2007年安全服务市场现状调查
2018-06-11 来源:
日益严峻的企业安全环境,一方面招致了越来越多的用户对单一防护功能产品的不满,另一方面也加剧了安全技术、安全产品与安全服务间的黏度与融合;而对于安全厂商与渠道来说,同质竞争下的商业利润已日渐削薄,个别产品甚至无利可图。因需而动,顺势求变,2007年,国内外主流安全厂商集体踏上了从产品商向服务商转型的新长征。
回想起前几年的“冲击波”及今年年初的“熊猫烧香”,中信银行总行信息技术部的孙先生仍心有余悸:“当时病毒大规模并发,造成我们网络中多台机器感染,我们的技术人员根本找不到源头,只能慢慢排查,由此耽误了不少时间,业务部门对我们抱怨很大,给技术人员造成很大压力。”
实际上,这期间中信银行信息系统已部署了一家知名国际品牌的防毒系统,但由于对方响应不及时,服务不到位,缺少整体防毒策略,导致上述类似事件一再发生。孙先生介绍说:“包括我们分行、支行及各个网点的技术人员,大多身兼数职,日常工作已应接不暇,而且我们本身技术能力也比较有限,在防病毒方面缺少专业知识。因此,我们迫切需要引入一家能够全面提高企业网络安全防护功能的安全厂商。”
中信银行当然不是一个个案,这其实也是目前困扰很多大中型企业的问题。这些企业信息化应用水平较高,在安全投资方面也花费不菲,且都设有专门的网络管理人员。但由于大中型企业的网络系统比较复杂,在业务上容易牵一发而动全身,加上终端安全防范意识的普遍缺乏,使企业网络安全面临着很大的威胁。
炙手可热的香饽饽
“软件如果离开了服务就什么都不是,其实在中国市场,服务更重要。”赛门铁克全球副总裁、大中国区总裁吴锡源强调。此前不久,赛门铁克面向中国市场推出了两款最新端点防护安全产品,赛门铁克中国3.0新战略也同时出炉。
进入2007年以来,越来越多的安全厂商相继高调吹响转型安全服务的号角。早在今年上半年,从趋势科技TMES专家服务发布到联想网域“下一代架构”启航,从Checkpoint统一安全架构到McAfee安全风险管理,瑞星斥资逾千万推动“安全服务月”等等,仿佛一夜之间安全服务变成了人人炙手可热的香饽饽。
然而,用户真正对于安全的服务的认知却未必能够达到厂商的预期。采访中,当记者随机问到几家用户对安全服务的看法时,他们大多回答是售后服务--产品出了问题时厂商或经销商能够及时帮助解决。
事实上,这并不是目前用户真正需要的服务。“网络防毒重在事前预警而不是事后补救,是主动出击而不是被动响应。”趋势科技渠道总监兼华东区销售总监郑启良强调。他认为,安全厂商应从前期针对企业用户网络进行网络检测,对网络流量、网关出入信息等进行病毒和网络攻击分析,通过软件自动生成明晰的分析报告提供给用户,让其了解自己网络的健康状况,在企业用户网络发生紧急情况的时候再迅速响应。
“随着计算机和网络技术的发展,网络安全市场已成为一个庞大的产业链。在这个过程中,安全服务的形式也在不断发生着变化。从最初大家只关注软硬件产品,到现在关注安全咨询和增值服务,包括顺应用户需求的风险评估、安全培训、数据修复等安全防范与救援方面的市场空间将会越来越大。”瑞星公司客户服务中心经理韩筱卿表示。
服务产品化
用户到底需要什么样的服务,厂商又能提供什么样的服务,这些服务又能通过哪些方式顺利交付给用户?不同的厂商给出的是不同的答案。
“安全服务是一种理念,没有固定的运做流程和具体的内容。它的最为重要的目标以及实现模式就是借助用户目前已经拥有的安全系统,结合用户的安全现状,对信息安全的实际要求,通过安全厂商丰富的专业知识和经验为用户提出和建立定制化、强健和弹性的信息安全管理系统。” Check Point高级技术顾问程智力表示。
在他看来,对于安全服务而言,其首要的目标不是销售产品,而是如何借助目前的平台为客户建立能够契合其商业目标的安全运行模式,并且保证其能够长期、主动地防护客户信息系统的安全风险。而实现的方式则包括针对产品配置的优化,安全漏洞的弥补,安全流程的建立,安全文档的健全等等。
