谈企业网络安全类产品设计与运营

版权声明

首发个人公众号“十间集”

无需授权即可转载，甚至无需保留以上版权声明；

转载时请务必注明作者。

（网络）谈企业网络安全类产品设计与运营

产品设计自然会有产品设计自有的方法论体系。产品运营就是，通过产品“媒介”连接用户需求，从而产生商业价值。先从市场需求的角度入手进行思考，在一个市场之中，或者说在一个产业链之中有很多的点是可以产生价值的，在这里面肯定有大众比较集中看好的，比如说现在数字货币市场，媒体新闻上天天报道是比特币价格又下跌了，谁又一夜暴富了，作为一个普通人怎么才能参与到这场巨大的变革之中，其实仔细思考一下就会知道在这个行业之中其实有很多可以盈利的商业模式比如说：数字货币投资，媒体资讯，数字货币通识教育，交易所，代币发行，甚至细分到每一个业务之中又有很多可以进行做的事情，单纯对于数字货币投资这块的业务我们就可以看到，有ICO项目筛选，代投，代码审核，白皮书代写，通识教育，行情分析……，所以需求这个东西从不同的维度来看的话，有着不同的理解，正所谓“横看成岭侧成峰，远近高低各不同。”。

所以我们可以这么地说，同样的一个市场，不同的人看到的用户需求是不一样的。而我们所要思考的可能更多的就是抽象需求，我们可以叫做“元需求”（需求的需求即需求的本质，是每个人都必须要锻炼需求的理解能力）。因此我们首先需要进行思考的就是用户（客户）的需求，要想满足用户（客户）的需求我们可能需要从3个层次来思考这样的问题：

我们面对是用户（客户）是谁？

他们有什么样的需求？

我们用什么满足他的需求？

一、需要看清的用户(客户)

目前来看网络安全市场还是传统的IT行业，主要面向的是2B的业务，2B的业务主要就是为政府部门以及企业解决信息化发展过程之中面临的信息整合，信息化管理的问题，网络安全CyberSecurity主要解决的就是网络安全的问题。传统IT行业多数情况下以“客户”为第一，正所谓的“客户导向”。因为，用户在这个生态之中仅仅是系统的使用者，所以这样的企业一般不怎么重视产品的使用体验。多数开发企业需求的设计与开发都是一个人来完成的，需求也是管理者提出来的，往往只要满足业务流程与需求管理就可以了。

网络安全产品与互联网产品之间用户需求的异同：

相同点：不管是传统的IT（面向企业的网络安全产品），还是互联网产品用户规模都是重要指标，因为用户规模决定产品的业务规模，同时决定了产品的成熟度。

不同点：互联网时代特别是移动互联网时代，智能终端对设备交互与体验性要求很高；传统IT行业对用户的要求没有太多的发言权。

比如说，现有的网络安全产品我们更多的注重的是产品的功能性，厂商（包括客户）现在还是停留在注重安全产品安全特征的丰富度，产品实效性，我给它定义为“网络安全产品1.0时代”。

在互联网时代，从商业层面来讲“用户与客户一样重要”

Sangfor的安全产品理念就是“简单，高效，安全”，所以Sangfor的产品在第一个层面就考虑了用户的重要性，因为对于所有的客户来说，拥有一款能够解决安全问题的产品是最迫切的需求，但是对于使用者来讲，能够做到简单、高效的运维同样重要，对于一些特殊的群体甚至需要考虑到产品使用交互与人认知过程的协调统一。

从注重客户到注重用户的一个非常重要的例子就是现在的安全云化。比如说Sangfor现在SAAS云服务，因为对于任何的客户来说，购买一款优秀的安全防御产品不是一件难的事情，但是从用户的使用角度来看的话，并不是所有的客户的决策者就是安全产品的真正用户，也并不是所有的客户都有安全运维能力来使用专业的安全防护设备。但是随着云计算基数的发展，安全云SAAS服务可以解决用户安全运维能力不足的问题，这样可以大大减少用户的运维的压力，加上丰富的安全报表的可以方面客户决策层面进行整体安全把握，解决了客户的痛点。

