文│清華大學網絡科學與網絡空間研究院  譚曉生

互聯網在2020年新冠疫情處置中發揮了重大作用：民眾通過互聯網填報健康狀況、獲得疫情信息、購買日常用品、實現社區的協作，學校普遍開設了網絡課堂，企業則紛紛開啟遠程工作模式。作為互聯網安全保障的網絡安全行業，肯定也受到新冠疫情影響，但是，用戶行為和用戶網絡安全認知的變化，是過去多年想改變卻未能成功的。新冠疫情給中國網絡安全產業既帶來威脅，也帶來了產業升級的機會。

根據中國信通院《中國網絡安全產業白皮書2019》，中國網絡安全產業在過去六年獲得了較快發展，行業總營收實現超過15%的年復合增長，2019年，行業總營收達到630億人民幣左右?？傮w看，中國網絡安全產業具有如下特點。

一是“外甜內苦”，中國網絡安全產業還在低水平發展。

外甜，是說網絡安全事件非常吸引眼球。媒體于2020年3月披露的美國中央情報局對中國航空產業長達11年的APT攻擊（APT-C-39）、2016年美國大選攻擊、2010年“震網”病毒攻擊、針對沙特阿拉伯的Shamoon攻擊等國家間的網絡攻擊事件，給習近平總書記“沒有網絡安全就沒有國家安全”的論斷做了完美的注解；臺積電以及國內眾多醫院遭受勒索軟件攻擊，讓更多人知道網絡安全關乎生產安全；徐玉玉案、猖獗的網絡電信詐騙，也讓我們知道個人信息泄露會影響公民的生活安全。大眾對網絡安全的重視程度普遍提升，網絡安全從業者的薪酬水平水漲船高，網絡安全工程師成為熱門職業。

內苦，是中國網絡安全產業的規模還比較小。2019年，整個網絡安全產業的營收占全球1000多億美金市場的不到10%，與美國500億美金以上的市場規模相比差了一個數量級，網絡安全公司的盈利能力依然比較差。網絡安全產業現在是勞動密集型高科技產業，而人力資源成本的提高進一步削弱了企業的盈利能力，很多中小型網絡安全公司在為生存而奮斗，存在劣幣驅逐良幣現象，產業生態不夠健康。

二是與美國網絡安全產業的差別越來越大，“Copy to China”模式不再可行。

在過去的二十多年中，中國的網絡安全產品研發大多采取跟隨戰略，反病毒軟件、防火墻、下一代防火墻、IPS、IDS、WAF、掃描器等，基本上是把美國或以色列發明的產品在中國重新做一遍，但是，近幾年，這條路越來越走不通。例如云安全代理（CASB）網關產品，Gartner把它當作解決軟件即服務（SaaS）安全的解決方案，也涌現出Netscope、BitGlass等廠商，但是，CASB在中國幾乎沒有市場。在電子郵件安全網關（SEG）產品方面的情況也類似，這在國外是一個單獨產品類別，不僅僅能防垃圾郵件，在對抗釣魚攻擊等高級威脅方面也非常重要，在美國有梭子魚、MIMECAST、PROOFPRINT、INKY、趨勢科技、FORCEPOINT等多家廠商提供產品，但是，在中國，除了被綠盟科技收購的敏訊，幾乎找不到SEG廠商，而敏訊也沒有成為綠盟的主打產品，SEG產品的銷售額幾乎可以忽略不計。

現在，已經不能簡單把國外的網絡安全產品照搬回國內，借鑒其防護思路、所采用的技術，而是需要針對國內的情況重新設計產品形態、商業模式和營銷方案。

三是國家隊和大型互聯網企業大舉進入網絡安全領域，喜憂參半。

2019年，國投智能成為美亞柏科的控股股東，中國電子37.31億元人民幣戰略入股奇安信，中電科成為綠盟科技第一大股東，中電科收購南洋天融信5.0065%股權，阿里云全資收購長亭科技和九州云騰布局企業級安全市場，騰訊也正式進入企業安全市場，更不用說做安全業務出身的360集團，在完成奇安信股權出售之后另起爐灶，重新打起360企業安全集團的大旗。

