2015年6月第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法(草案)》于2015年7月6日在中国人大网公布,并向社会公开征求意见。草案指出:在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用网络安全法。国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设,鼓励网络技术创新和应用,建立健全网络安全保障体系,提高网络安全保护能力。网络安全正在上升到国家法律层面,意义可见一斑。
随着微信、支付宝、携程等与人们的日常生活息息相关的各类服务安全事故的发生,以往网络安全主要体现为网络诈骗、木马中毒等个案,如今网络安全事故越来越多成为社会公共安全的一部分。电信运营商,作为网络设施的建设、运营和维护单位,在网络层面承担了基础和关键性的角色。同时,又与网络应用服务和终端服务有着紧密的联系,因此,电信运营商在网络安全领域的作用不言而喻。在这种情况下,以我们传统的看待运营商的眼光,大数据时代,网络安全市场规模快速增长,电信运营商能在这一细分市场掘到金吗?
一、网络安全行业市场规模如何?
云服务的快速普及、无线通讯、公共事业行业的网络犯罪增加以及更加严格的政府监管措施出台是市场快速发展的主要推动因素。特别是网络犯罪逐渐增长导致资产的损失,并可能损害国家的基础设施和经济,因此网络运营商、云服务提供商和垂直行业都将加大网络安全解决方案的投入。从行业来看,航空航天、国防等领域仍将是网络安全市场的主要推动力量。因此,我们首先可以用网络安全市场规模将快速增长来定性描述,定量的分析,不同的机构给出的研究报告由于涵盖的范围差异,市场规模数据差异较大。
国际网络安全研究报告显示,2014年全球网络安全市场规模近6000亿元,在未来5年,年复合增长率达到10.3%,到2019年,市场规模接近万亿。其中,全球无线网络安全市场规模将接近1000亿元,年复合增长率约12.94%。
根据国家十二五规划,到2015年,将形成30家信息安全业务收入过亿元企业,力争培育出信息安全业务收入达50亿元的骨干企业。预计到2018年,中国信息安全产品市场规模将达到480亿元以上,复合增长率约为21%。
投行研究机构则认为,随着网络安全法的加快出台,将对整个信息安全产业发展起到重要支撑作用,预计市场规模将达千亿规模。
2014年12月,IDC发布了2014年上半年中国网络安全市场分析报告,统计出2014年上半年中国IT安全硬件市场规模接近30亿元,并预计全年可达70亿元,同比增长18.8%。据IDC统计分析,防火墙硬件市场规模上半年超过10亿元,同比增13.6%。IDC还指出,2013年中国IT支出已超越日本、仅次于美国达1827亿美元。而信息安全仅占其中1%,仍有巨大发展空间和潜力。而防火墙36.1%的份额仍是最大的安全子市场。
从这些相关数据中我们可以发现,网络安全市场与电信运营商直接相关的市场规模情况并不是很清晰。因此,对于电信运营商而言,首先要研究明确与自身能力或者未来目标有关的行业市场情况如何。否则,电信运营商在网络安全领域的具体动作就是盲目的。
二、运营商在网络安全具体领域能力如何?
要在网络安全领域有所作为,获得收益,从而找到业务转型的新方向,这是三大运营商高层的基本判断。这一点,在2014年首届全球互联网大会上三大运营商的主题发言中,中国电信董事长和中国联通董事长均提到了网络安全问题。尤其是中国电信,在主题发言中花了较大篇幅阐述对网络安全问题的看法以及中国电信在网络安全方面所做的努力,同时也在具体产品或者解决方案方面进行了更加积极的探索,如从网络特性上强调电信C网起源于军用的高安全和保密性、去年年底推出的十余款安全手机以及与酷派合作推出的首款双系统安全手机,再比如2015年7月16日在北京举办了“天翼安全”系列产品发布会(发布了三款自有产品:DDos防护产品“云堤”、安全办公产品和支付安全产品“天翼U盾”),同时还宣布将与腾讯深入合作,共同推出网络安全合作产品。
这都表明,在“互联网+”时代,信息安全上升到国家战略高度,运营商都将其视为互联网化转型的一次重大业务布局。但问题是,运营商在网络安全领域到底有哪些优势和劣势?这从根本上决定了电信运营商能否在网络安全领域的实际作为,能否掘到金矿。
如果从网络、应用和终端三个层面来分析,个人认为,电信运营商的优势主要(或者不客气的说,仅仅)体现在网络层面,而至于应用层面和终端层面表现的更多是劣势。
