文│中国电子技术标准化研究院 许玉娜
中国网络安全产业联盟 杨建军
数说安全 于江
近年来,我国网络安全产业在政策、需求、资本的多重驱动下,迎来了更加快速稳定的发展,产业规模不断增长,资本的持续投入也助力了产业整合的加速发展。
一、我国网络安全产业的内涵和外延
从传统意义上说,网络安全产业的目标主要是针对保障网络的可用性、可靠性和安全性,提供产品和服务。随着网络技术的演变与安全形势日趋复杂,在技术发展和用户需求的双重驱动下,新技术、新产品不断出现,安全产品和安全服务的融合日益紧密,网络安全产业的内涵由此得到了丰富;同时,新应用场景不断被新的网络安全技术和产品所覆盖,网络安全产业的外延也得到了充分的扩展。
2016年12月发布的《国家网络空间安全战略》指出,网络空间由互联网、通信网、计算机系统、自动化控制系统、数字设备及其承载的应用、服务和数据等组成。如今,网络安全产业已经演化为以满足网络空间的可用性、可靠性和安全性为目标,融合了技术研究开发、产品生产经营和提供相关安全服务的完整产业生态链。
由此,我们认为,网络安全产业是指为保障网络空间安全提供技术、产品和服务的相关行业的总称。具备网络安全产品、服务和解决方案销售收入的我国网络安全企业,是我国网络安全产业的主要支撑力量。
二、我国网络安全产业的分类
网络安全产业的发展是一个升维的过程,网络安全从最初的基础安全产品及服务延伸到云、移动、物联网和工业控制等不同的应用场景。原来的问题是“如何做网络安全”,而新问题是“如何在不同场景下做网络安全”。新问题的提出就意味着新的市场机会。可以从基础安全、应用场景、业务、服务四个维度,描述我国网络安全产业的分类。
其中,基础安全主要解决传统网络安全领域的核心问题,主要包括端点安全、网络安全、应用安全、数据安全、身份与访问管理、安全管理等六类。应用场景主要包括云计算、移动互联网、工业控制、物联网等四个场景。信息技术应用创新和业务安全均属于在产品与应用场景基础上的业务维度。网络安全服务初步定义了管理安全服务、管理检测与响应和安全教育培训三个类别。无论是传统领域还是新应用场景,或是业务,都需要有服务体系支撑。
我国网络安全产品的细分程度较高,不同的细分市场领域聚集着相应的数量庞大的专业厂商。网络安全产业正在呈现分散格局。造成的这种现象的主要原因是,网络安全贯穿整个信息流链条涉及几乎所有信息设备与软件,单个网络安全企业无法掌握全部网络安全技术,只能根据自身技术优势和渠道特点进行差异化定位,选择部分细分领域参与市场竞争。
三、我国网络安全产业规模、增速与集中度
2019年,我国研究机构以具备网络安全产品、服务和解决方案销售收入的我国网络安全企业作为目标研究对象,调研超过200家网络安全企业。通过对确定的120多家企业的有效数据为基础进行统计分析,可以看出2018年我国网络安全产业规模、增速与集中度情况。
(一)网络安全产业发展态势整体良好,总体规模仍较小
2018年,我国网络安全产业规模约为393亿元人民币,同比增长率约17.8%,增速相比上一年有所放缓。我国网络安全市场现已进入调整期,一方面,传统安全业务增长触及天花板,另一方面,新兴安全业务市场空间尚未有效释放,导致整体市场增速有所放缓。随着关键基础设施保护、等级保护2.0系列标准等政策标准的推动,信息技术应用创新、安全可控市场需求的逐步释放,将有望推动整体网络安全产业进入下个上升周期。预计,未来三年,网络安全产业整体市场依然会保持20%左右的高速增长,到2021年,我国网络安全产业规模将达到668亿元。
(二)网络安全产业向低集中寡占型市场转变
行业集中度指数(CRn指数),又称“行业集中率”,是指该行业的相关市场内前N家最大的企业所占市场份额,例如,CR1、CR4、CR8分别代表行业内排名第1位、前4位、前8位的企业所占的市场份额。2018年,我国网络安全市场CR1为6.41%,CR4为21.71%,CR8为38.75%。根据美国经济学家贝恩对产业集中度的划分标准,我国网络安全产业CR8小于40%,属于竞争型市场。但是,通过对过去三年市场集中度情况进行数据统计,我国网络安全产业的CR4和CR8都呈现增长态势,说明行业市场份额在向头部企业聚集,我国网络安全产业正在由竞争型市场向低集中寡占型市场转变。
