北京圣博润高新技术股份有限公司是我国知名的信息安全专业厂商。通过八年的发展,圣博润从成立之初的4个人发展到现在170多名员工,在竞争激烈的信息安全市场站稳了脚跟,现正酝酿着在中关村三板市场挂牌,为今后上市做准备。近日,我专访了圣博润的总经理孟岗先生,请他介绍了圣博润公司发展的背景,并解读中国内网安全市场的发展现状。
一、关于圣博润
黄培:请您介绍一下圣博润成立的背景和发展历程。
孟岗:圣博润成立于2000年,经过8年的发展,已经从当初的4个人发展到现如今170多名员工。公司发展初期,我们与总参三部技术研究机构合作,销售他们的产品和服务。2002年开始,我们开始研究LanSecS内网安全管理系统。当时是基于两个出发点:第一,国家保密局提出了主机审计和监控;第二,公安部对桌面的行为管理和监控提出了一些要求。随着产品在市场上受到了越来越多客户的关注,2004年我们把资产管理、桌面安全加固、补丁管理等等功能加到了现有产品里。
除了产品之外,我们还做安全管理咨询,这是从公司刚成立的时候就开始做了,当年具备ISO27001咨询师认证证书有三家,我们是其中之一。目前公司比较大的一块业务是安全服务,包括信息安全的风险评估、应急服务和外包等等。我们成立了一个专门的部门来发展这项业务。圣博润是公安部测评中心的技术支持单位之一,现如今这个部门主要配合公安部等提供信息安全测评的技术支持。
黄:圣博润采取怎样的营销模式?
孟:我们营销模式很清晰,80%以上的项目都是全国的合作伙伴来做。目前,全国有超过200家的合作伙伴,另外,我们在杭州、内蒙、广州、福州、重庆、陕西、南京、山东、河南、沈阳、长春、成都、湖南等全国十几个省市有办事处。我们不是一家直销的单位,办事处的工程师和销售人员对行业合作伙伴及当地代理商的全力支持。
黄:针对内网安全,目前有哪些防护措施?圣博润又是通过什么方式切入内网安全问题的?
孟:针对内网安全,市场上主要有桌面安全管理产品、防水墙及文档加密两大类产品。从应用的角度来看,桌面安全产品可分为两类:一类是偏重于运营维护中的安全问题,另一类则关注信息保密的问题,这正是企业内网信息安全最为关注的两个方面。
在运营维护过程中,企业比较关注防病毒的问题,因为病毒会直接影响企业网络的正常运营。过去有很多杀毒软件厂商在防病毒上做了大量的工作,为什么后来又出现了终端安全管理产品介入到防病毒管理领域呢?主要原因是现在的攻击方式由原来的纯病毒攻击变成了木马+防病毒的混合攻击,传统的防病毒产品需要更新病毒代码才能应对新型的攻击,在时间上存在一定滞后;另外,防病毒的产品进入了企业内网之后,自身也存在一个管理的问题,比如有些员工并不按要求安装或升级不及时等。就防病毒问题而言,实际包含了一系列管理问题,需要运用技术手段把安全管理制度和内部规范建设支撑起来。桌面管理很多的技术手段都围绕这类问题产生。
另外一类是防水墙及文档加密的产品。制造企业有大量的设计文档和数据,在网络上进行输入输出,企业从保护自主知识产权的角度,希望这些信息受控。早期部分企业采用封堵的办法,从技术上来说,这是有困难的,不可能完全实现,文档加密就应运而生。采用文档加密产品后防护又进了一步,即使信息流失,没有授权也打不开。当然,可能出现现在打不开,以后能打开的情况,这要看加密的程度。
黄:在今后发展的过程中,圣博润将关注哪些领域?
孟:圣博润的核心产品是做内网安全管理系统,除了国家明确规定民营企业不允许做的之外,涉及到内网安全的问题都是我们研究的方向。
圣博润下一步的发展更关注两个问题:第一,国家对内网安全的政策有什么新的要求和规定,这直接关系着我们的生存。第二,用户的需求。我们做LanSecS内网安全管理系统已经有6年了,在这6年时间中积累了大量的用户,我们非常关注这些用户在使用产品时有什么新需求。在美国硅谷,很多企业发展起来是因为先有好的技术,然后再去开拓市场。目前国内做内网安全管理产品,和这种方式刚刚相反,对技术的原创能力要求不那么高。从产品的角度来说,目前国内厂商还没有一家有一项不可逾越的技术。当IT发展到今天,跨越技术只是时间问题,而且这个时间段越来越短。最终能够生存下来并脱颖而出的企业,一定把握住了两个问题:一是市场,这其中包括政策的导向以及客户的需求;二是后期的服务。既然产品是帮助企业做“管理”,后期的服务非常关键。这也是为什么我们除了做风险评估之外,还花一个很大的力量打造专门的服务团队的原因。我们希望圣博润不仅作为一个制药厂提供药片,还作为一个保健医生,为企业长期提供有价值的参照建议。
内网安全管理产品是一个高集合度的安全管理产品,技术含量并不是非常的高,更多的是体现在“管理”的能力上。我们在这个方向发展的目标很明确,安全管理产品要在国内同类产品占有率第一;信息安全服务,并努力做到前三名。
黄:服务是否也是产品营销的手段?
孟:从目前的情况来看,服务远不止是产品营销的手段。在信息安全领域从产品转向服务的趋势已经很明显了。安全产品也有了不同的市场细分,有用户购买了具备某种功能的产品但是出了不相干的问题,又不想再去添置新的安全产品,这时候安全服务就体现出价值。现在已经有用户干脆买一个安全包,或者通过ASP的方式享受安全服务。目前除了运营商、金融机构自己会建立专门的安全服务团队,其他的企业多不具备这方面的人力以及资源。以一汽车制造商为例,信息部门有5-6个人,平时的信息化运营维护工作量本来不小,很难提供专业的安全防护服务,在这种情况下,用户更愿意购买安全服务。
黄:对信息安全管理的软件厂商,不追求一次性销售、转而发展长期的服务是未来发展的趋势之一吗?
孟:我个人认为确实如此。很多北美的软件企业将完全的产品销售最终转为产品+服务这种模式,周期大约在7-10年之间,基本上都是这个规律。
我们从2006年开始搭建了一个纯粹服务团队。去年刚好赶上公安部测评中心的技术支持单位这么一个好机会,让我们的服务团队有了扩张的机会。如果没合适的政策,或者市场还没有培育起来,做服务可能还要赔钱。但是从长远上来说,我认为这是未来的一个趋势,所以我们将安全服务作为专注的发展方向之一。
