目前，網(wǎng)絡(luò)安全市場正在從產(chǎn)品驅(qū)動向服務(wù)驅(qū)動轉(zhuǎn)變。在轉(zhuǎn)型期，作為傳統(tǒng)意義上的企業(yè)客戶與安全廠商都會遇到一些迷惑之處，如何適應(yīng)網(wǎng)絡(luò)安全服務(wù)化的新模式，實現(xiàn)自身的安全需求與技術(shù)價值?現(xiàn)在，基于服務(wù)的安全能力構(gòu)建還處于探索與磨合的階段，普遍缺少成熟的模型供參考應(yīng)用。如果試圖通過單一架構(gòu)與模式來詮釋整個安全服務(wù)，往往會陷入以偏概全、刻舟求劍的窘?jīng)r。鑒于此，在本文中我們提出一些探索性的思考，以期達(dá)到管中窺豹和拋磚引玉的效果。

一、服務(wù)化轉(zhuǎn)型的底層邏輯

營銷界有一句名言，“用戶需要的并不是一臺鉆孔機(jī)，他需要的只是墻上有幾個孔”。這句話闡述了商業(yè)發(fā)展的底層邏輯，就是任何市場最終都是從產(chǎn)品向滿足客戶的服務(wù)需求轉(zhuǎn)化。當(dāng)前在網(wǎng)絡(luò)安全領(lǐng)域，大多數(shù)安全廠商之所以還在賣產(chǎn)品，主要是因為目前的安全服務(wù)能力和商業(yè)模式都還不夠成熟，還難以完全通過服務(wù)的方式滿足客戶的最終需求。

具體來說，從網(wǎng)絡(luò)安全產(chǎn)業(yè)本身來看，產(chǎn)品化的解決方案面臨以下挑戰(zhàn)：

• 網(wǎng)絡(luò)威脅形勢不斷進(jìn)化，防御思路也在不斷升級，單靠產(chǎn)品的堆砌已經(jīng)不能解決網(wǎng)絡(luò)安全面臨的問題。縱觀網(wǎng)絡(luò)安全廠商發(fā)展路線，基本都從單一優(yōu)勢產(chǎn)品出發(fā)，通過技術(shù)復(fù)用，布局多條產(chǎn)品線，不斷加強(qiáng)產(chǎn)品間關(guān)聯(lián)度與聯(lián)動性，逐漸形成貫通事前預(yù)警、事中防御與事后溯源分析的防御生態(tài)。
• 安全產(chǎn)品本身只提供基礎(chǔ)安全的功能，真正發(fā)揮效用需要高水平的網(wǎng)絡(luò)安全人員與相應(yīng)完善的安全管理流程，而這點往往是許多安全廠商所不具備的。與此同時，安全廠商又因為對客戶業(yè)務(wù)場景缺乏深入了解而無法滿足用戶的真正需求，最終導(dǎo)致用戶購買安全產(chǎn)品后無法發(fā)揮其最大效能。
• 隨著業(yè)務(wù)的不斷發(fā)展及信息化技術(shù)的不斷更新，用戶也不斷產(chǎn)生新的安全需求和潛在風(fēng)險，一次性的產(chǎn)品部署，已經(jīng)無法滿足其日益增長的安全需求。
• 在安全投入方面，產(chǎn)品不斷地迭代換新，安全人員成本不斷增加，已形成重資產(chǎn)，對于大多數(shù)預(yù)算不足的企業(yè)而言，已經(jīng)不堪重負(fù)。

二、安全服務(wù)的價值與優(yōu)勢

安全服務(wù)是指適應(yīng)整個安全管理的需要，為企業(yè)、政府提供全面或部分安全解決方案的服務(wù)。安全服務(wù)提供包含從高端的全面安全體系建設(shè)到細(xì)節(jié)的技術(shù)解決措施。通常情況下，安全服務(wù)由安全咨詢、安全運(yùn)營、安全集成三大部分構(gòu)成。

從 Gartner和 IDC 兩大機(jī)構(gòu)的定義來看：IDC 認(rèn)為安全服務(wù)包括安全咨詢、安全運(yùn)營(MSS)、安全集成、安全教育及培訓(xùn)四個部分;而 Gartner 認(rèn)為安全服務(wù)主要由安全咨詢、安全外包(含MSS 及駐場服務(wù))、安全集成、硬件維護(hù)與支持四部分構(gòu)成。雖然兩家機(jī)構(gòu)對安全服務(wù)的理解存在一定差異，但安全咨詢、安全運(yùn)營、安全集成都是其定義中最主要的服務(wù)組成，占據(jù)了目前安全服務(wù)市場 90%以上的份額。

而在安全咨詢、安全運(yùn)營、安全集成之外，安全教育和培訓(xùn)服務(wù)也是安全服務(wù)的重要組成部分，除此之外，網(wǎng)絡(luò)安全即服務(wù)(SECaaS，Security as a Service)作為新興的安全服務(wù)模式，正在成為全球網(wǎng)絡(luò)安全市場的重要趨勢。

