三年前，我踏入了網(wǎng)絡(luò)安全產(chǎn)業(yè)。

今天來(lái)看，這一步很幸運(yùn)，同時(shí)也很不幸。我想大部分網(wǎng)絡(luò)安全產(chǎn)業(yè)從業(yè)者都有類(lèi)似的感受。

一、網(wǎng)絡(luò)安全產(chǎn)業(yè)的幸與不幸

說(shuō)幸運(yùn)，是因?yàn)槲覀兩硖幰粋€(gè)接下來(lái)十年甚至數(shù)十年內(nèi)會(huì)長(zhǎng)期快速發(fā)展的產(chǎn)業(yè)，能抓住一兩個(gè)這類(lèi)“風(fēng)口”產(chǎn)業(yè)，是一生難得的運(yùn)氣。網(wǎng)絡(luò)安全產(chǎn)業(yè)未來(lái)會(huì)長(zhǎng)期快速發(fā)展，相信大部分人是認(rèn)同這個(gè)判斷的。其背后的推導(dǎo)邏輯很簡(jiǎn)單。

首先，在這個(gè)不斷數(shù)字化的世界，網(wǎng)絡(luò)安全越來(lái)越重要，政府、企業(yè)和個(gè)人在這件事上一定會(huì)越來(lái)越重視，愿意花更多的錢(qián)去解決可能面臨的日趨嚴(yán)峻的網(wǎng)絡(luò)安全問(wèn)題;其次，由于存在攻防不斷對(duì)抗的特點(diǎn)，客戶(hù)在網(wǎng)絡(luò)安全方面的實(shí)際需求一直未能得到滿(mǎn)足，在未來(lái)十年甚至更長(zhǎng)時(shí)間都是如此。試問(wèn)，今天哪個(gè)政府或企業(yè)網(wǎng)絡(luò)安全的負(fù)責(zé)人敢說(shuō)自己現(xiàn)在的信息基礎(chǔ)設(shè)施能夠在黑客攻擊之下高枕無(wú)憂(yōu)?

說(shuō)不幸，是因?yàn)槲覀兲幱谝粋€(gè)過(guò)去多年一片混戰(zhàn)、從業(yè)者怨聲載道的產(chǎn)業(yè)。我曾經(jīng)參加過(guò)一個(gè)網(wǎng)絡(luò)安全產(chǎn)業(yè)論壇的研討，幾乎所有與會(huì)的圈內(nèi)大佬都或訴苦，或求助。訴苦者說(shuō)這個(gè)產(chǎn)業(yè)競(jìng)爭(zhēng)太無(wú)序，規(guī)模不大玩家太多，玩法不規(guī)范，賺不到錢(qián)。求助者希望政府能夠站出來(lái)規(guī)范這個(gè)市場(chǎng)，做好產(chǎn)業(yè)分工和合作的協(xié)調(diào)管理。

如果說(shuō)這個(gè)產(chǎn)業(yè)是所謂的“風(fēng)口”產(chǎn)業(yè)，那這個(gè)風(fēng)向就是不確定的，今天是東風(fēng)，明天變成了西北風(fēng)。過(guò)去這些年來(lái)，網(wǎng)絡(luò)安全各種概念、理念層出不窮：零信任、態(tài)勢(shì)感知、IPDRR、CARTA、軟件定義邊界、SOAR、城市安全大腦、城市安全運(yùn)營(yíng)中心……有些是舶來(lái)品，有些是土生土長(zhǎng)的。有人拿新概念總能融來(lái)不少資金風(fēng)光幾天?？山裉炷銊偘岩粋€(gè)概念理解得七七八八，明天可能就過(guò)時(shí)了。然而，這些光鮮概念的不斷涌現(xiàn)對(duì)緩解整個(gè)社會(huì)對(duì)網(wǎng)絡(luò)安全的擔(dān)心幫助并不大。安全廠商在拿著各種新概念到客戶(hù)面前侃侃而談大拍胸脯時(shí)，內(nèi)心是忐忑的，深知光鮮外表下的安全體系仍然脆弱不堪。

