谈谈网络安全产业：如何才能走出沼泽地

以前我在厂商任职，谈安全产业容易有屁股。今天已经离开这个产业，可以不带倾向地谈一谈了。当然我不是纯吐槽，既有吐槽，有分析，有建议。希望自己的看法能够给读者一点点的启发，特别是一些行业大佬有幸看到反思一下更佳。

实际上，今天我对这个产业的看法和四五年前相比并没有太大变化，当初没有因为资本市场爆炒网络安全赛道而充满信心，今天也没有因为各安全厂商市值屡创新低而失去信心。

几年过去，大环境的确有了很大变化，但我的观点依旧：网络安全产业未来希望仍在， 同时问题依旧。

说未来希望仍在，因为社会对网络安全的需求不会减少，只会越来越多。只要需求在，这个产业就有希望。

说产业问题依旧，过去几年这个市场上的激烈鏖战，并没有改变其不太健康的状态，甚至在错误的道路上越走越远，在沼泽地越陷越深。

而我，一个理想主义的前网络安全从业者，从业多年，并没能改变什么，回头看有些无奈，也体现了自己的无能。七年之痒之际，我放弃了，因为我不希望自己的工作变成一种谋生的手段。

先看现状

网络安全是一个非常重要的产业，特别是在互联网、数字化、人工智能不断渗透并改变这个社会的时代，“没有网络安全就没有国家安全”，这句话的高度多高啊！

然而，这么重要的产业在国内发展了近三十年，竟然让与其相关的大部分人都不满意。包括大量的乙方（网络安全厂商、服务商），数量更多的甲方（企业/政府部门），以及政府有关主管部门。

乙方的不满意从这个市场的哀鸿遍野可见一斑。约90%的网络安全上市公司今年上半年是亏损的，没上市的中小安全企业更惨，活不下去的不在少数，当初融资有多风光，现在可能就有多惨。即使考虑季节性的因素，全年下来，整个行业大概率也是亏损的。企业不赚钱，无论是员工还是股东都很难受。

甲方的不满意我无法用数据来支撑观点，但根据我多年接触甲方客户的经验，大部分客户对乙方的交付、服务并不满意，售前吹得天花乱坠，包治百病，售后如同网络奔现翻车现场，和当初承诺相比一个天上一个地下。不管是甲方领导还是员工，时刻提心吊胆担心出事，花大价钱买的方案或服务，出事时经常是个摆设，如同放了四大金刚的雕像在大门口站岗，听起来威猛，然而没啥用。

主管部门一直在想各种办法来促进这个产业健康发展，各种法规、条例，各种政策，大量比赛和攻防演练活动，然而进展不尽人意。今天中国网络安全产业的水平，经过这么多年的发展，和美国同行的差距不仅没有缩小，反而显著地扩大了。上升到国家安全高度，凭今天我们的能力又如何能承担起这个重任？

有人可能会说，整个行业仍然在快速增长，整体亏损不一定代表这个行业不好，就像新能源车行业，当前市场竞争激烈，卷的大家都很难赚钱，所有厂商的利润加起来也是负的，但看着这个产业成长的人大部分信心满满。

这句话说的有道理，但这样类比只看到了表象，没看到本质。实际上二者有着巨大差异：

• 新能源车行业卷的过程是集体进步的过程，优胜劣汰的过程，外资品牌和国产品牌此消彼长的过程，卷出了水平，卷出了竞争力。中国新能源车的竞争力已经全球领先。而网络安全产业一直在低水平内卷，可以说这些年水平基本上在原地踏步。网络安全领域国外品牌的退却是行政管制的结果，而非市场竞争的结果；

• 新能源车行业的客户很开心，因为越来越多性价比高、质量好的产品可供选择，可以享受；

• 我相信相关主管部门也很开心，眼看着这个行业越来越有水平，在国际市场上越来越有竞争力。

说到行业规模的增长，记得2019年，工信部官方发布了一个促进网络安全产业发展的指导意见，预计到2025年产业规模达到2000亿RMB。除了官方，很多第三方机构都在预测产业会快速增长，哪怕到了今年，仍有机构预测会两位数增长。实际上，到2025年，别说2000亿，连1000亿的尾灯都看不到。预测有偏差也算正常，但这么不靠谱是少见的。这里面有多重原因，而网络安全上市公司过去几年的“表现”也误导了很多人。

