一、研究背景和方法

以网络安全企业和相关专业服务机构为主体的网络安全产业满足了绝大部分个人和商业机构信息化应用的安全保障需求,也承担了众多政府部门和部分特殊行业的安全保障工作。网络安全产业也吸纳了绝大部分从事网络安全技术产品研发、服务保障、业务运营的从业者。客观地说,网络安全产业是维护国家网络空间安全、保障信息社会健康发展的基础和重要力量。习近平总书记在十九大报告中提出“加快建设创新型国家”,其中包括的网络强国、数字中国、智慧社会等目标与网络安全产业有密切关系。这三个目标的实现需要有强有力的网络安全产业基础和产业技术能力作为保障。

客观、准确地评估和认定我国网络安全产业所处的发展阶段,对于正确评判产业整体能力,制定科学而有针对性的发展策略、引导政策、体系规划,具有非常重要的意义。评估和认定我国网络安全产业所处的发展阶段应当综合考虑纵横两个维度。纵向维度需要以发展的眼光,历史地进行分析判断;横向维度一方面需从网络空间对抗博弈的威胁与能力保障之间的态势着眼,另一方面则需从全球网络安全产业能力的强弱对比来评判。

生命周期是一个生物学概念,是指具有生命特征的有机体从出生、成长到成熟衰老直至死亡的整个过程。西方经济学者在上世纪中将生命周期概念引入到产业经济学中,并将产品的生命周期分为创新、成熟和标准化三个阶段进行研究。后来其他学者又将产品生命周期概念引入到产业成命周期研究中,逐步形成了现在的产业生命周期理论。产业生命周期是每个产业都要经历的一个由成长到衰退的演变过程,是指从产业出现到完全退出社会经济活动所经历的时间跨度。产业生命周期常分为初创阶段、成长阶段、成熟阶段和衰退阶段4个阶段,也可根据产业特点和研究需要更进一步细分为5个或更多阶段。

产业生命周期理论是在产品生命周期理论基础上发展而来的。1966年Vernon提出了产品生命周期理论,随后William J. Abernathy和James M. Utterback等以产品的主导设计为主线将产品的发展划分成流动、过度和确定三个阶段,进一步发展了产品生命周期理论。在此基础之上,1982年,Gort和Klepper通过对46个产品最多长达73年的时间序列数据进行分析,按产业中的厂商数目进行划分,建立了产业经济学意义上第一个产业生命周期模型。

产业生命周期研究的重要意义主要体现在如下几个方面:

① 有助于考察特定产业的生命周期曲线形态,把握产业发展特性;

② 考察产业生命周期不同阶段,企业的进入、退出以及进入壁垒和退出壁垒等;

③ 研究推动产业生命周期阶段演化的动力;

④ 研究如何根据产业生命周期来制定相应的产业政策和发展规划。

从微观角度看,产业生命周期是产业整体情况,也是企业的发展环境。对产业生命周期的准确判断和深入认识,有利于市场参与者制定符合自身特点的发展策略与企业战略。以互联网等新技术产业中流行的话来讲就是要,“抢占主风口,把握大势,随风飞扬”;从宏观角度看,对特定产业所处发展阶段、产业阶段特征、推动阶段演化的发展动力、产业发展规律等关键领域的深入了解和正确判断,有助于决策部门基于产业发展阶段及特点制定出针对性的产业政策,更重要的是,能够从产业发展生命周期的整体视角,开展系统性、前瞻性的产业规划,从而有力地推动产业快速、健康发展。

二、网络安全产业生命周期阶段划分

网络安全产业是IT产业的一部分,其产业生命周期也具有IT产业的基本特点。与一般传统行业有所不同,信息技术企业在初期创业阶段,投入的研发成本较高,研发时间较长;初创信息技术企业在产品或服务开发完成后,通常还需要有一个时间阶段来进行商业模式打造与验证,能够被市场认可的新技术和新应用才能助力企业快速成长;而在成长期信息技术企业发展较快,发展速度明显高于其他行业的企业;信息技术企业成熟期相对较短且衰退较快。然而,由于技术创新和市场应用的快速迭代,信息技术企业可能面临“二次创业”的情况,中外IT产业中不乏进行深度变革的成功案例。

