132家国际厂商！一次为甲方CSO而做的国产化替代摸底调研｜安全村

最初，是从一个甲方CSO朋友的苦恼开始的。

为了做好国产化准备，朋友所在的单位要对当前已采购的国外产品进行摸底排查，网络安全也自然是其中的一部分，他责无旁贷。

但第一步，梳理清单，他就犯了难。

网络安全太碎片化了！比起存储、数据库、中间件，厂商数量和产品类型多太多。这个清单他自己整理，费时费力不说，总觉得有所缺漏，也没有什么复用价值。有没有人做过类似工作、已经整理好了现成的，直接拿来用就好？这是他最初的想法。

他说的有道理，但估计每个甲方都这么想。

这件事应该有个第三方机构系统梳理一下，不仅能节省所有甲方的时间精力，拿来即用，还可以通过不同维度的甲方调研来丰富国际厂商数据的完整性，毕竟有些技术只会在一些特定行业中有使用场景，比如车联网用到的一些工具金融根本用不上，任何一个甲方从自己的业务出发，都难保证全面。

那就我们来吧，于是便启动了这个调研。

进展很快，几轮调研统计之后，最终名单上筛查出来132个在国内依然有业务开展的、提供网络安全相关技术产品的国际厂商。

到第二步，分析国际厂商的来源成分，就有点复杂了。

要知道国产化的动力，不仅仅是信创，还有一大部分是来自于对科技断供的担忧。随着中美贸易摩擦和俄乌冲突的发展，科技断供已经从一种潜在风险变为非常现实的问题，这些国际供应链厂商可能随时会因为受到涉及国家/地区的相关法规限制而突然被动禁售，关键信息基础设施等甲方单位的焦虑非常可以理解，亟需未雨绸缪。

那这132个厂商，都涉及哪些国家地区呢？有些以色列厂商在美国上市，有些欧洲厂商被美国资本或厂商并购，千头万绪，怎么统计？

无难事，有心人。厂商涉及的国家地区关系大致可以分为几类：厂商总部所在地、上市地、母公司所在地、并购资本所在地、及其他法律法规有影响能力的国家和地区，因此单个厂商的确可能会受到多个国家地区的法律法规影响。我们按这个方式进行了成分梳理，最终得到的数据如下：132个厂商，涉及了全球20个国家地区，列表如下：

到第三步，真要替换的话，不是厂商换厂商，而是产品换产品。怎么对应？

本质上，甲方使用的是产品，要替换的也是产品。对于一些产品线比较长的国际大厂而言，很难说某个国内厂商可以整体对标来替换。但所谓术业有专攻，如果明确拆解到具体所采用的产品类型中，可能会有不同的国内厂商来分别对应。因此，这一步的挑战是，该如何拆解这些厂商的产品线形态？

还好之前斯元有这方面的研究积累，在之前的「Emerging Technology Vendor Index · 网安新兴赛道厂商速查指南」报告中，就整理过这方面的数据。我们把这132个厂商在国内有落地的产品线做了拆解（是的，处于出口管控的限制，有些国际厂商的特定产品线可能在美国有，却未必在中国有实际落地），共拆解出了92类常用的产品类型。这样就一目了然多了，国内厂商也可以各就各位，按产品赛道分别对应。

第四步，哪些先换，哪些后换？看甲方心情了。

现在，有了完整的厂商清单、每个厂商涉及的国家和资本成分归属、厂商在国内落地的产品技术列表，我们只需要在每个产品赛道的后面，列上涉及到的国际厂商，和部分推荐的国内厂商，就算大功告成了。下一步甲方CSO们只需要按名录排查，自然会心中有数，做好替换的节奏规划。

到这里，总算帮我这位朋友解决了一个问题，我们的工作也算是告一段落。想想这个报告的初心，就是为了帮助要做国产化替代排查的甲方同学，因此也特地分享出来。（完整报告下载链接请参考文末说明）

最后，要夸一夸有所准备的国产厂商们。

机会总是留给有准备的人。国产厂商中的有心人早已做好了准备，他们中有的在国产化适配和自主可控层面做了深度的积累，有的在技术创新性上和国际厂商齐头并进，有的在国内业务场景的独特性上有更多的洞察，为国内各类关基和企业客户提供了更良好的体验。

哦对了，说个题外话

还有些国际厂商，为了应对国产化的要求，不断在尝试OEM、White Label、企业内资化等方式。部分国际厂商更加激进，甚至还会尝试国内业务出售、源代码、知识产权等其他深度合作形态，以曲线满足国产化要求。这些就不好公开写到报告里了，不过如果你有兴趣，可以悄悄找我，单独聊聊。

报告原文下载链接

RECOMMEND

往期回顾

关于安全村

安全村始终致力于为安全人服务，通过博客、文集、专刊、沙龙等形态，交流最新的技术和资讯，增强互动与合作，与行业人员共同建设协同生态。