WitAwards 2019中国网络安全创新年度评选活动由国内信息安全新媒体领导者FreeBuf主办，已连续举办四届，自 2016 年举办以来一直饱受赞誉，是业内广受关注的网络安全创新大奖评选。评选旨在以最专业的角度和最公正的态度，发掘优秀行业案例，树立年度标杆。颁奖盛典在「CIS 2019网络安全创新大会」隆重举行。此次「CIS 2019网络安全创新大会」是「FIT互联网安全创新大会」的全面升级，更高规格，更多议题，内容精彩纷呈。

今年，评委主席团队由9位来自国内安全厂家、企业安全部门、政府相关单位、研究机构、行业协会、专业媒体的知名专家学者担任，全方位、多角度综合分析、公正评判每一个参评对象。

本期专访邀请到Sec-UN网站创始人金湘宇，NUKE。说起“金将军”，又一次在WIT评委中看到了他的身影，他曾出任WIT 2017的评委专家，算得上是WIT的老朋友了。

关于金湘宇

NUKE，金湘宇，Sec-UN网站创始人、威胁情报推进联盟发起人。前网络安全和信息技术资深咨询顾问，曾就职于启明星辰和埃森哲，分别服务于国家电网、中国移动、中国电信、华为等全球领先用户。曾作为私募基金管理合伙人，主导投资思睿嘉得、图迹科技、神州网云、数字观星、英诺森、嘉韦思等创新公司。

IDC预测， 2019年中国网络安全市场总体支出将达到73.5亿美元，2019-2023年预测期内的年复合年均增长率为25.1%，增速领跑全球，到2023年，中国网络安全市场规模将增长至179.0亿美元。

2019年，网络安全问题越来越受到关注，许多国家将网络安全上升到国家安全战略层面。我国也陆续出台相关法律法规进一步保障网络安全。而对于网络安全市场，投资规模进一步扩大，国内的安全厂商也如雨后春笋般快速发展，对于新需求的响应也更为迅速，市场上的安全产品也是层出不穷。

国家安全战略、网络安全法、等保2.0等确实对国内网络安全市场产生了很大的推动作用，今年的市场形势会继续维持比较高的增长速度。

然而，在这样的背景之下，企业厂商仍需保持耐心，不可一蹴而就，诸多行业利好的落地也需要有个过程。更大规模的爆发增长将会在“十四五”，从业者、尤其是初创公司需要继续保持耐心，静待机会。

服务化直击核心诉求

如前所述，安全市场和投资规模进一步扩大，行业发展催生了更多安全产品的出现。当新兴市场进一步饱和时，产品就会越来越难找到新的买家。如今，泛滥如潮的安全产品中，有些安全产品始终无法落地，无法切实地解决用户痛点，无法适应当前的网络安全市场环境。从某种程度上来说，占据了市场空间，浪费了市场资源。

那么，什么样的安全产品才能夺取未来安全市场的高地呢？

在未来网络安全市场中我更为看好服务、运营类的产品。云计算、服务化是当前IT的最大趋势之一，网络安全产品也必然走向服务化。

安全产品服务化，即以“服务”为中心，以用户获得和用户满足为中心。安全产品解决用户痛点，解决企业的实际问题。只有深入了解用户背后真正的需求才能持续地为用户提供具有针对性的有效服务。

网络安全的实质是人的对抗，用户的核心需求是解决自身的风险，传统的独立部署的产品已越来越难以在高对抗的环境下幸存，而必须和专家-人结合。

在《2019网络安全发展白皮书》中也提及，全球市场以安全增值服务为主，中国市场服务化转型趋势明显。这是一种未来趋势，面对未来各种各样的威胁时，服务化直系用户的核心诉求，落实产品服务，人与技术合二为一。

服务化、运营化是目前技术与人结合的最佳方式，可以直击用户的最核心诉求。

确实，在云安全服务快速发展的背景之下，网络安全服务的价值逐步得到认可，给予自动化、远程化、智能化的威胁检测、威胁情报等新兴服务模式逐步试点应用。网络形态的转变，倒逼着安全产品加速向服务形态转变，步入软件定义的时代，也将催生更加繁荣的安全服务市场。

