本文內容來源于賽博英杰董事長譚曉生于9月26日 2021成都網絡安全大會（CCS） 主論壇演講。

　　今天我來講一講網絡空間安全產業如何助力數字化轉型。

　　數字化轉型在十四五規劃和2035綱要里面被提到了很多次，其實中國的數字化轉型可追溯到上個世紀的80年代開始，我們經歷了傳統手工流程的計算機化，到有局域網、廣域網，再到互聯網，直至互聯網從個人應用滲透到社會生產生活的各個方面，到今天我們進入了一個萬物互聯的時代。我自己是92年參加工作的，第一份工作中做的首個比較大的項目就是在今天大會的所在地，成都——是四川省新華書店的圖書儲運系統，當時是一個傳統的手工流程計算機化的項目。

　　今天世界正處在一個萬物互聯的時代，我們遇到了各種各樣的安全問題，比如大型機構正在面臨的信息泄露事件；工業系統所受到的網絡攻擊事件（像今年5月份美國Colonial油氣管道遇到勒索，導致美國進入緊急狀態）；還有震網病毒，以及像今年伊朗遭到網絡攻擊，造成了9個月才能恢復的電力系統故障等。

　　安全事件的頻發，與之相伴隨的是網絡安全產業的發展。上面左邊的圖是我們統計的從2015年到現在網絡安全產業的產值規模，這個數字不同的機構出來是有比較大的差別，因為統計口徑是不同的。今天我們用網絡安全產業研究機構數說安全所做的統計數據。

　　可以看到去年網絡安全產業的總產值是530億人民幣，這個數值其實是蠻小的，比千億級的小龍蝦市場、廣場舞大媽的周邊設備的市場還要小。但是我們可以看到過去6年時間里，我們每年產業的平均增速大概是在20%左右，去年因為疫情的影響是11.3%，之前的5年里面有4年都是超過20%的，而且可以看到安全產業的產值增長近乎是一條斜率固定的直線，這個是蠻有意思的一個現象，在2015年的時候，整個網絡安全產值才200多個億，還是相對比較小的一個產業，發展速度很快且穩定。

　　那么在右邊我們可以看到行業的集中度。網絡安全企業中的第一名所占的比例從2017年的6.82%前進到了2020年的7.79%；前8名的集中度在2020年剛剛過40%這條線到41.36%，按照經濟學的分析慣例，前8名超過40%說明這個市場剛剛進入到低聚集型寡占市場。

　　網絡安全的企業數量在2020年的時候是有一個比較大的增長，到今天是4000多家，比前一年增長了23.1%，以1995年天融信成立開始為咱們中國的網絡安全產業誕生來看，這26年間，2020年是非?？焖僭鲩L的一年。

　　我們再來看一下各個企業的營收以及市場占有率有什么特性，從中孚信息開始，后面的那就是10個億以下了，全年收入的第一名也只不過41.6個億。

　　那么在左邊這張圖里面我們看市場占有率，其實就應對了前面說的低集中度寡占的市場現狀，沒有大的巨頭，沒有像互聯網行業里面某一個市場一家占了60~70%的占有率，咱們網絡安全最大的占有率就百分之七點幾，然后百分之六點幾的有兩家，這樣依次下來。

　　還有我們按照區域分布來看，像華北、華南、華東地區比較發達，基本上和經濟、政治的發展是有很大關系。慢慢也形成了政府、金融、運營商、教育、醫療、能源這傳統的六大客戶，除這六大客戶之外的就只剩了19%，所以網絡安全市場是很典型的，政府是里面最大的買單者。其次通過政府頒布的各種各樣的法律法規，驅動著國企和大型企業，尤其是像金融、運營商、教育有關鍵信息基礎設施的行業買單。

　　中國網絡安全的企業數量，我們排出來Top5，可以看到在這里面我們四川都是排名第五，不管是存量還是2020年的增量。這里面典型的北上廣，然后再有江蘇和四川是網絡安全的產業大省。

　　數說安全每年都給中國網絡安全產業聯盟做產業發展報告，我們有一套非常復雜的企業評價打分規則，每年會給行業中的企業發調研表，調研表收上來之后還會根據產業里面我們所獲得的一些其他的情報來修正這張調研表格里的數據，因為調研表格中間有些廠商會填報假的數據，我們會把這些假數據排除掉，最后做一個綜合評分，映射到這樣一個行業格局的地圖里面。

　　這張地圖首先看它的橫坐標是資源力得分，縱坐標是競爭力得分，這張圖不是線性的圖，它的坐標是指數型的坐標，就是說越往右一點點或者越往上一點點，你看到一點點差距在實際中可能就是若干倍，它和左下角位置的間隔差距是有非常大的區別。

