●本报记者 赵　明 综合报道
提到信息安全，大部分人应该对2003年涌出的MyDoom、Bagle.B等大量蠕虫病毒以及“冲击波”还记忆犹新。尤其是对备受损失的企业来说，信息安全投资不免在今年提上了议事日程。
IDC中国跨产品组/数据中心总监武连峰透露，根据IDC 2003年数据分析显示，目前安全市场的增长远远高于整个IT市场的增长。IDC预测，2007年全球安全市场的总额将从2002年的639亿美元增长为1188亿美元，其中硬件、软件和服务的市场占有率将分别为32.4%、34%和33.6%，其市场规模平均增长率分别是11.8%、12.2%和15.8%。
安全投资的重点
在6月5日召开的2004亚太安全论坛上，IDC对“安全”重新做了定义，IDC认为，完整的安全应该覆盖“物理安全”、“信息安全”和“业务连续性安全”三个方面。
“物理安全”包括物理监控与检测、生物识别、认证令牌和卡、报警装置、物理锁以及相关的咨询实施等服务；“信息安全”包括防火墙/VPN、入侵检测与漏洞评估、安全内容管理、安全3A（授权/认证/管理）、加密机及加密软件以及相关的咨询实施等服务；“业务连续性安全”则包括高可获得性与容错计算、性能监视、RAID/SAN/NAS、负载均衡、备份与灾难恢复以及相关的咨询实施等服务。
武连峰说，“用户本身并不会关心你用的手段是防火墙还是灾难备份，他只要保证业务不受损失，这才是核心关注点。”从本质上来说，应该在“业务连续性安全”业务上的增长比较快，但IDC的数据显示，信息安全是安全市场增长最多的领域。
武连峰称，造成这种现状的原因在于：“企业已经做过一些‘物理安全’了；如果没有漏洞，大家则很难对‘信息安全’进行投资，但2003年无论是蠕虫病毒还是冲击波都令大家损失很大，大家的意识有所改变，尤其是遭受过损失的企业对信息安全需求很大，因此信息安全产品增长很快。‘保证业务持续性安全’的增长率反而要低一些。”
据IDC预测，亚太区信息安全的市场规模将从2003年的37亿美元增长为2007年的83.4亿美元，而中国信息安全市场则从2亿美元增长为6.7亿美元，年均增长率为34%，远远超过整个亚太市场22.9%的年均增长率。
安全市场增长空间大
中国的安全产品市场大概在1999年时启动，2000、2001年达到高峰，国内安全厂商发展至上千家，实际上那时的市场已产生了泡沫；2002年随着一些小的安全厂商倒闭转型，市场开始变得理性。
据武连峰研究发现，国内企业对安全投资的比例基本占到IT的4%~5%，有的甚至达到了10%，但国内更多企业却低于2%。这个比例比全球要低得多，所以国内安全市场的增长空间还很大；全球对安全的投资在2007年将会占到IT的10%。
按行业来看，电信、金融、政府三个主流行业对安全产品的依赖特别强；而电力、石油、石化的信息化力度加强以后对安全的需求也在加大；中小企业则主要是防病毒，其增长也大，但与电信等行业相比显得比较小。
目前国内不同安全产品的接口不一样，还没有一个很好的安全标准。安全厂商面临着一个很大的矛盾是：既想有标准保证互操作性，又想保持自己的东西，而在实现上又有小的差异。如果政府强行定一个标准，厂商又不一定会遵照；除非政府在政府采购上加以规定，这才会对厂商及安全市场的发展有很大的推动。
由于安全产品与一般性的IT产品不同，安全产品一定是需要服务的。而目前企业并没有特别好的手段来做安全评估，部分主流安全厂商因此在推安全评估服务。这也是国内外都在推整体解决方案的原因，目前国内已有用户采纳这种安全评估服务。
武连峰称，“国内主流安全厂商的产品从技术上与国外相比有一定的差距，国外暂时领先；但从市场份额上来看已基本没有差距。”
网络安全市场的五个变化
据IDC最新数据表明，2001年40%的IT经理人将安全防护定为最重要议题；2003年7%的IT预算支出在安全防护上；未来5年内，总体IT预算的10%将支出在安全防护上，这意味着总体安全支出将达到1188亿美元，同时80％的安全产品将以应用装置或内置于硬件之中的形式呈现，这种改变将让企业更容易布置其安全防护。
IDC中国跨产品组/数据中心总监武连峰还对网络安全市场做了全新的展望，主要包括5个方面：
1.全硬件及芯片将渗透到安全的每一个领域。
体现在：几乎所有的网络安全软件厂商将很快提供网络安全硬件设备；到2007年将有大约80％的安全产品将是网络安全硬件设备；网络安全软件将在硬件平台的选择上更加灵活；“CD Appliance” 

;将能使软件解决方案快速地集成到硬件设备上；更多的安全软件特征将加在已有的设备上。
2.自制性安全产品开始出现。
补丁管理、病毒库更新、防火墙配置等低端的安全功能将可以自动启动。这种自制性安全产品在同质的工作环境下工作良好，但也存在一些问题，例如，在不同的工作环境里即使简单的补丁管理也令人质疑；IT人员不相信那些不会产生任何问题的解决方案；对这种自律性安全将会打破一些固定的东西，而同时担心新安全隐患的产生。
3.集成式安全产品将快速发展。
包括：硬件的集成，如防火墙、IDS、防病毒等；身份管理集成3A产品和目录服务。身份管理包括认证、授权、管理、日志与报告和目录服务等，它还可通过集成众多安全功能提供更多的好处，如大规模的目录管理、物理设备与IT安全集成的可能、支持更多种标准。
4.物理设备与IT安全将逐渐集成。
涉及的内容包括：协调物理设备与IT设备接入，与日志共享认证方法；认知并不断监测员工和设备的“行为”；监视相机、DVRS、人工智能动作分析以及面部识别；对面部识别智能成像、退出控制的跟踪以及对行为的分析。
5.“4P”安全管理将成为企业保障业务连续性安全的必备措施。
IDC认为，企业要确保业务连续性安全，必须从4个方面入手：People，管理人才，Policy，管理制度和策略，Program，管理流程，Product，安全管理软件和硬件。其中，购买并实施安全管理产品，已经被广大的企业用户所认识和接受，而另外三个方面则有待加强。
IDC还指出，在选择安全产品和厂商时，建议企业遵循以下原则：满足国家安全标准及行业规定的要求；产品的可靠性与可扩展性；技术的先进性与可升级性；产品的性能价格比；整体安全解决方案的能力；全程的服务能力和持续的综合实力。
“安全不再只是防火墙、病毒更新或邮件扫描，它是一个宠大架构里的组成部分。” 
武连峰说，“同时，安全方案必须能够适用于最终用户层。今天的企业安全已远不仅指防火墙，所辖领地还包括PDA、手机、笔记本电脑、WLAN等一切办公设施。
IDC认为高层管理人员是安全策略的制定者。而目前，全球60％的企业正由他们的IT或者IS经理负责安全策略制定，只有17％的企业是由业务管理层来决定。这一问题已逐渐明显，并成为企业面临的大问题。