转载

在百度：如何做好企业安全这门生意？

关于作者刘洪善

百度安全资深产品架构师，负责百度安全企业级产品的设计和商业化，主导了多个百度安全最佳实践的产品化和安全能力输出项目，对企业级产品的设计和运营，有广泛的涉猎和深刻的理解。

加入百度前，刘洪善在国内视频行业排名第一的爱奇艺，负责爱奇艺的安全建设、安全管理和安全运维等，对企业安全建设有丰富的经验和独特的见解。

这几年，一直在百度做互联网安全相关的工作，从刚开始的安全运维、安全开发，到内部安全管理，到现在的安全产品设计和运营，期间根据公司需要，担任和接触过研发、管理、运营、市场、产品、销售等工作。

虽然经历了百度安全从对内到外、从做好自身安全到安全商业化的历程，但主线一直没变：怎么把企业安全这门生意做好，创造更多客户价值。

安全行业这方面的介绍较少，这里我就把我的一部分思考分享出来，希望对从事企业业务特别是企业安全的你有所帮助。

第一节、客户战略

1、产品按行业标杆化

按行业里树立自己的产品标杆，让口碑带动销售。

1.1、产品行业化。 按照不同行业的特点来梳理和标准化的自己的产品，而不能像用户产品一样，一招鲜吃遍天。比如SaaS类安全产品，集成了各种功能，检测、防护、加速，哪些功能是哪个行业所需的？都要吗？经常走访行业客户，梳理客户的商业流程，就很容易得到答案。设计企业产品，本质是满足客户商业流程的效率需求，或者叫提高生产效率。比如针对政企行业，有的产品为了方便主管部门类客户大批量管理辖下网站，就设置了大批量网站添加和扫描功能；比如针对游戏行业客户，为了提高实时性，针对这部分用户拓宽了CDN节点。

1.2、方案行业化。 客户通过组合各种产品才能满足自身的需求已经司空见惯，而企业又不可能根据客户的特殊需求来定制一款“万能”的解决方案，因此企业产品有越来越API化的趋势。某款产品是某些主要功能API的集合，而集合的产品本身也越来越像API，专注于解决一个问题。比如WAF，侧重解决web的各种恶意攻击；IDS，侧重根据流量和日志来分析可能的攻击；抗D产品，侧重拦截疑似DDoS攻击，清洗后回源正常流量。把自己的产品，或自己不擅长，而合作伙伴擅长的产品，组成一个有针对性的行业方案，可以满足更多客户需求，增加客户粘性，也顺带增加销售收入。

1.3、最简单也是最实用的一句话：安全产品行业圈子小，客户圈子也不大。 产品做得如何，很容易在业内传播，因此产品打磨得还不到位的话，可以先找一些关系好的天使企业试运营，慢慢完善。或者干脆先不上市，等打磨好再说，因为一款产品，好的口碑不容易获得，但坏口碑一旦建立，却很难修复。

2、大中小微

产品到底瞄准哪些客户群？除了瞄准行业，每个行业里企业也分了大中小微。主要的产品，瞄准哪个层级的市场？这并没有范式，只能根据实际的运营效果来决定。

2.1、在国内，一想到企业市场，大家理所当然地想到先做大企业客户。 大企业确实无论在付费、留存等各方面都有很大的优势，业内常有“三年没单子，一单吃三年”的说法，但做大企业客户相应的也有成单周期长、获客成本高、难成单等特点。

2.2、中小微企业则容易线上交付，降低销售成本，获客成本也非常低。 但相应付费、留存都无法和大企业相比，此时做新客、做留存、做转换、做渗透成了要做的4个方面，玩法更像互联网的用户产品。

3.3、无法决定面向哪个用户群的时候，先选大企业客户群一般总是没错的。

3、完善的定价策略

国内的企业产品，特别是安全产品，在定价上有随意化的特点。需要明确两点：定价是交付客户价值的最终体现，不完善的定价体系，表明对产品的价值思考也不完善；完善的定价体系，是产品最终成熟的表现：综合了自身价值，客户价值，市场竞争等各方面因素后的战略选择。

