产业调研：甲方视角下的网安行业边际变化 | 国君计算机

产业调研系列

— 作者：李维春 —

今天是我从业二十周年，非常荣幸在这边跟大家进行分享。我先介绍一下自己的从业经历，一开始做软件五六年，06年进入信息安全行业，一开始是在国内一家科技公司从事信息安全工作，公司规模很大，跟华为基本上齐名，我在里面负责了十年信息安全工作，所有岗位都做了一遍。出来以后短暂在信息安全咨询公司从业，后来进入一家芯片公司从事信息安全负责人的岗位。前两年跨行进入安信证券，是IT部的安全总监。大规模公司，小规模公司都干过，科技公司和金融公司都干过。

谈一下最近行业安全政策。确实政策发布比较多，从前几年的网络安全法，前面两年在落地基于APP的个人隐私保护的整改。今年数据安全法落地，伴随着DD事件出来，接着有网络安全审查法的修改意见。我自己这么看的，我一直以来很看好网络安全行业。最早在2013年斯诺登事件报出来以后，2014年下半年开始，网安行业从业者找好的岗位明显更加容易了，待遇也更高了。

我自己总结原因，在整个中美对抗，国家崛起进程中有网安新需求。国家越来越强大了，核心能力也越来越强大了，一定会有人盯上你，窃取你的信息，攻击和破坏你的系统，必然在不同层面上带来安全的新需求。以前你比较弱，最多也就在国家层面上对抗，现在在企业和个人层面都有新需求。

第二个，国家越来越重视硬科技，这个时候网络安全是硬科技的一种。安全已经不仅仅是保障国家和企业，如果你安全做得好，可以促进国家能力提升和企业发展。

第三个，我看到的一些特别明显的趋势，就是关于勒索软件形态的变化。我从业信息安全到去年，我亲身经历和周围的人经历的勒索软件不超过五起，但是今年上半年就有十起。勒索软件越来越成为公害，越来越多的以APT的方式带来危害，带来了攻防形式的变化。以前的勒索软件就是取得个人数据，捞个几万块钱，现在已经APT化了。

第四个，国家提出数据作为生产要素之一，已经并列为跟人、资源、科技并列的重要因素，未来数据的安全重要程度越来越高，谁能够掌握和用好数据，就能获得优势。

以往我们怎么做预算，怎么做规划？一个单位为什么要做安全，我总结下来是三个要素，一个是事件驱动，一个是合规驱动，一个是业务驱动。事件驱动和合规驱动都是外力，业务驱动是自己想做。以前做安全投入，要么就是政策要求，要么就是企业出了大事。我从业过的芯片公司为什么招我过去做安全，就是很多人窃取它的资料，就从事件驱动变成了业务驱动，如果不做安全，别人就会成为它的竞争对手。

2014年开始我看到行业发生了非常可喜的变化，以往八九成都是合规驱动，现在正在转向业务驱动型。我觉得百分之四十的比例是业务驱动，其他的是事件驱动和合规驱动。

我跟很多安全同行有交流，以前大家提的问题是我想买个DLP或者防火墙，你帮我看看哪个品牌比较好。就想买个东西，能不能解决问题不管。现在的诉求是，我发现企业内部数据安全管得不好，员工数据经常泄露，我们人又少，你有什么建议和方法。这个时候他的视角和思维发生了明显的改变。整个行业的成熟度是在不断提升的，这个蛮符合我自己对于网络安全行业的期待，甲方成熟度提高以后才能够带动整个网络安全市场的提升。

我们会怎么做信息安全？我们会先做规划，到一家单位先做三年规划，基于现状和未来的发展。先了解清楚公司领导为什么做信息安全，是内因还是外因。问问预期投多少钱和资源，有几个人做信息安全，基于可能的资源投入期望做到什么状态。基于这个状态定我的规划，我会去把公司业务过一遍，看看目前的安全状态怎么样，到底是以前不重视还是技术手段不完善，还是人员能力不够，分析清楚以后找到解决方案。可能是我要买一些设备或者服务，可能是要提高安全意识，确定第一年要做什么，第二年做什么，第三年做什么。一般我第一年都是救火，然后逐步开始信息化建设，安全教育，工具部署还有业务流程方面的改进。基于规划，我做一个测算，每年投入多少，再去跟领导商量，是否认可，获得认可以后再实施我们的规划。预算也会包括硬件，软件，服务这几个部分，也会根据安全团队的发展和企业发展来规划。现在安信证券领导很重视安全，但是人员很少，我会扩充外包的数量，这个时候我就要一些服务。因为正式编制的人少，不可能做太多安全开发，我就以外采为主，基于这个考量，选择供应商。

