对中国网络安全市场规模的测算存在显著差异。根据艾媒咨询的数据，2023年市场规模为683.6亿元人民币，而IDC的数据显示2022年市场规模为130亿美元。此外，工信部的数据显示2019年市场规模为608亿元人民币，并设定目标在2023年达到2500亿元人民币。

过去几年，我见过不少投资人，他们对网络安全市场的前景颇为看好。其乐观态度基于几个因素，包括国家对网络安全的重视、合规要求、数字化转型的发展，以及欧美国家在安全投入占IT投入10%-15%的现状。总体而言，市场被认为规模大且增长迅速。

因此，大量资金涌入网络安全行业，创业公司如雨后春笋般涌现，一时间网络安全行业吸收了大量资源，像气球一样迅速膨胀。然而，从2022年至2023年，整个行业的境况并不理想。根据我的测算，从2023年第三季度到2024年第一季度，网络安全行业已经连续三个季度收入同比下降。数说安全最近发布的《2024年中国金融行业网络安全研究报告》也指出，2023年中国金融行业网络安全甲方支出市场规模约为91.94亿元人民币，同比下降12%，这是近五年来首次出现负增长。

网络安全市场为何会如此迅速地从增长转为下降？网络安全市场的规模到底有多大？

这个问题可以从多个角度来分析和回答。这里我想谈一个常被忽视的视角：甲方安全投入和乙方安全市场之间的巨大差异。

市场分为买卖两端，不同市场研究机构的侧重点不同。例如，IDC更多地面向卖方，而Gartner更多地面向买方。一般来说，从买卖两端看同一个市场，数据差异不会太大，例如除了极少数渠道压货情况，手机厂商的出货数据和消费者的购买数据差别不大。

但网络安全市场则有所不同，因为买方的安全需求和卖方的安全供给之间存在显著差异。买完的安全投入中，只有很小的一部分给到了卖方。

大致上可以将组织的网络安全需求分为两部分：保护员工使用互联网的安全，以及保护自身业务系统的安全（包括面向客户和外部相关方的互联网系统，以及面向员工的内部系统）。然而，安全预算的绝大部分投向了后者，即保护自身业务系统的安全。从生命周期来看，保护自身业务系统的安全可以分为三段：

• 开发阶段：在应用系统的需求、设计和开发阶段，安全的目标是要识别全面完整的安全需求并良好实现，即实现“Security by design”。

• 部署阶段：在应用系统的测试和上线阶段，安全的目标是要在组织层面评估对应用系统的合规和防护安全需求，通过实施完整的安全策略并部署恰当的安全措施来保证“Security by default”。

• 运行阶段：在应用系统运行阶段，安全的目标是实时监控应用系统的运行状态，评估其威胁态势，并对告警和安全事件做出及时有效的反应，即实施“Security operation”。

网络安全行业的发展起初是从运行阶段开始的，甚至是在发生安全事件后的响应。最初，安全团队基本上都是从基础设施团队或网络团队分拆出来的。因此，网络安全设备最早是部署在网络层面和操作系统等基础设施层面。

粗略地说，我们可以将网络安全行业的发展放在两个方向上：一是沿着TCP/IP协议栈向上，从网络和系统安全向应用和数据安全发展；二是沿着应用系统生命周期往左，从运营阶段向部署和开发阶段发展。

然而，当我们聚焦于应用和数据安全时，会发现威胁和数据泄露防范固然重要，但与系统和网络在部署阶段集成不同，应用和数据层面的安全弱点通常是在开发（自有代码）和部署（第三方代码）阶段引入的。要解决应用层面和数据层面的安全问题，就必须关注到开发和测试阶段。

安全左移的概念更容易理解。早年有一家全国性股份制商业银行是我们的多年客户，我们持续提供渗透测试服务。第一年，我们发现了N个高危漏洞，安全领导很高兴；第二年，我们发现了4N个高危漏洞，安全领导更高兴了；第三年，我们发现了7N个高危漏洞，CIO在会上指着安全领导说：“你们工作怎么做的！”

善战者无赫赫之功。扁鹊因为治好急病而名声远播，而他的哥哥扁大却默默无闻。尽管在与攻击者战斗的攻防一线会有成就感，但最终组织的安全依赖于健壮的身体，而不仅仅是坚韧的盔甲。投入更多资源在运行阶段只会揭示越来越多的安全问题，要让安全问题越来越少，必须在开发和测试阶段加强资源投入。

那么，开发和测试阶段的安全应该如何实现呢？自然是由开发人员来实现。安全厂商能提供的主要是各类测试工具，如SAST、DAST和IAST。虽然安全厂商也尝试在这个阶段提供安全平台产品，但因为开发者工具和生态是一个更广阔的市场，且编写代码是开发人员的主要工作，这些年CI/CD流程链的成熟度比安全工具的成熟度高得多。结果就是，安全厂商只能提供一些嵌入CI/CD流程的安全工具。

组织的安全建设有N件事情要做。有多少工作是可以外包给安全设备和安全服务商来完成的？有多少工作是只能安全团队自己做的？即使对数据中心的SOC团队而言，自身职责中的更大部分也只能由自己完成。然而，随着安全的责任和资源更多地向开发和测试阶段倾斜，这个问题变得越来越严重。

2007年iPhone发布后，移动安全很快成为网络安全行业的热门话题。曾经有预测认为移动安全的市场规模会超过网络安全，就像近年来大家对数据安全的预测一样。然而，10多年后，移动安全仅仅是一个非常狭小的市场，唯一的上市公司仅有国华网安一家，且其经营质量堪忧。原因在于移动安全需要做的工作几乎只能由第一方完成，留给第三方安全厂商的市场空间微乎其微。苹果公司上个财政年度的研发支出约为299.2亿美元，其中iPhone占其营收的比例为52%。按10%计算，苹果公司在移动安全上的投入至少为15.6亿美元（这还不包括服务部分），这已经相当于整个中国网安收入的10多个点了。

总之，网络安全行业是一个被认为非常重要且客户投入不断增长的行业，尽管近两年存在例外。然而，这并不意味着网络安全市场真的如此庞大且仍在快速增长。包括在分析网络安全细分市场规模时，一定要特别注意客户愿意为解决这个痛点投入多少资源，其中有多少会用来进行第三方采购，不能想当然地假设客户花的每一分钱都会落入第三方安全厂商的口袋。