文 | 產業家 斗斗

編輯 | 皮爺

5G、物聯網、AI、云計算等技術的應用，讓生產、服務過程加速數字化、云化。

但哪里有利益，哪里就有壞人盯著。一組數據是，國內大中型企業在過去一年內因信息安全事件平均每家損失達240萬美元。而每年計算機及網絡犯罪活動帶來的損失超過4450億美元。

產業數字化在創造巨大價值的同時，數據安全、網絡安全、主機安全，就成為保護價值的堡壘。但值得注意的是，網絡安全人才缺口正在越來越大。

相關數據顯示，2021年，網絡安全人才缺口達140萬人，預計2027年缺口將進一步擴大到300萬人。“網絡安全人才十分稀缺，而每年網絡安全相關專業的高校畢業生規模僅兩萬余人。”一位業內人士說道。

此外，大型企業安全解決方案都以本地化部署為主，但本地安裝的傳統安全解決方案既費時又費錢，維護費用也高，從幾百萬到幾千萬甚至更多。這筆費用對于大型企業而言或許并不吃力，但對于一些預算有限的中小型企業，即使有意向安裝，卻也是有心無力。

SaaS正在打破這種固有的本地化安全部署架構。

一個例子是，某企業在自己網絡中安裝了SECaaS（安全即服務）產品，首先其安全警報數量直線下降，只有之前的1/100。其次，隨著業務的增長，該企業安全需求擴大，而訂閱式的付費方式，讓企業可以隨時隨地按需要購買安全配置。且SECaaS使得該企業不再需要安全部門，縮減了人力成本。

而這就是安全輕量化，即SaaS化最直接的體現。在企業客戶的需求之下，安全的輕量化已經逐漸成為未來的一個發展趨勢。

據中國信通院發布《中國網絡安全產業白皮書》，安全即服務（SECaaS）被稱為未來最有發展潛力的網絡安全新技術/新理念之一。

一個預測是，當安全SaaS規模化發展之后，安全SaaS廠商也將重塑目前的競爭格局，帶來一些新的商業模式。

因為安全解決方案，十分考驗廠商的PaaS能力，每一次安全解決方案的本地化部署，都要重復造輪子，導致系統越來越沉重。管理起來也痛苦，但如果安全解決方案以SaaS的形式進行服務，廠商可以實現降本增效，解放更多的人力、物力、財力。

另外，隨著安全解決方案市場參與者數量的增加，供應商越來越難以脫穎而出，而通過專注于SaaS安全解決方案，廠商可以利用其現有又是并從競爭對手中脫穎而出。

總體而言，無論是對企業客戶、安全解決方案提供商，還是整個產業數字化而言，安全SaaS的價值正在被逐漸放大。

但目前來看，安全SaaS想要真正實現全面推廣并不簡單。

一、安全SaaS，叫好不叫座

安全SaaS本質上是將安全以SaaS的形式進行交付，并非是為SaaS產品提供安全服務。前者交付形式是訂閱制，而后者還包括本地化交付形式；在產品形態上，前者是軟件，后者則包括軟、硬件。

在國內，很多廠商在這一方面都有所布局。目前，主要分為三大陣營。

一是以阿里云、騰訊云、華為云等為代表的這個云計算廠商。其優勢在于基礎設施——云，以及豐富的客戶。

例如，阿里云上的客戶，數量大，且基礎設施托管在阿里云，本身就需要云清洗、云WAF、云掃描的服務，阿里叫做“云盾”系列就是主要指的這幾個產品。從資源的成本角度，以及獲客成本角度，云巨頭做SaaS安全產品具備天然的優勢。

但云廠商一般專于公有云等整體的云安全，打造解決方案，在更加具體、細分的安全領域并未深耕。

二是以聯通云、移動云、天翼云為代表的運營商；優勢是網。由于運營商國內就那么幾家，本身帶寬的基礎設施就遍布全國，且傳統政企客戶上云后也往往上運營商的云機房，順帶在賣計算和帶寬資源的同時，提供安全SaaS服務，獲客成本低，能起量。

值得注意的是，運營商的這類服務的建設模式，往往通過采購安全廠商的設備和服務來實現安全云的建設。因為運營商采購量巨大，入圍的廠商多，價格低，因此也能夠迅速以低成本的方式建設“安全云”。比如國內電信“云堤”、聯通“云盾”、以及移動公有云系列，都是這個模式。

