1.我国的网络安全产业在过去十多年的时间里取得了显著的进步。特别是近年来,随着互联网的广泛应用、政府和企业信息化建设的加速,网络安全需求呈现出前所未有的快速增长。这种需求的增长,一方面源于网络安全问题的日益凸显,另一方面也推动了网络安全企业不断采用最新技术,推出满足用户需求、具有时代特色的安全产品,进一步推动了网络安全技术的发展。
2.在过去的十年中,网络安全产品从简单的防火墙发展到了目前具备报警、预警、分析、审计、监测等全面功能的网络安全系统。在技术上,这代表了巨大的进步。政府和企业在构建网络安全体系方面有了更多样化的选择。然而,技术的进步并没有抑制网络威胁,反而使其更加突出。网络犯罪和黑客攻击层出不穷,似乎网络世界正面临前所未有的挑战。以下是网络安全环境现状的简单分析。
3.1)在网络和应用系统保护方面,已经采取了包括防火墙、访问控制设备等安全产品在内的多种安全措施,同时实施了备份、负载均衡、硬件冗余等安全策略。
4.2)实现了区域性的集中防病毒,病毒库的升级和防病毒客户端的监控管理得到了统一。
5.3)安全工作主要由各网络/应用系统的具体维护人员兼职负责,安全工作被分散到各个维护人员。
6.4)应用系统账号管理、防病毒等方面已建立一定流程,但在网络安全管理方面的流程相对较弱,需要进一步修订和完善。
7.5)员工的安全意识需要加强,日常办公中存在不安全的操作行为,终端使用和接入情况复杂。
网络安全生态系统正处于发展的初期阶段,其相关技术、法律、政策、组织机构、技能以及合作等方面都在逐步建立和完善。在这个快速发展的过程中,网络安全成为了一个备受关注的领域。
网络安全涵盖了多个方面,包括网络设备安全、网络信息安全以及网络软件安全。它旨在保护网络系统的硬件、软件及其系统中的数据,确保这些资源不因偶然或恶意的原因而受到破坏、更改或泄露。为了实现这一目标,网络安全需要确保系统能够连续可靠地运行,并且网络服务不会中断。
在网络安全的建设中,技术是至关重要的组成部分。随着技术的不断发展,新的安全威胁和漏洞也在不断出现。因此,需要不断更新和升级安全技术和工具,以应对这些挑战。同时,法律和政策也是保障网络安全的重要手段。通过制定和执行相关法律法规,可以规范网络行为,打击网络犯罪,保护网络用户的合法权益。
此外,组织机构和技能的培养也是网络安全建设的重要环节。需要建立专业的网络安全团队,负责监控和应对各种安全威胁。同时,还需要加强网络安全教育和培训,提高公众对网络安全的认识和防范意识。通过多方合作,共同构建安全的网络环境。
【网络安全行业“困”与“机”系列观察①】
从1月7日开始,这个冬天的“三九天”来临,这是一年里最冷的一段时间。前几天,一场主题为“冬天有多长”的网络安全行业市场年会举行。显然,这场年会不是探讨天气,而是剖析网络安全行业的长期困境。
“经济大环境影响、行业内部碎片化、对IT价值认知不足、数字化程度不高……”数世咨询的创始人李少鹏这样分析。他认为,这些问题是安全价值难以度量的,导致低价竞标现象普遍,从而影响了产品的质量和服务。
“人均创利-1.6万”,在去年的外滩大会分论坛上,北京赛博英杰科技有限公司创始人谭晓生分享了一组调研数据。可以通俗地理解为,当前行业每年人均创收,刨去各项成本支出,“赔”1.6万!
行业凛冬,不言而喻。安全行业的发展之道在哪?
市场趋于饱和,须从合规驱动走向价值驱动
前不久,90后工程师赵治(化名)离开了扎根7年的网络安全行业。已经是区域项目负责人的赵治,此举让周围人不禁疑问——为什么选择离开?
