究所)