图表1. 网络安全产业生命周期阶段划分

这些企业发展特点汇聚反映在产业发展周期阶段上,因此在参照产业生命周期理论研究的基础上,结合网络安全企业的特点,将网络安全产业生命周期划分为萌芽期、初步发展期、快速成长期、成熟期、衰退期(或者蜕变发展期)等5个主要阶段。

三、我国网络安全产业发展情况

十八大以来,党中央高度重视网络安全工作,做出了“没有网络安全就没有国家安全”的重要指示,将网络安全纳入国家安全工作予以部署,开启了网信事业新篇章。2016年以来,《中华人民共和国网络安全法》、《国家网络空间安全战略》、《“十三五”国家网络安全规划》、《网络空间国际合作战略》等一系列重大法规、规划文件相继发布实施,进一步为网络安全产业健康发展提供了政策保障和法律依托,为网络安全技术创新、网络安全企业做大做强提供了宝贵机遇。我国网络安全产业进入了发展的黄金期。

3.1 网络安全产业高速增长

在政策的持续利好的推动下,在全社会信息化发展不断深入和普及的拉动下,网络安全技术产业蓬勃发展。截止到2018年6月,我国网络安全企业约近2600余家,沪深A股网络安全上市公司20家、在新三板上市的123家,而十八大(2012年11月8日)之前对应的数量分别为12家和8家。根据中国网络安全产业联盟、中国信息通信研究院的统计调研,2017年我国网络安全产业规模约为453亿元,增长28%,2018年达到545亿元,增长20.4%。连续4年,我国网络安全产业的年复合增长率都超过20%,预计在未来10年,甚至更长的时间内,我国网络安全产业都将继续保持高速增长势头。

沪深A股20家网络安全上市公司,2016年度和2017年度销售收入增长率分别为31.76%和25.24%,新三板A股123家网络安全上市公司,2016年度和2017年度销售收入增长率分别为33.3%和11.86%。

图表2. 2012-2018年国内网络安全产业规模及增长情况

来源:中国网络安全产业联盟、中国信息通信研究院、Gartner公司。

根据以上相关数据,网络安全已经成为我国大信息产业中增长最快的技术门类之一,我国网络安全产业整体增速在国际上也处于领先位置。

3.2 自主网络安全产业体系初步成型、技术能力逐步加强

创新企业、创新技术不断涌现,网络安全技术产业生态不断完善,形成了较为完整的技术产业体系,在每一个重要的细分技术领域都活跃着我国自主的网络安全企业。我国网络安全产业的主要业务类型已覆盖终端安全、数据安全、应用安全、物联网安全等15个大类、75个分类。这为我国网络安全产业的跨越式发展,迎头赶上美国等发达国家,打造网络强国,奠定了较为坚实的产业体系架构基础。

图表3. 我国网络安全技术产业生态布局示意图

来源:中国网络安全产业联盟《2018年中国网络安全产业报告》。

3.3 重点城市加快产业布局,产业集群效应逐渐显现

通过对2600多家从事网络安全业务企业的注册地等基础信息进行了查询统计分析,网络安全企业地域分布如图所示。

图表4. 网络安全相关企业区域分布

数据来源:中国网络安全产业联盟汇总整理。

图表5. 安全相关企业区域排名TOP5

数据来源:中国网络安全产业联盟汇总整理。

从上图可以看出,经济发达地区网络安全企业多,经济欠发达地区网络安全企业少。安全服务厂商比较集中分布在北京、上海、广东等经济发达的地区,中西部相对较少,区域分布十分明显,企业数量和当地的经济发展水平有直接的关系。

