近日,中经网《财经对话》演播室邀请到北极光风险投资基金董事总经理邓锋先生,进行了一场互联网安全与创业投资的对话。安全牛经编辑整理后从中提取了精华部分(有所删改),内容如下:
在互联网基础架构搭建时候,大家在美国已经意识到安全会在未来碰到很大的问题。我当时在intel公司工作,我发现更多问题来自于网络层面的信息安全。所以我就在那个时候想到,随着互联网发展,未来网络信息安全会是一个有巨大发展潜力的行业。这个事可能由创业公司来做比较合适,因为大公司还没有注意到。
整个网络行业,特别是通讯设施, 这么多年下来,已经逐渐从火热慢慢成为成熟。比如思科、华为都做的很好。但是互联网安全作为几个相对很少的几个子行业来说,却一直在蓬勃发展。
这是因为安全的技术壁垒很高,很多东西靠积累。与黑客之间的较量就像下象棋,魔高一尺道高一丈。所以如果你的防御的本领在不断提高,那你的竞争对手追你的话也就会更困难,因为你是很多积累下来的。这么多年回过头来看,这个行业还是会有很大发展,而且天花板越来越高。无论对创业还是对大公司来说,最终从商业和从整个行业可持续发展上来看这是一个很好的行业。
理论上说没有一个绝对安全的网络,因为任何一个东西都是有成本的。你要把一个网络做的很安全,就要付出很多代价,包括资金、设备的经济成本和工作效率的降低。所以实际上所谓安全网络,就是在特定的应用情况下,可能达到的最好平衡。
比如对消费者来说,保护隐私比较重要。但对企业来说,不仅仅是这一点,还有业务不能因攻击而停止。对于国家要害部门来说可能意味着存储的信息不能丢失。所以网络安全是一个大的概念,对于不同的对象,或不同的应用来说,它的定义是不一样的。所以没有一个绝对网络安全的概念。
我觉得还是很初级的状态。大家可能知道斯诺登事件提升了全世界网络安全重要性的意识。但斯诺登事件只是揭露了网络安全的一个方面,而不是网络安全的全部。
网络安全包含面很广,比如说信息战,信息战就是国与国之间的,对于信息战来说,防御未必是最好战略,威慑的战略可能更重要。
企业的问题也很严重。前一段索尼公司被攻击,有人说是攻击者是北韩一些极端民族主义者,也有的人说是恐怖分子,它不一定是代表国家利益的攻击,但却对国家的经济带来了某种程度上更大的损失。我们国家的很多企业哪怕购买了安全设备,但他不去用,或者管理不好,设置的策略不好,其实并没有很好的安全。
还有更大一块就是广大的普通人天天接触的,手机也好,电脑也好,被装了很多你不想装的东西。你的信息被人盗用,手机经常死机,电脑需要重装或者存储的文件没了。对个人来说不是说我的商业信息受到损失,而是我的个人隐私受到侵犯,我的个人电脑资源被盗用。
我们讲的互联网网络安全,包括了这几个层次。从这几个层次来看,我们国家的网络安全,其实相对来说很低。一方面从供应商来说,技术相对来说低。另一方面,企业的安全的意识,包括消费者安全的意识也比较低。还有一方面,我们的立法、执法等等都是处于初级水平。所以整个综合来看,世界上信息比较发达的国家相比我们还是初级水平。
我举两个例子。一个是著名的咨询公司Gartner,在网络安全这一项,全世界推荐出的只有几十家公司,我们只有两家中国公司在上面:一个华为一个是山石网科。另一个例子是网安市场调查公司Cybersecurity Ventures,它全世界的安全公司做了一个五百强排位,中国只有三家,而且第一名排七十几名。因此现状非常严峻。
我们现在大多都用集采,集采基本上低价中标。像这种网络安全是要有研发东西在里面,低价中标的就造成企业没有利润做研发,从而不能做出好的产品。还有一方面也挺重要,就是我们需要开放,走出去跟别人合作,包括在世界市场上竞争。
有人说我们就是要自己封闭,把我自己院子管好就行了,但这样的网络安全未必能行。举一个很现实的例子,很多计算机病毒,当它出现在世界另外一个地区的时候,如果可以先知道怎么防范,等它攻击你的时候就防住了。这其实像埃博拉病毒,它没有传到中国的时候,就可以搞清这是什么病毒,能不能做出疫苗等等。
网络攻击也好,病毒也好,都是需要全球合作的,特别是对这种企业之间和对个人之间攻击,我们绝对是需要合作,跟全球合作。你去合作了你的安全产品才做的更安全,这些都可提高中国整个计算机安全领域水平。
千人计划就是一个很好的例子。千人计划是吸引海归,但中国要做根本性的创新,则一定要有能力吸引到全世界的创新人才。不仅是创业环境,居住环境、生态环境等大环境都要做的很好,才可以吸引最优秀的人才。
其实在网络安全领域也是一样。大家不要以为网络安全就是找找黑客或者白帽子就行了,它其实是一项系统工程。所以我提到安全产品和产品安全的问题。不能说我买了安全产品使用就安全了,其实每个产品都有安全的问题。并不是说防火墙被人攻击,而是路由器被人攻击了。再有,安全不仅仅被人攻击,如果产品本身质量不好,老死机的话,你的网络能说是安全吗?