“产业正在经历一场从快速扩张到逐步规范化的变革。行业供需不匹配,以及由此引发的一系列市场生态问题。尤其在最近三四年内,这些问题逐渐暴露,行业从表面繁荣的‘井喷式发展’开始显现深层次的结构性矛盾。”赵治说。
如果放到几年前,合规需求可以说是安全市场的核心引擎。但随着传统合规市场渐成趋近饱和的红海,波澜渐息。“经济社会大环境下,企业生存艰难。安全预算成为企业削减成本的首要目标,合规采购需求随之锐减。”在谭晓生看来,“这些其实是一个正常现象。”
永信至诚副总裁付磊认为,安全能力深陷“响应式”合规内卷的泥沼,企业与研究者精力分散,忽略了真正问题的深度挖掘。
换句话来说,在看似繁荣却暗藏危机的市场里,大量企业在合规的狭小圈子里恶性竞争、产品同质化,犹如越来越多的千军万马拥挤地过独木桥。
行业研究机构“数说安全”的一组数据显示,2019年至2023年国内安全服务项目数量复合增速为28.7%,2023年安全服务项目数量已超4万个,安全服务项目数量占比从2019年11.9%提升至15.5%。
在安全产业发展过程中,大多数由合规需求驱动,而近年来的灾难性攻击表明,网络风险是重大威胁,下游客户开始把安全视为一项重要的商业风险,并且更加看重网络安全服务的可持续性。也就是说,随着客户对安全服务持续性重视,服务化模式正成为保障业务连续性和数据安全性的关键策略,安全产业逐渐从合规驱动向需求驱动、再到价值驱动转化。
随着我国政企数字化建设速度放缓,网络安全市场需求转弱,传统合规市场趋于饱和,一些网络安全企业不得不调整战略布局。李少鹏认为,当前行业正在一步步实现“安全产品商业化、安全商品价值化”,符合一定性价比的同时,满足其实际需求,真正给客户带来价值。
“这种‘内卷’状态对于产业发展,乃至国家、社会对网络空间安全实质需求,都是不健康的。”付磊认为,造成这种局面的原因有很多,有技术的局限性,有社会发展的阶段性,有传统买方市场的不规范性,也有行业从业者的狭隘性等。
对此,相关企业应该找准自己的优势和定位,做好内功,不要贪大求全。比如,每个细分赛道可以考虑走出两三家“深度专家”,解决社会实践中应用和科研的具体问题,共同提高网络空间整体安全水平。而非大量中小企业甚至行业巨头挤在挖洞、渗透、防火墙、样本检测等传统合规市场做高度同质化的工作。
“网络安全市场从诞生以来,就是强合规驱动的市场,多数企业从成立之初瞄准的市场就是合规市场。”赛迪顾问网络与数据安全研究中心总经理刘娟也认为,现阶段在合规政策的推动下,合规性市场中的用户大多已经成为各个安全企业的客户,合规性的产品如果没有大的革新,市场就没有太大的增量可言,只能仅靠设备换新来维持相关产业规模。
近年来,灾难性攻击频发,犹如声声警钟,一定程度上震醒了下游客户。各方也开始重新审视网络安全,不再将其视为简单的合规任务,而是关乎企业存续的商业风险。
“对于实战攻防产品的需求与日俱增。”谭晓生举例说,2023年购买此类服务的客户近4000家,近5年复合增速达24%。这是市场发出的强烈信号——价值驱动的时代已然来临,安全产品必须回归本质,以真正的能力守护企业网络安全。
蚂蚁集团副总裁、首席技术安全官韦韬建议,作为行业主管方,可以考虑控制风险与保险费率比例,从而调节行业整体安全水平。出于成本考虑,参与方有降低保费的意愿,将会主动提升安全性,并且会优先使用那些安全效果提升明显的技术。“这是一个对后果负责的市场化激励机制,会比单纯的合规保障建设效果更好,也能促进市场逐步寻找安全和成本的最佳平衡点。”
低价竞标乱象频发,不正当竞争亟需规范
在全球“经济寒冬”中,网络安全市场也未能幸免。需求端客户在数字化与安全的双重压力下,预算也犹如拉紧的弓弦,却仍渴望更多安全保障。然而,这一矛盾也催生了低价竞标的“怪胎”。
“供应方迫于业绩压力,竞争日趋白热化,各类低价冲标、控标现象频发……”赵治感受深刻。
“记得一家大型集团安全人员曾说,他们想采购到自己真正看中的产品几乎很难。很多为了规避风险,造成了诸多的不可控。”谭晓生认为,采购招投标体系的弊端,让采购与使用部门脱节,最低价中标成为采购方规避风险的“避风港”,却让行业陷入了混乱。
李少鹏也坦言,合规驱动下的低价竞标让客户在“免责”的诱惑下,常常选择价格最低的产品,而不顾其是否能真正抵御风险。“这无异于饮鸩止渴,严重侵蚀着行业的健康根基”。
与此同时,“中间商”的存在也成了行业“黑洞”。谭晓生举例说,过去一年里,需求方安全项目总量和投入预算都在增加,但供应方的收益却寥寥无几,大量利润被“中间商”截留,导致专业安全厂商在这股浪潮中节节败退。
他表示,最近三年运营商中标项目数量每年均保持20%以上增长,而专业安全厂商中标项目数量增速呈现连续下降趋势。此外,因为一些存续多年的固有客户关系,市场竞争优势逐渐向拥有客户资源的一方倾斜。