在全国安全企业的区域分布中,排名前五位的地区依次为北京、广东(含深圳)、上海、四川、江苏。其中,北京以占全国安全企业数31%的明显优势,远远领先于其他各省。广东(含深圳)占14%,上海占8%,四川6%,江苏占5%,这前五名总计占65%。可以看了,我国的安全企业地域分布特征非常明显,一线发达城市的网络安全产业更为发达。

四、中外网络安全产业对比

4.1 美国的领先优势显著

就全球网络安全产业格局来看,网络安全产业梯队层次明显,第一梯队当属美国,其网络安全产业在产值规模、技术创新力、企业影响力、资本活跃度等多个维度远超他国,并已形成综合实力超强的网络安全产业集群。在2017年ITU全球网络安全指数(GCI)排名中,美国位列全球第二,技术和能力建设等指标名列前茅。美国形成了Symantec、McAfee 等综合安全巨头,Bit9、RSA等专注于细分领域的专业安全厂商,以及 Palantir、Booz Allen Hamilton 等面向美国政府及其相关机构服务的专业技术公司的鲜明体系生态,也铸就了国际网络安全产业中最为强大的国别阵容。

“网络安全创新500强(Cybersecurity 500)”由世界领先的研究和报告发布平台Cybersecurity Ventures定期发布,反映全球当前最热门、最具创新的网络安全公司的综合排名。以下图表对其发布的2017和2018年度“网络安全创新500强”的企业榜单进行了国别统计。

图表6. 2017、2018年度“Cybersecurity 500”各国企业数量

国家

上榜企业数量

排名

2017

2018

2017

2018

美国

361

353

1

1

以色列

34

41

2

2

英国

22

23

3

3

加拿大

12

15

4

4

中国

9

9

5

5

法国

7

7

6

6

瑞典

7

7

6

6

德国

7

6

6

8

瑞士

6

6

9

8

爱尔兰

4

5

10

10

印度

4

4

10

11

日本

4

3

10

12

韩国

3

3

13

12

荷兰

3

3

13

12

芬兰

3

2

13

15

西班牙

3

2

13

15

新加坡

2

2

17

15

澳大利亚

2

1

17

18

俄罗斯

1

1

19

18

罗马尼亚

1

1

19

18

捷克共和国

1

1

19

18

南非

1

1

19

18

意大利

1

1

19

18

斯洛伐克

1

1

19

18

波多黎各

1

1

19

18

丹麦

0

1

/

18

合计

500

500

/

/

数据来源:Cybersecurity Ventures发布的2017、2018年Cybersecurity 500排名。

2018年,美国有353家网络安全企业上榜,约占据500强的71%,且在前10名中占据8个席位,这体现出美国网络安全企业在技术创新方面遥遥领先的整体实力。

4.2 产业结构的巨大差异

随着世界信息产业市场总规模高速增长,网络安全产业的市场规模也一路攀升,主要表现在,安全服务市场份额进一步提升,安全产品市场保持稳定。根据Gartner公司的数据,2015年全球安全服务市场价值达到509.20亿美元,较2014年增长21.8%,安全咨询、安全运维与安全集成各占据三成份额。企业级互联网安全整体设计规划、安全威胁情报、安全事件应急处置等需求不断攀升,带动安全服务市场强势增长,预计2019年安全服务在产业中的比重将进一步提升,达到63.56%。互联网安全产品市场格局则相对稳定,防火墙、终端防护、Web 安全、身份管理与访问控制、入侵防御等传统领域合计占比超过75%,数据防泄露、反欺诈、物联网、车联网安全等新兴领域创新活跃。

根据中国信息通信研究院和中国网络安全产业联盟的调研数据,从细分市场看,2015年度网络安全产品产业规模达201.33亿元,占比71.21%。防火墙、权限管理、统一威胁管理、入侵检测、入侵防御、防病毒、抗DDOS、内容安全管理、安全网关、VPN等产品占据市场主要份额。由于资产管理、采购制度等传统规则约束,安全产品仍以软硬件结合产品为主导,纯软件产品仅在病毒查杀、访问控制等终端安全领域占据优势。安全服务产业规模达81.41亿元,占比28.79%。安全集成占据服务市场超过六成份额,其次是安全评估,安全咨询和安全运维比例不高。

