五年,是一个十分奇妙的时间段。
对于国家来说,每个五年计划都让国力有了阶段性提升;对于学生来说,五年高考三年模拟是一个挥之不去的噩梦;对于个人来说,五年足以让一个行业小白逐渐成长为行业精英。
张家辉对于“五年”最有发言权:五年,你知道我这五年是怎么过的吗?
而对于网络安全来说,五年的时间,已经让整个行业发生了翻天覆地的变化。
2017年6月,《中华人民共和国网络安全法》正式实施,网络安全行业底层逻辑迎来了变革的机遇。同时,乘着国家快速发展和数字化转型的东风,以及企业为应对不断严峻的网络攻击的实际需求,在这五年的时间里,叠加了多重利好的网络安全开始了一路狂奔的发展模式。
不论是网络安全产业整体规模、增长速率,还是登录股票市场的企业数量、营收总额,亦或是直观反应行业热度的企业融资数量、金额,在这五年的时间里都有了十分明显的变化。这种变化甚至大到让普通员工都可以直观感受到。
如此巨变在网络安全发展历史上可不多见,而通过回顾发展历史,或许我们可以更好的看到未来。那么接下来,就让我们一起站在上帝视角,逆转时光,将网络安全五年发展的鸿篇巨制徐徐展开。
法律:体系有了质的变化,为网安产业爆发奠定了基础
完善的法律体系是行业长久发展的底层基础,没有完善的法律体系,即便行业在短期内繁荣,也必定会因“劣币驱逐良币”而没落。须知资本更喜欢稳健的市场,而一个时刻存在风险的行业必定无法获得青睐。
2017年,《网络安全法》颁布实施,成为网络安全行业一部提纲挈领的法律,为下位法以及网络安全领域的其他专门立法确立了基本法律原则、基本法律制度,也是各部门、各行业、各企业和上网用户维护网络安全和自身合法权益的主要法律保障。
《网络安全法》申明了网络主权原则,建立了关键信息基础设施保护制度,明确了互联网信息内容管理部门、网络运营者与个人在网络安全保护领域的权利与义务,完善了个人信息保护规则,并为构建网络安全法律法规体系提供了基础性依据。
在《网络安全法》的基础上,我国陆续发布了多项重要法律、法规,使得网络安全法规体系逐步完善。我国还在各大细分领域分别颁布关键性法律,进一步消除模糊概念和区域,做到有法可依。
同时建立网络安全审查、云计算服务安全评估、数据安全管理、个人信息保护等一批重要制度,制定发布300余项网络安全领域国家标准,基本构建起网络安全政策法规体系的“四梁八柱”。
例如,在网络信息内容治理领域,网安法与《网络信息内容生态治理规定》《互联网信息服务算法推荐管理规定》等法规有效打击了网络传播违法不良信息行为,规范了网络信息服务提供者的运营行为。
在个人信息保护领域,《网络安全法》与《民法典》《个人信息保护法》《数据安全法》等法律法规为隐私权与个人信息权益提供法律保障。
在数据安全领域,《网络安全法》与《数据安全法》《区块链信息服务管理规定》《汽车数据安全管理若干规定(试行)》等法律法规共同构建了兼顾维护数据安全与促进数据流动的平衡机制。
在关键基础设施方面,《网络安全法》和《关键信息基础设施保护条例》等法规为关键信息基础设施制度确定了法律主体范围以及相应的权利义务。
在数据跨境流动方面,《网络安全法》《网络安全审查办法》《个人信息跨境处理活动安全认证规范》等法律法规从个人信息、重要数据、国家秘密、行业数据以及出口管制、境外调取进行多维度的跨境活动监管。
同时,完善的法律体系也为企业合规作出了更加清晰的指引,再加上2019年12月1日实施的等保2.0,企业合规模糊区域逐渐减少,合规红线愈发明确。
不可否认,这给企业带来了更大的合规成本和压力,但是对于网络安全行业来说,却是一块无比庞大的蛋糕。大量的合规需求迫使企业采购更多的安全产品和服务,直接促进了网络安全产业整体规模增长,也让更多的创业者和资本看到了机会,纷纷投入到这一片蓝海之中。
此外,合规需求也让企业信息安全人员的地位、话语权进一步提升,从向运维、IT汇报变成了向最高BOSS直接汇报。
由于合规关乎企业的生死,当合规和业务发生冲突之时,业务只能乖乖让路,合规需求越多,安全的重要性就愈发明显,并且可以按照合规需求向领导层请求更多的资源和投入,这些都直接促进了安全行业的发展和繁荣。
总的来说,我国已出台关于网络与数据安全的法律、行政法规、部门规章、规范性文件等共计两百多部,形成了覆盖网络安全等级保护、关键信息基础设施安全保护、网络关键设备和网络安全专用产品管理、国家网络安全事件管理、密码管理、跨境活动网络安全管理、数据安全管理、个人信息保护等领域的网络安全法律法规体系。
产业:规模成倍增长,资本热度显著上升
