随着5G、云计算、大数据、物联网、人工智能等新一代信息技术的成熟，网络与信息安全面临的风险已与传统的信息安全不可同日而语。企业安全服务面对的将是一个潜力巨大的市场，而与国外相比，我国的企业安全服务投入比重仍然较小，还处于市场培养阶段。传统安全和新一代网络安全，它到底有什么区别？面对B端企业服务市场，巨头大厂和创业公司有着怎么样不同的策略？如何在信息安全领域寻找到细分的创业机会和投资机遇？视频财经媒体容众财经联合奇安投资推出信息安全系列专题，由奇安投资执行董事李诣和安全派联合创始人林森带来关于企业安全服务创业与投资的《真财实料》。

图片来源：容众财经

许峻铭：欢迎关注容众财经，互联网安全在很多人眼里是非常遥不可及的一个专业领域，传统安全和新一代网络安全，它到底有什么区别？

李诣：安全是一个虽然说可能大家对这个概念相对来说非常熟悉，但安全其实也是经过几个阶段的发展。传统安全这个概念，可能在80年代从互联网开始诞生的时候其实就开始出现了，那最早的传统安全，其实它解决的是一个基于相对来说固定的边界这样一个安全，比如说我们解决一个机房，或者是服务器在一个物理设施，然后内外网边界相对来说是比较明确的前提之下的安全；但是随着后面一些新的技术的出现，比如说云计算或者是移动互联网，然后在内外网的边界越来越模糊的情况下，以及是在数据量越来越多，应用、设备这个量级都大幅上升的情况下，那么这个安全的威胁其实是指数级的上升趋势，所以在这个环境下的安全就是新一代信息安全它所需要去解决的一个问题。第二点就是说传统的安全更多的是一个被动的安全思想，它可能是基于我对未来已知的威胁来进行相应的，比如说用签名的方式，或者是用一些规则的方式来去进行防御；但是新一代的信息安全，它更多是一种主动式的防御，防御不光是已知的威胁，更多的也是未知的威胁，所以它会去用到很多新的技术，比如说启发式的学习，或者是像人工智能技术去通过机器的分析，去找到一些在基于以往的经验，它可能是无法探测到的一些新的威胁，这是第二点这是从被动到主动。然后第三点我认为就是原来的传统信息安全，它更多的是一个产品级的产品之间相对来说是一个孤立，它没法去形成一种互动；但是新一代的信息安全，它其实更多的是一种信息安全系统，它强调的是一种多点的联动，强调的是远端和近端结合，数据、策略、安全规则等等这样之间的一种互动，给客户呈现的信息系统是一个全方位的，同时给客户带来的价值，其实也是一个很多元的；而不是说像原来这个传统安全，它某一个防火墙它解决的是这个网络层面的问题，终端操作软件面对这个文件杀毒的问题，但他们之间可能缺少一种联动。

信息安全它所保护的对象，是所有与信息相关的这样一个对象，基础设施它是有各种各样的信息技术设施，比如说是有终端、有云计算、也有移动设备或者是大数据、工业互联网等等。信息安全创业公司他们致力于解决不同领域、不同对象的信息安全，比如说像咱们安全派，它解决的就是面向企业的ERP或者是CRM等等这种业务系统，针对这些业务系统提供相应的信息安全解决方案。

许峻铭：我能不能这样理解，就是在互联网安全的领域，其实是有两大派，除了C端和B端以外的话。有一派可能是服务于整个全网的、全方位的互联网部署，另一方面可能就是针对企业某些业务比如ERP、比如CRM，给他们做这种互联网安全的城墙保护的。

林森：我觉得从这个维度理解是OK的。因为企业的应用，它会跑在我们的这个基础网络上、基础资源之上，对于基础网络和基础资源，我们把它叫做一个可信的环境，这个环境需要有人保护，没有问题。就像我们现在交流使用微信，支付需要支付宝是一样的，企业的业务跑在应用之上，那在基础网络安全之上企业的应用，也是需要做安全保护的；那我们安全派就来提供这样的产品和服务来帮助我们的企业解决，他们每天支付的问题、采购的问题、销售的业务中可能会出现的安全问题。

许峻铭：我们的感性里面是这样认为的，对于一个互联网企业，比如阿里或者像腾讯这样的，他们本身有很庞大的一个布局，或者是他们类似有很多客户基础，或者是有一个电商的平台，那么他们想做一个支付领域，或者想做一个社交领域，开一个新的业务的话，其实是很容易的。但是安全领域，是不是也会有类似的情况？比如一个庞大的巨头，它以前是为一个B端或者是这种企业端进行全方位的保护，他们想做ERP这种安全，是不是也很容易？还是说这个大的赛道里面，只能有一些小而美的这些存在，大的巨头想专门做这些是做不了的？

