來看這樣一組數(shù)據(jù)：根據(jù)工信部的統(tǒng)計，國產(chǎn)安全廠商中有名有姓的企業(yè)就有1000多家，具備核心研發(fā)能力的企業(yè)也有500多家。廠商們可細分為終端、云、網(wǎng)絡(luò)、內(nèi)容、應(yīng)用、數(shù)據(jù)等不同類別，又可分為預(yù)防、管理、認證、分析、檢測、處置等不同領(lǐng)域。此外，各類新興概念也是你方唱罷我方登場：零信任、態(tài)勢感知、SOAR…

　　放眼望去，網(wǎng)絡(luò)安全市場一片繁榮的景象，網(wǎng)安人們都有著美好的未來。

　　在網(wǎng)絡(luò)安全市場中，甲方企業(yè)采購預(yù)算是主導(dǎo)市場的關(guān)鍵因素之一。預(yù)算或增或減、支出重點戰(zhàn)略方向等都是甲方和廠商共同關(guān)心的問題。對此，F(xiàn)reeBuf咨詢聯(lián)合FreeBuf甲方智庫特別策劃了《2021國內(nèi)甲方企業(yè)安全建預(yù)算調(diào)研報告》。

　　在未知的風(fēng)浪面前，我們希望可以從報告中看到不同企業(yè)的安全建設(shè)投入狀況，也得以一探近幾年國內(nèi)安全發(fā)展的冰山一角。

　　Key Findings

　　網(wǎng)絡(luò)安全行業(yè)普遍具備較高的抵抗風(fēng)險能力，40%的調(diào)研企業(yè)認為2020年疫情對企業(yè)安全建設(shè)投入絲毫無影響。

　　企業(yè)對新一年的安全建設(shè)預(yù)算投入保持謹慎態(tài)度并呈現(xiàn)穩(wěn)健發(fā)展趨勢，企業(yè)安全建設(shè)投入聚焦于100W-500W金額區(qū)間，43%的企業(yè)2021年安全建設(shè)預(yù)算IT占比在3%-10%。

　　數(shù)據(jù)安全保護建設(shè)、安全運營體系建設(shè)、管理制度體系建設(shè)、應(yīng)急響應(yīng)體系建設(shè)和開發(fā)與運維安全建設(shè)成為企業(yè)2021年關(guān)注的規(guī)劃重點。同時個人隱私保護、演練對抗、DevSecOps、DLP、SIEM/SOC占據(jù)企業(yè)2021安全熱詞榜前列。

　　金融行業(yè)安全建設(shè)現(xiàn)狀已達到較高的行業(yè)水平，安全建設(shè)投入/預(yù)算IT占比明顯高于全行業(yè)平均水平，24%的金融企業(yè)2021安全建設(shè)預(yù)算IT占比達到了10%-15%。

　　調(diào)研背景篇

　　本次調(diào)研的參與者均為國內(nèi)甲方企業(yè)安全從業(yè)者，從行業(yè)分布數(shù)據(jù)可以看到，互聯(lián)網(wǎng)/電子商務(wù)行業(yè)與金融行業(yè)占比達到40%。同時從企業(yè)屬性分布來看，民營企業(yè)與國企占比85%，是本次調(diào)研的主要組成對象。

　　企業(yè)安全建設(shè)預(yù)算統(tǒng)計篇

　　回顧2020年，疫情對宏觀環(huán)境的短期沖擊是顯而易見的，企業(yè)普遍緊縮支出、控制成本。在全行業(yè)普遍受到疫情影響的情況下，我們發(fā)現(xiàn)，網(wǎng)絡(luò)安全行業(yè)普遍具備較高的抵抗風(fēng)險能力。調(diào)研結(jié)果顯示，40%的調(diào)研企業(yè)認為2020年疫情對企業(yè)安全建設(shè)投入絲毫無影響，僅有16%的調(diào)研企業(yè)認為影響很大。

　　與此同時，我們也發(fā)現(xiàn)，企業(yè)對新一年的安全建設(shè)預(yù)算投入保持謹慎態(tài)度并呈現(xiàn)穩(wěn)健發(fā)展趨勢，企業(yè)安全建設(shè)投入聚焦于100W-500W金額區(qū)間。對比2020年與2021年安全建設(shè)投入/預(yù)算數(shù)據(jù)，可以看到整體變化幅度并不大，有36%的企業(yè)新年安全建設(shè)預(yù)算處于100W-500W區(qū)間。

　　此外，調(diào)研也發(fā)現(xiàn)：企業(yè)安全建設(shè)投入IT占比逐漸向3%-10%區(qū)間聚集。網(wǎng)絡(luò)安全已融入到各行業(yè)IT決策的每一個環(huán)節(jié)中。對比2021年和2020年企業(yè)安全建設(shè)投入/預(yù)算數(shù)據(jù)，可以清晰看到，安全建設(shè)投入IT占比在3%以下的企業(yè)數(shù)量逐漸減少，更多企業(yè)開始注重安全建設(shè)的重要性。

　　后疫情時代，衍生于新場景、新業(yè)態(tài)下的新安全威脅，正在考驗著企業(yè)的安全技術(shù)、團隊和能力儲備。與此同時關(guān)于加強網(wǎng)絡(luò)安全建設(shè)的相關(guān)政策紛紛出臺，促使企業(yè)在嚴峻安全局勢和合規(guī)政策緊縮的雙重壓力下，持續(xù)增加在網(wǎng)絡(luò)安全方面的投入。

