雷鋒網按：作者張矩，峰瑞資本董事，負責過 Google 和 YouTube 數據中心的構建與運維，是 Google 中國創(chuàng)始團隊成員和首位運維人員，參與研發(fā)和服務環(huán)境建設，也曾任 Joyent 中國區(qū)首席代表、友友系統(tǒng)首席運營官，以及光速安振執(zhí)行董事，國內最早一批投身云計算產業(yè)的人。本文系張矩在阿里安全峰會上發(fā)表的題為《投資人眼里有“安全感”的創(chuàng)業(yè)者》的部分演講內容，解析當下網絡安全團隊創(chuàng)業(yè)面臨的問題和機遇，對投資人而言，到底什么樣的安全創(chuàng)業(yè)者是有“安全感”的？

投資人眼里有“安全感”的創(chuàng)業(yè)者

在過去的一年內，中國信息安全領域的創(chuàng)業(yè)變得非常熱。自領導人親自組建了中央網絡安全和信息化領導小組并擔任組長以來，信息安全產業(yè)逐步受到越來越多的關注，且感到 “不明覺厲”。這件事從頂層來講，徹底改變了投資界和產業(yè)界對于信息安全創(chuàng)業(yè)的基本觀感，使其從相對中性變成了一件非常熱的大事。

我想和大家分享一下，我這些年對信息安全從業(yè)人員創(chuàng)業(yè)的觀察和想法。創(chuàng)業(yè)無論怎樣看都是一個一邊成長、一邊蛻變的過程。重要的是，既然義無反顧地開始了這個過程，無論是非功敗，都要仰著頭做一回英雄。

1、為破壞而生的 “異類”

對內看人，信息安全從業(yè)人員實際上是一個很特殊，很稀缺的群體。在思路上，他們和傳統(tǒng)意義上的計算機工程師有本質的區(qū)別。工程師有一個普適的思路：利用技術加上資源和原材料，把眾多部件構建成一個系統(tǒng)，從而實現特定功能。這是一個典型的建造和創(chuàng)造的過程。

而信息安全從業(yè)人員的思路恰恰相反。當他們看見一個運行的系統(tǒng)，通常想到的是這個系統(tǒng)在運行中是否有漏洞，設計上是否有不合理的地方，使用、構建上有怎樣的弱點，并通過這些漏洞、缺陷、弱點來降服這個系統(tǒng)，改變其行為規(guī)律從而導致系統(tǒng)損傷，或者為我們所用。這個過程是一個典型的破壞過程。

天才的信息安全從業(yè)者通常具有破壞性思維

天才的信息安全從業(yè)者通常是具有破壞性思維的人。不過，我們的教育體系是壓制、矯正、甚至杜絕這種破壞性思維的。能夠幸存或者逃避開教育洗禮的人，無論如何應該算是“異類”。
如果真正追根溯源，教育也許是第二位的。因為人類大部分的進化過程對有破壞性思維的個體非常不利。人類在發(fā)展的大部分時間里都處于資源非常匱乏的狀態(tài)，有建設性和創(chuàng)造性的個體在資源匱乏的時代是比較容易存活下來的，而天生喜歡破壞的個體則會活得比較艱難，無論在食上還是色上。

2、信息安全的江湖，是屬于圈內人的

向外看行業(yè)，信息安全領域有傳說中武林的感覺。從外面看是個相對神秘的大圈子，里面的人都身懷絕技，能為常人所不能。談到武林，很重要的一件事情就是人的江湖地位，這在信息安全圈里也很重要。談到江湖地位，其實就是兩件事，一是武功的高低。如同武俠小說，信息安全圈子里也是各方門派林立，結果就是信息安全可能算是技術領域里競技比賽最多的領域之一。全球應該有超過一半的信息安全攻防比賽是在東亞舉辦的。

信息安全領域就像一個武林

第二，除了要有本事，還要有人品。如同武林，講義氣的人通常江湖地位比較高，信息安全從業(yè)人員的高手往往從黑客做起，然后變成某個垂直領域非常有影響力的專家。一路走來，施恩積德，結交了一群好友，授業(yè)解惑，也有一幫忠誠的粉絲，慢慢成為領域內的大咖。
信息安全領域的創(chuàng)業(yè)有別于其他領域，一個主要特征是這是圈內人的事。一位非信息安全行業(yè)的外來人士，做信息安全領域的創(chuàng)業(yè)，基本上只是玩票性質的嘗試。中國有句古話說得非常到位：慈不領兵，義不聚財。而創(chuàng)業(yè)這件事本質就是一路戰(zhàn)斗，最終實現名利雙收。這個過程對于創(chuàng)業(yè)者，無論從初衷還是本性，通常都是一個很大的挑戰(zhàn)，是個重新塑造、重新成長的過程。