林森：我不认为说存在某种技术不可复制或者不可替代，我也认为大的厂商或者我们这个行业的龙头企业具备这样技术和能力，但是我说，我们认为一个企业的关注点，很多方向是有区别的。目前来讲，行业可能大的厂商主要集中在合规这个市场；对于广泛的商业市场来讲，对比目前的这个市场，可能更琐碎、更杂一点。我举一个例子，我们看企业可能和其他的厂商看企业不同。为什么呢？同样一个制造业，它可能是做主机制造，有可能做配件制造，但它都是叫“某某某制造公司”，但是它的管理模式、采购模式完全不一样，我之前服务的一个客户，它一年就两个订单，它是做什么的？就是给耐克、阿迪做代工的，年初一个订单，年终一个订单结束了，它认为它不需要信息化，它的业务非常的简单，我所有的生产成本投入归到两个订单里面就OK了；但是随着新经营模式的深入和推广，它由订单的外贸加工转为内部市场的营销，要建自己的品牌和自己的渠道体系，它一年5000万的营业额来自两个订单，转为现在5000万的营业额，来自上百个、十万张的订单，它的模式发生了变化，所以说它的业务系统本身，要适配它的整个管理模式的变化，所以这个企业管理的方式，发生很大的变化。对于大厂商来讲我调头很难，但是对于我们来讲，我们一直研究企业的管理和业务，我们一直在分析它的业务模式，一直在分析它的系统升级，会给它带来哪些变化？这些变化中哪些有风险？需要什么样的产品来解决？什么样的解决方案来解决？这是我觉得小厂商来做的,因为我们觉得我们更懂企业,更懂企业的业务,更懂企业的变化。

许峻铭：我能不能这样总结两个点。按您说的，第一个点就是大厂商，大的这种互联网安全服务的，它可能更多的是提供一种标准化或者类似于共性的（服务）？

林森：平台化！

许峻铭：平台化的服务。可能每个企业都可以用，但是由于它本身体量比较大，或者它的业务模式已经可以复制了，已经很难调头了。第二点，对于一些真的是从业务出身就非常理解公司的，因为它跟公司是共同成长的，它可能在做这种定制化

、专业化甚至更细致的这种服务的话，它是有优势的，可能这个市场不像那个大厂商的市场，可能很广阔，但是它也是个小而美的赛道。

林森：我觉得我们这个市场也很大，中国的企业总量也很大，而且这是仅次于北美的全球第二大企业级市场，既有数量也有需求；而且我们认为中国企业级市场的需求是跟着自身的发展成长的，比如说我现在要做电商，我需要打通内部和外部的系统，那我就需要解决大量外部访问的问题，我要建自己的渠道，我要部署我自己的线下渠道体系，我需要解决大量终端的问题，其实我们去看同一个行业的同一类型的企业，它的管理模式和经营模式都有很大的差异，经营模式的差距会带来我对信息化的需求，我对安全的需求它是有不同的。

许峻铭：从林总的这个口气当中，我嗅到了两个字“风口”。就是这个可能慢慢的会成为一个从“小而美”的一个赛道，变成一个比较广阔的蓝天白云。李总，作为奇安投资来讲，我理解就是围绕着互联网安全去看各个赛道的，您们是不是有这样的感觉？针对某个业务或者公司的某项业务，安全服务是目前比较好的一个窗口期吗？

李诣：大公司它有时候可能做不了小公司的事情，可能有几方面原因。一个是技术的原因——安全本身是一个碎片化的行业，在不同的细分赛道里面，它背后所需要用到的技术是完全不一样的。第二，也是一个基因的原因，大公司可能它整个的商业模式、团队管理、整个的运营，它这个基因和小公司在具体的细分赛道里面这个基因是不一样的，所以有时候是合适的人可以做合适的事情，很多创业公司，它们去选择一个适合自己发展的赛道，很可能是在狭缝中去击败巨头的。传统的信息安全是保护IT的信息基础设施这样一个安全；但现在我们所说的互联网安全，可能它面对的是整个庞大的IT基础设施，以及是业务系统这样的安全，可能原来的采购方是IT部门的这些人员，但我觉得在未来以后，信息安全的采购方会是业务部门的同事去主导，所以这个业务和IT本身也是不断的在去融合，这个是信息安全发展的一个很大的趋势。所以我们今天讲安全这个市场很大，它就是在这样一个背景之下，对于安全公司来说，它不光是需要去理解IT基础设施的发展，要懂安全同时它也需要去懂业务，我们奇安投资在做投资的时候，也会去着重从这几个角度去考量，这个团队是否有这样比较强的基础。