在不同的阶段，客户与用户的需求侧重点也是不一样的。比如说在SAAS云服务推广的前期，为了抢占用户与市场，我们往往会以客户的决策层的需求作为第一满足的要点，比如说：满足网络安全监管的需求，在第一时间获取安全预警信息。在解决决策层问题之后，接下来开始满足用户的需求，比如说适当地增加安全自动化运维，增加完善报表功能等。

使用者与利益相关方的统一。

企业安全产品市场涉及到国家安全层面，以及社会治理。所以我们在做企业安全产品市市场的时候需要考虑利益相关方。比如说一款简单的上网行为管理产品可以解决一个单位上网记录与审计的问题，但是我们讲网络安全要讲的是社会资源的利用，与社会治理。从国家层面利益出发，任何的主管单位都是需要对管理部门的做到综合宏观监管，甚至做到控制。比如说一个地区的教育厅，需要对当地的各个高校的网络安全做到综合监控，甚至一览无余。我们产品能不能针对监管部门进行专门的开发与定制，比如说我们的上网行为管理产品有专门的对接网安的版本，直接在产品上不需要进行二次定制开发配置就可以实现满足监管部门的对接需求。

二、用户需求

找到用户之后，接下来就要找用户需求或者说用户的痛点了。

表面需求和本质需求

有时间客户直接反馈给你的不一定是他最想要的，对于某些需求也许客户只是心血来潮，偶尔提一提，即时你没有立即解决，可能过一段时间就忘记了，这不是痛点不是本质需求。举个例子：曾经很多次遇到VPN产品客户想要自主化账号申请功能，作为一个2B的企业级产品，一般是没有自助化的账号申请与维护功能的，因为在企业级别产品中，VPN产品用户不像互联网产品用户那样，用户量非常地大。经过深入地了解，我们就发现其实大部分的客户之所以想要这个功能的原因是，在企业实际经营中会有一些临时性的VPN账号产生，这些账号的管理与登记过程非常地麻烦，客户仅仅是想要解决账号申请、备案麻烦的问题，虽然与VPN本身产品有关联，但是这个过程VPN产品所占据的因素不大。经过沟通最终通过客户内部的工作流程序,开放我们的标准化VPN接口实现了整个账号工单的申请、审批流程，满足了客户的需求，减少了产品二次开发的成本。

传统的IT产品跟互联网产品在需求响应上还是有区别的，互联网+产品的本质是刚需、高频、迭代所以对产品需求的变更要求更高。

表面需求和潜在需求

有些需求，在跟客户进行交流的过程之中，他们提出来的可能只是表面的需求，有很多的潜在的需求是不会说出来的。举例说明，对于一个刚刚完成合并的集团企业，表面上的需求是把各个烟囱式的系统集中起来打通，然后进行安全建设与统一管控，但是本质的需求是什么是权利的搜集与数据的集中管控。试想，如果分支单位的网络管理员可以随意地修改物料系统数据库之中的数据，损失可是切实的真金白银。

市场上刚刚兴起来的态势感知产品，表面上是解决了网络中安全问题的预警，但是那超级炫的大屏展示难道不是满足了某些领导的成就感？所以我们在产品之中适当地设计与添加一些满足客户与用户潜在需求的元素也是产品之中需要考虑的要素。

用户反馈需要筛选

产品的改进在很大程度上依赖于用户的反馈，但是在实践的角度上来看的话，用户的负面的反馈还是需要进行筛选与甄别。举个例子，我们的NGAF产品不能进行双向代理，在部分没有内网DNS的用户环境下会出现内网用户访问内网IP受拦截的问题。这个问题曾经向研发部门提过很多次，但是研发没有进行修改，因为什么，因为内部没有DNS服务器的用户还是少数，即时没有也是可以很快地搭建完成，所以这个功能缺陷不能成为产品的致命点。当然随着产品的改进，这个功能缺陷会逐渐地完善。

三、满足需求

颠覆式技术满足本质需求

有些问题也许只能等待新科技的出现才可以解决。案例：在CyberSecurity中，访问控制是非常重要的一部分，我们知道访问控制要满足三个要点，完整性，机密性，隐私性。我们知道在企业安全建设中KPI是不可缺少的一部分，但是是KPI体系肯定要有中心化分发授权秘钥的服务器，这就成为了整个KPI体系之中的脆弱点。按照常规的思路来看呢，这个是一个解决不了的问题，但是随着科技的发展，我们知道最近火爆的“Blckchain”技术可以解决去中心化的共识问题，不需要中心节点就可以实现节点之间的授权与认证，在某种程度上为目前的KPI系统提供了一种解决思路。

