中美网络空间安全产业结构和组织体系分析

作者:DustinW

第一部分:美国网络信息安全产业格局及组织结构

美国信息网络安全产业层次结构与主要企业

产业结构

几点认识

第二部分:我国网络信息安全产业格局及组织结构

我国信息网络安全产业层次结构与主要企业

产业结构

几点认识

第一部分:美国信息网络安全产业结构和组织体系分析

无论是从冯.诺依曼开创的ENIAC(电子数字积分计算机)领域,还是DAPRA奠基的当今互联网的雏形--APRA网,再到NetScreen驱动的早期网络防火墙技术,甚至于最近热议的FireEye创立的未知威胁识别技术,这无不说明了不论是个人、组织或者企业,一旦融入美国体系化的发展创新机制,都将会迸发出巨大能量,不断推进自身前行。然而,更需要我们认真思考的,是美国强大的产业导向、顶层设计能力,这使得不论是类似Microsoft、Apple这样的IT技术设施级别巨头企业,还是Symantec、TREND这样安全领域的巨头企业,甚至FireEye、Bit9等新兴企业,都能够在自己的轨道上默默运转并形成合力,最终将资本所辐射出的安全能力最大化的覆盖到商业领域或国家项目中。

谈国家驱动的信息网络安全能力,首先必须要达成2点共识:

A. 国家必须应用最先进的技术产品;

B. 最优秀的能力一定都沉淀在民营企业中。

信息网络安全领域,不同于其他领域,就算技术发展不快,其遭受的影响不一定很大,如能源类国企,就算开采技术较滞后于国际先进企业,但是面对广阔的国内市场,依然可以保持较高增长。然而,信息网络安全领域由于其攻防特性,不会存在第二名,如果某关键基础设施未能应用最优秀的防御技术,那么遭到威胁的概率将会大规模提升。

基于这样的共识,本章的讨论要点就转变为如何将企业中的优秀能力提取出来。

1. 美国信息网络安全产业层次结构与主要企业

下图是安天Seak给出的一幅美国安全产业结构图谱,从图中我们可以看到:

1.1 职能领域划分

随着信息技术的快速发展,网络空间逐渐成为大国博弈的“战略要地”,这也就决定了网络信息安全产业不但具有传统行业的商业属性,更加具备了国家安全的战略属性。尤其是美国,由于其在IT技术领域的先发优势,也使得其对IT基础设施的依赖强于他国,所以美国除了引导网络信息安全产业发展,取得经济利益的同时,还十分注意顶层设计的前瞻性,并投入巨资,进行产业引导,将企业的能力结构化的接驳到国家需求上来。这两者之间的关系在国家视角下,应该理解为:依靠经济手段,来满足国家安全战略需要。

这里面的“依靠经济手段”,就是指美国的合同制度(美国国防研制生产合同,Defense Contact)。美国联邦采办条例(FAR)第16章《合同类型》中规定的常见政府合同高达23种,可分为两类:第一类着眼于价格因素,称为“定价合同”;另一类着眼于成本因素,称为“成本补偿合同”。该两类合同的目标,都是为了保证供应商利润的前提下,促进输出物的整体质量。另一方面的“满足国家安全战略需要”,就是DoD、NSA、DHS等执行机构,根据国家信息安全委员会制定的国家整体安全战略,而具体计划、设计、实施的国家级项目(如CNNIC、TreasureMap、X Plan等)。

依靠这样的较为明晰的政企分工,就保证了政府部门可以在遵循保密原则的前提下,将政府制定的宏观战略规划所需的能力,像泵一样从企业逐级的抽取上来。

1.1 技术领域划分

作为信息技术的先行者,美国具备着世界上任何国家无可比拟的先发优势,依靠计算机、互联网逐步发展的60年,诞生了一批令世界瞩目的伟大企业,而这些企业又都在各自的航线上默默前行,不用考虑“越界”而带来的内耗。具体的分类如下:

A. IT基础设施级别巨头企业

该级别的企业为最早发展起来的一批巨头级别企业,如Microsoft、Apple、IBM、Intel、Cisco、Yahoo等。他们从严格意义上说,并不是信息网络安全领域的企业,不过他们的存在为信息网络安全领域的公司提供了强有力地支撑。

厂商

专注于

厂商

专注于

Microsoft

OS

Apple

OS

Intel

处理芯片

Cisco

网络设备

IBM

服务器

Dell

个人电脑

Facebook

社交

Twitter

社交

Amazon

网络购物

AOL

ISP

B.  应用级别巨头企业

该级别的企业为最早发展起来的一批从事信息网络安全行业的企业,如Symantec、TREND、MacAfee(已被Intel收购)。他们有着对信息网络安全的精神理解,往往专注在传统安全领域技术,如防火墙技术、杀毒技术等。

