2026 中国网络安全行业深度研究报告：信创、AI 安全、关键基础设施与数据安全的国产化跃迁

在中国工业和信息化部 2025 年发布的一份内部测算中，国内网络安全市场全年规模首次突破 1,200 亿元人民币大关。这个数字本身并不令人意外，令人印象深刻的是它背后的结构：支撑增长的，不是单一驱动力，而是四条主线同时拉动——合规驱动的等级保护体系升级、国产替代深化的信创安全浪潮、AI 大模型普及催生的新型攻防需求，以及关键基础设施保护政策的全面落地。

这四条主线，相互交织，彼此加强。等保 2.0 要求所有三级以上信息系统完成年度测评，直接拉动检测、咨询、安全运营市场；信创替代要求国产密码算法、国产操作系统和国产安全设备进入原本由 Check Point、Palo Alto、Fortinet 占据的市场空间；AI 大模型的快速铺开制造了前所未有的攻击面，提示词注入、模型投毒、隐私泄露成为企业安全团队的新课题；而关键信息基础设施保护条例 2021 年落地后，能源、金融、电信、政务、交通五大行业的安全投入被纳入政治高度。

这是一场时机难得的产业跃迁窗口。谁能在这个窗口里快速占位，谁就能在此后五年的竞争中建立难以撼动的护城河。

从历史脉络看，中国网络安全产业的发展历程大致分为四个阶段。第一阶段（1994—2005 年）是萌芽期，网络安全等同于防病毒软件，市场规模极小，江民、金山等 PC 安全厂商是主角；这一时期最重要的制度建设是 1994 年《计算机信息系统安全保护条例》的颁布，为整个行业奠定了法律基础。第二阶段（2006—2016 年）是等保 1.0 驱动期，政府、银行、电力等行业的合规建设带动网络安全市场从数十亿元增长至数百亿元，启明星辰、天融信、绿盟科技等传统安全厂商确立市场地位；2010 年 Stuxnet 工控病毒事件和 2013 年棱镜门事件，分别唤醒了工控安全和数据主权两个子行业的公众认知。第三阶段（2017—2022 年）是政策密集落地期，等保 2.0、数据安全法、个人信息保护法、关键基础设施保护条例在短短五年内密集出台，叠加 2020—2022 年的资本狂潮，推动行业估值和投资规模急速扩张，新兴厂商（奇安信独立上市、长亭科技、知道创宇等）迅速崛起。第四阶段（2023 年至今）是价值回归期，资本降温、盈利要求提升、信创替换和 AI 安全成为新的增长引擎，行业从"规模导向"向"效率导向"转型，商业模式从项目制向订阅制演化。

理解这四个阶段的逻辑，才能理解 2025—2030 年这个窗口期为什么特殊：它是第三阶段密集政策落地后的真正产业红利兑现期，也是 AI 技术冲击与信创国产替代两条主线同频共振的历史性时刻。

第一章　定义、分类与产业链全景

网络安全的六层技术架构

理解中国网络安全产业的竞争格局，首先需要厘清技术架构的层次。从防护对象和技术手段两个维度交叉，可以构建一个六层矩阵：

网络层安全是最基础的防护面，覆盖流量过滤、入侵检测与防御（IDS/IPS）、DDoS 防护、下一代防火墙（NGFW）等。防火墙是这一层的核心产品，中国市场上主要产品包括华为、深信服、山石网科、天融信、阿里云的硬件或云化防火墙。下一代防火墙与传统防火墙的根本区别在于应用层感知能力——它能识别 HTTP 流量里的应用类型，而不仅仅是端口和协议。

终端层安全关注的是每一台计算机、服务器、移动设备的防护，核心产品是杀毒软件、EDR（端点检测与响应）和 XDR（扩展检测与响应）。CrowdStrike 凭借云原生 EDR Falcon 平台在全球市场确立领导地位；国内方面，北信源、深信服、奇安信的终端安全产品在政企市场保有较高份额。随着 Windows 11 普及和零信任架构推广，终端安全与身份管理的融合正在加速。

数据层安全覆盖数据库安全、数据脱敏、数据分类分级、数字水印、数据防泄漏（DLP）以及隐私计算。《数据安全法》2021 年施行后，数据分类分级成为合规刚需，带动安恒信息、中孚信息等数据安全专业厂商的市场份额持续提升。

应用层安全包含 Web 应用防火墙（WAF）、应用程序接口（API）安全、移动安全、代码安全、漏洞扫描与管理。长亭科技的 WAF 产品雷池在互联网头部企业中广泛部署；知道创宇的安全云平台覆盖政府网站和中型企业；Tenable 和国内的绿盟科技均是漏洞管理细分市场的重要参与者。

身份层安全对应身份与访问管理（IAM）、特权访问管理（PAM）、多因素认证（MFA）、统一身份验证（SSO）。CyberArk 是全球 PAM 领域的绝对领先者；国内市场中，奇安信的 IAM 平台、信安世纪的 PKI/国密系统是代表性产品。信创场景下，IAM 系统必须与国产目录服务（替代 Active Directory）和国密证书体系集成，推动国内 IAM 市场加速国产化。

物理与工控安全关注工业控制系统（ICS/SCADA/OT）、工业互联网、智慧城市基础设施的安全防护。随着《关键信息基础设施安全保护条例》落地，能源、水务、交通、电网的工控安全成为必答题，威努特、匡恩网络、中孚泰等工控安全专业厂商迎来快速发展期。工控安全与 IT 安全最大的区别在于：工控系统通常运行时间长达十年至二十年，不能轻易重启或升级，安全防护必须在不影响业务连续性的前提下进行，这决定了工控安全产品的设计思路与 IT 安全截然不同。

网络安全产品分类的经济学逻辑

从经济学角度看，网络安全产品可以分为三类：

合规驱动型产品：等保测评必须具备的安全设备（防火墙、入侵检测、日志审计），这类产品的采购是合规强制，与实际安全效果相关性次要。这类产品市场规模大、增长稳定，但利润率受竞争压制趋于中等。代表厂商：启明星辰的入侵检测系统、天融信的防火墙、山石网科的 NGFW。

威胁驱动型产品：因为真实发生了安全事件（勒索攻击、数据泄露、APT 入侵），甲方才产生购买意愿。这类产品的市场渗透率偏低但单价高，是行业利润最厚的部分。代表厂商：奇安信 APT 防御、CrowdStrike EDR、Palo Alto Cortex。

能力驱动型产品：企业主动提升安全能力而非被动合规，包括 AI SOC、威胁情报订阅、攻击面管理。这类产品在中国市场的渗透率目前最低，但增速最快，是未来五年的主要增长空间。代表厂商：深信服 XDR、安恒信息 MSS、绿盟科技威胁情报。

理解这三种产品类型的底层逻辑，是分析各细分赛道增速和竞争格局的关键。在中国市场，合规驱动型产品约占整体市场的 55%，威胁驱动型约占 25%，能力驱动型约占 20%，但三者的增速分别约为 10%、18% 和 30%，这意味着能力驱动型产品是推动行业结构升级的关键力量。

安全即服务（SECaaS）：云化部署的不可逆趋势

云计算彻底改变了网络安全的部署模式。安全即服务（Security as a Service，SECaaS）的核心是：将原本需要购买、安装、运维硬件设备的安全功能，改为通过云端按需订阅使用。防火墙可以是云防火墙（Firewall as a Service，FWaaS），DDoS 防护可以是云 DDoS 清洗服务，WAF 可以是云 WAF，SIEM 可以是云 SIEM（如 Microsoft Sentinel、阿里云 Log Service Security Center）。

SECaaS 对整个行业生态的冲击是深刻的：首先，它降低了中小企业的安全门槛——不再需要投入百万元购买硬件设备，按月订阅数千元即可获得企业级安全防护；其次，它模糊了安全厂商和云厂商的边界——阿里云、腾讯云、华为云的安全服务，既是安全产品，也是云服务的一部分，迫使传统安全厂商在云化产品上加大投入；第三，它加速了商业模式从项目制向订阅制的转型，倒逼安全厂商建立持续价值交付能力，而非依赖一次性大项目。

2025 年，中国网络安全 SECaaS 市场规模约 200 亿元，占整体市场约 15%，预计 2028 年突破 500 亿元，届时 SECaaS 渗透率将超过 25%。增长最快的 SECaaS 品类是云 WAF、云 DDoS 防护、云邮件安全和云 SIEM。

按功能维度：防御—检测—响应三元框架

从运营视角看，网络安全产品还可以按照 PDR（Prevention-Detection-Response）框架分类：

防御侧：防火墙、WAF、邮件零信任、安全上网（SWG）、零信任网络接入（ZTNA）
检测侧：SIEM（安全信息与事件管理）、威胁情报、行为分析（UEBA）、暗网监控
响应侧：SOAR（安全编排自动化与响应）、MDR（托管检测与响应）、事件响应服务（IR）、态势感知（SOC）

当前行业趋势是从点产品向集成平台演进。Palo Alto Networks 提出"平台化"战略（Platformization），将网络安全、云安全、AI SOC 整合到统一平台，2025 财年平台化客户数量超过 4,000 家，驱动年度收入达到 92 亿美元。这一趋势在中国同样明显：奇安信的"关键信息基础设施安全综合解决方案"、深信服的"安全云图"都在向平台化靠拢。

零信任与 SASE：架构范式转移

零信任（Zero Trust）不是单一产品，而是一套安全架构理念：默认不信任，持续验证。NIST SP 800-207 定义的零信任架构要求所有访问请求无论来自内网还是外网，均需经过身份认证、设备健康检查、权限最小化授权。

SASE（Secure Access Service Edge）是零信任在广域网场景的落地形态，将 SD-WAN、ZTNA、CASB（云访问安全代理）、SWG 整合为云交付的统一安全服务。Zscaler（ZS）是全球 SASE 市场的最大受益者，其 FY2025 收入达到 26.7 亿美元，年度经常性收入突破 30 亿美元。在中国，深信服、奇安信、中国电信云脉均在推进 SASE 产品落地，2024 年市场渗透率刚刚突破 51%，2026 年预计迎来爆发式增长。

产业链全景

中国网络安全产业链从上游到下游可以分为五个环节：

上游：安全芯片与基础硬件 包括国密算法加速芯片（龙芯、海光、兆芯等国产 CPU 上的密码引擎）、硬件安全模块（HSM）、智能网卡（SmartNIC）、TPM 安全芯片等。这一层是信创安全的核心战场——国产 CPU 替代英特尔/AMD，意味着安全芯片的生态也要随之重构。卫士通（002268）深耕国密硬件，信安世纪（688201）专注 PKI 国密体系，是这一层的代表性上市公司。

中游：安全产品与平台 这是价值链最厚的一层，覆盖防火墙硬件、零信任、加密设备、安全软件平台、云安全平台、数据安全管理系统等。启明星辰、奇安信、360、深信服、天融信、绿盟科技、安恒信息是中国中游市场的核心参与者。

中游偏下：安全运营与服务 态势感知（SOC）建设与运营、威胁情报订阅、MSS（托管安全服务）、渗透测试、红蓝对抗、应急响应服务。随着甲方安全人才短缺问题愈发突出，MSS 市场增速显著高于产品市场，安恒信息 MSS 服务 2025 年营收增长超过 35%。

下游：行业应用 金融（银行、保险、证券）、政务（电子政务、智慧城市）、能源（电网、油气）、电信、交通、医疗、教育、工业互联网是网络安全的主要下游行业。金融和政务合计贡献约 45% 的市场份额，是合规压力最强、单项目金额最大的两个行业。

支撑层：标准、测评、人才培训 等级保护测评机构（约 300 家持牌机构）、密码检测认证（国家密码管理局认可机构）、职业培训（注册信息安全专业人员 CISP 认证体系）构成产业支撑体系。这一层虽然不直接产生大规模市场收入，但对整个合规驱动市场有强烈的杠杆效应。

安全产品的采购决策机制：CISO 的痛点与逻辑

理解安全产品如何被购买，比理解产品本身更重要——因为在中国市场，购买决策的逻辑与欧美存在显著差异。

中国 CISO 的采购决策环境：一，中国企业的 CISO 普遍面临来自业务部门的安全与效率权衡压力——安全措施影响了业务部门的效率，会受到强烈抵制；二，政府采购的招投标制度要求价格透明、低价中标，压制了安全产品的价值溢价空间；三，安全责任"秋后算账"的机制（出了事故才追责，事前做好安全没有显性奖励）导致安全投入的内生动力不足。

采购流程的典型路径：大型企业和政府机构的安全采购通常经历以下阶段：需求调研（往往由事故或监管检查触发）→ 概念验证（技术 POC，1—3 个月）→ 招投标（通常 3—6 个月）→ 合同签订→ 交付实施（3—12 个月）→ 验收测试→ 维保续约。整个周期从需求到合同平均约 9—15 个月，是安全厂商收入确认滞后的重要原因。

渠道决策影响力：安全产品的购买路径中，"渠道影响力"占据重要地位。集成商（系统集成商/SI）在大型项目中往往拥有决定性的产品推荐权——因为他们负责整体项目交付，且与甲方关系最深。安全厂商通过维护核心渠道（给予独家区域代理权、更高的渠道利润率、更及时的技术支持）来建立竞争壁垒。深信服的渠道体系（3,000 家以上认证合作伙伴）是国内最成熟的安全渠道网络之一，是其在中型企业市场保持领先份额的核心渠道资产。

技术评测与"指定品牌"：政府采购的招标文件中常出现"技术参数与某品牌高度一致"的现象（即"量身定制"的采购规格）。虽然这一做法在《政府采购法》中受到约束，但实际市场中仍然普遍存在。这使得"进入推荐目录"和"建立与关键决策者的信任"比单纯的产品技术优势更重要。但随着合规监管趋严和能力导向评估推进，这一格局正在缓慢改变。

网络安全的可持续发展视角：数字基础设施安全的长期价值

从历史上看，每一次重大技术变革都伴随着相应安全基础设施的建设：互联网普及带来防火墙和杀毒软件市场；Web 2.0 带来 WAF 和应用安全；云计算带来云安全和 IAM；移动互联网带来移动安全和 MDM；现在，AI 大模型和数字孪生时代正在催生下一波安全基础设施建设浪潮。

中国正处于这一浪潮最关键的发展节点。等保 2.0、数据安全法、关键基础设施保护条例的密集出台，以及信创国产替代的强力推进，使中国的安全基础设施建设在 2025—2030 年具备了政策支撑最强、需求最迫切的条件组合。这不仅是短期的市场机会，更是一个"安全基础设施从 0 到 1 再到系统化"的长期结构性建设周期，其持续时间和投入规模，可能远超当前的市场共识预期。

对于长期关注这一行业的研究者和投资者而言，真正的洞察在于：当 AI、量子计算、边缘计算、工业互联网、数字人民币等新技术范式在中国加速落地的时候，每一个新技术的规模化应用，都意味着又一轮安全需求的爆发——这是一个没有终点的需求曲线，只要数字化持续演进，安全市场就永远有新边界等待突破。

第二章　全球竞争格局与海外标杆

全球网络安全市场：2025 财年关键数据

2025 年全球网络安全市场规模约为 2,500 亿美元，同比增长约 14%。美国占据全球约 40% 的市场份额，欧洲约 25%，亚太约 20%。从厂商格局看，头部五家（Palo Alto Networks、Microsoft Security、CrowdStrike、Fortinet、Check Point）合计市占率约 35%，市场高度分散，长尾厂商数量超过 3,000 家。

Palo Alto Networks（PANW）

2025 财年（截至 2025 年 7 月）Palo Alto Networks 实现营收 92 亿美元，同比增长 15%，成为全球网络安全市场规模最大的纯安全厂商。公司的平台化战略正在重构竞争规则——从"卖单产品"转向"卖年度订阅平台"，预期 FY2026 年度经常性收入（ARR）突破 80 亿美元。Cortex XSIAM（AI 驱动 SOC 平台）、Prisma Cloud（云安全）、Prisma SASE 是三大增长引擎。值得关注的是，Palo Alto 的中国业务因中美关系紧张已受到实质性冲击，部分政府客户已切换至国产替代方案。

CrowdStrike（CRWD）

FY2025（截至 2025 年 1 月）实现营收 39.5 亿美元，同比增长 29%，年度经常性收入（ARR）达到 42.4 亿美元。云原生 EDR 平台 Falcon 是核心产品，市场份额约占全球端点安全市场的 20%。2024 年 7 月全球大宕机事件对 CrowdStrike 商誉造成冲击，但客户留存率依然高达 97% 以上，显示平台粘性极强。FY2026 起公司重启增长，AI 驱动的 Charlotte AI 助手显著提升 SOC 分析师效率。

Fortinet（FTNT）

FY2025 全年订单（Billings）达到 68 亿美元，同比增长 16%。与 Palo Alto 的路线不同，Fortinet 走的是硬件+软件+服务的垂直整合路线，FortiGate 防火墙硬件在全球中端市场保持绝对领导地位。SASE 业务是 2025 年最大的惊喜，Q4 SASE 订单同比增长 40%，显示企业客户正在快速向 SASE 迁移。

Zscaler（ZS）

FY2025 营收 26.7 亿美元，同比增长约 23%，ARR 突破 30 亿美元。纯云化的零信任平台定位使 Zscaler 成为企业从"城堡+护城河"架构向零信任迁移的首选。与 Palo Alto 的平台化竞争日益激烈，但 Zscaler 在中大型企业的代理替换市场中仍保持强势。

Microsoft Security

微软安全业务年收入超过 200 亿美元（FY2025 估算），是全球最大的网络安全收入来源，但微软官方不单独披露安全业务数字。Defender for Endpoint、Microsoft Sentinel（云原生 SIEM）、Entra ID（身份管理）构成微软安全三角。对于已部署 Microsoft 365 的企业，微软安全的"打包"优势难以撼动。微软安全业务同样因中国数据主权要求受到限制，政府和央国企客户的微软安全产品正在被国产替代。

Check Point Software（CHKP）

FY2025 营收约 25 亿美元，增速放缓至个位数，但利润率在行业内最高（Non-GAAP 营业利润率约 42%）。Check Point 的护城河在于防火墙领域的长期口碑和企业客户的高粘性，但在云原生和 AI 集成方面落后于 Palo Alto 和 CrowdStrike。

SentinelOne（S）

FY2025 营收约 8.5 亿美元，同比增长约 33%，ARR 突破 10 亿美元里程碑。作为第二代云原生 EDR 厂商，SentinelOne 与 CrowdStrike 直接竞争，独特的"数据湖"架构（Singularity Data Lake）在大企业客户中获得认可。2025 年与 Lenovo 建立全球分销合作，有望加速亚太渗透。

Cloudflare（NET）

2025 年营收约 22 亿美元，同比增长约 27%。Cloudflare 的产品矩阵覆盖 CDN、WAF、DDoS 防护、ZTNA、邮件安全，正在向全面 SASE 平台演进。企业 Zero Trust 套件增长迅猛，2025 年大客户（>10 万美元年合同额）数量突破 3,500 家。

Trend Micro 趋势科技（TYO: 4704）

趋势科技是少数在中国保持相当市场份额的日本网络安全厂商。FY2024（截至 2024 年 12 月）营收约 2,300 亿日元（约 15 亿美元），在中国的品牌认知度高于欧美竞品，在金融、医疗细分市场有稳固客群。

微软安全业务：不可忽视的生态巨人

微软是全球网络安全市场最特殊的参与者——它是软件操作系统的主导者，也是企业 SaaS 软件（Microsoft 365）的最大提供者，同时也是全球最大的网络安全收入来源。微软的竞争优势不是最强的安全技术，而是无处不在的操作系统和 SaaS 平台整合能力。

微软安全产品组合 2025 年概览：Microsoft Defender XDR（终端+身份+邮件+应用的统一 XDR）；Microsoft Sentinel（云原生 SIEM+SOAR，基于 Azure 的安全分析湖）；Microsoft Entra（身份与访问管理平台，包含 Entra ID 即原 Azure AD）；Microsoft Purview（数据安全与合规平台，覆盖 DLP、信息保护、内部风险管理）；Microsoft Defender for Cloud（云工作负载保护，覆盖 Azure/AWS/GCP 多云）。

微软安全的"打包"策略是业界争议最大的商业行为之一：Microsoft 365 E5 许可证（每用户每月约 57 美元）包含了安全平台的所有主要功能，这意味着已经采购 E5 的企业，以接近零边际成本就能获得 Defender 和 Sentinel，而购买 CrowdStrike 或 Splunk 则需要额外支出。这使得纯 SaaS 安全厂商在微软 E5 客户中的销售极为困难。

在中国市场，微软安全的竞争力因以下原因受限：一，中国政府和央国企的数据主权要求使 Microsoft 365 云服务的使用受限；二，等保合规要求使用国产安全产品（等保认证目录中的产品）；三，信创替换要求直接使用国产替代微软安全产品。因此，微软安全在中国的市场份额正在快速萎缩，受影响最大的是政府和央企客户，相对稳定的是外资企业在华业务的安全需求。

全球竞争格局的三个关键趋势

趋势一：平台化整合加速 单点产品正在被集成平台取代，驱动力是企业安全运营成本（人员+产品数量+集成复杂度）的失控。IDC 数据显示，2024 年全球企业平均部署 45 个安全工具，但 70% 的 CISO 表示工具过多反而影响响应速度。Palo Alto 的"平台化"战略直接呼应了这一痛点。

趋势二：AI 重构攻防逻辑 大语言模型（LLM）使攻击者能够生成更逼真的钓鱼邮件、更自动化的漏洞利用代码，防御侧的 AI SOC（自动化分析、自动化响应）需求因此急剧上升。CrowdStrike Charlotte AI、Palo Alto Cortex XSIAM、Microsoft Copilot for Security 都在往这个方向发力。

趋势三：中国市场的国产化加速 美国出口管制和实体清单导致部分关键安全产品面临供应链风险，叠加等保 2.0 和信创政策要求，中国政府和央国企的外资安全产品替换速度在 2024—2025 年显著加快。这对启明星辰、奇安信、深信服等国内厂商是重大机会，但也意味着这些厂商面临更高的技术自研压力。

全球头部厂商的产品战略深度对比

理解全球网络安全头部厂商的产品战略差异，有助于预判中国市场的竞争演化方向：

Palo Alto Networks 的"平台化"策略：PANW 在 2024—2025 年大力推进"Platformization"——说服客户放弃多家单点工具，将所有安全功能整合到 PANW 平台。平台化的核心卖点是：统一数据湖（所有安全数据在一个平台中共享和关联）、减少工具管理成本（从 40+ 工具降至一个平台）、AI 驱动的跨域分析（Cortex XSIAM 横跨网络/终端/云的统一 AI SOC）。2025 财年，PANW 的平台化客户（购买 3 个以上产品板块）数量超过 4,000 家，贡献了约 40% 的年度收入。

CrowdStrike 的"单一 Agent 万能"策略：CRWD 的核心主张是：一个轻量级 Agent 部署在终端上，通过云端 AI 提供终端检测（EDR）+网络访问控制（ZTNA）+身份威胁检测（ITDR）+云工作负载保护（CWPP）+漏洞管理（VM）等一系列能力，无需部署多个 Agent。这一策略的优势是极低的部署摩擦（一个 Agent 解决多问题），劣势是所有鸡蛋放一个篮子（2024 年大宕机事件的风险来源）。

Fortinet 的"有机生长+硬件垂直整合"策略：FTNT 坚持自研 ASIC 芯片驱动的硬件防火墙为核心，以硬件产品为锚点绑定客户，再向客术延伸 SASE、EDR、SOAR。这一策略在中端市场（中型企业 500—5000 人）优势明显，但在云原生场景被 Zscaler 和 Palo Alto 蚕食。

