2014-16年，本怪盗团团长拜访过北京几乎所有的网络安全行业的上市公司，它们分布在从中关村到西二旗的广袤土地上。这些公司的业务往往很复杂，很难看懂，尤其是对于非技术出身的投资人来说；可是投资人就是喜欢。那几年，软件是资本市场最热门的行业，网络安全又是软件行业最热门的细分领域。

只要上市公司的主营业务包括网络安全，那么门口永远会停着投资者调研的大巴，会议室也永远爆满，大家竖着耳朵、如饥似渴地聆听着各种半懂不懂的术语（其中也包括团长本人）。“自主安全可控”是A股信息技术行业永恒的主题，而“安全”则是这个主题的核心。无论是自主还是可控，归根结底都是为了安全。

彼时彼刻，没有人认为腾讯、阿里这样的互联网公司也会从事网络安全业务。市场上存在着360这样的“互联网+安全”公司，不过仍然是少数。当时大部分人认为网络安全是纯粹的软件生意；尤其是面向企业客户的网络安全，就像一个特殊的小圈子，不会有外人进来——短短五六年之内，上述论点就被彻底推翻了。现在情况完全不一样了。

在我看来，过去二十年，中国网络安全行业经历了既壮阔又曲折的发展史，它可以划分为三个或四个时代。绝大部分移动互联网用户都只剩下最后一个时代的记忆了，但是前面几个时代确实存在过，而且非常引人入胜，甚至热血沸腾。

并不蛮荒的上古时代

王江民，出生于1951年，从小患有脊髓灰质炎，导致腿部残障。从20岁到38岁，他在老家烟台的一家街道工厂当技术工人。1988年，他开始学习计算机编程。因为早期计算机病毒太多，他决定自己动手开发杀毒软件。一开始，他把自己开发的杀毒代码公开发表在报刊上，但是代码很快变得太多太长，只能打包做成软件出售——最早的版本叫KV6（意味着能查杀6种病毒），最早的商业化版本叫KV100，然后是KV200、KV300……

1996年，“北京江民新技术公司”成立的第一个星期，KV300就取得了150万人民币的销售额；那是1996年的150万人民币。据说，王江民第一天到中关村，坐的是黄色“面的”；他很快就再也不用坐“面的”了。鼎盛时期的江民公司是中关村最赚钱、规模最大的软件公司之一，只有距离不远的瑞星公司能够与之相提并论。

1999年，瑞星杀毒软件的每月正版销量超过了10万套；2001年初，瑞星的正版软件用户突破了600万人。在那个盗版横行的年代，即便是每台电脑必备的Windows操作系统，在国内的正版用户也不过是这个数量级罢了。

这就是中国网络安全行业的上古时代，即从1990年代开始的单机及局域网时代。当时互联网还不普及，安全需求的主流是防范和查杀病毒，产品形态的主流是杀毒软件，商业模式的主流是按License付费。B端和C端的需求尚未明显分化，在个人电脑和企业内网上流行的都是瑞星、江民、卡巴斯基。

在2000年代初的大学男生宿舍流传着一个段子：“如果有女生让你帮忙装电脑，你要是不喜欢她，就给她装瑞星；要是喜欢她，就给她装卡巴斯基。”因为瑞星安装之后就不用再管了，方便省事；卡巴斯基虽然防护能力更强，但是需要频繁更新，所以能创造更多去女生宿舍的机会。不过，我读书的时候既没有帮女生装过瑞星，也没有帮女生装过卡巴斯基，无从验证这个段子的真实性。

在这个阶段，安全厂商可能是整个中国软件行业过得最滋润的——虽然杀毒软件也有盗版，但是很多个人用户还是愿意花钱保平安，企业、政府也有大笔的信息安全采购预算。安全行业就像是程序员的伊甸园，在这里可以依靠写软件、卖软件而实现财务自由。显然，如果王江民当初自学编程之后，决定去做个办公软件或游戏软件，他很可能会一直在中关村打“面的”出行。

正统老派的程序员至今仍会怀念这个时代——遥远、原始但是并不蛮荒的上古时代，网络安全是中国软件行业的核心和收入担当，制造了一大批财富神话。随着互联网的普及，网络安全形势更加复杂，并且远远超过了查杀病毒的范畴；这似乎是又一个伟大的增长机会，那些已经赚得盆满钵满的杀毒软件巨头可以从胜利走到胜利。直到一个圈外人突然闯入，简单粗暴地将一切打碎在地。

重新洗牌的中古时代

2008年7月，360推出的免费杀毒软件正式发布。360究竟是不是中国第一个“免费网络安全软件”，这一点一直存在争议；不过，360彻底改变了网络安全市场的格局，这一点是毫无争议的。360的老大周鸿祎也是程序员出身，但是从创立3721到执掌雅虎中国，他的经历背景早已“互联网化”了。

