熠序科技

安全订阅制，为什么国内安全公司就是做不起来？

真正的订阅制，不是年付项目，而是安全能力的持续兑现。

这几年，越来越多安全公司开始谈“订阅制”。从终端安全、SASE、数据安全，到安全运营、威胁情报、MDR，大家似乎都在向着“按年订阅、持续服务”靠拢。

表面上看，这是一种顺应全球趋势的商业模式升级：客户不再一次性买断，而是持续付费；厂商不再靠项目吃饭，而是通过长期服务建立稳定收入。

但现实是，国内安全公司的“订阅制”大多停留在收费方式的变化，而不是价值交付方式的变化。很多所谓订阅，本质上只是把原来的项目款、维保款、授权款，换了一个按年续费的壳。客户不觉得自己在“持续获得能力”，自然也就不会心甘情愿持续付费。

所以，一个更尖锐的问题不是“要不要做订阅制”，而是：

为什么国内安全公司的订阅制，普遍做不起来？

一、很多安全公司卖的不是“能力”，而是“建设动作”

订阅制成立的前提，是客户愿意为一个持续存在、持续更新、持续产生结果的能力买单。比如云服务为什么适合订阅？因为算力在持续被使用；办公软件为什么适合订阅？因为协作和更新在持续发生。

而国内很多安全公司的交付逻辑，长期以来不是“持续提供安全能力”，而是“完成一个安全建设动作”。

比如：

部署一套堡垒机
上线一套态势感知
做一次等保整改
完成一次漏洞扫描
建一个SOC平台
做一个数据分类分级项目

这些事情当然有价值，但它们天然更接近工程项目，而不是持续性服务。客户采购时关注的是“有没有上系统”“有没有过检查”“有没有形成报告”“有没有完成验收”，而不是“安全效果是否在持续提升”。

于是就会出现一个很尴尬的局面：厂商嘴上说订阅，客户心里想的却是——这不就是去年那个项目，今年换个合同再续一次吗？

一旦价值感知仍然停留在“买产品、做项目、过验收”，订阅制就会变成一种很脆弱的财务安排。

预算一紧，最先被砍掉的，往往就是这类“看起来可以不续”的年费。

二、国内很多“订阅”，只是年付，不是持续交付

真正的订阅制，有两个核心：

第一，价值是持续产生的；第二，客户能持续感知到这种价值。

但很多国内安全公司的订阅模式，只满足了第一个字：“年”。

合同按年签，费用按年收，license按年到期，看起来像订阅；但交付方式却没有变化：

签约时做一次部署
上线时做一次培训
年中做几次例行巡检
年底出一份总结报告
续费前再拜访一次客户

这不是订阅制，这是维保制。

客户真正关心的问题是： “我今年比去年更安全吗？” “攻击面有没有缩小？” “响应速度有没有提升？” “高风险暴露有没有下降？” “安全团队的工作效率有没有被实质改善？”

如果厂商不能持续回答这些问题，只是按年发票、按年续签、按年维护，那么客户最终会把它理解为一笔行政性支出，而不是生产性投入。

订阅的关键从来不是付款周期，而是结果交付周期。

安全公司如果不能把价值交付从“项目节点”改成“持续兑现”，订阅制永远只是个包装词。

三、客户采购逻辑仍然偏“合规驱动”，不利于订阅制生长

国内安全市场有一个非常现实的背景：相当多采购，并不是因为企业真正在经营层面对安全有强烈的连续性需求，而是因为有监管要求、审计要求、检查要求、集团要求。

这类需求的特点是：

目标明确但短期：过等保、过检查、补短板、交材料
结果以证明为导向：要系统截图、要报告、要台账、要闭环材料
预算以专项形式存在：今年有，今年做；明年未必延续

在这种场景下，客户天然偏好项目制，因为项目制更适合匹配“一次采购、一次验收、一次结项”的管理逻辑。

而订阅制要求的是另一种思维：安全不是一个被完成的任务，而是一项被持续经营的能力。

问题在于，很多企业安全建设还没有走到这一步。他们愿意买“建设成果”，不太愿意为“长期能力”付费；愿意为“有形产品”付费，不太愿意为“无形效果”持续付费；愿意在风险暴露时加预算，但不愿意在风险未发生时维持投入。

这并不是客户“不懂订阅”，而是国内相当一部分安全采购环境，本来就不支持真正的订阅制成熟生长。

四、安全效果难量化，导致续费理由不充分

订阅制能成立，很大程度上依赖于客户能持续看到ROI。但安全行业有个天然难题：安全的价值，很多时候体现为“没有出事”。

而“没有出事”这件事，很难被直接归因给某一家厂商、某一个产品或某一项服务。于是续费时，双方的对话往往会变成这样：

厂商说： “我们帮你拦截了很多风险。”

客户说： “但我们去年本来也没出什么事。”

厂商说： “我们发现了很多漏洞和告警。”

客户说： “这些问题内部团队也能处理。”

厂商说： “我们产品一直在升级。”

客户说： “升级了之后对我的业务价值是什么？”

