三年前,我踏入了网络安全产业。
今天来看,这一步很幸运,同时也很不幸。我想大部分网络安全产业从业者都有类似的感受。
一、网络安全产业的幸与不幸
说幸运,是因为我们身处一个接下来十年甚至数十年内会长期快速发展的产业,能抓住一两个这类“风口”产业,是一生难得的运气。网络安全产业未来会长期快速发展,相信大部分人是认同这个判断的。其背后的推导逻辑很简单。
首先,在这个不断数字化的世界,网络安全越来越重要,政府、企业和个人在这件事上一定会越来越重视,愿意花更多的钱去解决可能面临的日趋严峻的网络安全问题;其次,由于存在攻防不断对抗的特点,客户在网络安全方面的实际需求一直未能得到满足,在未来十年甚至更长时间都是如此。试问,今天哪个政府或企业网络安全的负责人敢说自己现在的信息基础设施能够在黑客攻击之下高枕无忧?
说不幸,是因为我们处于一个过去多年一片混战、从业者怨声载道的产业。我曾经参加过一个网络安全产业论坛的研讨,几乎所有与会的圈内大佬都或诉苦,或求助。诉苦者说这个产业竞争太无序,规模不大玩家太多,玩法不规范,赚不到钱。求助者希望政府能够站出来规范这个市场,做好产业分工和合作的协调管理。
如果说这个产业是所谓的“风口”产业,那这个风向就是不确定的,今天是东风,明天变成了西北风。过去这些年来,网络安全各种概念、理念层出不穷:零信任、态势感知、IPDRR、CARTA、软件定义边界、SOAR、城市安全大脑、城市安全运营中心……有些是舶来品,有些是土生土长的。有人拿新概念总能融来不少资金风光几天。可今天你刚把一个概念理解得七七八八,明天可能就过时了。然而,这些光鲜概念的不断涌现对缓解整个社会对网络安全的担心帮助并不大。安全厂商在拿着各种新概念到客户面前侃侃而谈大拍胸脯时,内心是忐忑的,深知光鲜外表下的安全体系仍然脆弱不堪。
厂商抱怨客户不重视安全投资,抱怨竞争对手都在夸海口、出低价,导致市场混乱赚不到钱;有见识的客户不容易被新概念忽悠,但对安全厂商、服务商的交付经常不满意,安全体系建设经常成为摆设,平时还是要靠人拉肩扛被动地度过一个又一个安全事件的坎;国家和政府不断出台相关政策法规,但在不断加大的网络安全风险面前,焦虑不减反增。好像所有人都对这个产业并不满意。
这个产业就是这么矛盾,长期痛并快乐着。
二、网络安全产业繁荣,亟需具备国际竞争力的高品质产品
而其他的“风口”产业不同,有些“风口”产业成长起来了,逐渐成熟,推动社会进步的同时,形成了相对健康的生态,一批玩家从中获得了巨大的商业利益。比如,曾经的电子商务、移动互联网、智能手机、智能穿戴、社交媒体、短视频等等。
也有些“风口”产业幻灭了,或蛰伏了,一部分是因为经济价值或社会价值不大,最终没有被普遍接受。比如,曾经火爆的O2O、共享经济等。还有一部分因为技术不成熟,目前还没有成为颠覆性的力量,比如,VR/AR、人工智能等。
中国网络安全产业到今天还不算已经成长起来了,但也一直没有幻灭,更不会幻灭。我们能够离开O2O模式,也可以接受VR/AR技术不成熟无法普及的现状,但谁也不敢说网络安全可以不要。
但是,这个产业如何才能逐步成熟起来,让大部分和这个产业相关的人满意?
网络安全涉及的范围很广,不仅仅是技术、产品和服务,还包括了法律、制度、管理、流程、人员意识甚至是道德观等。本文聚焦到和技术相关的产品、解决方案和服务,跟各位探讨。
即使限制在技术相关的范畴上,安全的范围也不小。针对具体保护对象的不同或保护对象所在场景的不同,安全产品和技术可以分为很多不同的大类,比如,终端、云、网络、内容、应用、数据、物联网、工控等,再结合为了所要做的安全处置动作,如预防、管理、认证、分析、检测、处置、追溯、审计等,所演化出的产品品类就很多了。
这么多产品品类,加上到目前为止基本依赖于人的、客户定制化很强的安全服务,安全市场看似规模不算小,已有500亿人民币左右(不同机构给出的规模不同,2019年从400亿~600亿不等),但分到每个玩家(提供安全产品的厂家据统计超过1000家)和每个产品品类上,规模就很可怜了。
而安全厂商们,大多也倾向于不断扩大自己的产品线,试图借此扩大自己的市场规模。于是,很多的安全产品品类,都有数十家甚至数百家厂商参与,试图分一杯羹。比如,防火墙产品,拥有公安部销售许可证的安全厂商多达210家,WAF有81家,漏扫有93家,态势感知作为一个新兴产品品类,也已经有64家厂商。
按理说,这么多的学生,总有几个尖子生,能够在国际比赛中拿得到名次。实际情况并不乐观:到目前为止,除了华为的防火墙产品,获得Gartner网络防火墙魔力象限挑战者、NSSLabs推荐级外,其他国内安全产品少有领先。
有人说,网络安全更看重服务,产品并不重要。这个观点是经不起推敲的,没有一个科技类企业的产品是不重要的。环顾全球500强企业,除了金融、零售、能源等服务类或资源型企业,哪个企业不具备竞争力全球领先的产品?服务诚然对网络安全很重要,但若不能基于高品质的产品,其效果如何完全依赖于个人的技能水平,这样的服务效果不可预测,也不具备可复制性。试想,如果今天的医疗水平仍依赖于扁鹊、华佗这些不世出的神医,而缺少现代的精密仪器、医疗装备和药品,普罗大众一定无法享受到今日的医疗服务。
因此,对网络安全产业来说,产品竞争力同样是产业竞争力的基础。不能说有了领先竞争力的产品就万事俱备,但如果没有就不可能实现产业的成熟和健康,不可能让客户满意,更不可能让安全企业在国际上开疆拓土。
三、不凡之路无捷径,用心打磨高品质产品
那么作为网络安全企业,如何才能做出高品质的产品?
