全球知名黑客凯文·大卫·米特马克是美国一家安全教育独角兽公司No Before联合创始人,我和他有过一些交流。如果把中国的网络安全分成三个阶段,我是在第一个10年的尾巴进入到行业的。中国的网络安全的起步于1995年,是国家95攻关的一个项目,当时中国第一家网络安全公司天融信成立,以此为标志,我大概是05年左右进入到行业,就接触到05年到大概13年左右的第二个网络安全高速发展的阶段,这是由等级保护1.0驱动的防御发展阶段。
目前我们现在做的主要的是关于行业的一些研究,主要包括两个部分,一方面是定性的,一方面是定量的,后面我会展开给大家介绍。我们也成立了数字安全研究院,研究院每年都会发布一些与网络安全行业相关的深度研究报告,包括创新、创投、产业的竞争力、企业的竞争力分析、在特定领域的顶级供应商以及上市公司的深度研报。
我先给大家分享一下网络安全行业里面的一些逻辑和关于我自己对行业思考。我在多年从事网安的过程当中,我把网络安全行业做了一个总结,网络安全其实是有双重属性的,一方面是有商业属性,另一方面是有军工属性。在2013年以前,有一个标志性的事件,就是斯诺登。在此之前,国内的网络安全产业是以商业属性为主的,很多的公司,包括国外的像Palo Alto Networks、Check Point这一类在纳斯达克上市的公司,他们在中国也是可以做生意的,也可以卖货的。外企的安全产品在中国市场份额大概在30%以上。经过了斯诺登事件以后,经过逐步的自然的转化,现在他们在国内的市场份额应该是不足10%。另外一个属性就是军工属性,现在实际上国内的网络安全体系在从商业属性向军工属性迁移,而且军工属性越来越重。这两种属性是两种不同的生意,很多的公司的商业模式也是不一样的。
我们先来说商业属性,其实从攻击者的角度上来讲,肯定都是有动机的,比如说勒索软件是为了赚一笔钱,他如果是单纯的这样的黑灰产,其实在这个事其实好平衡,是一个经济问题、一个理性共生的状态,符合成本收益模型。攻击者也不会用过度的成本来去执行一次获取不到经济利益的攻击。所以在这里面其实是有一个隐形的成本,是法律。自从2016年中国有了网络安全法以后,境内发起的攻击者,其实是受法律约束的。他在做这件事之前,他需要考虑我是不是违法,假如说被抓了之后有违法成本,所以经济型的一般损害是慢性的,一般防守方或者是投入做安全的企业,也不会过度的来投入安全这块,因为他会追求一个成本收益的平衡的模型,适度的成本换取可接受的安全水平,这是大多数这样的客户的选择。
而军工属性变得不一样了,这两天闹得沸沸扬扬的美国的输油管道被勒索的事件。这种类似对国家关键基础设施的攻击是影响国际民生的,包括我们每年去美国RSA大会上的时候,都会有一些cyber criminal讨论,即网络的犯罪、网络恐怖主义,还包括基于政治目的的国家级的对抗,甚至网络战都已经提到了日程上。所以如果是军工属性的时候,大家会高投入换取高的安全水平。投入的级别跟原来以成本为中心是不一样的,因为它出了问题之后影响了成本是无法估量的。在这种环节上是一种非理性对抗,存在战争性,对抗与武器化,法律无效性和黑天鹅。
目前国内的市场在从商业属性向军工属性迁移的过程当中,包括我们在行业内的人,我下面列了4个关键词,第一,在过去三年,国资大举进入到网络安全行业。以前CTC、电子、电科相关的网络安全企业大部分是民营的,大家现在可以发现奇安信22%以上的股权是电子的,绿盟科技的15%以上的股权是电科的,天融信也有5%以上的股权是电科的,美亚柏科被国投收购了,很多与网络安全业务相关的公司越来越趋向国资。
