【网络安全行业“困”与“机”系列观察①】

　　从1月7日开始，这个冬天的“三九天”来临，这是一年里最冷的一段时间。前几天，一场主题为“冬天有多长”的网络安全行业市场年会举行。显然，这场年会不是探讨天气，而是剖析网络安全行业的长期困境。

　　“经济大环境影响、行业内部碎片化、对IT价值认知不足、数字化程度不高……”数世咨询的创始人李少鹏这样分析。他认为，这些问题是安全价值难以度量的，导致低价竞标现象普遍，从而影响了产品的质量和服务。

　　“人均创利-1.6万”，在去年的外滩大会分论坛上，北京赛博英杰科技有限公司创始人谭晓生分享了一组调研数据。可以通俗地理解为，当前行业每年人均创收，刨去各项成本支出，“赔”1.6万！

　　行业凛冬，不言而喻。安全行业的发展之道在哪？

　　市场趋于饱和，须从合规驱动走向价值驱动

　　前不久，90后工程师赵治（化名）离开了扎根7年的网络安全行业。已经是区域项目负责人的赵治，此举让周围人不禁疑问——为什么选择离开？

　　“产业正在经历一场从快速扩张到逐步规范化的变革。行业供需不匹配，以及由此引发的一系列市场生态问题。尤其在最近三四年内，这些问题逐渐暴露，行业从表面繁荣的‘井喷式发展’开始显现深层次的结构性矛盾。”赵治说。

　　如果放到几年前，合规需求可以说是安全市场的核心引擎。但随着传统合规市场渐成趋近饱和的红海，波澜渐息。“经济社会大环境下，企业生存艰难。安全预算成为企业削减成本的首要目标，合规采购需求随之锐减。”在谭晓生看来，“这些其实是一个正常现象。”

　　永信至诚副总裁付磊认为，安全能力深陷 “响应式” 合规内卷的泥沼，企业与研究者精力分散，忽略了真正问题的深度挖掘。

　　换句话来说，在看似繁荣却暗藏危机的市场里，大量企业在合规的狭小圈子里恶性竞争、产品同质化，犹如越来越多的千军万马拥挤地过独木桥。

　　行业研究机构“数说安全”的一组显示，2019年至2023年国内安全服务项目数量复合增速为28.7%，2023年安全服务项目数量已超4万个，安全服务项目数量占比从2019年11.9%提升至15.5%。

　　在安全产业发展过程中，大多数由合规需求驱动，而近年来的灾难性攻击表明，网络风险是重大威胁，下游客户开始把安全视为一项重要的商业风险，并且更加看重网络安全服务的可持续性。也就是说，随着客户对安全服务持续性重视，服务化模式正成为保障业务连续性和数据安全性的关键策略，安全产业逐渐从合规驱动向需求驱动、再到价值驱动转化。

　　随着我国政企数字化建设速度放缓，网络安全市场需求转弱，传统合规市场趋于饱和，一些网络安全企业不得不调整战略布局。李少鹏认为，当前行业正在一步步实现“安全产品商业化、安全商品价值化”，符合一定性价比的同时，满足其实际需求，真正给客户带来价值。

　　“这种‘内卷’状态对于产业发展，乃至国家、社会对网络空间安全实质需求，都是不健康的。”付磊认为，造成这种局面的原因有很多，有技术的局限性，有社会发展的阶段性，有传统买方市场的不规范性，也有行业从业者的狭隘性等。

　　对此，相关企业应该找准自己的优势和定位，做好内功，不要贪大求全。比如，每个细分赛道可以考虑走出两三家“深度专家”，解决社会实践中应用和科研的具体问题，共同提高网络空间整体安全水平。而非大量中小企业甚至行业巨头挤在挖洞、渗透、防火墙、样本检测等传统合规市场做高度同质化的工作。

　　“网络安全市场从诞生以来，就是强合规驱动的市场，多数企业从成立之初瞄准的市场就是合规市场。”赛迪顾问网络与数据安全研究中心总经理刘娟也认为，现阶段在合规政策的推动下，合规性市场中的用户大多已经成为各个安全企业的客户，合规性的产品如果没有大的革新，市场就没有太大的增量可言，只能仅靠设备换新来维持相关产业规模。