Zscaler 的"消灭防火墙"策略：ZS 的核心主张极具颠覆性——传统防火墙是"城堡+护城河"模式的产物，在零信任时代应当被云端代理（Cloud Proxy）取代。企业流量不再从防火墙进出，而是全部经由 Zscaler 的全球云节点（150+ PoP）进行检测和访问控制。这一策略让 ZS 与防火墙厂商（Fortinet、Check Point、Palo Alto）形成了存量替换竞争。

Microsoft Security 的"平台捆绑"策略：微软在安全领域采用的是"附加值换迁移"逻辑——已经采购 Microsoft 365 E5 的企业，Defender for Endpoint、Microsoft Sentinel、Entra ID 等安全产品是"包含在内的"，边际成本几乎为零。这使微软在 E5 客户中的安全渗透率极高，但也使微软被批评为"用捆绑策略打压专业安全厂商"。

这些策略对中国市场的启示是：没有单一正确的战略，不同策略在不同市场场景下各有优势。中国头部厂商需要根据自身的客户结构（政府/金融/制造/互联网）、产品强项（软件/硬件/服务）和资源禀赋，选择最适合的竞争路径。

全球网络安全投资格局：VC 与并购双轮驱动

全球网络安全风险投资 2024 年规模约 120 亿美元，较 2021—2022 年的高峰（约 200 亿美元）有所回落，但仍远高于 2019 年以前的水平。美国占全球网络安全投资的约 60%，以色列以极高的人均投资密度位居第二，欧洲约占 15%。

并购是全球网络安全产业整合的另一条主线。近年标志性并购事件包括：Cisco 以 280 亿美元收购 Splunk（2024 年完成）——这是网络安全史上最大的并购案，Cisco 以此获得了领先的 SIEM/数据分析平台，补强其安全产品组合；Palo Alto Networks 陆续收购 Cortex、Demisto（SOAR）、Expanse（攻击面管理）等多家细分领域的领先公司；Google Cloud 收购 Mandiant（2022 年，54 亿美元），将顶级 APT 溯源能力并入 Google 的云安全体系。

在中国，大规模并购尚不多见，主要原因是：上市规则对上市公司并购重组的监管较严格；国内安全厂商估值分歧大，卖方预期往往远高于买方愿意支付的价格；大厂更倾向于自研而非并购（研发费用有税收优惠，而并购带来的商誉减值是盈利压力）。但随着资本环境趋紧、中小安全厂商经营压力加大，预计 2026—2028 年中国网络安全并购案例将明显增多，奇安信、深信服、启明星辰是最可能的买家。

国际竞争格局的地缘政治维度

网络安全产业是地缘政治博弈最直接介入的科技行业之一。美国通过"五眼联盟"（美英加澳新）建立了情报共享和技术标准同步机制，事实上将全球网络安全市场分割为"美西方主导区"和"其他区域"。中国网络安全厂商在欧美市场受到的政治阻力，远超其他科技行业同行。

然而，这种分裂正在形成"平行生态"：中国建立了独立的等保标准体系、国密算法体系、威胁情报共享机制（公安部主导），与西方体系在技术框架上日益分叉。2025 年，中国与东盟、非洲、中东的双边网络安全合作协议持续推进，逐渐形成以中国技术标准为核心的区域安全生态，是"一带一路"数字化建设的重要组成部分。

对于全球有业务的跨国企业，这种"技术分裂"带来了双重合规的现实挑战：在中国业务必须满足等保 2.0 + 数据安全法要求（可能要求使用国产安全产品），而在欧洲同样业务必须满足 GDPR + NIS2 指令，两套体系的交集有限，迫使企业维持两套相互独立的安全基础设施，推高了合规成本。这一痛点催生了"跨境合规安全咨询"的新细分市场，奇安信、安华金和等有国际业务经验的厂商正在布局。

第三章　政策环境：等保 2.0、数据安全法与关基条例

政策历史脉络：从《计算机信息系统安全保护条例》到四法并立

中国网络安全政策体系的演进脉络，是理解今天监管格局的重要背景：

1994 年，国务院颁布《计算机信息系统安全保护条例》，这是中国第一部专门针对信息系统安全的行政法规，确立了"等级保护"的基本思想（不同重要程度的系统须受到不同强度的保护）。这部条例虽然简短，但其"分级保护"的核心理念在此后三十年间一直是中国网络安全制度的基础逻辑。

2003 年，国务院颁布《关于加强信息安全保障工作的意见》（27 号文件），首次从国家战略层面系统提出信息安全保障体系建设，并明确"等级保护是信息安全保障工作的基本制度"。这是等保制度从技术标准上升为国家政策的里程碑。

2007 年，公安部等四部委联合颁布《信息安全等级保护管理办法》，等保制度正式进入强制推行阶段，要求所有信息系统在规定时限内完成定级备案。这一阶段的等保（后称等保 1.0）以"IT 系统合规"为核心，对云计算、移动互联网、工业控制系统等新兴场景覆盖不足。

2016 年，《网络安全法》颁布，这是中国第一部专门的网络安全基本法，将等级保护制度、关键信息基础设施保护、网络安全事件报告、数据本地化等要求纳入法律效力层面，构成此后整个监管体系的法律基础。

2019 年，等保 2.0 标准发布，2021—2022 年《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》相继施行，形成了以《网络安全法》为根、以等保 2.0 为技术底座、以 DSL+PIPL+CIIP 为专项法规的"四法并立"格局。2025 年，这一格局进入深度执法期，是合规驱动安全市场的最重要制度基础。

等保 2.0：全面升级的合规基础设施

网络安全等级保护制度 2.0（等保 2.0）是中国网络安全市场最重要的合规驱动力。2019 年 5 月，《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）正式发布，标志着等保制度从 1.0 时代全面升级。

等保 2.0 与 1.0 的核心差异在于：一，保护对象从传统信息系统扩展至云计算、移动互联、物联网、工业控制系统和大数据平台；二，安全要求新增"安全通信网络""安全区域边界""安全计算环境""安全管理中心"四个维度；三，法律效力大幅提升，违规可面临整改、罚款甚至刑事责任。

2025 年，等保合规市场的新动向有两个：一是《网络安全等级测评报告模板（2025 版）》于 2025 年 3 月起强制使用，新模板对测评内容的颗粒度要求更高；二是等保备案系统新增"数据调查表"，要求企业在备案时披露数据分类分级和数据流动情况，直接打通等保合规与数据安全合规。

预计 2026 年，全国等级保护三级及以上系统数量将突破 10 万个，年度测评市场规模约 80—100 亿元，带动测评、整改、安全咨询配套市场合计约 300—400 亿元。

等保 2.0 在实施层面面临的最大挑战，是"测评报告与实际安全水平脱节"的历史问题。部分企业将等保测评视为"考前突击"——在测评前临时部署整改措施，通过测评后即放松维护，导致系统整年处于不合规状态，只在测评窗口期"表演合规"。对此，2025 年公安部在等保测评监管上推进了两项重要举措：一是引入"动态评估机制"，要求测评结论附带"有效期评估"，对关键技术控制措施进行定期抽查；二是推动等保测评与"实战演练"挂钩——参与实战演练（如国家"护网行动"、各省级"攻防演练"）的得分情况，将作为等保测评等级认定的辅助参考。

护网行动（National Cyber Exercise）是中国独特的网络安全实战检验机制。公安部每年组织，参与单位包括政府、金融、能源、电信等关键行业，红队（攻击方）向蓝队（防守方）发起真实攻击，以最终的攻击成果（控制服务器数量、数据窃取量）评估双方能力。护网行动的压力下，参与企业被迫真实检验并提升安全防护水平，而不是纸面合规。对于安全厂商，护网行动是展示产品和服务能力的重要舞台，也是评估自身威胁防御能力的重要参照系。奇安信、启明星辰、绿盟科技每年都积极参与护网行动，并将实战表现作为向客户展示能力的重要背书。

数据安全法与个人信息保护法：数据治理的双重法律框架

《数据安全法》（DSL）于 2021 年 9 月施行，确立了数据分类分级保护制度，将"重要数据"和"核心数据"列为重点保护对象，并明确数据处理活动的安全义务。

《个人信息保护法》（PIPL）同年 11 月施行，是中国版"GDPR"，对个人信息收集的"最小必要"原则、跨境传输规则、用户知情同意机制均做出详细规定。

这两部法律叠加带来的直接市场效应是：数据分类分级工具、数据目录管理、数据流向监控、个人信息保护管理平台成为大型企业的合规刚需。安恒信息在数据安全管理平台市场份额位列第一，中孚信息、绿盟科技、安华金和等专注数据安全的厂商受益明显。

关键信息基础设施安全保护条例：安全最高优先级的制度化

《关键信息基础设施安全保护条例》（CIIP 条例）于 2021 年 9 月施行，将电信、能源、金融、交通、水利、卫生健康、教育、科学技术等八大行业纳入关键信息基础设施保护范围。

条例要求关键基础设施运营者（CII Operators）履行"自主安全"义务，包括：设立专门安全管理机构和安全负责人、制定安全规划、每年开展安全检测评估、发生重大安全事件须在 24 小时内向主管部门报告。

在采购层面，CIIP 条例第二十三条明确要求关键基础设施运营者采购网络产品和服务时，应当优先采购安全可信的产品和服务——这是"信创+安全"双重合规要求的法律依据。

信创国产替代：安全行业的战略机遇

"信创"（信息技术应用创新）工程是中国推动 IT 核心基础设施国产替代的顶层战略。在网络安全领域，信创要求不仅涉及产品本身，还涉及其底层依赖——运行在国产 CPU（飞腾、鲲鹏、龙芯）和国产操作系统（麒麟、统信 UOS）上的安全产品，才算真正的"信创安全"。

根据政策规划，央国企信息系统的信创替换要在 2027 年底前完成。2024 年完成的约 30%，2025—2026 年是替换加速期，预计完成 40%—50%，2027 年扫尾。这意味着 2025—2026 年是信创安全市场的放量高峰期。

电科网安（002417，中国电子科技集团子公司）、中国电信安全（中电信旗下）、国信安全等央企背景的安全厂商，在信创安全市场具有天然优势——既有技术积累，又有央企背书，在政府和央国企客户中具备无法复制的信任优势。

美国出口管制与实体清单：倒逼国产化的外部压力

2024—2025 年，美国商务部持续扩大对华半导体和 AI 芯片出口管制，并将部分中国安全厂商的上游供应商（GPU、AI 加速芯片）列入实体清单。

这对中国网络安全行业的影响主要体现在两个维度：一，依赖英伟达 GPU 的 AI 安全产品面临算力供给不确定性，推动华为昇腾、寒武纪等国产 AI 芯片在安全场景的替代部署加速；二，外资安全厂商（Palo Alto、CrowdStrike、Check Point 等）的中国客户因政策合规和数据主权要求，主动加速切换至国产替代方案，直接为启明星辰、奇安信、深信服等厂商输送订单。

AI 监管：新兴风险的制度应对

2023 年 7 月，中国《生成式人工智能服务管理暂行办法》施行，对大模型服务提供者的安全义务作出规定。2025 年，围绕大模型的安全监管框架进一步细化，要求：大模型上线前须完成安全评估；模型不得生成"颠覆国家政权""扰乱社会秩序"等类别内容；个人信息处理须符合 PIPL 要求。

这一监管框架直接催生了"AI 安全评估"细分市场——大模型厂商需要第三方安全机构为其产品出具合规证明。启明星辰、奇安信、绿盟科技等具备安全评估资质的厂商率先布局，已开始承接大模型安全评估项目。

网络数据安全管理条例：数字治理的新里程碑

2024 年 9 月，《网络数据安全管理条例》正式施行。该条例与《数据安全法》《个人信息保护法》构成"数据安全三部曲"，对以下方面作出更细致的规定：数据分类分级的操作指引（重要数据目录的制定要求）；跨境数据传输的安全评估（向境外提供个人信息和重要数据的合规门槛）；数据安全风险评估（大型互联网平台须定期自评估并向主管部门报告）。

《网络数据安全管理条例》对网络安全产业的直接推动效应体现在：一，跨境数据传输安全评估形成的合规咨询和工具市场（估算规模 2025 年约 30 亿元，增速超 40%）；二，大型互联网平台的数据安全风险评估外包需求（平台自身的利益回避要求使第三方评估更具公信力）；三，重要数据目录制定推动"数据资产测绘"工具商业化——企业需要先"摸清家底"，才能根据分类分级要求配置不同强度的安全防护。

《关键信息基础设施安全检测评估指引》：能力量化的新标准

2025 年，工信部和公安部联合推进《关键信息基础设施安全检测评估指引》的制定。该指引首次提出用量化指标（如"关键漏洞修复率""重要系统备份恢复时间"等）衡量关基运营者的安全能力，而非仅看是否完成了合规手续。

量化评估模式的引入，意味着"走流程"的合规型采购将逐步让位于"真有效"的能力型采购，对安全产品的真实效果要求提升。这对以技术实力见长的厂商（奇安信 APT 防御能力、深信服 XDR 检测率）是利好，对依赖政府关系和低价策略的中小厂商是压力。

数字人民币的安全基础设施需求

数字人民币（e-CNY）的大规模推广，创造了一个相对独立的安全需求子市场。数字人民币的安全技术体系包括：密码算法（SM2/SM4 国密算法在支付报文加密中的应用）、硬件安全元件（Secure Element，用于离线支付和设备身份认证）、反洗钱与反欺诈（AML/Fraud Detection，基于交易行为分析的异常检测），以及隐私保护技术（在满足监管透明度要求的同时保护用户交易隐私）。

数字人民币安全基础设施的主要受益厂商是卫士通、信安世纪（国密证书颁发和管理）、华大电子（安全芯片）以及各大银行的科技子公司。这是一个高门槛、高集中度的细分市场，准入取决于与人民银行的战略合作关系和国密认证资质，而非单纯的产品竞争。

第四章　中国市场规模：1,200 亿元、CAGR 15% 与结构分化

市场总体规模

2025 年中国网络安全市场总体规模约为 1,200—1,500 亿元人民币（不同口径差异较大：IDC 口径约为 188 亿美元即约 1,350 亿元；中国信通院口径约 1,200 亿元；行业协会口径约 1,500 亿元）。剔除口径差异，取中位数约 1,350 亿元，是较为合理的参考值。

2020—2025 年复合增长率（CAGR）约为 15%—18%，显著高于全球平均的 14% 左右。驱动因素三位一体：合规驱动（等保 2.0）、国产替代（信创）、威胁驱动（勒索软件、APT 攻击频率上升）。

子赛道规模与增速

细分市场	2025 年估算规模	CAGR	主要驱动力
网络安全硬件（防火墙/网关/加密设备）	约 300 亿元	10%—12%	信创替换、等保达标
安全软件平台	约 350 亿元	15%—18%	云化、AI 能力升级
安全服务（MSS/SOC/咨询）	约 280 亿元	20%—25%	人才短缺、运营外包
数据安全	约 150 亿元	25%—30%	DSL/PIPL 合规
工控安全	约 80 亿元	22%—28%	关基条例落地
AI 安全	约 60 亿元	40%—50%	大模型普及
密码/国密	约 80 亿元	18%—22%	信创国密 SM2/SM4 替换

从增速看，AI 安全是当前最热赛道，2025 年估算规模约 60 亿元但增速高达 40%—50%；数据安全次之，受 DSL/PIPL 双重合规驱动，增速 25%—30%；传统硬件防火墙增速最低，受产品同质化和价格竞争拖累。

行业景气度分析：从项目型向经常性收入转型的过渡阵痛

理解 2025 年网络安全上市公司普遍出现的营收压力，需要区分"市场需求萎缩"和"商业模式转型"两种不同成因。

从实际市场需求看，网络安全的总需求并未萎缩，等保测评量、数据安全合规项目、信创安全替换项目均在增长。真正造成部分上市公司 2024—2025 年营收下滑的原因，是以下几个结构性因素的叠加：

政府采购周期延迟：2023—2024 年，地方政府财政压力加大，部分省市缩减了数字化基础设施项目的采购预算，网络安全项目因为"可延期"而首当其冲被压缩。这是周期性因素，不反映长期需求。

信创采购的重新定向：信创安全采购将原来集中在外资安全产品上的预算，分流给了更多国产厂商。这对整个行业总量影响不大，但对于原来吃了外资品牌份额的代理商和经销商，是收入减少的直接原因。

商业模式转型：从项目型（一次性大合同，年底集中确认收入）向订阅型（分多年确认）转型，导致单个财年确认的收入额下降，即使合同总量没有减少。深信服 2025 年净利润翻倍、经营现金流增长 65%，但营收只增长 7%，就是这种转型效应的直接体现。

产品迭代带来的观望效应：部分客户对 AI 安全、SASE、XDR 等新产品处于观望状态，等待市场磨合期过后再采购，造成部分订单延期。这是技术换代周期中普遍存在的短期现象。

综合以上分析，2025—2026 年的网络安全市场景气度"分化"大于"下行"：传统项目型硬件安全承压，AI 安全/数据安全/MSS 高速增长；头部整合型厂商（深信服）业绩好于纯项目型厂商（启明星辰 FY2025）。

网络安全行业的周期与反周期特性

网络安全行业通常被视为"防御性行业"——在经济下行时，企业会削减 IT 建设投入，但安全合规支出相对刚性，因为不合规的罚款和安全事故损失可能远高于削减的安全预算。这一"反周期"特性在 2024—2025 年的中国市场受到了挑战：地方政府财政压力确实导致部分安全项目延期，但央国企的信创替换采购基本未受影响。

这一观察提供了一个重要的结构性认识：中国安全市场的"反周期"特性，在政府主导市场（央国企、政府机构）中表现更强，在民营企业和中小企业市场中较弱。因此，以政府客户为主的安全厂商（奇安信、启明星辰）的收入相对稳健但增速慢；以中大型企业为主的厂商（深信服的混合客群）在经济波动期更敏感，但经济上行期的弹性也更大。

2026 年，随着宏观经济有所改善（PMI 数据和政府刺激政策的效果逐步显现）、信创替换采购进入集中放量期，民营企业安全投入的恢复，有望推动整体安全市场在 2026 年 H2 出现明显加速。这是当前市场对 2026 年安全板块持相对乐观态度的宏观逻辑。

各行业安全需求：金融、政府、工业互联网、医疗的差异化需求谱系

金融行业：是网络安全单个客户付费能力最强的行业。四大行（工农中建）和主要股份制银行每年的网络安全预算超过 50 亿元，证券、保险另有约 30 亿元。金融安全的特殊要求：一，监管最密集（中国人民银行、银保监会、证监会均有网络安全专项规定，且常检核实际执行情况）；二，对国密算法的要求最早落地（人行 2019 年已要求金融机构推进国密改造）；三，抗 DDoS 能力要求极高（金融系统是勒索攻击和 DDoS 的高价值攻击目标）；四，对 API 安全和欺诈检测的需求独特（移动支付普及后，API 接口成为金融黑产的主要攻击入口）。绿盟科技、启明星辰在金融安全市场保有高份额，瑞数信息（RPA/API 安全）是金融反欺诈细分的专业厂商。

政府行业：合规采购主导，政府是网络安全市场最大的单一买方。政府安全项目的特点是：采购周期长（半年到一年），标准化程度高（等保合规清单驱动），更换成本极高（系统集成后很难换厂商），对价格敏感度低于对资质和可信度的敏感度。电科网安、北信源、启明星辰在政府安全市场的核心竞争力，不仅是产品能力，更是长期合规资质积累和政府关系。

工业互联网与制造业：是 2025—2030 年增速最快的需求来源之一。制造业数字化转型（工厂上云、MES 系统、工业互联网平台）打通了原本物理隔离的工控网络，产生了海量新的安全需求。汽车制造商（东风、一汽、比亚迪）的车联网安全、半导体工厂（中芯国际、长鑫存储）的工控系统防护、电力设备厂商（国电南瑞、许继电气）的变电站 SCADA 安全，是工业互联网安全市场的典型需求场景。威努特的工业防火墙在电力自动化系统中广泛部署，是这一市场的领先者。

医疗行业：随着国家医疗健康大数据政策推进和电子病历系统升级，医疗行业的数据安全需求迅速上升。医疗数据是高价值的个人敏感信息（包括诊疗记录、基因数据、药品购买记录），勒索软件攻击医院的事件在 2023—2025 年全球频发，中国医疗行业也发生了多起数据泄露事件。安恒信息在医疗数据安全市场布局较早，其医疗数据治理和安全平台在三甲医院有代表性案例。

教育行业：高校和教育系统是等保 2.0 三级及以上系统较多的行业，合规驱动明显。教育行业的挑战在于预算有限（高校非关键业务系统的安全预算极为紧张），但网络攻击频率不低（学生测试安全边界的动机强）。深信服在高校市场的 SD-WAN 和网络安全一体机有较高渗透率。

竞争集中度：CR10 约 45%，市场高度分散

中国网络安全市场集中度偏低。2025 年估算 CR10（前十名厂商合计市占率）约 45%，CR5 约 30%。这一数字远低于欧美市场的 60% 以上，意味着即使是启明星辰（营收 23 亿元）这样的行业头部，市占率也只有约 1.7%。

造成市场分散的结构性原因有三：一，各行业监管部门有不同的安全合规要求和指定厂商名录，金融行业认可的厂商和电力行业认可的厂商可能不同；二，地方保护主义在政府采购中长期存在，地方性安全厂商虽小但在本省市场有稳固地盘；三，信创安全赛道刚刚起步，尚未形成明显的赢者通吃格局。

信创安全占比：从 10% 到 35% 的跃升

2023 年，信创安全市场规模约为 130 亿元，占整体网络安全市场约 10%。2025 年，这一比例已上升至约 20%，绝对规模约 270 亿元。按照当前政策节奏，预计 2027 年信创安全市场规模突破 500 亿元，占整体市场约 35%。

信创安全的高速增长不仅来自政府和央国企市场的强制替换，还来自两个附带效应：一，信创替换带来大量的安全重测评需求（旧系统等保备案作废，新系统需重新定级测评）；二，信创操作系统和数据库的安全配置与运维需要专项安全服务，推动信创安全服务市场同步扩容。

第五章　产业链拆解：芯片—设备—软件—服务—情报—运营

安全芯片：国密国产化的核心战场

安全芯片是整个信创安全产业链的最底层，也是技术壁垒最高的环节。中国商用密码行业标准（GM/T）体系规定 SM2（非对称加密）、SM3（散列算法）、SM4（对称加密）、SM9（标识密码）为法定算法，而实现这些算法的安全芯片须获得国家密码管理局（OSCCA）的产品认证。

卫士通（002268）旗下的密码安全芯片系列获国密认证，并已用于多个央企关键基础设施项目；信安世纪（688201）的 PKI 服务器和 CA 系统是国内 PKI 市场领导者，覆盖全国约 40% 的商业 CA 机构。华大电子的安全芯片在 SIM 卡、金融 IC 卡领域保有大规模市场份额，正在向网络安全场景延伸。

在硬件安全模块（HSM）领域，国际主流方案（Thales Luna HSM、nCipher）正面临国产替代压力；卫士通、三未信安、海泰方圆等国产 HSM 厂商凭借国密支持和本地化服务正在加速吃份额。

安全设备硬件：防火墙是利润最厚的硬件品类

防火墙硬件是中国网络安全硬件市场规模最大的品类，2025 年市场规模约 180 亿元，同比增长约 8%。下一代防火墙（NGFW）因为集成了 IPS、应用识别、SSL 解密等功能，ASP（平均售价）显著高于传统状态防火墙。

山石网科（688030）是国内 NGFW 市场份额最高的纯硬件防火墙厂商，凭借 ASIC 自研芯片在高性能防火墙（100Gbps 以上吞吐量）市场拥有明显优势；天融信（002212）的防火墙产品在政府市场保有稳固份额；深信服（300454）虽然以防火墙软件为主，但已推出硬件一体机产品线。