與云廠商類似，雖然運營商有著基礎設施帶來的優勢，但目前來看，其主要圍繞DDoS攻擊防護，打造SaaS解決方案。在其他細分領域發展的并不是特別成熟。

三則是以新華三、奇安信、360安全、微步在線、綠盟、青藤云安全等為代表的專業安全廠商。這其中有一部分是由原來傳統的網絡安全廠商轉型而來。這類廠商專業性更強、行業經驗積累更多，一部分廠商還可以為企業提供更加個性化的服務。

但由于沒有現成的網絡和計算基礎設施資源，也沒有現成的成批量的客戶，獲客成本較高。所以這類廠商的營收與云廠商、運營商相比，較低。目前比較能成規模的，主要是做監管單位，比如網監、通管局、政府等。這些監管單位本身下面的子單位就非常多，信息系統也很多，搞定監管部門，一次性就可以大量獲客。

可以發現，其實各個布局安全SaaS的廠商，商業模式都類似于“主產品+安全SaaS”。在這種模式下，安全SaaS往往無法作為一個單獨產品或者一種單獨的服務進行交付，而是成為類似于“買一贈一”的綁定服務或產品。

“目前的安全SaaS的商業模式，更多是廠商圍繞自身業務，疊加安全的SaaS化能力。”在與新華三安全產品線研發副總裁韓小平的談話中，其表達了類似的觀點。

除此之外，在客戶體量方面，韓小平認為，單拿安全SaaS來看，客戶群體并不大。

在與微步在線技術合伙人黃雅芳的對話中，也證實了這一點。“目前，不管是獨立的安全廠商還是大型的綜合型廠商，安全SaaS訂閱業務真正能占據一定比例的很少。”

站在當下來看，雖然目前國內有諸多廠商都有能力打造安全SaaS，且都在布局安全SaaS，但似乎叫好不叫座。

二、本地化到SaaS化的困局

安全SaaS化，安全常常面臨諸多挑戰。首先，安全SaaS產品與用戶群體之間似乎存在著需求“悖論”。

從安全SaaS的產品特點來看，中小微企業是其主要的“落腳點”。然而，國內大部分的中小微企業數字化水平并不高。部分數據顯示，國內小微企業數字化滲透率僅為10%。小微企業更甚，這類規模的企業，員工可能僅有十幾個人，或者更少。對企業安全需求并不高嗎，或者企業安全根本不是剛需。

即使有些中型企業有一些網絡安全的意識，但由于企業內部業務、數據并不涉及企業機密，表現的也比較佛系。這種心態的企業并不少見。

“很多中小微企業只有在遭受攻擊時，才會象征性的買一些安全產品，做應急處理，但當產品部署成功，可能已經時過境遷了。”韓小平認為單以目前中小微企業的需求來看，很難觸達。

所以，企業在“非剛需”和“佛系”的作用下，自然不會花錢去買一個安全產品。于是，需求無法滿足用戶，矛盾點也逐漸顯現。

站在當下來看，在安全SaaS這個領域，中小企業的市場大門尚未敞開。

其次，SaaS安全解決方案通常被設計為具有靈活性和可擴展性，但在國內市場的商業環境中，企業定制化需求較高，其可能無法提供某些組織所需的定制級別。尤其是對于具有獨特安全需求或特定合規性要求的組織來說，這可能是個問題。

加之SaaS安全化意味著需要將SaaS安全解決方案與現有IT系統集成。組織可能需要修改其IT架構以適應新的解決方案，這是一個巨大的工程，需要大量的資金和時間，對于大型企業而言都很難決斷，更何況中小企業。

另外，安全SaaS模式還存在與廠商鎖定的風險。例如，一旦企業部署了某廠商的安全SaaS，切換到不同的廠商可能會很困難且成本很高。這可能會限制組織利用新安全技術的能力，并可能使協商有利的定價或合同條款變得更加困難。

一個更為重要的點是，想要實現安全SaaS化的大規模應用，數據政策是決定性因素。

“其實我們看到的情況不是企業不接受安全SaaS化，技術人員能意識到SaaS化產品帶來的技術優勢，但往往受限于企業自身或者是行業有一些監管上的要求。”黃雅芳認為數據不能出網等，是決定企業能否接受安全云化的核心關鍵。