C.  应用级别新兴企业

信息网络安全领域由于其攻防对抗特性,技术演进不会遵循类似于“摩尔定律”那样的规律性节奏,往往是突发性问题就会带动起来了一种技术革命,然后创新了一项技术,从而带动了一批新兴公司。如2011年Stuxnet事件的爆发,直接推动了Wuldtech等一批工控网络安全公司的发展。下表为每次技术推动而形成的一批新兴企业:

领域

厂商

描述

领域

厂商

描述

杀毒

Bit9

白名单

PKI

ACS

Cisco产品

Invincea

Dell收购

Verisign

证书服务

加密

RSA

EMC收购

威胁

情报

Arcsight

SIEM HP收购

CipherPoint

X-Force

Exchange

IBM产品

防火墙

NetScreen

引入Asic架构

Netwitness

EMC产品

FORINET

引入状态检测

Splunk

SIEM

Paloalto

引入社交ACL

各种安全日志都可作为情报源

FireEye

引入未知威胁分析

用大数据思想,预判威胁

从RSA 2015大会来看,最近的新兴技术为“威胁情报”,这将产生一批新兴的业务模式。美国在前些年通过MSSP模式实践出的较为成熟的SIEM技术的基础上,这次又配合NIST、MITRE等发布的威胁情报官方标准(如STIX、STII等),将会对安全领域的企业规模进行较大程度的重构。

信息网络安全威胁情报生态圈

2. 产业结构(资本重组、并购视角)

美国的信息网络安全产业的市场主体由两个部分组成:

A. 政府出资,公司、大学等代管的科研机构(FFRDC,类似于我国事业单位);

B. 企业

美国网络信息安全产业的市场主体

2.1 政府资助的科研机构(FFRDC)

FFRDC一般由美国联邦政府出资,开展一些通常不能由政府直属研究机构或承包商能够有效完成的长期基础性研究工作。FFRDC的特殊之处体现在,虽然绝大部分经费来自政府,但政府不会直接行使行政管理权,而是以合同形式交由大学、企业或非营利机构来管理,在性质上属于公共机构,类似于我国科研事业单位(但其管理完全依托于市场模式)。

目前,美国有10个联邦政府部门共设立了39所FFRDC,2012财年R&D经费总支出约为174.4亿$,其中联邦政府拨款170亿$,占比高达97.4%,其他部分来自州政府和地方政府、工业界和FFRDC自有资金。从研究类型看,基础研究投入占35%,应用研究投入占31%,技术发展投入占34%。FFRDC中与信息网络安全产业相关的单位如下表:

2012财年与安全相关FFRDC数量及R&D支出

出资部门

FFRDC数量

R&D经费(亿$)

能源部

16

122.7

国防部

10

24

国土安全部

3

1.39

国家航空航天局

1

14.9

由于国防部(DoD)的特殊地位,下面我们来着重分析下国防部所属的FFRDC。美国国防部级陆、海、空三军投资设立了10所FFRDC,主要从事分析、工程、采办支持和研发领域的研究工作,2012财年共出资24亿$。其中,IDA通信与计算中心、林肯实验室和软件工程研究所等三家FFRDC是作为政府和工业界科研力量的补充来安排的,着重从事密码学、网络安全、先进电子和软件工程领域的基础研究,具体如下:

美国国防部(DoD)出资的FFRDC

FFRDC

托管机构

出资部门

R&D经费

性质

海军分析中心

CAN公司

海军

0.92

研究和分析中心

研究与分析中心

IDA

国防部长办公室

1.49

阿罗约中心

兰德公司

陆军

0.31

国家防务研究所

兰德公司

国防部长办公室

0.54

项目空军

兰德公司

空军

0.41

宇航FFRDC

宇航公司

空军

0.4

系统工程和集成中心

国家安全工程中心

MITRE公司

国防部长办公室

9.47

IDA通信与计算中心

IDA

国家安全局

0.63

研发实验室

林肯实验室

麻省理工大学

国防部长办公室

8.73

软件工程研究所

卡内基梅隆大学

国防部长办公室

1.13

2.2 企业

2.21 IT基础设施巨头企业发展脉络

从上一章1.2节技术领域划分分析结论可以看到,美国的IT技术设施巨头企业从体量上来讲都是千亿级别,信息网络安全产业对他们来讲,都不过是一个比较小规模的细分市场,但是他们并没有大规模收购该领域公司,形成一个信息网络安全领域的寡头企业,而都是专注在自己领域相关的安全厂商,进行一些资本重组行为,如Microsoft收购GeCod、Syban等杀毒厂商,是为了进一步增强其在传统OS和云OS的市场竞争力。

