产业要素探索
当今,信息安全产业作为信息产业中一个相对独立的产业分支,在业内已经成为普遍共识,一些产业要素的出现,也标志着这是一个独立的产业分支。比如:有专门从事信息安全业务的企业,有信息安全产业商会,有针对信息安全的资质和相关认证机构,有针对信息安全产业的市场调查统计报告等等。
当讨论产业问题的时候,我们首先应当问问自己"到底什么是产业?"然而,对于产业的定义有多种方法,本文用产业要素作为分析和描述产业的方法。
那么,产业要素到底包括哪些呢?这里主要从交易品、客户、提供商、第三方这四大方面来分析和阐述。
一、交易品
交易品是标示产业差异化的最重要要素。通过交易品可以区分某个产业是饮料产业、交通产业、软件产业,还是我们所讨论的信息安全产业。在信息安全产业中,交易品包括产品类的防病毒、防火墙、入侵检测、漏洞扫描、认证、PKI、存储灾备、加密、内容过滤、UTM、安全管理平台等等;服务类则包括安全高端咨询、风险评估、系统和网络加固、应急服务、安全运营外包服务等等;当然,交易品也可以是产品和服务的不同组合,以解决方案和集成的方式为客户提供价值。
1、交易品的价值
能够形成产业并产生具有行业性的交易规模,交易品必然带有其独特的价值。这个价值可以为客户带来利益,并通过交易行为为交易品的提供者带来收入。
在信息安全产业中,这方面的价值主要通过安全价值来体现。而安全价值,主要通过减小损失的大小和可能性来衡量。安全价值的这个"减少负面影响"的特点,对整个产业形成了重大的影响。
2、交易品的核心技术
要想实现交易品(产品和服务)的价值,交易品自身必须具有相当的核心技术。这里的技术不仅仅被理解为计算机安全相关技术,其实表达为核心能力competence也许更加合适。比如:防病毒产品和入侵检测产品的核心技术之一都是特征库,防火墙的核心技术已经由包转发技术转变为芯片技术,加密技术的核心技术也从算法发展为包括密钥管理体系等等。当然,服务也有核心技术,比如项目管理、渗透性测试技术等等。是否具有核心技术,是支撑交易品价值的根本。
3、按产品进行产业子区间划分
由于交易品明显可区分、可比较的特点,所以我们会看到很多产业调查统计机构,都会按照产品分类来分析产业的结构。目前在信息安全领域,最主流的按照产品分类进行调查统计的分类方式是分为防火墙等安全网关、入侵检测和漏洞扫描、防病毒等内网安全、认证授权和管理、加密产品等。
二、客户
客户是真正掏钱来购买交易品(产品和服务)的一方,是整个产业赖以生存的衣食父母。
1、客户群分类
(1)、按规模分类
一般,客户常常会被按照规模来分类:消费类客户(比如家庭和个人)、中小企业客户(比如500人以下的企业或者规模较小的事业单位等)、大企业规模的客户(比如:一个省级运营商等)、超大规模的客户(比如:一个商业银行)。不同规模类型的客户,会有自己相近的特点,特别是交易行为会有相似性。
(2)按区域分类
按照区域进行客户群划分是一个非常常规的行业分析方法。众所周知,我国的信息产业常常会形成北京、华东、华南、华中、华北、东北、西南、西北等区域。由于地域的关系,不同区域的经济发展水平、信息化发展水平、地方消费形态都不尽相同。比如,广东的一个地市级电信公司的营业额可能相当于中部地区一个省的营业额。
(3)按行业分类
客户被天然地分为不同的行业。比如:金融行业、电信行业、电力行业、政府机构、军队、涉密单位、制造企业、教育等等。由于不同行业客户自身的业务特点不同,导致其对于安全的要求也都不尽相同。
2、客户需求
客户对外表现出来的最重要特征就是"需求",对于信息安全产业来说,就是"安全需求"。安全需求可能被不同的原因所诱发:
(1)问题驱动(Problem-driven)
因机构中正在发生、曾经发生的安全问题所引出的安全需求。比如:网站被入侵、网络遭到病毒侵害、发生火灾导致数据丢失等等。这些问题会立刻引发解决安全问题的需求。当然,机构能够观察到的其他机构出现的安全问题也可能诱发自身的安全需求。这类需求是信息安全产业最原始的动力。
(2)政策驱动(Policy-driven)
由于主管机关的要求和政策性引导,敦促机构重视安全问题,加强安全投入,从而引出了很多安全需求。这样的需求,常常由于机构自身对于问题的紧迫性认识不足,对于需求的理解不透,而导致安全投入和安全建设流于形式。但是这种需求在一定阶段支撑了整个信息安全产业的发展。
(3)体系化需求(systematic-need)