在信创场景下，防火墙硬件的替换周期显著缩短——原来五年更换一次的防火墙，因为信创合规要求改用国产 CPU 的产品，替换窗口提前到三年以内。这对国产防火墙厂商是重大利好。

加密设备市场规模约 50 亿元，包括 VPN 网关（SSL/IPSec）、安全路由器、加密机、数字签名服务器等。在关键基础设施场景，政府强制要求使用国密算法的加密设备，卫士通、信安世纪、三未信安等公司在这一细分领域的市场壁垒极高。

安全软件平台：云化与 AI 化的双重升级

安全软件是产品附加值最高的环节，也是当前竞争最激烈的战场。主要品类包括：

安全信息与事件管理（SIEM）：收集全网日志，进行关联分析和告警。国内主要厂商有启明星辰（天眼）、奇安信（追影）、绿盟科技（UES）；国际对标是 Splunk（已被 Cisco 以 280 亿美元收购）和 Microsoft Sentinel。

态势感知平台：整合 SIEM + 流量分析 + 威胁情报，提供全局安全视图。奇安信、启明星辰、安恒信息均有代表性产品，政府客户是主要采购方。

终端检测与响应（EDR/XDR）：深信服的 XDR 产品被 IDC 评为中国 XDR 市场领导者，奇安信的终端安全产品在央国企覆盖率高。

漏洞管理与扫描：绿盟科技（300369）的漏洞扫描系统在政府和互联网行业保有高市场份额；知道创宇、安恒信息也是这一赛道的重要参与者。

身份与访问管理（IAM）：信安世纪、奇安信、竹云科技是国内 IAM 的代表厂商，对标 CyberArk 和 Okta 的市场定位。

安全服务：MSS 是最快增长的子市场

安全服务市场是 2025—2026 年增速最快的细分市场，原因在于：企业安全运营人才供给严重不足，CISO 平均任职时间不足两年，团队人员流动率高；另一方面，攻击复杂程度持续上升，企业很难用内部团队应对 APT 级别的威胁。

MSS（托管安全服务）是安全服务中增速最快的模式，核心是"安全即服务"——厂商派驻安全工程师或以远程 SOC 的形式，为客户提供全年不间断的安全监控和响应服务。安恒信息的 MSS 服务 2025 年营收增长超过 35%，已成为公司除产品外的第二增长曲线。

安全咨询、渗透测试、红蓝对抗、应急响应同样是高附加值的服务品类。奇安信旗下的攻防实验室（Qi-ANXIN X-Labs）、启明星辰的星光研究院、绿盟科技的格物实验室是国内顶级的安全研究团队，定期发布 APT 分析报告，是公司品牌影响力的重要来源。

威胁情报：数据即护城河

威胁情报（Threat Intelligence，TI）是安全产业链中技术壁垒最高、依赖数据积累的环节之一。顶级威胁情报的核心资产是：多年持续运营的蜜罐网络（Honeypot）、恶意样本库（Malware Database）、APT 组织的 TTP 画像（战术/技术/程序）。这些资产需要多年积累，无法短期复制。

国际上，CrowdStrike Intelligence、Recorded Future、Mandiant（已并入 Google Cloud）是顶级威胁情报服务商。国内，奇安信威胁情报平台（TI Platform）积累了超过 500 亿条威胁情报数据，声称覆盖 150 个 APT 组织；启明星辰天镜情报分析平台、安恒信息的海玄平台也是国内有代表性的威胁情报产品。

安全运营（SOC）：从建设到运营的商业模式转型

态势感知（SOC）市场正在经历从"建设型"到"运营型"的商业模式转型。2020 年以前，SOC 多为政府和大型企业的"形象工程"——花钱建一个大屏，但日常运营能力不足。2023 年以后，随着攻击频率上升和监管问责压力增大，"有效运营"成为 SOC 建设的核心要求。

AI SOC（AI 驱动的安全运营）是当前最热门的技术方向。Palo Alto 的 Cortex XSIAM、CrowdStrike 的 Charlotte AI 都在主攻这个方向，本质是用 LLM 和自动化推理将原本需要 TRIAGE 分析师处理的告警批量自动化分类。国内启明星辰、奇安信均已发布各自的 AI SOC 产品，但成熟度与国际头部仍有差距。

一个成熟 SOC 的建设成本分析值得深入：一线城市大型企业建设全功能 SOC（覆盖 7×24 小时监控、SIEM 平台、自动化响应、威胁猎杀团队）的年度投入约为 2,000—5,000 万元，包括人员（6—12 名分析师）、平台授权、硬件基础设施。对于预算在 2,000 万元以下的中型企业，外包给 MSS 厂商的综合成本往往低于自建 SOC，这正是 MSS 市场高速增长的根本逻辑。

SOC 的 MTTR（平均恢复时间）和 MTTD（平均检测时间）是衡量安全运营效率的核心指标。根据 IBM Security 2025 年全球数据泄漏报告，全球企业平均数据泄漏检测时间约为 196 天，平均遏制时间约为 69 天——合计约 265 天。AI 驱动的 SOC 能将平均检测时间压缩至 30 天以内，将响应时间从数周压缩至数小时，对企业最终损失的减少幅度可达 30%—40%。这一数据是说服企业从"合规型 SOC"升级到"AI 驱动 SOC"的最有力论据。

密码服务基础设施：被忽视的产业链关键节点

密码服务基础设施（Cryptographic Service Infrastructure，CSI）是整个网络安全体系的底层基础，但在市场分析中往往被忽视。CSI 包括：证书颁发机构（CA）和时间戳服务、密钥管理服务（Key Management Service，KMS）、代码签名服务、文档电子签名、时间戳认证。

在中国，密码服务的特殊性在于：国密算法（SM2/SM3/SM4）是法定算法，使用 RSA 或 AES 的传统密码服务在政府和央企场景中面临合规风险。但历史遗留系统往往深度依赖 RSA/SHA，迁移成本高，造成"国密推进快但实际覆盖慢"的困境。

信安世纪和卫士通是国密密码服务基础设施最主要的供应商。信安世纪在商业 CA 市场的份额约 40%，持有公安部颁发的互联网 CA 许可证，是国内电子政务跨部门交换平台的核心 PKI 服务提供者。卫士通的密码机产品（加密机、签名验签服务器、时间戳服务器）在金融和政府关键应用场景中几乎是垄断性供应商。

量子密钥分发（QKD）是密码服务基础设施的未来方向。中国在 QKD 领域的研究和商业化处于全球领先地位，量子科技集团（国科量子）、国盾量子已在金融、政务等场景开始试商用。量子密钥分发与传统 VPN 的融合（量子 VPN）是未来密码服务演进的重要方向，预计 2028—2032 年进入规模商用阶段。

第六章　重点企业逐家分析：国内头部与海外标杆

启明星辰（002439）

定位：政企综合安全龙头，央企电信系背景
FY2025 核心数据：营收 23.38 亿元，同比下降 29.49%；净利润 -5.72 亿元，亏损扩大；经营现金流 2.87 亿元，同比增长 191%

启明星辰是中国历史最悠久的网络安全上市公司之一，2010 年上市时即是行业标志性事件。公司的核心产品线覆盖入侵检测/防御、安全审计、态势感知、威胁情报、安全服务，在政府和运营商市场保有高度认可。

2025 年业绩大幅下滑，根本原因是行业新旧需求转换期的阵痛：一，政府数字化项目延期叠加预算缩减，直接影响项目制收入；二，产品从"项目型"向"订阅型"过渡的商业模式转型带来短期收入确认下滑。但经营现金流同比增长 191% 的积极信号，表明公司回款能力改善，订阅转型的方向没有问题。

2026 年，启明星辰聚焦三个重点：AI 安全评估（承接大模型厂商的合规评估项目）、移动安全（覆盖国产 5G 终端安全）、信创安全（信创操作系统上的安全能力重建）。管理层预计收入降幅将在 2026 年 H1 触底，H2 有望恢复增长。

奇安信（688561）

定位：政企网络安全综合解决方案，原 360 拆分，专注 B 端
FY2025 核心数据：H1 营收 17.42 亿元，同比下降 2.30%；净利润 -7.70 亿元，亏损收窄 6.16%；Q3 单季营收 10.96 亿元，同比增长 18.22%，Q3 净利首次转正 1.53 亿元

奇安信是中国营收规模最大的纯网络安全上市公司（按年度总营收），其前身是 360 企业安全集团，2020 年独立上市。公司的核心竞争力在于政府和央国企市场的深度关系网络，以及在 APT 防御、态势感知、零信任架构方面的综合解决方案能力。

2025 年 Q3 实现上市以来首次季度盈利，是标志性节点——意味着经过四年的高研发投入期，奇安信的商业模式正在走向规模效应。公司 2025 年的三大战略方向：AI 赋能安全（AI 驱动的情报分析、AI SOC）、大客户深耕（单客户收入提升）、现金流改善（从"规模增长"转向"有效增长"）。

奇安信的国密业务线也在加速扩张，承接央国企的密码改造工程和 PKI 体系升级，是其 2026—2028 年的重要收入来源。

三六零（601360）

定位：To C 互联网安全起家，向政企双线延伸
特点：360 安全大脑（AI 驱动网络安全）、政企安全平台、360 政府云

360 的独特之处在于其 To C 基因——数亿台安装 360 杀毒软件的个人电脑，每天产生海量安全遥测数据，构成威胁情报的天然数据源。周鸿祎提出"用大数据和人工智能对抗高级威胁"的理念，360 安全大脑是这一理念的产品化。

2025 年，360 在大模型安全领域提前布局，赛迪顾问评估 360 安全大模型行业排名第一。公司政企安全业务的主要挑战在于品牌形象（消费者安全产品的 To C 基因使部分大型央企采购团队对其企业安全能力存有疑虑）和收入规模（远低于奇安信）。

深信服（300454）

定位：SD-WAN + 防火墙 + 云安全综合厂商，营收最高
FY2025 核心数据：营收 80.43 亿元，同比增长 6.96%；净利润 3.93 亿元，同比增长 99.52%；云计算业务收入 40.10 亿元，超过安全业务

深信服是中国网络安全（广义）上市公司中营收规模最大的，2025 年全年营收首次突破 80 亿元。但值得注意的是，深信服的业务结构已经发生重大变化——云计算业务（超融合、桌面云、云 SD-WAN）收入 40.10 亿元，首次超过网络安全业务（35.40 亿元，同比微降 2.46%）。

深信服在 XDR 市场的领导者地位（IDC 认定）、SASE 产品的快速推进，以及 SD-WAN 与安全的深度融合能力，是其区别于其他纯安全厂商的核心竞争力。公司 2025 年净利润翻倍，主要来自成本控制（费用率持续下降）和混合云业务毛利率提升。

天融信（002212）

定位：传统防火墙强企，覆盖政府/军工/公安/电力
特点：自研防火墙起家，国内最早的防火墙厂商之一，2000 年发布首款防火墙产品

天融信在政府、军工、公安、电力等高度敏感行业保有极高的客户黏性，这些行业的采购换代周期慢但安全性要求高。2024 年天融信通过降本增效实现亏损收窄，2025 年在信创安全替换项目中获得较多订单，预计业绩改善。天融信与电科集团等央企的长期合作关系，是其在军工和国防市场的核心资产。

绿盟科技（300369）

定位：DDoS 防护 + 漏洞管理 + 安全运营
特点：中国最早商业化的 DDoS 防护厂商，漏洞扫描系统在互联网和政府市场保有高份额

绿盟科技 2024 年营收约 23 亿元，净利润亏损（约 -3.4 亿元），正处于重新聚焦主业的战略调整期。公司的格物实验室持续发布高质量的威胁研究报告，是绿盟品牌价值的重要维系。2025 年，绿盟在数据安全和 SOAR（安全编排自动化）领域加大投入，寻求新的增长点。

安恒信息（688023）

定位：数据安全 + 态势感知 + MSS 托管安全服务
FY2025 核心数据：营收 21.51 亿元，同比增长 5.32%；净利润亏损收窄 70.94%；MSS 服务增长超 35%；数据安全管理平台市占率第一

安恒信息是数据安全细分赛道的领先者，总部杭州，在 2021 年《数据安全法》施行后迎来市场爆发。公司 DAS 战略（Data+AI+Security）将数据安全、AI 能力和安全服务整合为一体化解决方案，吸引金融、医疗、政务等数据密集型行业客户。

2025 年安恒信息的亮点是 MSS 服务高速增长——这验证了甲方安全运营外包的需求趋势，也为公司提供了比项目型收入更稳定的经常性收入来源。随着《数据安全法》执法力度提升，数据安全合规市场的刚性需求将持续为安恒提供增量。

山石网科（688030）

定位：下一代防火墙专业厂商，自研 ASIC 芯片
特点：在高性能防火墙市场（100Gbps+）保有技术壁垒，数据中心和运营商是核心客群

山石网科是国内少数拥有防火墙自研 ASIC 芯片能力的厂商，这一技术能力在高性能数据中心防火墙场景中至关重要——基于通用 CPU 的防火墙在超高流量下性能瓶颈明显，而 ASIC 可以实现线速转发。2025 年数据中心安全市场受 AI 算力基础设施建设拉动，大型算力集群的网络安全需求持续释放，为山石网科提供新的增量市场。

电科网安（002417）

定位：中电科旗下，信创安全核心玩家
特点：中国电子科技集团（央企）的网络安全子公司，在保密级别要求高的政府/军工项目中具有垄断性地位

电科网安的核心优势是央企背景带来的超级信任背书——在涉密信息系统安全领域，央企/国企背景的厂商几乎是政府唯一认可的选项。随着信创安全在政府和军工领域的加速落地，电科网安预计 2026—2028 年将迎来高速增长期。

卫士通（002268）

定位：密码安全专业厂商，国密算法硬件
特点：国内最大的密码安全产品供应商之一，SM2/SM3/SM4 国密芯片和设备的主要提供者，服务电力、金融、政府等关键行业

卫士通在密码安全这个相对小众但壁垒极高的细分市场保持领导地位。随着国密替代 RSA/AES 的进程加速，以及量子计算威胁对传统密码算法的挑战带动后量子密码学（PQC）部署需求，密码安全市场在 2026—2030 年将迎来新一轮成长周期。

信安世纪（688201）

定位：PKI 国密证书体系，数字签名
特点：国内商业 CA 市场领导者，覆盖约 40% 的持牌商业 CA 机构，电子政务和金融行业是核心客群

信安世纪的护城河是 PKI（公钥基础设施）生态的网络效应——CA 证书一旦建立颁发体系，更换成本极高。数字政务、电子合同签名、跨境数字贸易均需要受认可的数字证书，信安世纪在国密证书颁发市场几乎没有对手。

北信源（300352）

定位：终端安全专业厂商
特点：自主研发的终端安全管理产品，在政府、金融、军工领域部署广泛；在国产操作系统（麒麟/统信）上的终端安全适配方面具有先发优势

北信源在信创终端安全领域的提前布局，使其在 2025—2026 年的信创替换潮中受益明显。终端安全管理（UAM）和数据防泄漏（DLP）是公司的核心产品，在政府内网终端管理场景中市占率高。

长亭科技：Web 安全的新锐力量

长亭科技成立于 2014 年，是国内 Web 安全和应用安全领域最具代表性的新兴厂商。其核心产品"雷池 WAF"在互联网头部企业（字节跳动、美团、拼多多等）中广泛部署，凭借高检出率、低误报率和极低延迟，确立了在互联网场景下的领先地位。长亭科技的"牧云"云原生应用安全平台针对 K8s 和微服务架构的安全需求，是国内云原生安全赛道的早期布局者。

从收入结构看，长亭科技的客户群比传统安全厂商更偏向互联网和金融科技行业，与启明星辰、奇安信的政府客户高度互补。2025 年，长亭科技在上市审核阶段，资本市场对其 Web 安全领域的专业化定位给予正面评价。

知道创宇：互联网安全云平台的专业玩家

知道创宇的核心产品是 360 网站卫士之外最有代表性的云安全平台——创宇盾。其聚焦 Web 安全、DDoS 防护和云 WAF，在政府网站、媒体、教育等行业拥有广泛的客户基础。知道创宇的 ZoomEye（网络空间测绘搜索引擎）是国际上有知名度的中国安全工具，能扫描全球互联网暴露面，提供资产发现和漏洞预警服务。

瑞数信息：动态安全对抗自动化攻击的专业方案

瑞数信息专注于应用层的自动化攻击对抗，核心产品是基于"动态安全技术"的 Web 应用防护和 API 安全平台。动态安全的原理是：每次用户访问时，向浏览器下发动态混淆的 JavaScript 代码，使自动化攻击工具（爬虫、撞库脚本、API 滥用程序）无法正常解析页面，从而在无需识别攻击特征的前提下阻断自动化攻击。这一技术路线使瑞数在金融行业的反爬虫、反欺诈场景中获得了相当高的市场份额。

顶象：业务安全的独特细分市场

顶象专注于业务安全（Business Security）细分赛道，覆盖注册欺诈、登录撞库、营销活动作弊、刷单、虚假评论等"灰色产业链"攻击防御。与传统网络安全防护网络层和终端层不同，业务安全关注的是应用逻辑层的异常——攻击者不是在"黑客入侵"，而是用大量真实账号进行违反业务规则的操作。顶象在互联网电商、金融科技、在线教育等平台有广泛部署，是国内业务安全领域知名度最高的专业厂商之一。

国内 18 家网络安全相关上市公司综合对比

为便于横向比较，下表汇总了国内主要网络安全上市公司 2025 年的关键财务指标（数据来源于各公司年报及半年报披露）：

公司	股票代码	2025 营收（亿元）	净利润（亿元）	主营方向
深信服	300454	80.43	3.93	SD-WAN/防火墙/云安全
奇安信	688561	约 43	-约 13	政企综合安全
三六零	601360	约 72	约 3	To C+政企安全
启明星辰	002439	23.38	-5.72	综合安全/态势感知
安恒信息	688023	21.51	约 -2	数据安全/MSS
绿盟科技	300369	约 23	约 -3	DDoS/漏洞管理
山石网科	688030	约 12	约 0.5	NGFW 防火墙
天融信	002212	约 15	约 0.3	防火墙/综合安全
北信源	300352	约 8	约 0.5	终端安全
卫士通	002268	约 18	约 1.5	密码安全
信安世纪	688201	约 8	约 0.8	PKI/CA/国密
中孚信息	300659	约 12	约 0.5	数据安全/密码
任子行	300311	约 10	约 0.8	互联网监管安全
电科网安	002417	约 35	约 2	信创安全（央企）

注：部分数据为年报数据与季报数据推算，奇安信全年数据以 2025 年三季报及历史趋势估算。实际数据以各公司官方公告为准。

第七章　地理分布：北京—上海—深圳—硅谷—以色列的全球安全地图

中国网络安全产业的地理分布，高度集中于北京，形成全国约 60% 的研发力量和头部厂商聚集地；其次是上海、深圳、杭州，各有差异化生态。

北京中关村：中国网络安全的绝对重心

北京是中国网络安全产业的绝对重心。启明星辰、奇安信、360、北信源、知道创宇、顶象、安全狗等头部公司均总部设在北京，中关村科学城和海淀软件园是主要聚集地。中国信息安全测评中心（CNITSEC）、公安部第三研究所（公安三所）、国家密码管理局等核心监管机构也在北京，形成产业—监管—政策的三角共振。

从上游工厂角度看，北京地区活跃着一大批网络安全防火墙设备、零信任的生产制造企业，以及加密设备的研发与集成商，支撑着头部软件厂商的硬件供应链。

上海：金融安全与数据安全的双引擎

上海是金融行业网络安全的最大市场，银行、保险、证券公司的安全预算高度集中于此。上海的网络安全产业特点是"高需求、高单价、高合规要求"——金融机构的安全需求不仅数量大，而且对等保三级以上合规和国密算法的要求严苛，催生了一批专注金融安全的高附加值服务厂商。

上海地区的安全运营服务和数据安全设备供应商数量位居全国前三，安恒信息上海分公司、奇安信上海总部在金融客户覆盖方面保持强势。同时，阿里巴巴旗下的阿里云安全、腾讯云安全在上海均有重要研发团队，是大型互联网平台向企业安全输出能力的重要基地。

深圳：硬件安全与出海的双线扩张

深圳的网络安全产业以硬件基因见长。深信服（总部深圳）的 SD-WAN 硬件、山石网科的 NGFW 硬件均源于深圳的制造能力。深圳毗邻香港的地理优势，使其成为中国网络安全厂商出海东南亚的重要跳板。

深圳地区的工控安全设备和数据中心安全配套硬件的制造厂商高度集聚，为华南乃至全国市场提供硬件基础。腾讯安全在深圳总部运营，其 AI 驱动的安全能力正在向内部业务和外部客户双向输出。

杭州：数字经济安全的新高地

杭州依托阿里巴巴生态，在数据安全和云安全领域形成独特优势。安恒信息（总部杭州）是数据安全赛道的领头羊；阿里云安全在云 WAF、云 SIEM、云 DDoS 防护市场保有显著份额。网易安全、顶象（风控安全）也在杭州形成了一定规模的安全产业集群。

杭州是态势感知平台和安全大数据分析能力的重要研发基地，阿里云和安恒信息联合服务了浙江省大量的数字政务安全需求。

成都、武汉、西安：信创安全的内陆增长极

成都依托科锐国际、电子科技大学等高校和军工产业链，在工控安全和密码安全领域形成了较强的技术储备。武汉依托华为海思的供应链生态，成为网络安全硬件芯片的重要研发基地。西安是航空航天和国防安全的重要聚集地，涉密级别安全产品的研发和测试集中于此。

这三座城市的零信任和安全运营能力建设需求，正随着地方政府数字化转型和工业互联网安全建设的推进而快速释放。

海外格局：硅谷、以色列、印度与出海路径

全球网络安全产业的两个创新高地是美国硅谷和以色列特拉维夫。硅谷是 Palo Alto Networks、CrowdStrike、Zscaler、SentinelOne 的大本营，依托斯坦福生态和风险投资，保持全球最领先的产品创新速度。以色列以 CyberArk（特权管理）、Check Point（发源地）、Illumio（微分段）为代表，在军事情报背景下孵化出大量顶级网络安全公司，人均网络安全企业密度全球最高。

天下工厂平台的数据显示，国内向中东、东南亚、南亚出海的安全厂商中，依托北京和深圳制造基础的安全硬件和网络安全设备供应商增长最为活跃，印证了中国安全产业在"一带一路"市场的规模化渗透趋势。

中国网络安全厂商出海的主要目标市场是东南亚（泰国、马来西亚、印尼、越南）、中东（沙特、阿联酋、卡塔尔）和非洲部分国家。奇安信已在新加坡设立海外研发中心，启明星辰在东南亚有合作伙伴网络，深信服在东南亚的 SD-WAN 和网络安全产品同样保有一定市场份额。但整体而言，中国安全厂商的国际化程度仍低于其在国内的影响力，出海是 2026—2030 年的重要战略方向。

北京中关村产业带深度：安全产业的人才与生态密度

中关村科学城 3 平方公里的核心区域内，聚集了中国网络安全产业 60% 以上的高价值资产：顶尖安全研究团队（奇安信 360 大道总部、启明星辰中关村园区）、主要监管机构（国家互联网信息办公室、国家密码管理局、公安部三所）、顶尖高校（北京大学、清华大学、北京航空航天大学的网络安全院系）、国家级创新平台（国家网络安全产业园——永定河畔）。

中关村的网络安全企业在政府项目中拥有得天独厚的优势：与监管机构的物理距离近（可以快速建立工作关系）、与高校的人才通道顺畅（北航信息安全专业每年输出数百名学生）、与投资机构的联系密切（中关村创投生态成熟）。

