“网络安全行业无论是投资还是做产品,都需要耕耘10年-20年的长性。”
——谭晓生
本文内容来源于赛博英杰董事长谭晓生于9月26日 2021成都网络安全大会(CCS) 主论坛演讲。
今天我来讲一讲网络空间安全产业如何助力数字化转型。
数字化转型在十四五规划和2035纲要里面被提到了很多次,其实中国的数字化转型可追溯到上个世纪的80年代开始,我们经历了传统手工流程的计算机化,到有局域网、广域网,再到互联网,直至互联网从个人应用渗透到社会生产生活的各个方面,到今天我们进入了一个万物互联的时代。我自己是92年参加工作的,第一份工作中做的首个比较大的项目就是在今天大会的所在地,成都——是四川省新华书店的图书储运系统,当时是一个传统的手工流程计算机化的项目。
今天世界正处在一个万物互联的时代,我们遇到了各种各样的安全问题,比如大型机构正在面临的信息泄露事件;工业系统所受到的网络攻击事件(像今年5月份美国Colonial油气管道遇到勒索,导致美国进入紧急状态);还有震网病毒,以及像今年伊朗遭到网络攻击,造成了9个月才能恢复的电力系统故障等。
安全事件的频发,与之相伴随的是网络安全产业的发展。上面左边的图是我们统计的从2015年到现在网络安全产业的产值规模,这个数字不同的机构出来是有比较大的差别,因为统计口径是不同的。今天我们用网络安全产业研究机构数说安全所做的统计数据。
可以看到去年网络安全产业的总产值是530亿人民币,这个数值其实是蛮小的,比千亿级的小龙虾市场、广场舞大妈的周边设备的市场还要小。但是我们可以看到过去6年时间里,我们每年产业的平均增速大概是在20%左右,去年因为疫情的影响是11.3%,之前的5年里面有4年都是超过20%的,而且可以看到安全产业的产值增长近乎是一条斜率固定的直线,这个是蛮有意思的一个现象,在2015年的时候,整个网络安全产值才200多个亿,还是相对比较小的一个产业,发展速度很快且稳定。
那么在右边我们可以看到行业的集中度。网络安全企业中的第一名所占的比例从2017年的6.82%前进到了2020年的7.79%;前8名的集中度在2020年刚刚过40%这条线到41.36%,按照经济学的分析惯例,前8名超过40%说明这个市场刚刚进入到低聚集型寡占市场。
网络安全的企业数量在2020年的时候是有一个比较大的增长,到今天是4000多家,比前一年增长了23.1%,以1995年天融信成立开始为咱们中国的网络安全产业诞生来看,这26年间,2020年是非常快速增长的一年。
我们再来看一下各个企业的营收以及市场占有率有什么特性,从中孚信息开始,后面的那就是10个亿以下了,全年收入的第一名也只不过41.6个亿。
那么在左边这张图里面我们看市场占有率,其实就应对了前面说的低集中度寡占的市场现状,没有大的巨头,没有像互联网行业里面某一个市场一家占了60~70%的占有率,咱们网络安全最大的占有率就百分之七点几,然后百分之六点几的有两家,这样依次下来。
还有我们按照区域分布来看,像华北、华南、华东地区比较发达,基本上和经济、政治的发展是有很大关系。慢慢也形成了政府、金融、运营商、教育、医疗、能源这传统的六大客户,除这六大客户之外的就只剩了19%,所以网络安全市场是很典型的,政府是里面最大的买单者。其次通过政府颁布的各种各样的法律法规,驱动着国企和大型企业,尤其是像金融、运营商、教育有关键信息基础设施的行业买单。
中国网络安全的企业数量,我们排出来Top5,可以看到在这里面我们四川都是排名第五,不管是存量还是2020年的增量。这里面典型的北上广,然后再有江苏和四川是网络安全的产业大省。
数说安全每年都给中国网络安全产业联盟做产业发展报告,我们有一套非常复杂的企业评价打分规则,每年会给行业中的企业发调研表,调研表收上来之后还会根据产业里面我们所获得的一些其他的情报来修正这张调研表格里的数据,因为调研表格中间有些厂商会填报假的数据,我们会把这些假数据排除掉,最后做一个综合评分,映射到这样一个行业格局的地图里面。
这张地图首先看它的横坐标是资源力得分,纵坐标是竞争力得分,这张图不是线性的图,它的坐标是指数型的坐标,就是说越往右一点点或者越往上一点点,你看到一点点差距在实际中可能就是若干倍,它和左下角位置的间隔差距是有非常大的区别。
在这里面我们把它画成点状图,放上去之后,可以明显的看到网络安全的企业分成5个阵营,第一个阵营是领导者,第二个阵营是挑战者,第三个阵营是成长者,第四个是潜力者,还有战略布局者,这里面是什么区别?
