谭晓生：转型期，信息安全行业的阵痛

　　前面的嘉宾给我们展示了一个非常美好的大时代，我说一个非常小的点，我来讲信息安全在互联网时代所遇到的大的挑战。可以说整个信息安全行业现在都是处在一个转型期，我们遇到一些什么挑战呢？一个是这个时代的大趋势，越来越多的互联网化，也就是像数字商务等等这样的名词出来，包括传统的企业也在考虑采用互联网的基础架构等等。在这个时候他们首先遇到一个盈利模式的挑战，传统的信息安全企业习惯向用户收钱，他的客户最终会给他买单，买他的安全设备，买他的安全服务等等。但是现在碰到了一群互联网公司的野蛮人，杀进这个市场以后，开始以非常低的价格，甚至免费。像个人市场已经成功的做到免费。在前沿市场大家马上就会问，前沿市场将来会怎么样？会不会也会免费呢？这是面临的一种挑战。因为对于互联网公司来说，他可以通过其他的个人业务收入来补贴企业，这是一个非常可怕的挑战。

　　第二是人才的竞争，在过去的两年里，很多传统安全公司的人才被BAT挖到了自己这边，工资动不动都可以双倍，甚至有的人员原来工资低的，我们可以给三倍的工资。对于传统的信息安全的企业，遇到人才大量的流失。像在2014年，有一个传统的信息安全公司，几个排名前几名的大牛都分别被我们这几个公司给搞过来了，大家都面临这种挖人的情况。

　　有新的战场不断的在开辟，第一个是APT的攻击，过去网络泛化的网络攻击，面对政府，或者面对企业，以偷情报、偷数据，或者直接来搞破坏的APT攻击，这是一种新型的攻击，传统的防御手段不怎么起作用。工业控制系统，从2010年开始，大家能感觉到的，工业控制系统开始也变成了攻击的对象，比如电力控制系统等等，如果真的发动网络攻击，它是完全可能会被搞出问题来的。

　　物联网，在越来越多的各种手环，家庭的智能家电等等这种设施，他们也变成了破解的对象。像在2014年8月份的时候，我们破解特斯拉电动车，后来在腾讯举办的活动里面特斯拉又第二次被破掉。这些直接关系到我们人身安全的一系列智能硬件，物联网，还有云计算安全，在我们推进云计算安全的时候，其实你知道，当你采用云计算的时候，你会把你企业的网络边界推到了云里面，这时候一个云计算里面的多个租户之间会不会互相攻击，云计算的服务商是怎么样维护你的数据的，他的运维人员是不是会看你的数据，关于云计算时代，这会带来一些新的安全。这些新的安全对于所有人都是新的，对传统的信息安全企业是新的，对于互联网公司也是新的，这时候谁能够更快的去满足用户的需求。在过去的这些年，安全对于企业来说，对于政府经常会满足于合规，我做到了，我买了这些东西放到那里我就合规了，效果到底怎么样，真正黑客来攻的时候能不能防得住，这时候又有一个来自于防护效果和合规的挑战。在这个时代我们认为对于不管是互联网公司还是传统的信息安全企业，对于安全防御的思想，要不就是改变，要不就会被市场淘汰。

　　具体来说这个盈利模式之痛，在2013年整个安全市场大概是不到200亿人民币的市场份额，其中最大的玩儿家挣了不到10亿人民币，他的利润大概只有几千万，这几千万的利润基本只相当于政府给他的各个项目的补贴的钱，这个行业整体来说是不挣钱的是，而且是极度碎片化的。在这种情况下，互联网企业进来之后，比如腾讯、百度，每年的利润都是信息安全企业的好几十倍。如果互联网公司来做信息安全，传统的信息安全行业怎么办，他的盈利水平，支付薪酬等等，他根本就留不住人。服务水平怎么去提升？服务最后也是要花钱的，这都会是面临的问题，互联网的企业开始做企业安全的时候，对于传统信息安全企业的一种降纬攻击。在这个方面，如果我不需要在这个业务上挣钱，我去进攻这个市场的时候，原来这个市场里面的人会面临非常大的挑战。这时候行业里就出现了一个词叫“卖身投靠”，传统信息安全企业和互联网公司结盟，行业里面的人说你们是“卖身投靠”，当然如果换一个角度来说，这是不是一种开放合作，开放合作是不是我们应该要追求的一个东西。