从生态密度看，中关村已形成"安全厂商—高校—测评机构—风险投资—政府采购"的完整闭环，这种密度是上海、深圳、杭州无法短期复制的。预计 2030 年前，中关村科学城的网络安全企业总营收将突破 500 亿元，研发人员规模超过 50,000 人。

上海张江高科技园区：金融安全的专业化聚集

上海的网络安全产业聚集不如北京密集，但在金融安全、数据安全、云安全领域形成了独特的专业化集群。张江高科技园区的安全企业以金融行业客户为主要服务对象，与浦东新区的银行、保险、证券机构形成供应链关系。

上海安全产业的一个重要特点是"外资与国资并存"：外资安全厂商（IBM Security、Symantec、趋势科技中国研发中心）在上海长期有研发机构；同时，国资背景的安全厂商（上海国际信息安全、上海市数据交易所配套安全服务商）也在扩张。这种外资与国资并存的生态，使上海成为中国网络安全国际化合作的重要枢纽，也是面向跨国企业提供合规咨询和数据安全服务的核心基地。

深圳大湾区：硬件制造基因推动安全设备出海

深圳的网络安全产业与整个粤港澳大湾区的制造业生态深度融合。深圳本地的零信任、加密设备制造商，依托大湾区完善的电子元器件供应链（华强北及周边），具备从设计到批量生产的快速响应能力。深信服、华为网络安全（华为乾坤安全）的硬件产品在深圳完成核心研发，在大湾区制造生态中量产。

大湾区还是中国工控安全设备的重要制造基地之一。随着工业互联网安全需求快速增长，大湾区的工控安全硬件（工业防火墙硬件、OT 安全传感器、边缘零信任）的制造能力在 2025 年持续扩大产能。

以色列：全球网络安全的第二大高地

以色列特拉维夫—赫兹利亚地区是全球仅次于硅谷的网络安全创新高地。以色列每年向全球输出数十亿美元的网络安全产品和服务，凭借的是以色列国防军（IDF）8200 情报部队的独特人才培养机制——从 8200 部队退伍的安全精英，很大比例会创办或加入网络安全创业公司，形成了军事情报背景与商业创新结合的独特生态。

Check Point 软件（创始人于 1993 年从 IDF 退役后创办）是以色列最具影响力的安全公司之一。CyberArk（PAM 市场领导者）、Imperva（数据安全）、Cato Networks（SASE 先驱之一）都来自以色列。以色列国家网络局（INCD）是全球最活跃的国家网络安全机构之一，频繁与欧美盟友开展威胁情报共享和联合演习。

中以网络安全合作在 2022 年后受到一定政治因素影响，以色列部分安全公司开始减少与中国客户的直接合作，转向更谨慎的间接合作模式。但学术交流（以色列理工学院与国内高校的网络安全研究合作）和人才交流并未完全中断。

印度：崛起的安全外包服务中心

印度是全球最大的 IT 服务外包市场，安全服务（Security Operations Center 外包、渗透测试、合规咨询）是印度 IT 外包的重要组成部分。Tata Consultancy Services（TCS）、Infosys、Wipro 都有大规模的安全服务部门，为全球 500 强企业提供 MSS 服务。

从中国视角看，印度安全服务的崛起有两个含义：一，印度是中国 MSS 厂商在海外市场的潜在竞争对手（价格优势显著）；二，印度市场本身是中国安全厂商的目标市场（印度数字化基础设施快速建设，安全需求旺盛），但中印之间的政治关系使直接进入印度市场充满挑战。

东南亚出海：从单点布局到生态建设

中国网络安全厂商在东南亚的布局已从 2020—2022 年的"派驻一两名销售代表"发展到 2025 年的"建立区域性运营实体"。

奇安信 2023 年在新加坡注册了独立的区域实体 QAX Asia Pacific，承接东南亚政府和企业的网络安全项目；深信服在马来西亚、泰国、印尼设立了本地合作伙伴网络，SD-WAN 和 SASE 产品在当地制造业和零售业客户中保有一定份额；启明星辰通过与东南亚本地系统集成商合作，在越南、泰国政府网络安全项目中积累了参与经验。

东南亚出海面临的核心挑战不是产品，而是本地化信任的建立——客户对产品的"中国制造"背景存有数据安全方面的顾虑，需要通过本地数据中心部署、本地合规认证（如新加坡 CSA 认证、马来西亚 NACSA 合规）来消除。解决这一信任障碍，是中国安全厂商在东南亚持续投入本地化的核心原因。

中东出海：能源安全与数字基础设施安全的双重需求

中东是 2025—2030 年最具吸引力的海外安全市场之一。沙特"愿景 2030"计划在非石油经济数字化领域投入超过 1,000 亿美元，其中网络安全是关键基础设施的前提条件。阿联酋迪拜已成为中东 AI 和网络安全创新中心，阿布扎比的关键基础设施保护需求持续释放。

中国厂商在中东出海的主要切入点是能源领域（中国与沙特、阿联酋能源合作深入，双方共建项目的网络安全往往由中国厂商配套提供）和 5G 基础设施安全（华为的 5G 设备在中东大量部署，配套的网络安全解决方案自然偏向华为生态）。奇安信在沙特和卡塔尔有若干政府级网络安全合作项目，是中国安全厂商在中东最活跃的参与者之一。

第八章　细分专题深度：信创、AI 安全、数据安全、工控、零信任与 MSS

信创网络安全：政策驱动的结构性机会

信创安全是 2025—2027 年最确定的结构性机会，逻辑清晰：政策要求（央国企 2027 年底完成信创替换）叠加信创操作系统和数据库替换引发的安全重建需求。

技术层面，信创安全的核心挑战是在国产 CPU（飞腾、鲲鹏、龙芯、海光）和国产操作系统（麒麟 OS、统信 UOS）上重新实现原本运行在 x86 Linux/Windows 上的安全功能。这意味着防火墙驱动、终端 EDR Agent、数据库加密插件都需要重写——这是系统工程，不是简单的移植。

电科网安、北信源、天融信在信创安全适配方面完成得相对较好，已有多款产品获得飞腾/鲲鹏兼容认证。奇安信、启明星辰也在加速完成主力产品的信创适配，2026 年预计完成主要产品线的信创认证覆盖。

市场规模方面，信创安全 2025 年约 270 亿元，预计 2027 年突破 500 亿元，CAGR 超过 35%。

信创安全落地的技术挑战，比政策描述的更为复杂。以防火墙为例：一款运行在 x86 + Linux 上的传统防火墙，要迁移到飞腾 CPU + 麒麟 OS 环境，不仅需要重新编译内核模块，还需要解决以下问题：一，飞腾 CPU 的指令集（AArch64）与 x86 不同，底层性能调优需要重写；二，麒麟 OS 的内核版本与 CentOS 差异导致部分依赖库无法直接迁移；三，国密 SM2 的密钥长度（256 位）与 ECC P-256 规格相近，但算法实现不同，TLS 握手过程需要重新适配；四，信创环境下的 HSM 接口标准（PKCS#11 的国密扩展版 GMT 0016）与国际标准 PKCS#11 有差异，需要定制驱动。

这些技术障碍意味着，信创安全不是"换个操作系统就能跑"的简单移植，而是深度重构。具备最强信创适配能力的厂商，往往是最早与飞腾、鲲鹏、龙芯 CPU 厂商建立生态合作的那批——这是先发优势的具体体现，后来者很难在六个月内完成同等水平的适配工作。

信创安全市场的另一个有趣现象是"信创认证体系"的快速成型。工信部依托相关机构推进的"信创适配认证"，要求安全产品通过飞腾、鲲鹏、龙芯、兆芯等多个 CPU 平台的兼容性测试，并在认证目录中公示。采购方在招标时往往指定"认证目录内产品"，这使得信创认证成为进入信创安全市场的"门票"——拿到认证才能参与竞标，拿不到就被挡在门外。截至 2025 年，完成主流信创平台适配认证的安全厂商约 30 家，这 30 家厂商将分享信创安全的主要市场份额。

AI 大模型安全：新攻击面与新防御范式

大语言模型（LLM）的大规模部署带来了前所未有的攻击面。2025 年已观察到的典型 LLM 安全威胁包括：

提示词注入（Prompt Injection）：攻击者通过构造特殊输入，绕过模型安全护栏，使模型输出有害内容或泄露系统提示词（System Prompt）。

训练数据投毒（Data Poisoning）：在模型的预训练或微调数据集中注入精心设计的恶意样本，使模型在特定触发条件下产生预期之外的行为（Backdoor Attack）。

模型反演攻击（Model Inversion）：通过大量查询，从模型的输出中推断出训练数据中的个人隐私信息，对金融和医疗场景的 LLM 应用构成直接威胁。

幻觉与对抗样本：LLM 生成"看起来正确但实际错误"的内容（幻觉），叠加精心设计的对抗样本，可以欺骗基于 LLM 的安全检测系统，绕过内容过滤。

防御侧，深信服于 2025 年 10 月发布大模型安全护栏解决方案，提供对大模型应用的实时防护；奇安信的 QAX-GPT 安全助手、启明星辰的 VASE 平台均在集成 LLM 能力，试图用 AI 对抗 AI。

中国的 AI 安全市场规模 2025 年约 60 亿元，预计 2028 年突破 200 亿元，增速约 40%—50%。

AI 安全的细分技术栈深度解析

AI 安全是一个内涵极为丰富的概念，从防护对象和技术手段可以进一步拆分为以下细分技术栈：

AI 模型鲁棒性测试（Model Robustness Testing）：评估 AI 系统在面对对抗样本攻击时的表现，属于 AI 红队（AI Red Team）能力的一部分。国内做 AI 鲁棒性测试的专业厂商稀缺，主要由安全厂商的 AI 安全研究团队承担，商业化程度低但增长迅速。

大模型输入/输出内容过滤（LLM Content Filtering）：对大模型的用户输入和模型输出进行实时过滤，屏蔽涉及政治敏感、色情、暴力、个人信息等类别的内容。在中国，这是大模型合规上线的强制要求，直接推动了内容安全过滤 API 的商业化。三六零旗下的 360 智脑安全过滤引擎、百度安全的内容安全产品都在这一方向布局。

大模型隐私保护（LLM Privacy Protection）：防止大模型在推理过程中泄露训练数据中的个人信息，涉及差分隐私（Differential Privacy）、成员推断攻击防御、训练数据脱敏。这一技术方向处于早期阶段，学术界积累的成果开始向商业化转化。

AI 供应链安全（AI Supply Chain Security）：大模型本身就是复杂的软件供应链产品——模型权重、训练数据、推理框架（PyTorch/TensorFlow）、API 接口都是潜在的攻击面。HuggingFace 等模型分发平台上的恶意模型上传事件（2024 年已有多起）警示了 AI 供应链安全的重要性。

AI 驱动的社会工程学攻击防御（AI-Powered Social Engineering Defense）：生成式 AI 使伪造的语音、视频（Deepfake）和文本内容达到了以假乱真的程度，Deepfake 诈骗事件（用 AI 伪造 CEO 声音指示财务转账）在中国企业中开始出现。针对 Deepfake 的识别工具和培训服务，是 2025—2028 年快速商业化的方向之一。

国内百度安全、腾讯 AI 安全实验室、奇安信星图实验室在 Deepfake 检测算法研究方面处于第一梯队，部分成果已进入商业化阶段。

零信任在中国落地的五类典型场景

零信任架构在 2025 年的中国市场，已经从"技术理念"走向了可识别的落地场景。以下五类场景是零信任落地最密集的方向：

场景一：远程办公安全接入（ZTNA 替代传统 VPN） 新冠疫情加速了企业的远程办公需求，传统 IPSec/SSL VPN 的"建立连接即信任"模式被证明安全性不足（一旦 VPN 账号被盗用，攻击者即可访问内网所有资源）。ZTNA 通过"最小权限""持续验证"的方式，将访问范围限定在用户工作所需的具体应用，而非整个内网。奇安信的零信任产品、深信服 SASE 中的 ZTNA 组件，在大型企业（超过 1 万名员工）的远程办公场景中保有大量案例。

场景二：多云/混合云环境的统一身份管理 企业同时使用阿里云、腾讯云、华为云的混合云架构，面临多套身份系统无法统一管理的问题。零信任的身份层（Identity Provider，IdP）提供跨云的统一单点登录（SSO）和权限管理，减少因多账户密码管理混乱导致的安全风险。

场景三：数字政府跨部门系统访问 政府数字化转型要求各部委系统互联互通，但各部委的网络域之间存在物理隔离。零信任架构通过基于身份而非 IP 的访问控制，允许授权人员跨部委访问特定系统，而无需打通整个网络域的隔离。奇安信"玄武盾"零信任平台在若干省级政务系统中有完整落地案例。

场景四：央国企供应链人员访问管控 大型央国企（航天、核电、军工）在工程实施阶段需要外部供应商人员临时访问内网系统。传统做法是开通 VPN 账户，安全风险极高（供应商人员的设备安全状况无法保证）。零信任架构通过设备安全评估+身份验证+最小权限+访问录屏，将供应链访问风险降至可接受水平。

场景五：数据中心东西向流量安全（微分段） 数据中心内部服务器之间的横向流量（东西向流量）占到数据中心总流量的 80% 以上，但传统防火墙只部署在南北向（进出流量），内网横向移动几乎不受阻拦。微分段（Microsegmentation）技术将每台虚拟机或容器视为独立的安全域，实施精细化的访问控制。国际上 Illumio、VMware NSX 是这一领域的代表；国内启明星辰、深信服均有微分段功能模块，但独立的微分段厂商尚不多见。

数据安全：从合规底线到业务使能

数据安全在 2021 年以前被视为合规负担，2021 年《数据安全法》和《个人信息保护法》施行后，它变成了监管刚需。2023 年以来，随着"数据要素"被纳入生产要素范畴，数据安全进一步升级为"数据要素化流通"的基础设施，角色从"防泄漏"向"促安全流通"转变。

数据安全的核心技术栈包括：数据发现与分类分级（DSPM）、数据库活动监控（DAM）、数据脱敏（Masking/Tokenization）、数字水印（Watermarking）、隐私计算（联邦学习、多方安全计算）、数据防泄漏（DLP）。

安恒信息是国内数据安全管理平台市场的领导者，数据安全产品涵盖数据安全管理、数据库安全、数据脱敏、数字水印全链条；中孚信息在数据库加密和数据防泄漏方面有深厚积累；安华金和专注数据库安全（DAM），在银行、保险等高密度数据行业保有高份额。

工控安全：关键基础设施的最后防线

工业控制系统（ICS/SCADA/OT）安全是中国网络安全市场中专业化程度最高、准入门槛最高的细分领域。原因在于：工控系统的安全设计与 IT 系统完全不同——IT 系统追求"保密性优先"，而 OT 系统追求"可用性优先"，不能接受因安全防护导致的停机。

《关键信息基础设施安全保护条例》落地后，电力（国家电网/南方电网）、油气（中石油/中石化）、城市供水、轨道交通的工控安全被纳入国家强制保护范围，直接带动工控安全市场从 2021 年的约 30 亿元增长到 2025 年的约 80 亿元。

威努特是国内工控安全市场份额最高的专业厂商，其工业防火墙和工控安全管理平台广泛部署于电力调度系统；匡恩网络专注工控漏洞检测和渗透测试；中孚泰（工控）在军工和国防工控系统安全方面有独特资质。

工控安全的未来方向是 OT/IT 融合安全——随着工厂数字化转型，生产网络（OT）与办公网络（IT）的物理隔离正在被打破，需要能同时理解工控协议（Modbus/OPC-UA/DNP3）和 IT 协议的统一安全平台。Dragos（美国，专注工控安全）是国际对标，国内尚无完全同等能力的厂商。

工控安全的实施难点，在于"停产换设备"的代价极高。一条汽车焊装线每小时停产损失可达数百万元，因此工控安全设备必须以"串行透明模式"部署（流量经过安全设备但延迟 < 1ms），而非常规的"防火墙阻断模式"（阻断会导致工控系统停机）。这一特殊要求使工控安全设备的技术门槛远高于 IT 防火墙，也解释了为什么工控安全细分市场的头部厂商（威努特、匡恩）能在大企业中维持高价格和高毛利率——替代产品的认证周期和切换成本都极高。

邮件安全：被低估的入口防线

邮件安全（Email Security）是网络安全中最被低估但实际效果最直接的防线。据统计，约 80%—90% 的网络攻击以钓鱼邮件为初始入口，包括 APT 攻击中广泛使用的鱼叉式钓鱼（Spearphishing）。然而，许多企业的安全预算中，邮件安全的占比远低于其实际重要性。

邮件安全的核心功能包括：防钓鱼（URL 扫描、域名仿冒检测、发件人身份验证）、防恶意附件（沙箱动态分析、文件类型过滤）、反垃圾邮件（基于 IP 信誉和内容分析）、数据防泄漏（检测邮件正文和附件中的敏感信息外发）。

在中国市场，邮件安全与企业邮件系统深度绑定：中小企业普遍使用腾讯企业邮箱或阿里邮件，邮件安全以内置功能为主；大型企业和政府机构普遍使用 Lotus Notes（IBM，正在被替换）或国产邮件系统（TRS、中孚），邮件安全需要独立部署。随着信创替换推进，国产邮件系统的安全集成需求快速增长，奇安信、启明星辰的邮件零信任在政府替换项目中获得较多订单。

安全审计与合规管理：日志是一切的基础

安全审计（Security Audit）和日志管理（Log Management）是等保 2.0 的强制要求，也是所有安全分析的原始数据基础。没有完整、可信的日志，SIEM 的分析、SOC 的响应、事后的取证追踪都无从谈起。

中国政府和大型企业的安全审计要求非常严格：等保三级系统要求保留至少六个月的操作日志，等保四级要求一年；日志必须防篡改（哈希链或区块链存证）；用户行为日志（特别是特权用户的操作记录）须完整保存。这些要求推动了日志存储硬件（安全运营设备）市场的持续扩容，以及 SIEM 产品（奇安信追影、启明星辰天眼）的持续需求。

特权访问管理（PAM）是安全审计的高价值延伸——对管理员账户（数据库管理员、系统管理员、网络管理员）的操作进行录像存档，确保内部人员的操作可追溯。CyberArk（全球 PAM 市场领导者）在中国被限制后，国内的竹云科技、奇安信 IAM 平台是主要替代选项。

攻击面管理：从被动防御到主动暴露面发现

攻击面管理（Attack Surface Management，ASM）是 2023—2025 年快速崛起的新安全品类，核心理念是：防御的前提是知道"有什么可以被攻击"。许多企业的 IT 资产存在大量"影子资产"——未知的子域名、遗忘的对外开放端口、废弃的应用程序——这些资产在企业的安全清单上不存在，但对攻击者来说是绝佳的入口。

ASM 工具通过持续扫描互联网暴露面，发现所有属于目标组织的 IP、域名、证书、开放端口、运行服务，并与已知漏洞数据库对比，生成"暴露风险优先级列表"。知道创宇的 ZoomEye（网络空间测绘搜索引擎）是国内 ASM 能力最强的产品之一；Tenable 的 Tenable.io、Palo Alto 收购的 Expanse 是国际对标。

外部攻击面管理（EASM）与内部漏洞管理（Vulnerability Management，VM）的结合，形成了"攻击面全景视图"——从攻击者视角看到企业所有可能被利用的弱点，是当前安全运营中"主动免疫"思维的重要组成部分。

零信任 SASE：架构迁移的千亿蓝海

零信任不是产品，是架构哲学：不信任任何用户、设备或请求，所有访问请求均需持续验证。这一理念在 2024—2025 年的中国企业市场正在从理论走向落地，驱动力是：一，远程办公常态化；二，移动端和物联网设备的爆发使传统边界防护失效；三，内部威胁（供应链攻击、内鬼）的频率上升。

IDC 调查数据显示，2024 年中国企业采用 SASE 架构的渗透率约 51%，但处于"部署初期"（仅完成部分组件）的比例高达 70%。预计 2025—2026 年，随着 SD-WAN 合同到期更新，企业将大批量迁移至集成安全的 SASE 平台，市场规模有望从 2024 年的约 50 亿元增长到 2028 年的 200 亿元以上。

深信服的 SASE 产品线是国内最完整的本土 SASE 方案，整合了 SD-WAN、ZTNA、SWG、DLP；奇安信的零信任平台在政府客户中已有规模化部署；中国电信旗下的云脉 SASE 于 2025 年实现 88.8% 的高速增长，显示运营商在 SASE 市场的强力介入。

XDR 与 SOAR：从告警轰炸到智能响应

传统的 SIEM 系统每天产生数以万计的安全告警，安全团队陷入告警疲劳——95% 的告警是误报，真正的威胁被淹没在噪音中。XDR（扩展检测与响应）和 SOAR（安全编排自动化与响应）的价值在于：用机器学习将告警自动分级，将误报率从 95% 降低到 20% 以下，同时自动化处置低风险事件，让安全分析师专注于高风险告警。

深信服 XDR 产品被 IDC 定位为中国 XDR 市场领导者；奇安信的 XDR 产品整合了终端、网络、云的多维数据；国际上，Palo Alto 的 Cortex XSIAM 是 XDR 与 SOAR 融合的最先进商业产品。

威胁情报：数据资产的护城河

威胁情报是安全行业中最难以复制的资产。一个有价值的威胁情报平台需要：多年持续运营的传感器网络（Honeypot/Sinkhole/DNS Passive）、超过百亿条的恶意 IOC（指标）数据、对 APT 组织 TTP 的深度建模分析。

奇安信威胁情报平台是国内规模最大的，积累超过 500 亿条威胁情报数据；启明星辰天镜、绿盟科技星云情报是国内第二梯队；国际上，Recorded Future、CrowdStrike Intelligence、Mandiant（Google Cloud）是标杆。威胁情报的商业模式包括订阅制（年费 SaaS）、API 集成（按调用收费）和情报研究报告（高端定制服务）。

MSS 托管安全服务：甲方安全运营外包的蓝海

MSS（Managed Security Services，托管安全服务）是 2025—2028 年增速最高的细分赛道。驱动因素明确：网络安全人才供给严重不足（全国缺口估计超过 150 万人）、攻击复杂度持续上升（零日漏洞、APT 组织），以及中小型企业无法支撑 7×24 小时自建 SOC 的成本。

MSS 的核心交付模式是"安全即服务"：厂商建设集中式云端 SOC，通过网络为客户提供威胁监控、告警分析、事件响应服务，按年度订阅收费。国内安恒信息 MSS 服务 2025 年营收增速超过 35%，是其商业模式转型成功的最有力证明；绿盟科技、深信服均在大力扩展 MSS 产品线。

出海中东与东南亚：规则制定者地位的争夺

中东市场（沙特、阿联酋、卡塔尔）是中国网络安全出海的首选目的地之一。"沙特愿景 2030"和阿联酋"2051 AI 战略"推动了大规模数字化基础设施建设，网络安全是基础设施安全的前提。中国厂商在中东市场的竞争优势在于：价格（比欧美产品便宜 30%—50%）、本地化服务（阿拉伯语支持）、不附带政治条件的商业合作。

东南亚市场（泰国、越南、印尼、马来西亚）是另一个高增长市场，数字化渗透率快速提升，但本地网络安全产业薄弱，外来厂商机会明显。奇安信在新加坡的区域总部兼顾东南亚市场开拓，深信服在东南亚部署了 300 多家合作伙伴。

第九章　技术演进：AI 防御—零信任—量子加密—主动免疫—国密

AI 驱动的防御范式重构

AI 在网络安全的防御侧应用，正在经历从"辅助工具"到"核心引擎"的跃变。2025 年，AI 在网络安全中的主要应用场景包括：

自动化威胁狩猎（Autonomous Threat Hunting）：AI 系统在没有人工触发的情况下，持续扫描网络流量和端点行为，主动寻找潜在威胁。传统威胁狩猎需要经验丰富的分析师手动构建假设并搜索，AI 系统将这一过程自动化，将覆盖面从"10% 的环境"提升到"100% 的环境"。