如果一家安全公司无法把“持续价值”翻译成客户听得懂、能复盘、能比较、能决策的指标，订阅制就会失去商业支撑。

真正有效的订阅制，不是告诉客户“我们很努力”，而是明确展示：

风险暴露面减少了多少
平均响应时间缩短了多少
自动化处置率提升了多少
误报率下降了多少
安全团队节省了多少人力
哪些高风险资产得到了持续覆盖
哪些攻击被提前发现并阻断

没有可持续呈现的结果，就没有可持续续费的基础。

五、安全公司内部组织，往往也不是为订阅制设计的

很多安全公司做不好订阅制，不只是因为客户不买账，也因为自己内部根本不是按订阅逻辑运转的。

项目制公司的典型特征是：

销售负责签单
交付负责上线
售后负责维护
续费时再由销售回来推动

这种组织结构适合“卖一次、交一次、收一次”。

但订阅制需要的是另一套机制：

从签约开始就设计长期成功路径
持续跟踪客户使用情况和效果
主动推动功能采用、流程优化和价值扩展
在续费前就已经建立清晰的成果证据
让销售、产品、运营、服务围绕“留存”和“扩张”协同

换句话说，订阅制不是销售政策调整，而是公司经营模式调整。

如果考核仍然主要看新签合同额，而不是续费率、留存率、活跃度、扩容率、客户健康度，那么一线团队就不会真正重视“持续交付价值”这件事。大家还是更愿意把资源投向新项目，因为那更容易出业绩。

于是，订阅制在口号上很先进，在组织上却被老机制消解了。

六、客户并不反对订阅，客户反对的是“没有持续结果的订阅”

很多人把订阅制做不起来，归因于国内客户的采购习惯，认为客户就喜欢一次性买断，不喜欢长期付费。这其实只说对了一半。

客户不是排斥订阅，客户排斥的是：

每年都要付钱，但每年看起来都差不多。

如果一个能力确实在持续兑现，客户其实愿意长期买单。比如：

云安全能力随着业务上云持续覆盖
托管检测与响应持续降低内部团队压力
攻击面管理持续发现新暴露面
威胁情报持续提升检测和预警质量
数据安全运营持续推动规则、策略、审计和治理闭环

这些场景的共同点在于：客户能感受到这不是“一次性交付后就结束”的东西，而是随着业务变化、攻击变化、环境变化，必须不断演进的能力。

所以问题不在于“订阅制不适合中国客户”，而在于：

太多安全公司还没有把自己卖的东西，真正做成一个值得持续订阅的服务。

七、真正适合订阅制的，不是“产品形态”，而是“价值形态”

很多公司理解订阅制时，容易陷入一个误区：只要把产品做成SaaS，把license改成年费，就天然适合订阅。

其实不是。

决定一项业务是否适合订阅的，不是它是不是云化了，也不是是不是按年收费，而是它的价值是否具备以下特征：

1. 持续变化环境中的持续适配

安全威胁、IT架构、业务边界、人员权限都在变化。如果你的能力能持续适配这些变化，才有订阅的基础。

2. 持续运行中的持续使用

客户不是买来放着，而是在日常运营中不断使用它、依赖它。

3. 持续输出中的持续优化

不是只提供工具，而是持续改进策略、规则、覆盖面、响应效率。

4. 持续可见的结果

客户可以按月、按季度看到安全成效，而不是年底才看一份总结。

从这个角度看，真正适合订阅制的安全业务，往往不是“重建设、轻运营”的单点产品，而是那些天然嵌入客户日常安全运营流程的能力。

八、国内安全公司要做成订阅制，关键不在收费方式，而在重构交付体系

如果要认真回答“国内安全公司的订阅制为什么做不起来”，答案其实很清楚：

因为很多公司只改了商业包装，没有重构价值交付。

要把订阅制真正做起来，至少要完成下面几个转变：

1. 从“交付系统”转向“交付结果”

客户不应该只看到设备、平台、报表，而应该看到风险下降、效率提升、能力增强。

2. 从“项目上线即完成”转向“客户成功持续负责”

上线不是结束，而是订阅真正开始的时刻。

3. 从“功能售卖”转向“能力运营”

不是告诉客户你有多少模块，而是告诉客户这些模块如何持续解决问题。

4. 从“续费销售驱动”转向“日常价值驱动”

续费不应发生在合同到期前两个月，而应建立在过去十个月不断被证明的价值上。

5. 从“泛泛而谈安全价值”转向“量化展示经营价值”

安全要尽量和业务语言接轨：成本、效率、暴露面、处置时效、组织能力、合规压力。

九、结语：订阅制的本质，是安全能力的持续兑现

国内安全公司不是不能做订阅制，而是不能把订阅制理解成一种更平滑的收费方式。如果只是把一次性交付拆成三年回款，那不是订阅；如果只是把软件授权从永久版改成年费版，那也不是订阅；如果客户一年后感觉不到明显不同，那更不可能形成真正的续费逻辑。

真正的订阅制，不是年付项目，而是安全能力的持续兑现。

客户持续付费的前提，不是合同自动续签，而是他们持续相信：你的能力每天都在运行，每月都在产生结果，每季度都在帮助他们应对新的风险，每年都比上一年更值得继续合作。

这才是网络安全行业订阅制真正成立的基础。

而这件事，远比把报价单改成“年费模式”要难得多。