近期，国内各大网络安全上市企业陆续发布了2023年前三季度财务数据，总体来看，行业普遍亏损的态势延续，增收不增利的问题依旧存在，一时间业界反应激烈，焦虑情绪蔓延。对于前三季度账面亏损的原因，多位业内人士表示，宏观经济大环境还是主要原因，市场的复苏需要一定的时间；随着AI大模型的持续火热，每家安全厂商研发投入都不菲；行业盈利模式和激烈的市场竞争也是网安企业现阶段利润率难以有效提升的重要原因。那么，如何改变亏损现状，建立起网络安全产业发展的良性生态？

Gartner高级研究总监高峰在近日召开的“2024年及未来中国网络安全重要趋势”媒体分享会上就记者提出的“中国网络安全行业普遍持续亏损，增收不增利的深层次原因，中国网络安全市场成熟度较低的原因，如何破局”等系列问题进行了解答。会中，高峰也结合“全球网络安全趋势”和中国本地的情况，介绍了2024年及未来中国网络安全7个重要趋势。

为什么国内网络安全行业普遍亏损？

高峰：国内网络安全行业的普遍亏损，首先是因为企业过度服务，过度竞争。服务、价格都在过度竞争，这是一个很大的问题。然后，企业过度地满足客户的需求，导致自身产品的版本失控。企业有着很多的版本帮客户做定制开发、做现场的支持，这些服务都有成本。在网安行业整体缺粮的背景下，企业考虑前期先抓住客户，以低价成交，满足客户需求，期望后续通过服务收取费用以支撑过度服务的成本，但是现实非常严酷，经济下行时后续的服务从哪里来收钱呢？这也导致后续服务的投入一定是跟不上的。况且企业本身的投入巨大，那么多的客户，每个客户要维护一套不同的版本、每个版本都不一样，而且有定制化的需求，这些都要有大量的研发人员在后面跟进，成本就变得非常之高。

另外，国内企业从头做到尾，从产品一直做到部署、运维、支持，自己覆盖了全部业务。全部做了以后，也没有办法最大程度的确保利润。国外厂商基本都是专注于产品，交付部署是通过集成商，厂商只要确保自己的利润剩下的就给集成商去交付就可以。国内厂商全部都做了，可能为了将来的服务收入牺牲短期的利润，但可能最终收不上将来服务的利润，因为国内市场对软件购买的服务付费意识还是比较薄弱。对于国外厂商来说，它可能没有这些考虑、更纯粹注重产品的利润。

中国网络安全市场成熟度较低的原因

高峰：对比国内外安全厂商的盈利模式可以看出国内网络安全企业存在两大问题，这也是中国网络安全市场成熟度较低的原因。

第一，国内的企业可能更多的专注于服务，通过“过度服务”去满足不同客户的不同需求，而不专注于产品。国外大部分企业都是走SaaS、安全企业走SaaS，好处是产品只有一个版本，可以更关注产品的差异化，也可以从产品上最大地做出差异化。

第二，国内厂商自己覆盖了全部产品和服务，客户的任何声音都可能通过企业的销售端去影响到产品，产品也会迫于压力做不必要、或者不应该做的事情。国外企业不会做最终端的交付和支持、运维，只做产品及产品支持，在最终的交付端会有一个集成商的角色，这样企业可以最大程度地屏蔽客户来的“噪音”，不是客户的任何需求都直接影响产品决策。

中国安全厂商过度服务对于整个商业环境，无论是对客户、还是对厂商都是不利的。首先，客户没有办法自我改进提升，成熟度无法提高。举例来说，客户要定制化，要改代码，企业都能给做到，但客户的需求不一定都是对的，而且往往来说，在“安全”领域中国的客户成熟度一般来说不会比厂商的成熟度高、厂商在技术能力上一定是更强的，所以客户提出的一些需求其实并不是真正的合理需求，很多时候只是客户内部的一些架构的问题或者其它问题导致需要更改代码。其次，对于厂商来说要维护很多版本的代码其实是非常困难的，前期还可以保证，后期一旦壮大，几百个客户、几百个版本，如何能够确保长久的维护且不发生问题呢？长久以来就会积累很多问题，对于整个市场的良性发展非常不利。这也是中国网络安全市场成熟度较低的原因，都要负责任。