基于此,Check Point公司为用户提供了各种层次的安全服务内容。首先,Check Point的SmartUse能够为用户提供所有其产品的配置、优化、评估等方面的专家咨询和建议,能够根据用户的实际网络环境、具体的需求将产品调整至最为优化的工作状态,充分实现安全产品的功能和性能。而为了实现对动态安全威胁的主动防御能力,Check Point的安全研究和响应团队在全球范围内研究和响应最新的安全风险与威胁,并且借助其SmartDefense服务把最新的安全响应和更新推送达所有的用户,保障用户在最短时间内能够得到最新安全风险响应。
更加深入的,Check Point还能够针对每一种威胁为用户提供对应的详细风险描述和风险应对方法,真正的实现了自定义化的安全顾问咨询和服务的目标。最后,在管理层,Check Point安全顾问能够根据用户的安全现状、商业目标和对安全系统的实际需求提出专家顾问咨询意见和建议,为用户在策略遵从、流程标准化等高层次的安全管理体系建设中起到决定性的作用。“总体来说,对于Check Point的安全服务而言,专注于安全行业、全球化的安全威胁响应团队,国际领先的安全技术与理念都是我们核心竞争力的具体体现。”程智力总结道。
McAfee则将安全服务融入其SRM安全风险管理(Security Risk Management)解决方案之中。 “面对企业存在的安全问题,我们重新设计了自己的解决方案,将现有技术和产品分别归类于‘威胁保护’和‘风险/法规遵从’两部分。这两部分内容的融合构成了McAfee安全服务及安全风险管理解决方案的核心精髓。” McAfee华北区安全顾问陈纲表示。他认为安全风险管理是一种为企业业务提供支持的实践方法,可以帮企业改善安全流程、前瞻性地识别并消除漏洞、拦截攻击,并自动完成法规遵从以及实施补救策略等风险管理。
而在瑞星看来,能够保障客户网络安全的所有支持都是安全服务:不仅包括为客户提供的安全信息资讯和软硬件安全防护产品,也包括安全技能培训和数据恢复等相关增值服务。
“瑞星目前所拥有的服务形式和服务内容,经历多年的发展和完善,为用户提供包括自助服务、人工服务和增值服务三个层级服务体系。通过电话、邮件、网站知识库、远程救援、现场服务、客户上门服务、在线服务、外包服务等各种方式为客户支持。”韩筱卿认为,不同的用户群对安全服务的需求和理解不同,用户是否能选择到一个安全服务产品,是由其需求发起,也应由用户的判断来选择。对应不同的用户,瑞星要做到的是不断推出新的服务产品和内容,通过网站、说明书、工程师和合作伙伴来介绍说明,协助用户来选择。
“事实上,安全服务也是一种产品。作为专业安全厂商,如何将安全服务产品化,并在此基础上进一步标准化,是我们目前的重要工作之一。”联想网御信息安全服务事业部总监李文生表示。
李文生介绍道,联想网御专业安全服务是以“按需防御的等级保护”为核心理念创立的一套完整服务体系。其中包括为客户提供风险评估、系统定级、等级评估、等级安全体系规划设计、安全预警、安全监控、安全加固、安全审计、应急响应等安全服务。
构建按需防御的等级保护安全体系主要包括以下三个步骤:首先是评估定级,定义安全需求;第二步是体系建设;第三步是安全运维,确保持续安全。“我们每项服务都由若干服务组件组成,客户可以根据自己的需要选择相应的服务组件进行组合,从而形成个性化的服务产品。”李文生认为,服务产品化的好处不仅有助于公司整体产品推广,也可以帮助用户更好地理解看似无形的安全服务。
大蛋糕,小市场
虽然各安全厂商试图将其安全服务在各行各业遍地开花,然而现实的情况是,目前真正将安全服务纳入整体安全架构体系的主要还是局限于电信、金融等大型行业及企业用户。在产品实际选型中,这些行业又各有侧重。
以电信行业为例,由于该行业对新技术有迫切的需求,且敢于尝试新技术,对安全体系的更新和强化有很强的原动力。所以对安全服务的侧重点在于如何借助最新的技术为用户提升信息安全管理系统的防护水平,以及如何与国际化的安全管理体系进行接轨,从而能够与国际安全认证标准、安全的法律法规进行遵从;而对于金融行业而言,他们强调的是如何充分利用目前的安全产品进行更好的安全防护,从而保护自身的投资回报。他们对安全服务的侧重则体现在对目前信息安全管理系统的优化和安全标准流程的建立,以及在针对系统优化和标准建立的同时逐步提升整个安全管理系统的防护水平。