大语言模型辅助分析（LLM-Assisted Analysis）：安全分析师将可疑的日志、代码、邮件输入 LLM，LLM 能在数秒内给出分析意见和处置建议。Microsoft Copilot for Security、CrowdStrike Charlotte AI 是这一方向的代表产品。

AI 生成式红队（AI Red Teaming）：用生成式 AI 模拟攻击者行为，自动生成攻击路径、钓鱼话术、漏洞利用代码，为防御侧提供持续的压力测试。国内的奇安信、安恒信息已开始将 AI 生成式红队集成到渗透测试服务中。

零信任架构：从理念到大规模落地

零信任架构（ZTA）的核心组件在 2025 年的中国市场已经清晰：身份认证（IAM/PAM）、设备信任（Device Trust/MDM）、网络微分段（Microsegmentation）、持续评估（Continuous Evaluation）、加密通信（mTLS/ZTNA）。

实际落地过程中，企业面临的最大挑战不是技术，而是历史遗留系统（Legacy）的改造成本——老旧系统无法支持现代的 OAuth/SAML 认证协议，需要额外的适配层。这恰恰是集成商和安全服务商的市场机会。

国内奇安信的零信任平台"玄武盾"已在政府客户中部署超过 500 个项目；深信服的 ZTNA 产品整合于 SASE 平台中，随着 SD-WAN 合同更新批量落地。

量子计算与后量子密码学（PQC）

量子计算的快速发展对传统非对称加密算法（RSA-2048、ECC P-256）构成长期威胁。NIST 于 2024 年正式发布三个后量子密码标准（CRYSTALS-Kyber、CRYSTALS-Dilithium、SPHINCS+），标志着 PQC 迁移进入工程实施阶段。

中国方面，国家密码局正在推动 SM 算法体系向量子安全升级，已启动后量子密码算法的标准研究。预计 2026—2030 年，国内金融、政府、关键基础设施将陆续启动 PQC 迁移工程，卫士通、信安世纪等密码安全厂商是最直接的受益方。

主动免疫可信计算：中国特色的安全架构

中国工程院院士沈昌祥提出的"主动免疫可信计算"体系，是区别于西方零信任体系的中国原创安全架构。其核心思想是：在传统的"事后检测"防御之上，加入"事前免疫"机制——通过可信平台模块（TPM/TCM）对系统启动全程进行完整性度量，从源头阻断恶意代码的运行。

这一架构已写入等保 2.0 标准，要求三级以上系统部署可信验证机制。国内兆芯、飞腾等国产 CPU 厂商均已集成兼容可信计算的安全芯片，华为、联想等整机厂商也在信创服务器中标配可信模块。可信计算产品的国产化，是信创安全体系最具中国特色的组成部分。

国密算法：SM2/SM3/SM4 全面替代 RSA/AES

国密算法替代（SM2 替代 RSA、SM3 替代 SHA-256、SM4 替代 AES）是中国信创安全体系的基础性工程。替代工作分三个层次推进：

底层协议层：TLS 1.3 协议的国密版（TLCP，即 GM/T 0024）已在金融和政府网络中大规模部署，要求 HTTPS 通信使用 SM2 证书加密；

应用中间件层：数据库加密、消息中间件加密、文件加密须使用 SM4 对称算法，替换 AES；

基础设施层：CA 证书体系、数字签名服务、VPN 网关全面切换至国密算法，过渡期预计延续至 2028 年。

在这一进程中，信安世纪的 CA 服务、卫士通的加密设备、三未信安的 HSM 是最直接的受益方。

量子计算时间表与安全迁移紧迫性

理解量子计算对密码安全的威胁，需要区分两个不同的时间维度：

"Store Now, Decrypt Later"威胁（当下存在）：攻击者现在就可以截获并存储加密通信数据，等量子计算机可用时再解密。这意味着对"长生命周期敏感数据"（如医疗记录、政府机密、商业秘密）的量子安全威胁，实际上从当前就开始存在，而不是等到量子计算机真正出现才有风险。

量子计算机实用化门槛：学界普遍认为，破解 RSA-2048 需要约 400 万个逻辑量子比特（物理量子比特因纠错需求约为逻辑量子比特的 1,000 倍，即约 40 亿个物理量子比特）。当前最先进的量子计算机（IBM Quantum Eagle、Google Sycamore 后继系统）约有 1,000—2,000 个物理量子比特，距离实用化门槛还有 3—5 个数量级的差距。因此业界主流判断是：量子计算机在 2030—2035 年前不会对 RSA-2048 构成实际威胁。

尽管如此，2024 年 NIST 发布后量子密码标准，以及 NSA 的"商用国家安全算法 2.0"（CNSA 2.0）明确要求从 2025 年起向后量子算法迁移，代表了监管机构"未雨绸缪"的政策导向——与其等威胁真正来临再迁移，不如在有充足时间的情况下从容过渡。中国国密算法体系在设计上已有对抗量子计算的考量（SM9 标识密码算法的安全性分析中涵盖了量子攻击模型），但中国明确的"后量子密码路线图"尚未公开发布，预计 2026—2027 年会有相关政策文件出台。

网络安全技术自研能力的中外差距

中国网络安全厂商与 Palo Alto、CrowdStrike、Fortinet 等国际头部之间的差距，已经从五年前的"全面落后"缩小到 2025 年的"部分追平、部分仍有差距"。

在追平或接近的领域：防火墙硬件性能（山石网科自研 ASIC 芯片在吞吐量性能上可与 Palo Alto 高端产品竞争）；等保合规工具（中国厂商在等保场景的产品完整性和本地化支持上远超外资）；国密算法支持（外资厂商的国密适配能力普遍弱，这是国内厂商的独特优势）；威胁情报数据量（奇安信 500 亿条情报数据在亚太地区攻击者覆盖度上有一定优势）。

在仍有差距的领域：AI SOC 能力（Palo Alto Cortex XSIAM 的自动化分析水平和误报率控制，仍领先国内最佳水平 1—2 年）；端点检测（CrowdStrike Falcon 的云原生架构和机器学习模型，在检测未知威胁的准确率上仍高于国内产品）；云原生安全（国内厂商在 K8s 安全、服务网格安全、CNAPP 的产品成熟度上落后国际领先者 1—3 年）；零信任整合平台（Zscaler 的云端零信任架构在规模化部署上的成熟度，国内最好的产品尚需 2—3 年追赶）。

这种"部分追平，部分仍有差距"的格局，意味着在中国市场内，国内厂商凭借信创合规优势和价格优势能够赢得大多数项目；但在技术真实对比中，顶级国际厂商在某些技术子领域仍保有护城河，这是国内厂商研发投入持续高于营收增速的根本原因——必须用持续的研发投入来持续弥合差距。

安全漏洞挖掘与漏洞赏金：公开竞争力的试金石

漏洞挖掘（Vulnerability Research）能力是网络安全技术实力的直接体现。全球最具影响力的漏洞赏金平台 HackerOne 和 Bugcrowd 上，中国白帽子（合法的安全研究员）提交的漏洞数量在 2020—2025 年持续增长，多名中国研究员进入全球前 100 名排行榜。

国内，奇安信 360 Vulcan 团队、腾讯 Blade 团队、绿盟科技格物实验室、长亭科技安全团队是产出高质量漏洞的代表性研究团队。这些团队发现了多个 CVE 高危漏洞（CVSS 评分 9.0 以上），部分研究成果在国际顶级安全会议（Black Hat、Defcon、S&P）上发表。

公开可见的漏洞研究产出是衡量厂商"技术深度"最客观的指标之一。一个厂商的研究团队每年能发现多少真正有价值的漏洞，比任何营销话术都更能说明其真实能力。从这个角度看，腾讯、奇安信、绿盟科技的研究实力处于国内第一梯队，在亚太范围内具有相当的国际竞争力。

CVE 漏洞数据库与中国的贡献

CVE（通用漏洞与暴露）数据库是全球最重要的漏洞公开披露机制，由 MITRE Corporation 维护，美国 NIST 负责运营 NVD（国家漏洞数据库）。2024—2025 年，全球每年新增 CVE 数量约 3 万个，中国研究人员提交的 CVE 数量在全球占比约 15%—20%，显示了中国安全研究力量的快速崛起。

然而，中美之间在漏洞信息共享机制上存在一定的紧张关系。2024 年，美国 NIST 停止自动标记中国提交的 CVE 数据中的某些元数据，被部分安全研究人员解读为漏洞信息共享机制的政治化信号。中国国家信息安全漏洞库（CNVD，国家互联网应急响应中心维护）和国家信息安全漏洞共享平台（CNVD，中国信息安全测评中心维护）是国内两个主要的漏洞披露和管理机构，但与国际 CVE 体系的数据共享并不完全对等。

漏洞挖掘的商业价值体现在漏洞赏金、安全咨询收费、威胁情报价值三个方面。顶级零日漏洞（Zero-Day，供应商未知的漏洞）在黑市上价值可达数百万美元，这构成了"白帽子市场"和"黑市"之间的道德边界，也是各国网络安全监管部门关注的焦点。中国网络安全法要求境内人员发现漏洞后须优先向国家漏洞库报告，不得私自向境外提交，这是中国在漏洞信息管理上的主权立场。

零信任的中国本土化实践：与西方原版的差异

NIST SP 800-207 定义的零信任架构，在中国落地实践中与原版存在若干差异，值得深入分析：

差异一：身份基础设施的本地化。美西方的零信任架构以 Azure AD（Microsoft Entra ID）或 Okta 作为身份平台，这在中国政企环境中因数据主权要求无法直接使用。国内零信任实践需要以国产目录服务（替代 Active Directory）和国密 PKI 证书体系为基础，构建完全自主可控的身份层，这使实施复杂度显著高于基于现有 SaaS 身份平台的西方实践。

差异二：网络层的"物理隔离"遗产。中国政府和大型国企长期奉行"物理隔离（Air Gap）"策略——核心系统与互联网完全物理断开。零信任架构的一个核心假设是"网络已被突破，不能信任内网"，但在物理隔离场景中，这个假设需要重新校准——零信任应用于"隔离网内部的访问控制"，而非"打通物理隔离"。国内零信任产品在满足等保 2.0 对"安全区域边界"的要求的同时，又不破坏物理隔离的安全前提，是需要特别处理的技术挑战。

差异三：合规驱动 vs 能力驱动。西方企业部署零信任的主要驱动力是"安全事故防御"（威胁驱动型），而中国企业更多是"等保合规+信创替换"带来的技术更新（合规驱动型）。这意味着国内零信任实践的评估标准偏向"是否满足合规检查要求"，而非"是否真正减少了安全事故"。这一差异将随着国内企业安全成熟度提升逐渐收窄，但短期内仍会影响零信任产品的设计优先级和销售逻辑。

区块链与数字取证

区块链技术在网络安全领域的主要应用是不可篡改的日志存证——将安全日志的哈希值写入区块链，确保事后取证时日志的完整性和真实性不可抵赖。在等保 2.0 三级系统的审计要求下，日志防篡改是强制要求。

数字水印（Digital Watermarking）是数据溯源的另一种技术手段，在数据安全领域应用于：数据泄漏溯源（追踪"谁泄露了数据"）、AI 生成内容标记（《生成式人工智能服务管理暂行办法》要求对 AI 生成内容进行标识）。安恒信息、中孚信息均已推出商业化的数字水印产品。

威胁情报的产业化：从安全研究到商业情报服务

威胁情报（Threat Intelligence，TI）的商业化，是网络安全产业链中最独特、最难以复制的环节。顶级威胁情报平台的建设需要：遍布全球的传感器网络（蜜罐 Honeypot、DNS Sinkhole、邮件沙箱）、数十年积累的恶意样本库（Malware Zoo）、专职的 APT 分析团队（每个 APT 组织需要数名分析师长期追踪）以及全球合作伙伴分享的情报交换。

这些资产的建设需要时间，无法通过资本快速砸出，形成了极高的自然壁垒。全球 TI 市场的头部地位，对应的正是最早积累数据和分析人才的那批玩家：Recorded Future（1992 年成立的老牌情报公司，被 Mastercard 收购）、CrowdStrike Intelligence（依托 Falcon 传感器网络）、Mandiant（Google Cloud，依托数十年 IR 经验和事件响应数据）。

国内，奇安信威胁情报体系经过 15 年积累（从 360 时代的数据资产继承），是国内 TI 基础设施最深厚的厂商；启明星辰的天镜情报平台以政府机构 APT 情报为特色；绿盟科技的威胁情报与其漏洞研究团队协同，是漏洞-情报一体化的代表。

威胁情报的商业交付有三种模式：一，情报订阅（年费 SaaS，提供 API 接口或 Web 门户访问威胁指标库）；二，情报集成（将 TI 数据嵌入 SIEM/SOAR 平台，实时丰富安全告警的上下文）；三，定制情报报告（针对特定客户的威胁环境定制 APT 分析报告，价格通常在 50—200 万元/份）。国内市场的 TI 商业化程度低于欧美，主要原因是企业安全成熟度不足（不知道如何使用 TI）和数据共享意愿低（企业不愿意向第三方 TI 平台提供自己的安全事件数据）。

隐私计算：数据安全的技术最前沿

隐私计算（Privacy-Preserving Computation）是数据安全领域的技术最前沿，核心是在数据不出本地的前提下，实现多方数据的联合分析和计算。主要技术路线包括：

联邦学习（Federated Learning，FL）：多个数据方在不共享原始数据的情况下，协同训练一个共同的 AI 模型。每个参与方只共享模型梯度（而非数据本身），在隐私保护的前提下获得训练数据规模的优势。在金融反欺诈（多家银行联合建模发现跨行欺诈行为）、医疗 AI（多家医院联合训练诊断模型）等场景有实际应用案例。

多方安全计算（Secure Multi-Party Computation，MPC）：允许多个参与方共同计算一个函数的输出，但各方只知道自己的输入和最终输出，而不知道其他方的输入。在数据要素交易市场（如国家数据交易所要求的"可用不可见"数据使用原则）中，MPC 是重要的技术支撑。

可信执行环境（Trusted Execution Environment，TEE）：在处理器硬件层面创建一个隔离的安全执行区域（Intel SGX、AMD SEV、ARM TrustZone），敏感计算在 TEE 内执行，主机操作系统和其他程序无法访问 TEE 内的数据和代码。华为、阿里云、海光 CPU 均已支持 TEE，是隐私计算的重要硬件基础。

隐私计算市场 2025 年规模约 30—50 亿元，是数据安全市场中增速最快的子赛道（CAGR 约 40%—50%）。翼方健数、富数科技、平安科技等专注隐私计算的厂商正在快速商业化，安恒信息、奇安信等综合安全厂商也在布局隐私计算产品线。

数字安全与实体经济的深层连接

网络安全表面上是 IT 行业的事，但在数字化与实体经济深度融合的 2025 年，网络安全的影响已经直达实体生产：

工厂的 MES（制造执行系统）一旦被勒索软件攻击，生产线可能停摆；电网的 SCADA 系统被攻击，可能造成大面积断电；供应链系统（ERP/SCM）被入侵，可能导致生产原材料断供；物流系统被攻击，可能导致货物无法追踪和调度。2024—2025 年，这些"网络攻击→实体损失"的案例在中国制造业中出现频率明显增加，直接推动了制造业安全意识和安全预算的快速提升。

从实体经济视角看网络安全的战略价值：网络安全是"数字经济的安全基础设施"，与电力系统（能源基础设施）、交通网络（物流基础设施）具有同等的战略地位。一个没有可靠网络安全保障的数字经济，就像一个停电风险极高的工业园区——所有的数字化投入都会因为安全事故的不确定性而大打折扣。这个类比，是向制造业 CEO 和传统行业管理者阐释网络安全战略重要性的最有效方式。

网络安全的产业链与实体经济的连接，体现在对安全硬件上游的加密设备、零信任、数据安全设备，乃至零信任架构所需的计算硬件的实际制造生产上。这些硬件产品的产能变化，是判断安全产业投入趋势最直接的先行指标。

第十章　风险与挑战：制裁、监管、集中度与同质化

美国制裁与实体清单：双刃剑效应

美国对华科技制裁对中国网络安全行业的影响是双刃剑：

正面效应：制裁加速了政府和央国企客户从外资安全产品切换至国产替代，为国内厂商带来大量替换订单。奇安信、启明星辰等头部厂商在信创安全项目中承接了大量原本由 Check Point、Palo Alto 占据的份额。

负面效应：部分依赖英伟达 GPU 开展 AI 安全研发的厂商，面临算力供给不确定性；依赖 Elasticsearch、Splunk 等开源/商业软件的安全平台，在授权和迭代更新上面临潜在风险；海外市场扩张可能受到"中国国家安全工具"标签的政治阻力，在欧美市场几乎无法突破。

大客户集中度风险

中国头部网络安全厂商普遍面临大客户集中度过高的问题。奇安信前五大客户收入占比约 20%，启明星辰政府类客户收入占比约 55%。大客户集中意味着：政府预算削减时，收入波动剧烈；大客户的决策周期长（通常 6—12 个月），影响收入确认的可预测性；合同续约谈判中客户谈判地位强，压价空间大。

分散客户结构是大厂共同面临的战略课题，中小型企业市场和出海市场是主要的分散化路径。

行业同质化："卷"的困境

中国网络安全市场一个不容忽视的问题是产品同质化严重。防火墙、WAF、SIEM 市场均有十家以上厂商提供近似功能的产品，差异化主要体现在价格、服务响应速度和政府关系上，而非核心技术能力的真正差异。

这一现象导致：价格战在中低端市场持续，中小厂商毛利率持续压缩；竞争焦点从产品技术转向营销和渠道，研发投入的边际回报下降；客户难以辨别真实的技术差距，倾向于按照政府测评结论和品牌知名度做决策，而非基于产品测试结果。

走出同质化的路径有三：一，在某一细分赛道建立绝对技术壁垒（如山石网科的 NGFW 自研 ASIC 芯片）；二，通过平台化整合降低客户的集成成本（如深信服的 SASE 平台）；三，通过 AI 能力升级建立真正的体验差异（如奇安信 AI SOC）。

网络安全行业的渠道体系：直销与生态伙伴的博弈

网络安全产品的销售模式，决定了厂商的营销成本结构和客户覆盖范围。中国安全厂商普遍采用"直销+渠道"的混合模式：

直销（Direct Sales）：适用于政府、大型国企、头部金融机构等高价值、定制化程度高的客户。直销团队由厂商直接雇用，负责从售前方案到交付实施的全程服务，单客户收入高（通常百万元以上），但销售周期长（6—18 个月）、销售费用率高（约 30%—35%）。奇安信、启明星辰的主要收入来源是直销团队覆盖的大客户，这也解释了为什么这两家公司的销售费用率偏高。

渠道分销（Channel/Reseller）：适用于中型企业、地方政府、医疗教育等预算规模中等的客户群。厂商通过授权的分销商或集成商（SI/ISV）将产品推向市场，单客户价值较低但覆盖面广，销售成本较直销低。深信服在全国超过 3,000 家认证合作伙伴的渠道体系，是其覆盖中小企业市场的关键。

云市场（Cloud Marketplace）：阿里云市场、华为云市场、腾讯云市场等云平台的安全产品商店，是安全 SaaS 产品触达中小企业的重要通道。上架云市场意味着进入数百万企业客户的"视野"，但平台会抽取约 30%—40% 的佣金，对厂商的毛利率有较大影响。

渠道体系的健康度是判断安全厂商长期增长可持续性的重要指标。渠道商的积极性，取决于产品的差异化定位（易于销售的"技术故事"）和渠道政策的合理性（利润率、技术支持、认证培训）。启明星辰在近年的渠道管理上存在一定问题（渠道冲突、价格体系混乱），是其 2024—2025 年业绩承压的间接原因之一。

客户生命周期价值（CLV）：从交易关系到战略合作伙伴

安全厂商的竞争核心，是将客户从"一次性采购关系"转变为"多年持续合作伙伴关系"，从而最大化客户生命周期价值（Customer Lifetime Value，CLV）。影响 CLV 的关键因素是客户续约率（Retention Rate）：

客户续约率 90%：厂商每年自然增长 10%，其余靠新客户驱动增长。
客户续约率 95%：自然续约已提供可观的年度经常性收入基础，新客户增量贡献的是净增。
客户续约率 120%（净收入留存 NRR）：现有客户每年比上年多付 20% 的费用，即使不增加新客户，收入也在持续增长。

CrowdStrike 的净收入留存（NRR）长期保持在 120% 以上，意味着平均每个客户每年扩展采购约 20%——这是平台化战略成功的直接体现。国内安全厂商的 NRR 数据普遍未公开披露，但根据财报分析，深信服的续约和扩展率相对较好（经营现金流持续强劲）；启明星辰、奇安信的现金流问题在一定程度上反映了客户续约和扩展不稳定的现实。

提升 NRR 的最有效手段是"产品平台化"——当客户在同一平台上使用越来越多的安全功能时，迁移成本越来越高，越付越多的扩展消费越来越自然。这再一次指向同一个战略结论：平台化整合，是未来十年中国网络安全竞争的最核心命题。

信创节奏不确定性

信创替换节奏是行业内最大的不确定因素之一。政策要求央国企 2027 年底完成，但实际执行中存在大量不确定性：各省市和各央国企集团的信创推进速度差异巨大；部分信创国产软件成熟度不足，导致替换项目延期；信创安全产品的生态兼容问题（国产操作系统上的安全软件适配周期长）拖延了部署。

AI 安全监管的不确定性

围绕 AI 大模型的安全监管框架正在快速演进，但细则尚不明确。大模型安全评估的标准、大模型输出内容的责任认定、AI 生成内容的水印要求，都存在法律层面的模糊地带。这一不确定性对 AI 安全评估服务的厂商既是机遇（先行布局），也是风险（投入后政策可能调整）。

安全厂商的研发强度与商业可持续性

中国网络安全上市公司的研发投入强度（研发费用/营收）普遍高于其他软件行业。奇安信 2025 年研发费用约占营收的 30%—35%，启明星辰约 25%，安恒信息约 20%。这一水平与全球对标厂商相近（CrowdStrike 约 20%，Palo Alto Networks 约 20%—25%），但中国厂商的利润率普遍低于国际对标，意味着研发投入对盈利的拖累更为明显。

高研发投入是否可持续，取决于两个条件：一，收入增速高于研发费用增速（规模效应稀释研发费用率）；二，研发产出能形成真正的产品差异化，而非仅是跟上行业基线。2025 年，奇安信通过削减研发冗余（裁员约 20% 的研发人员、聚焦核心产品线）实现了费率下降，Q3 实现季度盈利，这是"研发效率提升"而非"研发投入减少"的正确路径。

盈利模式方面，网络安全行业的理想商业模型是"SaaS 订阅型高毛利业务"。国际上，Zscaler 的毛利率约 75%、CrowdStrike 约 72%，而中国头部安全厂商的毛利率普遍在 50%—65% 之间。差距来自两个方面：一，中国市场的定价水平约为国际市场的 30%—40%（政府采购的价格压力和竞争对手多）；二，中国厂商的服务人员成本（本地化驻场支持）比云化交付更高。随着订阅制转型和 AI 自动化提升，预计 2028 年头部厂商的毛利率可提升至 65%—70%。

监管政策的碎片化：多部委权力交叉的现实挑战

中国网络安全监管体系的一个独特挑战是多部委权力交叉。公安部（网络安全等级保护、关键基础设施保护）、国家互联网信息办公室（互联网数据安全、内容安全、AI 监管）、工业和信息化部（电信网络安全、工业互联网安全）、国家密码管理局（商用密码管理）、国家标准化管理委员会（安全国标制定），各自拥有独立的监管框架和执法权，标准之间有时存在交叉甚至矛盾。