我们来看领导者有谁,奇安信、深信服、启明、绿盟、天融信。除了启明、绿盟、天融信老三家之外,深信服和奇安信是两个新进入到这个领域中的玩家。
战略布局者是说他的实力很强,但是没有认真来做这块业务,像华为、华三、腾讯、阿里、360都属于有巨强的资源力,但是竞争力没有体现出来,原因是他们没有真正的下足够大的决心进入这个领域,这个领域对他们的业务来说可能是营收规模太小,或者有其他方面的一些考量而故意选择不在这个领域中做大的发力。
中间的挑战者是以安恒信息为首的包括亚信安全、中孚、迪普等等这样的一些公司。
真正在网络安全产业中打拼多年的朋友们一看就会知道,其实我们在左下角的领域内,没有把所有潜力者和成长者都列进来,这里面的公司数量有很多,都是在某一个领域中有自己特长,但是公司实力其实还是远远不够的,往往它的销售收入才是到几个亿,公司有几百人这样的规模。
那么我们怎么看网络安全整个市场,首先我们面临的一个困难是它没有银弹,不是你采用一家公司的一款或者几款产品就能彻底解决问题的。
第二个我们的市场是一个碎片化的市场,美国momentum cyber出的网络安全全景图,他是分成十八大类45小类;那么中国的网络安全产品全景图,我们做出来甚至有80多小类——我们面对的是一个碎片化的产品和市场。
还有我们今天的网络安全高度依赖于人的技术技能,而且投入再多都不能做到100%的安全,所以对于用户来讲,他会在投入和他期望收到的安全回报之间有一个平衡。
今天我们在任何时候都要提防系统被攻破,像今年RSAC大会的主题叫做Resilient就是弹性,这就是我们要讲究,在被攻破的情况之下怎么样还能够经营下去,政府在这里面起到很大的作用,就像刚才左晓栋院长讲到的,我们各种各样的立法其实都是期望通过一些法律法规来推动产业更加的安全和完备。安全这个事是要7x24小时运维的。
在网络安全产业,大家都说没有网络安全就没有国家安全,似乎网络安全是非常之重要,但是2020年产业的规模只有530亿,为什么会产生这样的反差?大家预想中网络安全产业应该是一个很大的产业,应该用户会很愿意花钱,为什么产业规模还这么小?其实在这里面有一个问题就是一个用户为什么要为安全买单?
首先一个是出于合规性的要求,如果你不做到合规,就会受到惩罚,会被罚款,执照会被吊销,相应的负责人可能会丢掉工作等这样的问题。第二种威胁是它实际会造成损失,比如银行如果遭到网络入侵,钱直接就会被转走,像孟加拉央行8400万美金被转走等这样的情况发生。但是网络安全的投入和回报却并不是一个直接可比的,可能网络安全工作做得非常好,但是遇到高手的攻击照样被拿下,也可能他什么东西都没有做,但就是运气特别好,没被攻击,就没有事。
企业在发展的过程中要精确度量他的投资,要算投资回报率。此时也可能会选择铤而走险,什么安全也不做,把钱用于营销、生产、研发等等其他领域,这种情况它是在安全的投资和回报以及损失之间去做对价的结果。
我们的网络安全市场正在从二维的关系向三维的生态关系过渡的这样一个过程中。过去的二维市场中,六大安全产品和十大安全服务是第一个维度,第二个维度是行业,比如像刚才说政府、医疗、电信、能源等等客户,这两个相乘就会形成针对于某种客户的解决方案或者产品,这就是传统的是二维的一个市场。在今天有了云、大、物、移等新的应用场景,我们的市场就由二维到三维开始扩展,在这种情况下网络安全产品的品类在变多。
网络安全产业本身具有两种属性,商业属性和军工属性,它的商业属性更多的是一种理性的发展和共生,它讲究的是我从一个平衡到打破这个平衡,然后再形成新的平衡的过程,它会讲究投入与产出。
军工属性就会有一些非理性的对抗,像最近几年大家都深有体会,比如中美大国博弈,咱们国家为信创发展会投入很的资金,为了预防一种可能会发生的风险,国家会投入巨多的资源去做安全。最近几年网络安全产业的军工属性在不断的在加强。
