信息安全产业该觉醒了，传统安全思维 vs 互联网安全思维

UFO爱好者

互联网大潮汹涌，互联网思维宛若绽放于潮头的水花，腾挪跳跃，悦目淋漓。
相形之下，国内信息安全业界似乎一直波澜不惊，缺乏具备足够“颠覆”力量的概念或噱头。即便有国安委成立，即便有绿盟上市，曾带起过一波潮流，但都似乎没能与互联网的风起云涌搭上关系。直到现在，360高调宣誓进军企业市场，以BAT为代表的众神之神也以各种方式剑指安全，似风云突变，形势急转，隐觉一股强大的潜流正迅疾地涌上了潮头。
信息安全产业，在经历过一次峰谷波折并平静了多年之后，是否会迎来第二次革命？
其实，要回答这个问题，无需预言结果，置身变化才为不变的时代，一切预言都不靠谱。但至少一点可以确定，以一种现时规律去映射必然关联的另一场景，还是具有启发意义的。
我曾另文提到，互联网1.0影响的是人们的工作方式，互联网2.0影响的是人们的生活方式，互联网进入到3.0时代，其显著的特征是以强大的颠覆性的能量正影响着人们的思维方式。相比之下，信息安全产业（这里特指国内信息安全产业）似乎一直游离此外。从以启明星辰、绿盟、天融信为代表的第一代安全厂商扯起大旗开始，信息安全产业走过了十多个年头，期间，只在专业、封闭、狭小的特有领地内变换着几面小旗，外无强敌，内无叛逆，自己跟自己玩。我们能看到互联网发展所滋生的各类安全问题，我们却看不到信息安全产业因此而受到的任何影响或冲击。就像大多数传统行业一样，面对急遽变化的互联网，信息安全，这里的黎明静悄悄。
直到现在，移动互联网来了，大数据来了，云计算来了，互联网思维来了，许多传统行业坐不住了，金融业要被颠覆，零售业要被颠覆，餐饮业要被颠覆，汽车业要被颠覆，连做情趣产品的都要被颠覆。我们发现，几乎一夜间，信息安全产业的围城已被打破，当以BAT、360为代表的传统意义上的互联网大佬们都在安全方面摩拳擦掌时，原来那几杆大旗还能坐得住？
一种全新思维方式的出现，必然意味着颠覆的开始，这是老派与新锐的对抗，是正统与旁门的对抗，某种意义上，这就是革命。
当360还在做终端防病毒的时候，没有任何人觉得他是一家安全公司，因为周鸿祎身上流淌的是地道的互联网血液，而在互联网圈里靠免费来博弈个人消费市场更是不入以政府和企业市场为主的正统大佬们法眼。但是，现在，真的狼来了。按红衣主教的说法，要像做个人安全产品那样做企业级产品，极尽用户体验之能事，要让CTO、CIO满意，要让企业员工同样喜欢。听起来很简单，但实际上，传统的那些号称提供企业级产品和解决方案的产业大佬们，真的能做到让企业上上下下都满意吗？为什么我们的解决方案永远以产品堆砌为主？为什么我们的防火墙、IDS、IPS、日志审计、SOC、DLP卖给客户后最终沦为摆设？为什么要把繁复的策略配置的责任推给客户？为什么企业领导层和业务部门根本不买安全产品的账？为什么信息安全总是由黑客或重大事件在推动发展？它能再复杂些？能再枯燥些？能再被动些？能再无关痛痒些吗？
一个有趣的现象，我们总觉着信息安全攻强于守，比如盗号盗卡给ATM机上套装偷磁条拍密码的总比研究密码制造令牌生产设备的精，就算盗号盗卡利用ATM的实际上只是些民工（这里无任何贬义），甚至伪基站诈骗都能简单到像收破烂一样靠一个拉杆箱就能游击战了，而我们信息安全产业的名门正派们，却还在一如既往、高深莫测、不紧不慢地研究研究再研究，殊不知，自己所谓伟光正的这一领地，相比庞大的地下黑产，早已经是小儿科了。
圈内人都知道，渗透测试惯于以黑治黑的思维方式，很多时候，要想胜过流氓，须得自己先是个流氓。这里所谓的流氓，其实非指坏人坏事，更强调不按常理出牌，不循规蹈矩，就像《亮剑》大家都爱看，但又有几人能做得李云龙？人人都骂周鸿祎，骂他破坏规则，骂他不留余地，骂他真正小人，可恰是这般“流氓”的周鸿祎，迅速颠覆了传统的终端安全市场，并以独战光明顶的气魄面对产业界全方位的围剿。此刻，360进军企业安全市场，以他毫无牵挂、没有历史包袱、不按常理出牌、以“恶”治恶、快速极致的手段，恐怕又会杀出一片血路，杀得人仰马翻了。