图表7. IT安全市场结构对比

数据来源:IDC公司。

以上图表引用了来自于IDC公司的数据,尽管不同研究机构的数据分类、数据采样和统计处理方法上存在差别而导致了数据的不同,但是在基本结论上是一致的。那就是:相比全球市场,我国的网络安全产业存在着“重产品轻服务”和“重硬件轻软件”的结构性失衡问题,而与美国相比偏差就更为显著。

4.3 产品竞争力对比

以国际权威咨询机构Gartner公司发布的截止到2016年12月的网络安全产品魔力象限数据为基础,统计各国企业的各类产品在魔力象限中的分布情况,以此分析各国网络安全产品的竞争力。

针对企业级网络防火墙、入侵检测与防御系统(IDPS)、WEB应用防火墙(WAF)、Web安全网关(SWG)、终端防护平台(EPP)、数据防泄漏(DLP)、安全信息和事件管理(SIEM)、统一威胁管理(UTM)、数据中心备份与恢复软件、应用安全检测(AST)10类网络安全产品,各国网络安全企业在Gartner魔力象限中分布情况的统计数据如下表所示。

图表8. 2016年Gartner魔力象限中各国企业上榜次数

根据Gartner魔力象限研究报告和统计数据,可以看到:美国在每类产品中都具备处于领导者地位和挑战者地位的企业。在WEB应用防火墙(WAF)、安全信息和事件管理(SIEM)、数据防泄漏(DLP)、Web安全网关(SWG)、应用安全检测(AST)5类产品中,处于领导者地位的全部是美国企业。总体而言,美国网络安全企业产品线完善、产品成熟度高、技术领先、市场覆盖范围广,在全球市场上的整体竞争力远远领先于其他国家。数据来源:中国网络安全产业联盟整理。

除美国之外,英国、俄罗斯、以色列、日本的企业在“领导者”、“挑战者”、“有远见者”区间中的一个或多个有相应的位置。中国企业上榜数量虽仅次于美国,但是都集中于“特定领域者”的区间位置,企业的产品竞争力相对偏弱,处于跟随者地位。

4.4 漏洞挖掘能力

由于漏洞挖掘的门槛比较高,在流行系统和软件上与全球黑客竞速挖出新漏洞,更是难上加难,漏洞挖掘能力也因此成为判断一个安全团队技术实力的重要指标。下面我们通过微软、谷歌、苹果三家厂商在2017年的漏洞致谢榜[1],盘点2017年美、中等国的白帽子军团在漏洞挖掘方面的表现。

图表9. 2017年微软、谷歌、苹果3家厂商的产品漏洞致谢榜国别分布

数据来源:根据网络公开资料整理。

统计分析发现,美国和中国的安全人员漏洞挖掘能力最强。美国安全人员发现高危和严重型漏洞数量最多,占比为49.55%;中国紧随其后,排名第二,占比为43.73%,我国的大型互联网公司在其中贡献突出。日本第三,占比为4.98%,德国占比为0.83%,韩国占比为0.53%,印度占比为0.38%。

以美国为代表的部分西方国家,为谋求其在网络空间的绝对优势主导地位,正在快速推进网络空间的军事化。美国等国政府对重要漏洞加强了管控,甚至纳入了网络军火管制体系,进行储备和网络武器开发。因此,以上数据并不能完全反应各国网络安全技术产业的真实实力,然而可以作为各国网络安全技术实力的辅助参照指标。

4.5 APT研究能力对比

APT攻击(Advanced Persistent Threat,高级持续性威胁)堪称是在网络空间里进行的军事对抗。攻击者会长期持续的对特定目标进行精准的打击。是否能够进行APT研究,APT研究的质量和水平如何,这是考验企业和研究机构对高级威胁的分析、发现与防御能力的重要标准。这也可以作为评估一个国家网络安全技术产业实力的参考指标。以下有关内容引自FreeBuf网站发布的《2017中国高级持续性威胁(APT)研究报告》中的部分内容。