抛开凄惨的利润表现不谈，过去几年，从二十多家网络安全上市公司的财报中看到整个行业的增长还是不错的，至少比大部分传统行业要高不少。然而这些账面上的增长水分不小，掩盖了产业的真实情况。这其中的水分至少有三种情况：

1）用压货寅吃卯粮美化财报。有个别头部大厂连续多年采用这种行为，每年其增长至少要减掉10%甚至20%才能反映真实情况；

2）用集成以次充好美化财报。不少厂商前几年的增长是依靠没利润且有风险的非安全类集成项目“填充”起来的，且占比不小；

3）靠“施舍”关联交易美化财报。一些被富有的央企“包养”的安全厂商越来越依赖于关联交易，然而这些关联交易本身有很大的水分，原本并非安全项目做成了安全项目，或规模没那么大凭空做大。

这些水分某种程度上造成了虚假繁荣。如果挤掉，我判断过去三年整个网络安全行业的市场空间基本在原地徘徊。今年上半年更惨，至少萎缩了10%。

（需要顺便说明的是，我的前东家在这方面是非常老实的，没有啥水分。只要深入分析各上市公司财报便能判断各厂家有没有水分）

再分析问题

多年来我身在其中看到这个产业的从业者大多也很努力，行业竞争也很激烈，那为何未能有效地提升产业竞争力，未能卷出水平来？

问题很复杂，很难归因为某一个因素，篇幅有限，这里不计划面面俱到，试图抓到主要矛盾。这里从两个具体问题入手。

第一个问题：过去几年，虽然有疫情和经济大环境影响，但大部分数字经济相关的行业还是保持增长的，为何剥去虚假增长外衣之后的网络安全行业会在原地徘徊？

第二个问题：这个行业还有个现象很奇怪，头部综合性大厂越来越赚不到钱，只有个别偏安一隅的规模较小的非主要玩家才有较好的净利润率。而其他科技类行业基本上是头部赚钱，三名开外的玩家苦苦挣扎。为什么网络安全会例外？

这两个问题在我看来，最终归因到一处。且听我慢慢道来。

先看第一个问题。根据我的分析，过去几年，总体上甲方在网络安全方面的预算是增长的，从这个维度来说第三方机构预测网络安全市场空间快速增长也不算有错，但最终到安全厂商手中的收入却没有增长，说明安全厂商在这个生态链条上的话语权越来越低，分蛋糕的时候越来越弱势。要么是价格战导致实际花费在预算的基础上大幅度压缩，要么被中间的层层分包商/集成商盘剥，要么被中间人拿走的越来越大比例（有可能体现在销售费用的增加上）。有人会说，这是ToB/ToG这几年的普遍现象，并非安全行业独有。的确，ToB/ToG有越来越多的中间商，特别是各地国资旗下的皮包公司靠盘剥养活一批原本可能要财政负担的人。但这里的关键问题是和其他行业相比，安全行业厂商的话语权更低，地位更弱势，被盘剥的比例更大。从甲方预算到厂商出货价之间的比例做个统计一定可以看出问题。试想，一个综合性的数字化项目，是压缩华为新华三的网络/海康大华的监控/浪潮超聚变的服务器容易，还是压缩安全厂商的安全容易？答案不言自明，甚至对集成商来说，在付款条款上还会歧视后者。有人说，这是因为安全厂商的毛利率高，可压缩的水分大。实际上，今天大部分安全厂商的毛利率也不过百分之五六十，并不比华为华三的网络产品高。

那为什么安全厂商这么容易被“欺负”？因为话语权弱。为什么话语权弱？因为同质化严重。一个安全项目，可以找出20个厂家满足需求，对甲方来说，可能任何一家中标都可以接受。

那是因为甲方要求低吗？并非如此，甲方的要求到今天大部分安全厂商都难以满足。甲方只是认为，反正这些厂家都差不多（不怎么样），都吹得包治百病，实际上如同安慰剂。这么多年过来，发现谁并不比谁强多少。

换成网络设备，让甲方客户（部分中小客户除外）选择华为和新华三之外的第三个品牌，需要多大的勇气？两厢对比，寡头竞争和一片混战，话语权的差异不言自明。

第一个问题分析完，第二个问题的答案也呼之欲出：头部厂商在变大，但并没有变强，一片混战之下，怎么可能做出利润？

看到这里可能有人会说，网络安全市场和其他行业不同，天生就是碎片化，改变不了。

每一个新兴市场都经历过群雄并起的阶段。以国内市场为例，手机行业以前也曾有数百个厂家，今天前5家占了80%市场份额。网络设备当年大大小小也有很多厂家，只不过战到今天两家独大。今天的新能源车仍是一片混战，但前几把交椅很快会浮出水面。然而网络安全行业混战多年，仍没有强者浮出水面。