而在目前仅有的安全服务市场中,电信、金融等高端行业主要被国际安全厂商占据,国内厂商则在主要在政府等传统行业保有优势。虽然这一市场格局暂时不会有太大变化,但随着未来国外厂商本土化进程的落地以及国内厂商综合实力的进一步提升,相信双方的市场区隔将不再明显。
然而,有一点是毋庸置疑的,即涉及到国家信息安全的相关领域,这部分注定将是国内安全厂商的天下。这也是国内厂商大展身手的绝好机会。
7月20日,公安部、国家保密局、国家密码管理局、国务院信息办等4部门在北京联合召开“全国重要信息系统安全等级保护定级工作电视电话会议”,部署在全国范围内开展重要信息系统安全等级保护定级的工作。联想网御公司作为国内信息安全企业的代表,直接参与了等级保护相关政策和标准的起草编制工作,并承担了国家电子政务信息安全的四个试点项目。
相对于国外市场,我国安全服务市场尚处于起步阶段,这也意味着安全厂商将要投入更多时间与精力来培育市场以及行业用户的安全意识。只有安全意识建立起来,各个企业能够充分认识到信息安全的重要性,安全系统建设将不再是可有可无的边缘地带,而成为关系到企业运营成败的重要组成部分。由此,包括安全服务在内的安全市场的发展才会水到渠成,成为企业信息建设的中坚力量。
渠道篇:寻找增利点
转型的赢家
较之国内整体安全服务市场去年不足5%的营收份额,趋势科技在此领域可以算得上是最大的赢家,年终盘点时,其服务收入比例已占到公司营业额的近十个百分点。“安全服务市场空间巨大,尤其是中小企业市场会成长更快。我们预期在这块业务今年同比至少会有一倍以上的增长。”趋势科技郑启良信心十足。
之所以能够成为安全服务市场的赢家,主要得益于趋势科技近一年来推行的系列组织架构调整、渠道变阵及由产品商向服务商的战略转型工作。
配合这一战略转型,从今年1月1日开始,趋势科技将中国区病毒中心、病毒监测中心(MOC)、技术支持、售前服务四个部分的资源进行一体化整合,为不同类型用户提供一站式服务。其实早在去年9月份,趋势科技即与天津国家计算机病毒应急处理中心、北京神州泰岳、上海电信、广州网域科技等四家合作伙伴共同建立趋势科技MOC防病毒监测中心,同时也完成了扎根中国安全服务市场的重要布局。
作为支撑其安全服务架构的重要组成部分,今年5月份,趋势科技启动了“安全可信赖,服务看得见”网络安全专家服务巡展活动,其网络安全专家服务TMES(Trend Micro Expert Service)专家服务体系同期正式发布。
值得注意的是,趋势科技在推广其专家服务初期,会给用户一段时间的免费试用期,并在这个过程中不断完善、改进现有产品及服务。这其实也是业内主流安全厂商普遍推崇的市场方略。
对此,瑞星韩筱卿表示,服务与产品永远都是“因需而生”的,每一个服务产品都有一定的用户群,所以在推出之初都有一个适应期,也是产品完善和改进的过程,最终在需求和价值达到平衡时,服务才能真正成型。推广服务产品首先要对应用户群体,然后平衡服务产品的成本和价格。
在服务产品推广初期,为增加用户对该服务的了解,他认为让用户参与到服务产品的设计和体验中,是解决这些矛盾最好的方式。这样一来,由厂商此前的推产品自然而然地转变成由用户选服务。需求模块化及服务细分,既能够给用户以很好的识别,也给用户留有相当大的选择余地。
事实上,厂商成功的服务转型,受益者绝不止厂商自身,还包括其业务所到达的渠道及最终用户。以趋势科技为例,采访中,其北京一家渠道商表示:“在趋势科技的TMES服务推广过程中,我们除了可以从服务中获得分成外,最重要的是,在厂商的带领下,我们学到了更多的生意方法,也给公司找到了一条有前途的发展方向。”
扩张中的渠道棋盘
传统服务业在国内向来都是劳动密集型行业,当传统服务业与现代高科技两者叠加,又会产生怎样的碰撞和结果呢?