之前我在其他会议中也提过,网络安全企业的发展是典型的点线面体的过程。网络安全创新企业成长起来非常之慢,在这个行业做投资,你基本上要打算着投10年以上才能够退出的预期。
一个创业公司往往是从做一款单一的网络安全产品开始,刚开始可能自己都没有销售,通过渠道或者OEM的这种形式来进行销售,做到几千万之后就很难再追求更高的收入了,这时就要在原来的产品基础上发展一条产品线,有几款产品,这时候往往就能够在支撑他做到过亿的销售收入。
再进一步的发展就要找某一个或者几个领域,开始做行业的解决方案,逐渐形成面,最终如果要想要做到10亿以上的销售规模,不得不进化成体,就是各个行业的各种解决方案都要有,典型的像奇安信启明、绿盟、天融信,他们自己会生产若干种安全产品,同时OEM若干种安全产品,最后形成若干行业的解决方案,然后再有上千名的销售、上千名的研发,大概有几百到上千的这种项目实施人员,再去扑全国的市场,这就是典型的网络安全企业发展的路径。
这个是我们做的一个网络安全的企业的分类架构,中国有4000多家网络安全公司,有那么多产品,到底是怎么分类如何构成的?背后的逻辑是什么?
首先六大基础安全领域,包括端点安全、网络安全、应用安全、数据安全、身份与访问管理和安全管理。右侧是十大安全服务。在这个基础之上,又会有什么?比如现在特别热的零信任这个概念。很多公司号称自己是零信任公司,其实零信任不是一种产品,它是一种技术思路,是一种思想。同样的技术理念还有威胁情报、开发安全、数据安全治理,它们都是解决安全问题的一种思路,这种思路可以用在各个安全产品上,也可以体现在安全服务里面。我们再看四大新兴的安全应用场景包括云计算、工控安全、移动安全和物联网安全。最终网络安全的用户依然是几大类的这种行业客户,这里面我们把他划分为六大行业解决方案。
这是市场构成的逻辑,我们通过这样的一个结构,试图把所有的网络安全公司和所有的网络安全产品来进行归类,归类的结果就是这张网络安全市场的全景图。在这张全景图里面总共有16个大类81小类。
现在网络安全的一些新概念和新技术方向都有什么?
一个是数据安全方面,这个是现在网络安全产业一个大赛道。前两天我在北京参加了一个这样的CCF的论坛,他们请了一批学术类的专家讨论数据安全到底该怎么做,有什么样的创新。其实从学术问题到产业上的生产工具等等这些都有非常大的缺口,所以将来一定能冒出来很大型的数据安全公司。还有安全左移,DevSecOps;还有自动化;还有密码方面的发展;还有新的安全检测理念等。
再看一下资本市场,科创版开通以来,安恒、奇安信等登陆了科创板,吉大正元登录了中小板,资本市场是对于网络安全的产业是相对是比较友好的。从2010年到现在,网络安全的投资金额在普遍的增加,尤其是从去年开始,很多过去不投网络安全的传统基金也在纷纷开始投网络安全,在今年的上半年投资的总数已经超过了去年的投资总额的一半,所以预计今年还是会持续的增长。
我们看一下网络安全融资的赛道,排名第一最热的其实还是数据安全,第二是工控安全,再往下是综合安全,身份管理,移动安全等等,这个数据是从去年到今年的7月份的分析。
总结一下,我国网络安全产业的综合发展,面临新形势、新市场、新格局和新理念。
在新形势下,政策上有各种各样的法律法规出台,带来了市场上的硬需求,还有像公安部搞的HW演习,它所带来的一些对于攻防效率和效果的市场推动。此外在大国博弈的环境之下网络安全变成国防的一部分,再加上资本市场的助推,都让我们的产业保持一个稳定持续的发展。
网络安全产业的新技术和应用,还有不断开拓出来的新的领域,比如车联网安全、工业控制安全等都是最近几年冒出来的新领域,都会是促进产业的发展的动力。
从投资的角度来说,像网络安全这样的每年能够有15%甚至20%以上的复合增长,其实已经是非常好的,所以对于网络安全产业来讲,是需要长性。无论是投资,还是去做产品,都需要10年、20年持续的耕耘,才会获得比较好的回报。
那么今天讲的就这些,谢谢大家。
评论