(三)网络安全市场仍然主要依靠内需驱动
我国网络安全企业收入主要来自于华北、华东和华南三个区域,三个区域合计收入占比超过70%。可见,我国网络安全区域市场规模与我国区域经济发展水平强相关。其中,华北区域由于政府及央企的垂直效应,多年以来一直占据区域收入首位,也是网络安全企业的必争之地。虽然部分大型企业努力尝试海外业务拓展,但是,收效甚微,海外收入占行业总体市场份额仍不足1%,我国网络安全市场仍然主要依靠内需驱动。
四、我国网络安全企业竞争格局
我国网络安全产业近年来快速增长,但是,由于网络安全市场细分领域众多,竞争较为激烈,导致产业集中度偏低,目前,市场上缺少真正的龙头企业。我国网络安全企业按照规模主要分为三种类型:大规模头部企业、中等规模企业和小规模初创型企业。
大规模头部企业以启明星辰、深信服、奇安信、天融信和绿盟科技等为代表的综合型网络安全企业为主。它们在网络安全产业深耕多年,在品牌、营销及服务网络、资质认证等方面构建了较高的竞争壁垒。未来,头部企业之间的竞争将会更加激烈,竞争将从业务和资本两个维度展开。预计,三至五年内,将会出现1-3家具备一定领先优势的龙头企业。
中等规模网络安全企业随着科创板快速落地开板,预计,未来两三年内进入上市潮。上市后由于资本加持,这些企业将会进入一段高速发展期,向头部企业发起冲击。在这个过程中,一些企业有望突围成功,也会有企业将进入较为平稳的成熟期。
小规模初创型网络安全企业一般业务方向较为单一。由于市场细分领域众多导致单一细分市场天花板较低,加之行业竞争壁垒较高,当业务规模逐渐触及天花板时,初创企业一般有两个选择,一是适时退出,被大中型网络安全企业并购,利用买方的品牌、营销网络和资源等方面优势快速占据该细分市场份额;二是独立发展,独立发展过程中必然会伴随扩展企业人员规模,构建完整营销服务网络、扩充产品线等动作,在这个过程中,也将会面临一定的经营风险,最终只有少数优秀团队能够成功突围,成为中等规模企业。
五、我国网络安全产业发展面临的主要问题
面对当前网络安全发展的新形势新格局,我国网络安全产业的发展仍然面临着更加复杂严峻的挑战,在产业发展顶层设计、完善产业发展环境、市场准入与监督、人才、服务保障以及融资等方面还存在着不少问题,有待进一步完善和提高,主要表现在以下几个方面。
(一)网络安全产业总体规模较小,投入严重不足
根据IDC的统计数据,全球IT安全占IT市场比例为3.74%,美国IT安全占IT市场比例为4.78%,而我国IT安全占IT市场比例仅为1.84%,严重低于国际平均水平。目前,我国的网络安全总体投入还缺乏刚性投入要求,导致网络安全市场规模增长缓慢,我国网络安全产业总体规模尚未达到千亿级,网络安全与信息化发展还存在一定的不平衡。
(二)网络安全行业资质要求多、重复测评认证现象严重
网络安全行业各种合规性要求与资质种类繁多,除基本市场准入要求以外,进入政府采购、保密、军工、金融、电力、通信等领域,均需各种企业资质和产品测评认证证书。但是,测评认证技术要求内容基本一致,重复检测现象严重,繁多的合规性和资质要求给企业增加了大量的时间、人力和经费成本。
(三)网络安全人才缺失,培养模式单一、周期长、成本高
随着IT和网络安全产业发展,人才竞争越来越激烈,未来中高端人才需求持续增长,特别是网络安全系统总体人才、售前方案人才和高级研发人才需求量会比较大,目前,这类人才缺失严重。然而,网络安全企业人员素质要求门槛高,需具有互联网、通信、安全等方面的知识体系,但是,高校人才培养模式单一,学校、企业和产业之间缺乏合作交流,学生在校期间对网络安全行业实际了解少。网络安全企业需用至少一至两年时间才能将应届毕业生培养为适应工作要求的网络安全人才,培养周期长,企业花费成本高。
