公安部网络安全保卫局郭启全总工：从格局上看，世界各国在网络空间的博弈明显加剧，网络问题已成为大国互动的新焦点。网络空间的发展受国际、国内两个方面的影响，国际上总体处于有利时机，国内处于难得的发展机遇。政府部门、企业、研究机构、专家，密切配合，共同按照自己应当承担的责任和义务。 企业发布有关漏洞信息的时候，要顾及一下，别过多顾及企业的利益，和在这个领域的地位和影响，要顾及那个漏洞如果真的是国家某些重要行业领域和系统当中存在的漏洞，公布出来之后它会对国家重要系统，关键基础设施，和大数据安全造成危害。

重点解读，安天学院首席技术架构师肖新光谈美国信息安全产业思考。 对于中国的和平崛起来说，美国将是一个重要的对手，和施加遏制者。但是从我们过去来看，我们能看到我们对这个过程，对对手遏制能力，和他拥有潜力的一种表达，其实我们过度地渗透进入了一种情感和阴谋论化的表达，但缺少对它真正的支撑它这种博弈能力非常重要的一点，那就是它的信息产业体系的一个系统剖析。 从当前整体的一个产业结构来思考，美国人在不停地带来新的概念。这些概念并不是生硬产生的，而是确实带来了很多的困惑，特别是用户方的困惑，也包括厂方对研发方向的困惑。

我们看到这种密密麻麻写着厂商标签的图板，实际上当时我们在梳理美国主要的网络安全厂商他们所处的领域位置与结构关系的时候，所画的一个基础图，我们最开始是用一些写满字的字条，然后在一个巨大的桌子上，不断挪动位置，最后聚合成这样一个图。试图通过读图的方式去揭示这种产业，这些技术发展的一种内在关联和内在动力。

肖新光：从过去来看，我们试图做了一些梳理，比如说把每年放得最大的关键词放在一起，试图探寻存在的规律。今年在创新沙盒中的负责人所提到的，他们认为这些关键词的预测，或者这种基于标签自然聚合出来的标签云，他们自己感觉有命中的，也有不命中的。 实际上当我们把整个产业体系层次梳理的时候，就如我之前写到的美国林林总总的大量安全厂商，不是分布在巨大平原上，从天而降的企业，而是呈现出非常清晰的层次与结构的大战略基石。

从这个图表上看，实际上我们是把与整个网络安全相关的基础环节厂商画在最下面，然后把美国的政府机构画在最右边，把风险投资机构画在最上面，同时又把整个市场划分成了开放性市场领域，和专门性市场领域两个环节。在开放性市场领域中，我们又按照相应的一些产品分类，把它划分成以网络为主导，以主机和移动这种主机节点型的厂商。实际上在这样一个图示梳理中，我们可以深刻看到内在非常有趣的东西，实际上来看，在美国整个产业体系当中，其中的一个原因，实际上并不是他在网络安全厂商这个层面上我们所能看到的它非常强大，而首先看到的是他的基础厂商门类非常齐全，基本上覆盖了信息技术和服务所有关键领域，同时又是这些领域的领导者。

那么在这个程度上，在这个体系上，由于这样的一个巨大的能力覆盖，则很容易使国内产生与这些厂商进行竞争的幻想，很容易认为这些厂商本身的存在，才是整个美国在网络安全上拥有空前能力最重要的因素。

网络安全这个行业所拥有的一些特殊性和特殊特色，一方面在网络安全领域中，确实存在着大量的普遍的和普世性的威胁，比如说恶意代码，网络攻击等。这样确实需要有高能力通用型产品去应对这样的一些通用型的威胁，但同时网络安全也是一个与政府机构，与国家安全重度耦合的领域，因此在这些重业务中，就如何使在这种通用型厂商可以追逐国际利益的同时，又占据相应的优势和保密价值。同时我们可以看到在美国安全厂商，既有所熟悉的赛门铁克等这些厂商，也有我们不太熟悉的名字，而这些名字其实是在整个为政府提供服务中，扮演着非常关键的一个角色，而这些扮演非常关键的角色，很容易被我们忽略的厂商其实有两类，那么第一大类我们把它称为叫对整个国家安全业务有非常特定作用的专有技术型的厂商，冥王星这个厂商主要是做大数据分析的厂商，他很大程度上为美国的棱镜系统提供了大数据分析服务，是美国几大系统的大数据分析的承担者，他已经具有了几十亿美元的估值。像这样的厂商，美方是不愿意为全球提供服务，这可能带来一种能力的输出风险和数据外接风险，他们有充足的定单保证了这样一个厂商，可以不拥有全球市场的情况下，可以获得很好的成长。 所以从这个领域的角度来看，事实上在美国国家政府与他的开放型市场领域厂商之间，其实构筑了一个非常有效的中间层，那么这些厂商他们并不长于在开放型市场领域中高通用化产品，而后他们长于专有技术，长于情报分析和整合，但是他们本身起到了既保证美国政府有一定的垄断能力，同时又避免了这些业务数据外泄的可能性。特别值得注意的一点，这一非常清晰的设计，使美国的通用安全厂商和政府之间存在着一个先天业务边界，从而使他们避免了完全被美国政府绑定，而影响到他们去逐鹿全球市场。

