文│清华大学网络科学与网络空间研究院 谭晓生

互联网在2020年新冠疫情处置中发挥了重大作用:民众通过互联网填报健康状况、获得疫情信息、购买日常用品、实现社区的协作,学校普遍开设了网络课堂,企业则纷纷开启远程工作模式。作为互联网安全保障的网络安全行业,肯定也受到新冠疫情影响,但是,用户行为和用户网络安全认知的变化,是过去多年想改变却未能成功的。新冠疫情给中国网络安全产业既带来威胁,也带来了产业升级的机会。

一、中国网络安全产业发展呈现阶段特征

根据中国信通院《中国网络安全产业白皮书2019》,中国网络安全产业在过去六年获得了较快发展,行业总营收实现超过15%的年复合增长,2019年,行业总营收达到630亿人民币左右。总体看,中国网络安全产业具有如下特点。

一是“外甜内苦”,中国网络安全产业还在低水平发展。

外甜,是说网络安全事件非常吸引眼球。媒体于2020年3月披露的美国中央情报局对中国航空产业长达11年的APT攻击(APT-C-39)、2016年美国大选攻击、2010年“震网”病毒攻击、针对沙特阿拉伯的Shamoon攻击等国家间的网络攻击事件,给习近平总书记“没有网络安全就没有国家安全”的论断做了完美的注解;台积电以及国内众多医院遭受勒索软件攻击,让更多人知道网络安全关乎生产安全;徐玉玉案、猖獗的网络电信诈骗,也让我们知道个人信息泄露会影响公民的生活安全。大众对网络安全的重视程度普遍提升,网络安全从业者的薪酬水平水涨船高,网络安全工程师成为热门职业。

内苦,是中国网络安全产业的规模还比较小。2019年,整个网络安全产业的营收占全球1000多亿美金市场的不到10%,与美国500亿美金以上的市场规模相比差了一个数量级,网络安全公司的盈利能力依然比较差。网络安全产业现在是劳动密集型高科技产业,而人力资源成本的提高进一步削弱了企业的盈利能力,很多中小型网络安全公司在为生存而奋斗,存在劣币驱逐良币现象,产业生态不够健康。

二是与美国网络安全产业的差别越来越大,“Copy to China”模式不再可行。

在过去的二十多年中,中国的网络安全产品研发大多采取跟随战略,反病毒软件、防火墙、下一代防火墙、IPS、IDS、WAF、扫描器等,基本上是把美国或以色列发明的产品在中国重新做一遍,但是,近几年,这条路越来越走不通。例如云安全代理(CASB)网关产品,Gartner把它当作解决软件即服务(SaaS)安全的解决方案,也涌现出Netscope、BitGlass等厂商,但是,CASB在中国几乎没有市场。在电子邮件安全网关(SEG)产品方面的情况也类似,这在国外是一个单独产品类别,不仅仅能防垃圾邮件,在对抗钓鱼攻击等高级威胁方面也非常重要,在美国有梭子鱼、MIMECAST、PROOFPRINT、INKY、趋势科技、FORCEPOINT等多家厂商提供产品,但是,在中国,除了被绿盟科技收购的敏讯,几乎找不到SEG厂商,而敏讯也没有成为绿盟的主打产品,SEG产品的销售额几乎可以忽略不计。

现在,已经不能简单把国外的网络安全产品照搬回国内,借鉴其防护思路、所采用的技术,而是需要针对国内的情况重新设计产品形态、商业模式和营销方案。

三是国家队和大型互联网企业大举进入网络安全领域,喜忧参半。

2019年,国投智能成为美亚柏科的控股股东,中国电子37.31亿元人民币战略入股奇安信,中电科成为绿盟科技第一大股东,中电科收购南洋天融信5.0065%股权,阿里云全资收购长亭科技和九州云腾布局企业级安全市场,腾讯也正式进入企业安全市场,更不用说做安全业务出身的360集团,在完成奇安信股权出售之后另起炉灶,重新打起360企业安全集团的大旗。

在中国的商业环境下,“国家队”和有钱、有人、有品牌的大型互联网公司更容易获得网络安全订单,大树之下不长草,安全创业公司想独立长大,会变得更加困难,成为大佬生态圈的一员,会是很多创业企业的选择。这种情况有好也有坏,好的是创业企业的退出会变得更容易,坏处是大企业对市场的相对垄断以及官僚主义,可能会扼杀创新,而在网络安全行业,创新弥足珍贵。

四是创业企业团队成熟度较低,创业公司估值偏高,创业生态不够好。

相对于美国、以色列的网络安全创业公司,国内安全创业公司的创业者成熟度更低一些,偏技术和产品,企业运营和市场营销经验普遍缺乏,创新能力又比不上以色列安全创业公司,缺乏企业运营经验容易导致盲目扩张和资源的浪费。前几年,因为3Q大战、3B大战所引发腾讯、百度、360、阿里巴巴等互联网公司在网络安全领域疯狂抢人、抢公司,把网络安全创业公司的估值推到不合理的高度,几年下来,多数创业公司的营收规模和盈利水平还无法匹配现在的估值水平,融资压力大,加上网络安全公司的退出周期比较长,导致风投难以退出,2018年以后,专业的投资基金对网络安全公司依然感兴趣,但是,投资会比较谨慎。

五是网络安全合规依然是主要驱动力。

合规驱动,是中国和美国、欧盟都存在的现象。网络安全合规,其实就是要求组织在网络安全上按照有关法律法规把必须要做的事情做了,是从事某种业务所需要达到的网络安全法规的“及格线”。网络安全是攻与防的较量,但是,也有运气因素。网络安全做得不好的组织,也可能因为无人关注而没有发生安全事故,也有网络安全工作做得不错,却百密一疏,遇到顶尖高手的攻击而功亏一篑。不过,只是安全工作做得好的组织,发生事故的概率会低一些。