　　企業(yè)安全建設(shè)現(xiàn)狀與展望

　　首先針對企業(yè)安全建設(shè)現(xiàn)狀，我們從安全建設(shè)階段和安全團隊規(guī)模兩方面調(diào)研展示。調(diào)研結(jié)果發(fā)現(xiàn)，企業(yè)安全建設(shè)仍舊具備較高的發(fā)展空間。僅有15%的企業(yè)處于安全建設(shè)的提升階段，同時超過半數(shù)以上的企業(yè)安全團隊規(guī)模僅有5人以下。

　　其次針對企業(yè)2021年安全建設(shè)規(guī)劃重點，調(diào)研發(fā)現(xiàn)：數(shù)據(jù)安全保護建設(shè)、安全運營體系建設(shè)、管理制度體系建設(shè)、應(yīng)急響應(yīng)體系建設(shè)和開發(fā)與運維安全建設(shè)成為企業(yè)更加關(guān)注的規(guī)劃重點。

　　此外，我們也重點統(tǒng)計了2021年企業(yè)安全建設(shè)熱詞榜，值得一提的是，個人隱私保護、演練對抗、DevSecOps、DLP、SIEM/SOC成為企業(yè)關(guān)注度及討論頻率最高的熱詞。

　　“幸福”的企業(yè)都是相同的，“不幸”的企業(yè)各有各的“不幸”。最后關(guān)于企業(yè)安全建設(shè)中的驅(qū)動因素與困難點，調(diào)研數(shù)據(jù)顯示：合規(guī)影響、安全監(jiān)管以及企業(yè)高層重視是促使企業(yè)安全建設(shè)不斷前行的動力來源。與之伴隨地，則是企業(yè)在安全建設(shè)中遇到的諸多實際困難點，老生常談的有專業(yè)安全人員欠缺、安全預(yù)算有限，此外還有安全廠商產(chǎn)品服務(wù)有待提升、安全建設(shè)不受重視等。

　　金融行業(yè)特別分析篇

　　金融行業(yè)一向走在網(wǎng)絡(luò)安全建設(shè)或發(fā)展的前列，因此我們特別統(tǒng)計分析了金融行業(yè)的安全建設(shè)預(yù)算狀況。受調(diào)的金融企業(yè)中主要包括銀行、保險、證券/基金類企業(yè)、金融科技類。

　　首先，對比全行業(yè)平均水平來看，金融行業(yè)安全建設(shè)現(xiàn)狀已達到較高的行業(yè)水平。80%的金融企業(yè)處于穩(wěn)定或提升的安全建設(shè)階段，此外有40%的企業(yè)已具備11人以上的安全團隊規(guī)模。

　　回顧2020年，金融行業(yè)安全建設(shè)投入受疫情影響較小。近四成的金融企業(yè)2020安全建設(shè)投入IT占比在3%-10%區(qū)間，還有21%的企業(yè)安全建設(shè)投入IT占比達到了10%-15%。

　　此外，金融企業(yè)安全建設(shè)投入/預(yù)算IT占比明顯高于全行業(yè)平均水平。根據(jù)調(diào)研數(shù)據(jù)，24%的金融企業(yè)2021安全建設(shè)預(yù)算IT占比達到了10%-15%，是同等區(qū)間全行業(yè)統(tǒng)計比例的一倍。

　　調(diào)研番外

　　預(yù)算掣肘的一?；遥湓诩追桨踩祟^上就是一座山。

　　在日常與甲方交流與討論中，對這一點我們感受頗深?！鞍踩?個人，安全預(yù)算0元的企業(yè)多了去了。那1個安全人員還是因為出了事了才招的?！盕reeBuf甲方群的一位大佬如是說。

　　世界的悲喜并不想通，甲方群的另一位大佬也分享了他2021的計劃，“剛重新整了一份半年預(yù)算1500W，改天去匯報”。

　　還有一位甲方說道，“申請預(yù)算也是需要找準關(guān)鍵點，合規(guī)驅(qū)動以及同行業(yè)對比驅(qū)動都是有效的，比如領(lǐng)導(dǎo)一看同行業(yè)預(yù)算每年都高達1500W，明年也得給你加預(yù)算了。如果研發(fā)能力還達不到的話，可以基于現(xiàn)有開源工具先運營起來，等以后有預(yù)算了再招合適的人優(yōu)化”。

　　也有一位甲方分享道，“做安全的就是任重道遠。最簡單來說，首先把公司信息資產(chǎn)的價值估算出來，這個需要去做調(diào)研。其次生產(chǎn)類企業(yè)還要計算產(chǎn)線受攻擊停線的損失，梳理出風(fēng)險點、計算可能的損失，這樣就可以定向提出針對此類風(fēng)險的解決方案和預(yù)算?！?/p>

　　在這些討論中，我們看到了安全從業(yè)者的焦慮又或是躊躇滿志，更多是不斷前行的勇氣與信心，前沿技術(shù)、熱點安全態(tài)勢永遠是安全從業(yè)者追逐的方向，網(wǎng)絡(luò)安全的責(zé)任感也始終承繼在身。

　　在此以馮唐的一段話結(jié)語：“不要怕黑暗，不要怕窮困。我們最快樂的時光是坐在路邊喝啤酒的時光，我們最滿足的時光是發(fā)現(xiàn)前人尚未發(fā)現(xiàn)的幽微的光芒。”