二个关键词就是并购，从2010年开始，实际上网络安全产业已经走入了一个高度大并购的趋势，主要有代表性的事件就是英特尔以76.8亿美金兼并了迈克菲，在这个过程中代表了传统大的基础供应商，大的运营商和大的集成商，对网络安全技术快速弥补短板形成整体解决方案这样一个趋势。那么在这个过程中我们可以看到比较活跃的代表厂商，英特尔是关键基础环节供应商，思科是关键网络环节供应商，IBM、惠普实际上代表是传统早期PC厂商已经转化为大规模集成商，赛门铁克已经成为了一个大的体系。所以在这种大的并购，实际上在形成这种产业整合的同时，进一步强化了美国整个信息安全技术，与信息化整合的趋势。但是这里需要提的重点一点就是这种并购尽管促成了跨行业IT寡头的形成，并没有削弱美国安全的创新力，表现的与之前在石油，包括汽车等领域存在一定差异的所谓僵化，有一定不同的是，在这样的一个对于独立安全厂商和创新团队的持续并购中，实际上这种并购由于非常尊重了技术和人才的价值，使它成为上市以外的网络安全创业团队的变现和财务自由的通道，同时在新体系中找到应用的空间和更大的舞台。 这样一种比较良性的操作，实际上是鼓励了不断有大体系中的从业者，然后出来发起创业公司，之后这个创业公司在被大体系收购，从而形成了由内部的大体系稳定发展，外部持续创新迭代的良好循环。

我把三个厂商的图画得大一些，这三个厂商分别是赛门铁克，迈克菲和趋势科技，这三个公司均创立于80年代，为什么在那个时候能发展起来，实际上他们在创业过程中，遭遇了第一波的博弈型的安全威胁，或者就是为了应对这种安全威胁而产生。

而在这种关系中，以并购为表现还有一种非常微妙的力量，这种微妙的力量叫旋转门，我们知道在之前非常值得关注的一例并购事件，就是火眼以10美金收购了曼迪昂特，这两个团队之间有非常好的同类互补关系，火眼所拥有的是非常强势的人才基础，有非常有利的产品基础。曼迪昂特是拥有非常好与上对接的关系资源，而从另外一个角度来看，又有一个善于做难得风格表达的人才。这不是一个非常简单的业务并购，从美国出来一些官方人员，使市场获得膨胀，以及使整个领域受到关注的时候，合理和合法的回报，其实是体现在了这样一次并购行为里。

整个网络安全市场中，我们要举一个例子，我们要看到一个令人激动的演进，这个激动的演进实际上是我们看到从开始的软件防火墙，之后演化出了硬件防火墙，以及演化出了应对各种威胁场景的UTM，以及进行更精细协议解析的下一代防火墙，和今天方案所倡导的针对APT攻击的这样一系列的技术演进。在这里面我们想要谈到的一个问题，所有我们看到的这些概念，不是美国人生造出来的，不是美国人用来强化自己的优势，然后同时拖垮对手的，真正是于信息化进行融合，与威胁进行博弈的产物。

创新转化为能力，是有客观规律的，但是认为任何一个创新过程有触发预期膨胀高峰，有幻灭的低谷和回升阶段，还有稳定的生产力，由于是市场看不见的手进行调节，无论是信息技术还是安全技术都是沿着这样一个规律在发展。安全有一定的特性，一定是伴随和保障相应的信息技术的发展。因此我们可以看到，在安全技术创新中，往往有与其当时所流行的信息化技术相融合的这样一个特点，那么如果我们把过去若干年的信息安全的热点提炼出来，我们可以看到这种安全创新的轨迹，和应用创新的轨迹，是有一定弥合性的。这里面需要注意的是，在我们往往以政府为主导，以扶持为导向的这样一个体系下，我们往往是在触发期提前透支了未来的市场空间进行支持，而使这种市政府投入没有有效转化为真实的能力。比如说之前政府为主导的云计算中心，实际上已经变成没有了应用，今天在大数据的问题上，我们也要警惕出现类似的情况。

简单看一下美国安全厂商之间的协作与关系，在RSA期间我们非常有感触的，是很多厂商桌上摆着几个牌，这个牌放的是一些FireEye等的logo，含义我们的设备可以与它配合作用，或者是联动。也可以看到所呈现出的一个特点中，在很多整个体系化的解决方案中，是把他这样一个独立厂商的特点融入到整个的解决方案当中。

所以在这个过程中，我们就在讲，之前存在一个反APT的事实的产业联盟，我说的事实产业联盟不像在今年RSA期间，有惠普明确举行发布会，明确地建立形势所建立起的一种基础厂商和新锐的这种检测厂商之间的联盟，而是由于他的独立厂商建立了自己相应的安全强点，而在这个强点上，没有其他更有利的竞争者，从而使用户在选择相应基础能力的过程中，必然选择这些厂商，从而形成了这样一个体系。 而在这个体系之中，它虽然有不同厂商之间的竞争关系，但有高度的信任，比如说这里面几乎每个美国安全厂商都购买了最高级别的帐号和服务，同时我们可以看到对我们来说，因为国内没有相应的环节，所以实际上是多引擎扫描服务，有一定的顾虑。国内安全厂商之间的合作也很难达成。

