网络安全概念的变化反映出安全的覆盖面在不断扩大,不同领域背景的人,对网络安全概念的认识也不尽相同,并在其中出现一些理解上的混乱。比如信息安全,政府人员就容易认为是指信息保密。通信领域的人员就认为是不良信息、垃圾邮件。IT 人员会认为是信息系统安全。还有一种混乱情况是范围的界定。比如,有人认为电磁防泄露不属于网络安全。再比如,利用电话或网络社交工具进行的诈骗、勒索也不属于网络安全。还有,对人为物理破坏或自然灾害的防范也不属于网络安全。本部分内容试图给出网络安全的概况性定义、本质和一些相关特性,当然这只是一家之言,谨供业内人士思考与讨论。
网络安全的核心概念:网络与对抗
从网络安全概念的演化可以看出, “网络与信息系统” 和 “攻防对抗” 是网络安全最为核心的两个关键词。其中,网络与信息系统即是攻防对抗的目标也是手段。因此,网络安全的本质或概念可以简单概括成一句话:基于或面向网络与信息系统展开的对抗过程。“基于” 是指把网络与信息系统当作工具或手段,“面向” 则是指攻防的目标对象就是网络与信息系统。由于网络的无处不在,攻防双方的目标可能为陆、海、空、天等空间中的任意对象,不仅仅是由电子设备、通信网络及应用程序、文档数据等构成的网络与信息系统本身,还包括与之相关联的实体设施,甚至是舆论思想和人身安全。这也正是网络空间安全概念提出的真正意义所在。
网络安全的层级外延:事件、威胁与风险
网络安全概念的解释,从攻的角度,电子设备的破解、通信协议的劫持、信息数据的盗窃,从防的角度,为防止数据的无意丢失和泄露采用的数据加密,维护网络与信息系统的稳定运行,甚至是为了防止人为破坏或自然灾害所采用的系统备份、网络保险等手段,均属于网络安全的范畴。但在现实中,对抗性质不明显的防范或保护,往往被列入相关技术范畴,比如保障系统稳定运行,归为网络运维,数据备份则归到存储。
围绕网络安全,有三个词最为常用:事件、威胁与风险,后两个词还经常被很多人混用。但实际上,这三个词之间有着递进扩展的关系。“事件” 最为直接,它的内含在于对抗,发生安全事件时,所做的应急、响应、处置等第一时间的行为。“威胁” 的内含是预防,在威胁变成事件之前的保护。比如,系统存在漏洞但还没有被利用,就是典型的威胁,需要更新系统打补丁。“风险” 的内含是控制,因为风险是不可避免的,而资源是有限的,所以要将风险控制在可接受的范围内。比如业务连续性,灾难备份等。“事件” 最为直接,发生了事情必须解决。“威胁” 是未发生或未发现的事情,用户的感受虽然不那么直接,但威胁防御也有对抗的性质,只不过是对抗过程的延伸。“风险” 的概念最为广义,对抗的内含也最为泛化(如与自然灾害的对抗),而且理论上投入多少资源都无法杜绝风险。因此,用户在风险上的投入也最不敏感。
网络安全的技术特性:伴生
网络安全技术是随着信息技术的出现而出现的伴生性技术。由于网络与信息系统的环境、场景、对象、技术、产品的复杂性和多样性,网络安全需求不可避免的呈现出行业化、场景化、碎片化、规模小等特征。举个例子,居住是生活的基础性需求,装修则是伴生性需求。一个现代化企业的信息系统是必需的,但保护信息系统的安全就是伴生需求。但在某些极端情况下,如业务信息系统是企业的命脉时,对安全的伴生需求就会成为刚需。比如,完全依赖线上销售的电子商务,抗 DDoS 就是必要需求。以知识产权为核心竞争力的科技公司,重要资料的保护就是必要需求。
网络安全的行业特性:服务
业内有很多人在谈到 to B 业务难以做大的话题时,往往会强调 to B 与 to C(面向企业还是面向消费者)的区别。但我认为,与其强调 BC 的区别,不如强调服务与标准化产品的区别。因为前者只是表现形式上的区别,后者则是本质上的区别。我们知道,B 与 C 的区别在业务流程、销售环节、产品迭代、运营手法上有着很大差异,但实际上,to C 业务一点也不比 to B 业务简单。虽然后者的环节较多,比如需要有售前的岗位、不断的打磨产品、长期的建立客户关系等,可 to C 产品一样会有复杂的销售链条、渠道代理、品牌营销、区域特色、地方保护、门店连锁等等,一点不比 to B 业务好做,而且 “死亡” 概率要比 to B 高得多。再反观国外,IBM、微软、甲骨文、Adobe、AWS 这些做企业服务的公司照样可以做的很大。所以,影响规模大小的不是 BC 的区别,而是服务与标准化产品的区别。前者天生就是碎片化1 的,后者则容易形成巨头。
[1] 平台性质的服务除外。如社交、共享、电商、云计算等。
网络安全属于服务性质的行业,类似的如餐饮、银行、保安、医疗等行业,除了快餐连锁、突破性药品这样的标准化产品,没有哪家以提供服务为主的行业能形成巨头。同样,网络安全公司,除了防火墙、个人安全软件这种偏标准化且能够普及的产品,没有任何一个细分领域能达到较大规模。
与网络安全行业最为相似的一个行业就是医疗卫生。医院无法包治百病,安全也做不到百分之百。医院非常依赖经验积累,最有价值的是医生,安全也一样,最值钱的是高级安全专家。而且医疗行业是非常碎片化的,世界上没有一家医疗机构能够做到类似于社交、电商、搜索、手机、芯片、操作系统、应用软件等领域具备统治力的企业巨头。据安全牛统计,全世界所有安全业务年收入超过十亿美元的企业(约 17 家左右),全部加起来也只占到全球网络安全收入的 30%,其余 70% 的收入来自数量繁多的中小微企业。有一个数据可能会让业内人士感到意外,网络安全行业最大的细分领域不是防火墙,而是安全咨询服务,收入规模是防火墙的两倍(约 200 亿美元2)。而且在 17 家安全业务达到年收入 10 亿美元以上的企业中,有五家是咨询公司,从数字的角度佐证了网络安全是一个不折不扣的服务性行业。
[2] 以 2018 年千亿美元的全球市场规模计算,防火墙超过 100 亿,个人安全软件 50 亿,SIEM 25 亿,其他产品最多的也就 10 亿左右,而且高度定制化。
超大型企业会自己建医院,同样也会成立自己的安全公司。大型综合医院对应全产品线厂商,专科医院对应技术细分厂商,细菌病毒对应恶意代码,疑难杂症对应 APT(高级持续性威胁),手术急诊对应安全部署或事件响应,医生处方对应解决方案,医疗顾问对应安全咨询,定期体检对应扫描监测,日常保养对应安全运维,医药器械生产商对应安全软硬件厂商……
伴生需求也就意味着可要可不要,再加上应用场景和行业的复杂化,以及网络安全行业的服务特性,因此规模小是必然的。但这种状况在未来会发生根本性的转变,为什么这么说呢?或者说网络安全的未来会怎样呢?
