知乎问题：为什么突破性的技术总是最先发生在西方？

今年知乎刷的比较多，很多话题都特别引人思考，以上问题本来是网友们针对 GPT 的横空炸世而发出的，针对国内科技行业的灵魂拷问，别的行业无从评价入手，但针对自身所在的大网络安全行业确实自觉创新的艰难。

RSA Conference 网安创新摇篮

RSA Conference 始于1991年，当时只是以“密码，标准和公共政策”为主题的小型加密会议，为密码学家收集和分享互联网安全领域的最新知识和进步的论坛。1995年，它成为一个年度活动，更名为 RSA 数据安全会议，然后在 2000 年，简称为“RSA会议”。会议由两个部分组成：各种主题的演讲和供应商博览会。一直以来大会的 Innovation Sandbox（创新沙盒）大赛不断为网络安全领域的初创企业提供着创新技术思维的展示平台。

参会的中国人倒是常见，参展的中国项目可以说没有。

国内网络安全的 “舶来创新”

国内的网络安全行业，以 3-4 年为一个周期，每个周期内都会以一个舶来的酷炫理念，演绎一场行业狂欢，狠狠地刷一波资本和大众心智。从态势感知到 CASB、UEBA，现在到了零信任概念的后半场，SASE的中场，隐私计算的开场。这些理念要么是出自 Gartner 的定义，要么就是来源于上面 RSA 会议参赛的项目，尤其是每年获得比赛第一名的项目。

国内网络安全，大致从 2013 年之后开始不断紧贴国外的安全理念，有了不少脱离于传统安全的网络设备、文档管控、数据审计等之外的创新。

粗略整理了一下国内安全概念的发展脉络，如下图。（非常主观的整理，没有特别客观的数字参考，仅辅助用以加强阅读本文的直观感受，不具有科学证明价值，请读者审慎参考）。

舶来理念的中国特色落地

科技舶来品在国内大获成功的不在少数，尤其是在针对 C 端的应用和服务里，如百度之于 Google，阿里巴巴之于亚马逊，美团之于 GroupOn。这些超级平台的成功，离不开国家的基础设施的升级和成熟，更快的网络带宽、更稳定的电信设施、智能手机的普及、更快的物流、人力成本的低廉、更多的政府补贴和政策倾斜。

作为乙方的网络安全服务产品，其本身被普及的可能性依然依托于基础设施，不过这里指的更多是企业的信息化基础设施，指的是企业网络是否完善、信息化系统是否标准、账号是否统一、对软件付费的意愿和认同感。这些因素正是国内相比于欧美最为本质上的先天条件不足，从而导致国外的产品或者理念无法直接搬运到国内，而必须进行改造的具有中国特色，才有可能落地。

因此我们会看到，国外的零信任变成了国内的终端沙箱、国外的 CASB 变成了国内的 WAF、国外的 SASE 变成了国内的新版 VPN、国外的 Okta变成了国内的 SSO 开发工具包。

并不是国内的乙方安全公司不想做个正统的安全产品，而是在国内不具备落地的可行性。比如企业的网络不标准，需要花费极高的成本改造才能变成零信任；国内的账号各做各的，以至于 IDaaS 产品接入变成了重新开发；国内企业都喜欢本地化部署，使用公有云 SaaS 应用的比例过低，CASB 没有用武之地，只能变成保护企业自建的内部应用；国内第三方 SaaS 应用开放程度都极低，针对 SaaS 应用保护的安全产品也是无从下手。

以科技创新自居的互联网企业，恰是乙方安全创新产品的禁地

这是比较具有讽刺的局面，拥抱创新的互联网科技行业，并不十分接纳第三方创新的产品为己用，不仅仅是网络安全产品，而是所有的信息化产品。这些企业的创新更多还是集中在自身业务之上，对于有助于自身的信息化产品并不是否接纳。