　　在這里面我們把它畫成點狀圖，放上去之后，可以明顯的看到網絡安全的企業分成5個陣營，第一個陣營是領導者，第二個陣營是挑戰者，第三個陣營是成長者，第四個是潛力者，還有戰略布局者，這里面是什么區別？

　　我們來看領導者有誰，奇安信、深信服、啟明、綠盟、天融信。除了啟明、綠盟、天融信老三家之外，深信服和奇安信是兩個新進入到這個領域中的玩家。

　　戰略布局者是說他的實力很強，但是沒有認真來做這塊業務，像華為、華三、騰訊、阿里、360都屬于有巨強的資源力，但是競爭力沒有體現出來，原因是他們沒有真正的下足夠大的決心進入這個領域，這個領域對他們的業務來說可能是營收規模太小，或者有其他方面的一些考量而故意選擇不在這個領域中做大的發力。

　　中間的挑戰者是以安恒信息為首的包括亞信安全、中孚、迪普等等這樣的一些公司。

　　真正在網絡安全產業中打拼多年的朋友們一看就會知道，其實我們在左下角的領域內，沒有把所有潛力者和成長者都列進來，這里面的公司數量有很多，都是在某一個領域中有自己特長，但是公司實力其實還是遠遠不夠的，往往它的銷售收入才是到幾個億，公司有幾百人這樣的規模。

　　那么我們怎么看網絡安全整個市場，首先我們面臨的一個困難是它沒有銀彈，不是你采用一家公司的一款或者幾款產品就能徹底解決問題的。

　　第二個我們的市場是一個碎片化的市場，美國momentum cyber出的網絡安全全景圖，他是分成十八大類45小類；那么中國的網絡安全產品全景圖，我們做出來甚至有80多小類——我們面對的是一個碎片化的產品和市場。

　　還有我們今天的網絡安全高度依賴于人的技術技能，而且投入再多都不能做到100%的安全，所以對于用戶來講，他會在投入和他期望收到的安全回報之間有一個平衡。

　　今天我們在任何時候都要提防系統被攻破，像今年RSAC大會的主題叫做Resilient就是彈性，這就是我們要講究，在被攻破的情況之下怎么樣還能夠經營下去，政府在這里面起到很大的作用，就像剛才左曉棟院長講到的，我們各種各樣的立法其實都是期望通過一些法律法規來推動產業更加的安全和完備。安全這個事是要7x24小時運維的。

　　在網絡安全產業，大家都說沒有網絡安全就沒有國家安全，似乎網絡安全是非常之重要，但是2020年產業的規模只有530億，為什么會產生這樣的反差？大家預想中網絡安全產業應該是一個很大的產業，應該用戶會很愿意花錢，為什么產業規模還這么??？其實在這里面有一個問題就是一個用戶為什么要為安全買單？

　　首先一個是出于合規性的要求，如果你不做到合規，就會受到懲罰，會被罰款，執照會被吊銷，相應的負責人可能會丟掉工作等這樣的問題。第二種威脅是它實際會造成損失，比如銀行如果遭到網絡入侵，錢直接就會被轉走，像孟加拉央行8400萬美金被轉走等這樣的情況發生。但是網絡安全的投入和回報卻并不是一個直接可比的，可能網絡安全工作做得非常好，但是遇到高手的攻擊照樣被拿下，也可能他什么東西都沒有做，但就是運氣特別好，沒被攻擊，就沒有事。

　　企業在發展的過程中要精確度量他的投資，要算投資回報率。此時也可能會選擇鋌而走險，什么安全也不做，把錢用于營銷、生產、研發等等其他領域，這種情況它是在安全的投資和回報以及損失之間去做對價的結果。

　　我們的網絡安全市場正在從二維的關系向三維的生態關系過渡的這樣一個過程中。過去的二維市場中，六大安全產品和十大安全服務是第一個維度，第二個維度是行業，比如像剛才說政府、醫療、電信、能源等等客戶，這兩個相乘就會形成針對于某種客戶的解決方案或者產品，這就是傳統的是二維的一個市場。在今天有了云、大、物、移等新的應用場景，我們的市場就由二維到三維開始擴展，在這種情況下網絡安全產品的品類在變多。

　　網絡安全產業本身具有兩種屬性，商業屬性和軍工屬性，它的商業屬性更多的是一種理性的發展和共生，它講究的是我從一個平衡到打破這個平衡，然后再形成新的平衡的過程，它會講究投入與產出。

　　軍工屬性就會有一些非理性的對抗，像最近幾年大家都深有體會，比如中美大國博弈，咱們國家為信創發展會投入很的資金，為了預防一種可能會發生的風險，國家會投入巨多的資源去做安全。最近幾年網絡安全產業的軍工屬性在不斷的在加強。

