序

早上醒来后，脑子非常清醒，适合写作。特别是在一个人出差的时候，所以今天想写一点关于网络安全服务行业的现状与展望的内容，欢迎各位留言交流。

上周五，在接受非著名大学的《创客说》节目录制的时候，被问及了5个问题，其中有两个问题印象深刻，也让我思考了很多。这两个问题是：您对网络安全行业的个人见解与对未来网络安全行业的展望。

我的安全从业之路

先来回顾一下自己的网络安全服务从业之路，我从事网络安全服务行业已16年，农业院校的工科生出身。毕业后在老家做了一名操作进口自动化高精机床的技术蓝领（当时高端大气上档次的说法是从事CAM），想想几十年后还是这样单调的工作，感觉这样的工作不是我想要的。为找一份自认为的好工作（当时看到培训广告说“拥有MCSE，年薪10万不是梦”，其实现在有时候偶尔也会想，高端的技术蓝领比干IT好多了）就自学了计算机投入了IT行业。一边工作一边自学考了微软认证专家，凭借MCSE来杭州找工作，非常幸运，人生中的第一次面试就这样通过了。一年后，由同学出资，我技术入股一起创业开了公司，还拉了我人生中第一个网友合伙创业。一年不到，各奔东西，临行前我们几个合伙人还凑了800元给我网友，第一次创业就这样草草结束了。在公司一晃就是14年，在老板的支持下，我们几个老员工又开始了创业。

行业现状

正因为有了这两个创业的经历，对网络安全行业有了一定认识，这里与大家进行一下分享，希望对想创业的人有一点帮助。网络安全行业是一个非常小众的行业，小到有时候感觉干这一行很没劲。有数据显示，2016年全国网络安全市场容量400亿左右。想想光浙江中烟生产利群香烟的一年产值都有300亿、茅台酒厂公司的市值都5000亿、王者荣耀光卖皮肤一天1.5个亿。可小归小，但是她重要而且有意义有价值，这也我是一直坚守这个行业的原因。特别是2017年6月1日后，随着网络安全法的实施，网络安全也有了全新的定义，范畴包括了数据、系统、网络空间，成为一个国家的立国之本，是与国家海、陆、空、天等同等重要的国家主权领域。近一个月来，一系列网络安全与信息内容安全管制的标准、规范、政策陆续出台，所以安全行业会有一个井喷式发展，至少在合规和国产化产品方面。这是我对第一个问题的回答。

行业展望

第二个问题是对未来网络安全行业的展望，也是今天重点想分享的内容，题目比较大，这里我就讲讲安全服务行业运营方面。我们一直从事安全服务领域，我们认为未来会出现一批安全托管服务提供商（MSSP，Managed Security Service Provider），同时运营模式是以合伙人制，就像现在的赛博朔方努力的方向一样。这里我先讲讲什么是安全服务、安全服务企业运营有哪些困惑。

什么是安全服务

网络与信息安全会与大数据、云计算、物联网、人工智能、移动应用等领域同步发展，国家对网络安全的法规制度也会逐步完善。现在安全服务力量主要有这么几类：主流的安全产品与服务提供商、大型的互联网公司与企业自建安全团队、专注于某一行业做定制化服务的公司、还有就是规模不大做安全服务与集成类公司。

安全服务又是怎么样定义呢。百度百科的解释是：在网络安全领域，安全服务指的是加强网络信息系统安全性，对抗安全攻击而采取的一系列措施。笔者认为网络安全服务必须围绕业务服务，以“最佳实践”（Best Practice）作为网络安全工作的落脚点，通过有效的安全服务，让安全技术有效地发挥作用。在信息系统的全生命周期中，涉及的网络安全服务如下图所示。

　　围绕信息系统开展的网络安全服务

上图中体现了网络安全服务的最佳实践，以业务系统（信息系统）为中心，在信息系统的全生命周期中提供规划、设计、开发、实施部署、运行维护、系统废弃等环节中提供信息安全保障的服务，其主要内包括：信息安全规划、信息安全风险评估、技术设施安全检查、技术设施安全加固、标准规划的合规性咨询、标准规划的合规性整改、信息系统安全运维、行业标准化安全服务以及客户自定义的安全服务。

安全服务行业困惑

在建设网络安全防护体系时，人发挥的作用越来越大，除了安全产品与各类分析感知系统外，更多的要结合安全服务人员应急处置能力，可以说安全行业将演变为人才密集型的服务行业。但是现在安全服务行业的圈子里存在以下几个现象：

网络安全在用户领导的眼里可能是：说起来重要，做起来次要，忙起来不要。如果把网络安全服务当作一个产品的话，当前用户对安全服务的结果如同雾里看花，大到几千万，小到几千元的服务项目，在用户看来的只是投入的人多少不同，工作的时间长短不同，对最后的交付可能都认为相同，有可能认为没有什么作用。

那对于安全服务商碰到的问题又是出奇的相似：行业内恶性竞争、项目范围不明确且变化快、项目进度难控制、实施人员流动快、项目实施所需资源易冲突。既然是人才密集型的服务行业，那我说说人的问题。

网络安全服务项目实施的主力成员以1-3年工作经验的人员为主，此类人员正处于个人职业规划动荡的不稳定期，加之“互联网+”大潮的影响，整个行业比较浮燥，没有一定的职业规划与定力无法抵挡外界的诱惑。另一方面网络安全服务项目的项目经理一般是3-5年工作经验的人员为主，此类人员经过一定时期的积累对网络安全行业有一定认识并形成了自己的人脉关系圈，往往有自行或合伙创业的冲动抑或是被行业猎头公司的追捧而跳槽。另外，网络安全服务企业或其网络安全服务部门成立的时间一般都不长，多数还处在企业的发展初期，还存在着许多的管理问题。如没有形成自己的企业文化，员工没有归属感、没有清晰的职业规划与晋升通道、没有难以割舍的感情纽带，因而比较容易产生人员流失。

安全服务行业运营展望

上述的问题也是安全服务企业运营中需要努力去解决的问题。个人有一个想法，即未来有可能会产生合伙人制的安全服务公司，可理解为企业只是提供一个平台，类似律师事务所。安全服务团队以小团体或个人加盟，以阿米巴的模式经营。阿米巴经营就是以各个阿米巴的领导为核心，让其自行制定各自的计划，并依靠全体成员的智慧和努力来完成目标，通过这样一种做法，让第一线的每一位员工都能成为主角，主动参与经营，进而实现“全员参与经营”。其实现在国内很多安全服务商也是部分采用了这种运营模式只是没有放到台面上讲。我们的目标是把企业做成平台，把平台做成阿米巴，把阿米巴做成合伙制。有专业化、平台化，企业才有格局才能做大。合伙制，企业才能做久，让每位员工像老板一样关注利润。

后记

以上是笔者对网络安全服务行业现状与展望的思考与观点，利用这次北京出差期间的两个早起时间整理，比较仓促。本文中部分观点在笔者2015年的毕业论文《项目管理在信息安全服务项目中的应用研究》有详细论述，如感兴趣可在“赛博朔方”公众号后台留言索取。

*本文投稿作者：Carrie_spinfo，经原作者飞絮授权，转载自微信公众号“赛博朔方”（chinamssp）