3、信息安全創(chuàng)業(yè)：項羽的善戰(zhàn)+劉邦的謀略

信息安全從業(yè)人員的成長和創(chuàng)業(yè)過程是一個典型的從士兵到將軍，再到元首的過程。他們通常從技術精湛的工程人員起步，經過實戰(zhàn)對抗的洗禮變成行業(yè)專家。一名優(yōu)秀的安全人員通常會通過自己的理念和技術傳承形成一個有影響力的小圈子，士兵到這也就達到將領位置了。這個時間點往往是信息安全從業(yè)人員開始考慮創(chuàng)業(yè)的時機。因為他們有知識，有實戰(zhàn)經驗，也有想法，甚至有不少人脈。

信息安全從業(yè)人員的成長是一個典型的從士兵到將軍，再到元首的過程

實際上，創(chuàng)業(yè)過程的關鍵是從將軍到元首的過程。這個過程中有太多的不確定性，有太多的挑戰(zhàn)和問題，也有太多需要整合的資源和需要去團結的力量，所以要有一定的手段來規(guī)避，也需要很多妥協(xié)。這個過程往往是從一個高姿態(tài)、高標準的軍人，到一個非常落地并切合實際的政治家的演變過程。
很多信息安全從業(yè)者身上有意無意的有項羽的影子：不但自己驍勇善戰(zhàn)，而且可以帶兵打勝仗，不僅可以蔑視權威瀟灑自如，更可以美人在懷。但是真正成功的創(chuàng)業(yè)者身上一定要加上劉邦的元素：也就是對人的把握和對本質的洞見，為了遠見，做出堅持或者妥協(xié)。

4、反其道而行之，去他的唯快不破

信息安全是一個非常廣泛的領域（在信息技術快速發(fā)展的今天，信息安全的覆蓋也在快速增長）。信息安全的攻防屬性決定了信息安全是一個常青的市場：不斷演進的對抗手段會層出不窮地催生信息安全初創(chuàng)企業(yè)。在這個背景下，信息安全從業(yè)人員在尋找創(chuàng)業(yè)方向上大可不必去追尋所謂的熱點。

信息安全的攻防屬性決定了這是一個常青市場。

信息技術行業(yè)和娛樂行業(yè)有較大的相似之處。我們大可以反其道而行之，退后一步看，其實信息安全從業(yè)人員擅長的反向工程能力正是當下浮躁的創(chuàng)業(yè)環(huán)境所稀缺的：針對目前現狀來尋找它的裂縫，弱點和不完美的地方都加以利用。

創(chuàng)業(yè)的啟始用反向思維方式比正向的更有效，特別是在信息安全領域。反向思維看到的往往是，目前的技術架構體系下和目前市場環(huán)境中，用正向思維不容易看到的、非常明確的弱點和不完美。可以從這里倒推出應該選擇什么樣的方向，做什么樣的事。

創(chuàng)業(yè)歸根到底是人的事情。如何匯聚同行業(yè)者，是所有創(chuàng)業(yè)者都會面臨的最大挑戰(zhàn)。這件事對于信息安全創(chuàng)業(yè)者尤甚。優(yōu)秀的信息安全從業(yè)人員本身就是非常稀缺的資源，再加上 BAT3 （百度、阿里巴巴、騰訊、奇虎360）這幾年對于信息安全人員的囤積（但凡耳熟能詳的名字，基本都以在全球范圍內非常驚人的薪資，被他們收之麾下），這意味著創(chuàng)業(yè)企業(yè)基本上是不可能從經濟利益的角度與其競爭。

信息安全公司的江湖地位比巨型公司更有吸引力。

好在信息安全領域真的是江湖輩有人才出，耳熟能詳的名字們也只是真高手中的一部分，更重要的是，年輕的優(yōu)秀人才最看重的往往不是經濟利益，而是與同樣優(yōu)秀的人一起工作、成長，從更優(yōu)秀的人身上看到自己未來的職業(yè)發(fā)展。