廠商抱怨客戶(hù)不重視安全投資，抱怨競(jìng)爭(zhēng)對(duì)手都在夸海口、出低價(jià)，導(dǎo)致市場(chǎng)混亂賺不到錢(qián);有見(jiàn)識(shí)的客戶(hù)不容易被新概念忽悠，但對(duì)安全廠商、服務(wù)商的交付經(jīng)常不滿(mǎn)意，安全體系建設(shè)經(jīng)常成為擺設(shè)，平時(shí)還是要靠人拉肩扛被動(dòng)地度過(guò)一個(gè)又一個(gè)安全事件的坎;國(guó)家和政府不斷出臺(tái)相關(guān)政策法規(guī)，但在不斷加大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)面前，焦慮不減反增。好像所有人都對(duì)這個(gè)產(chǎn)業(yè)并不滿(mǎn)意。

這個(gè)產(chǎn)業(yè)就是這么矛盾，長(zhǎng)期痛并快樂(lè)著。

二、網(wǎng)絡(luò)安全產(chǎn)業(yè)繁榮，亟需具備國(guó)際競(jìng)爭(zhēng)力的高品質(zhì)產(chǎn)品

而其他的“風(fēng)口”產(chǎn)業(yè)不同，有些“風(fēng)口”產(chǎn)業(yè)成長(zhǎng)起來(lái)了，逐漸成熟，推動(dòng)社會(huì)進(jìn)步的同時(shí)，形成了相對(duì)健康的生態(tài)，一批玩家從中獲得了巨大的商業(yè)利益。比如，曾經(jīng)的電子商務(wù)、移動(dòng)互聯(lián)網(wǎng)、智能手機(jī)、智能穿戴、社交媒體、短視頻等等。

也有些“風(fēng)口”產(chǎn)業(yè)幻滅了，或蟄伏了，一部分是因?yàn)榻?jīng)濟(jì)價(jià)值或社會(huì)價(jià)值不大，最終沒(méi)有被普遍接受。比如，曾經(jīng)火爆的O2O、共享經(jīng)濟(jì)等。還有一部分因?yàn)榧夹g(shù)不成熟，目前還沒(méi)有成為顛覆性的力量，比如，VR/AR、人工智能等。

中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)到今天還不算已經(jīng)成長(zhǎng)起來(lái)了，但也一直沒(méi)有幻滅，更不會(huì)幻滅。我們能夠離開(kāi)O2O模式，也可以接受VR/AR技術(shù)不成熟無(wú)法普及的現(xiàn)狀，但誰(shuí)也不敢說(shuō)網(wǎng)絡(luò)安全可以不要。

但是，這個(gè)產(chǎn)業(yè)如何才能逐步成熟起來(lái)，讓大部分和這個(gè)產(chǎn)業(yè)相關(guān)的人滿(mǎn)意?

網(wǎng)絡(luò)安全涉及的范圍很廣，不僅僅是技術(shù)、產(chǎn)品和服務(wù)，還包括了法律、制度、管理、流程、人員意識(shí)甚至是道德觀等。本文聚焦到和技術(shù)相關(guān)的產(chǎn)品、解決方案和服務(wù)，跟各位探討。

即使限制在技術(shù)相關(guān)的范疇上，安全的范圍也不小。針對(duì)具體保護(hù)對(duì)象的不同或保護(hù)對(duì)象所在場(chǎng)景的不同，安全產(chǎn)品和技術(shù)可以分為很多不同的大類(lèi)，比如，終端、云、網(wǎng)絡(luò)、內(nèi)容、應(yīng)用、數(shù)據(jù)、物聯(lián)網(wǎng)、工控等，再結(jié)合為了所要做的安全處置動(dòng)作，如預(yù)防、管理、認(rèn)證、分析、檢測(cè)、處置、追溯、審計(jì)等，所演化出的產(chǎn)品品類(lèi)就很多了。