　　还有一个，信息安全行业的利润究竟要有多高，这两年信息安全受到的重视程度很高，包括把信息安全和国家安全挂起钩来了，很多人对信息安全有非常高的信望，但是我要泼一个冷水，我们可以反过头来看，最终如果你在整个企业的生产成本里面，有多少是做安防的成本，如果这个比例过高，这件事本身是不正常的。在企业安全来说，我个人认为，你的安全比重只能在里面占一小部分。所以安全行业从收入来说应该是有一个天花板的，这个天花板并不是很高，这个行业不应该有非常高利润的行业。这是第一个，会遇到盈利模式的挑战。

　　第二是人才之痛，当我们开始重视信息安全的时候，发现我们没有那么多人可以用，真正可能你在中国能够合适的，能够做安全的攻防研究和做安全服务的人可能不到万人，可能只有几千个人的规模，因为在过去这么多年，我们在这方面没有花很大的力量进行人才的培养。我们在大学里面都没有那么多老师是懂安全攻防的，我们培养了很多学密码的人，但是在整个安全攻防里面，密码仅仅是很小的一部分。老师不懂攻防，老师也没办法去教学生攻防，校长害怕学生把学校的服务器黑了，或者去外面闯了什么祸，黑了谁家的网站，黑了政府的网站，回来给自己还有麻烦。这种情况，过去一直处于一个打压的状态，一直到最近的一年能看到一些改变，但是人才的培养是需要多年的时间，短时间之内会面临人才奇缺的问题。

　　还有黑色的诱惑，因为做黑产，如果做的好的话，做黑产可能挣超过100万人民币。有的人就会选择铤而走险，高手里面，其实在黑产里面也有一些绝顶高手，这是整个产业面临的，估计在今后的三五年之内，我们还会面临的非常大的人才危机。

　　还有同业竞争，其实作为一个互联网公司的从业人员，我看到信息安全行业，我都不太明白，他们之间的竞争为什么会那么不共戴天。甚至我们和A公司做了合作之后，B公司的老板见了我的面都会说，你为什么和A合作？其实让我看他们两个做的产品都是两个区隔市场的产品，用户都需要的，这几个产品都会买。为什么有一两个产品市场里面有竞争，大家就有不共戴天之仇？打价格战的时候就打到成本价，去这样打。

　　还有技术先进性之痛，其实因为传统的信息安全企业，在过去这些年的盈利水平不好，给人的薪酬待遇不好，在研发投入上基本上是什么东西挣钱就做什么产品，如果这个东西不挣钱，他就不太去投入。造成了在大数据处理方面是很欠缺的，高性能处理方面是欠缺的，甚至在国内一线的信息安全公司，现在真正有能力去进行深度漏洞挖掘的人都非常少了，因为过去产生的“大牛”基本上都已经被互联网公司挖走了。自己剩下的人在基础的安全与研究上都已经跟不上，这个时候在竞争的时候面临着技术先进性之痛，尤其我们和美国，在这方面的差距本来就很大。在这方面现在已经明显的看到，互联网公司现在做安全研究的人员，总体的水平已经超过了传统的信息安全公司，这是行业面临的一个比较大的问题，我们缺乏一些原创的安全技术。

　　还有安全服务，前年我们在给一些国家领导做汇报的时候已经强烈的建议，我们的财政预算里面要拿出来一部分做安全服务，买一堆机器，买一堆盒子回去，并不代表你的网络就安全了，最终这些东西用起来是要靠人，攻防知识更多的是掌握在人的大脑里面，所有的设备都是帮助你来提高工作效率。但是我们现在的安服会面临“卖艺”或者“卖身”的问题，比如一个企业的安全主管，在他出差的时候他比较无聊，他可以打个电话给他做安服的人，聊了6个小时，这个安服的人最后就非常郁闷，说我到底是干什么的，我是卖艺的还是卖身的？最后就造成一个，我在前面组建安服团队的时候，在行业里面找人，一群过去做安服的人都不愿意做安服，他觉得安服是整天做“孙子”，做的事不是卖艺，这是非常大的问题。今天能看到，在安服方面的预算，在服务方面的预算有所好转，但这方面我们可能还要向美国有多一点的学习，在服务的预算比例里面要更高。

