【IT168 评论】9月23日消息,今日,由360主办的首届中国互联网安全大会在国家会议中心举行。在下午召开的企业安全论坛上,众多业界专家、企业代表、第三方分析机构等嘉宾参与并发表了演讲。网康科技CEO袁沈钢做了《中美网络安全产业对比及应对》演讲。
▲网康科技CEO袁沈钢
以下是袁沈钢的现场演讲内容:
作为网康科技的创始人兼CEO,袁沈钢先生是2004年10月份从美国回国创立网康科技。之前袁沈钢先生在美国工作了八年,主要做网络安全以及网络负载均衡等工作。袁沈钢介绍到,“从2002年开始,我几乎每年都参加美国的世界最大的一些安全会议,所以对中美网络安全之间的产业和公司有一定的了解。由于今年中美之间相互之间的互相的指责攻击也好,互相的比对也好,甚至习近平、奥巴马见面都要谈网络安全这个话题,所以网络安全变得越来越重要。所以借这个机会对自己对中美网络安全界的观察,包括这方面的比对跟大家做一个分享。”
首先今年最热的是棱镜门事件,这个事件既给大家带来了启示也带来了争论。棱镜门事件是一个最大的转折点,这之前和之后的讨论,整个国际舆论和美国舆论的焦点都是中国攻击报告,中国在争论中是很被动的,因为很难解释这个事情。但是斯诺登事件使中国的形式就发生了转变,我接受华盛顿邮报的采访说要谢谢斯诺登,同时这次事件对于中国网络安全界来说,对整个中国网络,中国网民包括企业用户来说是一次非常深刻的教育,引起了大家的重视。同时围绕棱镜门争论有很多启示,其中很重要的一个话题就是网络安全必须实现国产化,就这个问题在我的演讲最后会大家阐述我的个人观点。
首先看一个数据:中国大概有1.5万的境外IT控制了320万主机,其中美国控制了254万个,另外一个就是挂马网站。世界前20大安全公司很难找到中国网络公司的身影,根据2011年IDC的数据,按销售收入计算,进入前20名的大概是2亿美元,进入2013年进入前20名的大概在3.5亿美元这样,同时可以看前20大安全公司美国有15家,以色列有一家,台湾有一家、荷兰、英国都各一家。
再看中美之间上市公司的对比:我只计算上市公司2012年公开财务数据,可以看到启明星辰2012年营业收入接近1.2亿美金,同比赛门铁克大概是60美金的规模,即使算纯安全产品收入大概也是在40亿美金的规模,以色列的那家安全公司是8亿美金的规模,所以可以看到中国的上市安全公司的财务能力大概是美国的五十分之一的规模,当然我们没有统计360,因为我总体来说还是把360看成一个互联网公司。
另外再给大家介绍一下活跃的美国资本市场。我们知道任何一个产业要想发展,中国的互联网产业发展的这么好,这么大,离不开风险投资。风险投资在中国的互联网产业进行了巨大投资,由于这些巨大投资带来了中国互联网的繁荣,也带来了奇虎这样环球级公司的发展。同步来讲,我们在网络安全上的风险投资是远远落后的,而美国在同时间,在网络安全的投资是遥遥领先的,过去20个月千万美元投资共发生了16笔,2012年共有239次总投资达14亿美金。投资主要集中在美国,而在中国,我自己算了一下,我所知道的网络安全的投资,在过去一年,大概是3000万美金,大概是2亿人民币左右。而美国同期,在网络安全投资的重点主要集中在应用安全、移动安全等,强大的风险投资支持了众多的高科技的安全企业蓬勃发展,这才能够领先于世界。
除了风险投资之外还有一点,我们中国的小公司,我们中国的创业公司做起来,一般讲究的是要么跟公司上市,要么这个公司死亡,实际上退出的渠道非常狭窄。大概接近一年多到两年的时间,国内资本市场IPO是基本关闭的。所以说整个资金的投入、退出,包括创业的机制整个处于停顿状态,规模很小,同时活跃的美国市场有在并购上特别是安全企业上予以支持。可以看到戴尔12亿美金的并购,包括思科的安全企业的并购,最后以27亿美金的并购,这就形成了一个产业,这就是美国的安全产业和中国安全产业的对比。
再看一个数据,中国现在整个GDP是8万亿美金,美国GDP是18万亿美金的它大概是我们的两倍多,但是政府安全预算方面,美国是65亿美金,中国是4亿美金,他们是它的6%。广泛的商业市场美国支出是43亿美金,中国在这块安全支出是0.8亿美金。