360为什么让人又敬又怕？周鸿祎凭什么让人又恨又嫉？说到底，还是他与生俱来并与互联网无比贴合的思维方式，也正是已被炒得热火朝天的所谓互联网思维。
既然在谈信息安全产业，既然是在互联网业正大举跨界进军之际，我们不妨重新认识一下互联网思维，或者说，是互联网影响之下新的安全思维。如果传统大佬们足够惊醒，如果跨界融合足够剧烈，如果变革和颠覆足够彻底，我想，互联网安全思维，定将取代传统安全思维，成为促进信息安全产业二次革命的决定性因素。
互联网思维强调以用户为中心，强调简约极致，强调深度体验，强调快速迭代，强调价值重构，当然，更重要的，强调在此基础上的变革和颠覆。这些特质，与传统安全思维强调惟上是从、围堵封闭、集中控制的特点几乎截然相反。这里，我们就点对点地对比一下这两种思维方式吧。
首先来看大环境。
按照传统的安全思维，信息安全产业是封闭的、以防为主的，注定了就是保守、集权、控制和封锁。产业要管制，政策要导向，出口要阻断，网络要隔离，诸侯要割据，信息不对称，甚至产业链自身都是支离破碎的。正是这种小格局，导致产业经过十多年的发展才区区几十亿的规模。同样是做安全，一个安全套的产业规模都要比整个信息安全的大。与此相对，互联网思维所倡导的，定然是打破壁垒，转被动为主动，在开放、合作、跨界的环境下展开竞争，让信息安全破除小格局，向传统领域如工业控制、物联网、车联网甚至媒体娱乐等渗透，逐步拓展成为一个庞大的网状市场。往小了说，就组织个体来说也是如此，面对技术革新甚至颠覆，一味逃避和拒绝只能是螳臂当车。大数据应用热火朝天，无线网络普及了，云计算热闹了，BYOD出来了，不能一味借口不安全就禁用或隔离，关键还是在吸收和接纳的基础上找到新的平衡点。当然，斯诺登事件的爆发，让国家之间收紧了防线，但就产业环境来说，政策向下倾斜、开放搞活、鼓励创新是必然趋势。国安委的成立，就标志着综合治理和扶持培育的开始。其实，就整个产业环境来说，倒是地下黑产值得学习，能在如此逼仄的夹缝中上下串联，构建完整的价值链，且显现出强大的生命力、活跃度和繁殖力，这让名门正派们情何以堪？
此外，传统安全思维走的是专业路线，动辄院士牵头，权威掌舵，等保分保，监管指引，给人的印象，你技术不高端，水平不莫测，都不好意思跟人说你搞的是安全。专业路线导致权威垄断，压制创新，整个产业死气沉沉。我们总说用户不懂安全，可又有多少人能说出安全是什么？是那些被学术权威们关起门来捣鼓出的技术标准？是那些层出不穷的漏洞和攻击事件？是那些硬的、软的一大堆设备？而且更重要的，为什么一定要让用户懂安全？到什么程度才叫懂？用专业技术堆砌起来的，往往不是解决方案，更多却是壁垒，厂商和用户之间，厂商和厂商之间，用户和用户之间，由于信息不对称而造成的重重壁垒。相反，互联网思维是什么？菜鸟也是鸟！屌丝闹风潮！谁说非专业人士就不能做专业的事情？做互联网的360，能让所有终端都装上他的东西，不要用户干涉，不烦用户操心，用户的感受是：我再也没被病毒或木马烦扰过，我再也不怕浏览器上乱跳小窗口。这，难道不是安全？至于你说360有后门，窃取用户数据，可问题是，当你请个保安来看家的时候，你还在意他知道你家几口人？电话号码是多少吗？按红衣教主的话说，其实天底下都是流氓，只不过有些人漂白了而已。
再说产业驱动。
在此之前，没有任何人否认，很大程度上，信息安全产业是在政策合规的驱动下发展的。“宫保鸡丁”做什么的？等保分保、SOX、C-SOX和IT审计为什么能成为信息安全的推手？就算意识和技术都超前且关系国计民生的的金融、通讯、能源领域，其信息安全的发展也无不是跟着监管要求走的。总被牵着鼻子走的产业驱动方式，是健康的吗？是长久之计吗？事件敲警钟，警钟催政策，政策分红利，红利诱发展，这就是国内信息安全产业的步伐和脉络。2013年，再次利好，国安委成立，信息安全上升到国家战略层面，产业界一片欢腾，仿佛久旱逢甘露，可问题是，就算再多扶持政策，就算再大驱动力度，抱着坐等分吃蛋糕的心态，轮得到那些小鱼小虾吗？相反，互联网思维是完全市场化的思维，驱动用户的是业务发展或者危机感，用户自发的驱动又引导市场，就这么简单。你要等政策出台？机会早就稍纵即逝；你要等上头给你红包？市场早就启动了新的分配格局；你要等监管单位指引方向？安全问题造成的业务损失也许早就让你不堪重负。是要合规驱动？还是要业务驱动？是要政策？还是要市场？两种思维方式会给出完全不同的答案。