所以，必须认真对待产品的定价，除了最简单随意的方法，比如参照竞争对手的定价，有没有什么定价上的方法呢？还是有的：

3.1、按照用户数定价。 就是按照交付给客户，客户服务的最终用户数量来定价。这类定价法，一般是针对SaaS化、API化的安全产品。比如防刷单产品，按接口调用次数计费，1分钱100次。缺点是无法满足不同规模用户的需求，比如有的大企业一天调用几千万次，有的小企业一天只调用几百次。因此必须按规模建立差级价格，特价特办，比如大于100万次一1分钱调用500次等，按照客户的使用情况调整，兼顾大小客户。

3.2、按版本区分定价。 这是企业产品最常见的定价方法。比如按客户的规模，划分为免费版、专业版、商务版、企业版、定制版等，比如salesforce就是按照这种方法定价，加大版本间的差距，从最低到最高版本，10~20倍都可以接受，只要说明产品价值并确实交付。缺点是版本增加新的内容后，无法加价以体现新的价值。因此规划之初应考虑到日后版本新增带来的增值空间。

3.3、模块化定价。 也就是把产品划分为不同模块，每个模块一个价。模块里还可以划分不同的价差。可以弥补3.2定价新内容不能体现新价值的缺点，缺点是这种模式容易让客户迷糊，不知道怎么选择，因此模块不能太多，2~3种即可，每个模块也划分2~3个价差版本即可。

3.4、整体方案定价。 即通过组合产品，产生更多的产品销售，同时也给予客户更多的优惠。

总之，首先是考虑产品真正带来的客户价值（CV），其次计算获客成本（CAC），最后根据可容忍的回收期（PBP）基本就可以算出定价。当然也要考虑市场特别是竞争对手带来的波动。

4、服务/非服务

做企业市场的，一般服务都会占不少的收入。比如企业安全市场的安全培训、安全咨询、渗透测试等，都可算作服务类。服务类的工作，能够增加客户价值，增加粘性，但同时由于其高昂的成本，又使得安全企业对之又爱又恨。怎么处理？

4.1、服务SaaS化、网络化、自动化。 比如安全培训能标准化的标准化，能网络讲课的网络讲课。比如渗透测试，浅层次的自动化，就可以满足客户进行网站体检的需求。核心就是尽量降低服务带来的成本支出。

4.2、在收入较小时，安全服务所占的比例大，无可避免，也不必刻意回避。 因为服务是锁定客户的重要手段。

4.3、在收入较大后，可以考虑通过优化或标准化产品，来减少服务的投入。

5、数据运营体系化

大部分公司的运营数据，无外乎用户量、流水等这些常规的数据，但对企业安全产品来说远远不够。应根据业特点，关注更广泛的数据：

5.1、新客。 市场覆盖率如何，够不够在其中挖掘付费客户。比如一般100个潜在用户，能转换为付费用户的比例在3%左右，触达的用户够不够？

5.2、转换。 潜在客户转换为付费用户的真实比例，为什么？

5.3、留存。 这里指付费用户的留存，也就是用户继续付费使用产品的数量.

5.4、渗透。 即客户同类消费，在你这里消费了多少？

5.5、CAC（Customer Acquisition Cost）。 即获客成本，也即收入与支出的比值，支出包括人工支出、研发支出、销售支出、市场支出；收入，即客户带来的销售收入。

5.6、MRR， 即客户月经常性收入。

5.7、LTV（Life Time Value）。 即客户终生价值，即与客户交往的所有活动产生中，客户为企业来的总利润。

5.8、PBP（Payback Period）。 即回收期，即多长时间可以回本。一般1年为佳，长线的公司也有5年左右的。

第二节、分角色分级

1、角色账号体系

企业产品的参与方是各种各样的。单就安全产品来说，技术部门里需要参与安全的可能有老板、安全、运维、研发等各种人员。一个安全产品从意向到最终在企业落地，经过的路径纷繁复杂。因此需要根据不同角色的来设计产品或者运营策略。如一个企业按一个组织分配权限，组织里可以设置不同的角色，如管理员、研发人员、老板。相互的权限做隔离，老板可以查看所有信息，但主要展现安全运营报表；安全人员可以管理漏洞，编写修复方案，并邮件发送给制定研发团队；研发人员可查看发给自己的安全工单，并进行处置等等。