所以说整个要求的人才和对产品的概念,不是仅仅对某一个攻击能够防范,而是整个体系架构,包括大流量时候,小流量时候,各种环境下怎么接受挑战,需要的人才也是多方多面的。
创新引领,提高自己的核心竞争力。在国家层面要鼓励创新,推进行业发展。我们现在提互联网+,互联网+就是把互联网跟各行各业传统行业紧密结合起来,到时候每一个企业可能会在互联网里。
这包括很多方面。比如以前用户的都是线下,现在要往线上。再者整个网络都入驻到云里。当所有东西都跟网络相关的时候,一旦网络出了问题,可能整个业务全都要停掉,所以网络安全变的很重要。这里讲的不是某些企业,所有企业都会碰到这个问题。
这种重要性其实对网络安全行业很好,网络安全意识逐渐增强,市场随之变大。要建立互联网+,一些安全的法律法规问题就会提出,还有怎么执行怎么取证等,有很多东西具体可以做。我相信工信部,和网信办都在考虑这些方面,可能政府和业界大家一起来通力合作。在中国今天网络环境下,什么是最重要的,什么是对普通企业客户和消费者客户最痛的点,或者威胁最大点,我们把这个做好,一步一步来,我觉得技术、产品加上立法执法,观念的提高,综合起来它就会做的很好。
政府对安全大方向的扶持,未必是对某一类公司去扶持。要充分体现市场竞争,让好多企业能够在一个好的环境下冒出来,政府其实要提供一个更好的行业环境。比如要求每一个企业必须保证自己网络安全,一旦出现问题,可能受罚很重。那企业的需求就高,就要求有真正防护能力的产品,低价中标就不可行。这个和环保概念其实是一样的,只不过是网络环节的环保。
现在的创业团队确实很多,而且都在大众创业。我觉得站在风投的角度,跟天使投资不完全一样。我只讲从风投角度怎么看。我们主要看几个大的方面:
第一,从市场角度来说客户是谁,你解决他痛点问题是锦上添花还是雪中送炭?客户群或说市场有没有足够大,哪怕今天不够大,但是是否在高速增长。就像当年做NetScreen一样,它会变成很大市场。
第二,你的团队有没有经验,大家之间技能是不是互补,团队学习能力怎么样,创始人价值观怎么样有没有领导力等等。
第三,有什么样的创新。如果没有一种建立一种竞争壁垒创新,可能今天我做了就是一个挺好的想法,但过几天别人做了,该怎么去竞争?所以要在竞争中取胜,一定要能够建立一个竞争壁垒,或者说你的优势如何能够长期保持。
所以站在风投的角度看,我们要求企业一定要有可持续发展能力。而只有通过创新建立竞争壁垒,才能够达到一个可持续。从大的方面来说,不用讲你做的是什么产品你的技术是什么。这些虽然都重要,但相对来说都是在不断的调试。一个好的团队能根据市场的变化改进自己的产品。技术没有,可以从别的地方学到.我做NetScreen时候,搞的不是网络安全,我的几个创始人同学也不是做网络安全,大家都在发现一个机会不断学习。学习速度足够快,你就可以做的好。
我觉得大学生的观念很新,特别是他们对90后的市场比我们看的好。我欣赏这些年轻人的创业激情和想法,但他们也有很明显的问题。比如商业经验不足、管理经验不足。刚从学校出来,光靠一腔热血、激情,怎么管理一个大的团队,怎么跟比他年纪大的人打交道,这都是问题。
我在感情上挺支持他们去创业,但风险投资放的钱比较多,不像天使投资,我们还是比较慎重的。
要从头开始,锻炼自己的各个方面。对行业的理解,个人管理能力、领导力等等各个方面综合素质的培养。不要刚大学毕业,就说要创立一个公司,要跟马云一样伟大成功。我觉得成功是需要时间磨出来的,一开始要把身段放低,甚至去创业公司从低层做起。做一段时间,从别人的身上学习,不断地磨练自己,积累资源,机会到时候再出来创业。
北极光主要是科技类,华尔街叫TMT,包括互联网、移动互联网,包括芯片、软件等等这个大的IT概念在里面。第二就是一些先进科技,先进制造业。比如能源、环保等等这些方面我们在关注,中国也做的很不错。第三就是健康医疗、生命科学。随着大家生活水平提高,对生命生活质量非常重视。所以医疗仪器也好,医疗服务也好,包括新药也好都会有很多机会,我们北极光主要在这几个方面。
我很欣慰看到他们在过去一两年发展很快,这个确实得益于整个国家政府对互联网安全的重视。过去中国的很多企业甚至包括一些政府机构并不重视网络安全,可能采购时候也不知道采购什么,因为这确实是挺技术性的东西。经过一些安全事件包括斯诺登事件以后,安全意识已经提高很多。像国家成立像网信办等安全机构,对整个的行业都是一个促进。
但未来路的还长,我觉得必须想办法在行业里做到“良币驱逐劣币”,而不是相反。这需要政府在各个层面对生态环境做一个持续性的提高,但总的来说,现在的情况肯定是在朝好的方向发展。