对企业而言，这意味着同一个信息系统可能需要同时满足多个部委的不同监管要求：等保 2.0（公安部）+数据安全法（网信办）+国密要求（国家密码管理局），且不同监管机构的检查周期、检查重点不同。这种碎片化实际上增加了合规成本，也使得安全咨询厂商（帮助企业梳理多套合规框架的映射关系）获得了额外的市场空间。

预计 2026—2028 年，中国会推进网络安全监管框架的协调统一，减少重复检查和标准冲突，但在短期内多部委并行监管的格局不会根本改变。

海外政治风险

中国网络安全厂商出海面临的最大政治风险是：在欧美市场，"中国安全工具"被视为潜在情报风险，政府客户几乎不可能采购；在东南亚和中东，美国对盟友施压的政治风险也会波及中国厂商的政府客户拓展。奇安信等厂商在出海战略上的"去中国化"（使用中性品牌名称、在当地注册独立实体）是应对这一风险的常见手段，但效果有限。

中美技术"脱钩"对安全产业的长期影响

中美技术脱钩（Technological Decoupling）对网络安全行业的影响，需要从供应链、市场准入、标准话语权三个维度分析：

供应链层面：美国将部分安全硬件芯片（特别是用于 AI 推理的高性能 GPU）的对华出口纳入管制，短期影响了依赖英伟达 A100/H100 的 AI 安全产品研发能力。但这一影响正被国产 AI 芯片（华为昇腾、寒武纪 MLU）的替代部署所对冲，预计 2027 年前后，国产 AI 算力在安全场景的性能可基本满足需求。更敏感的影响是：部分基于开源美国工具链（如 Splunk、Elastic 的商业版本授权）的安全平台，面临潜在的授权风险。

市场准入层面：中美技术脱钩使两个市场的网络安全产品生态日益分离。美国 CMMC（网络安全成熟度模型认证）不认可中国产品；中国信创目录不包含外资产品。这种分离在短期内对中国厂商有益（减少了外资竞争），但长期来看会形成"生态孤岛"，限制国内厂商从国际竞争中汲取技术进步的压力和动力。

标准话语权层面：中国正在加大在 ISO/IEC JTC1/SC27（网络安全国际标准委员会）中的参与力度，推动国密算法进入国际标准体系。SM2/SM3/SM4 已进入 ISO 标准流程（ISO/IEC 18033-3 等），这是中国在网络安全国际规则制定层面争取主动权的系统性努力。如果未来十年中国能将国密算法体系推广至"一带一路"沿线国家，将形成以中国技术标准为核心的区域性网络安全生态。

第十一章　2026—2030 展望：CAGR 15—18%、信创 50%+ 与出海加速

市场规模预测

基于政策驱动、信创节奏、AI 安全需求三大变量，我们对中国网络安全市场 2026—2030 年的规模做出如下预测：

年份	市场规模（亿元）	同比增速	核心驱动
2025	约 1,350	约 15%	等保 2.0 + 信创
2026	约 1,550	约 15%	信创放量 + AI 安全
2027	约 1,800	约 16%	信创收官 + 数据安全
2028	约 2,100	约 17%	SASE/XDR + 出海
2029	约 2,450	约 17%	量子安全迁移
2030	约 2,850	约 16%	工控安全大爆发

2030 年中国网络安全市场总规模约 2,850 亿元，接近全球市场的 15%，CAGR 约 16%。

这一预测的基础假设包括：中国数字经济 CAGR 约 10%，安全投入/数字经济比例从 2025 年的约 0.22% 提升至 2030 年的约 0.30%；信创安全市场贡献年均 15—20 亿元的额外增量（信创替换完成后，信创系统上持续的安全服务需求变为订阅型经常性收入）；AI 安全市场从 2025 年的 60 亿元增长至 2030 年的 300 亿元；出海市场为国内厂商贡献约 200—300 亿元。

需要特别说明的是，市场规模预测在五年以上的维度必然存在较大不确定性。触发上调预测的潜在因素包括：重大网络安全事件引发的全面安全基础设施升级（类似美国 2013 年棱镜门事件后持续十年的安全预算扩张）；生成式 AI 驱动的攻击大规模爆发；量子计算突破实用化门槛提前引发密码体系大规模迁移。触发下调预测的因素包括：宏观经济长期低迷压缩政府和企业安全预算；信创国产产品成熟度不足导致替换节奏大幅拖延；国内厂商的技术突破低于预期，维持现有同质化格局。

结构预测：信创占比突破 50%

2027 年信创安全市场规模预计突破 500 亿元，占整体市场约 28%；2030 年信创安全相关市场（含信创系统上的安全产品、信创安全服务、国密配套）占比预计超过 50%，成为中国网络安全市场的主流形态。

AI 安全：从 60 亿元到 300 亿元的五年跃升

2025 年 AI 安全市场约 60 亿元，预计 2030 年突破 300 亿元，CAGR 约 38%。驱动力包括：大模型在企业中的全面普及（预计 2028 年 80% 以上的企业将使用某种形式的生成式 AI）；AI 驱动的攻击工具普及（AI 生成钓鱼邮件、AI 漏洞利用代码）倒逼防御 AI 化；大模型安全评估成为法定要求。

CR10 突破 60%：头部集中趋势不可逆

随着平台化整合加速，中国网络安全市场集中度将持续提升。预计 2030 年 CR10 从 2025 年的约 45% 提升至约 60%，CR5 从 30% 提升至约 42%。这一过程中，中小厂商将面临两种归宿：被头部厂商并购（战略性收购有望在 2026—2028 年密集发生）；深耕某一高壁垒细分赛道（工控安全、量子密码、AI 安全评估）形成不可替代性。

出海一带一路：从百亿元潜力到千亿级想象空间

"一带一路"沿线国家（中东、东南亚、非洲）的数字化基础设施建设持续推进，网络安全需求随之释放。奇安信、深信服、启明星辰已在东南亚和中东建立了分销网络。保守估计，中国网络安全厂商 2030 年的海外收入规模约 200—300 亿元，乐观情境下可达 500 亿元以上。

出海的核心挑战是建立本地化能力——语言、当地合规要求、本地 SOC 驻场服务，这些都需要在目标市场进行实质性投入，而不是"产品直接出口"。

2026 年关键节点事件：值得持续跟踪的时间表

2026 年网络安全行业有若干关键节点值得提前布局：

Q1 2026：多家网络安全上市公司 FY2025 年报集中发布，信创安全订单是否在 Q4 2025 大幅放量，将成为判断信创节奏是否加速的关键数据。奇安信、启明星辰的 Q4 2025 收入情况特别值得关注——这两家公司的 Q4 通常贡献全年 40%—45% 的收入，如果 Q4 2025 超预期，意味着行业底部已过。

H1 2026：《网络安全等级保护条例》（上位法版本）若能在 2026 年上半年完成立法并颁布，将推动整个等保合规市场的刚性升级，测评机构数量和市场规模有望明显扩容。

2026 年中旬：人工智能法规进一步细化，大模型安全评估的具体标准如果在 2026 年落地，将直接带动 AI 安全评估市场的爆发，具备测评资质的厂商将获得先发优势。

2026 年底：信创替换的中期节点（离 2027 年底截止还有一年），预计各央国企集团将在 2026 年底前完成"信创安全资产清单"的全面梳理，集中采购计划将在 2026 年 Q3—Q4 密集落地，是信创安全市场年度最大的采购波峰。

2026—2027 年：量子密钥分发（QKD）商用化推广，若人民银行和银保监会发布金融机构量子安全改造指引，将拉开价值数十亿元的金融量子安全市场序幕，卫士通、国盾量子等提前布局的厂商将率先受益。

竞争格局预测：2030 年的三类厂商

根据当前趋势推演，2030 年中国网络安全市场将呈现三类厂商共存的格局：

第一类：综合安全平台厂商（2030 年市场份额合计约 35%）以深信服、奇安信、启明星辰为代表，提供覆盖网络、终端、云、数据、身份的一体化安全平台。这类厂商的竞争核心是平台整合能力和大客户关系，类似于全球市场的 Palo Alto 模式。预计 2030 年形成 3—4 家年营收超过 100 亿元的综合平台厂商。

第二类：细分专业厂商（2030 年市场份额合计约 40%）深耕特定技术领域（工控安全、密码安全、数据安全、AI 安全、SASE），建立技术壁垒极高的专业护城河。这类厂商规模通常在 10—50 亿元之间，毛利率高，被并购的可能性大。代表性方向：卫士通（密码）、安恒信息（数据安全）、威努特（工控安全）、长亭科技（Web 安全）、瑞数信息（API 安全）。

第三类：生态赋能型厂商（2030 年市场份额合计约 25%）以阿里云安全、腾讯云安全、华为云安全为代表，通过云平台附带安全服务，以 SECaaS 模式快速渗透中小企业市场。这类厂商的安全能力未必是行业最强，但云平台的粘性和分发效率使其能以极低的边际成本快速规模化。

量子安全迁移：2028—2033 年的下一个增长周期

量子计算机在 2028—2033 年有望突破实用化门槛，届时基于 RSA/ECC 的传统公钥加密将面临现实威胁。金融、政府、关键基础设施的量子安全迁移工程，将在 2028—2033 年成为网络安全市场的新增长引擎，预计带动专项市场规模超过 300 亿元。国密 SM 算法在设计上已有抗量子的考量，卫士通、信安世纪等厂商将率先受益。

托管安全服务（MSS）：外包驱动的结构性增长

托管安全服务（Managed Security Services，MSS）是指企业将部分或全部安全运营工作外包给专业安全服务提供商（MSSP），由后者提供 7×24 小时的安全监控、告警响应、威胁猎杀和定期安全报告。MSS 的兴起是中国安全人才短缺和企业安全运营成本压力共同作用的必然结果。

2025 年，中国 MSS 市场规模约 120 亿元，较 2023 年几乎翻倍，是整个网络安全行业中增速最快的细分赛道（CAGR 约 35%）。预计 2030 年突破 500 亿元，占安全服务市场的 50% 以上。

MSS 的核心交付是 SOC 即服务（SOC-as-a-Service）：MSSP 使用自有的安全运营平台，接入客户的日志源（防火墙、终端、邮件、云）并进行统一分析，发现威胁后以电话、邮件、即时消息通知客户的安全负责人，并提供处置建议或直接介入响应。相较于企业自建 SOC 的年度成本（至少 400—800 万元，含人员、平台、工具），MSS 年费通常在 30—150 万元之间，具有极强的性价比优势。

中国 MSS 市场的主要参与者包括：深信服（MSS 是其服务板块核心）、奇安信（安全运营服务）、绿盟科技（SOC 托管服务）、三大电信运营商（以网络安全增值服务形式覆盖中小企业）。国际 MSSP（IBM Managed Security、Secureworks）在中国市场的份额因数据安全合规要求而持续缩减，为国内厂商让出空间。

互联网安全：消费级市场的生命周期

消费级网络安全（个人杀毒软件、家用路由器安全、儿童上网保护）是中国网络安全行业的早期起点，但在 2015 年后随着手机厂商（华为、小米、OPPO）将安全功能内置，加之 Windows Defender 的免费化，独立消费级安全软件市场快速萎缩。360 安全卫士免费模式的出现（2009 年），是消费级安全从收费到免费转型的标志性事件，也彻底结束了金山、瑞星等传统杀毒厂商的商业模式。

当前，消费级安全的商业价值已不在产品本身，而在其作为流量入口的价值——360 通过免费安全软件积累的 5 亿活跃用户数据，是其广告业务和企业安全业务的重要基础。从纯商业价值看，360 的企业安全（奇安信独立前）和政府安全业务，远比其消费级安全业务更有价值，这也解释了奇安信从 360 独立拆分的战略逻辑：将高价值的企业/政府安全业务与低利润的消费级安全彻底分离，聚焦更高端的市场。

渗透测试与红蓝对抗：需求持续增长的技术服务

渗透测试（Penetration Testing）是网络安全专业服务市场中增速最快的品类之一。企业通过雇用专业渗透测试团队（或使用自动化渗透测试平台）主动发现自身系统的安全漏洞，在攻击者利用漏洞之前完成修复，是"主动安全"理念的具体实践。

中国渗透测试市场 2025 年规模约 30—40 亿元，增速约 25%。护网行动的压力（参与护网的企业会在护网前集中采购渗透测试服务以验证防御有效性），以及等保 2.0 中对"安全检测"的要求，是渗透测试市场的主要驱动力。

自动化渗透测试（Auto Pen Test）是技术演进的重要方向。传统渗透测试完全依赖人工，成本高（通常 10—30 万元/次）、周期长（2—4 周），且测试覆盖面受个人经验限制。自动化工具（如 Synack、Tenable.io、国内的漏洞盒子等）可以在更短时间内完成更广泛的漏洞扫描，AI 加持的自动化利用（Auto Exploit）技术正在将渗透测试效率提升十倍以上。这一趋势将在 2026—2028 年使渗透测试从"高端专业服务"走向"中型企业可负担的常规安全服务"，推动市场规模进一步扩大。

漏洞赏金平台（Bug Bounty Platform）是一种用市场化机制激励白帽黑客主动发现漏洞的模式：企业在平台上公布奖金规则，白帽黑客提交有效漏洞即获得奖励。国际市场有 HackerOne、Bugcrowd；国内有补天平台（奇虎 360 旗下）、CNVD（国家信息安全漏洞库）。2025 年，国内 Bug Bounty 文化尚在早期，但随着企业安全意识提升，漏洞赏金将逐步成为大型互联网和金融企业的标配安全实践。

第十二章　结论：国产化跃迁窗口下的五年叙事

中国网络安全市场正在经历一场可能改变行业格局十年的结构性机会。等保 2.0 的合规刚性、信创替换的政策确定性、AI 大模型攻防对称升级、关键基础设施保护的国家意志——四条主线在 2025—2027 年同步达到峰值，共同构成这个行业有史以来最密集的增长脉冲。

在 2025 年约 1,350 亿元的市场规模基础上，2030 年有望突破 2,850 亿元，15 年翻两番的增长叙事，在中国工业软件类行业中极为罕见。驱动这一增长的，不是单纯的市场自发需求，而是国家意志（信创替换+关基保护）与商业需求（AI 安全防御+数据合规）的双重叠加——这种组合，历来是中国产业政策形成大市场的最有利配置。

对于深度研究网络安全行业的投资者和产业参与者而言，以下三个坐标值得持续跟踪：

坐标一：信创替换节奏与政策落地质量。2027 年底是政策承诺的硬截止线，但实际进度面临技术成熟度、生态兼容性、采购预算等多重约束。能在 2026—2027 年集中放量的厂商，是最优的阶段性受益标的。值得注意的是，信创安全与信创基础软件（操作系统、数据库、中间件）的替换是相互依存的——只有当基础软件替换到位，安全产品才能真正落地。因此，追踪麒麟 OS、统信 UOS 的商业化部署进度，是预判信创安全市场放量时间表的重要先行指标。2025 年，麒麟 OS 和统信 UOS 在央国企的合计装机量已超过 800 万套，预计 2026 年新增部署超过 500 万套，为信创安全产品的同步部署奠定基础。

坐标二：AI 安全从 60 亿元到百亿元级别的跨越。这个赛道目前处于"大厂布局、标准建立"的早期阶段，2026—2028 年是从"先行者"到"标准主导者"的关键窗口。能在 AI 安全评估标准制定、AI SOC 规模化落地、大模型安全护栏商业化三个方向确立领先地位的厂商，将在 2028 年后享受品牌溢价。

坐标三：出海能力建设的系统性投入。中国安全厂商在东南亚和中东的市场窗口，与当前东南亚数字化建设周期高度重叠，但本地化能力建设至少需要三年。现在开始在当地建立分支机构、合作伙伴网络、本地合规认证的厂商，2028—2030 年才有资格参与这一百亿量级的机会。

天下工厂平台覆盖 480 万家真实在产工厂的供应链数据库，持续追踪网络安全上游硬件（防火墙设备、零信任、加密设备、工控安全设备、安全硬件）的产能、分布和订单动向，为产业链上下游各方提供制造业视角的独特数据支撑。在数字安全的国产化跃迁这场没有硝烟的战争中，理解制造底座的变化，是理解竞争格局最锐利的切入点之一。

研究院战略视角：三个关键洞察

在完成本报告的研究后，研究院认为，以下三个洞察对于深入理解中国网络安全行业的未来走向至关重要：

洞察一：安全的"负外部性内部化"进程不可逆

企业长期以来将网络安全事故的代价（数据泄露的社会影响、供应链安全的连锁损失）外部化——由用户、合作伙伴和社会承担，而非企业自身承担全部成本。随着数据安全法的执法力度提升（单次数据泄露罚款上限已可达营收的 5%）、数据安全责任保险的推广，以及股东因安全事故向董事会追责的案例增加，这种"负外部性外部化"的模式正在终结。当企业真正承担安全失职的全部成本时，安全投入的决策逻辑将根本改变——不再是"花尽量少的钱满足合规底线"，而是"花合理的钱建立真实有效的防御能力"。这一逻辑转变，是驱动安全市场从合规驱动向能力驱动演进的最根本力量。

洞察二：技术代际切换创造了比存量替换更大的增量机会

信创替换（存量国产化）固然重要，但真正巨大的机会在于技术代际切换带来的增量需求：云原生架构的普及、AI 大模型的企业落地、工厂数字化转型、智慧城市的规模建设——这些都是全新的安全需求，原有的安全体系没有这些场景的覆盖。换句话说，即使信创替换的节奏比预期慢，网络安全行业仍然有来自技术新场景的持续增量机会。这种"新场景增量 + 存量国产化"的双引擎格局，使中国网络安全市场在 2026—2030 年的增长确定性远高于其他周期性行业。

洞察三：生态整合能力决定未来十年的竞争格局

网络安全不是单一产品的竞争，而是生态系统的竞争。能够将防火墙、EDR、SIEM、威胁情报、SOC 整合为一个一致的安全运营平台（统一数据模型、统一策略管理、统一告警界面），并通过开放 API 允许第三方工具接入的厂商，将在未来十年中建立不可逆的生态优势。Palo Alto 的 Cortex 平台、CrowdStrike 的 Falcon 平台在全球市场的成功，都是生态整合战略的胜利。国内，深信服的安全云图、奇安信的 QI-ANXIN 安全平台是最接近这一战略的尝试，但生态完整性和第三方集成深度仍有差距。能在 2026—2028 年完成生态整合跃升的厂商，将在 2030 年享有与今天 Palo Alto 类似的市场地位。

政策推演：若信创替换完全落地的市场测算

本节对"信创替换 2027 年按计划完成"的乐观情境下，安全市场规模做一次压力测试式推演：

根据工信部数据，央国企信息化系统总体规模约为 1.5—2 万亿元的存量投资。其中，安全类投入占总体信息化投入的比例通常为 6%—8%，对应安全存量约 900—1,600 亿元。如果这些安全系统在 2025—2027 年完成信创替换，按照替换时同步升级（从等保二级升三级、从传统防护升级到 AI 安全）的假设，单次替换项目的安全预算平均提升 30%—50%。这意味着，仅央国企信创安全替换一条主线，就将在 2025—2027 年累计释放 270—480 亿元的增量安全采购，年均贡献 90—160 亿元。

如果再叠加金融行业（按 PBC、银保监合规要求推进国密改造）、电力行业（按关基条例要求建设 OT 安全体系）、医疗行业（按数据安全法要求完善数据安全）、工业互联网（按工信部安全要求推进工控安全），各行业的合规安全升级将在同一时期叠加释放，可能形成 2026—2027 年的安全采购超周期。

当然，这一乐观情境面临的风险是地方政府财政压力可能导致项目延期，以及国产安全产品在部分高端场景的技术成熟度不足可能引发替换延迟。综合乐观和保守情境，本报告维持 2025—2030 年 CAGR 15%—18% 的预测区间，乐观情境可达 20%。

产业研究院的独特方法论：制造业视角看安全产业链

研究院的独特价值，在于将 480 万家真实在产工厂的供应链数据与安全行业研究结合，提供市场上很少见的"制造业视角"的产业洞察。

具体到网络安全领域，这意味着：

当我们研究防火墙市场时，我们不仅看软件功能和品牌知名度，还看防火墙安全硬件的制造供应链——哪些厂商在生产零信任机箱、哪些企业在供应加密设备所需的密码芯片、数据安全设备的 PCB 板制造商分布在哪里。这种供应链视角，让我们能在产品发布之前，从制造订单的变化中判断厂商的产品备货节奏；在厂商财报之前，从上游零部件采购量的变化中判断需求变化趋势。

当我们分析工控安全市场时，我们追踪的是全国工控安全相关设备的制造企业分布——从宁波的工业防火墙硬件制造商到深圳的 OT 安全传感器供应商，从北京的工控安全软件开发商到成都的工控漏洞检测设备生产厂。这张实体工厂地图，比任何品牌调研更真实地反映了产业链的分工和重心。

这种制造业视角与传统的安全市场研究（聚焦软件功能、客户案例、财务数据）形成互补，为产业投资者和战略决策者提供了更立体、更接地气的参考框架。

补充专题：网络安全行业的融资、人才与生态

网络安全事件回顾：2024—2025 年标志性事件对产业的影响

回顾 2024—2025 年的重大网络安全事件，可以更清晰地看到产业格局的真实推动力：

2024 年 7 月 CrowdStrike 全球大宕机事件：CrowdStrike Falcon 传感器的一次错误更新导致全球约 850 万台 Windows 设备出现"蓝屏死机"（BSOD），波及航空（全球多家航空公司停飞）、医院、银行等关键行业，造成直接经济损失估计超过 100 亿美元。这一事件的安全行业启示有三：第一，安全产品自身的可用性风险必须被纳入企业的业务连续性规划；第二，过度集中于单一安全厂商（"把所有鸡蛋放在一个篮子里"）的风险被充分暴露，推动企业安全架构走向"多厂商防御纵深"；第三，事件发生后 CrowdStrike 客户留存率仍达 97% 以上，证明平台粘性的强大——迁移成本远超一次事故的影响。这一事件对中国市场的影响是：引发了国内 CIO 对"深度嵌入操作系统内核的外资安全产品"的合规审视，加速了部分央国企客户的信创安全替换决策。

2025 年中国某大型互联网平台数据泄露事件：国内某头部互联网平台发生大规模用户数据泄露，波及数亿条个人信息记录。这一事件直接推动了国家互联网信息办公室对大型平台数据安全合规的专项执法检查，数据安全管理平台、用户行为分析（UEBA）产品的采购询价量在事件后三个月内激增 50%。安恒信息、中孚信息是这一波采购需求的主要受益方。

2024—2025 年针对关键基础设施的 APT 攻击：根据奇安信、启明星辰发布的年度威胁报告，2024—2025 年针对中国能源、电力、电信行业的境外 APT 攻击事件较上年增加约 35%。典型的攻击链是：社会工程学鱼叉钓鱼邮件突破边界→利用供应链软件漏洞内网横向移动→在高价值资产附近长期潜伏（平均 180 天以上）→在关键时间点触发破坏或窃密。这类攻击直接推动了关键基础设施运营者的 SOC 能力升级投资和 APT 防御专项采购。

2025 年勒索软件攻击制造业企业潮：国内制造业（汽车零部件、纺织、化工）在 2025 年遭受了较集中的勒索软件攻击，部分企业因生产数据被加密，工厂停产时间从数天到数周不等。这些事件的共同特征是：OT 网络与 IT 网络的边界被突破（大量制造业企业仍采用"空气隔离"但实际上已有 IT/OT 连接点）。工控安全（工控安全设备）的需求在制造业中快速升温，威努特在制造业的工控安全项目数量 2025 年同比大幅增加。