如何破局

高峰：中国安全厂商普遍缺少一个非常明确的高层次的战略，他们需要改变，一定要从最高层的角度有一个比较明确的战略，而不是哪里有业务就往哪里跑，满足客户的各种需求，没有一个围绕自身的非常明确的战略方向会导致“摊子铺的很大”，最终导致在经济比较困难的时期可能会受到很大的影响。国外厂商一般会有非常高的产品战略，且会围绕产品战略一步步前进。

最近两年，国内各家安全厂商都在发布一些SaaS化的产品，他们其实也意识到本地化部署过度服务的方式最终是行不通的，只会增收不增利，最终必然要走SaaS路线。但因为他们的服务对象或者说购买主力成熟度比较低，又因为监管或者其它原因不会使用SaaS化的产品，所以SaaS也比较艰难。

总的来说，近两年几家国内专注做SaaS的安全企业的营收和利润还是比较好的，都是增长的。这个方向是正确的，但是对于“大量获客”来说肯定是很困难，因为获取不了政府、国企金融的客户。但是在经济下行时期，长期坚持就能看到区别。国内厂商还是要尽量走单一版本的方式，看能不能让客户接受SaaS化，持续“本地部署”会很难。

2024年及未来中国网络安全重要趋势

1.以业务为中⼼的安全投资

CIO需要就网络安全风险、以及网络安全项目的有效性和业务价值进行有效沟通——这一能力也将有助于他们对安全控制进行适当规模的投资。此外，CIO还必须能够确定以业务为中⼼的安全投资的优先级，并在审查网络安全预算时从业务角度论证安全投资的必要性。

2.威胁暴露面管理

持续威胁暴露⾯管理（CTEM）项⽬使企业机构能够维持一致、可操作的安全态势、补救措施和改进计划，以便业务高管和IT团队了解情况并采取相应行动。CTEM结合了攻击者和防御者的视角，最大限度地减少企业当前和未来面临的威胁。采⽤CTEM项目的企业机构会使用工具来记录资产和漏洞、模拟或测试攻击，同时利⽤其他形式的态势评估流程和技术。 CTEM项⽬包含五个可循环的步骤：范围界定、暴露面发现、优先级排序、验证和动员。

3.零信任采用

Gartner将零信任定义为安全范式，可明确识别用户和设备，并授予其适当的访问权限，以便企业能够以最⼩的摩擦进行运营，同时降低风险。零信任可以作为一种安全方式或范式、一种战略或某些特定架构和技术实施加以应用。

4.网络安全平台整合

中国企业机构希望降低复杂性、简化运营并提高员工效率。精简供应商数量之后，企业机构可利用数量更少的产品降低运营复杂性、提升员工效率、实现更广泛的集成，并获得更多类型的功能。然而，这也可能导致风险集中、更高的价格和运营影响。但这一顾虑并不能削弱企业机构对供应商整合和集成的需求。企业机构对提供身份和网络安全服务等关键基础设施服务的安全供应商网络安全韧性越来越感兴趣。

5.身份优先安全

中国的数字经济推动了社会方方面面的数字化变革，数字身份在⼈们的生活中发挥着越来越重要的作用。如今，数字身份让用户的个人身份不再仅仅用于自身，而是广泛地分布于多个组织、系统、算法和智能设备之中。同时，管理机器（设备和工作负载）可信身份也成为企业机构面临的一项挑战。

6.网络韧性

网络韧性是指能够适应和响应数字业务生态系统的威胁或故障的能⼒。具有网络韧性的企业机构能够在快速恢复之后，确保软件和技术的基础设施和服务是可靠、安全和可访问的，以应对所有类型的恶意或不利的服务中断。网络韧性战略使恢复原则得到更有效的应用，以最大程度地减少或消除中断带来的业务损失，但目前并不可能消除所有安全事件。

7.网络安全判断力

网络安全判断是指整个企业机构中的决策者独立做出明智的网络风险决策的能力， 而不是依赖安全团队的决策协助。网络安全判断力不同于传统的员工意识。后者通常指不会带来业务价值的风险决策。网络安全判断力涉及存在多种权衡因素的风险决策，并且没有单一、明显的行动方案。