北京圣博润高新技术股份有限公司是我国知名的信息安全专业厂商。通过八年的发展，圣博润从成立之初的4个人发展到现在170多名员工，在竞争激烈的信息安全市场站稳了脚跟，现正酝酿着在中关村三板市场挂牌，为今后上市做准备。近日，我专访了圣博润的总经理孟岗先生，请他介绍了圣博润公司发展的背景，并解读中国内网安全市场的发展现状。

    一、关于圣博润

    黄培：请您介绍一下圣博润成立的背景和发展历程。

    孟岗：圣博润成立于2000年，经过8年的发展，已经从当初的4个人发展到现如今170多名员工。公司发展初期，我们与总参三部技术研究机构合作，销售他们的产品和服务。2002年开始，我们开始研究LanSecS内网安全管理系统。当时是基于两个出发点：第一，国家保密局提出了主机审计和监控；第二，公安部对桌面的行为管理和监控提出了一些要求。随着产品在市场上受到了越来越多客户的关注，2004年我们把资产管理、桌面安全加固、补丁管理等等功能加到了现有产品里。

    除了产品之外，我们还做安全管理咨询，这是从公司刚成立的时候就开始做了，当年具备ISO27001咨询师认证证书有三家，我们是其中之一。目前公司比较大的一块业务是安全服务，包括信息安全的风险评估、应急服务和外包等等。我们成立了一个专门的部门来发展这项业务。圣博润是公安部测评中心的技术支持单位之一，现如今这个部门主要配合公安部等提供信息安全测评的技术支持。

    黄：圣博润采取怎样的营销模式？

    孟：我们营销模式很清晰，80%以上的项目都是全国的合作伙伴来做。目前，全国有超过200家的合作伙伴，另外，我们在杭州、内蒙、广州、福州、重庆、陕西、南京、山东、河南、沈阳、长春、成都、湖南等全国十几个省市有办事处。我们不是一家直销的单位，办事处的工程师和销售人员对行业合作伙伴及当地代理商的全力支持。

    黄：针对内网安全，目前有哪些防护措施？圣博润又是通过什么方式切入内网安全问题的？

    孟：针对内网安全，市场上主要有桌面安全管理产品、防水墙及文档加密两大类产品。从应用的角度来看，桌面安全产品可分为两类：一类是偏重于运营维护中的安全问题，另一类则关注信息保密的问题，这正是企业内网信息安全最为关注的两个方面。

    在运营维护过程中，企业比较关注防病毒的问题，因为病毒会直接影响企业网络的正常运营。过去有很多杀毒软件厂商在防病毒上做了大量的工作，为什么后来又出现了终端安全管理产品介入到防病毒管理领域呢？主要原因是现在的攻击方式由原来的纯病毒攻击变成了木马+防病毒的混合攻击，传统的防病毒产品需要更新病毒代码才能应对新型的攻击，在时间上存在一定滞后；另外，防病毒的产品进入了企业内网之后，自身也存在一个管理的问题，比如有些员工并不按要求安装或升级不及时等。就防病毒问题而言，实际包含了一系列管理问题，需要运用技术手段把安全管理制度和内部规范建设支撑起来。桌面管理很多的技术手段都围绕这类问题产生。

    另外一类是防水墙及文档加密的产品。制造企业有大量的设计文档和数据，在网络上进行输入输出，企业从保护自主知识产权的角度，希望这些信息受控。早期部分企业采用封堵的办法，从技术上来说，这是有困难的，不可能完全实现，文档加密就应运而生。采用文档加密产品后防护又进了一步，即使信息流失，没有授权也打不开。当然，可能出现现在打不开，以后能打开的情况，这要看加密的程度。
   
    黄：在今后发展的过程中，圣博润将关注哪些领域？

    孟：圣博润的核心产品是做内网安全管理系统，除了国家明确规定民营企业不允许做的之外，涉及到内网安全的问题都是我们研究的方向。

    圣博润下一步的发展更关注两个问题：第一，国家对内网安全的政策有什么新的要求和规定，这直接关系着我们的生存。第二，用户的需求。我们做LanSecS内网安全管理系统已经有6年了，在这6年时间中积累了大量的用户，我们非常关注这些用户在使用产品时有什么新需求。在美国硅谷，很多企业发展起来是因为先有好的技术，然后再去开拓市场。目前国内做内网安全管理产品，和这种方式刚刚相反，对技术的原创能力要求不那么高。从产品的角度来说，目前国内厂商还没有一家有一项不可逾越的技术。当IT发展到今天，跨越技术只是时间问题，而且这个时间段越来越短。最终能够生存下来并脱颖而出的企业，一定把握住了两个问题：一是市场，这其中包括政策的导向以及客户的需求；二是后期的服务。既然产品是帮助企业做“管理”，后期的服务非常关键。这也是为什么我们除了做风险评估之外，还花一个很大的力量打造专门的服务团队的原因。我们希望圣博润不仅作为一个制药厂提供药片，还作为一个保健医生，为企业长期提供有价值的参照建议。

