准备休假，各种忙，偷懒回顾一篇旧文，与大家分享对网络安全行业定义的思考。

网络安全行业在全社会生产中的位置，是网络安全从业者很少去思考的问题，今天我们就来聊聊这个。

外部视角

在国标 GB/T 4754—2017《国民经济行业分类》国家标准中，我检索了“网络安全”、“信息安全”等相关字眼，得到的相关类别如下：

共有三个类别与网络安全行业相关：

1.制造业门类，计算机、通信和其他电子设备制造业大类，计算机制造业中类，信息安全设备制造，行业代码 3915，描述为“指用于保护网络和计算机中信息和数据安全的专用设备的制造，包括边界安全、通信安全、身份鉴别与访问控制、数据安全、基础平台、内容安全、评估审计与监控、安全应用设备等制造。”

2.信息传输、软件和信息技术服务业门类，互联网和相关服务大类，互联网安全服务，行业代码 6440，描述为“包括网络安全监控，以及网络服务质量、可信度和安全等评估测评活动。”

3.信息传输、软件和信息技术服务业门类，软件和信息技术服务业大类，软件开发中类，其他软件开发，行业代码 6519，描述为“指未列明的软件开发，如平台软件、信息安全软件等。”

在国民经济行业分类中，使用的仍是“信息安全”而非“网络安全（cybersecurity）”。这三个类别对应的是三种不同的交付方式：硬件、服务和软件。

接下来我们看看二级市场，即A股对网络安全行业的分类。上图是中信证券行业分类图2024年6月21日的市场数据，色块的大小对应市值。可以看到网络安全上市公司如启明星辰、奇安信、电科网安等都被放在了“计算机—计算机设备”这个类别中，这与前面国民经济行业分类中的“3915信息安全设备制造”是对应的。在计算机设备这个类别中，有一家公司的市值占了全类别的一半——“工业富联”，也就是富士康。我想没有几个网络安全行业从业者会认为我们和富士康同属于一个行业，但这就是A股的逻辑。

国民经济行业分类和A股更多地认为网络安全行业是个IT硬件行业，这与我们网络安全从业者普遍认为自己是软件行业的看法大不相同。虽然交付给最终用户的产品形态大部分仍然是硬件，但对网络安全公司来说，这些硬件都是从上游网络安全工控机厂商采购而来，灌装上自研的操作系统和软件后以软硬件一体的方式交付给客户。从增加值的角度看，网络安全公司的价值完全体现在软件部分（除了少数做ASIC或FPGA的密码、防火墙厂商）。

最后，我们看看同属于资本市场，但比A股更早期的一级市场是如何看待网络安全行业的。这是企查查的行业分类，信息安全行业与企业IT服务、开发者服务、垂直行业信息化、数据服务、企业管理软件等同属企业服务类别，即面向2B客户，为企业客户的业务服务的领域。这更符合网络安全从业者对网络安全行业定位的认识。

企业软件提供给客户的价值可以分为三类：增加收入、降本增效和管控风险。CRM软件是增加收入的代表，ERP软件是降本增效的代表，而我们网络安全行业，无疑属于管控风险的类别。在之前的这篇文章中，我们知道管控风险的目标是“将风险保持在一个可接受的水平”。因此，企业/全社会的风险偏好决定了网络安全行业的规模。在现在的中国，这个风险偏好是高的，对风险的容忍度是强的，也由此决定了网络安全投入占 IT 投入的低比例，以及这个行业不高的天花板。

但除了管控风险，网络安全技术和能力的提高，也是可以为客户降本增效、甚至增加收入的。例如，银行在营业部将ATM升级为VTM，在手机银行APP中增加远程柜面服务，就是因为远程鉴权技术的提高，让很多以前需要去营业部办理的业务现在可以远程办理。这既提高了客户的效率，也降低了银行的成本。券商的远程开户则是另一个增加收入的例子。同样因为远程鉴权技术的提高，以往投资者需要去证券营业部开户，而现在理财顾问带着平板电脑和蓝牙身份证读卡器就可以现场办理开户业务，为券商增加经纪业务收入提供了便利。

