【IT168厂商动态】各位朋友大家好，很高兴有这样一个机会和大家来做交流。我在2004年10月份从美国回来创建了网康科技，到现在已经9年的时间了。这之前我在美国工作了八年左右的时间，主要是做网络安全方面的研发工作，从2002年起一直参加世界最大的安全展RSA，所以对中美两国的网络安全产业和公司都有一定的了解。今年以来，网络安全吸引了全世界的目光，中美之间围绕这个领域有过很多争论，甚至习近平主席和奥巴马总统见面都要谈网络安全这个话题。所以我也想借这个机会把自己对中美网络安全界的观察跟大家做一个分享。

　　网康创始人/CEO 袁沈钢先生

　　棱镜门带来的启示

　　今天这样的盛会在过去的中国网络安全界是没有过的，作为一个网络安全产业的从业者，我很高兴看到我们的产业被全社会所重视，我也相信我们的产业会越来越繁荣。能够有今天这样的局面，除了感谢我们每一个网络安全业界同仁做出的努力外，我想还要感谢一个人，那就是斯诺登。棱镜门事件是一个转折点，这之前整个国际舆论和美国舆论的焦点都是Mandiant发布的中国网络攻击报告，事情闹得沸沸扬扬，我们国家虽然有应对，但还是比较被动的。斯诺登先生登场后形势就发生了转变，人们发现美国在网络渗透和攻击起步更早、投入更大、更针对中国，另一方面这也是对中国网络安全界、中国网民、乃至中国政府一次教育，引起大家对安全的重视，所以我接受华盛顿邮报的采访时就说要谢谢斯诺登。棱镜门事件也引起了我们业内的很多讨论，其中一种观点就是网络安全必须国产，就这个话题我在演讲最后也会跟大家分享一下我的个人观点。

　　产业实力决定国家安全水平

　　我们可以把棱镜门事件当作一个里程碑，他正式宣告了和平年代国家安全的主战场已经转移到了第五空间。那么国家安全与这个国家的安全产业之间是个什么关系呢?我们可以先来看一组来自CNCERT的数据：大概有1.5万的境外IP控制了中国境内320万主机，其中美国控制了254万个，同时中国有2.5万个网站被国外通过后门进行控制。可见我国的整体网络安全情况还是相当不容乐观的。在McAfee发布的国家网络安全防御能力指数排名中，中国在23个国家里仅仅名列第16名。之所以会出现这种情况，主要就是由于我国的网络安全产业的落后导致的，我们国家在最前沿的网络安全技术上可能并不落后于任何人，但是安全的竞争不是长板之争，而是短板之争，不是个体之争而是系统之争、产业之争。只有通过产业的力量，才有可能使整个国家的整体网络防御水平得到加强，只有发达的产业才能源源不断地为我们提供优秀的人才和创新的产品技术。所以网络安全产业才有了今天大的繁荣景象，无论在中国还是美国，网络安全产业都成为发展的重点。但是我们也必须看到，中美之间的产业发展情况还是有着很大的差距，我希望通过我所作出的一些对比能帮助大家更清楚地了解差距所在。

　　安全企业之间的对比

　　2011年世界前20大信息安全公司

　　要对比产业水平，“公司”是一个很重要的维度。然而，在世界前20大网络安全公司中都没有中国公司的身影，大家现在看到的是2011年的数据，按销售收入计算，要进入前20名大概需要2亿美元，到了2012年要进入前20名大概需要3.5亿美元。而中国目前最大的上市安全公司启明星辰2012年的营收只有1.2个亿。同时我们也可以看到在前20大安全公司中，美国有15家，以色列有一家，台湾有一家、荷兰、英国都各一家。我们再把在中国和美国上市的安全公司的前几名拿出来直接做一下对比，可以发现我们的上市安全公司的财务能力大概是美国公司的二十分之一的规模。中国的网络安全产业要发展，必须诞生出一批在世界范围内有影响力的伟大公司，这是我与在座诸君共同享有的机遇也是共同背负的历史责任，让我们共同努力。

　　中美两国上市公司2012年营收对比

　　活跃的美国资本市场

　　另外再给大家介绍一下美国资本市场。我们知道任何一个产业要想发展，都离不开资本市场的支撑。中国的互联网产业发展的这么好这么大，离不开风险投资。风险投资带来了中国互联网的繁荣，也带来了奇虎这样环球级公司的发展。然而，我们在网络安全上的风险投资却是远远落后的。在美国，过去20个月里发生的千万美元以上的投资共有16笔，而整个2012年则多达239笔，总投资额高达14亿美金。中国方面我所知道的网络安全的投资，在过去一年大概是3000万美金。我们可以看到，美国在网络安全投资的重点主要集中在应用安全、移动安全以及APT攻击防范，正是强大的风险投资支持了众多的高科技企业的创新创造，才使得美国的安全技术始终领先于世界。