安全派是我们投资的一个优秀标的，业务上面他们之前是从用友出身，非常熟悉这个用友，包括金蝶他们CRM、还有ERP的系统；同时他们团队有非常强的安全背景，另外在渠道管理、营销推广、商业策略方面都有非常卓越的一些特点，觉得是非常难能可见的。所以我们是在天使轮的时候，就毫不犹豫的投了安全派，然后我们也会持续的和安全派像这样类似的公司一直走下去。

许峻铭：我们这个赛道很广阔，尤其随着整个的云计算，包括企业数字化、云化发展，越来越多的人可能重视互联网安全，这里面有没有什么坑，在这个过程中可能跟想象中的，其实没有看上去那么美好的事情。

林森：按照我们的经验，和我们之前的案例，我们发现企业级市场，其实它是需求很集中的一个市场，它的集中在我们管理软件系统，因为可能对企业来讲，要保护它管理软件系统的安全，它需要你提供既经济又高效的产品和解决方案。其实经济和高效从某种意义上讲这是两个相悖的点。我们从科技这个领域来讲，好东西就要花好多的精力和资源去做，它的投入必然大，按照我们的商业逻辑来讲，这个产品的成本它必定不会太低；但是对于企业来讲，它迫切又需要一个低成本高效的这种产品，这是对我们来讲很大的一个挑战，倒逼我们创业公司技术一定要好，紧赶目前主流安全行业的技术，而且我们要对抗黑客，因为我们知道叫“魔高一尺、道高一丈”！但是这个行业是反过来的叫“道高一尺、魔高一丈”！黑客往往比安全公司要领先一步到两步，我们必须要投入大量的资源去追赶技术，但同时我们还要尽量压低我们的成本，为我们商业市场提供更物美价廉的这种解决方案，我觉得这是我们最大的一个挑战。

许峻铭：我听出来了——“又要马儿跑得快，又要马儿不吃草”！网络安全它其实更多的类似于一个成本端的保护，比如说像企业它如果用了您的安全服务，它没出事它觉得挺好的，它可能认为就是这样的；但是它不用您这个的话，它出了事它才意识到这个可能有问题，所以有时候可能有一种错觉，就是很多企业没有意识，觉得这个事情用不用无所谓，如果真的是没出事，觉得不用你也挺好的，但是真的出了事发现为时已晚，它也是一个培养用户的用户，又让用户提高这个意识。

李诣：我觉得创业公司和客户之间的关系，其实也是在不断的去打磨，不断的去进化的。因为可能从创业公司角度来讲，最先开始去接触一个知名客户或者是很大体量客户的时候，可能客户它会去有所顾虑，你作为一个很小的团队，新兴的领域，你是否有足够的背景去满足我的需求，我为什么要去选择你而不选择一家更具知名度的大的公司？哪怕它的这个领域可能没有你说得那么好。这是第一个。

第二个就是说，持续发展的过程中，要遇到各种交付的挑战，产品技术方面挑战，同时还要去面对黑客，就像是道高一尺，魔高一丈——黑客本身他也是在不断进化的。所以我说对创业公司来说，它遇到挑战还是蛮多的！但是我觉得是在这个过程中，创业公司如果能够去克服种种的困难和挑战，它其实是能够赢得客户的信赖。同时我们今天也能看到，中国的企业客户是在不断的走向成熟的过程中，我们今天看到几个主要的行业，比如说金融或者是能源等等的，他们作为客户的角度来说，他们其实越来越成熟了，他们知道自己要什么，知道自己问题在哪里，如何去找到解决问题的方案，所以他们能够非常良性的和这个创业公司进行各种互动，我认为在这种背景之下，其实这个创业公司，未来前景会越来越光明的！

林森：像安全派，我们最小的一个客户只有三个人，但是它碰到了问题，确实我们其它大企业都无法比拟的，它一下被加密了104套账，为什么对一个三个人的企业会有104套账？我们去一看，它是一个代理记账公司，它是一个小企业，它碰到这么多的问题，对于它来讲，这104套账如果不给它解决被攻击、被勒索的问题，这个公司就关掉了。