在中國的商業環境下，“國家隊”和有錢、有人、有品牌的大型互聯網公司更容易獲得網絡安全訂單，大樹之下不長草，安全創業公司想獨立長大，會變得更加困難，成為大佬生態圈的一員，會是很多創業企業的選擇。這種情況有好也有壞，好的是創業企業的退出會變得更容易，壞處是大企業對市場的相對壟斷以及官僚主義，可能會扼殺創新，而在網絡安全行業，創新彌足珍貴。

四是創業企業團隊成熟度較低，創業公司估值偏高，創業生態不夠好。

相對于美國、以色列的網絡安全創業公司，國內安全創業公司的創業者成熟度更低一些，偏技術和產品，企業運營和市場營銷經驗普遍缺乏，創新能力又比不上以色列安全創業公司，缺乏企業運營經驗容易導致盲目擴張和資源的浪費。前幾年，因為3Q大戰、3B大戰所引發騰訊、百度、360、阿里巴巴等互聯網公司在網絡安全領域瘋狂搶人、搶公司，把網絡安全創業公司的估值推到不合理的高度，幾年下來，多數創業公司的營收規模和盈利水平還無法匹配現在的估值水平，融資壓力大，加上網絡安全公司的退出周期比較長，導致風投難以退出，2018年以后，專業的投資基金對網絡安全公司依然感興趣，但是，投資會比較謹慎。

五是網絡安全合規依然是主要驅動力。

合規驅動，是中國和美國、歐盟都存在的現象。網絡安全合規，其實就是要求組織在網絡安全上按照有關法律法規把必須要做的事情做了，是從事某種業務所需要達到的網絡安全法規的“及格線”。網絡安全是攻與防的較量，但是，也有運氣因素。網絡安全做得不好的組織，也可能因為無人關注而沒有發生安全事故，也有網絡安全工作做得不錯，卻百密一疏，遇到頂尖高手的攻擊而功虧一簣。不過，只是安全工作做得好的組織，發生事故的概率會低一些。

在安全防御效果類產品與合規類產品之間，國內的網絡安全技術人員往往會看不起合規類產品，這是一種技術偏見。合規不能保證不出事故，但是，不合規，肯定更容易出事故。把合規類產品做得更好用、更有效果，是產業界應該追求的，要讓自己的產品使客戶在合規的基礎上獲得更好的防御效果。

短期看，新冠疫情會給網絡安全公司的現金流帶來壓力。

新冠疫情影響網絡安全項目進度以及回款周期，從政府到企業的最高優先級都是處理疫情相關事務，各種人員流動管理措施使得拜訪客戶幾乎不可能。網絡安全建設項目延期，沒有新的資金進來，但是，員工的工資要照發，公司的運作也不能停，網絡安全公司現金流壓力會變大。

對2020年全年業績影響，主要看疫情能否在一季度平息。

考慮到每年的第一季度是網絡安全企業的銷售淡季，如果新冠疫情能在一季度末平息下來，二季度社會全面復工的話，對網絡安全企業2020年業績的影響，應該不會很大。網絡安全企業的客戶多以政府和大型企業為主，網絡安全支出在當年度的預算中已經確定，而這次受新冠疫情影響較大的廣大中小企業恰恰不是網絡安全公司的主要客戶。如果新冠疫情到第二季度還無法徹底平息，甚至發生全球大爆發，可能會導致很多安全建設項目的取消或延遲到2021年進行，人力成本會成為網絡安全企業維持運營的沉重負擔，會有大問題。

