當前位置：安全 → 行業動態 → 正文

淺談網絡安全服務行業現狀與展望

責任編輯：editor005 作者：Carrie_spinfo |來源：企業網D1Net 2017-07-19 15:20:37 本文摘自：黑客與極客

序

早上醒來后，腦子非常清醒，適合寫作。特別是在一個人出差的時候，所以今天想寫一點關于網絡安全服務行業的現狀與展望的內容，歡迎各位留言交流。

上周五，在接受非著名大學的《創客說》節目錄制的時候，被問及了5個問題，其中有兩個問題印象深刻，也讓我思考了很多。這兩個問題是：您對網絡安全行業的個人見解與對未來網絡安全行業的展望。

我的安全從業之路

先來回顧一下自己的網絡安全服務從業之路，我從事網絡安全服務行業已16年，農業院校的工科生出身。畢業后在老家做了一名操作進口自動化高精機床的技術藍領（當時高端大氣上檔次的說法是從事CAM），想想幾十年后還是這樣單調的工作，感覺這樣的工作不是我想要的。為找一份自認為的好工作（當時看到培訓廣告說“擁有MCSE，年薪10萬不是夢”，其實現在有時候偶爾也會想，高端的技術藍領比干IT好多了）就自學了計算機投入了IT行業。一邊工作一邊自學考了微軟認證專家，憑借MCSE來杭州找工作，非常幸運，人生中的第一次面試就這樣通過了。一年后，由同學出資，我技術入股一起創業開了公司，還拉了我人生中第一個網友合伙創業。一年不到，各奔東西，臨行前我們幾個合伙人還湊了800元給我網友，第一次創業就這樣草草結束了。在公司一晃就是14年，在老板的支持下，我們幾個老員工又開始了創業。

行業現狀

正因為有了這兩個創業的經歷，對網絡安全行業有了一定認識，這里與大家進行一下分享，希望對想創業的人有一點幫助。網絡安全行業是一個非常小眾的行業，小到有時候感覺干這一行很沒勁。有數據顯示，2016年全國網絡安全市場容量400億左右。想想光浙江中煙生產利群香煙的一年產值都有300億、茅臺酒廠公司的市值都5000億、王者榮耀光賣皮膚一天1.5個億。可小歸小，但是她重要而且有意義有價值，這也我是一直堅守這個行業的原因。特別是2017年6月1日后，隨著網絡安全法的實施，網絡安全也有了全新的定義，范疇包括了數據、系統、網絡空間，成為一個國家的立國之本，是與國家海、陸、空、天等同等重要的國家主權領域。近一個月來，一系列網絡安全與信息內容安全管制的標準、規范、政策陸續出臺，所以安全行業會有一個井噴式發展，至少在合規和國產化產品方面。這是我對第一個問題的回答。

行業展望

第二個問題是對未來網絡安全行業的展望，也是今天重點想分享的內容，題目比較大，這里我就講講安全服務行業運營方面。我們一直從事安全服務領域，我們認為未來會出現一批安全托管服務提供商（MSSP，Managed Security Service Provider），同時運營模式是以合伙人制，就像現在的賽博朔方努力的方向一樣。這里我先講講什么是安全服務、安全服務企業運營有哪些困惑。

什么是安全服務

網絡與信息安全會與大數據、云計算、物聯網、人工智能、移動應用等領域同步發展，國家對網絡安全的法規制度也會逐步完善。現在安全服務力量主要有這么幾類：主流的安全產品與服務提供商、大型的互聯網公司與企業自建安全團隊、專注于某一行業做定制化服務的公司、還有就是規模不大做安全服務與集成類公司。

安全服務又是怎么樣定義呢。百度百科的解釋是：在網絡安全領域，安全服務指的是加強網絡信息系統安全性，對抗安全攻擊而采取的一系列措施。筆者認為網絡安全服務必須圍繞業務服務，以“最佳實踐”（Best Practice）作為網絡安全工作的落腳點，通過有效的安全服務，讓安全技術有效地發揮作用。在信息系統的全生命周期中，涉及的網絡安全服務如下圖所示。

