規(guī)劃產(chǎn)品，并且通過(guò)團(tuán)隊(duì)努力，獲得市場(chǎng)成功，這是有志于產(chǎn)品管理的同學(xué)一直期盼的目標(biāo)。產(chǎn)品管理相關(guān)的書(shū)很多，如《產(chǎn)品經(jīng)理手冊(cè)》、《啟示錄——打造用戶喜歡的產(chǎn)品》、《增長(zhǎng)黑客》、《從零到一》、《精益創(chuàng)業(yè)》、《創(chuàng)新者的窘境》等等，對(duì)于訓(xùn)練產(chǎn)品思維、掌握通用技能都很有幫助，但針對(duì)網(wǎng)絡(luò)安全行業(yè)專門的內(nèi)容偏少。筆者現(xiàn)在難得有一段休息時(shí)間，正好整理自己這方面的經(jīng)驗(yàn)和思考，不求全面，更多談一些體悟。這是第一篇，和產(chǎn)品規(guī)劃相關(guān)。

通用方法

從通用角度看，產(chǎn)品規(guī)劃時(shí)一般需要關(guān)注三個(gè)層面的問(wèn)題：

1. 場(chǎng)景：就是理清楚客戶價(jià)值，為客戶具體解決什么問(wèn)題；
2. 用戶：同樣解決問(wèn)題，不同的方法適合不同情況下的用戶群，選擇合適的方案需要考慮到用戶的特點(diǎn)；
3. 產(chǎn)業(yè)現(xiàn)狀：競(jìng)爭(zhēng)、市場(chǎng)容量、發(fā)展速度等等，決定產(chǎn)品策略時(shí)需要綜合這些方面來(lái)考慮。

多數(shù)情況下，有經(jīng)驗(yàn)的產(chǎn)品經(jīng)理一定會(huì)考慮用戶和場(chǎng)景，但對(duì)產(chǎn)業(yè)現(xiàn)狀往往思考偏少。即使某些公司固定的模版要求必須有這一部分，但提供的內(nèi)容質(zhì)量往往比較簡(jiǎn)單，發(fā)揮不了應(yīng)有的作用。究其原因，一方面是分析產(chǎn)業(yè)現(xiàn)狀確實(shí)需要有更高的視角，掌握更全面的信息；另一方面也和規(guī)劃者往往會(huì)選擇性忽略不利信息有關(guān)（不是故意的欺騙，而是人性中習(xí)慣性的樂(lè)觀）。對(duì)產(chǎn)業(yè)現(xiàn)狀的分析，是用來(lái)回答值不值得做、能不能做必須考慮的，因此如果說(shuō)開(kāi)發(fā)產(chǎn)品是一種投資，那么這部分內(nèi)容對(duì)于投資決策是優(yōu)先級(jí)最高的。

中國(guó)的網(wǎng)安產(chǎn)業(yè)有自己的獨(dú)特性，而獨(dú)特性體現(xiàn)在哪些具體的點(diǎn)上，必然是見(jiàn)仁見(jiàn)智，但有些問(wèn)題還是需要長(zhǎng)期關(guān)注和思考：

1. 不同的合規(guī)性要求對(duì)安全產(chǎn)業(yè)的真實(shí)影響是什么？
2. 不同類型的安全廠商會(huì)如何看待產(chǎn)業(yè)間的合作、競(jìng)爭(zhēng)？
3. 安全行業(yè)的熱點(diǎn)和市場(chǎng)空間是否一致，具體的原因是什么？
4. 一個(gè)新的安全概念從引入到被市場(chǎng)接受，再到形成成熟市場(chǎng)，這個(gè)周期的時(shí)間大致有多久，影響它的主要因素是什么？
5. 一個(gè)產(chǎn)品領(lǐng)域的進(jìn)入者，主要面臨的挑戰(zhàn)會(huì)包括哪些，反過(guò)來(lái)說(shuō)開(kāi)拓者的優(yōu)劣有哪些？
6. 企業(yè)在供應(yīng)鏈穩(wěn)定、項(xiàng)目延續(xù)和供應(yīng)鏈安全方面會(huì)考慮什么，如何影響產(chǎn)品采購(gòu)決策？
7. … …

有些問(wèn)題看似能很快給出答案，但如果長(zhǎng)期的觀察、收集各方面信息，也許會(huì)有不一樣的答案。

安全采購(gòu)驅(qū)動(dòng)力

當(dāng)確定要投入一個(gè)產(chǎn)品，甚至確定了主打行業(yè)之后，下一步就是如何管理需求了。需求管理有通用的模型和方法，如卡頓模型、$APPEALS模型等，網(wǎng)上有很多資料可以學(xué)習(xí)，這里主要分享安全產(chǎn)品特定的一種分析方式：多數(shù)情況下，我們可以從合規(guī)要求、問(wèn)題驅(qū)動(dòng)、安全治理三個(gè)方面來(lái)分析一個(gè)安全產(chǎn)品的核心、以及用戶采購(gòu)的真實(shí)驅(qū)動(dòng)力。