然而,很多时候“中间商”还不止一个,层层经手导致产品质量与创新被层层削弱,行业“内卷”愈发严重。李少鹏坦言,设定采购名单、规范采购流程,让预算经费的使用真正有所实效,或许是解题的关键所在。
上述问题在行业内或许早已“心照不宣”,实则对行业发展造成的阻碍已是积重难返。付磊分析:“在一个安全人才和安全技术紧缺的环境下,大量安全厂商把精力投入到项目转化快的同质化产品和服务的竞争里,而造成这种局面的根本所在,除了行业从业人员自身狭隘外,甲方采购政策的导向也有一定的推动作用。”
付磊还提到,在这个困境里,需求方多一点激进的需求,做好“0中标”的准备;供给方多一些结合实际业务场景的研发投入,吸引甲方业务专家设计产品和解决方案,都会让事情更进一步。此外,在供需双方中,也缺乏对采购需求,以及供给能力做好公正、客观评估的生态参与者。就好比患者求医买药,医生开药、治疗,但有独立的体检机构可以定期体检。安全行业也缺乏这种客观、中立、专业评价的第三方“体检机构”。
如何推动竞争秩序规范化?刘娟建议,推动产业规范化,并确保安全产品真正符合需求。具体而言,首先,要强化标准,加快完善安全产品的国家标准和技术规范,以标准促进市场的规范化;其次,要推动建立公平透明的竞争环境,规范行业监管,提高行业信息透明度,帮助用户做选择,促进厂商之间的良性竞争;再次,要鼓励企业进行产品创新,加大知识产权保护。此外,要推动厂商根据用户实际需求开发产品,为用户提供易用且高效的解决方案,提升用户体验。
从互联互通到业务共享,还须迈过几道坎
网络安全本应是互联互通的基石,却因厂商产品的不兼容等导致“支离破碎”。“不兼容这道壁垒,不仅影响整个产业的发展,更是造成了低价竞标等乱象的根源之一。”青藤云安全一位专家指出,实现互联互通的好处在于,企业可以专攻某个产品,而不用面面俱到。
然而,实现互联互通并非易事。各厂商技术路线和开发模式不同,产品之间的隔离是天然形成的。
“过去因为销售故意设置障碍,而使得互联互通存在问题,近年来有所好转,部分需求方客户要求产品实现标准化和互通,迫使供应方安全厂商不断改进。”谭晓生说,这也体现了中西方网络安全市场供需差异,国内需求方客户相对成熟度较低、动手能力较差,依赖于供应方厂商服务,也就造成了安全产品不标准;而西方需求方客户成熟度高,会主动要求供应方厂商做到产品标准化和互联互通。
2024年11月底,由全国网络安全标准化技术委员会归口的首项网络安全产品互联互通国家标准GB/T44886.1-2024《网络安全技术网络安全产品互联互通第1部分:框架》(以下简称“《框架标准》”)发布,将于2025年6月实施。
《框架标准》明确了网络安全产品互联互通标准体系,包括互联互通框架、资产信息、告警信息、行为信息、威胁信息、事件信息、脆弱性信息和功能接口等系列国家标准。该标准体系的构建和研制实施,可以指导网络安全产品互联互通的设计、开发和应用,降低安全厂商、安全产品之间的适配成本,降低用户单位互联互通工作的改造成本,提升互联互通工作建设效果。
“互联互通框架是从网络安全产品互联互通方面规定相关内容,而真正实现互联互通,则是要在监管、厂商、用户多个层面,建立健全统一高效的网络安全协同联防体系,形成跨部门、跨行业高效联动的网络安全防护能力。”刘娟说。
然而,标准的迭代、实施的落地,仍需监管方、客户方与厂商方携手共进,共同构建有生命力的互联互通标准和应用体系。“不仅在标准制定过程中需要达成产业界的共识,并考虑到各厂商的差异和接口安全问题,在实施落地过程中,也需要通过政策补贴和项目牵引促进标准的实施应用。”青藤云安全专家说。
此外,还要做好“情报”共享。李少鹏认为:“大家不能出于各自的利益而保守信息,应该共享安全事件、漏洞、木马等信息,以更有效地解决安全问题。”
谭晓生也表示,要考虑成本分担的难题,即市场上有不少做威胁情报共享的专精企业,威胁情报生产成本高,谁来为其“买单”,这也是现在的争议所在。“好技术也需要共享,但要通过商业的方法去解决。有些企业的威胁情报团队今年谈了近百家厂商,到现在都没能卖出去多少。”
身处行业变革的浪潮,也犹如站在命运的十字路口。是困于合规的旧梦,还是勇闯价值的新途?是在不当竞争的泥沼中挣扎,还是携手构建健康生态?是坚守产品孤岛,还是拥抱互联互通?
“别管冬天有多长,蓄力长膘是关键。”一位资深从业者这样说。毕竟,网络安全市场本身较基础设施、数字化建设具有一定的预算滞后性,对中国网络安全产业来说,回归业务本身,跟上变革的脚步,可能在涅槃和蛰伏中也蕴藏着机会。
光明网网络安全频道、数字化频道出品
总策划:杨谷监制:张宁统筹:李政葳撰文:雷渺鑫刘昊
来源:光明网
电话+V: 159999-78052
专注于小程序推广配套流程服务方案。为企业及个人客户提供了高性价比的运营方案,解决小微企业和个体拓展客户的问题
