关注兰花豆，探讨网络安全

我国的网络安全发展可以追溯至上个世纪80年末代至90年代末，是网络安全行业的起始期，当时个人电脑和互联网在我国开始蓬勃发展，在90年代诞生了一批早期的网络安全公司，瑞星，江民，启明星辰，天融信，北信源，绿盟等公司。早期的网络安全公司还是主要以杀毒为主要技术路线，主要是解决终端的安全问题。2000年至2013年，随着互联网，网络通信等国家网络基础设施的大规模建设，安全边界进一步延伸，又诞生了一批网络安全公司，深信服，安天，任子行，安恒等公司。2013年，随着斯诺登曝光了美国“棱镜门”事件，引发了全世界对网络安全的思考，各国开始重视网络空间安全，网络空间成为继海、陆、空、天之后的第五维疆域，没有网络安全就没有国家安全，国家层面越来越重视网络安全，相继出台了《网络安全法》、《数据安全法》等，重新修改完善了等级保护标准，大量企事业单位被要求做好等级保护，合规和监管成为网络安全建设的重中之重。整体来说，我国网络安全产业经历了三个重要的发展阶段，大致经历了30年的发展，第一阶段和第二阶段可以说是由业务安全需求驱动的，第三阶段主要是以政策驱动的。在第三阶段，大量资本涌入网络安全产业，不管是懂的还是不懂的，都进来了，逐利而往，大多数资本期望的回报期在5年左右，实际上大多数事与愿违，幻想通过资本打造巨无霸企业，形成事实上的垄断，类似互联网电商行业，这样的想法是不可能在中国出现的，网络安全是国家安全的一部分，是不允许出现这样的情况的，就好像能源一样，不可能任由资本来摆布，既然进来了，那就不要出去了，只可能由少量外部资本参与。网络安全行业一定是由技术推动的，投资回报周期比较长，就像航空航天一样，短时间见成效一定是急功近利的表现，我国网络安全行业整体来说，最大的缺口还是人才，销售体系的人员太多，很多产品只管卖不管落地效果，真正懂安全，懂攻防的研发人才比例还是偏少，将在一定时间内制约我国网络安全产业发展。

网络安全行业经历了3个发展阶段，第3个阶段在资本助推下，虽然取得了一定成效，但是也影响了行业的健康发展，低价中标，同质化竞争，弄虚作假，贪污腐化，白手套等比比皆是，资本加持下催促厂商业绩快速达标，通过上市快速实现回报，安全大商大多数奔着上市的目标，从而越来越多的安全初创厂商出现，通过各种融资渠道获得融资，纵观这两年融资情况，大多数初创企业出现融资困难，投资人也看得很清楚了，初创企业如果没有自己的核心技术而只有概念画饼子的话，将会出现资金链断裂，安全行业创业必将是九死一生，市场规模和客户体量是支撑不了初创公司业绩上市要求的，市场培育和品牌宣传也是需要时间沉淀的，未来几年将会淘汰一大批安全厂商。网络安全行业的发展需要头部企业带动，需要国家扶持，也需要地方扶持，国有网络安全企业是大势所趋，民营网络安全企业为辅，共同推动国内网络安全行业健康有序发展。

网络安全行业红利期基本上没有了，经过几年的快速发展，以合规和监管驱动的市场已经是存量的市场，蛋糕就那么大，还有这么多厂商来分，大多数厂商也只能做合规。行业周期性和市场需求决定了行业的红利期，要理性和客观的看待这个行业未来的发展。合规是政策和监管为主推动的，基于合规还有哪些需求了，一是信创，这是国家的大政方针，作为网络空间大国必须做到自主可控，芯片，操作系统，中间件等必须国产化，围绕信创的安全产品将是重中之重，安全产品必须是国产化基因，而不是通过开源组件改改就是安全产品了，这样就存在安全产品不安全的隐患。二是数据安全，国家将数据交易作为新兴经济，通过数据交易拉动新的经济增长点，国家在做数据资产确权，就像农村做土地确权一样，数据是国家的，但是各个企事业单位主体都有数据使用权，可以进行流转和交易。各地也正在成立数据交易所，企事业单位数据通过数据资产确权之后，通过数据交易所的数据交易平台进行出售，类似农民可以在土地上种各样的庄稼实现营收，也可以把土地租出去实现营收。数据资产在产生，流通，交易环节的安全是需要得到全方位保障的。数据安全也喊了很多年，但实际上如何保障各种各样数据类型，各种各样企事业单位的数据交易安全还是存在各方面的问题，数据流转和交易的安全，是需要根据数据交易的各个环节去做有效的数据安全，并不是像很多厂商ppt介绍那样，已经吃透了一个行业这样的宣传，这种宣传并不是务实的宣传。如果数据交易出现安全问题，将势必会影响以数据交易为基础的数字经济的发展，作为企业更应当务实，从各行各业的业务去理解数据，做好各种安全防护措施。三是低空经济安全，低空经济在2024年被写入国务院《政府工作报告》，被提升为战略新兴产业，围绕无人机，低空智联网等网络安全问题也是需要重点关注的，低空领域的活动具有特殊性和复杂性，对安全提出了极高的要求。四是人工智能，人工智能是第四次工业革命，人工智能会赋能各行各业，其中人工智能安全问题是不可忽视的，需要加强对AI应用的监管，也需要加强对AI自身安全的防护，防止AI被人为利用进行违法犯罪活动，特别是意识形态领域方面的监管。从国家层面来说，任何一项新技术的诞生，在使用的同时，加强监管势在必行。五是新能源汽车，新能源汽车也是国家战略新兴产业，新能源汽车除了通过电池提供动力之外，最大的卖点就是智能驾驶，汽车网络安全也是产业升级过程中一个安全方向。网络安全行业的发展离不开IT相关技术变革，国家安全政策，产业发展需要等多方面因素。

