我国信息安全管理软件前景探究

[摘 要] 研究了我国信息安全市场的现状与不足、行业需求特征与本质，并分析了信息安全管理软件的市场前景与蓝海定位点――安全管理的测评软件。

[关键词] 信息安全市场 管理软件 蓝海定位点

在国内随着信息安全产品成为炙手可热的焦点，网络设备厂商与专业信息安全厂商之间战火重燃。从此前的思科、H3C进军安全市场，到2006年百度以“整合资源”的方式高调进人，可以看出更多的网络企业越来越关注信息安全产业。不能否认，这对于当前整体安全领域的形势是有利的，但网络设备厂商与专业安全厂商之间的竞争，对于先占市场先机的专业安全厂商仍是一个严峻的挑战。因此，身处竞争激烈的信息安全市场的专业安全厂商，应如何恰当地选择属于自己的“蓝海”，延续在信息安全市场的些许优势尤为重要。

一、信息安全市场现状

在网络安全产品的平行市场中，政府继续保持了市场份额第一位，电信和金融行业的市场份额分列第二和第三位，这主要得益于电子政务市场保持高速的增长，而电信、金融等行业的信息化建设相对放缓。从各类IT安全产品部署情况来看，“防病毒系统”、“防火墙”、和“入侵检测与防御系统”仍然是最常见的安全产品。在2007年，SSL VPN在用户得普及程度也逐步扩大，已经有接近15.2%得用户部署了SSL VPN产品。而对于一些高级的安全产品，比如“企业资源管理”和“系统漏洞评估系统”等，部署的用户则较少。

二、信息安全行业本质

1.信息安全市场需求特征

从需求方而言，对信息安全的迫切需求，即在信息广泛流通而导致的巨大风险时，就有了对信息安全的需求。因此，信息产业发展得越快，对信息安全产品的需求也就越大。在中国网络安全产品的垂直市场中，政府、大中型企业仍占据最大市场份额，但市场份额同比有所降低；教育和家庭市场对于网络安全产品的需求较为平稳，市场份额变化不大。影响信息安全产品市场需求的主要因素有以下几个：(1)信息本身带给使用者的收益大小：收益越大，要求保护的愿望越强烈，对信息安全产品的需求也就越强烈。(2)信息的流动渠道畅通程度和被攻击的可能性(外部环境的安全性)：渠道越畅通，信息资源共享越深入，信息流传开的可能性越大，损失产生的可能性也就越大，对信息安全产品的需求也就越大。(3)对信息安全产品需求还具有一个突出特点：对选定的往往希望它与其他各种信息产品具有兼容性。由此可见，信息本身对使用者收益越大、信息流动越畅通、被攻击可能性越大的用户越可能成为信息安全产品市场的聚焦点。

2.信息安全需求本质

（1)三分技术、七分管理。信息系统已经成为政府及企业这个复杂系统中的神经网络。一个政府或企业，管理信息的机密性、完整性和认证性深刻地影响着企业的生产经营管理。因此，现代政府和企业需要构建和维护安全的信息系统，而这并不是仅仅依靠计算机技术人员就能够完成的。信息安全主要是一个管理问题，而不是技术问题。

（2)无法测量，就无从管理。信息安全“三分技术，七分管理”的思想已被广泛接受，然而在实际的安全实践中，安全管理依然被人们忽视。导致这种局面的一个重要原因是安全管理的效果未能得到科学的评价。一方面安全管理的有效性难以评价，相对于安全技术，安全管理包括了众多的非量化的难以测量的因素，所以评价工作难度较大；另一方面，人们过分依赖信息安全技术的实践应用，而对于安全管理的评价研究却比较零散。

（3)安全问题以“短板”为切入点。虽然制订了较多的制度和标准，当信息化发展到一定程度，这些制度就显得很单薄，就事论事的管理方式必然会产生安全管理的盲区。

（4)动态管理。在信息安全管理过程中，重点是抓好人员安全、风险评估、信息安全事件、保持业务持续性等重要环节，采取明确职责、动态检查、严格考核等措施，使信息安全走上常态管理之路。

三、蓝海的定位点――信息安全管理软件

近期，《Information Week》研究部和埃森哲咨询公司合作进行了第九年度“全球安全调查”，该调查全面揭示了商业计算环境所面临的各种威胁。在受访者当中，有57%的美国公司表示在过去一年中曾遭受病毒攻击，34%曾受到蠕虫的攻击，18%经历了拒绝服务攻击；而中国的情形更差一些，有23%的公司表示其客户数据安全受到威胁，27%的公司遭受了身份窃取形式的攻击，受访的2193名安全专家和商业经理中，58%的人认为安全管理已成为当务之急。可见，信息安全需求主体必将对信息安全管理的软件产品与服务产生迫切的需求。

针对安全管理的疏忽和漏洞统计及动态处理的相关解决方案必将有极强的吸附性。实际上目前一个组织对信息安全政策的实施度、信息安全保障的实际效果等都亟需客观系统性的评价，而软件行业的解决方案将准确高效的处理这些复杂的系统工程难题。

国际信息安全管理度量标准及模式开始在我国被广泛认可。但信息安全管理标准是抽象的,因此在实施过程中需要选用那些已经对其进行充分量化的信息安全管理软件,通过这些软件,组织可以尽早的发现其内部的信息安全管理中所存在的薄弱点和威胁,并制定出决策方案使其损失降至最低。目前国外较常用的ASSET、COBRA和Callio Secura 17799三款软件。

信息技术及管理学科的人才力量。在科研人才方面，目前我国重点高校都设置了与信息安全相关的专业，在管理学科领域，也出现了一些依托互联网技术而产生的新专业。从职场人才来看，我国已具备了一批有战斗力的网络警察、反病毒工程师、红客(信息安全员)等。与此同时，我国组织了大量的信息安全领域专家，成立了中国信息协会信息安全专业委员会等，为领导和指挥我国信息安全产业的发展提供了稳固的人才基础。

参考文献:

[1]ISACA[S].IS Auditing Standards

[2]ISO/IEC 3rd WD 27004,Information technology-Security techniques -Information security management measurements[S]