李诣：对。

林森：现在企业开始转型，开始意识到我的安全是不是应该要为我的系统提供有必要的保护。一旦这个数据丢失了，或者一旦我的系统遭到了攻击，我的业务停滞，我的数据损失而带来企业经营的风险，我是不是能够承担。比如说，去年安全派有统计，截止到第三季度，又接了790起的案例，这些案例转化了300多起，到成为我们的客户，200多起选择我们的服务，我们发现我们的转化率越来越高，企业的意识也越来越增长。我们觉得未来企业级的需求它是一个快速爬升的阶段，信息化程度越高，安全就越重要，数据就越重要，我们讲现在讲数字化企业、数字化运营，通过数据我们来为管理者提供必要的支撑和工具，但当我们有数据的时候，这是一个很可怕的事情，我们设想一下，一个企业一旦你的财务数据全部丢掉，这是一个多么可怕的事情。

许峻铭：您刚才举这个例子，我其实觉得非常的震撼，其实一般我们做这种客户服务，我们很少去找这种两三个人，包括这个代理记账公司。我们觉得他们的需求其实非常的少，新生的这种业态，互联网安全给他们做服务的这些客户的话，我理解是不是一个空白的区域，这个区域是不是没有人去关注过呢？

林森：安全这个行业来讲的话，我们发现很多公司都喜欢追高、追大，大企业有需求，有能力，也有足够的团队来支撑安全。但是我们发现，中小企业同样有安全需求，就像我们刚才介绍那个客户，它虽然只有3个人，但它的安全需求也不少。我们觉得其实作为安全公司，要有一定的社会责任，我们需要提供这种物美价廉的产品来解决它的需求。其实我们看一下，中国的这些服务器也好、PC也好，合规性市场有大型上市公司安全公司来做；那C端来讲的话，也有互联网公司去做；其实B端来讲的话，也是作为我们中国整个大的安全长城一个必不可少的环节，安全派愿意在这个市场里面做投入，我们马上就要推出了一款新的产品可以解决中小企业的问题，而且对于中小企业来讲的话成本特别低，一台PC一年几百块，就可以解决它所有的安全问题，而且能够提供远程的服务，不需要考虑什么网络架构的问题、环境的问题、配置的问题、应用的问题，这些事情全部交给我们的产品。其实我们觉得安全公司可以更多的研究一下中小企业这个市场，那么我们把这个产品做的越来越好，我们来解决这部分企业客户的需求，我觉得这也是我们企业责任感的一个部分、一个环节。

李诣：我认为对于创业公司来说的话，其实追求的客户无非是分为两类：一个是中大型的客户；第二类就是中小型的客户。大型的客户其实毫无疑问，所有的公司都会是非常想追逐的一个对象，因为他们预算充足，团队对产品技术理解非常深刻非常成熟，有非常固定采购的一些需求；同时另一方面我也看到，这个对于大客户来说，他们要求更高，同时在这个领域竞争更激烈，另外在交付这个挑战以及是回收账款这个挑战，其实都蛮大的。那么对创业公司来说的话，像林总所说的不妨可以换一种思路，去找找另外一块中小型的企业市场有什么需求。这一块的话，对创业公司来讲要解决一个产品标准化和商业模式可快速复制的这样一个问题，因为我们知道，在中国目前大的环境背景下，可能还是存在很多的行业碎片化，或者说是产品定制化这样一个问题。为什么大家可能有时候会宁愿去抛弃海量的中小型市场，而去追逐大的市场？因为它可能觉得这个大的客户能够付费的能力更强，去做中小型市场的话，可能就要出力，但是也不一定能收到多少钱！

许峻铭：这就是为什么像国外，像Salesforce这些企业，在国内其实地位并没有打开。

李诣：没错。

许峻铭：所以美国的市场跟中国的市场，其实区别是有一个时间差的，只是目前还没到那个阶段。

李诣：但是如果创业公司，它能够寻找到哪一个领域，或者是哪个方向是能够找到中小型的客户他们之间一个问题的共性，并且是推出自己比较轻量级的解决方案，那么我想这个无疑是非常吸引这个投资人的。

我们其实看到，现在做得好的公司，比如说像有些传统2B的类型公司，它也会去尝试类似于2C的打法，去把自己的产品变的更轻量化，或者是说原来是通过直销，然后后面是不断的拓展这个渠道和全国各地的渠道，紧密的去联合，包括像咱们深信服这种公司，在这方面做的不错，我认为这些经验其实对于创业公司来说，都是非常值得去学习的！