图表10. APT研究情况对比

数据来源:《2017中国高级持续性威胁(APT)研究报告》。

无论是从研究报告的数量、研究机构的数量,还是涉及APT组织的数量来看,美国在全世界都处于遥遥领先的地位,有24个美国的研究机构展开了APT的相关研究,发布相关研究报告多达47篇。从报告数量和参与研究机构的数量来看,中国排名全球第二,共有4个机构发布了18篇APT相关的研究报告,涉及APT组织8个。

4.6 客户成熟度

在不同的国家或区域市场,网络安全企业都承担着为信息化建设和数字经济发展保驾护航的重要责任,是网络安全相关产品和服务的主要提供者。因此,对不同国家或区域中主要客户在网络安全方面的能力成熟度对比,就可以反映出该地区网络安全产业的整体能力情况。

图表11. 政企组织网络安全能力成熟度对比

数据来源:IDC公司。

IDC公司针对企业级市场提出了成熟度模型,按成熟度由低到高,把组织划分为“经验欠缺组织”、“被动响应组织”、“合规性组织”、“前瞻性组织”、“预测性组织”共5个级别。上图是IDC公司针对政企组织网络安全能力进行专项调研的汇总结果。可以看出,我国的政企组织集中于最低的两个级别,在最高的“预测性组织”级几乎空白,而在次高的“前瞻性组织”级仅有3.4%。而美国的政企组织有7.5%达到了最高的“预测性组织”级,这意味着在此级别,美国网络安全企业可以提供相关产品及服务,已有行之有效的解决方案和可复制的服务模式。而我国的政企组织和网络安全企业在此级别还处于摸索阶段。相比之下,我国的整体水平还低于亚太地区的平均水准,大部分组织的网络安全能力处于初级阶段,情况不容乐观。

4.7 企业规模和经营情况对比

根据上市公司对外披露的信息,本报告对美国、俄罗斯、中国、英国、以色列、韩国、日本和德国这八国的网络安全企业中已公开上市且年收入排名靠前的企业(以排名前三位的为主)进行对比。网络安全企业规模分析主要包括企业年总收入、员工人数两项指标。

图表12. 各国龙头网络安全企业对照

数据来源:根据公开资料整理。

从龙头网络安全企业的业务收入规模比较看,美国、以色列、日本位列前三。我国居前列的上市网络安全企业达到了员工人数过千、年收入上亿美元的规模。但我国排名前列的网络安全企业与美国龙头企业在营收规模、人均收入方面仍存在显著差距。

图表13. 国内外典型企业营收及利润对比

数据来源:根据上市公司公开资料整理。

参照以上图表的对比数据,对比“人均营收”、“人均利润”这两个衡量企业经营情况和核心能力的关键财务指标,我国网络安全企业与国际网络安全龙头企业相差悬殊,人均营收和人均利润仅为其三分之一的水平,与美国网络安全龙头企业相比情况类似。国际网络安全龙头企业与国际互联网和IT巨头公司相比,在人均营收上有 2 倍多的差距,在人均利润上存在 5 倍多的差距,中国网络安全企业对应的差距更大,这反映了不同细分行业之间的规律性差异。中国互联网巨头公司与美国同行相比,在人均营收和人均利润这两个指标上没有明显差距。

由此可见,中国网络安全公司不仅规模较小,而且经营情况欠佳、竞争能力较弱。

4.8 网络安全投资在信息化投资中的占比

产业发展的根本是市场规模,市场规模主要取决于需求,具体体现在投入总量。网络安全产业作为电子信息产业的一部分,与电子信息产业发展阶段和社会信息化建设程度有密切关系。