這也解釋了真正優(yōu)秀的信息安全創(chuàng)業(yè)團隊在匯聚同行業(yè)者時往往是游刃有余的。優(yōu)秀的信息安全從業(yè)者，有機會通過自身的知識、領域的專長，打造非常有吸引力的個人品牌。一句話，你的江湖地位往往比冷冰冰的巨型公司更有吸引力。

唯快不破，一個在互聯(lián)網創(chuàng)業(yè)時代被推崇到極致的概念，我個人認為這對信息安全領域的創(chuàng)業(yè)是有害的。一部分原因是，任何創(chuàng)業(yè)的過程通常沒有大家津津樂道的那么快；更重要的是，信息安全產品的有效性是在信息安全攻防的對抗中體現的，如同其他具有攻防特征的產品，比如藥品和武器開發(fā)，快往往不能幫助這樣的產品成功。

不可否認，時機是決定一個創(chuàng)業(yè)企業(yè)成功的重要原因，但時機通常是熬出來的。而耐心來源于對未來和自身的信心。當你對自己做的這件事非常自信，才會有耐心、有堅持來等待時機。我覺得心里慢下來是做信息安全創(chuàng)業(yè)者非常重要的出發(fā)點。

5、堅持原則，保持紀律，以身作則

關于創(chuàng)始公司的管理有很多的說法和流派，特別流行的是各種各樣論述怎樣管理高智商、高能力人群的理論。大家可以說出很多花哨的管理理念，但是管理的最終目的還是希望建立一個高效的組織結構，來實現產品技術上和商業(yè)上的目標。

拋開這些理論的論述，我覺得管理最重要的本質在于兩件事：

一是要有原則，二是要有紀律。

原則這件事對于信息安全從業(yè)者不難，紀律卻是信息安全從業(yè)者比較難以把握和執(zhí)行的。

紀律往往是信息安全從業(yè)者比較難以把握和執(zhí)行的。

管理本身就是要在一個組織體系內建立起好的、合理的規(guī)范。規(guī)范是靠紀律來保障的，所有的東西都應該在一個合理的規(guī)范之內。公司文化建立在公司秉承的原則體系之上，包括對外的原則，重要的是有哪些事不能做。這些對一家信息安全公司極其重要——對內的原則就是公平、公正、互相尊重；原則和紀律背后，對創(chuàng)始人自身的要求還會多一點，那就是以身作則。信息安全從業(yè)人員很多時候對規(guī)則和紀律都有幾乎偏執(zhí)的蔑視，但是創(chuàng)始人對原則和紀律的遵守，是帶動整個公司發(fā)展成管理良好、文化良好的實體的基本要求。

6、生于恐懼，市場地位卻來自信任

信息安全市場的本質驅動力是恐懼——對數據資產被竊取的恐懼，對商業(yè)機密被偷竊的恐懼，對信息安全事件導致品牌、信譽乃至客戶流失的恐懼。

其實，很多產業(yè)的商業(yè)模式都是建立在恐懼的基礎上。保險業(yè)就是另一個以恐懼為基礎的產業(yè)，保險業(yè)和信息安全行業(yè)的結合是一個非常值得探討的話題。恐懼本身是一個很大的驅動力，讓客戶找到你的產品，而你的服務能夠提供信息安全的保障。

顯然，恐懼是信息安全公司的產品和服務落地的起點，但是一家希望長久發(fā)展的信息安全公司，一定不要以增強恐懼感作為市場發(fā)展正反饋的手段。作為安全能力的執(zhí)行者，信息安全公司的市場地位來自于信任而不是恐懼。

對于信任而言，能力越強，責任越大。一個真正成功的信息安全公司通常是一個領域的規(guī)則建立者，而不是收保護費的那個人。

信息安全市場的本質驅動力是恐懼。

總而言之，以懼而起，以技而立、以謀而勝、以治而穩(wěn)、以德而久，這大概是一個信息安全創(chuàng)業(yè)公司從無到有，從弱到強的歷程。最后想跟大家分享：英雄總是腳踏實地做事的人。

謹此獻給在創(chuàng)業(yè)路上的信息安全從業(yè)者們。 

雷鋒網注：版權屬于峰瑞資本，轉載請聯(lián)系我們授權并保留出處和作者，不得刪減內容。

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。