网络安全行业在全社会生产中的位置，是网络安全从业者很少去思考的问题，今天我们就来聊聊这个。

在国标 GB/T 4754—2017《国民经济行业分类》国家标准中，我检索了“网络安全”、“信息安全”等相关字眼，得到的相关类别如下：

共有三个类别与网络安全行业相关：

1.制造业门类，计算机、通信和其他电子设备制造业大类，计算机制造业中类，信息安全设备制造，行业代码 3915，描述为“指用于保护网络和计算机中信息和数据安全的专用设备的制造，包括边界安全、通信安全、身份鉴别与访问控制、数据安全、基础平台、内容安全、评估审计与监控、安全应用设备等制造。”

2.信息传输、软件和信息技术服务业门类，互联网和相关服务大类，互联网安全服务，行业代码 6440，描述为“包括网络安全监控，以及网络服务质量、可信度和安全等评估测评活动。”

3.信息传输、软件和信息技术服务业门类，软件和信息技术服务业大类，软件开发中类，其他软件开发，行业代码 6519，描述为“指未列明的软件开发，如平台软件、信息安全软件等。”

在国民经济行业分类中，使用的仍是“信息安全”而非“网络安全（cybersecurity）”。这三个类别对应的是三种不同的交付方式：硬件、服务和软件。

接下来我们看看二级市场，即A股对网络安全行业的分类。上图是中信证券行业分类图2024年6月21日的市场数据，色块的大小对应市值。可以看到网络安全上市公司如启明星辰、奇安信、电科网安等都被放在了“计算机—计算机设备”这个类别中，这与前面国民经济行业分类中的“3915信息安全设备制造”是对应的。在计算机设备这个类别中，有一家公司的市值占了全类别的一半——“工业富联”，也就是富士康。我想没有几个网络安全行业从业者会认为我们和富士康同属于一个行业，但这就是A股的逻辑。

国民经济行业分类和A股更多地认为网络安全行业是个IT硬件行业，这与我们网络安全从业者普遍认为自己是软件行业的看法大不相同。虽然交付给最终用户的产品形态大部分仍然是硬件，但对网络安全公司来说，这些硬件都是从上游网络安全工控机厂商采购而来，灌装上自研的操作系统和软件后以软硬件一体的方式交付给客户。从增加值的角度看，网络安全公司的价值完全体现在软件部分（除了少数做ASIC或FPGA的密码、防火墙厂商）。

最后，我们看看同属于资本市场，但比A股更早期的一级市场是如何看待网络安全行业的。这是企查查的行业分类，信息安全行业与企业IT服务、开发者服务、垂直行业信息化、数据服务、企业管理软件等同属企业服务类别，即面向2B客户，为企业客户的业务服务的领域。这更符合网络安全从业者对网络安全行业定位的认识。

企业软件提供给客户的价值可以分为三类：增加收入、降本增效和管控风险。CRM软件是增加收入的代表，ERP软件是降本增效的代表，而我们网络安全行业，无疑属于管控风险的类别。在之前的这篇文章中，我们知道管控风险的目标是“将风险保持在一个可接受的水平”。因此，企业/全社会的风险偏好决定了网络安全行业的规模。在现在的中国，这个风险偏好是高的，对风险的容忍度是强的，也由此决定了网络安全投入占 IT 投入的低比例，以及这个行业不高的天花板。

网络安全的定义与风险：从信息安全到网络空间保护

oranKer

·

Jul 4

Read full story

但除了管控风险，网络安全技术和能力的提高，也是可以为客户降本增效、甚至增加收入的。例如，银行在营业部将ATM升级为VTM，在手机银行APP中增加远程柜面服务，就是因为远程鉴权技术的提高，让很多以前需要去营业部办理的业务现在可以远程办理。这既提高了客户的效率，也降低了银行的成本。券商的远程开户则是另一个增加收入的例子。同样因为远程鉴权技术的提高，以往投资者需要去证券营业部开户，而现在理财顾问带着平板电脑和蓝牙身份证读卡器就可以现场办理开户业务，为券商增加经纪业务收入提供了便利。

不可否认，网络安全技术和软件的主要价值仍然在于管控风险，但网络安全从业者应该开阔思维，从降本增效和增加收入的角度提供服务和寻找业务机会。除了接触IT部门，还可以多与互联网金融部等业务部门接触，毕竟，业务预算往往比IT预算更为充裕。

总结

通过外部视角分析，我们看到了网络安全行业在国民经济分类、资本市场和企业服务中的不同定位。虽然传统观念将网络安全行业视为IT硬件行业，但其真正的价值更多体现在软件和服务部分。随着网络安全技术的不断进步，不仅能有效管控风险，还能为客户带来降本增效和增加收入的机会。作为网络安全从业者，我们应开阔思维，积极探索新的业务领域和合作机会，以应对不断变化的市场需求和技术挑战，从而推动行业的持续发展。