一个成熟的企业产品，应该充分考虑了企业的角色和流程，并且优化了这种流程，针对不同角色设计不同的权限和功能，协同工作。

2、会员特权体系

企业产品也要像用户产品一样，设置会员特权体系，不同贡献的客户，享受不同的特权，贡献越大，特权越大。特权显示在哪里呢？可以是价格优惠，可以是品牌露出，可以是其他价值增值。

2.1、做会员体系 ，不是为了多赚钱，是为了给不同的客户交付不同的价值。有的客户需要更多的服务，并愿意为此付费；有的客户则不需要。而等级分明的会员体系，能把客户需求明确区分出来，并把高价值的服务交付给高付费的用户。这对企业、对客户都是负责的市场行为。

2.2、会员体系要动态调整 ，严格按照贡献的利润和价值来区分等级，贡献大的往上，贡献小的往下，以前贡献大的现在贡献小了也可以往下调。

3、完善的引导体系

企业产品一般给人的感觉是：丑、贵、难用。给人这种感觉，一方面是企业产品本质确实只是个生产工具，没必要在不必要的细节上花心思；一方面是设计之初就没有清楚，企业产品虽然是卖给企业，但毕竟是具体的人在用。

但是考虑到企业产品的本质是提高生产效率的工具，如果使用流程设计得丑贵难，又怎么能使得用产品的工作人员提高效率呢？这本身就很个矛盾。而且具体使用产品的人的用户体验，直接决定了产品的口碑和二次付费的可能。

因此，企业产品也必须像用户产品一样，考虑好使用流程的同时，做好：

3.1、界面设计。 不求华丽时尚，但求简单易懂。

3.2、用户引导。 对初次登录的用户，必须进行引导。对老的用户，也应把引导折叠的位置明确提醒出来，再次遇到问题的时候可以再次查看引导。

3.3、说明文档。 通过用户反馈（试用、客服、走访）积累起用户常见问题FAQ；产品上线后，给出明确的技术说明问题；对典型案例的展示问题。

3.4、在线帮助。 在显眼位置，放置用户在线帮助，以放用户在以上都无法解决的情况下，获得人工帮助。

3.4、对应的服务体系。 售前/销售/售后。

第三节、能力接口化

随着企业市场的云化、互联网化，传统的软件或者服务越来越多的以API的方式出现。一方面方便了企业快速迭代；另一方面也培养起了客户对个性化的需求。

1、客户通过组合不同的方案，不同的产品，不同的API，灵活的组合，满足自己的需求，越来越成为常态。 如，有的客户为了给最终用户提供端上的防钓鱼工具，集成了百度网址安全中心的API，实时识别和拦截恶意网址。

但企业也不应对客户的需求做到完全定制化，因此其中的成本高，可复制性不可预见，只细到API维度即可。

2、API化也是促进行业生态的动力。 把自己的能力更多的开放出来，合作伙伴也可以通过使用这些新的、自己不具备的能力来加到自己的产品里，为客户创造更多的价值。

3、API化是趋势。 做企业产品的经常被形容为站在企业后面的企业，既然本来就不是面向最终用户，因此只要为客户、为最终用户创造价值，产品的形态其实显得无足轻重。那产品的品牌呢？API化并没有削弱品牌，只是不以整装产品的形态出现了，API化后的技术、产品、服务等能力，还是决定品牌是否优质的核心。

第四节、运营去互联网化

企业不同个人，个人下载软件或者购买产品，是冲动型消费，个人自主意愿就能决定，而企业里的人五花八门，有负责拍板的老板，有负责采购的行政，有负责预算的财务，有负责使用的技术人员。从产品购买意向，到谈判，到采购，到最终安装使用，每个人在其中都扮演了不同角色。

因此，企业产品的运营，无法像用户产品一样，通过互联网化的用户画像、通过大数据等来增加成单量。而还是必须依靠线下销售，用销售人员地推的方式，带着明确目的，带着明确方案，和潜在客户接触。