渠道无疑是这一碰撞中最大的载体。抛开其它暂且不谈,仅以安全服务中的现场支持来看,如果业务上了一定的规模,没有任何一家厂商可以庞大到仅凭自己的工程师就能看顾到全国市场。所以,与渠道共赢不仅是安全厂商的一句口号,更是赢得市场的必由之路。
“对于安全服务在渠道中及用户端的推广,我们主要着重于对认证服务商的培养和团队建设。”Check Point程智力进一步解释道,面对大多数用户最好的安全服务和本地化服务就是通过认证服务商提供,这样能够完全解决安全服务的本地化与灵活性问题。
为保证安全服务商的技术力量和持续性的配置以最终达到保证安全服务质量的目的,Check Point严格控制安全服务商资质的颁发,每一家安全服务商都必须通过公司对应的CCSE资格认证。同时,公司每个季度都会针对安全服务商提供持续性的技术配置,确保安全服务商能够维持在最新的来自厂商安全服务与技术的更新,以确保为用户提供专业、领先的安全服务。
围绕安全服务及安全风险管理战略,McAfee于今年二季度起开始大力推广渠道“大安全盟”体系,与客户、现有渠道以及新发展的渠道一起合作,结成安全同盟,不断提高盟友主动应对不断变化的安全风险的防范能力。
趋势科技也于今年7月份启动了“安全合作伙伴计划”,在全国范围内招募精英渠道后备军,为加入“安全合作伙伴”队伍的公司举办各种市场活动、产品技能培训、渠道管理和销售培训等,帮助新加入的合作伙伴能更迅速的找到新的利润增长点。根据加盟公司的客户资源、销售收入和客户支持程度等因素,趋势科技把加盟的渠道分为两类:一是授牌级;二是培训级。针对不同类别的渠道,趋势科技将提供不同的政策支持。
联想网御在精细化渠道管理的同进,为配合公安部、国信办等部门在全国范围内组织开展的重要信息系统安全等级保护定级工作,于今年8月份推出“助力等级保护,推进安全定级--2007联想网御信息安全专家服务月”活动。
作为内网安全行业的后起之秀,清大安科对其产品与服务的推广亦注入了新的形式和内容。“内网安全产品作为一个新的领域,大部分用户对此认识尚不充分。为了让用户更快地接受新理念,除为用户提供试用服务外,公司还通过一系列技术研讨会和技术交流会,将最新的安全理念传播给客户。”清大安科副总经理陈嘉表示。
继首批内网安全产品出口美国之后,清大安科目前已着手深度开拓全国市场。公司将在全国搭建渠道同盟平台,整合盟友资源,优化资源配置,与全国的渠道商共同推广服务产品。与此同时,公司出台多项配套政策,以保障渠道盟友能够为用户提供快后捷到位的服务。
中小企业更具服务潜力
采访中记者了解到,影响行业用户对安全服务接受的主要原因有两点:一是认知度不足,其中包括对安全本身的重视意识及对服务含义的理解;二是资金有限。而其对安全服务的潜在需求都是实实在在存在的。
这些需求对于安全厂商及其渠道都是可待发掘的商机,尤其对于一些规模不是很大的安全集成商和安全产品代理商。对于后两者,其资质及实力可能够不上大型行业用户的动辄数千万万的项目标目,中小客户多了,同样可以集腋成裘。类似客户最典型的就是中小企业。
事实上,相对以往,中小企业对信息安全的重视程度已经有相当大的提高。企业不分大小,都需要对IT基础架构的安全保护,对数据和信息的安全保护,对整个企业的安全管理和法规遵从的审计、以及对网络交互的安全可靠性的保护。
再从业务的关键性角度看,中小企业的IT环境,对于信息安全和可用性、完整性的需求,并不弱于或低于大型企业。但由于其IT投资及人力资源配备有限,缺乏应对复杂的IT安全挑战的丰富经验以及安全威胁的知识及时的获取渠道,所以,中小企业更需要一种可能简单、完善的解决方案及更为灵活的服务产品,来帮助中小企业完善安全体系架构的建设和管理。