這么多產(chǎn)品品類(lèi)，加上到目前為止基本依賴(lài)于人的、客戶(hù)定制化很強(qiáng)的安全服務(wù)，安全市場(chǎng)看似規(guī)模不算小，已有500億人民幣左右(不同機(jī)構(gòu)給出的規(guī)模不同，2019年從400億~600億不等)，但分到每個(gè)玩家(提供安全產(chǎn)品的廠家據(jù)統(tǒng)計(jì)超過(guò)1000家)和每個(gè)產(chǎn)品品類(lèi)上，規(guī)模就很可憐了。

而安全廠商們，大多也傾向于不斷擴(kuò)大自己的產(chǎn)品線(xiàn)，試圖借此擴(kuò)大自己的市場(chǎng)規(guī)模。于是，很多的安全產(chǎn)品品類(lèi)，都有數(shù)十家甚至數(shù)百家廠商參與，試圖分一杯羹。比如，防火墻產(chǎn)品，擁有公安部銷(xiāo)售許可證的安全廠商多達(dá)210家，WAF有81家，漏掃有93家，態(tài)勢(shì)感知作為一個(gè)新興產(chǎn)品品類(lèi)，也已經(jīng)有64家廠商。

按理說(shuō)，這么多的學(xué)生，總有幾個(gè)尖子生，能夠在國(guó)際比賽中拿得到名次。實(shí)際情況并不樂(lè)觀：到目前為止，除了華為的防火墻產(chǎn)品，獲得Gartner網(wǎng)絡(luò)防火墻魔力象限挑戰(zhàn)者、NSS Labs推薦級(jí)外，其他國(guó)內(nèi)安全產(chǎn)品少有領(lǐng)先。

有人說(shuō)，網(wǎng)絡(luò)安全更看重服務(wù)，產(chǎn)品并不重要。這個(gè)觀點(diǎn)是經(jīng)不起推敲的，沒(méi)有一個(gè)科技類(lèi)企業(yè)的產(chǎn)品是不重要的。環(huán)顧全球500強(qiáng)企業(yè)，除了金融、零售、能源等服務(wù)類(lèi)或資源型企業(yè)，哪個(gè)企業(yè)不具備競(jìng)爭(zhēng)力全球領(lǐng)先的產(chǎn)品?服務(wù)誠(chéng)然對(duì)網(wǎng)絡(luò)安全很重要，但若不能基于高品質(zhì)的產(chǎn)品，其效果如何完全依賴(lài)于個(gè)人的技能水平，這樣的服務(wù)效果不可預(yù)測(cè)，也不具備可復(fù)制性。試想，如果今天的醫(yī)療水平仍依賴(lài)于扁鵲、華佗這些不世出的神醫(yī)，而缺少現(xiàn)代的精密儀器、醫(yī)療裝備和藥品，普羅大眾一定無(wú)法享受到今日的醫(yī)療服務(wù)。

因此，對(duì)網(wǎng)絡(luò)安全產(chǎn)業(yè)來(lái)說(shuō)，產(chǎn)品競(jìng)爭(zhēng)力同樣是產(chǎn)業(yè)競(jìng)爭(zhēng)力的基礎(chǔ)。不能說(shuō)有了領(lǐng)先競(jìng)爭(zhēng)力的產(chǎn)品就萬(wàn)事俱備，但如果沒(méi)有就不可能實(shí)現(xiàn)產(chǎn)業(yè)的成熟和健康，不可能讓客戶(hù)滿(mǎn)意，更不可能讓安全企業(yè)在國(guó)際上開(kāi)疆拓土。

三、不凡之路無(wú)捷徑，用心打磨高品質(zhì)產(chǎn)品

那么作為網(wǎng)絡(luò)安全企業(yè)，如何才能做出高品質(zhì)的產(chǎn)品?

