​摘要：今天大部分的企业在信息安全建设上都在做一场不太情愿的变革，购买产品直接安装部署的“简洁”模式在防御效果上遇到了很大的问题，信息安全服务化的趋势让企业管理层需要更多的介入信息安全工作，这在人力资源及人才结构上，对企业都是一个痛苦的过程。同时，安全服务需要企业向信息安全服务商披露更多细节，授予更大权限，这也对传统的企业IT架构及管理提出了挑战。

随着移动互联网、物联网、大数据、云计算等技术的不断更新迭代，中国巨大的互联网人口市场带动着中国信息化水平的飞速提升，政府机构也在不断出台各种政策和规划来推动着信息化基础设施的建设。但是信息化水平提升的同时，随之而来的网络安全风险也逐渐成为组织和政府需要重点关注的对象。

根据Gartner对2011年到2018年全球IT支出及全球信息安全支出所做统计来看，信息安全支出占整个IT支出的比例在越来越高。对于信息安全支出占IT支出的比例，IDC的建议是13.7%，IBM的建议是10%，Gartner的建议是4%~7%。

Gartner数据显示,中国在2019年的IT支出约将达到2.9万亿元规模，综合考量各支出比例建议，中国在2019年的网络安全潜在市场规模将达千亿量级。当前，中国已经成长为全球第二大网络安全支出国家，网络安全市场正在进入快速发展期。虽然当前中国网络安全投入在整体IT投入中的占比相对于全球平均水平还有较大差距，但随着《国家关键信息基础设施安全保护条例》、数据安全、等级保护2.0等网络安全相关法律法规的逐步落地，监管部门的监管力度将大幅提升，中国网络安全相关硬件、软件和服务市场将持续保持快速增长。同时，云计算、大数据、物联网、移动互联网、人工智能等新兴技术的持续快速发展与相互融合，会促使网络安全领域的 “黑白灰多方势力”均不断尝试采用创新手段进行“攻防对抗”。

根据赛迪顾问《2019中国网络安全发展白皮书》，2018年，我国网络安全市场整体规模达到495.2亿元，同比增长20.9%。从结构上看，网络安全硬件产品仍占据接近一半市场份额，软件产品市场规模逐年增长，但服务占比仍然较低，2018年仅为13.8%, 远低于发达国家水平。2013年11月，国务院办公厅发布《国务院办公厅关于政府向社会力量购买服务的指导意见》，自此安全服务开始独立于安全产品的售后维护费用而存在。但鉴于政府购买公共服务的类别和边界没有统一规定，在实际执行过程中进展仍较为缓慢，导致政策放开后，安全服务的比例仍然严重不足。

相对于安全产业重硬件、轻软件及弱服务的现状，中国企业面临的信息安全挑战却是在逐步严苛及复杂化。一方面，企业的数字化经济转型中，IT体系从原有的基础支撑，上升到业务驱动力，那么也需要配套的信息安全可以满足业务灵活化、多样化及高用户体验等要求；另一方面，信息安全监管及现实存在的网络安全威胁，又对企业的的信息安全管理及信息安全技术提出了更高更复杂的要求。今天中国企业的信息安全建设，在业务、合规及网络安全现实威胁三维一体的驱动下快速发展。

从监管层面，2019年5月，网络安全等级保护技术2.0版本即《信息安全技术网络安全等级保护基本要求》正式发布，并将于2019年12月1日正式实施。2019年1月国家四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》，由此展开了一系列针对个人信息保护的监管活动，也发布了一系列针对个人信息保护的法规、标准、政策要求。

从网络安全层面，随着网络攻击行为日趋复杂，防火墙、IDS等传统网络安全设备并不能完全阻挡恶意的网络攻击。抛开真实的网络威胁及国家对抗，单就2019重保行动暴露出来的企业信息安全问题，就值得我们重新思考过去20年的企业网络安全建设中存在的问题。相比起单点的产品及技术，构建全面的安全防护体系和制定完善的安全管理策略显得尤为重要，风险评估、安全管理咨询、安全应急响应、安全托管服务的作用应当越来越引起企业重视。反观全球，在全球网络安全年收入排名前10的公司中，有独立的安全咨询服务公司4家，占据了半壁江山，这些独立的咨询公司为企业提供着企业安全体系建设规划咨询、安全合规咨询、个人隐私合规咨询等服务来帮助企业应对不断变化的安全风险。

基于全球网络安全行业的发展趋势、国家政策推动、复杂的安全攻击带来的安全需求等形势来看，中国过去20年依靠买硬件、买软件、堆功能的信息安全建设思路在今天已经遇到了瓶颈，单纯通过网络安全产品的堆砌已经无法应对复杂的安全现状，通过重构企业信息安全防护体系来提升企业的安全防护能力，将会成为越来越多企业的选择。同时，中国的信息安全行业也需要进行变革，需要从单纯提供网络安全产品过渡到以安全服务为主、产品为辅的服务模式。由此可见，网络安全服务将成为中国企业信息安全支出中的下一个增长点。借鉴美国过去10年信息安全产业发展经验，以MSSP为主的安全托管服务及独立安全咨询服务会是中国未来5～10年主要的市场增长空间，而这些服务需要更多的从安全顶层架构出发，避免过早的陷入产品技术细节。

仅仅以程序安全这么一个细分领域为例，基于企业软件开发SDLC流程，建立针对不同环节的安全能力，做到程序安全的前移及可管理性应该是首要目标。通过SDLC安全咨询的方式，可建立满足企业现有软件开发现状的安全管理及流程，并且定义企业组织架构与安全管理的映射关系，进而在选择程序安全产品的时候可更加有针对性，也更能回答某个具体产品或技术在整个安全目标中扮演的作用及提供的支撑。

变革不仅仅是发生在信息产品服务供应商领域，如中国移动在今年6月25日的“5G+发布会”上发布的网络即服务（NaaS，Network as a Service）能力体系，就提出了通过打造一个核心基石、六大创新能力，实现开放化的网络即服务，而在六大创新能力中就包括了安全即服务（SaaS）。在中国移动看来，信息安全应该是企业IT建设中必不可少的元素，就像网络通讯及计算能力一样，可以依托于云服务平台，无感知的获取。

梆梆安全作为全球软件安全行业的领导者，为了能更好地解决客户所面临的实际安全问题，在做好软件安全防护的同时也在大力拓展面向企业的全方位安全服务。通过对用户常见信息安全内外部需求进行总结，结合自身多年的服务经验，以业务系统（信息系统）为中心，在信息系统全生命周期的规划、设计、开发、实施部署、运行维护、系统废弃等环节里提供网络安全保障服务，主要服务内容包括：企业信息安全规划、信息安全风险评估、技术设施安全检查、技术设施安全加固、合规性咨询、合规性整改、信息系统安全运维、安全应急响应以及客户自定义的安全服务。梆梆安全能够以安全咨询为主导协助构建企业信息安全顶层架构，并以安全服务加安全产品的模式落地信息安全管理、控制及安全策略，真正实现“授人以渔”，践行自己“赋能中国企业安全内核”的使命。