一些比较典型的资本重组行为,如下所示:

时间

收购方

被收购方

交易金额

描述

2004.02

Junipher

Netscreen

35亿$

硬件防火墙巨头

2006.08

IBM

ISS

13亿$

著名漏扫厂商

2010.08

Intel

McAfee

76.8亿$

反病毒业界巨头

2010.08

Symantec

VeriSign

12.8亿$

著名证书服务厂商

2010.09

HP

ArcSight

15亿$

著名SIEM厂商

2012.07

Dell

Quest Software

24亿$

企业级安全软件厂商

2012.08

Cisco

NDS

50亿$

安全传输和分发厂商

2.22 新兴企业发展脉络

这里我们以防火墙技术的发展轨迹,来尝试探寻下新兴企业的发展脉络,如下图:

新的安全问题所推动的新兴公司崛起

如上图,我们可以简单分析一二:

A. NetScreen解决了防火墙硬件化的问题,解决了其大规模部署的性能瓶颈;

B. FortiNet解决了防火墙仅能对3层进行控制,加入了4-7的访问控制能力;

C. PaloAlto解决了FB、Twitter兴起,带来的对SNS协议的访问控制需求;

D. FireEye解决了APT攻击隐藏于正常流量,无法做未知威胁预测的问题。

新兴企业间协作发现安全问题

目前,从刚刚结束的RSA 2015大会,我们可以感到,“安全威胁情报”领域将成为信息网络安全新兴领域的下一个封风口。浏览下RSA大会各个议题的340个报告,我们不难看出“威胁情报、大数据、异常行为分析、网络战”等成为了时下的热词。在威胁情报分析领域,美国政府已经开展了很多的研究并已经付诸实践:

美国的威胁情报共享组织架构

3.  几点认识

  1. 信息网络安全领域关乎国家安全,国家必须主导;

  2. 信息网络安全领域最优秀的技术沉淀在民营公司;

  3. 国家必须依靠合同,在保证供应商利润的前提下,将能力抽取上来;

  4. 下一个核心技术将会是:安全技术大数据化,即威胁情报领域;

  5. 美国的攻防体系都是协同体系化工作,而非某个厂商单打独斗。

第二部分:我国信息网络安全产业结构和组织体系分析

面对美国在计算机、互联网等领域取得的巨大先发优势,以下两种认识都是偏颇的:

A. 忧惧的认为我国在IT领域处于全面的落后状态,并对未来发展不抱有希望

存在这种看法的国人,往往是IT相关从业者,由于他们每天使用Apple的电脑,操作Windows或Linux操作系统,运用Visual C、Python、Java等进行开发,而且还需要经常查阅多数由美国制定的RFC或IETF文档。这使得他们认为,国内信息网络安全乃至整个IT领域,都不过是在美国制定的规则下进行迭代输出罢了。这部分国人的错误在于,他们往往没有看到,我国的华为、中兴、清华、浙大等企业、大学、研究机构,已经在很多领域取得了突破性的创新:华为在4G通信领域已经成长为标准的制定者;浙江大学在工业控制领域也研发了自有的协议标准(工业以太网协议,EPA)。

B. 盲目的认为我国信息网络安全技术会全面超越美国

持有这种看法的国人,往往片面的强调了GDP的重要性,认为国家只要有钱,技术的发展将势如破竹。殊不知,在互联网发展的初期,以法国为首的欧洲也曾经想依靠经济力量优势来建立以欧洲为主导互联网体系,不过最终还是由于诸多基础研究领域的确实未能达成。

因此,在分析我国信息网络安全产业结构和组织体系的时候,我们首先要端正认识,不要消极悲观,也不要盲目乐观。

1. 我国信息网络安全产业层次结构与主要企业

1.1 职能领域划分

我国在信息网络安全产业领域,职能的划分和美国类似,自上而下也建立了以“国家网络安全域信息化领导小组”为代表的顶层战略机构、科研型事业单位、监管型事业单位、企业等的相关机构。具体如下图:

我国职能领域划分图

从图中我们可以看到,与美国相比,我国目前主要的问题在于企业角色的力量还比较弱小,不足以支撑国家相关能力需求,究其原因为以下几点:

