看了ZhaoL的文章“给UTM泼点冷水——防火墙-UTM-IPS之三国争霸”，对其中的观点很是赞同。
但本文关心是文中引用的关于‘国内代表性安全厂商OEM第三方产品’的分析结果：“皓月认为：基本上第一阵营、第二阵营传统信息安全厂商中一半以上OEM飞塔（Fortinet）的产品，而采用嵌入引擎的方式则种类繁多，包括国外的卡巴斯基、赛门铁克、 Sophos、F-Prot以及……”。由此不难看出：国内的信息安全厂商们就是在争着替Fortinet打市场，令人费解的是国内防火墙的主流厂商们竟然是OEM Fortinet UTM产品的主力，而UTM主要冲击的则是国内企业占据市场优势的防火墙市场……。这才是真正令圈内许多朋友担忧的地方。

[separator]

这种争相OEM同一家外商产品的怪异现象充分反映了国内信息安全产业发展的现状：因核心技术竞争力上的缺失，使得国内企业为了取得国内市场竞争中的些微的优势，不惜以自己多年打拼的品牌进行贴牌，期望借助‘雇佣军’来打击国内的竞争对手。然而这种内斗策略将必然造成了国内企业在技术上的不思进取、急功近利和缺乏长远的企业发展规划；就是‘国家安全’这一最好的政策性保护伞也自动地丢弃了。令人忧心的是长久这样下去，这些公司虽然仍都打着民族产业的旗号，但都将逐步演化成没有技术实力的“洋买办”了，进而彻底失去国内信息安全产业对国家安全保障的服务能力。
个人认为，国内信息安全产业与其他产业相比，具有得天独厚的发展优势：就是具有国家安全保护伞下，具有合法排外性的“根据地”。因此，国内信息安全市场相对于国内信息安全产业，做好了就是一个“我的地盘我做主”的局面。国内的信息安全产业能够不惧国外信息安全巨头竞争而发展到今天的原因就是因为：这不是国外强大的同行们能够随便进入的空间。这本应该是国内企业好好利用来发展自己核心竞争力的地方———进行技术的储备、理论体系的完善、人员的培养以及市场竞争能力的培育。

可惜的是目前国内信息安全行业缺乏真正的领袖式企业、也缺乏对技术的高度重视，不能够从理论体系或战略意义上对行业内资源进行有效的整合、形成产业内分工合作或产业链，进而引导大家走向共赢。这样一来国内的企业，为了突破行业内同质化产品的恶性竞争态势、以求获得对国内竞争对手的市场优势，就只能争相向国外的信息安全厂商求助，期望通过引进产品从市场上快速击败国内的竞争对手。然而实际结果就只能是替国外的厂商卖出了产品、免费验证了技术（技术产权是人家的、要挣钱用的，怎么会给你核心的东西？），并取得了大量的实用性试验数据，为进一步改进技术奠定了基础。这必然会进一步加大双方在核心技术竞争力上的差距，进而需要不停地引进技术……陷入恶心循环。而自己获得的只不过是为国际厂商销售产品而挣一些辛苦费罢了。
但成规模地采用OEM的国外产品对国家的信息安全保障体系的建设却是致命的——因所采用的信息安全产品，虽然名义上是国内厂商的产品（品牌），但实际部署的却是国外的产品。对这些OEM的产品，我们从技术实现上了解多少？有多少核心技术是能够掌握与控制的？我们如何来控制这些产品对国家安全造成的风险？前段时间的“微软黑屏事件”已经为我们敲响了警钟，并引起业内的强烈反响……如果我们对目前这种OEM国外产品的方式不加以反思和调整，加大技术与理论的突破研究与产品的自主研发，那么当国外企业通过OEM的网络安全产品获得我们网络世界的监管与控制权，到时我们就不会有“微软黑屏”事件了，我们的信息将对他们完全开放，他们也许就根本不需要通知你了。
说这个问题，不是为了指责国内的安全企业：大家要生存、要解决用户的问题、要满足用户的需求（国内的用户、专家、领导也有被老外忽悠的可能，进而对国内的企业提出要求，这不算错！关键是行业内必须组织专家团队，认真评估这些概念、理论以及产品的适用性评估，有能力给用户、领导以正确的信息——要敢于说服用户，并提供合适的替代方案，这才是重要的）。从企业生存的角度来看，通过OEM完善产品线、快速抢占市场、占据先发优势应是正确的思路。但在涉及国家安全的信息安全领域，内部竞争的时候“引狼入室”就不对了。本来信息网络的基础设施已经基本上全是国外的产品了，就是安全这块再用国外产品，那么我们还有什么？又会有什么样的能力来保证我们的信息世界安全？
不反对通过引进技术、甚至OEM产品来取得企业的发展，关键是要有选择地OEM产品，注意引进创新，能够通过引进发展自己的技术，提升自己的核心技术研发及服务的能力。中国近代“师夷长技以制夷”思想以及改革开放初期的“以市场换技术”思路的经验和教训很值得大家借鉴：如果没有一个统一的引进机制，好几个人同时去求一个老外，老外想不牛就不行，想不发财都不行！往往是最后技术没学到，市场也丢了。
当然有人会说：‘我不去OEM，别人也会去OEM的，到时吃亏丢市场的就是自己了’。确实有这样的可能，但这并不能做为“可以滥用国家政策保护、以国家授予自己的‘行业准入权’做与老外交换资本”的理由。因为信息安全产业涉及的是国家网络信息空间的安全保障能力的建设问题；对于这个行业国家是可以进行强制保护的，可以通过国家管理部门限制OEM产品的应用、加强对自助品牌产品及其核心技术研发的基金资助和优惠政策支持以及相关法规的要求等措施，来促进国内企业的自主创新，逐步提高国内企业的技术竞争力和业内产品的国产化。
只有在坚持自主技术研发的同时兼顾适当的对外合作，才能够培养一批真正的技术高手，来适应信息安全领域的对抗性安全服务的能力。否则，过度依赖OEM国外的产品，除了学会怎么使用国外产品之外，对于国内信息安全产业安全服务能力的提升没有任何的益处。就UTM这个概念来说，需要从用户的应用需求、市场反应以及技术实现等多方面，来评估我们是否需要这个产品。而不是国外忽悠一个概念，我们就必须跟上，还是那句话：在自己的地盘上，为什么不能自己做主，非要听别人的呢？“不怕落后，就怕不做，更怕的是不动脑筋、被别人牵着鼻子走！” 这也许就是目前国内信息安全企业难以长大的主要原因。