其实，不同的驱动力，直接决定了安全技术或产品表现出的不同形态。
传统安全思维完全是标准化的产品导向，防火墙、IDS、IPS、UTM、加密机、堡垒机等等，一类问题暴露了，一群黑客出现了，一类产品也就出来了，然后通过渠道和销售输出给用户。不能说错误，因为所有传统产业都是这么发展起来的。问题是，这种模式距离用户太远，所以，我们的产品专家们永远都要去跟踪新的攻击，发明新的名词，制定新的标准，然后苦口婆心去向用户解释，最终无论说得通说不通，产品卖出手为准。某种意义上，黑客成了我们产品专家最亲密的朋友，而真正应该关注的用户却成了配角。互联网思维则要扭转这种局面。能否不要跟在黑客后头？能否先去考虑用户的担心、顾虑和期望？能否让产品的设计更多顾及用户的体验和感受？信息安全很难，黑白之间如此众多隐蔽战争，但信息安全也很简单，简单到只需要一种感受——安全感。如果缺乏安全感，就算你穿上避弹衣，无数个保镖贴身保护，也会担心难逃厄运。相反，心里没鬼，做事踏实，哪用担心被人算计？更重要的是，安全感的有无，往往并不直接取决于安全措施的有无，比如我们小区，监控未必做得比别处好，但保安人员勤恳用心，帮找车位，帮拎重物，帮关窗户，迎来送往，做了许多本应该物业做的事情，加上出了盗抢碰擦事件即刻处理马上通告，给大家的感觉就是安全。信息安全同样的道理。严格拼技术，360也许并非翘楚，但它能让软件做得简单、直观、易用、有效，用这样的产品思维去做企业市场，是否会挂起一股化繁就简之风？互联网时代的产品经理需有强烈的用户感触和艺术直觉，用户体验往往是第一要务。传统安全厂商要学学了，让用户有安全感，而非让用户使用安全，能做到吗？此外，正因为安全的关键是要有“感觉”，感觉的东西往往又不是标准化的产品能做到的，个性化，差异化，易变性，服务化，这些都是要达成“安全感”所必须的，纯软件或硬件很难再一招鲜了，软件即服务，硬件即服务，归根到底，是要安全即服务。
最后，再来看看产业发展的归宿，或者说可能的方向吧。
在传统安全思维里，信息安全根本就是舶来品，法律是援引参照的，标准是等同采用的，技术是学习吸收的，产品是拿来主义的，我们的信息安全业界，基本上只需要紧盯着国外技术和产业发展即可。从这一点看，此前的互联网发展简直如出一辙。不过，随着国内互联网市场涌现诸多独特甚至原创元素，随着阿里巴巴、百度、腾讯等千亿级互联网大佬开始形成国际影响力，我们的互联网产业开始一轮真正意义上的创新发展。相比照的，在互联网思维影响下的信息安全产业，应该能够发现前所未有的全新空间，也许，我们不必一门心思盯着硅谷，我们只要能真正呼吸到市场反馈的新鲜空气，把握互联网的脉搏，让创新之火燎原，也许未来就是走出去而非引进来了。
说到这里可以归纳一下了，传统安全思维，相比互联网安全思维，从封闭到开放，从专家化到平民化，从合规驱动到业务驱动，从产品导向到用户导向，从标准化到差异化，从安全即产品到安全即服务，从引进来到走出去，也许将决定着未来信息安全产业全新甚至颠覆性的发展。
其实，细究起来，互联网思维本质上和这张网没有必然关系，其根本就是事物发展的一般规律，只不过因为互联网开放、自由、共享、变化等特性，决定了很多社会经济的发展在表现形式上搭了这趟顺风车。回过头又要说360，尽管我钦佩周鸿祎，但我并非其拥趸，尽管360挺进企业安全市场掀起波澜，但并不意味着他必胜。就好像很多人都讲互联网思维，甚至很多人做的就是互联网，但大浪淘沙后，成功者仍屈指可数。相信号角吹响时，睡狮总会警醒，无论是否认同所谓互联网思维，只要保持开放心态，始终以用户体验为己任，并且紧紧抓住时代脉搏，睡着的狮子也是狮子。
到底是互联网公司挑翻传统安全？还是传统安全注入互联网基因？抑或互联互通交相辉映？
等着看一场大戏吧。