360开创了“羊毛出在猪身上”的免费模式，把C端信息安全从卖License的“软件生意”变成了卖流量的“互联网生意”；这不啻于对传统“软件思维”的降维打击。从此开始，瑞星、江民、金山毒霸等传统C端安全厂商的市场份额急剧萎缩，360很快取得绝对的霸主地位；腾讯、百度也纷纷推出安全套件，以免费模式大举蚕食C端网络安全市场。这个软件行业曾经的“伊甸园”，在互联网行业野蛮人的入侵之下，甚至来不及做出像样的抵抗。

2010年，中国第一代网络安全领军人物王江民因病逝世。2011年，奇虎360在纽交所上市，周鸿祎在短短三年内积累的财富，已经超过了上古时代网络安全大佬们的总和。这是一个世代更替的象征，更是商业模式彻底转变的象征——网络安全进入了“互联网时代”，用户需求主要来自应对来自互联网的各种安全隐患，而C端的变现途径也从“卖License”转变为了“免费，然后卖流量”。

（360以一己之力，把网络安全拉进了互联网时代）

虽然免费安全软件席卷了C端，但是在B端又是另一番景象：企业及政府客户对信息安全的需求已经与个人用户非常不同了，互联网时代层出不穷的攻击手段又进一步抬高了B端信息安全的门槛。启明星辰、绿盟科技、深信服等企业安全软件商，恰恰在这一时期取得了快速发展。360也开发了企业安全解决方案，但是在这里它只是一家重要厂商，远远谈不上称霸市场；其他互联网玩家则普遍没有进入企业安全市场。

简而言之，在这个时期，网络安全行业在C端和B端出现了显著分化：前者变成了一种基于流量的互联网生意，后者则仍然是典型的软件生意，两者的交集不是很大。C端安全逐渐演变为“赢家通吃”的游戏，几个互联网公司占据了大部分市场；B端安全则处于群雄割据的状态，营业收入达到十几亿或几十亿人民币就已经堪称一方诸侯了。A股上市的“网络安全概念板块”多达70余家公司，其中真正拥有网络安全业务收入的就不下50家。

在2015年的A股大牛市当中，我一度产生了“拜访所有网络安全上市公司”的计划。我马不停蹄地跑了很多地方，跟数以百计的国内外机构投资者分享拥挤的会议室，如饥似渴地写下长长的调研纪要——可是拼死拼活也只拜访了大约三十家公司。研究这些公司很累，因为它们大部分聚焦于少数行业或地域的客户，业务非常垂直，不太具备可拓展性。与隔壁C端安全市场的马太效应、赢家通吃比起来，B端安全市场好像变成了一个世外桃源，可以有滋有味地过自己的小日子，只是有点缺乏**而已。

真的是这样吗？我有一种预感，这种局面不可能长期持续下去——在技术和商业模式不断进步的互联网时代，任何“世外桃源”都不可能独善其身。但是，当时的我不可能知道这种局面将如何结束；没有人能未卜先知。

再度融合：新时代悄无声息地降临

2017年，我在成都参加腾讯战略合作伙伴大会。在“腾讯云”的分会场，演讲嘉宾不停地提到“平台原生”的网络安全体系，以及这种体系能够如何替代企业原有的网络安全配置。坐在我身后的一个企业IT人员困惑地嘟哝：“有没有搞错？他们真的相信自己讲的东西吗？”

我侧过身问他：“怎么，你不相信吗？”

“让互联网公司负责网络安全？缩减自己的网络安全团队，把安全都搬到公有云上去？想想就觉得不可能啊。”他咬着圆珠笔，陷入了沉思。又过了好一会，他又开口了：“不过，我们已经看到太多不可能的事情发生了，所以……”

三年之后，“不可能”的事情已经成为了一种流行的标配。现在，规模最大的网络安全公司确实变成了腾讯、阿里，或许再加上华为。360仍然位于第一梯队，但是它的主要增长来源已经变成了企业及政府客户（还没算上从中拆分出来的奇安信，那是一家纯粹的To B公司）。互联网公司不遗余力地强调着“产业互联网”或者“To B互联网”的概念，希望企业客户成为下一个增长引擎；在这个过程中，云计算是最重要的驱动力，而网络安全则是云计算最重要的配置之一。

由此进入了网络安全的第三个时代，可以称之为“现代”：它是移动互联网和云计算的时代，也是B端和C端网络安全开始再度融合的时代。让我们简单回顾一下这个时代已经出现和正在出现的演变趋势：