　　圍繞信息系統開展的網絡安全服務

上圖中體現了網絡安全服務的最佳實踐，以業務系統（信息系統）為中心，在信息系統的全生命周期中提供規劃、設計、開發、實施部署、運行維護、系統廢棄等環節中提供信息安全保障的服務，其主要內包括：信息安全規劃、信息安全風險評估、技術設施安全檢查、技術設施安全加固、標準規劃的合規性咨詢、標準規劃的合規性整改、信息系統安全運維、行業標準化安全服務以及客戶自定義的安全服務。

安全服務行業困惑

在建設網絡安全防護體系時，人發揮的作用越來越大，除了安全產品與各類分析感知系統外，更多的要結合安全服務人員應急處置能力，可以說安全行業將演變為人才密集型的服務行業。但是現在安全服務行業的圈子里存在以下幾個現象：

網絡安全在用戶領導的眼里可能是：說起來重要，做起來次要，忙起來不要。如果把網絡安全服務當作一個產品的話，當前用戶對安全服務的結果如同霧里看花，大到幾千萬，小到幾千元的服務項目，在用戶看來的只是投入的人多少不同，工作的時間長短不同，對最后的交付可能都認為相同，有可能認為沒有什么作用。

那對于安全服務商碰到的問題又是出奇的相似：行業內惡性競爭、項目范圍不明確且變化快、項目進度難控制、實施人員流動快、項目實施所需資源易沖突。既然是人才密集型的服務行業，那我說說人的問題。

網絡安全服務項目實施的主力成員以1-3年工作經驗的人員為主，此類人員正處于個人職業規劃動蕩的不穩定期，加之“互聯網+”大潮的影響，整個行業比較浮燥，沒有一定的職業規劃與定力無法抵擋外界的誘惑。另一方面網絡安全服務項目的項目經理一般是3-5年工作經驗的人員為主，此類人員經過一定時期的積累對網絡安全行業有一定認識并形成了自己的人脈關系圈，往往有自行或合伙創業的沖動抑或是被行業獵頭公司的追捧而跳槽。另外，網絡安全服務企業或其網絡安全服務部門成立的時間一般都不長，多數還處在企業的發展初期，還存在著許多的管理問題。如沒有形成自己的企業文化，員工沒有歸屬感、沒有清晰的職業規劃與晉升通道、沒有難以割舍的感情紐帶，因而比較容易產生人員流失。

安全服務行業運營展望

上述的問題也是安全服務企業運營中需要努力去解決的問題。個人有一個想法，即未來有可能會產生合伙人制的安全服務公司，可理解為企業只是提供一個平臺，類似律師事務所。安全服務團隊以小團體或個人加盟，以阿米巴的模式經營。阿米巴經營就是以各個阿米巴的領導為核心，讓其自行制定各自的計劃，并依靠全體成員的智慧和努力來完成目標，通過這樣一種做法，讓第一線的每一位員工都能成為主角，主動參與經營，進而實現“全員參與經營”。其實現在國內很多安全服務商也是部分采用了這種運營模式只是沒有放到臺面上講。我們的目標是把企業做成平臺，把平臺做成阿米巴，把阿米巴做成合伙制。有專業化、平臺化，企業才有格局才能做大。合伙制，企業才能做久，讓每位員工像老板一樣關注利潤。

后記

以上是筆者對網絡安全服務行業現狀與展望的思考與觀點，利用這次北京出差期間的兩個早起時間整理，比較倉促。本文中部分觀點在筆者2015年的畢業論文《項目管理在信息安全服務項目中的應用研究》有詳細論述，如感興趣可在“賽博朔方”公眾號后臺留言索取。

*本文投稿作者：Carrie_spinfo，經原作者飛絮授權，轉載自微信公眾號“賽博朔方”（chinamssp）

關鍵字：網絡安全阿米巴經營