从RSAC 2020看网络安全产业发展

文│北京赛博英杰科技有限公司 徐松泉

RSAC2020在新冠疫情威胁下依然火爆。今年是RSA大会的第29年，此会议于1991年由一群密码学家发起，现在已经成为每年数万人参加的网络安全行业盛会。在新冠疫情全球流行的背景下，在旧金山因疫情宣布进入紧急状态的情况下，依然有超过三万六千人参会，创新沙盒比赛与大会Keynote会场依然爆满并需要提前排队才能入场，网络安全市场的“热”可见一斑。“热”的原因，是因为网络安全已经不仅仅是网络空间的问题，从国家层面看，网络战（Cyberwarfare）已经称为战争的一种形态；从企业层面看，随着在线服务的普及以及工业互联网的发展，网络安全直接关乎生产是否可持续；从个人层面看，涉及个人信息泄露、毕生财富的损失甚至生命危险。有网络安全问题，就需要解决问题的方案、产品、服务、网络安全工程师，就有网络安全产业的机会。

一、2019年全球网络安全资本市场创新高

据美国Momentum Cyber公司的《网络安全年鉴2020》（Cybersecurity Almanac 2020）数据，2019年，全球网络安全产业收购与兼并金额创历史新高，达276亿美元。在中国的网络安全市场，上市、收购与兼并也创历史新高。据数说安全《2019年中国网络安全创投市场年度报告》的数据，2019年，网络安全市场收购、兼并与IPO交易金额约234.5亿元人民币，除IPO交易之外的投、融、并，总金额也在205亿元人民币左右，其中，未上市公司的股权融资达到75宗，合计约85.5亿元人民币，交易金额1亿人民币以上的有17宗，合计融资67亿人民币，融资额度都创历史最高水平。

在股市方面，中国和美国网络安全股表现也有差别，中国网络安全股表现好于美国。在美国股市，网络安全股的表现却略差于标普500和NASDAQ指数。在国内股市，科创板降低了公司上市的门槛，使迪普科技、安博通、安恒信息、山石网科得以上市，并且得到资本市场的追捧。安恒信息最高股价达到发行价的5倍，之前已上市的深信服市值超过了800亿人民币，已上市的传统网络安全公司股票也都有不错表现。

2019年以来，国际市场三个收购案值得品味：博通150亿美金收购老牌安全公司Symantec，私募股权公司STG 21亿美金收购RSA，思科计划收购市值30亿美金左右的FireEye。同样，2019年，国内网络安全行业也有几个重大交易：中国电子37.31亿战略入股奇安信，中电科成为绿盟科技第一大股东，中电科收购南洋天融信5.0065%股权，阿里云全资收购长亭科技和九州云腾布局企业级安全市场。

2019年以来，风投对网络安全创业公司的投资相对比较谨慎。阿里巴巴、腾讯、深信服、360的投资基金都有投安全创业公司，偏重战略投资，主要目的是为其产业生态服务，对投资的现金回报不是最重要的考量，与2014年前后的疯狂抢筹相比，冷静了很多。专业风投机构对网络安全创业企业的投资趋于谨慎，是风投对国内网络安全创业公司的特点有了更深入了解的结果。

二、网络安全产业有自身的行业特点

特点之一：慢！

网络安全业务是一种基于信任的生意，而信任的建立需要时间甚至机缘。一款网络安全产品从开始研发，到回款，需要18个月以上时间，欲速则不达。用户的应用环境又千差万别，有很多传统应用需要兼容，甚至要兼容一些技术实现有错误的系统，这些定制开发工作不仅仅是对技术、产品管理能力的挑战，也需要花费更多的时间。网络安全服务的销售周期虽短，但是，扩张速度受限于人才招募、人才培养的速度，也难以低成本快速扩张。很多互联网投资基金期望三、五年就能变现退出，但是，网络安全行业的创业者与投资人，都需要有打十年持久战的耐心。

特点之二：防护效果难度量，合规驱动！

合规则成了减免网络安全事故责任的一种方法。合规需求在欧美也是第一需求，《通用数据保护条例》（GDPR）创造了巨大的市场。2018年与2020年RSA创新沙盒大赛的获奖者BIGID与SECURITI.ai，其实都是GDPR相关的合规类产品。SECURITI.ai是今年创新沙盒决赛参赛企业中已完成融资额最高的公司，硅谷投资人也看到这类产品的市场前景。

但是，合规只是网络安全的及格线，只满足合规肯定是不够的。中国对网络安全事故的追责至今依然不够严厉，没有对事故严厉追责，组织就会心存侥幸，重视停留在口头上，投入不足也就不奇怪。从过去4年举行的网络安全演习情况看，反映出关键基础设施在网络安全投入上还是不够，而《网络安全法》《数据安全管理规定》等法律法规的出台，让网络安全事故追责能落到实处，从而推动合规与防护效果双驱动的网络安全系统建设。

特点之三：产品人性化差，难用！

与互联网消费类产品的用户体验相比，企业级网络安全产品的用户易用性还停留在“石器时代”，对安全事件的检测能力以及误报率也不甚理想。用户往往是被逼着使用网络安全产品，没有人的积极主动参与，防护效果大打折扣，也不足为奇。

特点之四：网络安全是劳动密集型产业，人才奇缺！

网络安全产业是高科技产业，也是劳动密集型产业，面对分布在全国各地、各行各业的客户、众多的安全产品、个性化的用户需求，需要大量的销售、售前技术支持、开发、测试、实施、安全服务、供应链管理人员，完成一个又一个的订单。网络安全企业的营收规模基本和员工数成正比，中国网络安全的领军企业都已是数千人的公司，但是，只有小几十亿人民币的营收。网络安全人才全球都缺，可塑之才少，培养周期长，教师资源缺乏，培养成功率低。据教育部网络空间安全专业教学指导委员会的数据，预计到2020年，我国网络安全人才缺口将超过140万，而目前，每年网络安全学历人才培养数量不足1.5万。

