五年，是一個十分奇妙的時間段。

對于國家來說，每個五年計劃都讓國力有了階段性提升；對于學生來說，五年高考三年模擬是一個揮之不去的噩夢；對于個人來說，五年足以讓一個行業小白逐漸成長為行業精英。

張家輝對于“五年”最有發言權：五年，你知道我這五年是怎么過的嗎？

而對于網絡安全來說，五年的時間，已經讓整個行業發生了翻天覆地的變化。

2017年6月，《中華人民共和國網絡安全法》正式實施，網絡安全行業底層邏輯迎來了變革的機遇。同時，乘著國家快速發展和數字化轉型的東風，以及企業為應對不斷嚴峻的網絡攻擊的實際需求，在這五年的時間里，疊加了多重利好的網絡安全開始了一路狂奔的發展模式。

不論是網絡安全產業整體規模、增長速率，還是登錄股票市場的企業數量、營收總額，亦或是直觀反應行業熱度的企業融資數量、金額，在這五年的時間里都有了十分明顯的變化。這種變化甚至大到讓普通員工都可以直觀感受到。

如此巨變在網絡安全發展歷史上可不多見，而通過回顧發展歷史，或許我們可以更好的看到未來。那么接下來，就讓我們一起站在上帝視角，逆轉時光，將網絡安全五年發展的鴻篇巨制徐徐展開。

法律：體系有了質的變化，為網安產業爆發奠定了基礎

完善的法律體系是行業長久發展的底層基礎，沒有完善的法律體系，即便行業在短期內繁榮，也必定會因“劣幣驅逐良幣”而沒落。須知資本更喜歡穩健的市場，而一個時刻存在風險的行業必定無法獲得青睞。

2017年，《網絡安全法》頒布實施，成為網絡安全行業一部提綱挈領的法律，為下位法以及網絡安全領域的其他專門立法確立了基本法律原則、基本法律制度，也是各部門、各行業、各企業和上網用戶維護網絡安全和自身合法權益的主要法律保障。

《網絡安全法》申明了網絡主權原則，建立了關鍵信息基礎設施保護制度，明確了互聯網信息內容管理部門、網絡運營者與個人在網絡安全保護領域的權利與義務，完善了個人信息保護規則，并為構建網絡安全法律法規體系提供了基礎性依據。

在《網絡安全法》的基礎上，我國陸續發布了多項重要法律、法規，使得網絡安全法規體系逐步完善。我國還在各大細分領域分別頒布關鍵性法律，進一步消除模糊概念和區域，做到有法可依。

同時建立網絡安全審查、云計算服務安全評估、數據安全管理、個人信息保護等一批重要制度，制定發布300余項網絡安全領域國家標準，基本構建起網絡安全政策法規體系的“四梁八柱”。

例如，在網絡信息內容治理領域，網安法與《網絡信息內容生態治理規定》《互聯網信息服務算法推薦管理規定》等法規有效打擊了網絡傳播違法不良信息行為，規范了網絡信息服務提供者的運營行為。

在個人信息保護領域，《網絡安全法》與《民法典》《個人信息保護法》《數據安全法》等法律法規為隱私權與個人信息權益提供法律保障。

在數據安全領域，《網絡安全法》與《數據安全法》《區塊鏈信息服務管理規定》《汽車數據安全管理若干規定（試行）》等法律法規共同構建了兼顧維護數據安全與促進數據流動的平衡機制。

在關鍵基礎設施方面，《網絡安全法》和《關鍵信息基礎設施保護條例》等法規為關鍵信息基礎設施制度確定了法律主體范圍以及相應的權利義務。

在數據跨境流動方面，《網絡安全法》《網絡安全審查辦法》《個人信息跨境處理活動安全認證規范》等法律法規從個人信息、重要數據、國家秘密、行業數據以及出口管制、境外調取進行多維度的跨境活動監管。