在安全防御效果类产品与合规类产品之间,国内的网络安全技术人员往往会看不起合规类产品,这是一种技术偏见。合规不能保证不出事故,但是,不合规,肯定更容易出事故。把合规类产品做得更好用、更有效果,是产业界应该追求的,要让自己的产品使客户在合规的基础上获得更好的防御效果。

二、新冠疫情对中国网络安全产业的影响

短期看,新冠疫情会给网络安全公司的现金流带来压力。

新冠疫情影响网络安全项目进度以及回款周期,从政府到企业的最高优先级都是处理疫情相关事务,各种人员流动管理措施使得拜访客户几乎不可能。网络安全建设项目延期,没有新的资金进来,但是,员工的工资要照发,公司的运作也不能停,网络安全公司现金流压力会变大。

对2020年全年业绩影响,主要看疫情能否在一季度平息。

考虑到每年的第一季度是网络安全企业的销售淡季,如果新冠疫情能在一季度末平息下来,二季度社会全面复工的话,对网络安全企业2020年业绩的影响,应该不会很大。网络安全企业的客户多以政府和大型企业为主,网络安全支出在当年度的预算中已经确定,而这次受新冠疫情影响较大的广大中小企业恰恰不是网络安全公司的主要客户。如果新冠疫情到第二季度还无法彻底平息,甚至发生全球大爆发,可能会导致很多安全建设项目的取消或延迟到2021年进行,人力成本会成为网络安全企业维持运营的沉重负担,会有大问题。

三、新冠疫情给网络安全产业带来新的机会

首先是SaaS安全可能会兴起。

因为疫情所带来的人口流动的限制,各家企业纷纷开启远程办公模式,政府也开放了更多的在线服务,连大、中、小学也纷纷开始网课课堂。等疫情结束,大家可能发现远程工作其实也不错,如同2003年“非典”(SARS)疫情促进了中国电商行业的发展一样。有远程办公需求,就有远程办公的网络安全问题要解决,有远程教育,就有远程教育的网络安全、数据安全问题要解决。春节后,虚拟专用网络(VPN)厂商很忙,因为VPN是远程办公网络安全工具之一。各种SaaS服务被广泛接受后,SaaS的安全也会成为一个问题,我们会面临和欧美同样的网络安全问题,这些都是给从事SaaS安全、零信任等解决方案公司的机会。

其次是网络安全在线服务/托管服务的机会。

因为各种原因,中国的客户更习惯于网络安全厂商提供面对面服务,但是,面对面服务的人员利用效率比较低,且不说异地长途旅行的时间开销,单是在北京这样的城市,5分钟就能解决问题却需要3小时往返在路上。由于疫情所造成的出行限制,已经逼迫部分客户开放远程安全运维端口。疫情过后,他们或许会发现,其实是有技术和管理手段把远程运维的风险降低到可接受的程度:堡垒机、远程桌面、安全运维审计系统本身就是干这个用的!远程运维情况下,自己能得到更快的响应以及更高水平专家的服务。对网络安全企业来讲,这是提高人员复用率,进行运维知识积累,形成运维知识库,提高运维自动化水平的机会,可以提高企业运营效率,降低运营成本。

再次,数据安全在新冠疫情后被进一步重视。

大数据在新冠疫情处置过程中发挥了很大作用,例如运营商通过大数据提供公民到访城市的信息,支付宝的“健康码”可以利用大数据自动得出某人是否具有传染风险的结论。在杭州,如果不展示支付宝健康码,几乎不可能出门。用数据标示感染风险等应用,也肯定会引发对大数据滥用与用户隐私保护的担忧。匆忙上线的信息系统也可能存在安全漏洞,疫情期间收集的大量用户信息肯定也会成为黑客攻击的目标,存在泄露用户个人信息的可能。数据安全在疫情过后肯定会引起关注,这对从事数据安全、用户隐私保护产品或服务的公司都是机会。

最后,新冠疫情后网络安全产业也会吃到红利。

新冠疫情之后,我国应该对灾难应急响应体系做一次升级,为下一次类似甚至更严重疫情爆发做好准备。大范围、长时间的隔离肯定会是假设前提,更多的线上服务、线上协同,甚至无人系统提供服务,都可能变成应对手段,而我们肯定要为此准备好网络安全防护方案,无人车、机器人、无人工厂、无人机等物联网世界的安全,都是要解决的问题,而远程的安全运维服务,将会变成网络安全服务的必选项。

四、抓住机遇,实现网络安全产业升级

新冠疫情给我国网络安全产业既带来生存的压力,也带来产业转型升级的契机,需要抓住这次机遇,实现网络安全服务化、云化、智能化、自动化、人性化,实现安全合规与安全防护效果双驱动。

实现网络安全产业转型升级,需要有对网络安全具有深刻理解,有理想与抱负的企业家,带领企业脚踏实地用创新的思路开发出好的产品,培养优秀的安全服务人员,摆正技术与销售的关系,避免过度技术,管好现金流,通过精细化运营控制经营成本,解决用户问题;需要有远见、有耐心的投资者,通过资本的力量扶持大量的创新创业者,通过收购与兼并、IPO等在投资人挣钱的同时让创业者有回报;需要教育机构为产业培养大批的网络安全人才;需要在网络安全的法律法规、网络安全的考评标准方面,跟上技术与商业模式进步的节奏;需要有对网络安全清晰认知的客户,共同努力营造健康的网络空间安全产业生态。

(本文刊登于《中国信息安全》杂志2020年第3期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。