根据中国网络安全产业联盟的调研统计,2015年狭义的中国网络安全技术产业总体规模约为283亿元人民币(其中不含舆情等相关业务市场)。2015年,我国电子信息产业中软件和信息技术服务业实现业务收入约4.3万亿元,网络安全在其中的占比仅为0.66%。2016年中国电子信息产业主营业务收入达到17万亿元,其中软件和信息技术服务业收入约为5.08万亿元,同期网络安全产业总收入为354亿元,网络安全在其中的占比为0.70%;2017年,全国软件和信息技术服务业完成业务收入5.5万亿元,同期网络安全产业总收入为453亿元,网络安全在其中的占比为0.82%。近三年,这个占逐年有所增加,但是仍远低于国际平均水平。

参考Gartner公司的数据,这里换一种计算方法来估算网络安全在IT投入中占比。根据Gartner公司发布的数据,2016和2017年中国的IT支出分别约为2.22万亿人民币、2.34万亿人民币,这两年中国网络安全产业规模分别为27.4亿美元、31.7亿美元。根据Gartner的数据测算[6],我国网络安全在IT总投入中的占比2016年为0.84%、2017年为0.88%。对照全球平均水平(全球数据详见以下图表),我国网络安全在IT总投入中的占比与全球平均数据相比存在约1.8倍的差距(2016年和2017年我国的投入占比均约为全球平均水平的35%),而与美欧等领先国家相比,差距更加触目惊心。当前,美欧在重要IT系统建设中的网络安全投入占比达到15%~25%。美国特朗普政府提出的2018年度联邦政府预算中,网络安全的投入在IT总投入中的占比达到了20%。

图表14. 中国网络安全投入在IT总支出中的占比

数据来源:Gartne公司、根据公开数据整理。

图表15. 全球网络安全投入在IT总支出中的占比

数据来源:Gartner公司。中国网络安全产业联盟整理。

图表16. IT安全占IT市场比例的对比

数据来源:IDC公司。

为多方对比验证,以上图表还给出了IDC公司发布的IT安全占IT市场比例的对比数据。从多个分析维度和数据来源看,我国网络安全投资在信息化投资中的占比与世界平均水平相比有1至2倍的差距,与美国相比差距更为显著。

网络安全意识薄弱、网络安全责任落实不到位、网络安全工作科学理念普及率低下是导致投入不足的主要原因。总体投入不足是我国网络安全产业发展生态环境建设急需解决的关键性问题。

五、我国网络安全产业所处发展阶段

5.1 定位发展阶段的判断维度与标志

识别产业生命周期所处阶段的主要标志有:市场规模、市场增长率、需求增长潜力、市场占有率(市场集中度)状况、产品品种数量、市场参与者(竞争者)数量、进入壁垒、技术革新以及客户购买行为等。

针对高技术产业,产品技术竞争力、研发能力、新产品市场占有率是识别产业生命周期所处阶段的重要指标与维度。

集中(Concentration)作为经济学中一个重要的范畴,主要有两个作用:一是用来表示一个行业中的竞争状况或垄断状况,二是用来描述一个行业或者市场中企业的规模分布情况。产业集中则有广义和狭义之分:广义的产业集中是指在特定产业内,生产的集中程度;狭义的产业集中指特定产业内,市场销售额控制在少数大企业手中的程度也即市场支配力的集中程度。两者的区别在于广义的产业集中还包括除了市场支配力之外的如劳动力、资本、技术、产量、利润的集中。在本文中,为便于分析研究,产业集中度是以网络安全产业中以大企业销售收入占产业总收入的比重为衡量指标。

以信息技术为基础的产业发展都有一个共同的特征:随着技术发展和应用推广,产业在逐步发展成熟的过程中其集中度会逐步加大。特别是进入成熟期,往往会进入寡头竞争格局,甚至垄断性竞争格局,产业的集中度非常高。网络安全产业作为信息产业的一个分支也具有此特征。

正如在本文第一部分“研究背景和方法”中阐述的,要科学地判断我国网络安全产业所处发展阶段需要从纵横两个维度来进行分析研究,也就是说既要有历史的视角、也要有当下的视角和未来发展的视角。