同時，完善的法律體系也為企業合規作出了更加清晰的指引，再加上2019年12月1日實施的等保2.0，企業合規模糊區域逐漸減少，合規紅線愈發明確。

不可否認，這給企業帶來了更大的合規成本和壓力，但是對于網絡安全行業來說，卻是一塊無比龐大的蛋糕。大量的合規需求迫使企業采購更多的安全產品和服務，直接促進了網絡安全產業整體規模增長，也讓更多的創業者和資本看到了機會，紛紛投入到這一片藍海之中。

此外，合規需求也讓企業信息安全人員的地位、話語權進一步提升，從向運維、IT匯報變成了向最高BOSS直接匯報。

由于合規關乎企業的生死，當合規和業務發生沖突之時，業務只能乖乖讓路，合規需求越多，安全的重要性就愈發明顯，并且可以按照合規需求向領導層請求更多的資源和投入，這些都直接促進了安全行業的發展和繁榮。

總的來說，我國已出臺關于網絡與數據安全的法律、行政法規、部門規章、規范性文件等共計兩百多部，形成了覆蓋網絡安全等級保護、關鍵信息基礎設施安全保護、網絡關鍵設備和網絡安全專用產品管理、國家網絡安全事件管理、密碼管理、跨境活動網絡安全管理、數據安全管理、個人信息保護等領域的網絡安全法律法規體系。

產業：規模成倍增長，資本熱度顯著上升

如果說法律體系的完善是行業長遠有序發展的基礎，那么產業各項數值的變化就是行業發展是否良好的直觀體現。

根據中國信息通信研究院發布的《中國網絡安全產業白皮書（2018）》，我國2017年網絡安全產業規模約為1100億元；2021年，這一數值暴增至2002.5億元（根據《中國網絡安全產業白皮書（2022）》），較上年同比增長約為15.8%。按照這個增長速率，2022年我國網絡安全產業規模將超過2300億元，產業數值實現翻倍。

整體來看，企業發展態勢總體良好，技術創新高度活躍，生態建設不斷完善，綜合實力顯著增強。隨著我國新型基礎設施建設的全面鋪開，以及數字化轉型的加速進行，網絡安全產業的底座作用將進一步凸顯。在政策和市場的雙重驅動下，未來網安產業預計將繼續保持高速增長。

而根據A股公開的數據顯示，2017年我國A股上市企業僅有14家（不包括新三板），此時深信服才剛剛提交了上市申請，奇安信還沒有登錄科創板；2021年，我國網絡安全上市企業上升至26家，大量新興網絡安全企業登錄科創板，上市企業數量接近翻倍。

值得一提的是，我國26家網絡安全上市企業中，有18家企業的營業收入則實現了不同程度地增長。其中，安博通營收增速最快，達48.92%；其次是山石網科，同比增速為41.57%；奇安信-U同比增速為39.6%。可以預見的是，未來還有大量的網安企業將繼續登錄A股科創板進行融資，也將繼續為網安產業發展提供源源不斷的彈藥。

融資方面，根據36氪發布的數據顯示，2017年我國網絡安全融資事件共55起，總金額33.92億人民幣；2021年，融資事件達到208起，融資總額達到158.9億元，有27.9%的融資事件的金額達到億元級別，資本市場持續看好網絡安全行業。值得注意的是，超過半數的融資出現在項目早期（A+輪以前），這和其他行業存在明顯不同。

這意味著中國網絡安全市場同時具備產業成熟度仍有待提高與未來發展前景廣闊兩大特點。一方面，中國網絡安全產業存在大量規模較小的初創安全企業，市場集中度偏低，與之對應的融資事件自然也多于中后期項目。另一方面，早期融資項目的高度活躍意味著資本正積極擁抱市場的初級階段，對安全產業的長期發展前景保持樂觀。

