编辑   笨笨的蛋

文   Hero3ids

有一个姓赵的人和一个故事对国人来说是耳熟能详。赵括的纸上谈兵——典出自《史记·廉颇蔺相如列传》：

赵括自少时学兵法，言兵事，以天下莫能当。尝与其父奢言兵事，奢不能难，不谓善。括母问奢其故,奢曰：“兵，死地也,而括易言之。使赵不将括，即已；若必将之，破赵军者必括也!”赵括既代廉颇，悉更约束，易置军吏。秦将白起闻之，纵奇兵，佯败走，而绝其粮道，分断其军为二，士卒离心。四十余日，军饿，赵括出锐卒自搏战，秦军射杀赵括。括军败,数十万之众遂降秦，秦悉坑之。

海叔今读赵括，极为痛心。放到当今的企业中，赵括就是典型的产品经理代表，天赋异禀，品质优秀，口碑和人缘极佳（除了他的父母）。在一个关键的时间，老板突然委以重任；在一个关键的地点长平，赵括“一战成名”。然后，就没有然后了.......。

信息安全产品经理们的高光时代：

大概在2005-2006年左右，那个时候搞攻防的黑客还没有火起来，信息安全行业的产品经理是一个非常“重要”的岗位。好多老板一直在感慨要是自己企业有几个产品经理就好了。于是，HR开始高薪招募这方面的人才，或者请了其他行业的产品经理大牛来给内部带上“产品经理”帽子的人培训，收费还不低。海叔也正是这个时候开始真正的产品经理V2.0生涯（前面的岁月姑且是产品经理V1.0时代）。十年下来，在这个行业产品经理也算是一个规模很大的群体了。

以海叔的经验，产品经理这个岗位有如下几种来源：

     1、研发或测试人员转岗（基数最大，懂技术）

     2、售前支持或写方案的转岗（嘴上功夫和文笔好）

     3、搞工程实施或服务的项目经理升级（计划性强）

     4、其他行业（通信、服务器）的产品经理跳槽或挖来（他山之石）

信息安全企业的产品经理们目前工作也基本趋同化了。通常的产品管理部门的负责人是副总裁或总监级别，其下属成员一般有两个方向的偏重：一是工作任务主要是和研发打交道的，主要是管产品从需求采集、产品立项到产品发布这个过程；二是工作任务主要是和销售、渠道、售前、市场以及同行友商打交道的，主要是管产品发布后的内部推广、外部宣传工作。

经过这么多年实战发展和培训教育，产品经理们已经完全进入套路了。优秀的产品经理对如下活动可以做到了如指掌，娓娓道来。

• 产品需求如何采集和分析（有模板）

• 产品立项报告如何写和上报（有模板）

• 产品发布需要哪些步骤和关键环节（有模板）

• 友商的竞争情报采集和分析（有模板）

• 产品拓展活动如何策划、落实（有模板）

• 和IDC、赛迪等市场调研、评测机构如何打交道和刷排名（有经验）

对于老板或主管副总来说，用以上的活动转化为产品经理的 KPI 指标，就变得驾轻就熟。通过考核以上活动指标的质量再加上产品销售结果的经济指标，提供给产品经理的职业上升通道也似乎打通了：

• 业务线从菜鸟级产品经理到高级、资深产品经理

• 管理线从部门经理到总监、产品线总经理甚至提拔为副总裁。

一条康庄大道摆在面前，引无数产品经理尽折腰。海叔也是沿着这条路线走过来的，在其过程中学会了韬光隐晦的外相，内心中也不免暗自得意。甚至，还专门写了不少教材给后辈们上课，还美其名曰这是有理论、有实战的产品经理课程。

（一只小青蛙自以为了不得，内心膨胀、内心膨胀、内心一再膨胀，直至有一天，肚子胀破了，气全部泄出去。所幸，灵台处尚存一点清明，能拉回来真是造化！）

醒醒！信息安全的产品经理们

时代变了，现在的信息安全企业面临着前所未有的挑战。概括起来有如下几个变化（和赵括生活的那个战国后期时代非常相似）

一、大的外部环境发生了巨大变化，信息安全产业是从群雄割据正在往一统江湖演化。

不管是你所在企业的历史多么悠久，不管你的企业曾经多么富庶，不管你的企业是否曾有“魏武卒”一样的精锐技术队伍，当以数字公司为代表的互联网“匈奴骑兵”突入中原，当以BAT为代表的“新势力”盯上信息安全，当以国企为代表“老贵族”要搞混合所有制，信息安全的好时光一去不复返，巨变因此到来，信息安全企业要么自强到真正站起来，拥有不可以替代的产品、服务甚至安全运营，成为独立的第三方审核审计制度的保障(参考政协委员严望佳的两会提案一：关于在关键基础设施、敏感部门、政府机构等推行关键信息系统历案制度的提案 编者注：严望佳委员的提案要点内容，回复关键字“严望佳提案”在后台查看)；要么干脆就成为大国附庸，成为他们的看家护院（在国外，你可以看ISS的命运。编者注：ISS美国的互联网安全公司，中国简称安氏中国，己被IBM收购。在中文网络其详细信息已不可考。）