5.2 纵向维度

如果把瑞星公司、天融信公司成立的上世纪90年代初早期作为我国网络安全产业诞生纪元,中国网络安全产业已走过了近30年的风雨历程。在这近30年中,我国网络安全企业不断新陈代谢、优胜劣汰,凭借着从业者的执着坚守、不断探索创新,借助着我国信息化发展的东风和国家政策环境逐步向好推动,从无到有逐步发展。时至今日,形成了由500余家活跃的主力网络安全企业和2000余家开展有网络安全业务的IT企业共同构成的中国网络安全产业。

从这近 30 年的发展历程看,我国网络安全产业伴随着技术和应用的创新与发展,经历了三个主要发展阶段:

一是从1990年到2000年前后,以反病毒为代表的系统(主机)层面单点威胁被动应对式防护阶段;

二是从2000年到2015年前后,以防火墙(安全网关)为代表的静态综合式网络纵深防御阶段;

三是从2015年左右开始的,以数据为重要驱动力,以大数据、云计算和人工智能为核心技术的动态积极防御阶段。

在这发展过程中,我国网络安全技术企业不但迭代,产业生态逐步完善,目前已经形成了在整体结构上较为完整的技术产业体系,在每一个重要的细分技术领域都活跃着我国自主的网络安全企业。这为我国网络安全产业的跨越式发展,奠定了较为坚实的产业体系架构基础。

对比网络安全产业的5个发展阶段,可以确认的是中国网络安全产业已经超越了“萌芽期”。

5.3 横向维度

在横向维度,主要与作为世界网络安全产业第一集团的美国产业进行对比。

美国网络安全产业中,一方面,是其传统的巨头Symantec、McAfee等始终屹立不倒;另一方面则是新兴企业与新兴技术不断推陈出新、连绵不绝。大型龙头网络安全企业拥有的厚重且全面的解决方案与具有窄带技术创新优势的独立安全厂商的新概念、新产品交相辉映,产业技术迭代演进让竞争者应接不暇。积极鼓励创新的市场化产业孵化机制不断催生着新锐网络安全企业,其中不乏业界知名的“独角兽”企业。同时,大型网络安全企业和IT企业通过资本并购不断扩充安全产品技术能力,拓展业务版图。

美国引领全球IT产业且众星闪耀的IT巨头企业们在网络安全产业架构中发挥着宽阔而坚实的基础作用。清晰的市场规则、鼓励创新的文化与机制(尊重知识产权、创投机制等)、敢于冒险和求变的企业家精神,成熟的契约精神、厚重的IT产业基础、大量的网络安全需求与投资、成熟度高的客户群体、既合规又高效的良好政商关系(高效运行的“旋转门”制度是其良好政商关系的一个缩影),这些要素相互叠加、相互作用,形成了美国网络安全产业让人称道的良好发展环境。

总而言之,美国网络安全产业在整体上呈现出欣欣向荣的繁荣景象,层次分明、结构完整、协同性高、竞争力强、勇于创新和产业生态环境优越是美国网络安全产业的整体特点。

对照网络安全产业生命周期的5个发展阶段,美国网络安全产业正处于“成熟发展期”。

在本文的第四部分,从网络安全企业整体排名和数量,从产业结构、从网络安全企业规模和经营情况,从产品竞争力,从客户成熟度,从漏洞挖掘和ATP研究能力、从网络安全投资在信息化投资中的占比——产业发展环境核心指标,这多个方面进行中美和中外对比。在这多个方面中,除了个别方面——漏洞挖掘能力——基本相当之外,美国网络安全产业相对于我国产业具有绝对的优势。实际上,如果考虑到当期中美两国对漏洞管理的政策制度和管制力度的差异,公开的数据远未能完全披露美国在漏洞挖掘方面的真实实力。

龙头企业不强,缺乏层级化、特色鲜明、能力突出的明星企业群体,产业结构不合理,产品竞争力弱,客户成熟度低(以初级阶段为主),企业规模小且盈利能力弱,网络安全投资严重不足——产业环境仍需大幅度改善,相比美国产业,我国网络安全产业存在着产业生命周期阶段性差距。