首先是SaaS安全可能會興起。

因為疫情所帶來的人口流動的限制，各家企業紛紛開啟遠程辦公模式，政府也開放了更多的在線服務，連大、中、小學也紛紛開始網課課堂。等疫情結束，大家可能發現遠程工作其實也不錯，如同2003年“非典”（SARS）疫情促進了中國電商行業的發展一樣。有遠程辦公需求，就有遠程辦公的網絡安全問題要解決，有遠程教育，就有遠程教育的網絡安全、數據安全問題要解決。春節后，虛擬專用網絡（VPN）廠商很忙，因為VPN是遠程辦公網絡安全工具之一。各種SaaS服務被廣泛接受后，SaaS的安全也會成為一個問題，我們會面臨和歐美同樣的網絡安全問題，這些都是給從事SaaS安全、零信任等解決方案公司的機會。

其次是網絡安全在線服務/托管服務的機會。

因為各種原因，中國的客戶更習慣于網絡安全廠商提供面對面服務，但是，面對面服務的人員利用效率比較低，且不說異地長途旅行的時間開銷，單是在北京這樣的城市，5分鐘就能解決問題卻需要3小時往返在路上。由于疫情所造成的出行限制，已經逼迫部分客戶開放遠程安全運維端口。疫情過后，他們或許會發現，其實是有技術和管理手段把遠程運維的風險降低到可接受的程度：堡壘機、遠程桌面、安全運維審計系統本身就是干這個用的！遠程運維情況下，自己能得到更快的響應以及更高水平專家的服務。對網絡安全企業來講，這是提高人員復用率，進行運維知識積累，形成運維知識庫，提高運維自動化水平的機會，可以提高企業運營效率，降低運營成本。

再次，數據安全在新冠疫情后被進一步重視。

大數據在新冠疫情處置過程中發揮了很大作用，例如運營商通過大數據提供公民到訪城市的信息，支付寶的“健康碼”可以利用大數據自動得出某人是否具有傳染風險的結論。在杭州，如果不展示支付寶健康碼，幾乎不可能出門。用數據標示感染風險等應用，也肯定會引發對大數據濫用與用戶隱私保護的擔憂。匆忙上線的信息系統也可能存在安全漏洞，疫情期間收集的大量用戶信息肯定也會成為黑客攻擊的目標，存在泄露用戶個人信息的可能。數據安全在疫情過后肯定會引起關注，這對從事數據安全、用戶隱私保護產品或服務的公司都是機會。

最后，新冠疫情后網絡安全產業也會吃到紅利。

新冠疫情之后，我國應該對災難應急響應體系做一次升級，為下一次類似甚至更嚴重疫情爆發做好準備。大范圍、長時間的隔離肯定會是假設前提，更多的線上服務、線上協同，甚至無人系統提供服務，都可能變成應對手段，而我們肯定要為此準備好網絡安全防護方案，無人車、機器人、無人工廠、無人機等物聯網世界的安全，都是要解決的問題，而遠程的安全運維服務，將會變成網絡安全服務的必選項。

新冠疫情給我國網絡安全產業既帶來生存的壓力，也帶來產業轉型升級的契機，需要抓住這次機遇，實現網絡安全服務化、云化、智能化、自動化、人性化，實現安全合規與安全防護效果雙驅動。

實現網絡安全產業轉型升級，需要有對網絡安全具有深刻理解，有理想與抱負的企業家，帶領企業腳踏實地用創新的思路開發出好的產品，培養優秀的安全服務人員，擺正技術與銷售的關系，避免過度技術，管好現金流，通過精細化運營控制經營成本，解決用戶問題；需要有遠見、有耐心的投資者，通過資本的力量扶持大量的創新創業者，通過收購與兼并、IPO等在投資人掙錢的同時讓創業者有回報；需要教育機構為產業培養大批的網絡安全人才；需要在網絡安全的法律法規、網絡安全的考評標準方面，跟上技術與商業模式進步的節奏；需要有對網絡安全清晰認知的客戶，共同努力營造健康的網絡空間安全產業生態。