如果说法律体系的完善是行业长远有序发展的基础,那么产业各项数值的变化就是行业发展是否良好的直观体现。
根据中国信息通信研究院发布的《中国网络安全产业白皮书(2018)》,我国2017年网络安全产业规模约为1100亿元;2021年,这一数值暴增至2002.5亿元(根据《中国网络安全产业白皮书(2022)》),较上年同比增长约为15.8%。按照这个增长速率,2022年我国网络安全产业规模将超过2300亿元,产业数值实现翻倍。
整体来看,企业发展态势总体良好,技术创新高度活跃,生态建设不断完善,综合实力显著增强。随着我国新型基础设施建设的全面铺开,以及数字化转型的加速进行,网络安全产业的底座作用将进一步凸显。在政策和市场的双重驱动下,未来网安产业预计将继续保持高速增长。
而根据A股公开的数据显示,2017年我国A股上市企业仅有14家(不包括新三板),此时深信服才刚刚提交了上市申请,奇安信还没有登录科创板;2021年,我国网络安全上市企业上升至26家,大量新兴网络安全企业登录科创板,上市企业数量接近翻倍。
值得一提的是,我国26家网络安全上市企业中,有18家企业的营业收入则实现了不同程度地增长。其中,安博通营收增速最快,达48.92%;其次是山石网科,同比增速为41.57%;奇安信-U同比增速为39.6%。可以预见的是,未来还有大量的网安企业将继续登录A股科创板进行融资,也将继续为网安产业发展提供源源不断的弹药。
融资方面,根据36氪发布的数据显示,2017年我国网络安全融资事件共55起,总金额33.92亿人民币;2021年,融资事件达到208起,融资总额达到158.9亿元,有27.9%的融资事件的金额达到亿元级别,资本市场持续看好网络安全行业。值得注意的是,超过半数的融资出现在项目早期(A+轮以前),这和其他行业存在明显不同。
这意味着中国网络安全市场同时具备产业成熟度仍有待提高与未来发展前景广阔两大特点。一方面,中国网络安全产业存在大量规模较小的初创安全企业,市场集中度偏低,与之对应的融资事件自然也多于中后期项目。另一方面,早期融资项目的高度活跃意味着资本正积极拥抱市场的初级阶段,对安全产业的长期发展前景保持乐观。
产业调查方面,根据安全牛2017年7月发布的《中国网络安全行业全景图》,我国网络安全产业共分为17个安全领域,59个细分领域,包含了约200家安全企业和相关机构。根据FreeBuf即将发布的《CCSIP 2022中国网络安全产业全景图》,我国网络安全产业共分为21个安全领域,94个细分领域,共有五百多家网络安全企业和相关机构上榜,初创企业如雨后春笋般蓬勃生长。
当下,我国网络安全产业规模虽然远小于国外市场,但是已经具备“万亿蓝海”的潜力。和其他行业相比,网安行业的安全和底座属性让其天然更易受到政府资本、央国企资本、上市公司青睐,这也促使越来越多的人才投身网络安全创业大潮之中,并以创新思维和产品驱动网络安全行业快速向前发展。
企业:攻击勒索日渐猖獗,人才缺口持续扩大
五年的时间里,甲方安全人员大多都有一个明显的感受,企业在安全上的投入正越来越多,安全体系建设变的更加成熟和完善。
众所周知,企业安全投入主要集中在两方面:一是安全合规需求,这点在上文已有叙述;二是为了有效应对日渐猖獗的网络、勒索攻击和频繁爆发的安全漏洞,确保业务运营、发展不受其干扰,数字化资产不因其而蒙受损失。
当下,全球网络安全形势不容乐观。据Splunk发布的《2022 全球网络安全态势报告》数据显示,近一半的企业表示,他们在过去两年中遭受了数据泄露,比一年前调查中的 39% 有所增加;79% 的受访者表示,他们遇到过勒索软件攻击,35% 的受访者承认曾有一次或多次攻击导致其无法访问数据和系统;59% 的安全团队表示,他们必须投入大量时间和资源进行补救,这一比例高于一年前的 42%。
勒索攻击也开始疯狂。根据 FortiGuard Labs 的研究,2022 年将成为网络犯罪的重要年份:勒索软件数量逐步上升,蜂拥而至的攻击者竞相寻找新的攻击目标。网络攻击会继续蔓延至整个数字世界,让IT 团队疲于应对,未来将呈现攻击链左侧发力、自上而下的攻击机制以及从核心到边缘全覆盖等安全态势。
更糟糕的是,随着企业上云成为必选项,以及数字化转型的加速进行,企业数字资产所占比重正在攀升,因网络攻击所造成的损失正在企业所能承受的极限。且不提那些动辄上亿的赎金,仅仅是数据泄露就足以给企业带来致命打击。为了应对这些网络攻击,保护自身资产,企业不得不持续向安全方面倾斜资源,对于安全的重视程度也呈逐年上升的趋势。