作為安全產(chǎn)品的升級，安全服務(wù)擺脫了安全產(chǎn)品固有的局限，提供了更高品質(zhì)的解決思路，其具體優(yōu)勢如下：

• 安全服務(wù)以滿足客戶的最終需求為導(dǎo)向，從根本上彌補(bǔ)了產(chǎn)品與客戶需求之間的差異。
• 因為安全服務(wù)只考慮結(jié)果不考慮過程，從而規(guī)避了技術(shù)升級、業(yè)務(wù)變化帶來的成本增加，這些將全部由服務(wù)提供商內(nèi)部消化。
• 安全服務(wù)的采購，可以讓用戶變買為租，這就變成了輕資產(chǎn)，大大降低了企業(yè)的安全開銷。

三、安全服務(wù)化發(fā)展的挑戰(zhàn)

在國內(nèi)安全市場中，安全服務(wù)作為新的解決方案，也存在一些困難和挑戰(zhàn)，如果這些問題不解決，安全服務(wù)市場就可能會“發(fā)育不良”，導(dǎo)致自身造血能力不足。具體包含如下：

• 客戶認(rèn)知：目前大部分客戶還是基于已有習(xí)慣，以買產(chǎn)品為主，對于購買安全服務(wù)沒有形成習(xí)慣;另外，在企業(yè)的采購要求中，也沒有對安全服務(wù)形成一個標(biāo)準(zhǔn)和評估的方法。
• 市場成熟度：大部分安全廠商現(xiàn)在都處于由產(chǎn)品提供商向服務(wù)提供商轉(zhuǎn)型的過程中，新的安全服務(wù)提供商也處于成長期，缺少成熟的安全服務(wù)提供商。同時，市場中，也沒有統(tǒng)一的計費標(biāo)準(zhǔn)和計量方式以及成熟的安全服務(wù)框架，大部分安全服務(wù)提供商還沒有形成穩(wěn)定有效的服務(wù)支撐體系。在監(jiān)管層面，國家也未出臺符合市場的安全服務(wù)評估標(biāo)準(zhǔn)。
• 品牌效應(yīng)：從市場角度來看，大家購買安全服務(wù)主要是通過對品牌的認(rèn)知和權(quán)威認(rèn)證，如果缺少這方面的積累，就會使用戶在選擇購買服務(wù)時，對提供商的服務(wù)質(zhì)量和交付能力產(chǎn)生懷疑，不敢輕易嘗試購買非品牌或沒有權(quán)威認(rèn)證的服務(wù)產(chǎn)品。

四、安全服務(wù)市場發(fā)展的關(guān)鍵因素

目前，業(yè)內(nèi)缺少成熟的模型來幫助安全廠商打造更完善的安全服務(wù)能力體系，而照搬國外的安全服務(wù)模式有可能水土不服。但是萬變不離其宗，把握住主要環(huán)節(jié)的關(guān)鍵能力，就會離成功更進(jìn)一步。從網(wǎng)絡(luò)安全服務(wù)用戶需求的角度來看，以下關(guān)鍵能力需要進(jìn)一步完善和強(qiáng)化。

• 服務(wù)的支撐：要提供良好的安全服務(wù)，就需要強(qiáng)大的支撐能力，需要支撐平臺化的開發(fā)，需要交付管理工具，以及對多客戶的交付能力等。目前國內(nèi)在這方面還存在一些問題，沒有形成體系化的服務(wù)支撐能力。
• 服務(wù)的組織：服務(wù)的實施需要嚴(yán)格的組織流程管理，要求人員技能水平可控。安全服務(wù)從產(chǎn)品到服務(wù)交付的轉(zhuǎn)化需要完整的管控方式，服務(wù)質(zhì)量需要通過量化方式得到可靠保證。
• 服務(wù)的推廣：需要從客戶角度出發(fā)，而不是從產(chǎn)品自身出發(fā)，展示服務(wù)的收益，解決客戶的實際問題，滿足客戶的預(yù)期需求。

總之，當(dāng)前安全服務(wù)市場的發(fā)展雖然面臨一些困境，也有很多能力需要提升和強(qiáng)化，但是，從總體來看，由安全產(chǎn)品向安全服務(wù)轉(zhuǎn)變的趨勢已逐漸明了，對安全廠商而言，誰先搶占了這個賽道，就意味著誰將在安全領(lǐng)域的市場競爭中搶占先機(jī)。

作者簡介

沈飆，谷安(安全牛)研究院負(fù)責(zé)人，長期從事信息安全相關(guān)工作，有超過20年的網(wǎng)絡(luò)安全項目集成與實施經(jīng)驗，曾經(jīng)主導(dǎo)國內(nèi)著名銀行數(shù)據(jù)大集中項目的規(guī)劃和建設(shè)，參與并主導(dǎo)國內(nèi)大型企業(yè)網(wǎng)絡(luò)安全建設(shè)規(guī)范的制定及實施。對當(dāng)今主流網(wǎng)絡(luò)安全技術(shù)，以及網(wǎng)絡(luò)安全規(guī)劃服務(wù)、風(fēng)險評估服務(wù)、安全策略咨詢服務(wù)有較深入研究。