產業調查方面，根據安全牛2017年7月發布的《中國網絡安全行業全景圖》，我國網絡安全產業共分為17個安全領域，59個細分領域，包含了約200家安全企業和相關機構。根據FreeBuf即將發布的《CCSIP 2022中國網絡安全產業全景圖》，我國網絡安全產業共分為21個安全領域，94個細分領域，共有五百多家網絡安全企業和相關機構上榜，初創企業如雨后春筍般蓬勃生長。

當下，我國網絡安全產業規模雖然遠小于國外市場，但是已經具備“萬億藍海”的潛力。和其他行業相比，網安行業的安全和底座屬性讓其天然更易受到政府資本、央國企資本、上市公司青睞，這也促使越來越多的人才投身網絡安全創業大潮之中，并以創新思維和產品驅動網絡安全行業快速向前發展。

企業：攻擊勒索日漸猖獗，人才缺口持續擴大

五年的時間里，甲方安全人員大多都有一個明顯的感受，企業在安全上的投入正越來越多，安全體系建設變的更加成熟和完善。

眾所周知，企業安全投入主要集中在兩方面：一是安全合規需求，這點在上文已有敘述；二是為了有效應對日漸猖獗的網絡、勒索攻擊和頻繁爆發的安全漏洞，確保業務運營、發展不受其干擾，數字化資產不因其而蒙受損失。

當下，全球網絡安全形勢不容樂觀。據Splunk發布的《2022 全球網絡安全態勢報告》數據顯示，近一半的企業表示,他們在過去兩年中遭受了數據泄露，比一年前調查中的 39% 有所增加；79% 的受訪者表示，他們遇到過勒索軟件攻擊，35% 的受訪者承認曾有一次或多次攻擊導致其無法訪問數據和系統；59% 的安全團隊表示，他們必須投入大量時間和資源進行補救，這一比例高于一年前的 42%。

勒索攻擊也開始瘋狂。根據 FortiGuard Labs 的研究，2022 年將成為網絡犯罪的重要年份:勒索軟件數量逐步上升，蜂擁而至的攻擊者競相尋找新的攻擊目標。網絡攻擊會繼續蔓延至整個數字世界，讓IT 團隊疲于應對，未來將呈現攻擊鏈左側發力、自上而下的攻擊機制以及從核心到邊緣全覆蓋等安全態勢。

更糟糕的是，隨著企業上云成為必選項，以及數字化轉型的加速進行，企業數字資產所占比重正在攀升，因網絡攻擊所造成的損失正在企業所能承受的極限。且不提那些動輒上億的贖金，僅僅是數據泄露就足以給企業帶來致命打擊。為了應對這些網絡攻擊，保護自身資產，企業不得不持續向安全方面傾斜資源，對于安全的重視程度也呈逐年上升的趨勢。

一個較為明顯的例子是，在2017年業界還在為DevOps而歡呼鼓掌，為了快速搶占市場，敏捷開發深入人心，一切都應該為速度讓步。如今，安全已經成為開發不可或缺的一部分，不可避免會降低開發的速度，但卻沒有企業會為了提速而完全拋棄安全。相反，在某些時候，安全可以一言定生死。而為了提高開發速度，安全開始更加深入開發，安全左移的概念成為業界新的共識。

企業端還有一個直觀體現安全行業變化的指標，那就是安全人才缺口數。

根據騰訊安全發布的《2017年上半年互聯網安全報告》數據顯示，我國高校教育培養的信息安全專業人才僅3萬余人，網絡安全人才總需求量則超過70萬人，缺口高達95%。

而根據工信部發布的《網絡安全產業人才發展報告》白皮書顯示，我國網絡安全產業人才需求高速增長，2021年上半年人才需求總量較去年增長高達39.87%。值得注意的是，自2019年以來超九成網絡安全人才的最高學歷為本科及研究生以上，大量的網絡安全人才從校園步入社會。

