天下沒有難做的安全生意

趙明

隨著電信網絡的快速發展，電子商務已經從有線網絡時代快速邁進移動電子商務時代。如何在這種快速變化的時代，緊緊抓住機遇，把安全產品電子商務也做到蒸蒸日上，這需要一些與眾不同的思維和方式。

中國電子商務從上世紀90年代發展到今日，邁入了移動電子商務時期，移動電子商務的蓬勃發展得益于電信網絡的快速發展。如何通過電子商務來盈利對電商來說是個不小的難題，對于經營安全產品的電商來說更是如此。

筆者這里講的安全產品不僅僅是鎖、消防器、保險柜等，還包括網絡安全和信息安全產品。那么如何管理和經營安全產品的電商呢？對于消費類安全產品，電商經營得似乎比較順利，但對于網絡安全和信息安全這類產品，則另當別論了。由于每個廠商都有自己的渠道，如何才能真正打動它們，讓它們愿意把自己的產品放在其他電商平臺上銷售，這更具有難度和挑戰性。北京錦龍信安科技有限公司（以下簡稱錦龍信安）旗下的威客安全電商平臺憑借自身獨特的服務體系和生態系統，贏得了眾多安全產品需求機構和安全產品廠商的認可。

搭建眾測平臺 建立可信機制

很多IT人員技術高超，精力旺盛。那么如何給IT杰出人員一個大舞臺，使他們既能光明正大地施展才華，又可以得到不菲的收益，做到名利雙收呢？答案就是錦龍信安旗下的“威客安全”平臺。威客安全基于“互聯網+安全”理念，集技術研發、信息安全服務保障于一體，為用戶提供業界領先的信息安全解決方案。

眾測平臺搭好了，而如何才能確保找到可以信賴的人員來幫助安全檢測需求機構，這不僅是威客安全自己必須解決的問題，也是安全檢測需求機構所關心的。通常情況下，雖然安全按檢測需求機構有檢測需求，但是它們仍無法放心地把自身的信息系統全權交給陌生人來進行檢測，其實這與應用公有云和私有云的爭論有一些類似。如何才能說服企業把自己的信息系統交給陌生人來測試呢？威客安全CEO陳新龍表示：“首先，既然你覺得自己的系統有漏洞了，其他不法分子仍然會繼續其不法行為，那么就不用過分擔心專業安全人員來檢測你的系統。其次，威客安全具備全方位的監管機制和法律追溯手段，會定位專業安全人員。檢測人員需提交個人簡歷、身份證等身份證明。檢測時，檢測人員賬戶發生的所有行為都會被記錄。檢測過程會被全程監控。同時建立較高級別的權限制度，并且對檢測人員建立技術水平審核和確立檢測項目安全等級制度。”

威客眾測平臺可信制度大致分為四層。首先是個人白帽子。他們來自于全國各地的企事業單位或者學校。其次是安全戰隊。一些白帽子自發組成團隊，技術實力略強于個人白帽子，同時戰隊的形式也能增強可信度。再次是企業戰隊，由安全產品廠商技術服務團隊構成，更加專業，可以進一步增強可信度。最后一道安全門檻就是眾測平臺威客行為監控系統，這個監控系統可以對白帽子滲透測試的全過程進行監控和審計，出現非法操作時可以直接進行終止，發現非法行為即中止與該白帽子的所有合同，并將其從白帽子成員名單中刪除。通過這些聲明和嚴格的安全制度，威客安全得以確保安全檢測需求機構的信息安全，打消它們的顧慮。

廣納賢才 快速迭代

威客安全是一家以安全檢測起家的電商，2014年與國際知名非贏利安全組織OWASP（Open Web Application Security Project）中國達成深度戰略合作，共同推進眾測行業規范和眾測人員的資質認證，讓信息安全眾包服務更加統一規范，引領白帽子走向正確的安全服務方向。

