中國網絡安全，是創新最爲貧瘠的土壤之一

—

爲什么突破性的技術總是最先發生在西方？

來源  /   連續創業的Janky  （ID：janky-dsphere）  

作者 /   Janky  

爲什么突破性的技術總是最先發生在西方？這個問題本來是網友們針對 GPT 的橫空炸世而發出的，針對國內科技行業的靈魂拷問，別的行業無從評價入手，但針對自身所在的大網絡安全行業確實自覺創新的艱難。

01

RSA Conference 

網安創新搖籃

RSA Conference 始於1991年，當時只是以“密碼，標準和公共政策”爲主題的小型加密會議，爲密碼學家收集和分享互聯網安全領域的最新知識和進步的論壇。

1995年，它成爲一個年度活動，更名爲 RSA 數據安全會議，然後在 2000 年，簡稱爲“RSA會議”。

會議由兩個部分組成：各種主題的演講和供應商博覽會。一直以來大會的 Innovation Sandbox（創新沙盒）大賽不斷爲網絡安全領域的初創企業提供着創新技術思維的展示平臺。

參會的中國人倒是常見，參展的中國項目可以說沒有。

02

國內網絡安全的 “舶來創新”

國內的網絡安全行業，以 3-4 年爲一個周期，每個周期內都會以一個舶來的酷炫理念，演繹一場行業狂歡，狠狠地刷一波資本和大衆心智。

從態勢感知到 CASB、UEBA ，現在到了零信任概念的後半場，SASE 的中場，隱私計算的开場。

這些理念要么是出自 Gartner 的定義，要么就是來源於上面 RSA 會議參賽的項目，尤其是每年獲得比賽第一名的項目。

國內網絡安全，大致從 2013 年之後开始不斷緊貼國外的安全理念，有了不少脫離於傳統安全的網絡設備、文檔管控、數據審計等之外的創新。

粗略整理了一下國內安全概念的發展脈絡，如下圖。（非常主觀的整理，沒有特別客觀的數字參考，僅輔助用以加強閱讀本文的直觀感受，不具有科學證明價值，請讀者審慎參考）

03

舶來理念的中國特色落地

科技舶來品在國內大獲成功的不在少數，尤其是在針對 C 端的應用和服務裏，如百度之於 Google，阿裏巴巴之於亞馬遜，美團之於 GroupOn。

這些超級平臺的成功，離不开國家的基礎設施的升級和成熟，更快的網絡帶寬、更穩定的電信設施、智能手機的普及、更快的物流、人力成本的低廉、更多的政府補貼和政策傾斜。

作爲乙方的網絡安全服務產品，其本身被普及的可能性依然依托於基礎設施，不過這裏指的更多是企業的信息化基礎設施，指的是企業網絡是否完善、信息化系統是否標準、账號是否統一、對軟件付費的意愿和認同感。

這些因素正是國內相比於歐美最爲本質上的先天條件不足，從而導致國外的產品或者理念無法直接搬運到國內，而必須進行改造的具有中國特色，才有可能落地。

因此我們會看到，國外的零信任變成了國內的終端沙箱、國外的 CASB 變成了國內的 WAF、國外的 SASE 變成了國內的新版 VPN、國外的 Okta變成了國內的 SSO 开發工具包。

並不是國內的乙方安全公司不想做個正統的安全產品，而是在國內不具備落地的可行性。

比如企業的網絡不標準，需要花費極高的成本改造才能變成零信任；國內的账號各做各的，以至於 IDaaS 產品接入變成了重新开發；國內企業都喜歡本地化部署，使用公有雲 SaaS 應用的比例過低，CASB 沒有用武之地，只能變成保護企業自建的內部應用；國內第三方 SaaS 應用开放程度都極低，針對 SaaS 應用保護的安全產品也是無從下手。

04

以科技創新自居的互聯網企業，

恰是乙方安全創新產品的禁地

這是比較具有諷刺的局面，擁抱創新的互聯網科技行業，並不十分接納第三方創新的產品爲己用，不僅僅是網絡安全產品，而是所有的信息化產品。這些企業的創新更多還是集中在自身業務之上，對於有助於自身的信息化產品並不十分接納。

大多數這樣企業，內部往往安全從業者話語權較弱，有限的預算只能購买規避責任的傳統安全產品。指代的是行業都認可，都用的一些產品，不一定特別有效（傳統的安全產品停留在 PC 時代，內網辦公時代，協同不多的時代），但至少大家都用，即使出了問題也可逃避責任。

