淺談網絡安全服務化轉型的底層邏輯與挑戰 - 網安 - 專業的網絡安全產業、社區、知識平臺

目前，網絡安全市場正在從產品驅動向服務驅動轉變。在轉型期，作為傳統意義上的企業客戶與安全廠商都會遇到一些迷惑之處，如何適應網絡安全服務化的新模式，實現自身的安全需求與技術價值？現在，基于服務的安全能力構建還處于探索與磨合的階段，普遍缺少成熟的模型供參考應用。如果試圖通過單一架構與模式來詮釋整個安全服務，往往會陷入以偏概全、刻舟求劍的窘況。鑒于此，在本文中我們提出一些探索性的思考，以期達到管中窺豹和拋磚引玉的效果。

服務化轉型的底層邏輯

營銷界有一句名言，“用戶需要的并不是一臺鉆孔機，他需要的只是墻上有幾個孔”。這句話闡述了商業發展的底層邏輯，就是任何市場最終都是從產品向滿足客戶的服務需求轉化。當前在網絡安全領域，大多數安全廠商之所以還在賣產品，主要是因為目前的安全服務能力和商業模式都還不夠成熟，還難以完全通過服務的方式滿足客戶的最終需求。

具體來說，從網絡安全產業本身來看，產品化的解決方案面臨以下挑戰：

網絡威脅形勢不斷進化，防御思路也在不斷升級，單靠產品的堆砌已經不能解決網絡安全面臨的問題。縱觀網絡安全廠商發展路線，基本都從單一優勢產品出發，通過技術復用，布局多條產品線，不斷加強產品間關聯度與聯動性，逐漸形成貫通事前預警、事中防御與事后溯源分析的防御生態。

安全產品本身只提供基礎安全的功能，真正發揮效用需要高水平的網絡安全人員與相應完善的安全管理流程，而這點往往是許多安全廠商所不具備的。與此同時，安全廠商又因為對客戶業務場景缺乏深入了解而無法滿足用戶的真正需求，最終導致用戶購買安全產品后無法發揮其最大效能。

隨著業務的不斷發展及信息化技術的不斷更新，用戶也不斷產生新的安全需求和潛在風險，一次性的產品部署，已經無法滿足其日益增長的安全需求。

在安全投入方面，產品不斷地迭代換新，安全人員成本不斷增加，已形成重資產，對于大多數預算不足的企業而言，已經不堪重負。

安全服務的價值與優勢

安全服務是指適應整個安全管理的需要，為企業、政府提供全面或部分安全解決方案的服務。安全服務提供包含從高端的全面安全體系建設到細節的技術解決措施。通常情況下，安全服務由安全咨詢、安全運營、安全集成三大部分構成。

從 Gartner和 IDC 兩大機構的定義來看：IDC 認為安全服務包括安全咨詢、安全運營（MSS）、安全集成、安全教育及培訓四個部分；而 Gartner 認為安全服務主要由安全咨詢、安全外包（含MSS 及駐場服務）、安全集成、硬件維護與支持四部分構成。雖然兩家機構對安全服務的理解存在一定差異，但安全咨詢、安全運營、安全集成都是其定義中最主要的服務組成，占據了目前安全服務市場 90%以上的份額。

而在安全咨詢、安全運營、安全集成之外，安全教育和培訓服務也是安全服務的重要組成部分，除此之外，網絡安全即服務（SECaaS，Security as a Service）作為新興的安全服務模式，正在成為全球網絡安全市場的重要趨勢。

作為安全產品的升級，安全服務擺脫了安全產品固有的局限，提供了更高品質的解決思路，其具體優勢如下：

安全服務以滿足客戶的最終需求為導向，從根本上彌補了產品與客戶需求之間的差異。

因為安全服務只考慮結果不考慮過程，從而規避了技術升級、業務變化帶來的成本增加，這些將全部由服務提供商內部消化。

安全服務的采購，可以讓用戶變買為租，這就變成了輕資產，大大降低了企業的安全開銷。

安全服務化發展的挑戰

在國內安全市場中，安全服務作為新的解決方案，也存在一些困難和挑戰，如果這些問題不解決，安全服務市場就可能會“發育不良”，導致自身造血能力不足。具體包含如下：

客戶認知：目前大部分客戶還是基于已有習慣，以買產品為主，對于購買安全服務沒有形成習慣；另外，在企業的采購要求中，也沒有對安全服務形成一個標準和評估的方法。

市場成熟度：大部分安全廠商現在都處于由產品提供商向服務提供商轉型的過程中，新的安全服務提供商也處于成長期，缺少成熟的安全服務提供商。同時，市場中，也沒有統一的計費標準和計量方式以及成熟的安全服務框架，大部分安全服務提供商還沒有形成穩定有效的服務支撐體系。在監管層面，國家也未出臺符合市場的安全服務評估標準。

品牌效應：從市場角度來看，大家購買安全服務主要是通過對品牌的認知和權威認證，如果缺少這方面的積累，就會使用戶在選擇購買服務時，對提供商的服務質量和交付能力產生懷疑，不敢輕易嘗試購買非品牌或沒有權威認證的服務產品。

安全服務市場發展的關鍵因素

目前，業內缺少成熟的模型來幫助安全廠商打造更完善的安全服務能力體系，而照搬國外的安全服務模式有可能水土不服。但是萬變不離其宗，把握住主要環節的關鍵能力，就會離成功更進一步。從網絡安全服務用戶需求的角度來看，以下關鍵能力需要進一步完善和強化。

服務的支撐：要提供良好的安全服務，就需要強大的支撐能力，需要支撐平臺化的開發，需要交付管理工具，以及對多客戶的交付能力等。目前國內在這方面還存在一些問題，沒有形成體系化的服務支撐能力。

服務的組織：服務的實施需要嚴格的組織流程管理，要求人員技能水平可控。安全服務從產品到服務交付的轉化需要完整的管控方式，服務質量需要通過量化方式得到可靠保證。

服務的推廣：需要從客戶角度出發，而不是從產品自身出發，展示服務的收益，解決客戶的實際問題，滿足客戶的預期需求。

總之，當前安全服務市場的發展雖然面臨一些困境，也有很多能力需要提升和強化，但是，從總體來看，由安全產品向安全服務轉變的趨勢已逐漸明了，對安全廠商而言，誰先搶占了這個賽道，就意味著誰將在安全領域的市場競爭中搶占先機。

作者簡介

沈飆，谷安（安全牛）研究院負責人，長期從事信息安全相關工作，有超過20年的網絡安全項目集成與實施經驗，曾經主導國內著名銀行數據大集中項目的規劃和建設，參與并主導國內大型企業網絡安全建設規范的制定及實施。對當今主流網絡安全技術，以及網絡安全規劃服務、風險評估服務、安全策略咨詢服務有較深入研究。