网络安全行业已经进入下行期间，慢车道，未来五年还靠融资生存的初创企业，没有自己的细分市场，细分客户，核心技术，不打造企业自身的护城河，将会熬不过这个冬天，网安行业头部企业都举步维艰，中小型企业日子也不一定好过，特别是在工业互联网安全，工控安全，供应链安全等方面的初创企业将会面临市场需求不足的问题，未来安全主要还是以通用安全产品为主，专业安全工具为辅，强化攻防对抗能力，重视业务安全，大多数甲方企业的业务安全会由自己的信息化和安全团队共同完成，攻防对抗能力会由公司安全团队和外部白帽子来共同打造。合规会通过一些合规要求的安全产品和管理要求来完成。网络安全行业是一个关键行业，与政策，技术等多方面相关，但是作为安全厂商来说，首先面临的是生存问题，毕竟不需要安全厂商，大型企业能不能自己做安全，这个值得考虑。比如电商，物流，互联网等安全与业务关联性强的企业，大多数安全问题是由自己安全团队和业务研发团队解决，除了通用型的安全产品由外部采购。这就需要考虑清楚，在满足合规的基础之上，网络安全的市场增量在哪里，是不是都需要安全厂商来解决。需要搞清楚哪些安全问题需要标准化的安全产品来解决，这部分由专业厂商来解决，也正是安全厂商的主要方向，用标准化产品解决标准化的安全问题，在标准化产品基础上持续做能力提升和扩展，而不是内卷式的堆功能。如果是非标准化的安全产品，则需要安全厂商与甲方企业客户深度结合，从企业的业务角度解决业务相关的安全问题。安全厂商除了自己的细分行业和客户，更要弄明白产品是从标准化角度解决安全问题还是从定制化角度解决安全问题，这样的产品策略，盈利模式是不一样的。

网络安全行业需要重新洗牌，由市场规律和技术壁垒淘汰掉部分安全厂商，由行政手段和监管要求砍掉部分安全厂商，网络安全行业的媒体应当加强监管和整顿，避免由行业媒体带偏安全行业的方向，进行虚假，夸张宣传和营销，大搞安全行业排名，大量鼓吹不符合中国国情的安全理念，这和毒教材没什么两样，并没有引进消化、吸收和创新，严重损害了我国网络安全产业，应当由国家相关的权威部门宣传我国的网络安全发展理念和行业发展现状，部分自媒体的缺位宣传，给安全厂商排座次，实则是借媒体之手干预，并非公正的宣传，搅乱我国网络安全行业。中国能出deepseek，也能发展好自己的网络安全行业，鼓吹国外的网络安全理念不利于我国的网络安全发展，弄清网络安全的本质问题和底层逻辑，才有利于解决网络安全问题，而不是通过包装概念和资本来助推，网络安全核心企业必须是国有化，就像医院一样，全部私有化之后，在出现重大公共事件时，组织动员能力有限。总之，不能被某些媒体，资本及厂商等，带偏行业发展方向。

网络安全厂商需要在行业下行时开源节流，增加市场容量，降低经营成本，重点还是如何创造增量，一是在国内创造，二是在国外创造，国内主要看政策，国外看出海力度，出海这条路不好走，尤其在国际形势和地缘政治大环境下，安全出海可能就是伪命题，可能一带一路国家做一些监管类的安全还有比较大的希望，如果是通用型产品，比如防火墙，ips，杀毒这些，能出海的企业并不多。安全出海这条路可能越来越窄。反观国内，最大的问题是，虽然市场有那么大，但是小鱼小虾太多，产品同质化严重，底层能力不足，低价中标成常态，不是合力做大蛋糕，而是先分蛋糕，管它有多大。

总之，网络安全行业红利期也基本上快结束了，只有良币驱逐劣币，技术驱动安全发展，加强各方监管，注重执行效果，才能使网络安全行业稳定健康发展。