• 合規(guī)要求：這里的規(guī)不僅包括網(wǎng)絡(luò)安全行業(yè)特定的法律、法規(guī)以及行業(yè)規(guī)范（網(wǎng)絡(luò)安全法、等保、ISO/IEC JTC 1/SC 27負(fù)責(zé)的27000系列、ITU-T SG17相關(guān)工作、PCI DSS等），也包括公司IT治理和財(cái)務(wù)審計(jì)方面對(duì)安全的要求（GDPR、SOX）。這曾經(jīng)是網(wǎng)絡(luò)安全行業(yè)發(fā)展最大的驅(qū)動(dòng)力，不再多說(shuō)。一個(gè)有趣的問(wèn)題大家可以思考，國(guó)內(nèi)很多安全合規(guī)要求，主要在于核查是否有相關(guān)的功能或者流程，這種合規(guī)要求方式對(duì)市場(chǎng)的影響具體會(huì)是怎么樣的呢？
• 問(wèn)題驅(qū)動(dòng)：在日常運(yùn)營(yíng)中遇到什么具體問(wèn)題，針對(duì)性的解決，這就是問(wèn)題驅(qū)動(dòng)。諸如爆發(fā)勒索軟件、受到魚(yú)叉式釣魚(yú)或者DDoS攻擊、紅藍(lán)對(duì)抗出現(xiàn)意外結(jié)果等。這需要對(duì)威脅以及對(duì)應(yīng)的防御技術(shù)有較深入的理解，舉個(gè)例子解決魚(yú)叉式釣魚(yú)問(wèn)題，就需要知道魚(yú)叉式釣魚(yú)和常規(guī)的釣魚(yú)郵件有什么不同？是否能夠通過(guò)同樣的技術(shù)來(lái)檢測(cè)、發(fā)現(xiàn)？或者需要什么樣新的技術(shù)，包括對(duì)現(xiàn)有安全產(chǎn)品進(jìn)行升級(jí)？
• 安全治理：顧名思義安全治理是需要一套體系化的方法來(lái)建立完整的安全架構(gòu)，以有效地達(dá)到安全目標(biāo)。如果說(shuō)在十幾年前，安全還是老三樣（防火墻+防病毒+入侵檢測(cè)/防御）和認(rèn)證加密為主的時(shí)候，安全治理顯得還不是特別重要，對(duì)應(yīng)整體解決方案更多顯現(xiàn)成產(chǎn)品的堆砌。但這類解決方案比較難回答，用戶真采用了這套方案，具體能達(dá)到什么目標(biāo)。當(dāng)客戶問(wèn)到：這樣做，它是否安全的時(shí)候？典型的回答是安全總是相對(duì)的。而當(dāng)前的IT架構(gòu)、威脅類型日益復(fù)雜，用戶必須去尋求體系化的方法，避免頭痛醫(yī)頭、腳痛醫(yī)腳這種注定無(wú)效的方案。同時(shí)，當(dāng)前相關(guān)的方法論和模型也日益完善起來(lái)，這些產(chǎn)出大多數(shù)源自多年的一線實(shí)踐，最終總結(jié)、沉淀而成（如大家熟知的Lockheed Martin 殺鏈模型源自LM-CIRT團(tuán)隊(duì)2005-2011年間的實(shí)踐），這使得滿足實(shí)戰(zhàn)需要的體系化設(shè)計(jì)成為可能。這種思路下的設(shè)計(jì)、咨詢、評(píng)估在歐美市場(chǎng)已經(jīng)看到了若干的具體實(shí)踐，這也許是網(wǎng)絡(luò)安全，特別是攻防領(lǐng)域真正走向成熟的開(kāi)端。至少我們可以推斷，安全治理正在成為日益重要的一個(gè)驅(qū)動(dòng)力，未來(lái)將是最核心的驅(qū)動(dòng)力。

需注意的是，這三種安全驅(qū)動(dòng)力往往是彼此交錯(cuò)、共同存在的。一個(gè)安全項(xiàng)目中，工程師可能更關(guān)心具體的技術(shù)能力和對(duì)應(yīng)解決的問(wèn)題，而管理者還會(huì)從安全治理角度去評(píng)估合理性、價(jià)值和功能。這就要求產(chǎn)品規(guī)劃/營(yíng)銷必須從安全治理層面建立自己的價(jià)值點(diǎn)。同時(shí)也需要從這方面出發(fā)去理解客戶的真實(shí)需求。譬如技術(shù)圈中常拿來(lái)談?wù)摰膽B(tài)勢(shì)感知地圖大屏，如果不只考慮攻防對(duì)抗底層技術(shù)問(wèn)題，還考慮管理層出于安全治理的考量因素，也許對(duì)客戶的需求會(huì)有更深的理解，同時(shí)也就可以基于這種需求理解，設(shè)計(jì)出的不僅是地圖炮，而且還是更符合當(dāng)前安全能力現(xiàn)狀、更好滿足客戶需求的功能實(shí)現(xiàn)。

總之，需求管理不要被困在客戶聲音（VOC）中 ，即使是提出了具體功能點(diǎn)，也要去溝通、理解功能背后隱含的真實(shí)需求是什么，嘗試在這個(gè)層面上去交流。這其中就可以從合規(guī)要求、問(wèn)題驅(qū)動(dòng)、安全治理三個(gè)驅(qū)動(dòng)力上去綜合考慮。