答案是没有捷径,必须舍得投入,用心打磨。
舍得投入主要指舍得在研发上投入人和钱。是否将业界的牛人投入在关键技术突破上,是否有足够的资金支撑长期研发投入。
有了投入还不够,还需要用工匠精神用心打磨。只有基于客户场景和需求不断改进,一步一个脚印地进步,才有可能打造出高品质的产品来。
前文提到国内网络安全企业倾向于不断扩大产品线来做大规模。在这种情况下,对于单产品的研发投入经常是不够的。目前一些规模较大的厂商倾向于做全产品线,用有限的研发投入支撑数十种甚至上百种安全产品的研发。撒胡椒面儿式的投入,很难做出有竞争力的产品。
和撒胡椒面式的研发投入方式不同的是聚焦到某个或某些产品品类上,华为就是如此。我们在安全产品研发上秉承华为一贯的风格,首先研发投入的人员和资金规模在国内可以说首屈一指,同时研发的产品品类有限,聚焦两类产品:HiSecEngine系列防火墙、IPS等安全网关设备;HiSecInsight安全态势感知系统等安全分析与管理平台。华为致力于将产品竞争力做到全球领先,获得客户认可。
每个企业都希望做大规模,这两类企业选择了两种不同发展路径。前者希望先把规模做大,也许规模大了有了足够资金后再有选择地将产品竞争力做起来。后者试图先把产品竞争力做强,希望通过拥有竞争优势的产品获取更大市场份额,从而将公司规模做大。
这两条路对比,我认为后一条路的根基更稳,后劲更足,对整个网络安全产业更有帮助。若大家都选择做全产品线,每种产品每个厂商都蜻蜓点水地投入,会带来大量的低水平重复投入,也导致各厂家之间恶性竞争。
然而,走聚焦这条路的企业却面临额外挑战,华为也不例外。过去我在面对客户时,经常面临两个质疑:1、你们产品虽好,但产品线不全,无法提供完整的安全解决方案;2、客户更关心服务而不是产品,你们聚焦做产品但没有大量投入做全面的安全服务,无法匹配客户期望。
这两年来我和多个走类似路线的安全企业负责人进行过探讨,发现这些企业也面临同样的困境。虽然他们单产品竞争力更强,但在很多行业客户那里却经常没有机会参与竞争。比如,深圳某个企业,多年来一直聚焦做终端安全,他们在金融行业做得很好。为了确认合作伙伴的产品竞争力和技术实力,我们也专门调研过这些客户对他们产品的评价如何,发现客户评价总体非常高。然而,就是这样一家企业,在政府行业中几乎没有存在感,为什么?因为政府客户一般不会仅仅因为单个产品出色就选择这个厂商。
四、精诚合作真生态,促网络安全产业健康发展
那么,该如何破局?让单产品竞争力更强的厂商生存地更好,实现良币驱逐劣币?如果该局可破,对整个中国的网络安全产业来说都是一件大好事,一定可以促进这个产业更加成熟和健康。
要破这个局,我认为必须建立一个真正的安全厂商、服务商之间精诚合作的生态。这个生态不能依靠政府行政命令或依靠社会责任驱动,要通过市场经济的手段,通过生态伙伴之间利益分享的驱动力来实现。
理想情况下,有人牵头将细分品类竞争力强的产品厂商汇聚起来。这些有竞争力的产品通过系统地、有机地组合,形成完整的安全解决方案。由于这个联合解决方案的各个部件产品都有竞争力,整个解决方案竞争力也可以达到最优。同时,再在这个生态中引入一些理解客户业务、有能力的安全服务提供商,让他们基于这个竞争力最优的联合解决方案为最终客户提供服务。那么这个服务的效果、效率一定也是最优的。
正是基于这个想法,我们在2018年创建了华为安全商业联盟。强调“商业”,就是希望通过商业的手段解决利益的问题,从而让这个生态具备长久的生命力。这个联盟经过过去两年的探索,积累了一些成功的经验,也有一些失败的教训,并且过程中也筛选出了一批真正适合这个合作模式的志同道合的生态伙伴。基于这两年的探索,今年华为会将这个联盟进行升级,从过去的1.0版本升级到接下来的2.0版本。
华为安全商业联盟2.0版本计划在今年8月8日正式对外发布,请大家关注。