三年前,我踏入了網絡安全產業。
今天來看,這一步很幸運,同時也很不幸。我想大部分網絡安全產業從業者都有類似的感受。
一、網絡安全產業的幸與不幸
說幸運,是因為我們身處一個接下來十年甚至數十年內會長期快速發展的產業,能抓住一兩個這類“風口”產業,是一生難得的運氣。網絡安全產業未來會長期快速發展,相信大部分人是認同這個判斷的。其背后的推導邏輯很簡單。
首先,在這個不斷數字化的世界,網絡安全越來越重要,政府、企業和個人在這件事上一定會越來越重視,愿意花更多的錢去解決可能面臨的日趨嚴峻的網絡安全問題;其次,由于存在攻防不斷對抗的特點,客戶在網絡安全方面的實際需求一直未能得到滿足,在未來十年甚至更長時間都是如此。試問,今天哪個政府或企業網絡安全的負責人敢說自己現在的信息基礎設施能夠在黑客攻擊之下高枕無憂?
說不幸,是因為我們處于一個過去多年一片混戰、從業者怨聲載道的產業。我曾經參加過一個網絡安全產業論壇的研討,幾乎所有與會的圈內大佬都或訴苦,或求助。訴苦者說這個產業競爭太無序,規模不大玩家太多,玩法不規范,賺不到錢。求助者希望政府能夠站出來規范這個市場,做好產業分工和合作的協調管理。
如果說這個產業是所謂的“風口”產業,那這個風向就是不確定的,今天是東風,明天變成了西北風。過去這些年來,網絡安全各種概念、理念層出不窮:零信任、態勢感知、IPDRR、CARTA、軟件定義邊界、SOAR、城市安全大腦、城市安全運營中心……有些是舶來品,有些是土生土長的。有人拿新概念總能融來不少資金風光幾天。可今天你剛把一個概念理解得七七八八,明天可能就過時了。然而,這些光鮮概念的不斷涌現對緩解整個社會對網絡安全的擔心幫助并不大。安全廠商在拿著各種新概念到客戶面前侃侃而談大拍胸脯時,內心是忐忑的,深知光鮮外表下的安全體系仍然脆弱不堪。
廠商抱怨客戶不重視安全投資,抱怨競爭對手都在夸海口、出低價,導致市場混亂賺不到錢;有見識的客戶不容易被新概念忽悠,但對安全廠商、服務商的交付經常不滿意,安全體系建設經常成為擺設,平時還是要靠人拉肩扛被動地度過一個又一個安全事件的坎;國家和政府不斷出臺相關政策法規,但在不斷加大的網絡安全風險面前,焦慮不減反增。好像所有人都對這個產業并不滿意。
這個產業就是這么矛盾,長期痛并快樂著。
二、網絡安全產業繁榮,亟需具備國際競爭力的高品質產品
而其他的“風口”產業不同,有些“風口”產業成長起來了,逐漸成熟,推動社會進步的同時,形成了相對健康的生態,一批玩家從中獲得了巨大的商業利益。比如,曾經的電子商務、移動互聯網、智能手機、智能穿戴、社交媒體、短視頻等等。
也有些“風口”產業幻滅了,或蟄伏了,一部分是因為經濟價值或社會價值不大,最終沒有被普遍接受。比如,曾經火爆的O2O、共享經濟等。還有一部分因為技術不成熟,目前還沒有成為顛覆性的力量,比如,VR/AR、人工智能等。
中國網絡安全產業到今天還不算已經成長起來了,但也一直沒有幻滅,更不會幻滅。我們能夠離開O2O模式,也可以接受VR/AR技術不成熟無法普及的現狀,但誰也不敢說網絡安全可以不要。
但是,這個產業如何才能逐步成熟起來,讓大部分和這個產業相關的人滿意?
網絡安全涉及的范圍很廣,不僅僅是技術、產品和服務,還包括了法律、制度、管理、流程、人員意識甚至是道德觀等。本文聚焦到和技術相關的產品、解決方案和服務,跟各位探討。
即使限制在技術相關的范疇上,安全的范圍也不小。針對具體保護對象的不同或保護對象所在場景的不同,安全產品和技術可以分為很多不同的大類,比如,終端、云、網絡、內容、應用、數據、物聯網、工控等,再結合為了所要做的安全處置動作,如預防、管理、認證、分析、檢測、處置、追溯、審計等,所演化出的產品品類就很多了。
這么多產品品類,加上到目前為止基本依賴于人的、客戶定制化很強的安全服務,安全市場看似規模不算小,已有500億人民幣左右(不同機構給出的規模不同,2019年從400億~600億不等),但分到每個玩家(提供安全產品的廠家據統計超過1000家)和每個產品品類上,規模就很可憐了。
而安全廠商們,大多也傾向于不斷擴大自己的產品線,試圖借此擴大自己的市場規模。于是,很多的安全產品品類,都有數十家甚至數百家廠商參與,試圖分一杯羹。比如,防火墻產品,擁有公安部銷售許可證的安全廠商多達210家,WAF有81家,漏掃有93家,態勢感知作為一個新興產品品類,也已經有64家廠商。
按理說,這么多的學生,總有幾個尖子生,能夠在國際比賽中拿得到名次。實際情況并不樂觀:到目前為止,除了華為的防火墻產品,獲得Gartner網絡防火墻魔力象限挑戰者、NSS Labs推薦級外,其他國內安全產品少有領先。
有人說,網絡安全更看重服務,產品并不重要。這個觀點是經不起推敲的,沒有一個科技類企業的產品是不重要的。環顧全球500強企業,除了金融、零售、能源等服務類或資源型企業,哪個企業不具備競爭力全球領先的產品?服務誠然對網絡安全很重要,但若不能基于高品質的產品,其效果如何完全依賴于個人的技能水平,這樣的服務效果不可預測,也不具備可復制性。試想,如果今天的醫療水平仍依賴于扁鵲、華佗這些不世出的神醫,而缺少現代的精密儀器、醫療裝備和藥品,普羅大眾一定無法享受到今日的醫療服務。
因此,對網絡安全產業來說,產品競爭力同樣是產業競爭力的基礎。不能說有了領先競爭力的產品就萬事俱備,但如果沒有就不可能實現產業的成熟和健康,不可能讓客戶滿意,更不可能讓安全企業在國際上開疆拓土。
三、不凡之路無捷徑,用心打磨高品質產品
那么作為網絡安全企業,如何才能做出高品質的產品?