网络安全行业的成本结构与利润机制

深入理解网络安全厂商的成本结构，是判断其长期竞争力的重要维度。以中国头部安全厂商的典型成本结构（以收入为基准）为例：

毛利率层面（营收 100%）：软件和云服务类产品毛利率约 70%—80%，硬件安全设备毛利率约 35%—50%，安全服务（MSS/SOC 运营）毛利率约 45%—55%。综合毛利率约 55%—65%，与全球对标（Palo Alto 约 72%，CrowdStrike 约 72%）相比有约 10—15 个百分点的差距，主要来自定价水平和产品结构差异。

费用率层面：研发费用率约 20%—35%（奇安信约 35%，深信服约 18%，安恒信息约 20%）；销售费用率约 20%—30%（网络安全销售周期长、定制化程度高，销售成本偏高）；管理费用率约 5%—10%。三项费用合计约 45%—75%。

经营利润层面：传统项目型厂商（启明星辰、天融信）的经营利润率约 5%—15%，且呈现极强的季节性（Q4 占全年经营利润的 60%—80%）；转型中的厂商（奇安信）处于亏损收窄阶段；深信服是目前盈利状况最好的综合厂商，2025 年经营利润率约 5%。

这一成本结构表明，提升中国安全厂商盈利能力的路径有三：一，提高订阅收入占比（从一次性收入到年度经常性收入，减少收入波动性）；二，降低销售费率（通过品牌知名度和生态伙伴提升销售效率，减少直销成本）；三，通过规模效应摊薄研发费用率（收入翻倍而研发费用不翻倍）。深信服 2025 年净利润翻倍的实现路径，正是这三条同步发力的结果。

网络安全行业的定价逻辑：与传统软件"一次性买断"的定价不同，网络安全产品的定价逻辑日益向"价值定价"演进。全球头部厂商（Palo Alto、CrowdStrike）的定价基准不是竞争对手，而是客户因为使用产品而降低的安全事故损失——如果一个产品能帮助客户避免一次平均损失 500 万元的数据泄露事件，那么年费 100 万元是完全合理的（ROI = 5:1）。这种价值定价思维在国内市场尚不成熟，但随着数据安全法的执法（使安全失职的成本量化可见）和网络安全保险的普及（对安全投入回报的量化框架建立），价值定价将逐步取代合规底线定价成为行业主流。

融资市场：从资本盛宴到理性回归

2021—2022 年，中国网络安全一级市场迎来空前的资本盛宴。数据安全、零信任、工控安全、云安全等赛道相继出现亿元级融资事件，部分创业公司的估值倍率高达二三十倍年度经常性收入（ARR）。奇安信、深信服、安恒信息等上市公司股价在 2021 年高峰期较 2020 年涨幅超过 100%。

2023 年以来，情况发生了根本性转变。二级市场的估值压缩传导至一级市场，网络安全投资机构普遍收缩投资节奏，融资案例数量和金额双双下降。2025 年前三季度，中国网络安全产业一级市场融资创近年新低。资本的逻辑发生了变化：不再押注"讲故事"的创业公司，而是聚焦于有真实收入、有盈利路径、有政策强驱动的细分赛道。

在这种背景下，数据安全基础设施、商用密码迁移服务、AI 安全检测工具、暴露面治理平台（External Attack Surface Management，EASM）成为资本最青睐的方向——这些赛道有法规强制需求，有清晰的客户群体，商业化路径明确。

并购整合是另一个资本活跃的方向。大厂（启明星辰、奇安信）通过收购细分赛道的优质标的，快速补充产品线短板，而非从零自研。预计 2026—2028 年，中国网络安全市场将出现一轮以头部厂商为主导的并购潮，并购标的主要集中在 AI 安全、工控安全、威胁情报三个方向。

人才市场：150 万缺口背后的结构性矛盾

中国网络安全人才缺口估计超过 150 万人，这是行业最大的长期制约因素之一。这一缺口不是简单的"人不够多"，而是结构性的：

高端稀缺：能独立完成 APT 溯源分析、恶意代码逆向工程、大型企业架构设计的高端人才极度稀缺，年薪 100 万元以上的岗位常年无法填满。顶尖安全研究员（如能发现零日漏洞的逆向工程师）的全球招募竞争，中国公司往往败给海外大厂的薪酬水平。

结构失衡：国内高校培养的安全人才，往往在理论知识上有较好基础，但工程实战能力偏弱。企业抱怨"招来的人需要一年以上才能独立工作"，而一年后可能就被竞争对手挖走。

CISO 短缺：中国企业的首席信息安全官（CISO）严重短缺，大多数中小型企业没有专职 CISO，安全责任往往由 CTO 或 IT 部门兼任，导致安全资源长期被低估。这也是 MSS 托管安全服务高速增长的根本动因——甲方宁愿花钱购买服务，也不愿意承担招募和留住顶级安全团队的高成本。

解决人才问题的路径有两条：一是教育供给侧改革（工业和信息化部等部委支持的网络安全产业学院和特色班），但这是慢变量，效果需要五年以上才能体现；二是通过 AI 工具降低对人的依赖——AI SOC 自动化处理 80% 的告警，人工只需聚焦最高风险事件，本质是在供给不足的情况下提升人均效能。

2025 年，中国多所高校启动了面向网络安全新兴方向的专项招生：清华大学网络空间安全学院的 AI 安全方向研究生名额扩招 50%；北京航空航天大学网络安全学院与奇安信、360 联合培养工程博士；浙江大学网络空间安全学院与安恒信息建立了产学研联合培养基地，学生在研究生阶段即可参与安恒信息的真实安全项目。

网络安全职业认证体系是行业人才质量的另一个维度。国内认可度最高的职业认证是 CISP（注册信息安全专业人员），由中国信息安全测评中心管理，2025 年持证人数已超过 15 万人。国际认证中，CISSP（注册信息系统安全专业人员）在外资企业和大型金融机构的采购决策中仍有一定权重，国内有 CISSP 认证的安全专业人员约 5 万人。

安全意识培训（Security Awareness Training）是一个经常被低估的细分市场。人是所有安全漏洞中最薄弱的环节——研究表明约 80%—90% 的安全事件以社会工程学攻击（钓鱼邮件、电话诈骗）为入口。面向员工的安全意识培训平台（网络钓鱼模拟演练、安全知识测评、视频课程）在中国已形成了数亿元规模的细分市场，KnowBe4（美国领导者）的国产替代品（如旗捷安全意识平台、以知为安等）正在加速商业化。

开源生态：把双刃剑

网络安全的开源生态是技术进步的重要推动力。OWASP（开放式 Web 应用程序安全项目）的测试指南、MITRE ATT&CK 框架（攻击者战术和技术的知识库）、SIGMA 规则（可移植的安全检测规则）、Metasploit 渗透测试框架，都是开源社区贡献的行业基础设施，被全球安全从业者广泛使用。

MITRE ATT&CK 框架在中国网络安全市场的采用率迅速提升。启明星辰、奇安信、绿盟科技的威胁情报报告普遍使用 ATT&CK TTP 编号来描述攻击者行为，这既是与国际标准接轨的需要，也体现了国内安全厂商研究能力的提升。

然而，开源也是双刃剑。攻击者同样使用开源工具——Cobalt Strike（渗透测试工具，被广泛滥用于 APT 攻击）、Mimikatz（密码抓取工具）、BloodHound（Active Directory 分析工具）都是开源或商业工具被攻击者武器化的典型案例。这使得防御侧的"签名识别"方法逐渐失效，行为分析（异常行为而非已知签名）成为现代 EDR/XDR 的技术核心。

数据安全的细分技术生态：从合规到价值创造

数据安全是当前中国网络安全市场增速最快的细分领域之一。2025 年数据安全市场约 150 亿元，2030 年预计突破 500 亿元，CAGR 约 27%。驱动这一增长的，是《数据安全法》和《个人信息保护法》执法深化，以及"数据要素化"政策推动的数据安全技术需求。

数据安全的技术生态可以细分为以下七个层次：

数据发现与分类分级：自动扫描企业所有数据库、文件服务器、云存储，识别个人信息、重要数据、核心数据，并按照分类分级标准（《重要数据目录》的行业要求）标注。这是数据安全的"家底摸查"阶段，是后续所有保护措施的前提。代表产品：安恒信息数据资产梳理平台、绿盟科技数据安全中心。

数据库安全（DAM）：监控数据库的所有访问操作（SELECT/INSERT/DELETE/UPDATE），识别异常行为（如非工作时间批量查询、超权限访问），实时告警并阻断高风险操作。金融行业的数据库（Oracle、MySQL、SQLite）是 DAM 的核心部署场景，安华金和、绿盟科技的数据库安全产品在银行、证券市场保有高份额。

数据脱敏（Data Masking）：在将真实数据用于测试、分析、对外提供时，将其中的个人敏感字段（姓名、身份证号、手机号、银行卡号）替换为格式一致但不含真实信息的假数据（如"张**""138****1234"）。数据脱敏是企业遵守 PIPL"最小必要"原则的关键技术。安恒信息、中孚信息的数据脱敏产品在金融和医疗行业有代表性部署。

数字权限管理（Digital Rights Management，DRM）：对文件级别设置访问权限（仅特定账户可打开、禁止打印、禁止截图），当文件离开企业内网时仍受权限保护。在防止内部人员带走机密文档方面效果显著。

数据防泄漏（DLP）：实时监控数据的传输行为（邮件、USB 拷贝、网络上传、打印），当发现敏感数据试图越界时触发告警或阻断。DLP 的核心挑战是减少误报——过于严格的规则会阻断正常业务操作，而过于宽松的规则又无法有效防护。中孚信息、启明星辰在 DLP 市场均有代表性产品。

隐私计算：前文已详述，是数据安全最前沿的技术方向，支持"数据可用不可见"的数据要素流通模式。

数据安全治理（Data Governance）：超越技术产品层面，涵盖数据安全策略制定、安全文化建设、员工培训、数据安全事件响应的综合管理框架。这是咨询和服务型安全厂商的重要业务方向，奇安信、安恒信息在大型政企的数据安全治理咨询项目上有较多案例。

等保测评市场：监管的市场化延伸

全国约 300 家持牌等保测评机构，是一个独特的准监管市场参与者。等保测评本质上是监管的市场化外包——公安部授权测评机构代为执行等级保护合规检测，测评费用由被测评单位支付，价格由市场竞争决定。

等保测评市场 2025 年规模约 80—100 亿元，集中度低，区域分布分散。头部测评机构（如中国网络安全审查技术与认证中心 CCRC、各省公安厅授权的测评机构）保有较高市场份额，但区域性小型测评机构凭借本地关系和低价策略占据大量中小客户。

2026 年，等保测评市场的关键变量是《网络安全等级保护条例》上位法的推进——若该条例在 2026 年以专项立法形式颁布，测评市场的合规刚性和处罚力度将进一步提升，推动市场规模扩容。

数字孪生与元宇宙：安全边界的再次扩展

工业数字孪生（Industrial Digital Twin）和虚拟协作空间的兴起，正在将安全边界扩展到全新的维度。数字孪生是工厂物理设备的虚拟镜像，用于仿真、优化和预测维护。当数字孪生与真实工控系统高度连接时，针对数字孪生的攻击（数据篡改、模型投毒、仿真劫持）可能直接影响物理设备的运行——这是工控安全的新形态，要求安全厂商的防护能力从物理 OT 层延伸至数字孪生层。

工业互联网安全的另一个新前沿是 5G 专网安全。随着工厂 5G 专网部署加速（汽车、钢铁、矿山等行业是最活跃的 5G 专网应用场景），5G 网络的网元安全（核心网 AMF/UPF 的安全加固）、切片安全（不同业务切片之间的隔离）、UE 设备认证成为新的安全需求。华为、中兴在 5G 网元安全方面有先天优势（自家设备自己做安全），而第三方安全厂商（深信服、绿盟科技）正在与 5G 设备厂商建立合作生态，共同覆盖 5G 专网安全市场。

政府采购机制的演进：从品牌导向到能力导向

中国政府网络安全采购机制在 2024—2025 年经历了重要变革。传统上，政府安全采购高度依赖"品牌白名单"和"推荐品录"——进入工信部、发改委、公安部等部委的推荐目录，意味着几乎自动进入采购决策圈。这一机制在保障采购安全性的同时，也造成了市场准入壁垒，使部分技术上优秀但不在目录内的创新厂商很难进入政府市场。

2025 年，多个部委试点了基于"安全能力评测"的采购模式：不只看是否在推荐目录，还要求参与招标的厂商提交经过独立测试机构验证的安全检测率、误报率、响应时间等量化指标。这一转变对于技术实力强但政府关系弱的厂商是重大利好——长亭科技、瑞数信息等相对年轻的厂商，开始能够凭借真实产品性能参与部分政府项目竞标。

全国统一大市场建设也在推动政府安全采购的透明化和规范化。国家数据局推动的数据市场建设，要求数据交易所和数据基础设施必须通过安全评估，直接创造了新的政府安全评估项目，为安全评估机构和专业安全厂商提供了增量市场。

企业安全成熟度模型：中国市场的安全能力分层

借鉴 CMMI（能力成熟度模型）的框架，中国企业网络安全能力可以分为五个成熟度等级：

Level 1 初始级（约占企业数量的 40%）：以满足基本等保合规为目标，安全产品以采购为主，无专职安全团队。这类企业主要是中小型制造业、服务业和基层政府机构，安全投入极低，往往在发生事故后才意识到安全缺口。

Level 2 已管理级（约占 30%）：已建立基本的安全管理制度和技术防护，有专职 IT 安全岗位，定期开展等保测评。主要客户群是中型企业和地市级政府，安全投入约占 IT 预算的 5%—8%。

Level 3 已定义级（约占 20%）：建立了标准化的安全流程，有专职 CISO 或安全主管，定期开展内部安全审计和漏洞扫描。主要是大型企业和省级政府，安全投入占 IT 预算的 8%—12%。

Level 4 已量化管理级（约占 7%）：能够量化安全指标（MTTD、MTTR、漏洞修复率），建有功能性 SOC，能够应对中等复杂度的安全威胁。主要是大型金融机构、头部互联网企业和部委级政府机构。

Level 5 优化级（约占 3%）：具备主动威胁猎杀能力、完善的 APT 防御体系、AI 驱动的 SOC，安全能力达到国际领先水平。主要是大型商业银行、头部科技公司（BAT 等）、军工央企和少数超大型政府机构。

理解这个成熟度分层，对于判断安全厂商的市场定位至关重要：Level 1—2 的市场是量大价低的合规驱动市场，适合中小型安全产品厂商；Level 3—4 是价值最丰厚的中端市场，深信服、奇安信、启明星辰的主战场；Level 4—5 是单项目金额最大但竞争最激烈的高端市场，启明星辰、奇安信与 Palo Alto、CrowdStrike 在这里正面交锋。

供应链安全：被忽视的薄弱环节

供应链安全（Software Supply Chain Security）是 2024—2025 年全球关注度急剧上升的新议题。2020 年 SolarWinds 事件（攻击者通过污染软件更新包，入侵美国政府系统）和 2021 年 Kaseya VSA 事件，展示了供应链攻击的高效和高隐蔽性。

在中国，软件供应链安全的主要风险点包括：开源组件的已知漏洞（国内大量企业使用的 Java Spring、Node.js、Python 包存在未修复的高危漏洞）；第三方软件开发商（ISV）的安全控制薄弱（攻击者通过攻击上游 ISV 渗透大型企业客户）；云服务商共享环境中的横向移动风险。

国内针对软件供应链安全的政策回应是 2024 年工信部推进的"软件供应链安全管理指南"，要求关键软件的供应商提供软件物料清单（SBOM，Software Bill of Materials），并建立漏洞披露机制。这一监管趋势将推动 SBOM 管理工具、依赖项漏洞扫描等新品类在 2026—2028 年形成百亿元级市场。

云安全：公有云进入安全共责时代

中国三大公有云（阿里云、腾讯云、华为云）的安全服务已经相当成熟，但云上安全仍然是企业最大的安全盲区之一。"共责模型"（Shared Responsibility Model）是理解云安全的关键框架：云厂商负责基础设施（物理层、虚拟化层、网络层）的安全，客户负责数据、应用、身份的安全。问题在于，大量企业用户混淆了这条责任分界线，误以为"上了云就安全了"。

2025 年主要云安全事故类型包括：配置错误导致的 S3/OSS 存储桶公开暴露（最常见）、云上 IAM 权限过度授权（攻击者获取一个低权限账户后，通过权限提升横向渗透）、跨租户攻击（在共享 Kubernetes 集群中突破容器隔离）。

阿里云安全的云 WAF、云 SIEM（混合云版）、云 DDoS 防护是国内公有云安全服务的领先产品；华为云的"安全云图"是专注政企客户的云安全方案；腾讯云安全在游戏、互联网行业的 DDoS 防护和反欺诈方面有独特优势。

物联网与边缘安全：数以百亿计的新攻击面

物联网（IoT）设备的爆发式增长带来了前所未有的安全挑战。全球联网 IoT 设备数量 2025 年已超过 180 亿台，其中大量设备（工业摄像头、路由器、智能传感器）使用默认密码，从未进行过安全加固，成为 DDoS 僵尸网络和 APT 横向渗透的跳板。

Mirai 僵尸网络及其变体（利用默认密码控制 IoT 设备发动 DDoS 攻击）是最典型的 IoT 安全威胁案例。绿盟科技在 DDoS 防护市场的长期积累，使其在应对 IoT 大规模僵尸网络攻击方面具有独特优势。

边缘计算的兴起进一步扩展了攻击面。工厂边缘节点、5G 基站侧算力、智能配电房的边缘控制器，都是新兴的安全防护对象。工控安全厂商威努特的工业防火墙已经针对边缘工控场景完成了专门的产品优化，是这一赛道的早期布局者。

勒索软件与 APT：威胁持续演化

2025 年，勒索软件仍然是企业最直接的网络安全威胁之一。全球主要勒索软件组织（LockBit 3.0、Black Basta、ALPHV/BlackCat）在 2024 年虽遭受执法打击，但新变种迅速涌现。2025 年勒索攻击的典型特征是双重勒索（先加密数据，再威胁公开泄露）和三重勒索（再向受害者客户施压），赎金金额和支付率均比 2022 年有所上升。

国家级 APT（高级持续性威胁）是针对关键基础设施的最高级别威胁。根据奇安信威胁情报中心 2025 年发布的报告，国内被追踪的 APT 组织超过 60 个，其中针对中国政府、军工、能源、电信的境外 APT 攻击事件在 2024—2025 年显著增加。典型的 APT 攻击手法包括：鱼叉式钓鱼邮件（Spearphishing）、供应链污染、零日漏洞利用、Living-off-the-Land（利用系统自带工具进行攻击，规避 EDR 检测）。

针对 APT 的防御体系建设，是政府和央国企安全投入的核心优先级。启明星辰的态势感知平台、奇安信的关键基础设施保护方案、绿盟科技的威胁情报服务，共同构成国内 APT 防御的主力产品矩阵。

企业级安全运营的实战挑战

理解为什么即使有最好的安全产品，企业仍然会发生安全事故，需要深入分析"产品采购"与"安全有效性"之间的鸿沟。这个鸿沟，业界称之为"安全运营差距"（Security Operations Gap），是整个安全服务市场存在的根本原因。

一个典型的大型企业安全运营困境如下：CISO 的团队每天面对来自 SIEM 的 5 万—10 万条安全告警，其中 95% 是误报。即使一个有经验的分析师每分钟处理一条告警，8 小时也只能处理 480 条——这意味着不到 1% 的告警能被人工分析。其他 99% 的告警被批量关闭或忽略，而真正的攻击往往隐藏在那被忽略的 99% 里。

更麻烦的是告警响应的"值班经济学"：专业的 L2/L3 安全分析师（能处理复杂告警、独立完成事故调查的人）在中国的薪资约为 40—80 万元/年，全年 7×24 轮班需要至少 6—8 人，年薪成本约 240—640 万元。对于 99% 的中国企业来说，这是无法承担的成本，这正是 MSS 服务存在并高速增长的市场基础。

当 AI SOC 技术成熟到能将误报率从 95% 压缩到 20%，将 L1/L2 分析效率提升 5—10 倍时，安全运营的经济模型将根本改变——一个有 3 名分析师的小型 SOC，可以达到传统 20 人 SOC 的覆盖能力。这是 AI SOC 的战略价值所在，也解释了为什么 Palo Alto 愿意为 Cortex XSIAM 投入数十亿美元研发，国内厂商也在不惜代价追赶。

关键基础设施五大行业安全深度剖析

能源行业：国家电网和南方电网共管理约 60 万座变电站和超过 2,000 万公里的输电线路，安全攻击这些设施可能引发大规模停电事故。2024—2025 年，针对电力调度系统的网络攻击尝试明显增加（奇安信年度报告数据），推动了电力行业安全投入显著提升。电力行业网络安全的特殊性在于：电力调度系统（SCADA）使用 IEC 61850、IEC 61968 等专有协议，安全厂商必须深度理解这些协议才能提供有效的 OT 安全防护。威努特的工业防火墙在电力调度和变电站通信系统中有大量部署，是电力行业工控安全市场的领先者。

金融行业：中国金融行业拥有最严密的网络安全监管体系。中国人民银行发布的《金融行业网络安全等级保护实施指引》要求核心系统达到等保四级；《银行保险机构信息科技风险管理办法》明确要求制定"安全战略规划"并定期评估执行效果；证监会的《证券期货业网络安全管理办法》对交易系统的容灾备份和恢复时间有明确规定（RTO ≤ 4 小时，RPO ≤ 0）。这些监管要求使金融行业的安全合规成本极高，但也使安全市场极为稳定——无论宏观环境如何变化，金融机构的合规性安全预算不可削减。

电信行业：基础电信运营商（中国移动、中国联通、中国电信）既是安全服务的买方（保护自身网络），也是安全服务的卖方（通过云安全、MSS、安全增值服务向企业客户出售安全能力）。运营商的安全能力建设具有基础设施属性——运营商的骨干网络本身就是全国互联网流量的汇聚点，在骨干网上部署 DDoS 清洗和恶意流量过滤，可以为所有接入客户提供网络级安全防护。中国电信安全、中国移动云安全是最大的运营商系安全厂商，其市场地位来自运营商自身的网络基础设施优势，而非纯粹的安全技术能力。

政务云安全：中国政务云建设以"一省一云"为主要模式，阿里云、华为云、腾讯云、电信云是主要承建方。政务云的安全要求比公有云更高：数据不能出境（政务数据本地化存储）；核心系统须满足等保三级以上；关键应用须使用国密算法；云平台须通过公安部等保云平台认证。政务云安全市场的特点是"大平台+小厂商"的生态模式——云平台厂商负责基础安全，专业安全厂商（启明星辰、奇安信、安恒信息）提供上层的专业安全能力。

交通行业：铁路（特别是高铁调度系统）、民航（空管系统）、地铁（运行控制系统 CBTC）、公路（高速收费 ETC 系统）的安全防护，都属于关键基础设施保护的范围。这些系统的安全特点是：实时性要求极高（安全防护不能增加系统延迟）；可用性优先于保密性（确保系统运行是首要目标）；专有协议众多（CTCS、ETCS 等列控协议需要专业的安全适配）。交通行业网络安全市场 2025 年规模约 50 亿元，增速约 20%，是关基保护政策落地后增速最快的子行业之一。

商业模式演进：从项目制到 SaaS 订阅制

中国网络安全行业商业模式的最重要转型是从"项目制"向"订阅制/SaaS"的迁移。项目制的问题是明显的：收入极度依赖政府预算周期，Q4 收入占全年 40%—50%（因为政府预算年底集中消化），经营现金流不稳定，客户关系本质上是"一次性交易"而非"持续关系"。