我们知道,构成比较重大的网络安全事件通常都是网络攻击,利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件以及系统中的数据进行攻击。特别是大数据时代,数据已经越来越成为一种重要的个人或者组织资产。非传统武装打击方式的网络基础设施的攻击引发的潜在危害巨大,因而也是最担心的。所以电信运营商作为网络服务商,在这方面投入的力度最大。如前述提到的电信的DDos防护产品“云堤”便是如此,流量攻击清洗能力、攻击溯源能力。再就是为党政军、金融、税务等特殊行业提供安全保障的能力方面。
而在互联网应用层面,其主要仍然体现为作为管道提供商,在应用服务商接入层的网络安全能力方面。至于互联网应用本身的安全能力,运营商不具备,主要做辅助性作用。
在终端层面,同样的道理,也不是运营商的专长。我们看到中国电信推出的安全手机,本身也是基于网络的抗干扰、通信安全和数据保密性等,主要是用户隐私泄露等。但如今的网络时代,诸如姓名、年龄、电话号码等传统所谓的隐私已经毫无隐私可言。
由于运营商本身提供的各类应用在行业缺乏竞争力,安全对用户而言卖点不足,而像双系统安全手机这样集终端、网络和应用为一体的整合方式,虽然解决了常见的信息安全问题,但在行业存在可替代且免费的解决方案的情况下,要形成有效付费很困难。既有行业竞争问题,也有用户为安全买单的习惯转变问题。因此,从侧面数据来看,中国电信推出的安全手机,在市场上的反向并不佳。
因此,个人认为,运营商在网络安全市场的金矿主要来自行业企业应用层面,主要是党政军、金融、税务等要害部门为了防止突发的基础性的网络攻击所支付的“保险费”,乃至大型互联网企业为了确保网络层安全而支付更高的费用,这方面运营商具有很强的市场定价权。至于公众用户层面则很难掘到金,相反更多的是必要的投入以避免自身网络遭遇攻击。早先杀毒软件收费模式被免费模式替代后,面向公众用户基于安全付费的模式还很难转变。同时,运营商在公众层面的能力远不如市场化的其他企业的情况下,首要的问题是为推广其安全产品而花费资源。
三、几点建议
1、网络安全对于运营商首先是投入
根据《网络安全法(草案)》第三章第二节中关于“关键信息基础设施的运行安全”的条款(第28条),关键信息基础设施的运营者还应当履行下列安全保护义务:(1)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位人员进行安全背景调查;(2)定期对从业人员进行网络安全教育、技术培训和技能考核;(3)对重要系统和数据进行容灾备份;(4)制定网络安全事件 应急预案,并定期进行演练;(5)法律、行政法规规定的其他义务。
因此,事实上,电信运营商在网络安全领域首先是需求方(消费投入方),主要是为网络安全市场制造蛋糕,其次才是分享蛋糕的。即自身网络层面的安全能力的提升,需要更大的投入,从而为设备制造商及安全服务服务商提供了更多的机会。此外,自身专业的安全人才队伍的培养还需要加大投入。
2、有所为,有所不为
我们看中国电信的“天翼安全”系统产品发布会所推出的一系列产品就能发现,运营商普遍还是习惯性的做大而全的产品系列。把行业解决方案和公众用户的互联网化产品都囊括进去。正如前文所指出的,运营商在网络安全的市场机会主要在行业解决方案上,而公众用户侧主要是以投入为主,大而全的方式是否是最佳选择值得商榷。当然,我们也注意到,中国电信选择了与腾讯合作,也从一定程度上意识到自身的短板所在。但即便如此,要想克制也还是很难的。认清能力,有所为有所不为是一个重要原则。退一步说,即便是要大而全,也有一个分步骤分阶段的过程,同时推出,难以兼顾。则拿出的产品又是粗糙的。
3、网络安全是双刃剑,承诺太多恐惹事
对于用户而言,网络安全普遍的问题是(电信)诈骗,通过网络或者电话、短信等方式进行的各种形形色色的诈骗活动,受害方指责较多的是运营商在其中的不作为行为。虽然运营商很多时候也声称自己也是受害方,但是当不能证明自己已经做到必要的注意和勤勉义务的情况下,也有可能要承担一定的法律后果。
而网络安全本身是一个很复杂的问题,俗话说的好,魔高一尺道高一丈。但同样,也有道高一尺魔高一丈的情况,在网络世界更多是道高一尺魔高一丈的情况。因此,运营商如果在推出具体网络安全产品的时候,如果免责条款做的不好,出现网络安全事件时,自身面临的风险也是巨大的。因此,在宣传中要避免夸大和过度承诺,避免出现超出自己能力范围的事情。
总之,个人认为,当网络安全问题日益突出的情况下,人们有免于网络恐惧的自由。但对于运营商而言,它的责任和义务是第一位的,通过安全获得利益是第二位的。这是运营商本身的特殊身份所决定的。要掘金,得首先定位好金矿的位置——基于网络层能力的行业解决方案。应用服务和终端层,建议慎入,那不是运营商的菜。