在我看来，碎片化并非天生，而是被当前行业玩家做成了这个样子。碎片化因为什么，因为非标准化，因为客户定制多。然而我们有没有想过，客户为什么定制多？客户定制需求为什么厂商不得不接？

很多人说，正是因为非标准化，所以大家努力推动去立标准。然而过去标准组织确立了那么多安全标准，有没有解决标准化的问题？

市场经济下，真正有商业价值的标准是什么？是把自己已植入专利的做法推成标准，或通过市场和客户的认可把自己的做法推成事实标准，而不是为了标准而标准。

如何行业客户都可能有定制需求。关键问题在于客户的定制需求你为何不得不接？因为你既没有很好地满足客户需求，也没有在这方面比对手更好。在客户选择时处于弱势地位。说到底还是因为同质化。如果你的某个产品明显高其他对手一筹，哪怕你不完全满足客户需求，仍可坚持不随意定制，客户在选择时天平依然大概率倾向于你。

为何这个产业一直在同质化沼泽地里没有玩家能够爬出来呢？我一直在思考这个问题。

客观上，过去有较长一段时间，在合规驱动下（特别是等保），厂商是赚到过一些钱的，特别是对于和权力机构走的近的厂商来说更是赚了不少，当初这些钱赚的轻松（政策的风口之下，的确猪也能飞起来）。从技术上说做合规产品很容易，但天生不可能脱离同质化。今天合规对客户网络安全投资的驱动力已减弱很多，但几乎所有厂商仍在仰望着政府，盼望着再出台一些法律法规促进客户的安全投资。温室里长大的孩子是不愿意也不敢走出温室的。

主观上，主流大厂的产品大部分在及格线左右，几乎没有哪个有实力的玩家愿意死磕客户需求对应的产品技术上的困难去追求优秀。只有一些小玩家还有些追求，但在这个劣币驱逐良币的环境下活得比较艰难，还没能进入良性循环的状态。

这个情形有点像十多年前的中国汽车产业，大厂依靠合资轻轻松松赚大钱，谁还会花大力气去研发自有品牌？只有比亚迪、奇瑞、吉利这些民营小玩家才默默耕耘，艰难活着。

不走出同质化的泥沼，这个产业不可能变得健康。

最后谈解决方案

问题分析完，解决方案谈起来就简单了。

主管部门不要大包大揽，试图通过一套合规体系把甲乙方都约束进来，解决所有问题。要依托市场经济构筑一个良币驱逐劣币的系统。越是用合规驱动产业，最终越可能养了一批啃老族。

对于厂商来说，要在正确的方向上死磕，销售能力重要，但产品和服务能力更重要。产品不能都做到六七十分为止，只有少部分人做到95分以上时才能脱离同质化混战。如同高考，大部分人只要稍微努力就能考及格，但不是每个人都能考上清北的。既要有智商，还要有不懈的努力。有人抬杠说，天才不需要太努力也有可能上清北。放弃幻想，天才不会来做这个产业的，不要和我讲那些挖洞的天才，挖洞的不是天才，是歪才。他们不是改变这个行业所需要的天才。如同我们不能依靠开锁天才去解决社会盗窃问题一样。

前面我写“华为为什么能够成功”时讲过一个故事，一个产品质量问题前后花了一个多月才攻克，什么时候安全厂商能够有这种韧性才有可能走出泥潭。现在遇到这类难题时大部分情况下会请销售“摆平”客户了事。

到今天我更深刻地理解了Intel前总裁那句“只有偏执狂才能生存”，没有任正非、王传福、汪滔的偏执，不可能有华为、比亚迪、大疆的成功。而偏执，既包含以我为主的坚定信念，又包含面对困难的永不言弃。

而整个网络安全产业缺少这个特质。

从平凡到不凡，没有捷径。选择走捷径，我们会永远混迹于平凡的尘世。

以上是个人观点，仅供参考。涉及到一些描述，请不要对号入座。本文也不构成任何投资建议。

声明：本文来自端爷私房菜，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。