答案是沒有捷徑,必須舍得投入,用心打磨。
舍得投入主要指舍得在研發上投入人和錢。是否將業界的牛人投入在關鍵技術突破上,是否有足夠的資金支撐長期研發投入。
有了投入還不夠,還需要用工匠精神用心打磨。只有基于客戶場景和需求不斷改進,一步一個腳印地進步,才有可能打造出高品質的產品來。
前文提到國內網絡安全企業傾向于不斷擴大產品線來做大規模。在這種情況下,對于單產品的研發投入經常是不夠的。目前一些規模較大的廠商傾向于做全產品線,用有限的研發投入支撐數十種甚至上百種安全產品的研發。撒胡椒面兒式的投入,很難做出有競爭力的產品。
和撒胡椒面式的研發投入方式不同的是聚焦到某個或某些產品品類上,華為就是如此。我們在安全產品研發上秉承華為一貫的風格,首先研發投入的人員和資金規模在國內可以說首屈一指,同時研發的產品品類有限,聚焦兩類產品:HiSecEngine系列防火墻、IPS等安全網關設備;HiSec Insight安全態勢感知系統等安全分析與管理平臺。華為致力于將產品競爭力做到全球領先,獲得客戶認可。
每個企業都希望做大規模,這兩類企業選擇了兩種不同發展路徑。前者希望先把規模做大,也許規模大了有了足夠資金后再有選擇地將產品競爭力做起來。后者試圖先把產品競爭力做強,希望通過擁有競爭優勢的產品獲取更大市場份額,從而將公司規模做大。
這兩條路對比,我認為后一條路的根基更穩,后勁更足,對整個網絡安全產業更有幫助。若大家都選擇做全產品線,每種產品每個廠商都蜻蜓點水地投入,會帶來大量的低水平重復投入,也導致各廠家之間惡性競爭。
然而,走聚焦這條路的企業卻面臨額外挑戰,華為也不例外。過去我在面對客戶時,經常面臨兩個質疑:1、你們產品雖好,但產品線不全,無法提供完整的安全解決方案;2、客戶更關心服務而不是產品,你們聚焦做產品但沒有大量投入做全面的安全服務,無法匹配客戶期望。
這兩年來我和多個走類似路線的安全企業負責人進行過探討,發現這些企業也面臨同樣的困境。雖然他們單產品競爭力更強,但在很多行業客戶那里卻經常沒有機會參與競爭。比如,深圳某個企業,多年來一直聚焦做終端安全,他們在金融行業做得很好。為了確認合作伙伴的產品競爭力和技術實力,我們也專門調研過這些客戶對他們產品的評價如何,發現客戶評價總體非常高。然而,就是這樣一家企業,在政府行業中幾乎沒有存在感,為什么?因為政府客戶一般不會僅僅因為單個產品出色就選擇這個廠商。
四、精誠合作真生態,促網絡安全產業健康發展
那么,該如何破局?讓單產品競爭力更強的廠商生存地更好,實現良幣驅逐劣幣?如果該局可破,對整個中國的網絡安全產業來說都是一件大好事,一定可以促進這個產業更加成熟和健康。
要破這個局,我認為必須建立一個真正的安全廠商、服務商之間精誠合作的生態。這個生態不能依靠政府行政命令或依靠社會責任驅動,要通過市場經濟的手段,通過生態伙伴之間利益分享的驅動力來實現。
理想情況下,有人牽頭將細分品類競爭力強的產品廠商匯聚起來。這些有競爭力的產品通過系統地、有機地組合,形成完整的安全解決方案。由于這個聯合解決方案的各個部件產品都有競爭力,整個解決方案競爭力也可以達到最優。同時,再在這個生態中引入一些理解客戶業務、有能力的安全服務提供商,讓他們基于這個競爭力最優的聯合解決方案為最終客戶提供服務。那么這個服務的效果、效率一定也是最優的。
正是基于這個想法,我們在2018年創建了華為安全商業聯盟。強調“商業”,就是希望通過商業的手段解決利益的問題,從而讓這個生態具備長久的生命力。這個聯盟經過過去兩年的探索,積累了一些成功的經驗,也有一些失敗的教訓,并且過程中也篩選出了一批真正適合這個合作模式的志同道合的生態伙伴。基于這兩年的探索,今年華為會將這個聯盟進行升級,從過去的1.0版本升級到接下來的2.0版本。
華為安全商業聯盟2.0版本計劃在今年8月8日正式對外發布,請大家關注。
本文作者:宋端智 華為安全產品領域總裁