对此,有专家分析指出,亚信安全主要安全核心能力部分依赖国外,意味着很多数据威胁情报或许需要上传至境外分析,或存在一些不可控的风险隐患。
亚信“借道”趋势科技布局安全领域
据了解,亚信科技是一家在美国纳斯达克上市的中国企业,总部设在北京,主要业务是通信领域的基础建设,为中国电信运营商提供IT解决方案和服务,一直以来主要业务并未涉及网络安全领域。
2015年9月1日,亚信科技和趋势科技联合发布公告,公告称,亚信科技收购趋势科技在中国的全部业务,包括核心技术及知识产权100多项,在合并之后,原趋势科技中国安全及技术服务业务的核心研发与技术人员将并入亚信安全。未来将有超过2000人的专业团队,超过20,000家的客户,服务中国网络安全产业,同时建立独立安全技术公司—亚信安全独立运营。
“这两年中国互联网领域发展迅猛,特别是网络安全已经上升到国家安全层面,成为国家重点发展领域,亚信科技正是看到了这样的市场机会,希望可以进军安全领域。”一位业内人士对《经济参考报》说。他表示,这几年安全领域国内市场因为我们国家在安全领域的很多招标对于外资有限制,这次收购同时为趋势科技和亚信科技两家公司进军国内安全市场扫清了障碍,前者可以规避对于法律对于外资安全的种种限制,而后者亚信科技也有了强大的技术支持。
记者了解到,亚信收购趋势科技中国业务后,随即将趋势科技的安全软件和硬件解决方案以亚信安全的名义在中国网络安全领域动作频频,借助趋势科技之前在中国积累下来的企业用户,亚信安全迅速在金融、医疗、电信运营以及交通等领域渗透。如亚信安全与成都市政府共同建设信息安全公共服务平台及云安全实验室、北医三院、上海申通地铁集团、上海市医疗保险事务管理中心、山东农行、广东移动等。
部分数据分析服务或依赖国外
一般来说,安全公司由销售、技术支持服务、产品研发和安全响应服务几部分组成。安全公司通过开发和销售产品来为企业提供安全服务,但其安全的核心能力在于其安全引擎和安全响应服务。
据公开资料显示,在合并之前趋势科技在中国的员工约600人,其中约500人属于在南京的中国研发中心,而亚信科技收购趋势科技在中国的全部业务中,并未包括这个趋势科技在中国最核心的部门,该研发部门目前仍属于趋势科技公司。对此,亚信安全方面给予记者的书面回复中称,亚信安全已经组建独立的研发团队,目前已经拥有超过2000人的专业安全团队,其中一些核心研发团队成员有来自原趋势科技和亚信科技研发的精英团队成员。
亚信安全方面同时表示,目前亚信安全在网络安全、云和虚拟化安全、终端和移动安全、APT治理和安全服务等多个安全领域拥有自主知识产权安全软件与解决方案,亚信安全与趋势科技遍布全球的15个恶意软件实验室亦有合作,可以响应和应对来自全世界各地的威胁。
亚信安全方面还回复称,目前,亚信安全在北京、南京有安全实验室,正在筹建位于成都的安全实验室。
值得注意的是,记者在采访中了解到,趋势科技作为其主要依赖的技术支撑合作方,其最核心的安全引擎和数据分析服务均在国外。记者了解到,趋势科技1988年在美国加州成立,创始人是台湾人张明正,财务总部位在日本东京,全球研发总部位在台湾,营销总部位在美国硅谷,行政中心位在爱尔兰,全球客户服务中心位在菲律宾。和国内领先的安全软件一样,趋势科技的安全软件也是使用“云安全”的技术,但其云安全服务器分布在包括美国在内的全球5个不同的国家,为了支撑云安全背后的安全分析和对抗工作,趋势科技设立了TrendLabs安全分析实验室,其总部位于菲律宾,在美国、台湾、日本设有分部,全球各地的病毒、木马、网络战武器和威胁情报资料,都会通过这五个国家汇聚到菲律宾进行分析。“这就意味着一些数据威胁情报或许需要上传至境外分析。”一位业内人士说。
“安全引擎和数据分析服务这些核心能力是否是自主可控的,才是一个安全公司和安全产品是否是自主可控的标志。”上述人士告诉记者,他表示,安全引擎类似于电脑的CPU,是安全软件的核心技术,对于安全事件的分析、判断等逻辑都在安全引擎当中实现,安全响应服务则依托于安全引擎,根据安全引擎搜集到的信息、线索和数据来对安全事件进行深度剖析。
他向记者解释道,在一个典型的安全事件当中,安全公司会和企业配合,通过安全产品当中的安全引擎,搜集事件涉及的信息、线索和数据等,送到安全响应服务团队进行分析和响应。在普通的安全事件当中,需要搜集的信息可能是病毒、木马等样本;在涉及国家安全或重要组织的安全事件中,搜集的信息可能包括网络攻击武器和战略情报信息。
“如果这些安全引擎和响应服务器不在自己手中,就意味着请了一个随时可能被策反的保镖,特别是一些金融、公共服务、医疗、政府等部门,信息安全尤为重要, 当某个疑似安全事件发生时,由于无法确切知道这个安全事件是否与国家和公众安全相关,此时将安全事件相关的数据、信息和情报,甚至包括潜在的网络攻击武器传输到国外,都是存在风险的,而且这种风险无法通过提供知识、技能和工具进行控制。”上述人士说。
专家:需设更高门槛防安全公司“不安全”
网络安全自主可控一直是中国政府最为关注的焦点,2014年9月,银监会印发《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》,提出到2019年,安全可控信息技术在银行业总体达到75%左右使用率的总体目标,要求银行业金融机构应将提升网络安全保障能力和信息化建设能力纳入战略目标,将安全可控信息技术应用纳入战略规划。
“消除风险的关键在于国产化、核心技术自主可控。”一位业内人士说,他坦言,特别是信息安全领域,国家推行“自主可控”的目的是为了在未来的国家级网络对抗、保护公民信息安全当中,能够避免出现大规模信息安全泄漏,甚至被敌对势力控制的情况,对于提供信息安全服务的公司而言,即使起公司看起来是一个国内公司,但如果其安全引擎和安全分析对抗能力都在国外,那就意味着实际的安全核心和命脉仍然握在其他相关国家的手中。
“目前很多企业通过中外合资方式来获得进军国内安全市场的‘入门券’,这仅仅是形式上的变化,核心的安全引擎和服务器不在自己手中,大量数据流向国外,这些都是很多安全公司本身也成为信息安全隐患。”互联网实验室创始人方兴东告诉记者,他建议,一方面应该加快互联网立法,为推动信息安全自主可控提供制度上的保障,另一方面,应该在信息安全招投标方面更严格的审核和监管,特别是在一些关系国计民生和国家命脉的产业中,比如除了对于公司资质的审核要求外,同时将数据处理本地化也作为公司是否具备资质的重要考量标准。