“棱镜”事件后,关于网络安全技术的国产可控成为国内业界议论最多的话题之一。让我们分别从网络安全状况、网络安全产业、网络安全投资及政策等方面看看中美之间的比较吧。
根据CNCERT(国家互联网应急中心)的数据,中国的网络非常不安全。在对23个国家所进行的网络防御能力排名看,中国只排在第16位。在中国,大概1.5万台境外IP控制了320万台主机,光美国就控制了254万台。
国家的网络安全水平依赖于网络安全产业。根据2011年互联网数据中心的数据,按销售收入计算,在前20大网络安全公司中,美国有15家,以色列、中国台湾地区、荷兰、英国各1家,中国大陆则没有一家公司上榜——可见,中国的网络安全公司不仅能上市的少,规模也很小。
产业要想发展,离不开风险投资——在这一点上,依托于硅谷强大的投资环境,美国遥遥领先于其他国家。活跃成熟的美国资本市场总是鼓励有特点、有创新的公司出现并快速发展,自然也会给予安全创业公司极大的扶持。2012年,全球范围安全领域的风险投资一共有239笔,总额高达14亿美元,主要集中在美国,重点体现在应用安全、移动安全和大数据的攻击防范安全。相比之下,中国在网络安全上的风险投资远远落后于发展的需要。据我所知,过去一年里,在中国发生的网络安全投资大概只有3000万美金,合人民币2亿元左右。
除了风险投资外,并购也是很重要的一种资本运作手段。2012年以来,戴尔收购网络安全与数据保护设备厂商SonicWall、思科收购安全软件厂商Sourcefire最为引人注目。在美国有着一套成熟的市场规则,大公司可以通过收购弥补自己创新能力的不足,而小公司也会收获很好的回报和继续发展的资源。只是,这一点在中国还没有成功的案例。中国的创业公司要想做起来,要么上市,要么死亡,退出的渠道非常狭窄。
从中美网络安全产业的以上对比,我们可以看出两国在安全思维上的差异。
从监管对象来看,美国主要是对公共服务机构的监管,比如银行、学校和上市公司。公共服务行为者如果泄露了用户密码或信息,要为此付出昂贵的代价,包括经济处罚和法律责任。相比之下,中国目前主要侧重于对安全产品供应者的监管——这导致整个网络安全产业进入门槛高、创业难度大。
差异还体现在整个游戏规则是否以产品技术创新和对用户进行价值传递为导向。在中国做网络安全,似乎只要跟客户搞好关系,把各种销售渠道建立起来就行——这极大地压抑了产品和技术的投入与创新,抬高了创立公司的成本,使得创业者更多地依靠公司的销售能力,而不是在产品体验上花大力气。
网络安全思维的倾向极大地降低了中国的企业和个人用户对安全的需求,也降低了整个产业链的健康发展。但不管怎样,“棱镜”事件都有力地证明了这样一个事实:除了天、地、海洋和外太空外,国家之间的竞争已经进入到网络世界这个“第五空间”。今年5月份发生的朝鲜网络攻击韩国电视台和证券公司,以及后来台湾和菲律宾之间的DDOS攻防,都说明了这一点。
作为一名业内人士,我想对中国的网络安全产业提出以下几点应对策略:
一是宽严相济。宽是减少各种各样的许可授权,尽可能让用户和市场进行决策。严要严在什么地方?通过完善立法加强对公共服务提供者的法规约束,要求他们保护终端客户的利益,正如医院要保护病人隐私、银行要保护储户资产一样。
二是授之以渔。在中国,很多网络安全方面的创业公司规模不大,只有十几个人,没有实力争取国家项目优惠的支持。因此,与其授之以鱼,不如授之以渔。应从简单的给钱、给项目,转向在商业环境、税收、信贷等方面进行政策性扶植。
三是开放竞争。并不是说网络设备都国产化了,我们就安全了。在这方面一定要坚持开放公平的市场原则,通过自由竞争来加强企业和产业的竞争力。只有引进先进的产品、技术和人才,并与世界上最先进的力量进行较量,中国的网络安全产业才能够提高、成长、壮大。
总之,只有强大的网络安全产业才能给中国的网络带来真正的安全,仅靠贴一个国产化标签是取得不了“第五空间”真刀真枪战争的胜利,更带不来自主可控和安全可控。(作者为网康科技创始人兼CEO)