或者財大氣粗的，選擇自研。這也是國內企業區別於海外的一大特色，一旦發家，什么都想自研，並且夢想着有一天這些自研的內部信息化產品也能對外輸出，創造出另一片美好天地。

其實除了極少數核心的內部系統，企業應該自研以外，大部分系統選擇外採也許才是最好的方式。自研產品除了幫助企業員工在簡歷上，書寫下濃墨重彩的從0到1構建某個產品的履歷外，企業並沒有任何高性價比的收獲。

05

中小企業是安全創新的溫牀

我們可以肯定的是小微企業沒有安全訴求，怎么算是小微企業，拍拍腦袋 20 個人以內的企業吧。這樣的企業本身業務還在摸索和生死階段，安全確實不怎么關心。特例不算，肯定也存在。

除此之外的，百人規模，千人規模的中小企業，內部已經積累大量數據和終端，一定都存在上升到老板視野的安全訴求。這部分企業往往被新型的安全廠商忽略，因爲這個羣體被默認爲沒有安全訴求，不愿意爲安全买單。

但是從我們現在的經驗上來講，他們只是在有限的預算裏买不到能實質解決他們真正需求的產品而已。只要能解決問題，價格又適中，這些企業非常愿意擁抱新型的技術和產品形態。

06

大甲方安全團隊，

變成了創新的主力軍

在國內這是一個很有意思的現象，懷揣新理念打造新產品的新型的網絡安全公司，幾乎全部出自於大甲方的安全團隊。

正如我們數影星球來自於阿裏巴巴數據安全團隊一樣，周邊安全公司也大多來自阿裏、百度、華爲等等。

和海外的同行恰恰相反，對方大多還是出自於乙方的安全公司。國內新型安全公司團隊裏也有來自於大乙方的同事，但基本都是承擔市場銷售的角色。

傳統乙方安全公司的團隊，爲何創新不足。大致要歸咎於他們習慣了安全合規的生意，難以擺脫項目制的銷售模式，從而僵化了創新的能力。

07

合規，

是國內安全生意的第一驅動力

簡而言之，合乎政策規定，就叫做合規。合規作用於誰，作用於所有企業。

但是政策的執行力度和執法成本之能所及，優先還是在泛政府和泛金融行業，在政策高壓力下，安全是必選項，預算是充足且源源不斷的，於安全行業的發展是極具推動力的。

因此大乙方安全的重點，都盯着一個一個政策文件，都聚焦在政府和金融兩大行業。

盯着合規，必然忽略作爲一個企業當下可能遇到的真正問題，那些有可能當下還細小，但未來某一天可能長大的問題，創新自然也就滯後了。

08

未來的安全創新，

將集中在數據安全

這是一個大膽的預測，其前提不僅僅是政策的傾斜和國家的重視。對於乙方安全公司來講，能發揮的基礎條件已經成熟。基於雲計算的大背景之下，一切都上雲了（不論是公有雲還是私有雲），數據也越來越集中了，終端的作用越來越成爲一個單純顯示與交互設備了，擺脫傳統 IT 的束縛和枷鎖，對於有志的安全同仁來講，將是莫大的福音。

創新的機會點，就在於如何保持數據流動性的前提之下，確保安全。

數據是應用的意義，人無法直觀感受電流的變化、想象0和1的位移，因此便有了應用，應用是人和數據之間的媒介，數據的呈現、處理和沉澱都依賴於特定應用的能力。

數據在 IT 術語裏有結構化、非結構化和半結構化之分。任何一種數據分類都有相應的應用與之對應：結構化數據 <-> 關系型數據庫管理程序、非結構化數據 <-> 文檔編輯軟件、半結構化數據 <-> 瀏覽器（網頁渲染）。

數據最大的特性之一是其靈活的流動性，數據從一個應用流轉到另一個應用、從一個環境流轉到另一個環境，數據因流動而獲得價值，也因流動而讓其創造者變得煩惱。

把“可控性”和“靈活性”視作一對矛盾的反義詞很多場合下並不爲過，兩者衝突性越強，兼得的價值就越大。如何讓數據可用而不可轉移是珍貴的機會點。

加入我們

專題推薦

本文作者可以追加內容哦 !