订阅制的优势在于：年度经常性收入（ARR）可预测、客户生命周期价值（LTV）更高、续约率直接反映产品价值而非采购关系。但转型过程充满阵痛——订阅制收入在确认时点上比项目制分散，短期会造成账面收入下降（即使实际合同总量没有减少），这解释了为什么启明星辰 2025 年营收下降 29% 但现金流改善 191%：商业模式转型导致的短期账面失真。

深信服是国内网络安全厂商中订阅制转型最成功的案例之一，其云计算业务（超融合、桌面云）和网络安全订阅服务贡献了稳定的 ARR，2025 年经营现金流 13.42 亿元，是国内安全厂商中经营现金流最健康的公司之一。

标准与认证：中国自主安全评估体系的建立

中国网络安全标准体系由多个机构共同维护：全国信息安全标准化技术委员会（TC260）负责国家标准（GB/T）的制定；国家密码管理局负责商用密码（GM/T）标准；公安部负责等级保护标准；工信部负责电信行业网络安全标准。

2025 年，TC260 加速推进与国际标准的双轨对接：一方面，国内标准与 ISO/IEC 27001、NIST CSF（网络安全框架）逐步对标，为中国企业进入国际市场降低合规摩擦；另一方面，在 AI 安全、量子密码、可信计算等前沿领域，中国正积极推动本国技术框架成为国际标准，在规则制定层面争取主动权。

CC（通用准则，ISO/IEC 15408）认证和 FIPS 140-3 认证是中国安全厂商进入海外（尤其是政府）市场的重要门票。山石网科的防火墙产品、深信服的 VPN 产品均已获得 CC EAL4+ 认证，这是进入欧洲和部分亚太政府市场的必要条件。

网络安全保险：新兴的风险转移机制

网络安全保险（Cyber Insurance）是网络安全风险管理链条上被忽视的重要环节。当企业遭受网络攻击并产生损失（数据恢复成本、业务中断损失、勒索赎金、第三方赔偿等）时，网络安全保险可以作为风险转移机制分担损失。

全球网络安全保险市场 2025 年规模约 160 亿美元，美国占全球约 60%，欧洲约 25%，亚太约 10%（中国约占全球的 3%—5%，估计约 50—80 亿元人民币）。中国网络安全保险市场明显滞后于欧美，原因是：一，企业安全事故的公开披露机制不完善，保险公司难以获取足够的历史损失数据来进行精算定价；二，大量中国企业没有网络安全保险的采购意识；三，网络安全保险的理赔认定（什么情况构成"网络攻击损失"）尚缺乏清晰的法律界定。

2025—2028 年，随着《数据安全法》执法的深化（数据泄露导致的罚款和赔偿责任明确化）和网络安全事故公开报告要求的落实，中国网络安全保险市场有望快速扩容。人保、平安、太保等大型险企已开始试水网络安全保险产品，与奇安信、深信服等安全厂商建立"保险+安全服务"的联合方案（安全评分高的企业享受保险折扣，形成正向激励）。

网络安全产品的技术演示与 POC 文化

在中国网络安全市场，概念验证（Proof of Concept，POC）演示是大型项目采购决策的重要环节，也是检验产品真实能力的关键机制。政府和大型企业在采购安全产品时，通常要求参与竞标的厂商进行为期 2—4 周的"试用部署"，在真实环境中演示产品效果，并提交测试报告。

POC 文化对市场竞争格局的影响是深刻的：一，技术能力差的产品无法在 POC 阶段通过真实检验，被客户淘汰的概率高；二，POC 过程本身是一种"反向销售"——让客户在使用中建立对产品的感情和依赖，大幅降低后续报价谈判中的价格敏感度；三，POC 成本高昂（需要工程师常驻、配置维护），对中小厂商的资源消耗大，有利于有充足服务能力的头部厂商。

护网行动是另一种形式的"超大型 POC"——在真实攻击压力下，产品的有效性被真实检验，无处遁形。2025 年护网行动中，某头部企业使用 A 厂商的 EDR 产品在 24 小时内检出 3 次 APT 攻击尝试，而同一套环境中 B 厂商的 WAF 在同期发出了 1.8 万条告警（其中真实攻击 12 次，误报率 99.93%）——这样的对比数据，成为企业来年采购决策的直接依据。

边缘计算安全：算力下沉带来的新防线

边缘计算（Edge Computing）是将计算能力下沉到数据产生地（工厂车间、5G 基站、数据采集端）的新型 IT 架构，以减少数据传输延迟和核心云的计算压力。2025 年，边缘计算在制造业工业互联网（边缘 MES 节点）、智慧城市（摄像头边缘推理）、自动驾驶（路侧单元 RSU）等场景已有大量部署。

边缘节点的安全挑战与数据中心安全截然不同：边缘设备通常物理分散（难以集中管控）、资源受限（无法运行重型安全 Agent）、暴露在公共环境中（物理安全无保障）、更新维护困难（大量设备无人值守运行）。这些特点要求针对边缘的安全方案必须是"轻量级"（低 CPU/内存占用）+"远程管理型"（云端统一策略下发）+"物理防篡改"（TPM 安全芯片保护固件）的综合方案。

国内华为的 OceanProtect 边缘安全产品和英特尔（中国区边缘安全合作）是这一领域的代表性方案；威努特的边缘 OT 安全产品正在向 5G 边缘工控场景延伸。随着工业互联网和智慧城市边缘节点数量在 2025—2030 年的爆发式增长，边缘计算安全预计将成为工控安全市场最重要的增量方向。

密码合规迁移的工程挑战与成本分析

国密替换工程的规模和复杂度，远超多数人的预期。以一家大型银行完成 RSA→SM2、SHA-256→SM3、AES→SM4 全栈密码迁移为例，工程量包括：

证书体系替换：核心业务系统的 SSL/TLS 证书（数量通常在 1,000—5,000 张）全部替换为 SM2 证书，涉及 HTTPS 服务器配置变更、负载均衡器更新、客户端兼容性测试（部分老旧客户端不支持国密 TLS）。仅证书替换一项，大型银行的工期约 6—12 个月，成本约 300—500 万元。

数据加密改造：数据库字段级加密（由 AES-128 改为 SM4）需要重新加密存储数据，涉及数据迁移（在不停服前提下将历史数据重新加密）、应用层密钥管理接口（KMS API）替换。对于数据量百 TB 级别的银行核心系统，重加密过程需要数个月，需专门规划停机或热迁移窗口。

代码签名体系：内部发布的软件包、驱动程序、配置文件的签名体系从 RSA 改为 SM2，需要更新所有的构建流水线（CI/CD）和签名工具链。

VPN 和加密隧道替换：分支机构与总部之间的 IPSec VPN 和 SSL VPN 全面切换为支持国密算法的新产品（卫士通 SVPN、深信服国密 VPN）。大型银行有数千个分支机构，VPN 设备替换的工程周期约 1—2 年。

综合以上工程量，一家大型银行完成全栈密码国密迁移的总成本约为 3,000—8,000 万元，工期约 2—3 年。全国商业银行、政府机构、央企的国密迁移工程，合计将在 2025—2030 年释放数百亿元的市场机会。卫士通、信安世纪、三未信安是这一市场最确定的受益者。

网络安全产业园：地方政府的抢占战略

网络安全产业已成为多个地方政府的重点招商方向。2025 年已建成或规划中的主要网络安全产业园包括：

武汉"网络安全人才与创新基地"（网安基地）：由国家网信办支持，规划面积超过 10 平方公里，定位为全国性的网络安全人才培养和产业聚集基地。奇安信、深信服、启明星辰等头部厂商均在武汉设有研发中心，依托华中科技大学、武汉大学的网络安全学科优势。

北京国家网络安全产业园（永定河园区）：依托北京海淀区的安全生态，吸引多家头部安全厂商入驻，并与国家互联网应急响应中心（CNCERT）形成协同。该园区 2025 年已聚集网络安全企业超过 200 家，是目前全国最密集的安全产业聚集区。

成都"网络安全产业基地"：依托电子科技大学和中电科 30 所、29 所的产业基础，聚焦密码安全、工控安全细分方向。中电科旗下的电科网安在成都有大规模研发布局，是成都安全产业的核心龙头。

湖南长沙"信创谷"：湖南省推进信创替换的重要载体，聚焦国产 CPU（飞腾、鲲鹏适配）的安全软件研发，麒麟软件、统信软件的核心研发团队在长沙，为安全适配提供操作系统层面的支撑。

这种多地产业园布局，一方面分散了全国网络安全产业的地理集中风险，另一方面也在地方形成了差异化的产业生态——武汉偏人才培养和综合安全，成都偏密码和工控，长沙偏信创适配。这种差异化有利于形成互补的全国网络安全产业版图。

网络安全与数字经济的底层逻辑

从更宏观的视角看，网络安全的需求与数字经济的规模高度正相关：数字经济越发达，数字资产的价值越高，攻击者的获利动机越强，防御投入的必要性越高。

中国数字经济规模 2025 年约为 60 万亿元，占 GDP 的约 45%。以全球通行的数字经济安全投入比例（0.2%—0.3%）估算，中国网络安全市场的"理论需求规模"约为 1,200—1,800 亿元，与实际市场规模基本吻合，说明中国网络安全市场的渗透率已进入正常水平，未来增长主要依靠数字经济规模扩大和安全投入比例提升的双轮驱动。

相比之下，美国数字经济安全投入比例约为 0.5%—0.6%，未来中国数字经济安全投入比例有较大提升空间。若中国能在 2030 年将投入比例提升至 0.35%，对应的市场规模将超过 3,000 亿元，高于本报告的基准预测，属于乐观情境。触发乐观情境的催化剂是：重大网络安全事件引发的全面安全基础设施升级潮（类似 2014 年"心脏出血"漏洞引发全球 SSL 大规模更换），或者 AI 驱动攻击爆发迫使企业大幅增加 AI 防御投入。

从投资逻辑看，网络安全行业的"数字经济基础设施"属性，使其具备与电网、自来水管网类似的必需品特征——数字化越深入，安全越不可或缺。这与周期性行业（钢铁、化工）的逻辑截然不同，是网络安全行业长期享受市场溢价的根本原因。

中国网络安全行业标志性技术事件回顾

技术事件不仅是历史记录，更是产业演进的真实驱动力。以下几个对中国网络安全产业影响深远的技术事件，值得深入记录：

2010 年 Stuxnet 震网病毒：专为攻击工业控制系统设计的第一个武器化网络战代码，目标是伊朗核离心机的 PLC 控制器。Stuxnet 的出现第一次向全球证明了"网络武器可以物理摧毁工业设备"，直接唤醒了中国工控安全市场：国家电网、中石油、中石化在 2011—2013 年大幅提升工控安全预算，威努特等专注工控安全的创业公司迎来第一个高速成长期。

2013 年棱镜门（PRISM）：斯诺登披露的美国情报监控项目，揭示了 IT 基础设施（思科路由器、微软 Windows、谷歌服务器）可能内置监控后门。这一事件直接推动了中国在 IT 基础设施国产化上的政治决心，"自主可控"的话语权从技术讨论上升为国家意志，信创工程的政策酝酿由此加速。对安全厂商而言，棱镜门重塑了国内 CISO 对"外资安全工具的可信度"的认知，加速了外资安全产品从政府和军工客户的退出。

2017 年 WannaCry 勒索软件全球爆发：基于永恒之蓝（EternalBlue）漏洞的蠕虫式勒索软件，在短短 24 小时内席卷 150 个国家，中国多家高校、医院的信息系统被加密，损失惨重。WannaCry 是第一次真正让中国非 IT 行业企业意识到网络安全不是"IT 部门的事"，直接推动了 2017—2019 年的企业安全意识觉醒和补丁管理市场的爆发。

2021 年 Log4Shell 漏洞：Apache Log4j 开源日志组件中的远程代码执行漏洞，CVSS 评分 10.0 满分。由于 Log4j 被嵌入数十万个 Java 应用程序，这一漏洞影响了全球几乎所有行业的信息系统。Log4Shell 推动了中国企业对软件依赖项管理（SBOM）和漏洞响应速度的重视，工信部随即发布通知要求关键信息系统运营者在 72 小时内完成排查，推动了漏洞治理平台和 SBOM 管理工具的商业化。

2023—2024 年 AI 辅助攻击的规模化：2023 年以来，以 WormGPT 为代表的专为攻击者设计的大模型开始在暗网流通，能够生成无语法错误的多语言钓鱼邮件、自动化漏洞利用代码、定制化社会工程学话术。这些工具大幅降低了网络攻击的技术门槛，非专业人员也能实施高质量的网络攻击。AI 辅助攻击的规模化，是 2024—2025 年中国企业 APT 攻击事件增加的重要背景，也是 AI SOC 和 AI 驱动威胁检测工具在 2025 年获得市场快速认可的根本推动力。

国际视野下的中国网络安全地位

将中国网络安全产业放在国际坐标系中审视，可以得到更立体的判断：

规模体量：中国是仅次于美国的全球第二大网络安全市场，约占全球市场的 12%—15%。美国市场约占 40%，欧洲约占 20%，其他亚太约占 10%，其他地区约占 15%。

技术能力：在威胁情报（奇安信 APT 追踪能力）、工控安全（威努特、匡恩）、国密算法（卫士通、信安世纪）等细分领域，中国厂商已具备国际竞争力；但在 AI SOC、云安全平台（CNAPP）、身份安全（ITDR）等前沿领域，与 Palo Alto、CrowdStrike、Zscaler 仍有 2—3 年的差距。

市场结构差异：中美安全市场最大的结构差异是 SaaS 化程度——美国网络安全 SaaS 占比超过 50%，中国约 15%，这一差距是中国安全厂商未来十年的追赶方向，也意味着更大的商业模式改造空间。

国际化程度：美国安全厂商（Palo Alto、CrowdStrike）的国际收入占比 40%—50%；中国安全厂商国际收入占比普遍低于 5%，是明显短板。但这也意味着，率先在东南亚和中东等新兴市场实现国际化的中国厂商，有望打开额外的 10%—20% 增量空间。

标准话语权：美国主导了 NIST、ISO/IEC JTC1 等国际标准机构的网络安全方向；中国正在加大参与，特别是在国密算法和可信计算标准上推动国际化进程，但短期内话语权仍属于美国主导体系。

网络安全行业的生态整合趋势

2025 年，一个令人深思的趋势是：越来越多的非传统安全公司开始提供安全服务。云厂商、电信运营商、硬件厂商，都在围绕安全建立自己的产品和服务能力。这种"安全泛化"趋势，对于传统的纯安全厂商是挑战，但也是机遇：

阿里云安全（阿里云的安全能力部门）、腾讯云安全（腾讯云安全服务中心）、华为云安全（华为云数字安全与隐私保护部门），凭借云平台的流量和数据优势，在云安全市场快速扩张。这些巨头的进入，虽然压缩了纯安全厂商在云安全赛道的空间，但也抬升了整个行业的安全服务意识，让更多中小企业接触到网络安全产品。

华为海思在安全芯片领域的布局（昇腾芯片在 AI 推理场景中的安全应用、MateBook 系列的内置 TPM 安全芯片），正在将安全能力从专用安全设备扩展到通用 IT 硬件，模糊了"安全设备"和"通用硬件"的边界。

互联网大厂（BAT）的安全能力，通过云平台接口开放给第三方安全厂商（作为数据源或 API 集成点），正在形成一种"安全生态"而非"安全孤岛"的新型合作格局。长亭科技、瑞数信息等年轻厂商，正是通过与云平台生态的深度整合，实现了快速市场渗透。

安全行业的生态整合趋势，本质上是"专业分工越来越细"与"客户需求越来越要求集成化"这对矛盾的张力所产生的市场结构。面对这对矛盾，不同厂商选择了不同的应对策略：Palo Alto 和深信服选择"吃掉生态"（通过并购或自研扩大产品边界）；CrowdStrike 选择"开放生态"（Falcon 平台的 API 开放，允许 300 家以上第三方安全工具集成，形成"安全超级市场"）；阿里云安全选择"云平台捆绑"（安全服务内嵌云资源购买流程，用极低的运营摩擦换取大规模渗透）。三条路径都能走通，关键在于执行能力和市场时机的匹配。预计 2026—2028 年，奇安信将尝试 CrowdStrike 的"开放平台"路径，通过 QI-ANXIN 平台的 API 开放吸引更多安全工具集成，实现客户粘性的质变提升。无论选择哪条路径，最终决定胜负的，永远是产品是否真正有效、服务是否真正响应、数据是否真正准确——这是技术密集型市场颠扑不破的竞争法则，也是中国网络安全产业从"规模化"走向"价值化"的核心命题。研究院认为，在等保合规、信创替换、AI 防御三条主线并行推进的历史关键窗口下，那些兼具技术深度、生态广度、商业韧性的安全厂商，终将在二〇三〇年的行业竞争格局里占据最重要也最难以撼动的核心位置，成为中国数字安全基础设施的真正基石。

工业互联网安全：制造业数字化转型的安全底座

工业互联网安全是 2025—2030 年中国网络安全增速最快的细分领域之一，也是最具中国特色的安全议题。工业互联网是将工厂内部的机器设备、生产管理系统、供应链协同平台通过互联网连接起来的数字化基础设施，是中国推进制造强国战略的核心支撑。但连接的代价是攻击面的急剧扩大——从原本封闭的工厂局域网，到与外部供应链、客户平台、云端大数据平台互通的开放网络，每一个连接点都是潜在的安全入口。

2025 年，中国工业互联网安全市场约 80 亿元，CAGR 约 25%，预计 2030 年突破 250 亿元。驱动这一增长的，是三个同频共振的力量：

其一，工业互联网平台（海尔卡奥斯、三一树根互联、航天云网等）的规模化部署，将海量工厂设备接入云端，创造了前所未有的工业数据资产，同时也放大了数据泄露和系统中断的风险。其二，《工业互联网安全标准体系建设指南》和工信部工业互联网安全专项行动，要求工业互联网平台达到特定的安全能力等级，形成合规刚需。其三，勒索软件攻击制造业企业的案例大幅增加，直接促使制造业 CISO（或 IT 负责人）从"安全是 IT 的事"转向"安全是业务连续性的核心"。

工业互联网安全的技术架构与 IT 安全有本质差异。在 IT 安全中，可用性、完整性、保密性（CIA）三要素的优先级通常是保密性第一；而在工业安全中，优先级倒置为可用性第一——生产线不能停机，任何导致生产中断的安全措施都可能被操作人员绕过。这一特点决定了工控安全产品必须以"透明监控、不干预业务"为设计原则，而非 IT 安全的"发现威胁即阻断"。威努特、匡恩网络等工控安全专业厂商对这一设计哲学的深刻理解，是其在工控安全市场建立壁垒的核心所在。

工控安全设备的制造供应链以国内为主：连接工业控制系统的工业以太网交换机、专用工控防火墙机箱（防火墙设备的工业版）、OT 安全传感器，都有一批深圳、宁波、苏州的硬件制造商提供基础元器件和模组。理解这些硬件供应链的产能和交期，是预判工控安全市场供给瓶颈的重要早期信号。

数字政府安全：全国一体化政务云的安全架构

全国一体化政务云（简称"政务云"）是中国"十四五"数字政府建设的核心基础设施。截至 2025 年，全国已建成 31 个省级政务云平台，覆盖近 60,000 个政府机构，承载数十亿条公民和企业数据。政务云的安全是整个国家数字基础设施安全的制高点。

政务云安全的特殊性在于：一，数据高度敏感（户籍、税务、社保、医疗、司法等全量公民数据），泄露后果极其严重；二，监管要求最严格（等保三级或四级，且须符合《网络安全法》《数据安全法》的全部要求）；三，攻击者的动机最强（无论是境外情报机构、境内不法分子，还是勒索团伙，都将政务云视为高价值目标）。

政务云安全建设通常由"一云+N 端"模式覆盖：政务云平台本身的安全（云防火墙、云 WAF、云 DDoS 防护、云 IAM）由云平台厂商提供基础安全能力；云上各个政府业务系统的专业安全（等保测评、数据安全管理、态势感知、APT 防御）则由专业安全厂商（启明星辰、奇安信、安恒信息）提供。

2025—2027 年，随着全国一体化政务云建设从省级向市县级延伸，政务云安全市场将迎来下沉扩张期。地市级政府的安全建设预算通常低于省级，但数量庞大（全国 333 个地级市 × N 个业务系统），合计市场空间超过百亿元，是中型安全厂商的重要机会。

网络安全人才的区域分布与高校布局

网络安全人才的地理分布，与产业集群高度一致。北京、上海、深圳、成都、武汉是中国网络安全人才最密集的五个城市，背后是高校和产业的双重支撑：

北京：清华大学、北京大学、北京理工大学、北京航空航天大学、中国人民大学均有网络安全学院或相关专业，每年培养高端安全人才超过 1,500 人。北京还聚集了中国信息安全测评中心（CNITSEC）、国家互联网应急响应中心（CNCERT）等国家级安全机构，提供大量高端就业岗位。

上海：交通大学、复旦大学、同济大学、华东师范大学在信息安全领域均有重量级师资和科研团队。上海是外资安全厂商中国区总部的主要聚集地（Palo Alto 中国区、Check Point 中国区、IBM 安全大中华区均在上海），提供大量中英文并重的双语安全岗位。

成都：电子科技大学是中国最好的网络安全高校之一，在密码学、工控安全、可信计算方向具有全国领先的研究实力。中电科 29 所、30 所在成都的存在，为军工背景的安全人才就业提供了重要出口。

武汉：华中科技大学、武汉大学的网络空间安全学院是全国重点安全人才培养基地。国家网络安全人才与创新基地（网安基地）在武汉落地，战略意图是将武汉打造成中国"网络安全硅谷"。

深圳：依托深信服、腾讯、华为的大规模安全团队，深圳在应用安全、云安全、AI 安全等工程化方向的人才储备与日俱增。深圳职业技术学院等高职院校在网络安全实操人才培养上已形成成熟体系，为企业提供大量基础安全工程师。

数据来源

本报告数据来源及参考资料：

天下工厂产业研究院（https://www.faxiangongchang.com）自有数据库及实地调研
启明星辰（002439）2025 年度报告（2026 年 4 月发布）
奇安信（688561）2025 年半年报及三季报（2025 年 8—10 月发布）
深信服（300454）2025 年度报告（2026 年 3 月发布）
安恒信息（688023）2025 年度报告（2026 年 3 月发布）
天融信（002212）、绿盟科技（300369）、北信源（300352）历年公告
Palo Alto Networks FY2025 年度财报（2025 年 7 月发布）
CrowdStrike FY2025 年度财报（2025 年 3 月发布，截至 2025 年 1 月）
Fortinet FY2025 年度财报（2025 年全年订单 68 亿美元）
Zscaler FY2025 年度财报（2025 年，营收 26.7 亿美元）
IDC《2025 年中国网络安全总体市场预测》（2024 年发布）
IDC《中国扩展检测与响应平台 2024 年厂商评估》
中国信通院《网络安全产业白皮书（2025 版）》
安全内参《2025 年中国网络安全产业发展态势分析》
奇安信《赋能、重塑与破局：2025 年网络安全产业发展态势分析与 2026 年趋势展望》
NIST 后量子密码标准（FIPS 203/204/205，2024 年 8 月发布）
《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）
《数据安全法》（2021 年 9 月施行）
《个人信息保护法》（2021 年 11 月施行）
《关键信息基础设施安全保护条例》（2021 年 9 月施行）
《生成式人工智能服务管理暂行办法》（2023 年 8 月施行）
NIST SP 800-207《零信任架构》
Gartner《2025 年网络安全六大趋势预测》（2025 年发布）