从1月7日开始，这个冬天的“三九天”来临，这是一年里最冷的一段时间。前几天，一场主题为“冬天有多长”的网络安全行业市场年会举行。

“经济大环境影响、行业内部碎片化、对IT价值认知不足、数字化程度不高……”数世咨询的创始人李少鹏这样分析。他认为，这些问题是安全价值难以度量的，导致低价竞标现象普遍，从而影响了产品的质量和服务。

“人均创利-1.6万”，在去年的外滩大会分论坛上，北京赛博英杰科技有限公司创始人谭晓生分享了一组调研数据。可以通俗地理解为，当前行业每年人均创收，刨去各项成本支出，“赔”1.6万！

行业凛冬，不言而喻。安全行业的发展之道在哪？

市场趋于饱和，须从合规驱动走向价值驱动

随着传统合规市场渐成趋近饱和的红海，波澜渐息。“经济社会大环境下，企业生存艰难。安全预算成为企业削减成本的首要目标，合规采购需求随之锐减。”

永信至诚副总裁付磊认为，安全能力深陷 “响应式” 合规内卷的泥沼，企业与研究者精力分散，忽略了真正问题的深度挖掘。

行业研究机构“数说安全”的一组显示，2019年至2023年国内安全服务项目数量复合增速为28.7%，2023年安全服务项目数量已超4万个，安全服务项目数量占比从2019年11.9%提升至15.5%。

随着客户对安全服务持续性重视，服务化模式正成为保障业务连续性和数据安全性的关键策略，安全产业逐渐从合规驱动向需求驱动、再到价值驱动转化。

李少鹏认为，当前行业正在一步步实现“安全产品商业化、安全商品价值化”，符合一定性价比的同时，满足其实际需求，真正给客户带来价值。

“这种‘内卷’状态对于产业发展，乃至国家、社会对网络空间安全实质需求，都是不健康的。”付磊认为，造成这种局面的原因有很多，有技术的局限性，有社会发展的阶段性，有传统买方市场的不规范性，也有行业从业者的狭隘性等。

对此，相关企业应该找准自己的优势和定位，做好内功，不要贪大求全。比如，每个细分赛道可以考虑走出两三家“深度专家”，解决社会实践中应用和科研的具体问题，共同提高网络空间整体安全水平。而非大量中小企业甚至行业巨头挤在挖洞、渗透、防火墙、样本检测等传统合规市场做高度同质化的工作。

“网络安全市场从诞生以来，就是强合规驱动的市场，多数企业从成立之初瞄准的市场就是合规市场。”赛迪顾问网络与数据安全研究中心总经理刘娟也认为，现阶段在合规政策的推动下，合规性市场中的用户大多已经成为各个安全企业的客户，合规性的产品如果没有大的革新，市场就没有太大的增量可言，只能仅靠设备换新来维持相关产业规模。

“对于实战攻防产品的需求与日俱增。”谭晓生举例说，2023年购买此类服务的客户近4000家，近5年复合增速达 24%。这是市场发出的强烈信号——价值驱动的时代已然来临，安全产品必须回归本质，以真正的能力守护企业网络安全。

蚂蚁集团副总裁、首席技术安全官韦韬建议，作为行业主管方，可以考虑控制风险与保险费率比例，从而调节行业整体安全水平。出于成本考虑，参与方有降低保费的意愿，将会主动提升安全性，并且会优先使用那些安全效果提升明显的技术。“这是一个对后果负责的市场化激励机制，会比单纯的合规保障建设效果更好，也能促进市场逐步寻找安全和成本的最佳平衡点。”

低价竞标乱象频发，不正当竞争亟需规范

需求端客户在数字化与安全的双重压力下，催生了低价竞标的“怪胎”。谭晓生认为，采购招投标体系的弊端，让采购与使用部门脱节，最低价中标成为采购方规避风险的“避风港”，却让行业陷入了混乱。
合规驱动下的低价竞标让客户在“免责”的诱惑下，常常选择价格最低的产品，而不顾其是否能真正抵御风险。“这无异于饮鸩止渴，严重侵蚀着行业的健康根基”。

与此同时，“中间商”的存在也成了行业“黑洞”。谭晓生举例说，过去一年里，需求方安全项目总量和投入预算都在增加，但供应方的收益却寥寥无几，大量利润被“中间商”截留，导致专业安全厂商在这股浪潮中节节败退。

他表示，最近三年运营商中标项目数量每年均保持40%以上增长，而专业安全厂商中标项目数量增速呈现连续下降趋势。此外，因为一些存续多年的固有客户关系，市场竞争优势逐渐向拥有客户资源的一方倾斜。

很多时候“中间商”还不止一个，层层经手导致产品质量与创新被层层削弱，行业“内卷”愈发严重。李少鹏坦言，设定采购名单、规范采购流程，让预算经费的使用真正有所实效，或许是解题的关键所在。
上述问题在行业内或许早已“心照不宣”，实则对行业发展造成的阻碍已是积重难返。

付磊分析：“在一个安全人才和安全技术紧缺的环境下，大量安全厂商把精力投入到项目转化快的同质化产品和服务的竞争里，而造成这种局面的根本所在，除了行业从业人员自身狭隘外，甲方采购政策的导向也有一定的推动作用。”

如何推动竞争秩序规范化？

具体而言，首先，要强化标准，加快完善安全产品的国家标准和技术规范，以标准促进市场的规范化；其次，要推动建立公平透明的竞争环境，规范行业监管，提高行业信息透明度，帮助用户做选择，促进厂商之间的良性竞争；再次，要鼓励企业进行产品创新，加大知识产权保护。此外，要推动厂商根据用户实际需求开发产品，为用户提供易用且高效的解决方案，提升用户体验。

从互联互通到业务共享，还须迈过几道坎

网络安全本应是互联互通的基石，却因厂商产品的不兼容等导致“支离破碎”。“不兼容这道壁垒，不仅影响整个产业的发展，更是造成了低价竞标等乱象的根源之一。”

然而，实现互联互通并非易事。各厂商技术路线和开发模式不同，产品之间的隔离是天然形成的。
国内需求方客户相对成熟度较低、动手能力较差，依赖于供应方厂商服务，也就造成了安全产品不标准；而西方需求方客户成熟度高，会主动要求供应方厂商做到产品标准化和互联互通。

互联互通框架是从网络安全产品互联互通方面规定相关内容，而真正实现互联互通，则是要在监管、厂商、用户多个层面，建立健全统一高效的网络安全协同联防体系，形成跨部门、跨行业高效联动的网络安全防护能力。

此外，还要做好“情报”共享。李少鹏认为：“大家不能出于各自的利益而保守信息，应该共享安全事件、漏洞、木马等信息，以更有效地解决安全问题。”谭晓生也表示，要考虑成本分担的难题，即市场上有不少做威胁情报共享的专精企业，威胁情报生产成本高，谁来为其“买单”，这也是现在的争议所在。

“好技术也需要共享，但要通过商业的方法去解决。有些企业的威胁情报团队今年谈了近百家厂商，到现在都没能卖出去多少。”身处行业变革的浪潮，也犹如站在命运的十字路口。是困于合规的旧梦，还是勇闯价值的新途？是在不当竞争的泥沼中挣扎，还是携手构建健康生态？是坚守产品孤岛，还是拥抱互联互通？

“别管冬天有多长，蓄力长膘是关键。”一位资深从业者这样说。毕竟，网络安全市场本身较基础设施、数字化建设具有一定的预算滞后性，对中国网络安全产业来说，回归业务本身，跟上变革的脚步，可能在涅槃和蛰伏中也蕴藏着机会。