第一个是看产品和解决方案跟我需求的匹配度。如果这个都不过关，是无法进入下一关。第二个考虑这家企业未来潜力如何，是否会成为我的战略合作伙伴，不希望只是当成工具，而是跟我共同成长。如果是创业公司，一方面我们是它的案例，第二个是我们的反馈让它的产品成熟。第三个我们毕竟是企业，还要关注成本，我们会比较不同方案的成本，包括硬件、软件以及后续三到五年的综合投入以及安全运营上的综合投入，确定我的投资收益比，做出最佳选择。

Q：甲方的安全投入现在软硬件占比如何？

A：我看到的数据，早期硬件和软件比例大概七三开，这种建设周期差不多三年，现在过了三年了，主体周期过了，后续更多以服务为主，服务占到60%-70%。

Q：过去几年的增长情况如何，未来几年会不会加速？

A：我们公司前面几年的投入来看，每年的增速大概10%，未来预计提升到20%-30%。过去我们在数据安全上做得不够，今年开始会在数据安全上面会有一个持续的投入。基础的网络安全建设以后，会做持续的安全运营，我们的人不够，增加了一些外包的人员。行业上的增速，从我平时跟大家的交流，没有低于这个水平的。

现在的数据安全种类比较多，第一类是数据防泄漏的，第二个是随着数字化转型的推进，大数据的应用会越来越广泛，围绕大数据建设和治理过程中的咨询服务，包括大数据平台的建设和服务。数据要在系统之间不断流动，现在也会有越来越多的数据安全厂家，针对流动过程中的风险管控和治理。还有数据库审计，堡垒机这样的安全控制类的产品，也能够用在数据安全上。

Q：之前有新闻说安全预算占比提升到10%，这个怎么看？

A：首先这绝对是一个好事，公司重不重视网络安全，就看是否愿意投入，如果愿意投预算，这个事情一定能够做好。如果安全投入增加，从安全团队和安全工作角度来看，可以做出更多有创意的动作，提升公司的安全水平。经信委如果能够联合网信办这些强有力的监管部门发文，会对整个行业构成强烈的影响。如果只是经信委层面发文，也挺不错的，因为政府的投入是大头，政府的安全水平会提升。

Q：等保测评标准的调整会带来哪些影响？

A：以前大家轻轻松松都能够考个八九十分，现在你可能只能得三五十分，差距拉开，就能够做评价了，这招还是非常聪明的，也是非常务实的。我看到这些变化以后，我觉得这些都是扎实解决问题，提高自身实力的。以前大家都是过等保，年底花几万块钱就能过，现在已经到了扎实解决问题和提升能力的阶段了。我是这么看的，我在金融行业，金融行业有预算管理过程，年中调整比较难，对于其他行业，比如互联网，民营企业，政府单位预算管理灵活的话，会看到比较大的变化，我个人觉得整个行业增长提速三四季度就能够看到。

Q：最近几年安全政策比较多，但是听说影响的更多是结构，就是采购新产品，挤压老产品的采购。

A：传统老三样，防火墙，IPS和WAF，这些是基础。我不会抛弃传统的安全产品，他们的需求会保持稳定，至少我看到我们公司，每年也都会有持续的投入。

Q：服务外包这块，是找的小厂还是大厂？

A：现状是大公司和小公司都有，我并没有找某个单独的厂家，我现在是挑人，厂家跟我只是合同关系。我对安全服务还是比较看重，我觉得小厂和大厂安全服务各有特色，有运营、咨询、培训。

Q：不同行业的安全预算投入有何特点？

A：我的感觉是这样的，政府、国企的投入，包括中小的金融单位是事件驱动，所以监管导致的投入更多，比如等保、护网和强制的数据安全。成熟的金融，互联网企业更多的是业务驱动型，对于先进的网络安全产品需求更多。