信息安全市场的供需困境 | 维庐夜话

大半个月没更新专栏，真是越来越懒了，最近见了一些人聊了一些事，相对其它行业的光鲜火爆来钱快而言，雷声大雨点小的安全行业其实有点相形见绌，当然笔者本人并不看低安全前景，只是觉得形势并没有外界想象的那么美好，安全维艰，且行且珍惜。

无论技术如何发展，产品如何迭代更新，理念如何引人入胜，安全回归到商业本质还是一个供需关系，供需对等平衡才能促使这个市场保持良性运转。作为一名技术宅，笔者试着从个人经验和理解来分析安全行业的供需关系，玩不来高屋建瓴只愿抛砖引玉，仅此而已。

首先要强调的是安全行业不能以简单的买方市场或卖方市场来定义，在通用型解决方案场景里，安全是买方市场，而买方市场的特征其实很明显。

特征一：市场总量大，但对卖方而言市场份额可能呈下降趋势。

就拿防火墙来举例，它就和灭火器一样，在用户网络里算是一个必备安全设施，因此市场总量是非常大的。但由于防火墙技术本身没有高门槛，要进入这个领域不会有太高的壁垒，这就导致目前市场上防火墙厂商至少是15家以上，除开性能和少数功能差异之外，用户对防火墙的感知其没有太大区别。

特征二：竞争惨烈，打价格战，卖方基本走薄利多销策略。

竞争惨烈就不用多说了，当年15万-20万一台的中高端防火墙现在身价急转直下，业内曾经的明星选手万兆防火墙就曾经卖出过2万4的白菜价, 姑且不谈成本是多少，相比较历史10万以上的均价而言，这绝对是可以记入安全行业历史的一笔折扣。另外还有一些惨无人道的0元中标，毫无诚意套路满满。

特征三：卖方利润剧减，毫无服务可言。

还记得在08年那会儿，单位找了IBM和新加坡一家MSSP做产品选型，对方发过来一份售前兼培训讲师的身价，没记错的话差不多是1500$／人日，人家一天收入比笔者一个月工资还多。到了今天咱们再来看看国内某些行业采购的乙方安全服务报价，大多数都是800¥／人日，更夸张的是还有500¥／人日中标的，而这些500¥/800¥身价的工程师们，是要承担评估加固监测应急各种活的，人家乙方怎么可能让一票资深安全服务工程师一头扎进这些项目里被活埋，所以亏本生意没有人做，这些项目成了安全实习生茁壮成长的实验田。

那一台台防火墙、IDS、IPS就像被遗弃的孩子，从此深埋客户机房便再无相见之日，客户用或不用，设备都在那里，不喜不悲。

一定有人会问，安全行业有没有卖方市场？答案是有。

第一类便是与通用型解决方案场景相反的特定细分解决方案 ，看看那些不拼关系拿项目的卖方，凭借自身技术实力建立起足够高的竞争壁垒，御对手于千里之外，像电商反欺诈业务，在国内首屈一指的当属阿里系，市场上有没有其它卖方提供反欺诈业务，当然是有，能不能用，当然能用，但是一旦货比三家，大概率会选阿里系了。

当然能站上卖方市场高点的只有金字塔顶端的那一小撮人一小撮公司，它们能够解决用户的痛点问题，产品功能无与伦比的强大，同时会向用户交付行业最优质的服务，它们有自己的追求和目标，也有自己骄傲和操守，当然更不会放弃任何一分利益。

第二类是更夸张的垄断市场 ，比如机构总部的三产公司，或者是行业监管的测评机构，这些都是含着金汤匙出生的X二代，守着父辈留下的一亩三分地，自出生以来就没有签单的困扰，不管是锅里的还是碗里的，别人都拿不走，想吃就吃，不想吃就扔，X二代就不赘述，懂得童鞋自然都懂。

第三类是创新型的卖方市场 ，举个栗子，比如一些安全认证和资质评定机构，它们可能会开发一些新的认证，然后独占特定的认证能力和资源，利用这么一个创新就掌握了一个庞大的卖方市场。它们自己制定认证规则，并且拥有定价权，不用去争得头破血流抢个客户，也不是所谓的啃老族。

当然还有一种途径是独家代理，比如代理国外某款超级牛逼的安全产品，国内只有你卖，客户有需要就只能找你，前提是你有能力抢在别人之前搞定代理这件事。另外将国外新型认证引入国内也是一种方式，一些人将国外认证引进来，自己充当代言人，组建认证团队，四处发证，这是近段时间看到最多的一个案例。

讲了这么多，就是想说安全行业里既有买方市场又有卖方市场，而且是相对动态变化的，眼下信息安全创业者有很多，创业人到底是想凭借多年技术积累和客户关系再次挤进买方市场，还是另辟蹊径看准某个细分热点领域，争做前三个吃螃蟹的人，努力打造自己的卖方市场，我们不得而知。向左走，还是向右走，这是个问题。

我们再回头来看看现在的供需关系，这里边有几个典型的场景。

饥肠辘辘，巧妇敌不过无米之炊

好多单位安全漏洞随处可见，每台服务器都是一个养马场，上级单位发过文，监管机构来过函，安全厂商交流多次，相关责任人也有危机意识，奈何在预算上捉襟见肘。十米深的坑，口袋里的钱只够买回填上1米的石头，剩下的9米咋办，话先说到这里，怎么来填相信大家各有各的办法。

监管飞地，独居一偶乃不知有汉

销售铁柱跟某个有钱单位的安全对口人搭上了线，然后把国家政策和行业要求跟对方解释得清清楚楚明明白白，客户寒暄一番之后打发了铁柱，一个月后铁柱联系客户依然得到延后的回复，铁柱猜测是不是力度不够大，这时候恰好公安机关发现该单位系统的一个高危漏洞，网监部门的警官就带着整改通知单上门，客户解释了很多，系统是很多年前开发出来的，现在已经找不到开发商团队了，这个业务系统暂时还停不了，只能想其它办法来整改，就这样3个月时间过去了。