    内网安全管理产品是一个高集合度的安全管理产品，技术含量并不是非常的高，更多的是体现在“管理”的能力上。我们在这个方向发展的目标很明确，安全管理产品要在国内同类产品占有率第一；信息安全服务，并努力做到前三名。

    黄：服务是否也是产品营销的手段？

    孟：从目前的情况来看，服务远不止是产品营销的手段。在信息安全领域从产品转向服务的趋势已经很明显了。安全产品也有了不同的市场细分，有用户购买了具备某种功能的产品但是出了不相干的问题，又不想再去添置新的安全产品，这时候安全服务就体现出价值。现在已经有用户干脆买一个安全包，或者通过ASP的方式享受安全服务。目前除了运营商、金融机构自己会建立专门的安全服务团队，其他的企业多不具备这方面的人力以及资源。以一汽车制造商为例，信息部门有5-6个人，平时的信息化运营维护工作量本来不小，很难提供专业的安全防护服务，在这种情况下，用户更愿意购买安全服务。

    黄：对信息安全管理的软件厂商，不追求一次性销售、转而发展长期的服务是未来发展的趋势之一吗？

    孟：我个人认为确实如此。很多北美的软件企业将完全的产品销售最终转为产品+服务这种模式，周期大约在7-10年之间，基本上都是这个规律。

    我们从2006年开始搭建了一个纯粹服务团队。去年刚好赶上公安部测评中心的技术支持单位这么一个好机会，让我们的服务团队有了扩张的机会。如果没合适的政策，或者市场还没有培育起来，做服务可能还要赔钱。但是从长远上来说，我认为这是未来的一个趋势，所以我们将安全服务作为专注的发展方向之一。

分页

    二、关注内网安全技术的发展与应用

　　黄：以往企业更关注外部的攻击，现在信息的泄露等内网安全问题是不是逐渐成为了大家关注的热点？

    孟：确实有这个现象，但并非表示来自外网的攻击降低了，反而是在增加的。比如银行的网银服务，遭受到大量来自外网的攻击，这和中国信息化建设的历程有关。中国信息化建设的时间非常短，有些企业花钱买了好的硬件设备，甚至都没有来得及使用；另一个方面，人才储备有限也是重要的限制因素。当然，最起码的安全意识还是有的，既然有了网络的应用，显然要防止外部的攻击，这是企业最早做安全防护时的想法。经过了最初的安全建设阶段之后，随着企业对网络的依赖程度越来越大，比如网上审批文件量越来越大，企业发现缺乏管控手段，这样才产生了诸如权限管理、信息泄露等安全问题。这完全是由应用需求拉动的，应用越深入，关注的面就越广，现在企业对内网安全意识也更加强烈。

　　黄：现在做内网安全的厂商很多，比如桌面管理、灾难恢复、文档备份等等，解决信息安全问题有各自的特点和角度，您作为信息安全领域的专家，如何看待目前信息安全领域的格局？

    孟：我认为信息安全领域可以分为三类：第一类是与内部网络结合在一起做网络管理；第二类偏重于安全防护，做内部安全管理；第三类偏重于数据安全，比如存储备份。严格说来，圣博润偏重于内部安全管理。最近我们刚刚做了统计，国内号称做内网安全管理和桌面管理的厂商将近有300家，这个数字听起来挺吓人。为什么会出现这种状况呢？因为缺乏明确的国际标准。到目前为止，防火墙、防病毒有明确的国际标准，而内网安全却没有。你看ERP有标准吗？没有，因为涉及到了管理。而管理的问题和两方面有关系，一是企业应用的水平，二是管理的文化。内网安全管理上的差异不在于采用何种技术，而在于使用者的水平以及企业的管理水平。以制造业为例，我们有一个杭州汽车配件企业客户，他们和大的整车生产企业的防护水平肯定不一样，不仅是信息化投入多少的问题，而是企业本身在信息管理上就有很大的差异，这也造成了企业对信息安全需求上的差异。正是因为内网安全的产品涉及到了管理，又没有一个国际标准去衡量，各个层次企业的需求不同，产品众多却都有生存空间就不足为奇了。
 
