摘要
本文系统性剖析了当前网络安全产品与服务开发中普遍存在的深层困境,旨在提出一个以价值为核心、面向未来的开发新范式。文章首先诊断了导致产品价值受限的两大根源——“三视角模型”的系统性失衡与“DIKW价值层级”应用的表层化。在此基础上,本文构建了一套由四大支柱构成的可执行优化框架:构建价值闭环、驱动智能决策、赋能敏捷安全、融合核心能力。该框架旨在指导企业突破传统模式的瓶颈,成功开发出真正具备核心竞争力、能够持续创造并证明价值的下一代安全产品与服务。
关键词:安全产品开发、DIKW模型、三视角模型、价值驱动、DevSecOps、智能安全
第一部分:问题诊断——为何传统安全产品开发模式难以为继?
第一章:表象与痛点:普遍存在的开发困境
传统安全产品开发模式正面临严峻挑战,其困境在商业、客户和团队层面交织,形成了一个难以挣脱的价值损耗循环。
- 商业困境:高昂的研发投入未能转化为预期的市场回报。许多产品因无法精准对接市场需求,销售转化率持续低迷,最终从标准化的产品异化为高成本、难以为继的“定制化项目”¹,严重侵蚀企业利润。
- 客户困境:客户身陷“告警疲劳”与“工具孤岛”的泥潭。产品功能看似强大,却产生海量低价值告警,无法有效解决核心风险。其价值难以量化,导致安全团队无法向管理层清晰证明其投资回报(ROI)²。
- 团队困境:技术团队时常陷入“闭门造车”的窘境,其技术成果与市场、客户的真实需求脱节。复杂的交付流程与不佳的售后服务,最终导致优质客户流失和团队信心的挫败。
案例剖析:某安全产品的商业失败并非单一因素造成。其背后是企业缺乏成熟的市场与销售体系、客户自身需求模糊、产品研发流程混乱等多重问题的交织。这种系统性失调是导致产品价值无法实现的关键¹。
第二章:根源剖析之一:“三视角模型”的系统性失衡
问题的核心根源在于,产品开发流程系统性地忽略了关键利益相关方的核心诉求,即“三视角模型”的严重失衡。此模型源于对项目管理中利益相关者理论的提炼,是诊断产品价值定位的有效工具。
“三视角”理论核心:
- 客户视角 (Customer):关注综合价值实现,包括满足监管要求的合规需求、解决核心风险的利益需求、证明工作成效的汇报需求、提升日常效率的操作需求,以及与现有生态联动的集成需求。
- 企业视角 (Enterprise):关注商业可持续性,包括可行的利润模型、清晰的市场策略、规模化的工程交付能力,以及持续的客户运营服务。
- 团队视角 (Team):关注技术实现,即定义问题边界的能力需求和解决问题的技术需求。
失衡的恶性循环:当开发以团队视角为主导时,产品功能便会与客户的真实业务场景脱节。由于客户视角被忽略,产品无法证明其价值,导致市场接受度低。这直接引发商业失败,因为企业视角被忽略,产品缺乏清晰的商业模式和规模化能力,最终难以为继。
图解诠释:上图直观地展示了视角失衡带来的恶性循环。技术实现(团队)与价值实现(客户)的脱节导致交付困难;产品无法为客户创造可感知的价值,导致企业无法获益,引发商业失败;而失败的商业模式和糟糕的客户体验,最终导致客户流失,形成一个持续内耗的负向循环。
第三章:根源剖析之二:“DIKW价值层级”应用的表层化
另一个深层原因是,现有产品对数据价值的挖掘普遍停留在浅层,未能充分利用DIKW模型的潜力。DIKW模型最早由信息科学家Russell Ackoff提出,是描述数据如何转化为智慧的经典框架⁸。
DIKW价值层级:该模型描述了价值的演进阶梯:从原始的数据 (Data),加工为有上下文的信息 (Information),再提炼为可指导行动的知识 (Knowledge),最终升华为具备预测和优化能力的智慧 (Wisdom)。
当前产品的局限性:绝大多数安全产品(如传统的SIEM、EDR)的核心功能停留在“信息层”³。
- 典型表现:提供海量的、离散的告警和数据报表。
- 核心后果:
“基于信息的决策,行动的指令,跨系统与工具的协同与执行,都依赖于人工的参与、决策、操作进行处置。” 这种模式将数据关联、风险研判和决策响应的重担完全抛给了安全分析师,不仅导致响应效率低下,更使得专家的宝贵经验无法沉淀为系统能力。
从“信息呈现”到“智慧决策”的鸿沟:当前产品价值受限的核心瓶颈,在于缺乏将“信息”转化为可执行“知识”(如标准作业流程)和提供“智慧”洞察(如风险预测、决策建议)的能力。
第二部分:优化提升——构建下一代安全产品的四大支柱
