"2004 年,我就开始做产业调研,历经了安全产业从只有杀毒的几个亿收入到现在近千亿的纵深防御的安全收入。" 李少鹏作为行业老兵见证了网络安全行业这 20 年来的成长与发展,他说从最初的计算机安全到信息安全再到网络安全,再到如今的数字安全,安全行业一步步地壮大。
6 月 17 日,以 " 风险驱动 " 为主题的第三届数字安全大会在北京召开,他说这是唯一一个由第三方咨询机构和 CIO 机构联合举办的顶级安全会议。大会期间《中国数字安全产业年度报告(2023)》发布。报告内容包括数字安全 100 强、专精特新 100、数字安全能力图谱行业版等内容,并阐述了数字安全 9 大发展态势,并针对广大数字安全企业和整体安全产业提出了既切合实际又着眼于未来的论断:" 后疫情时代,对于大多数民营安全企业来说,生存是第一要务。对于整体数字安全产业而言,长期向好,未来可期!"
针对数字安全含义及其未来发展相关问题,雷峰网和数世咨询创始人李少鹏进行了深入的交流。
一、风险驱动是安全产业壮大的催化剂
扁鹊年轻时游历于魏国,魏文王召见扁鹊问道:" 先生,寡人听说你们家兄弟三人都精于医术,谁医术最好呢?"
扁鹊回答:" 大哥最好,二哥差些,我扁鹊是三人中最差的一个。"
魏文王好奇,扁鹊名气最大却说自己是三人中最差的。扁鹊说," 大哥在病人没觉得自己有病的时候就给调理好了,二哥在病人觉得自己有小病时就治好了,所以只是在乡里少有名气,而我救人于危难之中,都是大动手术,所以名闻天下。"
正所谓下医医大病,可起死回生;中医医治小病,可防微杜渐;上医医未病,可渡人平安。神医都是治未病。
李少鹏以扁鹊的故事阐述了安全行业和治病救人一样,都要防患于未然。他说:" 最早安全企业是事件驱动,有病就去看病,出了问题亡羊补牢;到后面是威胁驱动,例如大型攻防演练,为了防止病毒和攻击,企业主动防御,如疫情时候主动戴口罩、打疫苗;未来产业真正要发达起来,能够成为万亿市场一定得是风险驱动。"
李少鹏在演讲中表示,在 2015 年之前,网络安全发展这么多年总共才 100 多亿的市场,2015 之后到 2022 年这一市场已经有将近 1000 亿的市场了,短短 7 年就增长了 5.5 倍。
网络安全其实可以分为三个阶段,第一个阶段是计算机安全阶段,那个时候为了合规就是解决有没有的问题,买了根本没人用起来;第二阶段才是解决了行不行的问题,由于大型攻防演练的推进,企业开始关注安全产品真正的实用性;我国网络安全体系就是从有没有到用没用再到行不行的变化,一步步建设起来的。
但是光有威胁驱动的安全是不行的,即便在大型攻防演练的时候,我们可以做好排兵布阵,但是面对未知的威胁是没办法排兵布阵的,因此这个行业很小,企业投入也很小。
李少鹏告诉雷峰网只有转变思维到风险驱动,行业才能变大变好。就像对待自己的身体,不是感冒发烧了才去喝药,平常就应该注意锻炼身体、做体检、注意饮食等,甚至买健康保险。安全也是这样,在没有安全威胁发生的时候,就要未雨绸缪。
一来企业要意识到提前做安全部署的重要性;二来安全产品和技术也要站在风险的角度进行迭代,提前做预防和研判,对于产生危害的漏洞及时修补。
只有企业和安全产品都在被风险驱动的时候,这个产业才会真正的投入很大。
二、数字安全时代两样东西最重要
去年数世咨询举办了第二届数字安全大会,发布了一个报告,其中一个论断就是数字安全产业处于初级阶段。
李少鹏表示 2019 年的时候,就公开发布了一篇深度思考安全产业的文章,并首次提出网络安全将走向数字安全的思想。2023 年 2 月,中共中央、国务院印发《数字中国整体布局规划》,其中就提到建设数字中国,一方面要进行数字创新、技术创新;另一方面要筑牢数字安全屏障。
所以现在大家开始逐步认可数字安全这一理念。从计算机安全到信息安全、网络安全再到数字安全,每个阶段关注的安全问题都是不一样的。其实网络安全保障的核心对象就是数据安全,而数字安全的技术内涵就是以网络安全为基础保障手段,以数据安全为核心价值的两者的合体。
但是当前数字安全产业整体还处于一个初期阶段。主要原因有以下几个方面:
第一:整体产业规模太小,不算支撑基础国计民生的产业,到目前为止也才不到 1000 亿;
第二:标准不统一,网络安全工具不互通互用,不利于共同抵抗网络攻击;
第三:安全行业几乎没有直销,中间商太多,厂商几乎赚不上钱;
第四:合规还是安全产业发展最主要驱动因素,但是随着数字经济的发展,这个天平会往业务安全驱动倾斜;
" 数字经济时代,所有行业最重要的两样东西,一是数据安全,二是业务的连续性。"
李少鹏表示,央国企和部委能占到安全行业整个收入的 80% 以上,所以合规是一方面驱动因素;但是随着数字经济的发展,业务联网化、数字化,保障业务的正常运行也成为了刚需,尤其关基行业,一旦系统停摆,例如水、电等直接影响国计民生。
另一方面就是数据安全,安全不是独善其身,数字安全除了保障自身安全还要为他人安全负责,数字经济时代下,最核心的要素之一就是数据。
三、安全行业没有寡头只有诸侯
" 安全行业会永远碎片化、动态化下去。"
安全行业碎片化已经成为行业共识,谈及这一现象的原因,李少鹏指出这是因为安全行业有四个基本属性:
第一:伴生属性。举个例子没有计算机就没有计算机安全、没有网络就没有网络安全,当保护场景和保护对象不停的变化,安全就会碎片化。
第二:技术本质。技术的核心本质就是信任问题,被信任就可以访问数据,不被信任就要动态化检测。
第三:商业本质。商业的本质就是一个服务而不是商品,网络安全本质上就不是一个单纯的产品还要配相应的配套服务,只要是服务肯定就是个性化的,因此也没什么统一的标准。
第四:哲学本质。网络安全说到底就是对抗的事情,没有最坚固的盾,也不会有最锋利的矛。道高一尺,魔高一丈,攻防对抗是持续性的。
古代春秋就是诸侯时代,战国就是寡头时代。春秋时代有 140 多个诸侯国,而战国时代 7 个国家就占了 95% 的比例。李少鹏表示,根据数世咨询统计,安全行业市值亿元网上包括大几千万的企业刚好 150 个,所以现在网络安全行业是名副其实的春秋时代。