    黄：您预测目前这个市场格局今后将会如何变化呢？

    孟：与现在的内网安全市场类似，2003年前后各大厂商纷纷推出防火墙，当时也有300多家。大多数企业的市场意识就是这样，别人做什么，我也做什么。这种模式直接导致了后期进入某个行业的企业，成本会很高，尤其是一些小企业，发展到后来生存都是问题。以前中国的大环境对知识产权管理不太规范，有的企业研发部门关键负责人离职之后，带了一套源代码，就成立了一个公司，开始做同类的产品，成本低，产品也比市价要低。看似公司成立的前期是赢利的，但是软件行业属于规模效益型企业，达到不一定的规模是发展不起来的。很多中小企业在这个问题上没有什么深刻的认识。从去年开始，很多企业已经退出市场，这个领域的市场开始洗牌了。

    黄：您这么一说，让我想起去年业内曾发生了这么一件事情，某厂商先用DDOS手段攻击某网站，造成无法访问，然后推销自己的产品。您怎么看待这种现象？

    孟：严格来说，这是一种黑客行为，法律上不允许的。企业要经营得好，需要遵循国家基本的法律法规，不能因为市场刺激而采取极端的方式。攻击是找到安全漏洞很重要的一个途径，通过攻击可能会刺激用户的购买率，但是客户买了产品，会对厂商产生更大的疑虑和恐惧。我们在产品销售的过程中，并不主张这样用。

    现在，我们在为很多网站做服务，需要通过远程渗透的方式来找到一些问题，在这种情况下，我们是要客户授权，需要出具有法律效益的文件，并规定一定的期限，否则就不会采用这种方式。
 
    黄：信息安全厂商也不可能解决所有的问题，有些问题可能并不在厂商需要解决的范围之内，在这方面有没有免责条款？

    孟：我们在销售产品的时候，会给客户传播一种理念：安全问题是没有止境的，只能说做了肯定比没做好，保护措施做的多肯定比做的少要好，对安全方面敏感程度很高的企业尤其如此。在行业内没有免责的问题，作为厂商，圣博润会提供公安部的销售许可证、保密局的证书以及相应的测试报告，这是我们产品能力的证明，我们只对产品功能描述中可以解决的问题负责。选择权在客户手里。

    三、关注制造业的信息安全问题

    黄：您之前提到了目前内网安全标准还没有统一，在这种情况下，针对制造业圣博润采取怎样的策略呢？

    孟：不仅是现在，我认为在相当长的时间内，内网安全很难形成一个统一的标准，制造业的桌面安全管理也一样。就我们接触的客户来看，我感觉离散制造业的需求很难形成规范。

    我们刚刚中标中国一重，最近准备做实施，按说中国一重是信息化建设非常有代表性的企业，他们的需求和我们北京的一家客户Ameco又不一样，企业对产品功能的需求差异很大。这样就要求厂商一开始就必须把系统做得大而全，以满足不同层次用户的需求。这也是圣博润研发内网安全管理系统的思路。在产品功能上既能满足中国一重这样的大型企业的要求，也能让江浙地区200、300人的小企业用好。

    黄：有些集团型企业分布在各地，安全问题更加复杂。对于这样一类需要异地协同管理的企业，圣博润的产品如何满足他们的安全需求？

    孟：对于这种集团型异地分布的企业，很重要的一个特点就是多级管理。圣博润现在的技术不仅可以在Intranet中管理，也可以通过Internet进行管理。目前异地传输VPN技术已经很成熟了，只需要在产品中做到权限管理，不同层级里面会对不同角色控制的范围进行限制就可以了。

    黄：制造企业的客户大概占圣博润客户数多大比例？如何看待制造业信息安全领域的市场？

    孟：制造业大约能占到10-15%，其中不包括军工行业。在安全领域，前者不完全算是制造业，还不是离散型的。后者的信息安全问题和制造业的不一样，我觉得应该把它们划分到政府里面，军工企业的内网是完全物理隔离的，制造企业则并非如此。

    不同规模的制造企业对于信息安全的需求有所不同。如中国铝业这样的大型企业，在做信息安全防护时，往往会从整个体系去考虑问题，而不仅是产品，他们可能会选用高端的产品。中小规模的企业同样有安全防护的需要，但又不愿意花太多的钱，这类用户会请我们这样的厂商提供信息安全的防护。

    目前，圣博润最大的客户还是在政府，我们可能从政府的中央机构做到全国各地市。制造业客户则比较分散，市场营销的模式和政府完全不同，我认为制造业信息安全的市场潜力非常大。

黄培与孟岗总经理的合影