　　考核标准，如果我们仅仅是满足于合规的话，如果我们考评标准仅仅是说出了一个什么样的安全事故，处长就要下课，再出了一个深入安全事故局长就要下课，如果在这情况下，势必让大家继续去捂盖子。而安全这件事，发生了问题之后，就像疾病的流行一样，你如果及早的发现，全社会的动员起来进行防御，情况会好的多。就像这次埃博拉病毒，如果大家都捂着，都不报，这种情况势必会有越来越多的人重招。安全其实是要揭盖子，而不是捂盖子，但里面我们的考评标准可能也会面临一些问题。

　　还有一些小集团利益，比如咱们搞操作系统国产化，搞可行性计算，最后搞不好就变成了某一个小集团之间的利益，这个蛋糕就由这些小集团里面去切。尤其比如这个东西对于社会化的民营企业并没有开放，到一个封闭市场的时候，就像搞了这么多年的国产化操作系统，搞到今天怎么样？可行性计算我们也搞了么多年，搞到今天又怎么样？今天的机会如果大家仅仅把它当成一个分蛋糕的机会，尤其是小集团去分蛋糕的机会，我们国家可能在这个路上还要再多走几年的弯路。

　　用户体验，企业产品，因为购买的人和使用者分离，老板买，员工用。最后只要老板买了，管它好用难用，最后员工都得用，在过去这些年，企业的产品基本上就是难用。这件事情今天也能看到一些改变，刚才像马总所说的，人越来越感性，其实在企业应用上，用户也是一样的，是同一批用户，不会在生活中变得感性了，在工作中就变理性了，在工作中也必然会越来越感性。这时候其实对于企业应用的用户体现要求越来越高，我们会面临谁能够在用户体验上更早的做得更好一点，能够更加好用，可能也会对竞争的格局产生一些变化。

　　转型总的来说可能面临几个问题，一个是可能会面临重构的价值链条，所谓“羊毛处在狗身上，驴数钱”这种情况。第二是产品的销售由过去的卖盒子，可能会越来越多的向安全服务这方面去牵引。由合规可能更多的向防护效果转型，过去所谓客户体验是出钱的人体验，出钱的人你把负责采购的人伺候好，这是一回事儿。用户体验，将来谁用这套东西，用的时候觉不觉得舒服，由客户体验到用户体验的转化。还有员工价值，从业人员我们也要考虑，同业人员干这个事情干的开心不开心，比如刚才说的安服人员，他是不是能够很有成就感的做这件事情，或者他是不是能得到他该得到的报酬。至于在整个信息安全的行业来说，我觉得是面临着这样一些转型的挑战。

　　这是一个典型的Hypec Cycle曲线，我觉得这条曲线非常典型，但我不是来说这里面这些具体的点，而是说我们今天在哪个位置。邬院士讲过爬山的故事，今天的信息安全在哪里？我要泼一点冷水，我认为今天的信息安全可能是在前一个高峰，因为我们大家看到危险，看到危机，就觉得这件事情重要，就觉得信息安全很重要，但是在这个点上，你可能会马上面临着一个失望，你会发现上了很多手段都起不了作用，你依然会发生安全事故。这种情况人们的期望值可能就会降低，会让这个产业再往谷底里跌一次，在信心上跌一次。但是最终安全问题依然是要去解决的，或者要改良的，最终还会开始有向上爬坡的过程。

　　今天在大家都对信息安全非常看好的时候，我恰恰是觉得这里面有很大规模危机，我们的行业面临的转型，用户的期望值很高，但是我们是不是能满足用户的期望，可能会面临着一个由高峰走向谷底，再逐渐的走向健康发展的过程。

　　最后的一些思考，作为信息安全行业中的从业者我们的期望是什么，我们到底期望我们的业务能够做多大，期望能够做多少钱，刚才说了我们认为我们有天花板，这个天花板并不是很高。行业是一个非常重要的行业，但是不意味着是一定能能挣很多钱的行业。做这个行业的人，你可能就要有自己的一个很明确的期望值，是说做这件事情能给你带来成就感，还是能给你带来很多钱，这个要想清楚。还有同业竞争，虽然360作为一家互联网公司，和各家也PK的一塌糊涂，经常打仗，但是在信息安全的行业，我觉得应该看美国是怎么样做的，美国现在的行业更多的是联合防御，每一家做好一到两种产品，或者做一种服务，最终多家合作，起一个联合防御的效果。还有黑和白的界限，在黑产和白道，在互联网上我想就像江湖一样，过去几千年有，往下面，在互联网时代，这个东西依然会有。这还是一个黑白的世界，因为有黑有白，我觉得这个世界才会继续有各种精彩的故事上演。谢谢大家！