为打破困境,下一代安全产品的开发必须建立在四大支柱之上,实现从问题驱动到价值驱动的根本性转变。
第四章:支柱一:构建“三视角”价值闭环
我们必须从视角冲突转向价值协同,建立一个动态平衡的良性反馈闭环,确保技术创新、商业成功和客户价值三者同频共振。
- 核心理念:将客户的成功、企业的成功与团队的卓越工程能力深度绑定,形成共生共赢的价值生态。
- 闭环构建策略:
- 以客户价值为起点:建立常态化的客户访谈、原型测试和标杆客户试点机制,将客户的“合规、汇报、操作”等综合需求作为产品设计的核心输入。
- 以企业价值为保障:在产品规划阶段即融入清晰的市场定位、定价策略、成本控制和交付模式,确保产品的商业可行性与规模化潜力。
- 以团队价值为驱动:将客户成功和商业成功作为衡量技术团队绩效的关键指标(KPIs),激励团队进行以价值为导向的技术创新,而非单纯的功能堆砌。
图解诠释:上图通过相互啮合的齿轮,形象地展示了三视角价值闭环模型。客户的问题解决是驱动一切的原点,它直接导向企业的商业成功。而商业成功为团队提供了资源和激励,去追求卓越工程,从而更高效地为客户解决问题,形成一个可持续的、正向的价值创造循环。
第五章:支柱二:DIKW驱动的智能安全决策
产品的核心架构必须深度融入DIKW模型,实现从被动“工具”到主动“智能伙伴”的跃迁。
- 核心理念:将安全运营的流程自动化、知识化、智能化,把分析师从重复性工作中解放出来,聚焦于更高级的威胁狩猎和策略制定。
- 分层落地实践:
- 数据层 (Data):构建统一、高质量、合规的“安全数据平台”⁴。这是实现一切智能化的基础,需要解决异构数据源整合、数据治理和隐私保护等挑战。
- 信息层 (Information):通过高级关联分析和多源威胁情报,将原始数据转化为具备上下文的、精准的、低误报的告警信息。
- 知识层 (Knowledge):将专家经验和最佳实践固化为产品的“工作流 (Workflow)”和“剧本 (Playbook)”。产品设计的核心理念应从“功能菜单”转向“任务导向”,引导用户在一个整合的界面中高效完成整个应急处置流程。
- 智慧层 (Wisdom):应用AI/ML(特别是大型语言模型LLM)⁵,实现风险预测、决策辅助、自动化响应。例如,通过用户与实体行为分析(UEBA)主动发现异常,或自动生成处置建议,甚至在授权下自动执行隔离、封禁等操作。
图解诠释:上图展示了DIKW模型的价值升级路径。海量原始数据经过关联分析,被提炼为结构化信息。信息通过模式识别与流程编排,升华为可指导行动的知识。最终,在金字塔顶端的智慧层,系统能够做出预测性或自动化决策,并通过自动化响应或AI决策引擎形成行动闭环,将智慧转化为最终价值。
第六章:支柱三:赋能敏捷与安全的DevSecOps全生命周期
安全必须从开发的“检查点”转变为融入血液的“基因”。DevSecOps为此提供了成熟的方法论,是实现快速、高质量交付的保障。
- 核心理念:通过文化、流程和工具的变革,将安全无缝集成到软件开发的全生命周期中,实现速度、质量与安全的统一。
- 关键实践整合⁹:
| 实践领域 | 传统安全模式 (Waterfall/Agile) | DevSecOps 模式 |
|---|---|---|
| 时机 | 开发后期,以渗透测试和代码审计为主 | 安全左移 (Shift-Left),在需求设计阶段介入 |
| 工具 | 独立、手动的安全扫描工具 | 自动化工具链,集成在CI/CD流水线中 (SAST, DAST, SCA) |
| 策略 | 基于文档和人工检查 | 策略即代码 (Policy as Code),版本化、自动化、可审计 |
| 文化 | 安全是安全部门的责任 | 共同责任文化,“谁构建,谁负责其安全” |
第七章:支柱四:融合跨领域核心能力
下一代安全产品的竞争力不再来源于单一的安全能力,而是数据、AI、自动化等多种能力的深度融合。
- 核心理念:将数据能力视为燃料,AI能力视为引擎,自动化能力视为传动系统,三者协同驱动安全产品的智能化升级。
- 能力融合路线图:
- 数据能力建设:从为单一功能服务的孤立数据处理,转向构建企业级的安全数据平台,为所有上层智能应用提供高质量、高可用的数据“燃料”。
- AI能力集成:战略性地引入AI(特别是LLM),不仅用于检测,更用于赋能人机交互(如Security Copilot)、高级威胁狩猎、恶意代码分析等复杂场景,并建立相应的安全对齐与人机协同机制⁵。