大多数这样企业，内部往往安全从业者话语权较弱，有限的预算只能购买规避责任的传统安全产品。指代的是行业都认可，都用的一些产品，不一定特别有效（传统的安全产品停留在 PC 时代，内网办公时代，协同不多的时代），但至少大家都用，即使出了问题也可逃避责任。

或者财大气粗的，选择自研。这也是国内企业区别于海外的一大特色，一旦发家，什么都想自研，并且梦想着有一天这些自研的内部信息化产品也能对外输出，创造出另一片美好天地。

其实除了极少数核心的内部系统，企业应该自研以外，大部分系统选择外采也许才是最好的方式。自研产品除了帮助企业员工在简历上，书写下浓墨重彩的从0到1构建某个产品的履历外，企业并没有任何高性价比的收获。

中小企业是安全创新的温床

我们可以肯定的是小微企业没有安全诉求，怎么算是小微企业，拍拍脑袋 20 个人以内的企业吧。这样的企业本身业务还在摸索和生死阶段，安全确实不怎么关心。特例不算，肯定也存在。

除此之外的，百人规模，千人规模的中小企业，内部已经积累大量数据和终端，一定都存在上升到老板视野的安全诉求。这部分企业往往被新型的安全厂商忽略，因为这个群体被默认为没有安全诉求，不愿意为安全买单。但是从我们现在的经验上来讲，他们只是在有限的预算里买不到能实质解决他们真正需求的产品而已。只要能解决问题，价格又适中，这些企业非常愿意拥抱新型的技术和产品形态。

大甲方安全团队，变成了创新的主力军

在国内这是一个很有意思的现象，怀揣新理念打造新产品的新型的网络安全公司，几乎全部出自于大甲方的安全团队。和海外的同行恰恰相反，对方大多还是出自于乙方的安全公司。即使团队里也有来自于大乙方的同事，也多是承担市场销售的角色。

传统乙方安全公司的团队，为何创新不足。大致要归咎于他们习惯了安全合规的生意，难以摆脱项目制的销售模式，从而僵化了创新的能力。

合规，是国内安全生意的第一驱动力

简而言之，合乎政策规定，就叫做合规。合规作用于谁，作用于所有企业。但是政策的执行力度和执法成本之能所及，优先还是在泛政府和泛金融行业，在政策高压力下，安全是必选项，预算是充足且源源不断的，于安全行业的发展是极具推动力的。因此大乙方安全的重点，都盯着一个一个政策文件，都聚焦在政府和金融两大行业。

盯着合规，必然忽略作为一个企业当下可能遇到的真正问题，那些有可能当下还细小，但未来某一天可能长大的问题，创新自然也就滞后了。

未来的安全创新，将集中在数据安全

这是一个大胆的预测，其前提不仅仅是政策的倾斜和国家的重视。对于乙方安全公司来讲，能发挥的基础条件已经成熟。基于云计算的大背景之下，一切都上云了（不论是公有云还是私有云），数据也越来越集中了，终端的作用越来越成为一个单纯显示与交互设备了，摆脱传统 IT 的束缚和枷锁，对于有志的安全同仁来讲，将是莫大的福音。

创新的机会点，就在于如何保持数据流动性的前提之下，确保安全。

数据是应用的意义，人无法直观感受电流的变化、想象0和1的位移，因此便有了应用，应用是人和数据之间的媒介，数据的呈现、处理和沉淀都依赖于特定应用的能力。数据在 IT 术语里有结构化、非结构化和半结构化之分。任何一种数据分类都有相应的应用与之对应：结构化数据 <-> 关系型数据库管理程序、非结构化数据 <-> 文档编辑软件、半结构化数据 <-> 浏览器（网页渲染）。数据最大的特性之一是其灵活的流动性，数据从一个应用流转到另一个应用、从一个环境流转到另一个环境，数据因流动而获得价值，也因流动而让其创造者变得烦恼。把“可控性”和“灵活性”视作一对矛盾的反义词很多场合下并不为过，两者冲突性越强，兼得的价值就越大。如何让数据可用而不可转移是珍贵的机会点。