有几个特点:美国政府支出和商业支出基本在一个数量级,整个产业对比和支出给我们一个很大的启示,为什么会出现这么大的差距呢?有一个很仔细的现象,从监管对象看,中美安全思维的差异,这个事件回国的时候我到各个安全公司拜访,我问他们在国内搞安全公司怎么样?他们说一年光认证费花60万,可以看到中美之间监管对象思维差异是什么,美国监管主要是公共服务机构的监管,比如对银行、学校和上市公司的监管。任何一个公共服务行为者,如果出现了比如说我们网站如果出现了密码泄露或者用户信息信用卡泄露的话,商业企业要为此付出很大的代价,但是我们在这方面还是非常缺立法的,我们中国在目前监管方面主要侧重于安全产品供应上的监管。我们在做安全的时候要做很多评测、许可证、检测。
还有几个问题,第一个问题整个产业进入门槛非常高,创业难度非常大,很多创业者想创业,对不起先拿出来一堆证再说,没法拿出这个证就没法进入规则;第二个问题是整个游戏规则不是以产品技术创新和对用户价值传递为技术导向。我只要跟客户搞好关系,把各样销售建立起来就行。所以说这极大的压抑了我们的产品、技术的投入和创新。一个是公司创立成本高了,再一个销售过程中要极大的靠公司销售的能力,而不是产品体验上花大工夫做文章。之所以中国互联网能强大成长,很大的一个原因,他们始终是以终端客户,最终客户的体验为上帝,而我们在做安全的时候,从业人员基本不用公开露面做好“地下工作”就可以了。
另外最重要的一点就是这种监管思维差异非常大的造成的差别或者是不足或者是危害是什么?极大的降低了中国的企业用户、个人用户对安全的需求。用户不用对安全进行投入,企业人员不用对安全投入,出了事只要把媒体、监管机构摆平就行了,不需要上各种各样新的安全的东西。降低了需求,自然而然,使中国整个安全市场变了,也降低了整个投资,也降低了产业链健康发展,包括产业链的完整性、健壮性和整个产业的发展。
这必然也影响到国家之间的争夺,任何一个没有安全产业的产业链,或者是一个部队,一个军队或者一个国家安全防御,没有这样一个产业,单纯靠几个产品是不能持续解决问题的。
最后就个人角度谈几点感想:在中国,网络安全界创业了九年左右的时间了,我想我写的这些东西尤其现在这个时间点上会不会出问题?会不会引起别人的不满或者是严重批评?我觉得我还是想把我心中想的和自己的认知跟大家分享:我自己所看到的这些东西对中国的网络安全产业能够起到抛砖引玉的作用。第二点,我现在的建议,我也觉得跟现在李克强总理所说的减政放权,还是符合我们国家大的思路的。
就是三点:第一点就是宽严相济。宽是减少许可证各种各样的证书等等,把选择权尽可能的让用户和市场进行决策和解决。严要严在什么地方?我们一定要对网络的公共服务提供者,一定要对千万用户服务的提供者加强监管,加强安全,要求他们提高水平,要求他们保护终端客户的利益。医院一定要保护好病人的隐私,银行一定要保护个人的资产,财产。
第二点,授之以渔。我们很大程度上是争取项目,我从一个人的公司现在是几百人的公司,有能力做项目,但是很多中国网络创业公司只有十几个人,没有实力或者能力争取国家各种各样的项目优惠的支持。实际上我们叫转移支持或者国家重点支持,不能完全解决整个安全产业蓬勃壮大这个事情。我认为与其授之以鱼不如手之以渔。减少准入的商业环境,降低税收、提供信贷角度来做一些事情。
最后一点是开放竞争。安全必须有产业,从长期和一个产业角度来讲,核心领域安全非常重要,但是我们一定要坚持开放公平的原则,这样才能引进先进技术和先进产品、先进人才,包括跟先进产品和先进人才进行PK,在PK中得到成长,得到壮大,得到提高。只有这样,中国的网络安全产业才能够成长起来。而我们不能够仅仅贴着国产化的标签,然后说我这是国产化的,我就安全了,我觉得不能这样。必须是跟人家比对、PK的情景下,不能说国产化造出一个洋抢洋炮来。而必须是开放的市场,中国任何一个市场只要是开放、只要是竞争,这个市场发展都很好。