有多少用户电脑安装了××的杀毒软件,又有多少用户手机下载了××的安全卫士……过去很多年,国内网络安全厂商的关注力都在个人安全领域,而在全社会各行各业无不IT的今天,安全竞争开始呈现新趋势。在今日开幕的“中国互联网安全大会”上,企业级安全、云计算安全、工控系统安全等专业型、纵深方向的竞争成为焦点。
企业安全需求凸显
无论从哪个角度,企业安全市场都是一块大蛋糕,但在过去,国内安全厂商甚少涉足这一领域。而当个人安全市场竞争基本尘埃落定(360、腾讯、百度垄断市场),巨头们的目光终于瞄向企业级安全市场,甚至在今年迎来了微妙的政策节点。
不久前,国际知名安全杀毒厂商赛门铁克、卡巴斯基双双出局中央政府机构采购名单,这是否意味着“洋杀软”退出中国企业级市场尽管未有定论,但失意是肯定的。
事实上,政府、机构、企业对信息安全防护的需求有增无减。从技术层面讲,信息化是时代趋势,但并非每家企业都有防护能力,且对安全防护的要求比个人安全更高;相比漫无目的地攻击千万用户,黑客更喜欢直接攻击企业服务器等获取利益,此前屡屡曝出的天涯社区账号密码泄露、携程信用卡泄密等皆是企业层面的安全危机,而现在很少见到类似于“熊猫烧香”那样的用户层面的安全事件。
这种需求对于安全厂商而言是种“一拍即合”的机缘。从收入上来说,个人安全本就因免费模式在收益层面乏善可陈,而企业级安全是天然的付费模式。曾有数据指出,目前中国个人安全市场不过20亿元,但2015年企业级安全市场将超过200亿元。
美国投资公司天灏资本日前在发布的研究报告中称,奇虎360公司的“企业安全等新的营收来源拥有上行潜力”。早在2013年9月,360公司董事长周鸿祎就透露了进军企业级安全市场的想法,并公布了“360天擎、360天眼、360天机”三款企业级产品,分别针对终端安全管理、未知威胁发现和移动终端安全管理。
今年初,360又连续中标上海市政府、天津工商总局的“杀毒软件采购项目”,并入选中央政府机构采购名单。目前,360企业级安全产品客户数已突破百万,并已在重要政府单位和大型企业应用部署。
360的主要竞争对手,腾讯副总裁、安全业务负责人丁珂也坦言,当前互联网安全企业纷纷将企业安全部署为下一个竞争发力点。
云计算安全难题大
泄密在网络安全领域并不鲜见,但近期的好莱坞大牌女星“不雅照”大规模泄露事件还是令人震惊,最大因素就是泄密来自苹果引以为傲的iCloud——云存储服务。
云计算是当下热门行业趋势,允许用户任何时间任何地点实时传输、存储和分享个人数据,因其简单快捷、成本低而迅速流行。但好莱坞“不雅照”给云计算敲响了安全警钟。
有安全专家分析指出,传统存储方式依赖硬盘、U盘等物理媒介进行互动,而云计算是实时的数据传输和互动,任何一个环节出问题都会让黑客得逞。
360安全专家也分析指出,造成iCloud账号被盗可能存在很多原因,比如用户的iCloud使用了常用的邮箱和密码,黑客通过“撞库”方式直接盗号,或是服务商提供的用户数据库安全性较差,导致用户面临这种风险,抑或是设备和网络环境存在安全隐患,这些都可能造成用户的账号和密码泄露。
遗憾的是,此次好莱坞艳照门事件,苹果服务器本身并无问题,难道只能怪女星没有保管好自己的账户和密码吗?
相当一部分行业安全人士指出,用户数据在云计算环境中进行传输和存储时,用户本身对于自身数据在云中的安全风险并没有实际的控制能力,数据安全完全依赖于服务商,如果服务商本身对于数据安全的控制存在疏漏,则很可能导致数据泄露或丢失。
因此,360安全专家认为,服务商首先要加强对于数据中心的网络安全防护,对数据进行加密处理,也要为用户提供多重验证。而用户则应当给重要账号单独设置密码并定期更换,不使用陌生的设备登录自己的私人账户,并安装安全软件实时监测泄密风险。
北京商报记者获悉,在本届中国互联网安全大会上,来自阿里巴巴的资深安全专家云舒将和大家分享如何确保云计算安全。
工控安全威胁浮现
值得注意的是,在互联网安全大会上,有一个名为“工控安全论坛”的议题并不为普通人所熟知,实际上这属于企业安全范畴更深层的领域。
工控安全,即工业控制安全,指企业自动化生产和运维系统的安全。这与本文开篇所指的企业安全有些许区别,前文所指企业安全侧重对外,即企业与外部(用户、客户)信息、服务交互的安全;而工控安全主要是涉及自动化的制造行业,侧重内部生产系统,比如自动化的汽车生产线等,这类系统最大的特点是定制,且并不与外部互联。
工控安全并不与大众消费者产生直接联系,但却在近几年成为黑客热衷攻击的领域,毕竟其涉及企业的核心。
今年上半年,互联网基础安全服务商绿盟科技发布的《工业控制系统及其安全性研究报告》显示,近四年来,工控系统公开漏洞数达到549个,2011年之后持续保持快速增长势头,工控安全事件达632件,而且多集中于能源行业(59%)和关键制造业(20%),工控安全事件呈快速增长的趋势。这对业务连续性、实时性要求高的工业控制系统来说,造成了极大的安全威胁。
特别是“棱镜门”之后,不仅仅在公用互联网领域,由于关注度不够和前期起步阶段存在种种客观问题,工业信息安全相对于传统互联网领域存有更大的隐患。有分析指出,未来进口替代将是投资工控信息安全产业的主要逻辑。各行业的工控系统安全均有需求,电力行业、石油石化行业、烟草行业及先进制造业的需求尤为突出。
但在这一领域,基本尚无360、腾讯等巨头的身影,为企业提供服务的是良莠不齐的中小厂商。事实上,去年互联网安全大会,主办方360并未设置“工控安全”相关议题。联想到该公司“做安全相关业务”的宗旨,不排除360向工控安全等专业市场进军的可能。