今天更流行的词是威胁情报共享，威胁情报是一个多层次的，威胁情报的可靠性很大程度上取决于基础环节的可靠性，什么才是基础环节，什么是我们绕过去，绕不过去，必须解决的基本功。paloalto提供高速的协议解析能力，virustolal被谷歌收购了，依然让他继续扮演一个独立的基于多引擎扫描的角色。而fireEye更强调与静态溢出检测，深度分析，还有solera来做统一管理。 我们看到在这个过程中，美国是处在一个点点基础能力均有绝对强点的情况下，这种绝对强点已经做成了很难与之竞争PK的程度，而我国的厂商更多的思维方式感觉这些都没什么，这些我都能做，我能解决所有的问题，实际上处于在样样通，样样不通的情况下。这里我们需要正视的一个问题，中国安全厂商不变成一个集成商，就很难生存，就有一定的逻辑思维方式所呈现，这一点影响了我们的基础能力扎实，影响了我们的发展。

APT不是一个新概念，APT一词最早源于2005年，是06年美国空军工作的网络安全工程师们，对于一些安全事件的描述，他们创造了这个词使公众不对类似安全事件小题大作。而对于ATP这个词，我看到的一个更精准的一个回忆，第一次听到这个词是在2005年，美国空军第八航空队在这个小会议室使用了这个词，我认为他们将这一词汇用于任何从事信息战以支撑长期战略目标的复杂对手。

APT不是一个新概念，但是却是2011年开始热起来的概念，为什么在2011年开始热起来了呢？重新解读APT1，实际上在2011年这个概念逐渐热起来的很重要的原因，是以FireEye为代表的一些厂商和研究者，认为针对这样的威胁，他们已经能够形成产品级的解决方案。这样一种威胁的公开和扩大化，有利于美国打造一个新的网络安全的强点体系。在这个过程中，我们就可以看到2011年开始一些报告逐渐披露，从最开始的高度不成熟，到达2013年2月20日，在13年之前发布的APT报告，在这个时候形成了第一轮高峰。这一轮高峰所带来的一系列的结果，是迅速的为美国对中国进行相应的指责，提供了外交舆论的发言点。之后华为和中信宣布退出美国，并且华为的产品在澳大利亚受到一定的阻击。 接着这一轮炒作的发力，在2013年9月20日FireEye成功的上市，并且市值突破了100亿美元最后实现了我所说的旋转门效应，在2014年1月3日成功收购了（ANDMENT）。表面上是两国战略舆论上的博弈，分别形成了不同的产业后果，中方收购了产业苦果，就是华为退出，很多网络安全厂商向海外业界受阻，美国FireEye成功上市，美国安全企业获得估值上的持续成长。从这样一个角度上来看，你就可以深刻看到在美国整个的战略思想中，杜鲁门所说的三个自由，思想自由，言论自由和企业自由之间的微妙的联系，特别是杜鲁门所强调的毫无疑问前两个自由，与第三个自由是息息相关的，从一定程度说说这种价值观的种子，最终都要结出精细的果实，这是美方非常重要的一种产业特点，而我方还不善于驾驭这样的手段。

尽管今天看到国家非常重视，整个产业热度很高，然后包括已经上市的网站公司的市值也非常好，但是综合我们的产品能力，我们的人才队伍，包括网络安全厂商来看，当前依然是中国网络安全产业非常艰难的时刻。另外毫无疑问的一个事实，当前中国主要网络安全技术的创新主体依然在民企，这些企业处于国家队和互联网寡头的夹缝之中。当前的形势一定程度上是国有企业基本上对接了全部的安全预算和安全需求，而同时互联网厂商垄断了大部分的人才。那么在这种情况下，创新企业该如何去发展，这就提出了一个问题。同时从积极的角度上来看，我们就看到了作为国家队，也在积极的寻求与这种创新厂商合作，当前的互联网厂商也一定程度上成为独立安全厂商融资的一个重要平台。 同时非常致命的一点，网络安全企业的战略价值和经济价值不匹配的问题，依然难以解决，我们知道在网络安全有非常著名的50魔咒，就是网络安全厂商很难突破人均年产50万的壁垒，与此同时互联网厂商的人均产出能力是在百万量级，那么在这个量级差，自然就导致了人才的流向。 那么这个过程中想要实现这样一个突破，其实很大程度上是需要国家所带来基础环境的变革，其中重要的是安全观念的转变。我们国家整体安全观念是不是能够一个简单边界安全观念，到一个国土安全观念，到全球安全纵深能力转变，从治理到主导向博弈为主导转变，如何让中国网络安全厂商快速发展，成为中国信息化保障，成为中国的全球进取的安全保障。