答案是沒(méi)有捷徑，必須舍得投入，用心打磨。

舍得投入主要指舍得在研發(fā)上投入人和錢(qián)。是否將業(yè)界的牛人投入在關(guān)鍵技術(shù)突破上，是否有足夠的資金支撐長(zhǎng)期研發(fā)投入。

有了投入還不夠，還需要用工匠精神用心打磨。只有基于客戶(hù)場(chǎng)景和需求不斷改進(jìn)，一步一個(gè)腳印地進(jìn)步，才有可能打造出高品質(zhì)的產(chǎn)品來(lái)。

前文提到國(guó)內(nèi)網(wǎng)絡(luò)安全企業(yè)傾向于不斷擴(kuò)大產(chǎn)品線(xiàn)來(lái)做大規(guī)模。在這種情況下，對(duì)于單產(chǎn)品的研發(fā)投入經(jīng)常是不夠的。目前一些規(guī)模較大的廠商傾向于做全產(chǎn)品線(xiàn)，用有限的研發(fā)投入支撐數(shù)十種甚至上百種安全產(chǎn)品的研發(fā)。撒胡椒面兒式的投入，很難做出有競(jìng)爭(zhēng)力的產(chǎn)品。

和撒胡椒面式的研發(fā)投入方式不同的是聚焦到某個(gè)或某些產(chǎn)品品類(lèi)上，華為就是如此。我們?cè)诎踩a(chǎn)品研發(fā)上秉承華為一貫的風(fēng)格，首先研發(fā)投入的人員和資金規(guī)模在國(guó)內(nèi)可以說(shuō)首屈一指，同時(shí)研發(fā)的產(chǎn)品品類(lèi)有限，聚焦兩類(lèi)產(chǎn)品：HiSecEngine系列防火墻、IPS等安全網(wǎng)關(guān)設(shè)備;HiSec Insight安全態(tài)勢(shì)感知系統(tǒng)等安全分析與管理平臺(tái)。華為致力于將產(chǎn)品競(jìng)爭(zhēng)力做到全球領(lǐng)先，獲得客戶(hù)認(rèn)可。

每個(gè)企業(yè)都希望做大規(guī)模，這兩類(lèi)企業(yè)選擇了兩種不同發(fā)展路徑。前者希望先把規(guī)模做大，也許規(guī)模大了有了足夠資金后再有選擇地將產(chǎn)品競(jìng)爭(zhēng)力做起來(lái)。后者試圖先把產(chǎn)品競(jìng)爭(zhēng)力做強(qiáng)，希望通過(guò)擁有競(jìng)爭(zhēng)優(yōu)勢(shì)的產(chǎn)品獲取更大市場(chǎng)份額，從而將公司規(guī)模做大。

這兩條路對(duì)比，我認(rèn)為后一條路的根基更穩(wěn)，后勁更足，對(duì)整個(gè)網(wǎng)絡(luò)安全產(chǎn)業(yè)更有幫助。若大家都選擇做全產(chǎn)品線(xiàn)，每種產(chǎn)品每個(gè)廠商都蜻蜓點(diǎn)水地投入，會(huì)帶來(lái)大量的低水平重復(fù)投入，也導(dǎo)致各廠家之間惡性競(jìng)爭(zhēng)。

然而，走聚焦這條路的企業(yè)卻面臨額外挑戰(zhàn)，華為也不例外。過(guò)去我在面對(duì)客戶(hù)時(shí)，經(jīng)常面臨兩個(gè)質(zhì)疑：1、你們產(chǎn)品雖好，但產(chǎn)品線(xiàn)不全，無(wú)法提供完整的安全解決方案;2、客戶(hù)更關(guān)心服務(wù)而不是產(chǎn)品，你們聚焦做產(chǎn)品但沒(méi)有大量投入做全面的安全服務(wù)，無(wú)法匹配客戶(hù)期望。