三、RSA大会所反映出的行业发展趋势

从最近两年RSA大会的情况看，我们或许处于一个网络安全创新的低潮期。在今年的RSA大会上，各公司对大数据与AI的强调没有前两年多，大数据与AI确实有应用，但是，大家发现，它也不是包治百病的灵丹妙药。今年RSA大会的主题是“人的因素”（Human Element），而2017年ISC大会的主题是“人是安全的尺度”，两次大会的主题异曲同工，攻击者是人，防守者是人，网络的用户，主要还是人。现阶段，我们还无法脱离人的因素，而纯粹用技术来解决网络安全问题，人机结合是王道。在今年的参展厂商中，有好几家网络安全意识教育公司。枯燥的在线培训课程，用户留存率只有20%多。今年，有创业公司用游戏方式进行网络安全意识培训，不仅可以通过个人玩游戏提高网络安全意识，还可以组团打怪。据说，用户留存率能到70%以上。国内也有几家企业从事网络安全意识教育，但是，规模还都很小，有很大潜力可以挖掘。

从今年的RSA展览看，大趋势之一是企业级安全产品的“消费者化”，提高企业安全产品的易用性，提高网络安全工作效率。例如，身份管理中的用户名/口令就是一种反人性的设计，在各机构越来越高的密码强度要求之下，弱密码问题却从来没有得到彻底解决，最近几年，身份管理产品有了很多创新，如多因子验证、生物识别、行为特征识别等，逐渐弱化对密码的依赖。

“零信任”是今年的热点之一。“永远不信任，永远验证”的思路，通过行为验证身份，让安全验证与风险控制更多躲在后台，平衡安全性与便利性，包括微软都推出了自己的零信任解决方案。各种可视分析手段在安全威胁分析工具方面的使用，也肯定有助于提高网络安全运维人员的工作效率。在对抗钓鱼邮件攻击的解决方案方面，有公司把人纳入了闭环，利用人对钓鱼邮件的识别能力，提供方便的钓鱼邮件举报手段。过去二十年，中国消费者互联网用户体验做到世界领先，现在，终于开始关注企业级市场产品的用户体验了，值得期待。

SaaS安全市场快速崛起。欧美市场的软件即服务（SaaS）普及率比较高，从事SaaS云服务安全的公司比较多。今年的创新沙盒十强中，就有Obisidian、AppOmini与Inky提供SaaS安全服务。国内的云安全还比较多停留在基础架构即服务（IaaS）与平台即服务（PaaS）安全层面，而且安全基本被云服务厂商垄断。这次新冠疫情所催生的在家办公、远程教育市场，或许是促进国内SaaS服务兴起的契机，只是希望不要再变成云服务商包打天下的局面。欧美成熟度较高的客户逼迫云服务厂商提供各种API接口，使得安全厂商能在云服务厂商的地盘上从事安全服务，更开放的市场和更充分的公平竞争，有利于优秀解决方案的脱颖而出。

数据安全与隐私保护依然是大市场。欧盟的《通用数据保护条例》（GDPR）影响深远，围绕GDPR合规需求的数字资产发现、数据分级分类、数据防泄露产品，有巨大的市场需求。

检测、响应（DR）与防护的结合。DR类产品兴起，包括终端安全检测与响应（EDR）、云安全检测与响应（CDR）、检测与响应托管（MDR）服务。今年又开始强调防护，可能是认识到仅仅是检测与响应也不行，还是需要防护与检测、响应并重。

美国的大安全公司也开始走向大而全。过去，除Symantec产品线多达上百条之外，美国其他大型网络安全公司还是比较聚焦的，即靠一款或几款王牌产品打天下，例如Palo Alto Network的下一代防火墙、Fortinet的UTM。最近，他们通过自研或收购、兼并扩充产品线与服务能力，边界安全、云安全甚至IoT安全，几乎什么都做，有点像国内大型网络安全公司的路子，往“综合型网络安全公司”方向发展。

RSAC2020新公司参展比例高。在今年参展的658家厂商中，有300多家厂商都是第一次参展。由于收购和兼并造成的展台合并会腾出一些展位用来售卖是原因之一，但是，不足以解释如此多的新公司获得展位，而新冠疫情爆发的时候已临近会议开始，即使有很多参展商退展，大会主办方也应该来不及重新招展，此现象的原因现在还未知，留待未来一年观察。

四、产业升级换代的发展机会

从2013年到2020年，RSA大会的主题分别是：安全知识（Security in Knowledge）、分享·学习·保护（Share. Learn. Secure）、变化：挑战当今的安全理念（Change: Challenge Today"s Security Thinking）、从连接到保护（Connect to Protect）、团结一致的机遇与力量（Power of Opportunity）、现在很重要（Now Matters）、更好（Better）和人的要素（Human Element）。

连续8年的RSA大会显示，网络安全产业在这八年中一直在努力寻找网络安全解决方案的方向，从产业遇到新型、大范围的网络安全威胁后的茫然失措，到改变思维方式，探索一个又一个的解决方案，然后，落到逐渐改进的方法论，再到今天强调人的因素，把人纳入网络安全防御的闭环。可以看到，网络安全产业在完成自己的进化。

由于新冠疫情所催生的在线办公、软件云服务、物联网系统安全需求，以及数据安全与隐私保护方面的需求，国内网络安全市场需求将与欧美市场对齐，这是中国网络安全产业升级的机会，抓住机会，促成飞跃，才能让中国网络安全产业更上一层楼。

（本文刊登于《中国信息安全》杂志2020年第3期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。