一个较为明显的例子是,在2017年业界还在为DevOps而欢呼鼓掌,为了快速抢占市场,敏捷开发深入人心,一切都应该为速度让步。如今,安全已经成为开发不可或缺的一部分,不可避免会降低开发的速度,但却没有企业会为了提速而完全抛弃安全。相反,在某些时候,安全可以一言定生死。而为了提高开发速度,安全开始更加深入开发,安全左移的概念成为业界新的共识。
企业端还有一个直观体现安全行业变化的指标,那就是安全人才缺口数。
根据腾讯安全发布的《2017年上半年互联网安全报告》数据显示,我国高校教育培养的信息安全专业人才仅3万余人,网络安全人才总需求量则超过70万人,缺口高达95%。
而根据工信部发布的《网络安全产业人才发展报告》白皮书显示,我国网络安全产业人才需求高速增长,2021年上半年人才需求总量较去年增长高达39.87%。值得注意的是,自2019年以来超九成网络安全人才的最高学历为本科及研究生以上,大量的网络安全人才从校园步入社会。
但即便是高校每年输出数万安全人才,我国网络安全人才缺口还在不断扩大,至2022年平均供求比约为1:2,存在资深人才储备不足、新人培养和育留难度大等挑战。过半数的网络安全从业者认为当前公司网络安全人才规模不能满足工作需求,10.82%的从业者认为公司处于“人才非常短缺”的状态;熟悉各种防御技术的安全研究岗位人才最为短缺,认为这一岗位人才短缺的人数占调查总人数的42.96%。
由此可见,这五年来,整个网络安全行业的需求量正在快速增长,且每年输入人才的速率还无法满足企业每年增长的速率,以至于缺口日渐庞大。这也侧面印证了我国网络安全产业五年内的巨大发展。
技术:企业研发持续投入,新兴技术日新月异
正如我们所看到的那样,这五年也是我国网络安全技术快速发展的黄金时期。得益于了网络安全产业的快速发展,以及政策、市场侧的诸多利好,我国网络安全上市企业在技术上的投入持续增加,由此推动了网络安全新兴技术的出现和落地。
据中国信息通信研究院《中国网络安全产业白皮书(2018)》数据显示,2017年我国网络安全上市企业的平均研发投入为2.85亿元,相比去年的2.55亿元,增长了11.76%;企业平均研发投入增长率为13.91%,保持高位水平。
2022年我国主要网络安全上市企业研发投入普涨,但研发费用率低于国际同业水平。根据A股公开数据显示,在2021年,25家网络安全公司的研发费用总额共计130.43亿元,平均研发费用为5.22亿元,大大高于2020年的2.63亿元。这意味着企业和资本对于网络安全新技术的研发热度持续高涨,技术更新迭代速度越来越快。
与此同时,初创企业在新技术创新上同样保持着极强的动力。几乎每一家网络安全初创企业都会有一些极具创新性的安全技术,这也是它们能够获得资本认可,并在市场中竞争的基础。随着越来越多网安全初创企业的出现,网络安全新技术也在不断增加,并在快速追赶国外安全技术,有的甚至已经处于全球领先。
例如,随着微隔离等技术的出现和应用,火了多年的零信任技术在近年来有了落地的可能,甲方企业开始依据零信任理念来逐步完善已有的网络安全防护体系。
而随着当前威胁与攻击愈发隐秘,扩展威胁检测与响应(XDR)技术在2021年开始得到业界的重视,被誉为是是 SIEM、态势感知、SOAR 发展的再进化,旨在成为市场上的“最强竞争者”。
而如此多新兴技术的出现,也给网络安全产业发展带来了全新的动力,推动网络安全行业进一步发展。创新永远是一个行业长盛不衰的核心因素,也是其未来持续增长的坚实基础。
网络安全就是这样一个不进则退的行业,不论是外部复杂的攻击形势还是企业内在需求,都在不断督促网安厂商们尽可能去创新,研发新产品、新技术,以此不断强化网络安全防护能力。
结语
五年的时间,网络安全描绘了一副令人惊讶的蓝图,如今,新的五年征程已经开始,网络安全产业是否依旧能像之前一样,奋力狂奔?
可以预见的是,当下网络安全攻击形势依旧十分严峻,随着未来数字化转型的完成,网络安全所要承担的使命将更加重大。在现有的法律体系之下,细分领域的法律体系将进一步完善,各种促进行业发展的政策也将持续存在,企业合规需求自然也不会松绑。更重要的是,大量高校已经开设了网络安全专业,并将大量输出网络安全人才,这让网安行业的发展有了足够的生力军。
网络安全厂商方面,综合型安全厂商虽然也在持续投入研发,但在前沿技术更新上存在一定短板,此举或可通过投资并购进行弥补。目前,中后期相对高成长型企业开始积极布局产业链上下游及内安全企业,未来这一现象将会更加普遍。而这也将帮助高潜力初创企业更快发展,进一步提高我国网络安全市场快速增长,促使我国网络安全产业走在更加成熟的方向。