“安全服务尤其是安全外包业务在中小企业具有广泛的市场机遇。为中国的中小企业提供安全服务,需要按照循序渐进方式进行。”赛门铁克中国区技术支持部总监李刚指出。他认为,中小企业首先需要的是一种安全评估服务,来定位其安全体系中的薄弱环节--包括技术、管理和流程等层面。而后,针对发现的薄弱环节,以及企业内部最为缺乏的安全经验和能力,为企业提供“驻留”安全服务。
“驻留安全服务事实上是一种初步的外包服务。它针对具体的‘任务’或‘技术经验’,由赛门铁克这样的高度专业的安全厂商,派驻相应的顾问,来快速补充企业在知识和经验方面的不足。”李刚进一步解释道:“通过针对中小企业的循序渐进的安全专业服务方法,消除了中小企业安全外包的最大障碍,即内部管理流程不明确。同时使得企业和服务提供商之间,建立起充分的信任关系。”
成长与躁动
尽管安全服务市场前景看似铺满鲜花,但通向成功彼岸的道路永远没有想象中的顺畅。
首先是市场的无序竞争。北京一家知名安全集成商的销售经理抱怨道,他们在向一些行业用户推广服务方案时,即便前期一切沟通良好,最终可能会被一些非主流的安全公司或渠道商抢单,因为对方的价格可能会低出三分之一甚至一半。事实上,以对方公司的超低报价根本无法实现对客户服务承诺。
业内人士指出,造成低价竞争的主要原因一方面是安全服务市场缺乏准入标准,另方面也反映了目前国内安全厂商普遍面临的生存现实:谁都急于摆脱有形产品(包括软硬件在内)同质、微利的白热化竞争,都希望能在第一时间抱住服务这根或许能够救命的稻草。
其次是人才的普遍缺乏。厂商向服务转型的同时,也要求代理商能够同步转型,要具备服务尤其是增值服务的能力,这对代理商在人才储备及整体实力等方面都是一个不小的考验。
“我们公司就是安全人才的培养基地,好不容易培养出来一个,不是跳槽到厂商做产品销售,就是被企事业信息中心高薪挖走。”河北一家安全渠道的老总一脸苦笑。专业人才是目前区域安全渠道普遍面临的问题,所以与上游厂商打一些行业单时,往往陷入配角的被动境地。
“要做好安全服务市场,代理商必须具备两个方面的能力,一是了解当地市场,能够准把握客户需求;二是技术实力及增值服务能力;三是要在前瞻性,对自身所在领域的全面了解。”神州数码增值网络事业部产品经理肖宛昕强调。
此外,最重要的一点还在于用户认知。此前无论卖防病毒或防火墙,有黑纸白字的规格型号,产品插上电就能跑起来,对于服务这种被民间戏称“忽悠”的东西,如何让用户接受就是一个很大的问题。从这点来看,服务产品化,让服务变成能够“看得见、说得清”的东西,联想网御等安全厂商在此领域已先行一步。
尽管安全市场还存在诸多不足,尽管安全厂商与渠道商们仍有许多难题要去克服,这些其实是每个产品、每一个市场从新生到成熟都必然经历的躁动与混乱。
最重要的一点是,在目前国内全市场,“安全就是服务”、“服务决定未来”的观念已深入人心。服务是金,谁能占得先机,笑到最后,市场比拼的将是真正的实力,对于渠道商同样如此。
标签: 安全 标准 防火墙 服务商 计划 金融 漏洞 美国 企业 企业网络安全 推广 网络 网络安全 网络安全专家 网站 问题 信息安全 信息化 信息技术 行业 选择
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。
上一篇:金山毒霸2008正式公测开始
下一篇:FireFox浏览器发现脚本漏洞