根据IDC公司的数据,2018年全球IT安全市场规模为942.4亿美金,美国占比44.20%,约为416.54亿美金。借助于公开资料和行业研究数据进行统计测算,Symantec、McAfee、Cisco、Palo Alto Networks、Fortinet这5家美国最大网络安全企业的收入约占国内行业总收入的33.3%。

根据中国信息通信研究院披露的数据,2018年我国网络安全产业规模为545.49亿元人民币。借助于公开资料和行业研究数据进行统计测算,天融信、启明星辰、卫士通、深信服、奇安信这5家中国最大网络安全企业的收入约占国内行业总收入的19.1%。

19.1%对33.3%,中美之间这个反应产业集中度的比重指标存在有74.3%的差异。当产业走向成熟,产业会逐步走向集中和聚集,形成寡头竞争,甚至垄断性竞争格局。这一趋势在高科技产业中,特别是信息产业中表现的尤为突出。在互联网领域,当产业成熟时,往往会进入平台型垄断竞争格局,但是在网络安全领域,由于产业技术门类繁多、客户的行业属性与业务需求差异性大、新技术快速迭代等特征,即便是进入成熟期,网络安全产业也很难出现“一家独大”的局面,寡头竞争是符合产业自身发展规律的竞争格局。

综合以上分析,给出了中国和美国的网络安全产业分别所处的发展阶段定位:

  • 美国网络安全产业处于产业生命周期的“成熟发展期”;

  • 中国网络安全产业已经跨越了产业生命周期的“萌芽期”阶段,正处于“初步发展期”阶段,并在迅速逼近“快速成长期”阶段。

以下图表对中、美网络安全产业分别所处的产业生命周期阶段进行了标示。

图表17. 中、美网络安全产业所处产业生命周期阶段

六、结语

经过近30年的发展,我国网络安全产业已初见规模并形成较为完整产业体系。随着《中华人民共和国网络安全法》等政策法规的颁布实施、国家网络空间战略和相关发展规划的出台,以及全社会网络安全意识的逐步提升,我国网络安全产业进入了历史上最好的发展机遇期,近年来产业呈现出快速发展势头。

然而,与国际网络安全第一集团——美国相比,我国网络安全产业整体实力较弱、总体规模小、缺乏大型龙头企业、技术创新能力不足、产业发展环境仍需大幅度改进优化,虽然我们在个别细分技术领域正在逼近或达到美国产业的水准,但总体上看,我国产业仍处于跟随和追赶状态。

网络安全产业汇聚了网络安全领域的大部分从业者和尖端人才,在现在国民经济体系中,企业越来越成为创新的主要实践者和推动力,而技术创新能力是决定着网络安全企业生存发展和产业竞争力的关键。网络安全产业。网络安全产业向包括个人、商业机构、政府和部分军事部门在内的全社会提供网络安全技术产品和服务,是维护社会网络安全的主要力量,承担着保障信息社会和数字经济网络安全的重任。所以说,网络安全产业是国家网络安全保障、防护能力的基础,即是国力基础。

培育强大的、体系化的自主网络安全技术产业,建设强有力的国家整体网络安全防卫和保障能力是建设网络强国的前提和必备条件!

可以这么讲:维护网络空间主权和国家安全、保障全社会信息化健康发展和全民数字权益的迫切需求,与目前相对较弱的网络安全产业基础和整体实力之间的矛盾,是我国网络安全技术产业发展面临的主要矛盾。

快速推进我国网络安全技术产业做大做强是当务之急!

声明:本文仅代表作者个人观点。

为便于排版,已省去原文注释

作者:陈兴跃,博士,中国网络安全产业联盟首任秘书长,现任天融信科技集团副总裁,主要研究方向为网络安全产业发展、产业规划与产业政策、创新体系与协同创新机制。

(本文选自《信息安全与通信保密》2019年第七期)

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。