不可否认，网络安全技术和软件的主要价值仍然在于管控风险，但网络安全从业者应该开阔思维，从降本增效和增加收入的角度提供服务和寻找业务机会。除了接触IT部门，还可以多与互联网金融部等业务部门接触，毕竟，业务预算往往比IT预算更为充裕。

小结

通过外部视角分析，我们看到了网络安全行业在国民经济分类、资本市场和企业服务中的不同定位。虽然传统观念将网络安全行业视为IT硬件行业，但其真正的价值更多体现在软件和服务部分。随着网络安全技术的不断进步，不仅能有效管控风险，还能为客户带来降本增效和增加收入的机会。作为网络安全从业者，我们应开阔思维，积极探索新的业务领域和合作机会，以应对不断变化的市场需求和技术挑战，从而推动行业的持续发展。

内部视角

业内一些媒体，如数说安全和安全牛，都会定期发布中国网络安全行业的全景图。今年最早更新的是安全牛的全景图。

在安全牛对“每项二级分类不超过40款产品，每家厂商不超过60款产品”的限制后，这份全景图中包含了16项一级分类、108项二级分类，共收录了454家厂商的2413款产品。

通过简单的除法可以得出，平均每项二级分类中有22款产品，每家厂商平均有5款产品。这个现象反映了网络安全从业者对行业的普遍印象——“赛道众多且每条都很拥挤”。大家都被迫成了卷王，成了现下“历史的垃圾时间”中的一份子。

这是Momentum Cyber制作的美国网络安全行业全景图，与前面的中国网络安全行业全景图如出一辙，赛道细分众多，每条赛道都挤满了厂商。似乎在中美两个互联网大国做网络安全都逃不脱卷王的命运。

我还找到了这张法国网络安全行业的全景图，虽然厂商数量少了很多，但考虑到法国的面积和人口与湖南省接近，想象一下，如果光是湖南一个省就有这么多家安全公司，似乎法国的网络安全行业比中国还要卷。

将这三张图综合起来看，似乎可以得出一个结论：全世界的网络安全行业都是“赛道众多且每条都很拥挤”。但是，我们还有另一组数据。

这是中国网络安全产业联盟发布的《中国网络安全产业分析报告（2023年）》中的两张图。左图显示，报告收录的厂商数量增加了340家，同比增长22.3%。右图显示，2022年中国网络安全市场的集中度CR1为9.8%，CR4为28.6%，CR8为44.9%。

我们知道，一个行业成熟的标志是高度的市场集中度。彩电、冰箱、PC、手机、内燃汽车等行业无不如此。每个行业走到成熟阶段，头部的不超过5家厂商就能占领超过八成的市场份额。网络安全行业离这个阶段还很远。放眼全球市场，Grand View Research认为2022年全球网络安全市场规模是2027.2亿美元，按此计算全球最大的网络安全公司Palo Alto Networks市占率仅有3%多一点。

并且，每年有超过22%的新公司涌入这个行业，我们只能得出这样一个结论——网络安全行业“仍处于早期阶段”。

一个行业怎么能做到既“赛道众多且每条都很拥挤”，又“仍处于早期阶段”呢？

答案就在这张图里。网络安全行业非常细碎，既有非常成熟的防火墙、IDS/IPS、VPN等细分领域，也有SASE、RASP、CSPM等新兴领域，更有隐私计算、5G安全、SSPM等尚未进入任何一张网络安全行业全景图的早期领域。上述全景图的问题在于只统计了有一定规模和厂商数量的领域，而忽视了更大面积的蓝海领域。

因此，当我们作为网络安全从业者看待网络安全行业时，应该把其想象成一条光谱，从成熟到早期，不同的细分领域处于光谱的不同位置，并有着各自的市场规模和未来TAM（总可用市场）。这样才能更好地理解网络安全行业的状态，并为我们的工作和未来发展提供信息和基础。

小结

通过内部视角的分析，我们看到了网络安全行业的复杂性和多样性。尽管赛道众多且竞争激烈，但行业整体仍处于早期发展阶段。网络安全从业者应将行业视为一条从成熟到早期的光谱，不断寻找新的业务机会和合作方式，以应对不断变化的市场需求和技术挑战。只有这样，我们才能在这个多变的行业中找到自己的位置，并推动行业的持续发展。