二、关注内网安全技术的发展与应用
黄:以往企业更关注外部的攻击,现在信息的泄露等内网安全问题是不是逐渐成为了大家关注的热点?
孟:确实有这个现象,但并非表示来自外网的攻击降低了,反而是在增加的。比如银行的网银服务,遭受到大量来自外网的攻击,这和中国信息化建设的历程有关。中国信息化建设的时间非常短,有些企业花钱买了好的硬件设备,甚至都没有来得及使用;另一个方面,人才储备有限也是重要的限制因素。当然,最起码的安全意识还是有的,既然有了网络的应用,显然要防止外部的攻击,这是企业最早做安全防护时的想法。经过了最初的安全建设阶段之后,随着企业对网络的依赖程度越来越大,比如网上审批文件量越来越大,企业发现缺乏管控手段,这样才产生了诸如权限管理、信息泄露等安全问题。这完全是由应用需求拉动的,应用越深入,关注的面就越广,现在企业对内网安全意识也更加强烈。
黄:现在做内网安全的厂商很多,比如桌面管理、灾难恢复、文档备份等等,解决信息安全问题有各自的特点和角度,您作为信息安全领域的专家,如何看待目前信息安全领域的格局?
孟:我认为信息安全领域可以分为三类:第一类是与内部网络结合在一起做网络管理;第二类偏重于安全防护,做内部安全管理;第三类偏重于数据安全,比如存储备份。严格说来,圣博润偏重于内部安全管理。最近我们刚刚做了统计,国内号称做内网安全管理和桌面管理的厂商将近有300家,这个数字听起来挺吓人。为什么会出现这种状况呢?因为缺乏明确的国际标准。到目前为止,防火墙、防病毒有明确的国际标准,而内网安全却没有。你看ERP有标准吗?没有,因为涉及到了管理。而管理的问题和两方面有关系,一是企业应用的水平,二是管理的文化。内网安全管理上的差异不在于采用何种技术,而在于使用者的水平以及企业的管理水平。以制造业为例,我们有一个杭州汽车配件企业客户,他们和大的整车生产企业的防护水平肯定不一样,不仅是信息化投入多少的问题,而是企业本身在信息管理上就有很大的差异,这也造成了企业对信息安全需求上的差异。正是因为内网安全的产品涉及到了管理,又没有一个国际标准去衡量,各个层次企业的需求不同,产品众多却都有生存空间就不足为奇了。
黄:您预测目前这个市场格局今后将会如何变化呢?
孟:与现在的内网安全市场类似,2003年前后各大厂商纷纷推出防火墙,当时也有300多家。大多数企业的市场意识就是这样,别人做什么,我也做什么。这种模式直接导致了后期进入某个行业的企业,成本会很高,尤其是一些小企业,发展到后来生存都是问题。以前中国的大环境对知识产权管理不太规范,有的企业研发部门关键负责人离职之后,带了一套源代码,就成立了一个公司,开始做同类的产品,成本低,产品也比市价要低。看似公司成立的前期是赢利的,但是软件行业属于规模效益型企业,达到不一定的规模是发展不起来的。很多中小企业在这个问题上没有什么深刻的认识。从去年开始,很多企业已经退出市场,这个领域的市场开始洗牌了。
黄:您这么一说,让我想起去年业内曾发生了这么一件事情,某厂商先用DDOS手段攻击某网站,造成无法访问,然后推销自己的产品。您怎么看待这种现象?
孟:严格来说,这是一种黑客行为,法律上不允许的。企业要经营得好,需要遵循国家基本的法律法规,不能因为市场刺激而采取极端的方式。攻击是找到安全漏洞很重要的一个途径,通过攻击可能会刺激用户的购买率,但是客户买了产品,会对厂商产生更大的疑虑和恐惧。我们在产品销售的过程中,并不主张这样用。
现在,我们在为很多网站做服务,需要通过远程渗透的方式来找到一些问题,在这种情况下,我们是要客户授权,需要出具有法律效益的文件,并规定一定的期限,否则就不会采用这种方式。
黄:信息安全厂商也不可能解决所有的问题,有些问题可能并不在厂商需要解决的范围之内,在这方面有没有免责条款?
孟:我们在销售产品的时候,会给客户传播一种理念:安全问题是没有止境的,只能说做了肯定比没做好,保护措施做的多肯定比做的少要好,对安全方面敏感程度很高的企业尤其如此。在行业内没有免责的问题,作为厂商,圣博润会提供公安部的销售许可证、保密局的证书以及相应的测试报告,这是我们产品能力的证明,我们只对产品功能描述中可以解决的问题负责。选择权在客户手里。
三、关注制造业的信息安全问题
黄:您之前提到了目前内网安全标准还没有统一,在这种情况下,针对制造业圣博润采取怎样的策略呢?
孟:不仅是现在,我认为在相当长的时间内,内网安全很难形成一个统一的标准,制造业的桌面安全管理也一样。就我们接触的客户来看,我感觉离散制造业的需求很难形成规范。
我们刚刚中标中国一重,最近准备做实施,按说中国一重是信息化建设非常有代表性的企业,他们的需求和我们北京的一家客户Ameco又不一样,企业对产品功能的需求差异很大。这样就要求厂商一开始就必须把系统做得大而全,以满足不同层次用户的需求。这也是圣博润研发内网安全管理系统的思路。在产品功能上既能满足中国一重这样的大型企业的要求,也能让江浙地区200、300人的小企业用好。
黄:有些集团型企业分布在各地,安全问题更加复杂。对于这样一类需要异地协同管理的企业,圣博润的产品如何满足他们的安全需求?
孟:对于这种集团型异地分布的企业,很重要的一个特点就是多级管理。圣博润现在的技术不仅可以在Intranet中管理,也可以通过Internet进行管理。目前异地传输VPN技术已经很成熟了,只需要在产品中做到权限管理,不同层级里面会对不同角色控制的范围进行限制就可以了。
黄:制造企业的客户大概占圣博润客户数多大比例?如何看待制造业信息安全领域的市场?
孟:制造业大约能占到10-15%,其中不包括军工行业。在安全领域,前者不完全算是制造业,还不是离散型的。后者的信息安全问题和制造业的不一样,我觉得应该把它们划分到政府里面,军工企业的内网是完全物理隔离的,制造企业则并非如此。
不同规模的制造企业对于信息安全的需求有所不同。如中国铝业这样的大型企业,在做信息安全防护时,往往会从整个体系去考虑问题,而不仅是产品,他们可能会选用高端的产品。中小规模的企业同样有安全防护的需要,但又不愿意花太多的钱,这类用户会请我们这样的厂商提供信息安全的防护。
目前,圣博润最大的客户还是在政府,我们可能从政府的中央机构做到全国各地市。制造业客户则比较分散,市场营销的模式和政府完全不同,我认为制造业信息安全的市场潜力非常大。
黄培与孟岗总经理的合影
