安全中的长尾现象

中小企业数量和信息化的程度越高，尾巴就越长；针对中小企业的攻击越多，尾巴的厚度也就越大。

简单来讲，安全中的长尾现象是由信息安全攻守双方的交错制衡而产生的，具体表现有两个：安全风险长尾和安全市场长尾。

安全风险长尾

2011年工信部的《“十二五”中小企业的成长规划》中表明，到2010年末我国的中小企业数量是1100万家，如果再加上个体工商户，总共会达到4500万家，这些中小企业在国家的国民生产总值，包括就业岗位累计起来已经超过了大型企业。另据CNNIC的调查报告，中小企业使用计算机的比例在90%以上，使用互联网的比例在85%以上。而这些中小企业目前的信息安全防范手段非常薄弱。国内曾经有一家公司做过调查，问中小企业安装企业级杀毒软件的比例有多少？调查结果是只有20%的中小企业用了企业级的杀毒软件。而企业杀毒软件仅仅是企业安全防御最基本的一种，由此可见国内中小企业的安全防范水平非常低下，导致了广泛存在的安全风险。

简单讲，中小企业面临的风险有三种：第一、显性风险，指安全问题会导致这个企业发生的直接损失，包括经济损失、名誉受损等。第二、隐性风险，指由于产业链条上不同企业具有的安全问题给链条之上其它企业带来的安全风险。第三、社会风险，是指由于中小企业自身的计算机等设备被黑客控制后可能对社会造成的潜在风险。如果我们按照风险大小作为纵轴，将企业按照规模大小排列在横轴上，因为在中国的中小企业数量非常巨大，所以横轴就会非常长，并且形成了一个风险的长尾。中小企业数量和信息化的程度越高，尾巴就越长；针对中小企业的攻击越多，尾巴的厚度也就越大，而这些就是目前的趋势。我们有理由相信，位于长尾部分的中小企业的安全风险随着目前这种趋势会越来越大，甚至累加起来的总和会超过大型企业的累积风险。如果针对这部分安全风险长尾我们没有进行适当的控制，它对我们整个国家的社会环境和经济环境就可能会造成直接影响。

2011年CNCERT中国网络安全状况报告，表示经抽样调查发现在中国网络中有890万台计算机是僵尸计算机，就是已经被人恶意控制了。2012年，CDN厂商Akamai全球互联网状况分析报告，表示全球网络攻击来源地区第一名是中国。来源于中国的攻击未必是中国人在背后操控，但是这样会给人一种印象，认为中国的互联网环境是不安全的。

安全市场长尾

既然中小企业数量这么大、风险这么高，那么为什么他们没有实现有效的信息安全防护呢？其主要原因非常简单，第一是没有钱，第二是没有人。即使企业规模很小，按照传统的建设方式，企业也往往要一次性投入几万、几十万才可能建立相对完备的信息安全体系。此外，信息安全维护需要紧跟安全威胁的趋势，但是中小企业很难有合适的安全技术人才对这些安全产品进行维护。中小企业自身没有条件，那么安全厂商为什么不把这个目标瞄准这几千万家中小企业这个非常巨大的市场呢？作为一个安全厂商或安全集成商，给企业提供安全的产品和服务是有成本曲线的，包括推广成本、销售成本、运营成本。这些成本不随着中小企业服务对象规模的缩小而降低为零，这个成本是相对固定的，而且在一定程度下会超过目标企业的预算。成本曲线和企业的预算曲线有一个交叉点，这个交叉点右侧这部分对于安全从业者来讲就无利可图了。

下面，我们分析为什么我们可以利用云安全服务这种新兴的安全建设方式来解决这个问题，将众多中小企业原来由于成本问题而制约的需求释放出来，形成一个新的安全长尾市场。首先从用户投资角度分析，他们只需要按需租用云安全服务，而且可以根据公司规模进行弹性地租用。从用户维护来讲，是不需要企业客户来费心的，基本所有维护都是由云安全服务商进行，这样，困扰中小企业的钱和人的问题就解决了。从云安全服务商来讲，采用SaaS这种模式的安全服务非常类似于互联网产品，它的渠道建设、销售、服务等都可以采用在线的方式，因此成本曲线会下降，从而降低到了中小企业客户可以承担的程度，这样就形成了一个巨大的新的安全市场。

目前越来越多的安全厂商和服务商开始在云安全服务市场发力。McAfee在全球联合很多运营商和服务合作伙伴企业提供多种类型的云安全服务，在这个领域具有超过十年的经验，在中国也联合国内的合作伙伴落地了部分云安全服务。之前数月内，中国电信安全服务中心了网站保护“安全云服务”，进入了这个广阔的市场。安全行业先驱、原Netscreen创始人邓峰先生投资了云安全服务企业安全宝，为这个市场添加了浓墨重彩的一笔。

郑林

迈克菲中国区技术总监。在网络信息安全领域拥有十余年的工作实践经验，主持及参与过多项大型信息安全项目建设以及国家信息安全标准制订工作，并对云计算、移动互联网等应用趋势中存在的潜在安全风险及防范具有深入认知和见解。