1. 民用市场体量较小:我国信息技术发展速度滞后于美国,目前还处于信息化阶段,据中国产业信息网估算,2015年,我国信息安全产品市场规模14.349亿$,信息安全服务市场规模6.835亿$,两者总和的20亿$不足2015年美国政府投入的1/4;

2. 军工单位、科研院所、事业单位项目垄断:由于资质问题,普通民营企业虽然有较强的技术能力,但是很难获得相应项目的申请资格。一些大型的国家项目只能在国字头的相关单位范围内流动,不但影响项目质量,更加不利于民营企业的自身能力提升。

1.2 技术领域划分

伴随着国民经济实力的增强,以及大数据技术带来的发展机遇窗口,经过近20年的不懈努力,我国在信息网络安全领域也产生了多个闪光的明星企业。

A. IT基础设施级别巨头企业

该级别企业是我国信息网络安全领域,乃至信息领域的中流砥柱,如华为、联想、中兴、Baidu、Alibaba、Tencent等。他们虽然不是信息网络安全企业,但是却为我国信息网络安全的发展奠定了坚实的基础。

B. 信息网络安全巨头企业

该级别企业是我国最早发展起来的从事信息网络安全领域的企业,如360、启明星辰、绿盟、天融信等。他们不但对传统安全技术有深刻的造诣,对我国国情下的信息安全解决方案更是有着独到而深入的认识。

C. 信息网络安全新兴企业

该级别企业是我国信息网络安全领域的引擎,依靠先进技术为国家安全能力建设注入动力,如知道创宇等,他们抓住了信息网络安全要依赖于“大数据化”、“平台化”的时代机遇,适逢其时地推出了“加速乐”、“创宇盾”、“ZoomEye”、“WebSoc”等基于大数据的平台化解决方案,从根本上扭转了传统安全产品对于新型网络条件下,网络安全“看不清”、“防不住”的难题。

2. 产业结构

我国的信息网络安全市场主体由3个主体构成:

1. 事业单位:科研或(和)监管职能;

2. 军工企业:具备资质的国有企业;

3. 企业:取得资质较为困难的民营企业。

在上一章1.1节职能领域划分中曾经分析过,我国的信息网络安全市场规模还比较小,民营企业的生存往往需要依靠国家相关项目的科研经费。然而,我国大型国家项目往往在军工企业、大学、科研院所等的圈子内部流动,普通民营企业本来就很难获得资质,就算已经取得资质,如果不能进入这个圈子,也较难获得相关项目的参与机会。这种产业环境所催生出的资本优化重组方案,必然不是技术导向,而是关系导向。也就是企业领域,能够融入相关圈子关系较好的,慢慢必然会吞噬掉其他企业,形成垄断地位。

这样,对于拥有优秀技术的人才来说出路只有两条,一是被最终胜利的垄断型公司招安,二是出国追逐自己的梦想。针对这样的情况,知道创宇CTO杨冀龙十分惋惜,他表示,到目前为止,国内顶尖的40余名安全研究人员,一半以上都已经选择到美国就职,这其中就包括FireEye的首席安全研究员、PaloAlto的首席安全研究员等,他表示,如果国内的体制不进行变革,让优秀的安全研究人员获得应得的待遇的话,将会让国家蒙受巨大的人才流失。

老杨手绘的“人才迁徙图”

3. 几点认识

伴随着我国经济总量超越日本成为世界第二,钓鱼岛、南海问题等,我国面临的外部局势发生了一些微妙变化:

A. 美国为首的一些国家对我国的遏制持续加力,其中的一个表现形式就是网络渗透;

B. 随着物联网的发展和Stuxnet事件的爆发,网络战威胁持续加大;

C. 根据斯诺登泄漏文件反映,美国等国家持续进行网络空间攻击和信息搜集。

另一方面,由于国内体制机制问题,最有创新能力的新兴企业遭到抑制,阻碍了国家资本同优秀安全能力的置换!为了解决上述问题我们建议:

A. 加强立法,引导信息网络安全市场快速发展,将安全投入与IT投入的占比从1%提高到一个新的层次上来;

B. 变革体制,能够将新兴企业(如知道创宇)的能力抽取到相应需求上来,实现国家能力建设和相关产业培育的双赢;

C. 加大投入,制定国家级的信息网络安全战略,在完成体制变革的基础上分批分步骤的将安全能力落实到关键部位,最终实现网络强国和产业繁荣的伟大愿景!

声明:本文来自网信防务,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。