- 自动化能力编排:以SOAR(安全编排、自动化与响应)等技术为核心⁷,实现跨工具、跨平台的安全运营自动化,并与DevSecOps流程深度联动,形成从开发到运维的端到端自动化闭环。
图解诠释:上图描绘了数据、AI、自动化能力如何融入DevSecOps的无限循环中。数据是整个流程的基础输入;AI在规划(Plan)阶段辅助进行威胁建模,在测试(Test)阶段辅助探查复杂漏洞;自动化工具在构建(Build)和部署(Deploy)阶段保障效率与一致性;最终,在运营(Operate)阶段,SOAR平台承接自动化事件响应,形成完整的安全价值闭环。
结论:重塑范式,迎接未来
安全产品开发的未来,要求我们必须从单一的技术实现思维,全面转向客户价值、商业成功与技术实现三位一体的系统性思维。通过构建本文提出的四大支柱——以“三视角价值闭环”为顶层设计,以“DIKW模型”为价值实现路径,以“DevSecOps”为敏捷交付流程,以“跨领域能力融合”为核心技术引擎——企业才能真正摆脱传统困境,打造出具备持久生命力和核心竞争力的下一代安全产品。
这不仅是一场开发方法的升级,更是一场深刻的组织、文化与战略的变革。唯有拥抱这一变革,才能在日趋激烈的市场竞争与日益复杂的威胁环境中,赢得未来。
参考文献
[1] 边窗. (2022). 安全产品业务问题的反思. 检索于2025年6月30日,来源 https://peirs.net/2022/03/business-issues-of-security-products/
[2] CrowdStrike. (n.d.). XDR vs. SIEM vs. SOAR: What's the Difference?. Retrieved June 30, 2025, from https://www.crowdstrike.com/cybersecurity-101/next-gen-siem/xdr-vs-siem-vs-soar/
[3] 安全内参. (2023). 三足鼎立的SIEM、SOAR和XDR. 检索于2025年6月30日,来源 https://www.secrss.com/articles/56383
[4] 工业和信息化部等十六部门. (2023). 关于促进数据安全产业发展的指导意见. 检索于2025年6月30日,来源 https://www.gov.cn/zhengce/zhengceku/2023-01/15/content_5737026.htm
[5] 腾讯安全. (2024). 全球AI网络安全产品洞察报告. 检索于2025年6月30日,来源 https://pdf.dfcfw.com/pdf/H3_AP202412271641445671_1.pdf
[6] Sophos News. (2022). Automation in SOAR Goes Further with DevSecOps. Retrieved June 30, 2025, from https://news.sophos.com/en-us/2022/04/06/automation-in-soar-goes-further-with-devsecops/
[7] Gartner. (2023). Market Guide for Security Orchestration, Automation and Response Solutions. (Gartner subscription required).
[8] Ackoff, R. L. (1989). From Data to Wisdom. Journal of Applied Systems Analysis, 16(1), 3-9.
[9] National Institute of Standards and Technology (NIST). (2022). SP 800-204C, DevSecOps: A Retrospective and a Way Forward. Retrieved June 30, 2025, from https://csrc.nist.gov/publications/detail/sp/800-204c/final
贡献者
pansin