　　近年来，灾难性攻击频发，犹如声声警钟，一定程度上震醒了下游客户。各方也开始重新审视网络安全，不再将其视为简单的合规任务，而是关乎企业存续的商业风险。

　　“对于实战攻防产品的需求与日俱增。”谭晓生举例说，2023年购买此类服务的客户近4000家，近5年复合增速达 24%。这是市场发出的强烈信号——价值驱动的时代已然来临，安全产品必须回归本质，以真正的能力守护企业网络安全。

　　蚂蚁集团副总裁、首席技术安全官韦韬建议，作为行业主管方，可以考虑控制风险与保险费率比例，从而调节行业整体安全水平。出于成本考虑，参与方有降低保费的意愿，将会主动提升安全性，并且会优先使用那些安全效果提升明显的技术。“这是一个对后果负责的市场化激励机制，会比单纯的合规保障建设效果更好，也能促进市场逐步寻找安全和成本的最佳平衡点。”

　　低价竞标乱象频发，不正当竞争亟需规范

　　在全球“经济寒冬”中，网络安全市场也未能幸免。需求端客户在数字化与安全的双重压力下，预算也犹如拉紧的弓弦，却仍渴望更多安全保障。然而，这一矛盾也催生了低价竞标的“怪胎”。

　　“供应方迫于业绩压力，竞争日趋白热化，各类低价冲标、控标现象频发……”赵治感受深刻。

　　“记得一家大型集团安全人员曾说，他们想采购到自己真正看中的产品几乎很难。很多为了规避风险，造成了诸多的不可控。”谭晓生认为，采购招投标体系的弊端，让采购与使用部门脱节，最低价中标成为采购方规避风险的“避风港”，却让行业陷入了混乱。

　　李少鹏也坦言，合规驱动下的低价竞标让客户在“免责”的诱惑下，常常选择价格最低的产品，而不顾其是否能真正抵御风险。“这无异于饮鸩止渴，严重侵蚀着行业的健康根基”。

　　与此同时，“中间商”的存在也成了行业“黑洞”。谭晓生举例说，过去一年里，需求方安全项目总量和投入预算都在增加，但供应方的收益却寥寥无几，大量利润被“中间商”截留，导致专业安全厂商在这股浪潮中节节败退。

　　他表示，最近三年运营商中标项目数量每年均保持40%以上增长，而专业安全厂商中标项目数量增速呈现连续下降趋势。此外，因为一些存续多年的固有客户关系，市场竞争优势逐渐向拥有客户资源的一方倾斜。

　　然而，很多时候“中间商”还不止一个，层层经手导致产品质量与创新被层层削弱，行业“内卷”愈发严重。李少鹏坦言，设定采购名单、规范采购流程，让预算经费的使用真正有所实效，或许是解题的关键所在。

　　上述问题在行业内或许早已“心照不宣”，实则对行业发展造成的阻碍已是积重难返。付磊分析：“在一个安全人才和安全技术紧缺的环境下，大量安全厂商把精力投入到项目转化快的同质化产品和服务的竞争里，而造成这种局面的根本所在，除了行业从业人员自身狭隘外，甲方采购政策的导向也有一定的推动作用。”

　　付磊还提到，在这个困境里，需求方多一点激进的需求，做好“0中标”的准备；供给方多一些结合实际业务场景的研发投入，吸引甲方业务专家设计产品和解决方案，都会让事情更进一步。此外，在供需双方中，也缺乏对采购需求，以及供给能力做好公正、客观评估的生态参与者。就好比患者求医买药，医生开药、治疗，但有独立的体检机构可以定期体检。安全行业也缺乏这种客观、中立、专业评价的第三方“体检机构”。