(四)网络安全企业同质化竞争严重、国家缺乏体系化引导
由于整体网络安全行业市场空间有限,单一细分市场规模小,难以满足网络安全企业增长需求,行业内越来越多的企业向综合型安全厂商转型。大家的战略选择比较趋同,产品线不断扩张,覆盖越来越多的细分领域,同质化竞争严重。
(五)网络安全企业融资难,融资贵问题依然存在
我国大部分网络安全企业规模小,研发投入巨大,企业为了提升核心竞争力不断加大研发投入,从初创达到盈利周期很长,在拿到IPO资质之前,证监会要求企业必须弥补前期亏损,致使企业融资成本增多,转亏为盈时间过长,转型后,还将面临如何快速获取利润的压力。在理财方面,中央网信办、工信部、证监会都出台了针对促进网络安全企业发展的政策措施,引导企业融资合作,但是,政策落实举步维艰。国家对主板企业的利润要求高,虽然没有硬性条件,却有基准条件、指标。网络安全企业毛利率、周转率、现金流等与传统制造业甚至互联网企业都处在相对较弱的地位,投资周期长,债权融资和股权融资都缺乏吸引力,相关部门出台的引导企业融资合作政策落实困难。
六、我国网络安全产业发展建议
为进一步促进我国网络安全产业健康、高质量发展,针对我国网络安全产业发展现状以及目前面临的主要问题,建议如下。
(一)大幅提高国家信息化建设中网络安全投入比重,扩大网络安全产业规模
促进网络安全需求释放,切实增加投入。明确在国家信息化建设重大项目、重大工程、政府及企事业信息化建设和运维中网络安全投入的硬性比例要求,实施一系列重大工程项目,地方政府结合自身情况出台相关配套政策,扩大我国网络安全产业市场规模。
(二)减少网络安全行业重复检测认证,切实减轻企业负担
统筹规划网络安全测评认证工作,推进多证合一及互认,简化流程,提高效率,降低企业测评成本;推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。
(三)加强统筹规划,形成产业合力,提升国家网络安全保障服务能力
加强统筹规划,充分发挥央企、互联网企业、网络安全民营企业各自优势,形成产业合力,兼顾安全和发展,实现国家需求和产业能力的良性促进,切实提升国家网络安全保障服务能力。
针对我国网络安全企业同质化竞争严重的现象,面向各技术领域的网络安全产品、服务建立一套公平、公正、科学的评判机制,推选出在专业细分领域领先的优质企业,做好“评优、选优、扶优”工作,加强宣传推广,鼓励在政府采购、重大科技项目立项评审等工作中优先选用推选出的产品和服务,引导企业在专业细分领域做深做专做优。
(四)创新人才培养模式,建立健全人才激励机制
实施针对性的网络安全人才培养工程,鼓励学校、企业、产业开展合作交流,必要时可以以产业联盟或协会为主体与高校开展对接工作,根据企业对网络安全技术研发、产品研制的实际工作需求,完善在校学生的网络安全知识体系、专业技能和相关素质,培养适应企业实际工作需求的网络空间安全人才队伍。
(五)拓宽网络安全企业融资渠道
针对网络安全企业“轻资产、重研发、人力成本高”的实际情况,国家出台相关政策鼓励金融机构开展知识产权质押、信用保险保单质押贷款等服务,加大对网络安全企业特别是中小企业的信贷投放力度,提高低息、无息贷款投放比例;适当降低对在市值、盈利情况、利润额、现金流等方面的上市资格要求,支持网络安全企业优先上市融资。
(六)鼓励网络安全技术创新,适应信息化新技术、新应用、新业态的发展趋势
设立网络安全科技研发专项基金,鼓励企业密切跟踪云计算、大数据、物联网、移动互联、5G、区块链、人工智能、量子计算等新技术的发展趋势,加大对企业开展安全可控相关研发工作的扶持力度,引导企业积极深入研究信息化新技术、新应用、新业态发展带来的安全隐患,加快网络安全相关技术创新和产品研制速度。
(本文刊登于《中国信息安全》杂志2020年第3期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。