第二个话题就是信创,我们一般在行业里面会把信创分成小信创、信创和大信创,目前这一轮执行还是小信创。网络安全法是属于上位法,网络安全法下面有两个重要的支撑,一个是等级保护,一个是关键基础设施保护,我们在行业里面叫等保与关保。等保是驱动了今天在二级市场上的上市公司,它们享受了等保1.0的红利,包括启明星辰、绿盟、天融信、奇安信等等,都是基于等保1.0做起来的解决方案型公司。等保2.0目前已经发布了,预计在今年发布另一个重磅级的法律法规,国家列了7到8个这种关键基础行业,它的防护级别是参照军工级保护不容有失来做的,所以政策法规的细则将会影响这些关键技术,会影响行业投入的规模与水平。
最后一个是大概从2016年公安部开始执行的,我们行业内部叫互网实战攻防演练,就是跟模拟作战是一样的,一边攻一边防。我老板跟公安部郭局长在沟通的时候提议需要做这样的一些工作。我老板是前360的副总裁谭总,他们在沟通的时候就把这事推进了,最近这两年事在我们产业圈内部的影响力非常大,模拟作战中好多问题真的防不住,出事了就是被通报,我们毕竟是模拟攻防,还可以亡羊补牢。但是真要赶上国际先进水平的恐怖恐怖分子或者是网络恐怖主义或者是这种国家级对抗,那问题其实还是蛮多的。这一轮的这样的过程也很大程度上提高了中国网络安全的实战攻防水平,在未来互网也将会常态化,而且区域化。首先是在国家部委级做相关的保护,后续也会推进到各个省市的级别,这是网络安全的一个属性。
大家都觉得网络安全市场特别有想象空间,其实我有一些个人的思考,我认为网络安全市场是一个非常长期存在的市场,而且它的增速也会相对比较稳定,但是市场的总体的天花板或者总体的想象空间,可能没有大家想的过于乐观,但是它会长期存在。过去5年间网络安全行业的同比增长率都在20%以上,复合增长率也是在20%-30%的水平,在国内的这样的行业当中,包括计算机子领域的行业当中不算最高,但是也不低了。网络安全的市场规模取决于国家赋予信息所有者的网络安全的责任,责任越大,需要投入就越大。所以自从2016年,网络安全法开始强化这种责任,网络安全市场就起来了。一方面责任是经济责任,比如说欧洲地区经济责任就很直接,有通用一般数据保护条例,会进行罚款,罚款是年营业收入的4%,或者是2000万欧元取其上,就是意味着做线上业务的,公司会有每年4%以下的网络安全税或者叫数据安全税,他必须要接受这份成本。国内也是一样的,责任决定了网络安全产业的投入。
另外一方面,中国的网络安全的执法部门还是公安体系。其中的执法能力建设,也是一个非常重要的市场。今天其实比如说盗窃或者入室抢劫这一类的这种几乎已经不存在了,时代使得这些犯罪消失了。但是在线上比如说网络诈骗、网络反赌博、网络扫黄,或者是其他新型的网络犯罪,比如说一些黑灰产都是一个巨量的市场,而且目前执法的能力还是在建设过程中。
第二个环节我们来聊聊网络安全产业的创新与发展,这个产业其实是一个半成型的产业,当大家发现产业里面只要有一个新出来的词儿,后面加上安全准没错,比如说云计算,我们行业内就有云安全,大家说互联网,我们就有互联网安全,大家说车联网,我们就可以聊车联网安全,都是伴生的。所有信息技术产业的主要发展来的,我们在后面加上安全两个词,因为都是新问题,这些问题原来大家都没有遇到过,在没有计算机的时候,大家谁知道做网络安全是什么,没人知道什么是TCPS体系结构、冯诺依曼模型。第一安全是半生的,安全发展也有规律,其实每新来一个东西它就有一些新问题,这也是我前面说的网络安全行业会持续稳定发展的原因。他可能未必会有一些突发性的,当然也有可能。因为我是做技术出身的,我原来是做工程师的,是我刚入行的时候,我一般去客户现场的一个典型的网络图谱图与今天发生了重大变化。刚才也介绍了有的上云了,原来的数据中心转化为私有云,也有上公有云的。原来的应用软件SaaS化了,整个的接入方式也从原来的有线接入变成了WiFi,变成了5g,形成了接入方式的改变。我推测当5g来的时候是不是线都没了,就是云网一体化了,端又回来了。其实在我们现在的安全领域就已经出现了大家越来越关注端点安全。在其实最早的时候做安全的一帮人就是做端点安全杀毒的,大家都听过瑞星、金山这样的公司,后来发现这种端点安全其实也挺难的,也有一些问题,就开始迁移到网络。