　　如何推动竞争秩序规范化？刘娟建议，推动产业规范化，并确保安全产品真正符合需求。具体而言，首先，要强化标准，加快完善安全产品的国家标准和技术规范，以标准促进市场的规范化；其次，要推动建立公平透明的竞争环境，规范行业监管，提高行业信息透明度，帮助用户做选择，促进厂商之间的良性竞争；再次，要鼓励企业进行产品创新，加大知识产权保护。此外，要推动厂商根据用户实际需求开发产品，为用户提供易用且高效的解决方案，提升用户体验。

　　从互联互通到业务共享，还须迈过几道坎

　　网络安全本应是互联互通的基石，却因厂商产品的不兼容等导致“支离破碎”。“不兼容这道壁垒，不仅影响整个产业的发展，更是造成了低价竞标等乱象的根源之一。”青藤云安全一位专家指出，实现互联互通的好处在于，企业可以专攻某个产品，而不用面面俱到。

　　然而，实现互联互通并非易事。各厂商技术路线和开发模式不同，产品之间的隔离是天然形成的。

　　“过去因为销售故意设置障碍，而使得互联互通存在问题，近年来有所好转，部分需求方客户要求产品实现标准化和互通，迫使供应方安全厂商不断改进。”谭晓生说，这也体现了中西方网络安全市场供需差异，国内需求方客户相对成熟度较低、动手能力较差，依赖于供应方厂商服务，也就造成了安全产品不标准；而西方需求方客户成熟度高，会主动要求供应方厂商做到产品标准化和互联互通。

　　2024年11月底，由全国网络安全标准化技术委员会归口的首项网络安全产品互联互通国家标准GB/T 44886.1-2024《网络安全技术 网络安全产品互联互通 第1部分：框架》（以下简称“《框架标准》”）发布，将于2025年6月实施。

　　《框架标准》明确了网络安全产品互联互通标准体系，包括互联互通框架、资产信息、告警信息、行为信息、威胁信息、事件信息、脆弱性信息和功能接口等系列国家标准。该标准体系的构建和研制实施，可以指导网络安全产品互联互通的设计、开发和应用，降低安全厂商、安全产品之间的适配成本，降低用户单位互联互通工作的改造成本，提升互联互通工作建设效果。

　　“互联互通框架是从网络安全产品互联互通方面规定相关内容，而真正实现互联互通，则是要在监管、厂商、用户多个层面，建立健全统一高效的网络安全协同联防体系，形成跨部门、跨行业高效联动的网络安全防护能力。”刘娟说。

　　然而，标准的迭代、实施的落地，仍需监管方、客户方与厂商方携手共进，共同构建有生命力的互联互通标准和应用体系。“不仅在标准制定过程中需要达成产业界的共识，并考虑到各厂商的差异和接口安全问题，在实施落地过程中，也需要通过政策补贴和项目牵引促进标准的实施应用。”青藤云安全专家说。

　　此外，还要做好“情报”共享。李少鹏认为：“大家不能出于各自的利益而保守信息，应该共享安全事件、漏洞、木马等信息，以更有效地解决安全问题。”

　　谭晓生也表示，要考虑成本分担的难题，即市场上有不少做威胁情报共享的专精企业，威胁情报生产成本高，谁来为其“买单”，这也是现在的争议所在。“好技术也需要共享，但要通过商业的方法去解决。有些企业的威胁情报团队今年谈了近百家厂商，到现在都没能卖出去多少。”

　　身处行业变革的浪潮，也犹如站在命运的十字路口。是困于合规的旧梦，还是勇闯价值的新途？是在不当竞争的泥沼中挣扎，还是携手构建健康生态？是坚守产品孤岛，还是拥抱互联互通？

　　“别管冬天有多长，蓄力长膘是关键。”一位资深从业者这样说。毕竟，网络安全市场本身较基础设施、数字化建设具有一定的预算滞后性，对中国网络安全产业来说，回归业务本身，跟上变革的脚步，可能在涅槃和蛰伏中也蕴藏着机会。

　　光明网网络安全频道、数字化频道出品

　　总策划：杨谷　监制：张宁　统筹：李政葳　撰文：雷渺鑫 刘昊