下層基礎決定上層建筑，這道數據政策的閥門，擋住了大部分企業安全轉型的路。

總體而言，從產品本身的用戶群體選定、到客戶的轉型意識，再到整個宏觀的網絡安全大環境來看，用SaaS的模式做安全，仍有許多發展瓶頸。

但在一些頭部安全廠商的具體布局中，已經可以看到一些安全SaaS未來發展的趨勢。

三、尋找安全SaaS化路徑

新華三的立體化、微步在線錨定央企、360企業安全云面向中小微企業免費開放......安全廠商似乎都在以自身的優勢，走出了不一樣的發展路徑。

對于客戶而言，購買單一的安全SaaS產品，價值不大。”韓小平對產業家說，企業需要一個立體的防護方案。

所謂“立體化”，就是安全SaaS能力與本地化產品或解決方案進行搭配、整合。例如，新華三與運營商合作推出的安全大腦的解決方案，通過在本地部署安全網關，把這些安全網關的數據上傳到云端的這個安全大腦，實現海量設備的安全管理。同時，區別于傳統的SaaS能力僅能防護外網暴露面，新華三安全大腦方案，通過云端和本地網關建立加密隧道實現云端的各類SaaS能力對用戶內網資產進行掃描、檢測、防護，結合本地防護設備打造立體化防御體系。

目前，新華三針對這項業務與三大運營商都推進了合作，專線的用戶數已經達到了10萬加的規模，安全運營服務的平均在線用戶數有7萬家。

可以發現，而這種安全SaaS能力與本地化產品的整合，將會把安全SaaS在具體場景應用中優勢放大，達到1+1＞2的效果。

事實上，安全SaaS化的終極目標是幫助企業解決業務問題。

正如黃雅芳所言：“是不是實際解決了業務問題，是不是讓客戶更多精力聚焦在業務上。”她認為這就是客戶評定安全SaaS好壞的標準。

從安全SaaS這個模式在國內興起開始，微步就是國內較早推行安全SaaS的安全廠商，屬于安全SaaS領域的佼佼者。也正是因為這種特性，其更專注于打造安全SaaS的產品應用。

“我們當時推出互聯網安全接入服務產品OneDNS做了一些預判，OneDNS這種SaaS輕量化的產品應該是中小企業更喜歡，但最后發現，實際上不管是接入網后面的人數還是付的錢數，最終金融、央企用戶變成大多數。”黃雅芳對產業家說，“第一家簽約客戶也是央企，跟我們的想象有點不太一樣。”

一個數據是，過去7年，微步在線的大客戶續約率一直維持在98%以上。

通過微步在線的產品實踐來看，SaaS化意識正在不斷滲透大型企業，大型企業對安全SaaS的認可度逐漸提升。

比起數字化程度較高大型企業，對于數字化程度較低的小型企業來說，安全SaaS的滲透速度較為艱難。

因此，也有一些企業想改變以往的SaaS的銷售模式。

2022年3月7日，周鴻祎宣布推出“360企業安全云”，面向中小微企業免費開放。對外宣稱將發放“數字大紅包”，讓中小微企業免費逛360SaaS商店，幫扶中小微企業數字化轉型。

此消息一出，安全SaaS領域一片嘩然。眾所周知，SaaS是以訂閱付費模式，幫助客戶成功，尋求長期主義下的持續盈利。而周鴻祎這一做法，在當時看來顯然有一種要“革TOB廠商的命”的感覺，很可能傷及友商。

但就目前來看，該產品以交付門檻低、配置要求低、技術難度低、操作難度低、使用成本低的優勢，觸達了中小微企業的需求，服務的終端規模已經超2000萬，中小微數字安全領域服務規模第一。而通過這一打法，360安全或將打開中小微企業市場安全SaaS的大門。

總體來看，各個廠商的切入角度不同，無論是一體化、還是以業務為中心專攻政企或金融客戶，還是針對中小微企業市場推出免費產品，都可能成為未來安全SaaS規模化的發展路徑。格局未定，一切皆有可能。

根據《2022中國SaaS市場研究及選型評估報告》顯示，2022年中國信息安全類SaaS市場規模達42.5億元，近五年復合增長率達33.9%。

雖然安全SaaS市場規模在高速增長，但整體來看，市場規模明顯較低。國內安全SaaS市場雖有，但不多。

但在TOB這個注重長期主義的領域，更需要看見未來，隨著“全民上云”的浪潮愈發洶涌，安全SaaS也許會成為新的“明星賽道”。