共享开源 合力创新

安全开源项目多来自企业内部实践和企业安全能力建设需求，具有借鉴和实用价值。优秀的开源项目能提升开发效率，启迪新思路。

从云原生到大数据处理，再到机器学习框架开源占据了最为领先和创新的领域。安全开源软件也具有多重优势，社区支持、广泛采用和受益者贡献等。

一方面通过社区对开源软件共同进行贡献，帮助开发者更快更好地完善软件；另一方面也可以为社区用户提供相对廉价的解决方案，并吸引更多的未来潜在的用户。

技术的改进无穷无尽，其实质更在于这一代的不足会在下一代进行修复和完善，而这一代的意义除了满足现实的需要之外就是发现下一代。通过开源，程序员之间进行技术切磋和互换。

开源软件一般是一些通用的基础程序，不涉及核心机密，且开源之后会带来较大的用户群。大规模的用户群在使用软件的过程中会帮助发现bug，避免他人出错。同时一些有能力的用户为了满足自己的需要会贡献新的功能和代码。

然而，作为一种社区化的开发和营销手段，开源未必带来更好的市场环境，SNORT、NESSUS等诸多国外开源安全软件也最后驱向全部或闭源，相对于国内知识产权的现状，对于开源协议的遵守更是问题。

开源成功的关键更在于创新。开源社区的共享只是技术进步的基础，鼓励开源的背后更多的是通过开源技术学习的方式进行创新。这样开源才具有延续性，开源社区才能注入新血液。

但是企业最大的好处还是希望通过开源吸引更多的商业版用户，或者开源项目的支持服务费用。

2019年多家开源公司修改软件许可，从开放源代码许可改为更严格的条款，限制了软件的操作范围。开源不再完全免费，保护性更强的许可证可能会吸引更多的风险资本投资，因为这似乎会有更大的回报可能性。

本次参评项目我看到了很多很好的开源软件，参评项目很大一部分都是来自互联网公司和针对互联网公司提供服务的安全公司，互联网相关的系统需求和传统的比如政企的私有化系统不同，其需求更加具有弹性、对抗性也更强，同时其运营团队平均技术水平（薪酬）也相对更高，更能有效地利用起开源软件。

合规需求 重塑价值

数据显示，2018-2022年预测期内的中国安全解决方案总体支出的年复合增长率（CAGR）为25.6%。市场规模的扩大，问题风险加剧，安全解决方案总体支出亦急剧攀升。然而，解决方案能够真正为企业的实际问题服务才能发挥其价值。

从业人员需要更深入的理解用户的需求，很多从业人员理解的需求经常不是真正的用户需求。从企业的角度来说，相对于多发现漏洞、多发现病毒，更根本的需求是企业要合规、是企业的安全风险能得到合理控制，同时能满足目前对抗越来越强的需求。

“合规需求”驱动过去十余年安全建设和产业发展，是发展的基础。但随着网络安全形势发展，在合规的基础上，更要有动态、综合的防御理念和能力。

一方面，企业网络安全需求将超越“合规”而更趋于贴合实际，需求更多样、更灵活，有助于打破“合规市场”的增长瓶颈，进一步打开安全市场空间；另一方面，安全产品和服务的实效也将逐步受到重视，创新技术和服务得到认可，进一步增强产业活力，提升技术价值。

因此解决方案不能仅仅针对一个技术问题、或者仅仅围绕一项核心技术，而需要更加直面用户的根本需求——风险管理、业务。

在合规需求的基础上，解决方案围绕风险管理，具有针对性地进一步落到实处，只有这样，才能满足企业用户的安全需求，才能发挥安全解决方案的价值。

本次参评的很多解决方案已经很接近我心目中的“理想”解决方案，感觉国内安全公司已经越来越有感觉，解决方案水平确实在提高。

*本文作者：Sandra1432，转载请注明来自FreeBuf.COM