這兩年來(lái)我和多個(gè)走類(lèi)似路線(xiàn)的安全企業(yè)負(fù)責(zé)人進(jìn)行過(guò)探討，發(fā)現(xiàn)這些企業(yè)也面臨同樣的困境。雖然他們單產(chǎn)品競(jìng)爭(zhēng)力更強(qiáng)，但在很多行業(yè)客戶(hù)那里卻經(jīng)常沒(méi)有機(jī)會(huì)參與競(jìng)爭(zhēng)。比如，深圳某個(gè)企業(yè)，多年來(lái)一直聚焦做終端安全，他們?cè)诮鹑谛袠I(yè)做得很好。為了確認(rèn)合作伙伴的產(chǎn)品競(jìng)爭(zhēng)力和技術(shù)實(shí)力，我們也專(zhuān)門(mén)調(diào)研過(guò)這些客戶(hù)對(duì)他們產(chǎn)品的評(píng)價(jià)如何，發(fā)現(xiàn)客戶(hù)評(píng)價(jià)總體非常高。然而，就是這樣一家企業(yè)，在政府行業(yè)中幾乎沒(méi)有存在感，為什么?因?yàn)檎蛻?hù)一般不會(huì)僅僅因?yàn)閱蝹€(gè)產(chǎn)品出色就選擇這個(gè)廠商。

四、精誠(chéng)合作真生態(tài)，促網(wǎng)絡(luò)安全產(chǎn)業(yè)健康發(fā)展

那么，該如何破局?讓單產(chǎn)品競(jìng)爭(zhēng)力更強(qiáng)的廠商生存地更好，實(shí)現(xiàn)良幣驅(qū)逐劣幣?如果該局可破，對(duì)整個(gè)中國(guó)的網(wǎng)絡(luò)安全產(chǎn)業(yè)來(lái)說(shuō)都是一件大好事，一定可以促進(jìn)這個(gè)產(chǎn)業(yè)更加成熟和健康。

要破這個(gè)局，我認(rèn)為必須建立一個(gè)真正的安全廠商、服務(wù)商之間精誠(chéng)合作的生態(tài)。這個(gè)生態(tài)不能依靠政府行政命令或依靠社會(huì)責(zé)任驅(qū)動(dòng)，要通過(guò)市場(chǎng)經(jīng)濟(jì)的手段，通過(guò)生態(tài)伙伴之間利益分享的驅(qū)動(dòng)力來(lái)實(shí)現(xiàn)。

理想情況下，有人牽頭將細(xì)分品類(lèi)競(jìng)爭(zhēng)力強(qiáng)的產(chǎn)品廠商匯聚起來(lái)。這些有競(jìng)爭(zhēng)力的產(chǎn)品通過(guò)系統(tǒng)地、有機(jī)地組合，形成完整的安全解決方案。由于這個(gè)聯(lián)合解決方案的各個(gè)部件產(chǎn)品都有競(jìng)爭(zhēng)力，整個(gè)解決方案競(jìng)爭(zhēng)力也可以達(dá)到最優(yōu)。同時(shí)，再在這個(gè)生態(tài)中引入一些理解客戶(hù)業(yè)務(wù)、有能力的安全服務(wù)提供商，讓他們基于這個(gè)競(jìng)爭(zhēng)力最優(yōu)的聯(lián)合解決方案為最終客戶(hù)提供服務(wù)。那么這個(gè)服務(wù)的效果、效率一定也是最優(yōu)的。

正是基于這個(gè)想法，我們?cè)?018年創(chuàng)建了華為安全商業(yè)聯(lián)盟。強(qiáng)調(diào)“商業(yè)”，就是希望通過(guò)商業(yè)的手段解決利益的問(wèn)題，從而讓這個(gè)生態(tài)具備長(zhǎng)久的生命力。這個(gè)聯(lián)盟經(jīng)過(guò)過(guò)去兩年的探索，積累了一些成功的經(jīng)驗(yàn)，也有一些失敗的教訓(xùn)，并且過(guò)程中也篩選出了一批真正適合這個(gè)合作模式的志同道合的生態(tài)伙伴?；谶@兩年的探索，今年華為會(huì)將這個(gè)聯(lián)盟進(jìn)行升級(jí)，從過(guò)去的1.0版本升級(jí)到接下來(lái)的2.0版本。

華為安全商業(yè)聯(lián)盟2.0版本計(jì)劃在今年8月8日正式對(duì)外發(fā)布，請(qǐng)大家關(guān)注。

(作者：宋端智 華為安全產(chǎn)品領(lǐng)域總裁)