二、信息安全从合规取向走向能力价值导向

以前的产品经理做规划，基本上的套路是在国外找一个标杆产品，先行模仿其功能，慢慢提高其性能，在加上中国特色的合规性要求。不谈安全防护结果，只要能够符合政策的要求、甲方的内部规定和竞争上的先发优势。一个在国内市场的“成功”产品就出来了。产品经理的绩效高下优劣全在这里面。

现在，客户不好“忽悠”了。布了很多安全产品：防火墙、入侵检测和漏洞扫描，该被黑的网站继续被黑，不该泄露的数据还是被放到网上。渐渐的，客户也明白了: 有钱买你的产品，不如挖你几个高手黑客，让黑客以“黑”治黑！大多数互联网公司建立SRC就是这个道理。同时，国家要建信息安全国家队，各行业巨头也有自己的行业攻防队伍，信息安全专业人才需求出现爆炸性增长，同时催生了“I春秋学院”和“神话”这样以培养安全人才和加强能力的新兴创业代表。

当信息安全的焦点从安全产品转向安全能力和攻防人才时，产品经理们，你所安身立命的根基还在吗？

三、信息安全的产品经理是真的产品OWNER吗？

说起产品经理中的大牛偶像，在国外大家说的是比尔.盖茨和乔布斯，在国内大家会说小马哥、雷布斯、红衣教主。最不济了，大家还会说做“锤子”的罗胖子。可是大家别忘了，这些成功的“产品经理”更重要的身份是老板。到这里，喜欢反驳的人会说，不是还有微信的张小龙吗？对此，海叔只能回答“呵呵”了。

说句不客气的话，现在的信息安全的产品经理有几个是自觉、自发、自然而然做产品经理的？哪个产品经理不是活在显性或隐性的KPI中？如果是这样，就不要拿张小龙来做产品经理的例子。因为你不是产品的真正Owner，换个视角，老板和其他高管在潜意识中里也不认为你是产品经理！你其实是个助理。

基于以上的观点，无论你在信息安全圈中多么有资历，你都不是纯粹的产品经理。你不会和你的产品生死相依，你也无法对你的产品独断专权。因此，必然出现很多“产品经理”变成了“功能经理”（原文请阅读http://36kr.com/p/5045631.html产品经理和功能经理的区别）。在这点上，产品经理其作用和赵括的“纸上谈兵”没什么区别。只不过，恭喜你不会被万箭穿心，但内心你还能平静如初吗？

转型！产品经理的必然出路

或许，看完以上文字已经有很多的老板和产品经理开始骂海叔了。骂就骂吧！产品经理这个岗位不会因为我这篇文章而消失，而今天骂完我的人如果能够真的思考后进行转型，也许未来要感谢我。

对于信息安全产品经理的未来，海叔认为有如下转型方向：

1、自主创业：如果产品经理真的有好的方向，那么不妨选择自主创业。海叔认为要好好解读一下“大众创新，万众创业”。别因为这句话马上热血沸腾，特别是90后的年轻人，真要创业的时候还是慎重，别把父母当成提款机。产品经理因为在企业中各种经历也算有了自主思路和经验积累，比年轻大学生在基础平台上要高很多，值得一试。当然，如果你现在的老板比较开明，也可以晓之以理、动之以情请其做个投资商来支持你内部创业，胜算更大！

2、向前进或向后退：向前你可以深入到一线去，真正的了解你产品的用户和客户，结合你的过去的信息安全经验让你发挥的作用更大。论起绩效考核，老板也会觉得你的贡献更大，结果必然是加薪升职。或者向后退，结合大数据分析技术好好研读用户反馈，找到用户的痛点，和研发兄弟们一起让产品价值表现的更充分，心里成就感会更强！

3、换个行业或地方：这个不用解释，大家都懂！信息安全之外的天地，还是大有可为的！赵伟戏说信息安全“水浅王八多”，但如果脱离这个水域，说不定“王八变海龟”！海叔有很多朋友惜别安全圈后，在其他行业成为业中翘楚。这说明信息安全的产品经理前期的学习积累也是非常有价值的，大可不必因为此文妄自菲薄！

Hero3ids

海叔手记：

这篇文章的构思在脑海中已经存留了很长时间，没有动笔的原因是一直有点害怕。这是个推崇颠覆的时代，但砸人饭碗的事情还是要慎重。而且，真正能砸掉产品经理饭碗的人其实不是我，但这个世界的逻辑是：谁让你先说的那么直白！

静下心来，想想这篇文章还是该写出来。搞信息安全的人，最重要的是安全感。安全感是自己给自己的，别人如果能让你安全感发生变化，要么是你原来的安全感是骗自己的，要么就是你自己修炼还不到家。

最后，海叔想明白了，反正这篇文章是给安在的，有什么问题请安在当一次防火墙吧。我真的认为，耀疆是个厚道人！：）

最近安在很红，屡次登上CCTV。这说明：作为安全圈的最优秀的自媒体，有很多的专栏作家高手，比如孙维、枪叔也包括耀疆本人。海叔愿意继续做好一个笔耕者。当然，前提是海叔的东西有人会看，会转。海叔绝对不会无耻到认为自己的状态是：无敌是多么空虚，无敌多么寂寞！