　　之前我在其他會議中也提過，網絡安全企業的發展是典型的點線面體的過程。網絡安全創新企業成長起來非常之慢，在這個行業做投資，你基本上要打算著投10年以上才能夠退出的預期。

　　一個創業公司往往是從做一款單一的網絡安全產品開始，剛開始可能自己都沒有銷售，通過渠道或者OEM的這種形式來進行銷售，做到幾千萬之后就很難再追求更高的收入了，這時就要在原來的產品基礎上發展一條產品線，有幾款產品，這時候往往就能夠在支撐他做到過億的銷售收入。

　　再進一步的發展就要找某一個或者幾個領域，開始做行業的解決方案，逐漸形成面，最終如果要想要做到10億以上的銷售規模，不得不進化成體，就是各個行業的各種解決方案都要有，典型的像奇安信啟明、綠盟、天融信，他們自己會生產若干種安全產品，同時OEM若干種安全產品，最后形成若干行業的解決方案，然后再有上千名的銷售、上千名的研發，大概有幾百到上千的這種項目實施人員，再去撲全國的市場，這就是典型的網絡安全企業發展的路徑。

　　這個是我們做的一個網絡安全的企業的分類架構，中國有4000多家網絡安全公司，有那么多產品，到底是怎么分類如何構成的？背后的邏輯是什么？

　　首先六大基礎安全領域，包括端點安全、網絡安全、應用安全、數據安全、身份與訪問管理和安全管理。右側是十大安全服務。在這個基礎之上，又會有什么？比如現在特別熱的零信任這個概念。很多公司號稱自己是零信任公司，其實零信任不是一種產品，它是一種技術思路，是一種思想。同樣的技術理念還有威脅情報、開發安全、數據安全治理，它們都是解決安全問題的一種思路，這種思路可以用在各個安全產品上，也可以體現在安全服務里面。我們再看四大新興的安全應用場景包括云計算、工控安全、移動安全和物聯網安全。最終網絡安全的用戶依然是幾大類的這種行業客戶，這里面我們把他劃分為六大行業解決方案。

　　這是市場構成的邏輯，我們通過這樣的一個結構，試圖把所有的網絡安全公司和所有的網絡安全產品來進行歸類，歸類的結果就是這張網絡安全市場的全景圖。在這張全景圖里面總共有16個大類81小類。

　　現在網絡安全的一些新概念和新技術方向都有什么？

　　一個是數據安全方面，這個是現在網絡安全產業一個大賽道。前兩天我在北京參加了一個這樣的CCF的論壇，他們請了一批學術類的專家討論數據安全到底該怎么做，有什么樣的創新。其實從學術問題到產業上的生產工具等等這些都有非常大的缺口，所以將來一定能冒出來很大型的數據安全公司。還有安全左移，DevSecOps；還有自動化；還有密碼方面的發展；還有新的安全檢測理念等。

　　再看一下資本市場，科創版開通以來，安恒、奇安信等登陸了科創板，吉大正元登錄了中小板，資本市場是對于網絡安全的產業是相對是比較友好的。從2010年到現在，網絡安全的投資金額在普遍的增加，尤其是從去年開始，很多過去不投網絡安全的傳統基金也在紛紛開始投網絡安全，在今年的上半年投資的總數已經超過了去年的投資總額的一半，所以預計今年還是會持續的增長。

　　我們看一下網絡安全融資的賽道，排名第一最熱的其實還是數據安全，第二是工控安全，再往下是綜合安全，身份管理，移動安全等等，這個數據是從去年到今年的7月份的分析。

　　總結一下，我國網絡安全產業的綜合發展，面臨新形勢、新市場、新格局和新理念。

　　在新形勢下，政策上有各種各樣的法律法規出臺，帶來了市場上的硬需求，還有像公安部搞的HW演習，它所帶來的一些對于攻防效率和效果的市場推動。此外在大國博弈的環境之下網絡安全變成國防的一部分，再加上資本市場的助推，都讓我們的產業保持一個穩定持續的發展。

　　網絡安全產業的新技術和應用，還有不斷開拓出來的新的領域，比如車聯網安全、工業控制安全等都是最近幾年冒出來的新領域，都會是促進產業的發展的動力。

　　從投資的角度來說，像網絡安全這樣的每年能夠有15%甚至20%以上的復合增長，其實已經是非常好的，所以對于網絡安全產業來講，是需要長性。無論是投資，還是去做產品，都需要10年、20年持續的耕耘，才會獲得比較好的回報。

　　那么今天講的就這些，謝謝大家。