在客户的逐渐成熟过程中,政策性指导被逐步深化理解和实践,越来越多的客户开始从体系化的角度考虑安全需求和安全建设,强调建立"信息安全保障体系"、"监控体系"、"应急体系"、"业务安全体系"等等。这种体系化需求,通常是持续的,常常表现为一个持续2-3年以上的安全规划。
(4)合规性要求(compliance)
最近几年,安全需求开始逐渐向合规性要求方向转化。合规性要求常常表现为法律法规的要求、标准的要求、行业主管机关和监管机关的行政要求等等。比如国际上的萨班斯-奥克斯利法案、巴塞尔协议、ISO27000系列(7799系列)等;再比如国内的等级保护要求、风险评估、商业银行内控要求等等。这些合规性要求已经是多方面安全需求和经验的综合,常常具有一定的强制性。通过合规性所引发的安全需求会形成非常稳定的产业交易需求,是产业稳定发展的重要支柱。
三、提供商
在一个产业中,最关注整个产业命运的就是置身于产业中的交易品提供商(provider)。提供商是依靠产业而生存的。
1、经营模式
随着互联网公司的兴起和平静,"业务模式"这个词汇已经为大家耳熟能详,明白只有好的产品是不够的,同时还必须有好的业务模式。在整个信息安全产业中存在着不同类型的经营模式,也有不同经营模式并存的企业。例如:
(1)产品提供商
主要通过产品开发和销售来获得利润。原则上,渠道分销应当是产品供应商实现销售的主要方法。提高产品的品质、增加产品差异化、降低成本是其提高利润的主要方法。
(2)服务提供商
主要通过为客户提供服务来获得利润。比如:风险评估与加固服务、远程外包监控服务等。如何实现服务的规模化来获得高利润,或者通过维持服务的高差异性来保持利润,这些都是服务提供商考虑的问题。
(3)集成商
在信息安全产业中的集成商,实际上大部分都是从网络集成商、系统集成商转化来的。在对于客户的理解,以及项目实施的规范化和成本控制方面,集成商往往拥有产品商和服务商所不能比拟的优势。
(4)渠道分销
渠道是产品提供商通向客户的通道。一个交易品提供商出于自身经营成本的考虑,如果要实现产品放大效应的销售,仅仅依靠直销方式是不足取的。通过渠道网络来使产品快速到达客户是非常必要的。当然,渠道商的自身价值就是通过网络的规模,传递的速度等等来体现的。
(5)科研和开发
在产品提供商的背后,还有真正进行技术研究和产品开发的团队。如果这个团队在产品提供商的内部,那就是该企业的研发中心,如果这个团队在产品提供商的外围,那么他就是一个独立的研发机构。例如,有的企业自己不向市场提供防病毒产品,而专门向防病毒产品厂商提供病毒代码库。这样的企业要体现价值就要保持技术的先进性。
2、人才
"21世纪最贵的是什么?人才!"这句某部电影里有些搞笑的经典对白,却是当今社会的现实反映。在信息安全产业中,有其他IT行业共性的人才需求,如:企业管理人员、产品研发技术和管理人才、项目管理人才、客户行业专家等等。另一方面,信息安全产品也由于其自身特点,产生了很多特殊的人才需求,例如:
(1)黑客攻防类技术人才
安全是具有很强对抗性的技术,很多貌似"固若金汤"的防护体系,经常被具有逆向思维的黑客人才轻易攻破。这类人才是这个行业所必须的,但是由于这类人才的群体文化、历史沿革等特殊因素,形成了一个不同于传统企业管理文化的特殊形态,所以这类团队的管理和发展具有很大的挑战性。
(2)体系化人才
信息安全问题具有超复杂的特点,在解决该类问题时,需从整体的体系上去考虑。体系化人才的培养将是一个长期的过程。
(3)综合技术人才
由于安全问题是依附在网络、系统、应用之上的,这种复杂的存在形式将要求那些分析和解决网络安全问题的人员具备综合的技能和知识。然而,这类安全人才却是非常缺乏的。
信息安全产业中这些特殊人才需求,导致信息安全产业整体上的人力成本过高,从而大大地影响了信息安全企业的盈利能力。
3、组织
不同的供应商,由于其自身的发展史、业务模式的不同,逐渐形成了自己特有的组织结构。不同组织结构和管理执行体制,反过来也会影响企业的业务模式和经营行为。在当前中国的信息安全产业中,典型的组织形态包括:独立的专注的信息安全公司、系统集成商的一个安全部门或事业部、软件企业演化而来的安全公司、网络设备制造商发展的一个部门、个人初创的小团队公司、科研院所发展的安全企业等等。这些不同类型的安全企业正随着市场和产业的发展变化而起起落落、分分合合。
尽管我国大多数的信息安全企业都大不过10岁,谈不上文化的积淀和积累,但是不同的文化风格却是客观存在的,而且,企业中的这种文化氛围也是企业组织、制度、管理形态的重要组成部分。
4、资本