1、明确客户的需求。 了解客户真正需要什么，预算多少，预期如何落地，什么时候落地。

2、明确关键角色。 在项目周期里，谁负责拍板？到那个级别？是谁？谁负责预算？谁负责采购？谁负责产品技术评估？谁负责日常使用？明确并推动关键角色，才能使项目快速落地。

3、明确方案。 在上述评估后，在团队和合作伙伴内匹配可交付的资源，并给出明确产品方案、报价、交付方式、交付时间、SLA、说明文档、试用账号等，促进客户尽快决策。

第五节、重视市场宣传推广

销售在企业产品运营中不可或缺，但大部分企业就把几乎所有资源都花在销售上，而忽视了市场的作用，或者将市场的作用定位为配合销售，这都是错误的。

市场的宣传推广，应主要放在产品差异化上做文章：产品的创新点，产品的技术、价格等优势，并把这些亮点投入潜在客户的视野中。

1、市场宣传推塑造行业形象。 市场的作用除了直接拉新外，大部分的作用都是缓慢的，但不能因此放弃持续的市场宣传和推广。因为品牌的作用虽然不能立竿见影，但却是长期里，避开竞争对手的围剿，建立行业形象主要的方式。每一次市场活动，每次PR稿件，都包含了对企业形象、产品形象的塑造。

2、市场宣传推广承载着企业的文化观、产品观。 对外可以感染潜在客户，增加老客户粘性；对内可以激励起员工的自豪感，培养员工的归宿感和认同感。这是销售额带不来的。

3、市场宣传推广是企业的喉舌。 没有完善的市场宣传推广平台，企业和产品就相当于失声，就难以影响更多客户，就难以影响整个行业。我们对用户的态度？我们对行业的看法？我们产品的特点？酒香也怕巷子深，何况市场上那么多酒。

第六节、如何看待新技术新概念

安全产品的演化一直没有停止，从最初的防火墙、IDS、IPS到现在的威胁情报、态势感知。每个新的技术，都带来新的概念，进而衍生出新的价值、新的产品。

1、欢迎新技术。 安全本身就是各种技术的融合，新技术加入到安全产品中，改造并升级产品的价值，也是客户所乐于接受的。大数据时代，也让安全进入了威胁情报时代。云计算时代，让安全进入了云化、SaaS化。人工智能时代，让安全进入了攻防自动化时代。每次的新技术，都让安全产品实现新的升级和新的价值。

2、欢迎新概念。 一个概念从提出到落地到市场培育出来，大致时间是1-2年。一个好的概念，往往包含了新的行业思考，新的商业模式，新的客户价值，进而促进行业的发展。比如云安全的概念，就从商业模式到技术架构，都革新了旧的模式，进而产生了新的客户价值。

3、新技术新产品的加入，一定要更换新的产品名称吗？答案是：不必。 如果不是一个颠覆性的革新，或者新的名称特别好，那改名就要谨慎。

一忌生造名词。如果一个概念，不打算在市场上花大钱大力推广，进而形成行业产品，那就不要生造概念，特别是一堆只有自己认识的英文缩写，百度上查不到，自己人不认识，怎么给客户去说清楚？这里面有很大的学习成本。

二忌经常改动。一个产品名字，除了承载了产品形象外，还有着一系列相关的影响：之前，为宣传推广一个产品，市场花销会因为产品名字的变更而作废；现在，产品名称的变更，需要同步更新从技术、运营、产品、市场、售前、售后、客户等一系列相关的文档、工具、话术，这需要不小的人力成本来整理和变更；将来，新名称会导致新的宣传推广策略，适不适合则需要时间和金钱来检验。

二忌自以为是。名字，最根本的作用是简化客户认知。因此，任何使名字所含信息复杂化，让用户不知道所云或者需要大量的学习才能记住的名字，都是坏名字，不管我们觉得如何如何好。另外，我们本身就具备客户所没有的产品知识和场景，所以我们理解的，觉得好的，不妨再问问客户。这方面可以通过调查问卷、走访来获得反馈。