為了快速打造起一支高效且有戰斗力的隊伍，威客安全廣撒英雄帖，招募專業安全人才。目前，威客安全眾測平臺整合了全國約10萬個安全工程師，500多個專業安全企業戰隊，他們均是優秀的滲透測試人員。通過他們，威客安全眾測平臺可以有效地幫助其他電子化運營機構進行全面的系統安全滲透測試，打破傳統測試依靠掃描器工具的檢測模式，提高測試效率。威客安全可以快速在專業安全人員和檢測需求機構間建立聯系，為專業安全人員提供施展才華的舞臺，并且及時為檢測需求機構提供服務。

此外，威客安全不僅僅坐等專業安全人員自己找上門來，它還積極參與并且組織過安全技術大賽和活動。2014年至今，威客安全協辦過知道創宇Kcon黑客安全大會，參與過XFTF（全國網絡安全技術對抗聯賽）、SSCTF（全國網絡攻防賽）等安全技術大賽，主辦過中國IDC產業年度大典安全與運維峰會。通過這些比賽和活動，威客安全進一步增強了自身的安全團隊的技術能力，并且在這些場合挖掘了很多的專業安全人員，整合到自身的安全團隊。

在威客安全正式發布威客眾測平臺短短的1年多時間里，威客眾側平臺已經從1.0版經歷2.2版本，然后快速迭代到了威客眾測3.0版，構建起信息安全檢測方和受檢方連接的重要一環。此外，除了快速迭代產品，威客安全還與黑客基地、邪惡八進制、學盟網、歲月聯盟、四葉草CTF、中測聯盟等知名安全網站論壇達成戰略合作，實現安全論壇與威客眾測平臺的賬號認證互通、媒體戰略合作等。

打造完整安全產品電商平臺生態鏈

威客安全眾測平臺盈利有限，它靠抽取眾測項目金額20%的傭金來運作，單純的眾測項目收入事實上根本無法維持這一平臺順暢運作。眾測平臺僅僅是一個協調并且發布眾測項目的平臺。眾測服務只是基礎服務，威客安全不會以此為生。維持威客安全團隊順暢運作必須有其他途徑，靠什么？靠電商。這是威客安全建立的真正目標。

陳新龍在談到威客安全未來戰略時談到：“事實上，威客安全推出眾測平臺的目的就是建立一套以眾測平臺為基礎的電商平臺。在經過一年多時間的眾測平臺運作后，安全需求機構和安全廠商對該平臺達到了初步了解，建立了信賴機制，實現了很好互動。以此為基礎，威客安全真正開始向最初的理想前進，打造集評測、銷售、媒體宣傳于一體的安全產品銷售電商平臺。”當談論起這一問題時，筆者突然想到這與中關村在線等網絡IT電商有很多共通之處，同樣都是以測試為基礎，銷售產品才是其真實盈利方式。威客安全電商平臺采用集安全檢測需求銷售，眾測發單、接單，安全產品接單于一體的閉環銷售模式。

眾測平臺仍然是電商銷售的基礎。隨著眾測平臺3.0版本正式上線。威客安全獲得了如山創投、厚持資本、華立暾瀾、中南暾瀾等四家國內優勢資本2000萬元人民幣的PreA輪融資，初具新三版上市規模。

在談及車聯網安全問題時，筆者認為，車聯網和智能家居行業在軟件開發時會與第三方合作，這可能會伴隨更多的技術漏洞，這些市場是否會成為威客安全未來關注的領域，是否會有潛在的商業機會？陳新龍表示：“目前車聯網和智能家居在功能和技術上還未達到一個較為完善的程度，安全性不足，而且未達到盈利階段，廠商對此的投入也不多。因此，威客安全目前對此還未涉足，但今后會更加關注這些領域。”

新的“威客安全”平臺基于互聯網思維模式，以威客安全網站、威客安全移動端App為載體，內容涉及“威客眾測”、“圈里圈外”、“威客電商”、“威客人才”、“SaaS服務平臺”五個核心欄目，有效進行了資源整合，實現快速聯通，為用戶提供了集安全咨詢、安全檢測、安全加固、產品供應、技術支持于一體的互聯網信息安全綜合服務。