资本,作为为企业经营注入关键性资金的方式,从中国信息安全产业形成的阶段起便对整个产业有了很大的影响力。一笔融资的成功获得不但会影响到一个企业的发展,甚至会影响到整个信息安全产业的走向。众多的信息安全企业已不再按部就班地进行传统的资金积累和常规发展。伴随着互联网公司的起落,虽然没有一个中国信息安全企业在这轮泡沫中成功上市,但是大家也都或深或浅地进行着资本运作。
5、商会协会
众多提供商在一起形成的组织,常常以商会和行业协会的形式存在。这种商会或者行业协会的存在是产业成熟和有序的标志。
四、第三方
在信息安全产业中,除了买方(客户)、卖方(提供商)、交易的产品或服务之外,还有一些要素是以第三方的形式出现的。第三方在整个产业中不但是不容忽视的因素,甚至还起到举足轻重的作用。
1、主管机构
在我国,有多家信息安全的主管机构来应对信息安全工作的特殊性、敏感性和复杂性,作为第三方,它所制定的指导性政策和强制性法规标准对于整个信息安全产业的推动和影响是至关重要的。
今年,由信息安全主管机构推动的等级保护工作、风险评估工作、分级测评工作等不但促进了我国关键基础设施领域的信息安全工作的开展,也客观地促进了整个产业的良性发展。
信息安全产业作为一种特殊产业,多头主管的局面应当是一个正常的局面,同安全产业本身的风险分散、安全制衡等原理具有极大的相似性。所以多头主管、中央协调的产业主管机制是一种非常良好的结构。当然,这样的主管结构必须能够在面对突发性全国性网络灾难的时候,能够迅速集中并协调一致地应对。例如,美国的国土安全部就是这样一个总体协调性机构的角色。
2、测评和认证机构
测评和认证机构不同于行使行政权力的产业主管机构,它体现的是公正和权威。通过对信息安全产品的安全功能能力、安全保障能力、产品质量和性能等等方面进行测试和评价,为客户和提供商提供公正的第三方观点。
同时,随着产业的发展,这样的测评认证不仅仅包括对于产品的测评认证,还包括人员资质、企业资质、服务能力资质、产品型号资质、产品抽查、系统安全等级等等方面的各种形式的测试、评估、评价、认证、认可等。
3、媒体
一个产业如果没有媒体的介入,就不是一个活力四射的产业。在我国信息安全产业的发展中,从2000年开始,媒体的高调介入便成为推动整个产业发展的一股不可忽视的力量。2000年,媒体对"黑客"这个词汇的反复宣传,客观上提高了整个国家各个层面对于安全的认知水平和重视程度。
媒体作为一种传播途径,不但在协助提供商宣传产品、宣传企业自身起到了非常关键的作用,同时也在自身服务范围的拓展上成绩斐然,比如,从事产品的测试、评比、评奖等,已经成为信息安全产业的惯例性活动。
五、其他
一个产业的要素是丰富多彩的,不可能用上面的分类全面涵盖。上面所提取出来的产业要素仅仅是反映了产业的一个方面而已,其他的产业要素仍在信息安全产业中存在着。
产业要素应用
对于信息安全产业要素的探索和研究是为了能够更好地了解和把握信息安全产业,从而为企业的决策和经营提供指导。限于篇幅,这里仅仅初步介绍一些产业要素应用的例子。
一、企业基因和行业定位
每个企业都有自己的独特性,如何能够很好地将自己的独特性表达出来,也许利用产业要素进行梳理,将是一个好的方法。
将一个信息安全企业按照产业要素的交易品、客户、提供商、第三方等进行分析阐述,可以较清晰地描述出企业的"轮廓",从中也可以看出企业的真正定位所在,进而对这个定位进行反省和分析,并对自身进行更有利的调整。
二、合作定位
在信息安全产业中,企业和企业之间的合作,企业和客户之间的合作,企业和第三方的合作越来越普遍。如何能够寻找到合适的合作伙伴,并且能够形成一个具有较好持续性的双赢或者多赢局面?运用产业要素分析,对合作的各方进行产业定位分析,将会对其产生指导性的作用。当描述各方在产业定位转移方面的意向时,如果能够在产业要素对比分析中看到矛盾大大小于共同利益,冲突大大少于相互的补充,那么这个合作就是有前途的。
如果面临具有更加复杂和风险的企业合并问题的时候,则需格外谨慎。从产业要素的各方面进行分析,才能得出正确结论。
三、产业要素的应用总结
其实,产业要素分析并不是一个革命性的认识。在我们讨论产业问题的时候已经或多或少地应用过其中不同的要素。如果能够比较全面地、有条理、有重点地分析这些要素,能帮助我们解决的最大问题便是"定位"问题。可以说,产业要素分析是一个战略层面的分析工具。关于产业要素,特别是信息安全产业要素的探索才刚刚开始,信息安全产业的多样性必将给这个分析方法带来越来越多的色彩。