但即便是高校每年輸出數萬安全人才，我國網絡安全人才缺口還在不斷擴大，至2022年平均供求比約為1：2，存在資深人才儲備不足、新人培養和育留難度大等挑戰。過半數的網絡安全從業者認為當前公司網絡安全人才規模不能滿足工作需求，10.82%的從業者認為公司處于“人才非常短缺”的狀態；熟悉各種防御技術的安全研究崗位人才最為短缺，認為這一崗位人才短缺的人數占調查總人數的42.96%。

由此可見，這五年來，整個網絡安全行業的需求量正在快速增長，且每年輸入人才的速率還無法滿足企業每年增長的速率，以至于缺口日漸龐大。這也側面印證了我國網絡安全產業五年內的巨大發展。

技術：企業研發持續投入，新興技術日新月異

正如我們所看到的那樣，這五年也是我國網絡安全技術快速發展的黃金時期。得益于了網絡安全產業的快速發展，以及政策、市場側的諸多利好，我國網絡安全上市企業在技術上的投入持續增加，由此推動了網絡安全新興技術的出現和落地。

據中國信息通信研究院《中國網絡安全產業白皮書（2018）》數據顯示，2017年我國網絡安全上市企業的平均研發投入為2.85億元，相比去年的2.55億元，增長了11.76%；企業平均研發投入增長率為13.91%，保持高位水平。

2022年我國主要網絡安全上市企業研發投入普漲，但研發費用率低于國際同業水平。根據A股公開數據顯示，在2021年，25家網絡安全公司的研發費用總額共計130.43億元，平均研發費用為5.22億元，大大高于2020年的2.63億元。這意味著企業和資本對于網絡安全新技術的研發熱度持續高漲，技術更新迭代速度越來越快。

與此同時，初創企業在新技術創新上同樣保持著極強的動力。幾乎每一家網絡安全初創企業都會有一些極具創新性的安全技術，這也是它們能夠獲得資本認可，并在市場中競爭的基礎。隨著越來越多網安全初創企業的出現，網絡安全新技術也在不斷增加，并在快速追趕國外安全技術，有的甚至已經處于全球領先。

例如，隨著微隔離等技術的出現和應用，火了多年的零信任技術在近年來有了落地的可能，甲方企業開始依據零信任理念來逐步完善已有的網絡安全防護體系。

而隨著當前威脅與攻擊愈發隱秘，擴展威脅檢測與響應（XDR）技術在2021年開始得到業界的重視，被譽為是是 SIEM、態勢感知、SOAR 發展的再進化，旨在成為市場上的“最強競爭者”。

而如此多新興技術的出現，也給網絡安全產業發展帶來了全新的動力，推動網絡安全行業進一步發展。創新永遠是一個行業長盛不衰的核心因素，也是其未來持續增長的堅實基礎。

網絡安全就是這樣一個不進則退的行業，不論是外部復雜的攻擊形勢還是企業內在需求，都在不斷督促網安廠商們盡可能去創新，研發新產品、新技術，以此不斷強化網絡安全防護能力。

結語

五年的時間，網絡安全描繪了一副令人驚訝的藍圖，如今，新的五年征程已經開始，網絡安全產業是否依舊能像之前一樣，奮力狂奔？

可以預見的是，當下網絡安全攻擊形勢依舊十分嚴峻，隨著未來數字化轉型的完成，網絡安全所要承擔的使命將更加重大。在現有的法律體系之下，細分領域的法律體系將進一步完善，各種促進行業發展的政策也將持續存在，企業合規需求自然也不會松綁。更重要的是，大量高校已經開設了網絡安全專業，并將大量輸出網絡安全人才，這讓網安行業的發展有了足夠的生力軍。

網絡安全廠商方面，綜合型安全廠商雖然也在持續投入研發，但在前沿技術更新上存在一定短板，此舉或可通過投資并購進行彌補。目前，中后期相對高成長型企業開始積極布局產業鏈上下游及內安全企業，未來這一現象將會更加普遍。而這也將幫助高潛力初創企業更快發展，進一步提高我國網絡安全市場快速增長，促使我國網絡安全產業走在更加成熟的方向。