　　除了风险投资之外，并购也是很重要的资本市场运作。我们中国创业公司做起来，一般要么跟公司一起上市，要么跟公司一起死亡，退出的渠道非常狭窄。而且，在大概接近一年多到两年的时间，我们国内的IPO是基本关闭的，整个资金的投入、退出，包括创业的机制就基本处于停顿状态。而美国市场则通过并购为广大有创新能力的中小企业提供了一条很好的途径。比如戴尔12亿美金并购SonicWall，思科27亿美金并购Sourcefire都是很好的例子。这就形成了一个良好的产业模式，小公司负责创新，大公司则通过资金扶持这些小公司的发展，同时提升自己的竞争能力，从而打造出一个充满活力的美国网络安全产业。

　　过去20个月里发生的超过1000万美金的风险投资

　　安全市场规模及结构对比

　　我们再来从市场规模的角度来看一下。中国的GDP是8万亿美金，美国GDP是18万亿美金，大概是我们的两倍多。而在政府安全预算方面，美国2012年是65亿美金，中国则只有4亿美金，只是美国的6%。在更广泛的商业市场中，美国的信息安全支出是43亿美金，中国在这块安全支出则只有区区0.8亿美金，不到美国的2%。我们可以看到，相对于GDP规模而言，我们国家在信息安全领域的投入是非常低的，而且存在着严重的结构失衡。美国的政府支出和SMB市场支出基本相当，而我国则相差悬殊，这就造成了我国广大的工商业企业的安全防护能力极度落后，也就是前面提到的那350万僵尸主机得以存在的根本原因。

　　中美安全监管思维差异

　　我们再来看一看中美在法律法规监管方面的思维差异。美国监管对象主要是公共服务的提供者，比如对银行、学校和上市公司。任何一个公共服务提供者，如果出现了用户信息泄露的话，商业企业要为此付出很大的代价，但是我们在这方面还是非常缺乏立法的。我们中国目前监管方面主要侧重于对安全产品供应商的监管。我们在做安全的时候要做很多评测、许可、检测，要拿很多的资质证书。这样做就使得整个产业的进入门槛非常高，创业难度非常大，很多创业者想创业，对不起，先拿出来一堆证再说，没法拿出这个证就没法进入游戏，而拿这些证的时间和资金成本都是非常高的。而由于对公共服务供应者缺乏立法约束，又极大降低了中国的企业用户安全的需求。用户不用对安全进行投入，出了事只要把记者摆平，把监管机构摆平就行了，根本不需要上各种各样安全的东西。降低了需求，自然就缩小了整个安全市场的规模，进而也就降低了投资的兴趣，乃至整个产业链的健康发展。

　　网康科技的几点建议

　　前面，我从公司的维度、资本市场的维度、市场规模和结构的维度、以及法律监管的维度对中美两国的安全产业做了一些比较，差距的存在是显而易见的，那么在这样的情况下我们应该怎么办?这里我也提几个建议供大家讨论：

　　第一点就是宽严相济。宽是放宽准入制度，减少各种各样的证书，尽可能的让用户和市场进行选择和决策。严要严在什么地方?我们一定要对网络的公共服务提供者加强监管，要求他们提高安全水平，要求他们保护客户的利益。医院一定要保护好病人的隐私，银行一定要保护个人的资产信息等等。

　　第二点，授之以渔。我从一个人的公司做到现在是几百人的公司，才有能力去争取一些基金项目，但是很多创业公司只有十几个人，没有实力争取国家各种各样的支持。而且国家的这种直接给钱给项目的方式其实是很没有效率的，在发放标准上，在使用效率上都得不到很好的监管，不能很好解决整个安全产业蓬勃壮大这个事情。我认为与其授之以鱼不如授之以渔，应该围绕改良商业环境，降低税收、提供信贷、鼓励创新和就业等方面多做一些事情。

　　最后一点就是开放竞争。回到我最一开始提出的一个问题，安全必须依赖国产嘛?在一些核心领域国产或许是必须的，但是在绝大多数场景下，或者说从整个产业的角度而言，我们必须坚持开放公平的原则，这样才能引进先进的技术产品、先进人才，包括让我们的产品和人才与国外先进的产品和人才进行PK，在PK中得到成长、得到壮大、得到提高。只有这样，中国的网络安全产业才能够成长起来。我们不能认为仅仅贴着国产化的标签就安全了，不能说国产的红缨枪都比洋枪洋炮更有用，我觉得不能这样。只有通过开放竞争才能真正培养出我们自己的优秀产品和企业。

　　以上是我的个人观点，抛砖引玉，有不当之处敬请指正。谢谢!