但是，不同的企业在产品思路上可能不一样，有些企业喜欢做从到1的事情，有些企业却擅长做从1到100的事情。

不断迭代，创作精品化产品

现在不管是传统的IT企业还是互联网企业都是讲究快速迭代，不断创新。当然也有各种方法论帮助大家去做事情，比如说“精益创业”，“敏捷开发”等等。一开始不一定做的很好，但是至少可以拿到市场上进行检验，最初的版本可以解决是最基本的核心的诉求。Sangfor的安全态势感知产品就是这么来的，团队开始只是一个这样的想法，然后开始快速开发出来一个原型，拿去市场进行检验，经过市场的检验，效果反应很好有2000多万的商机积累，于是就投入更多的人力进行开发，产品迅速推广开来。

不断迭代的思路可以让自己迈出来第一步，经过市场的验证，才会有更多的机会往下走。

按照目前现在的市场环境，传统的IT行业还会因为地域，时间，关系等原因影响业务，给后来者一些赶超前者的机会，但是新的互联网业务基本上是赢家统吃的，因为互联网是没有门槛的文化、地域、关系影响因素比较小。

用数据说话，而不是主观地判断

在产品体系之中有很多的量化的指标，比如说INSIDE反馈的技术指标，CTI反馈的技术指标，市场人员反馈的技术列表等。销售说需要某种功能，PM需要调研一下有多少人需要这个功能，是不是需要实地进行用户需求调研？功能满足之后可以带来多少的订单？

例子：比如说对于某个中部的省会全省的高效高职体系来说，需要某个平台对接的功能，我们需要进行判断需要的功能客户的具体的分布，并可以产生多多少商机？所以用数据说话，是产品运营之中最关键的方法。

提供API让用户创造产品

我觉的现在所有的网络安全厂商缺少开放互享的精神，俗话说：“授人以鱼不如授人以渔”，一个平台不可能自己做所有的业务，核心资源掌握在自己的手中之后，其它所有的加入这个平台的人都会帮你把这个平台做大。互联网共享经济已经发展了这么多年，网络安全行业还没有真正地被互联网+，但是Sangfor的部分产品已经开始开放API，比如说我们的上网行为管理产品有公开的API；我们的云SAAS产品也有自己的API；我们最具特色的产品BA，如果真正做了起来生态做好的话，肯定是一个伟大的数据平台。

四、总结

作为一个产品经理角色，在做产品的过程之中，慢慢地体会到2B产品与2C产品之间的区别。在当今互联网大潮流下，来说一说两种不同的模式下的差异。在互联网界是赢家通吃的，在各方巨头横霸市场的前提下，新的业务做起来缺少没有那么地容易。虽然你在某个行业精耕细作，但是那些BAT老大只要想做，流量一导迅速把你挤掉，要么被收购，要么倒闭。

做2B市场更加容易盈利，可以在很小的进步市场做好，甚至做大，因为整个商业模式的决策链很长，所以替换的成本比较高，但是2B要想真正做大，会比较慢，很难做到独家垄断的地位。

2C市场的产品对资本的依赖性比较强，市场可以快速地起来，但是盈利起来比较地慢。

十间集

About Me

十间集致力于从心智成长的角度谈个人管理，利用心智与时间 做朋友，理解GTD的意义，进而用心智开启自己的人生成功之旅。

输入：“十分钟”，一篇文章推送：“十分钟阅读”

输入：“财富”，系列文章推送，“通往财富自由之路”

输入：“技能”，系列文章推送，“人生元编程”

输入：“学习”，系列文章推送，“元认知学习”

作者简介：

Lynn，想能成为一名纯粹的布道者,行动与志向一直在路上…… 心性不改，还“在路上”！还需要“新生”！

感谢大家去关注个人十间集公众号，十间集致力于从心智成长的角度谈个人管理，利用心智与时间 做朋友，理解GTD的意义，进而用心智开启自己的人生成功之旅。

微信：yes_2Bhappy