过去10年网络安全产业发展只有两条主线,第一条主线是云计算带来的应用场景变迁以及连带牵扯出的相关的安全的问题。第二个主线是大数据技术的发展带来的,当年我们做的是态势感知,整个的一个平台化的东西,当年我们用的是MySQL数据库,现在用的是ES来去做这些相关的分析,原来我们做关联分析做不到,今天现在都可以实现了,就是这么两条主线带来的。
我们研究的时候不只看二级市场,我们也会看一级市场,我们就总结,产业里面其实只有两种,一种是解决没有被解决好的问题,一种是解决了一个没有被解决的问题,一个是增量创新,一个是迭代创新。所以每一种方法其实都面临着一个新的领域,所以网络安全永远会有新问题发生,或者是有没有解决好的问题,当技术成熟到一定程度我们再来搞定它。
在这个领域里面,行业其实有一些创新的驱动力如政策、场景、业务、理念、技术、模式。比如,Okta公司是做身份认证的,在美国纳斯达克上市的公司,另一家公司叫Ping Identity,它们的官网上所有的功能都是对应一致的,两家公司的功能的相似度、解决客户问题的相似度达到90%以上,一家公司价值2000多亿人民币,一家公司只是几百亿人民币的原因就是他们商业模式不同。Ping Identity面向全球500强,Okta与微软的云和亚马逊的云合作,获得了巨量的客户的增长,它解决的是不同人的问题。所以在这个过程当中,网络安全再往前迭代发展的过程当中,也会追加不同的维度,当新维度来的时候,产业就又开辟出来一条线,这条线是一个值得大家去讨论的问题。既然有问题就有创业者,所以在不管是在中国还是在全球网络安全市场里面,创业者的创业动力都是特别强的,而且网络安全赛道也是一个特别火热的创新领域。
最后因为我们也是创业者,把我们做的一些业务也给大家做一个分享。从2017年开始,我开始积累中国的网络安全的、中国IT的所有的交易数据,在这些交易数据当中找到安全的项目,进行特征分析。把这些特征分析罗列进来之后,就形成了中国网络安全的客户地图,每年都会有变化,中国的客户在增多多少,有哪些客户买了哪些产品。另一方面是按省份,每个省份哪个省份追加投入大,哪个省份追加投入小,我挑了两个最佳省份,最大的一个是广东省,一个是浙江省,观察他们的客户变化。网络安全是有季节性的,上市公司的营收是有季节性的,这些季节性我们通过数据也可以验证。我把过去三年的所有的项目项目量按照月度统计,可以发现明显的2月和10月项目量少,是春节和十一假期的原因。Q1显然比Q4少,与行业内每家公司的滚动计划有关。
我基于这些数据做了一些百分比展示。从2018年1月一直到2020年12月,我做了一个网络安全产业的项目数量的变化趋势图,大家可以发现过去三年其实增长的趋势还是比较明显的,在客户采买过程中对网络安全的需求在放大。我也做了一些数学类的一些计算,对公开招标项目可以判定一下来年或者是适度预测,因为数据质量还有点小,样本还有点少,所以说预测的精准度还是会稍微偏低一点。
这是我基于过去的这些数据给一些公司画的客户地图,包含他们都做了哪些客户,客户数量多少,在哪些地区。大家可以发现,其实客户数量跟公司的营收规模基本上是正相关的,只能说是基本正相关的,因为一些特定的公司在特定的领域里面会有巨量的项目产生。所以我们也能看到像深信服的客户覆盖还是要强一些,因为是跨领域的,不只是网络安全,还有IT基础设施,最后我对客户数量也做了一些跟踪,未来我们做的相关的研究也会基于这种跟踪项目的过程中,我们将会对一些上市公司的这种业绩做出这样的一些研究,同时还做一些营销以及管理方面的这种咨询,包括如何做市场,这是我们基于数据研究的一些业务。