• 移动智能设备的崛起，使得C端安全软件变成了一种纯粹的“工具”，其用户黏性和导流效率大幅降低。况且，iOS设备以及高端安卓设备自身的安全防护能力已经比较强了；在PC端，Windows操作系统自带的防火墙和杀毒套装也日益完善。虽然C端安全需求还是存在的，但是战略价值和商业价值已经比较有限。腾讯、阿里、360、猎豹等互联网公司已经基本瓜分了这个市场。

• 云计算尤其是公有云的崛起，使得安全防范的主要任务从客户端转移到了云端。例如，当我们使用文档分享平台时，文档的安全性几乎完全取决于云端，与我们的PC或智能手机的安全部署关系不大。随着5G的流行、宽带网速的进一步提升，越来越多的存储和计算功能被搬到云端，由企业级的云安全厂商负责。从这个角度讲，B端和C端的安全需求融合了。

• 与此同时，腾讯、阿里已经在云计算方面取得了巨大的优势，成为国内最大的公有云服务商。它们将向自己的云计算客户提供一整套B端安全解决方案，就像它们同时在个人设备上提供C端安全产品一样。从这个角度讲，B端和C端的安全供应也融合了，均由互联网公司提供。

事实上，进入移动互联网时代以后，绝大部分个人用户的信息安全，本来就取决于互联网公司的“云端安全”，无论他们自己有没有注意到这一点：

• 在PC时代（尤其是2000年代早期），QQ盗号软件、QQ尾巴层出不穷，你的QQ好友可能在一夜之间就被黑产攻下来了。MSN的聊天信息甚至是明文传输的，用不着破译。而在移动时代，微信、手机QQ的个人信息是非常安全的，在云端攻破的难度趋于无穷大，在手机端通过钓鱼软件攻破也很困难。

• 我们日常使用的微信、支付宝扫码支付功能，每次都在传递自己的银行卡信息；理论上，如果这个信息被窃取，后果将不堪设想。事实上，这样的信息窃取极少发生。我们在头部APP上绑卡的时候，除了觉得有点麻烦，大概不会有什么真正的安全顾虑。

• 在疫情期间，我们的出行高度依赖各地推出的健康码，这些健康码大多是通过微信小程序运作的。每次你扫码、填写出行记录，就意味着将个人信息上传到了微信后台，再汇总到本地防疫部门。在大部分情况下你都不会反对，因为你潜意识里知道这很安全。

无论我们有没有安装个人安全软件，无论我们使用的是免费版还是付费版，我们的信息安全事实上主要都取决于云端。这个过程还在持续——随着云办公、云文档、云游戏等概念的不断落实，我们手中的智能设备总有一天要“空心化”，变成一个纯粹的展示平台。对于企业和政府而言，或许也是如此。

Gartner于2019年提出了“云原生安全”的概念：云端数据和业务的安全，应该作为一项基础能力，由公有云服务商提供给客户。换句话说，网络安全的使命将由公有云服务商一并负责，而不是由B端客户另外找人负责。当然，为了维持本地数据和企业内网的安全，企业和政府机关还是需要维持一定程度的本地安全体系；但是这个安全体系可以大幅度简化，对人力物力的需求大幅降低。

传说结束了，历史刚刚开始

打一个比方——传统的B端网络安全体系，就像是以高射炮和近程导弹为主体的防空系统，绝大部分防空设施放在本地，策略是“在敌机飞到我方目标上空时，予以驱逐或击落”；云原生的网络安全体系，则像是以卫星、天基导弹和远程导弹为主体的“星球大战防御系统”，本地防空大幅简化，策略是“根本不让敌机或敌方导弹飞过来，甚至在它们起飞初期就予以解决”。后一种安全体系能够从根本上解决问题，但是也对云服务商的技术能力提出了极高的要求。

既然本地防空体系已经大幅简化，那么你就要保证敌机飞不过来；否则，就算只有几架漏网之鱼出现，后果也是很难想象的。这样的任务，对于中小型的云服务商来说，实在太重了；对于头部云服务商来说，则是可以做到的。例如，在疫情期间一跃成为远程办公头号应用的腾讯会议，就采用了完全内置的云原生安全体系；在用户体量迅猛增长的过程中（目前注册用户已经过亿），这套安全体系很好地胜任了激增的安全需求。

我认为，在“云原生安全”的时代，网络安全行业的面貌会被彻底改造，云厂商会成为最主要的服务集成商，在云原生安全的体系下，PaaS、SaaS将会为传统安全厂商带来新的机会，更高程度的标准化将会让整个安全行业的人效比得到质提升——这是传统安全厂商目前面临的最大的痛点之一。