來(lái)看這樣一組數(shù)據(jù)：根據(jù)工信部的統(tǒng)計(jì)，國(guó)產(chǎn)安全廠商中有名有姓的企業(yè)就有1000多家，具備核心研發(fā)能力的企業(yè)也有500多家。廠商們可細(xì)分為終端、云、網(wǎng)絡(luò)、內(nèi)容、應(yīng)用、數(shù)據(jù)等不同類別，又可分為預(yù)防、管理、認(rèn)證、分析、檢測(cè)、處置等不同領(lǐng)域。此外，各類新興概念也是你方唱罷我方登場(chǎng)：零信任、態(tài)勢(shì)感知、SOAR…

　　放眼望去，網(wǎng)絡(luò)安全市場(chǎng)一片繁榮的景象，網(wǎng)安人們都有著美好的未來(lái)。

　　在網(wǎng)絡(luò)安全市場(chǎng)中，甲方企業(yè)采購(gòu)預(yù)算是主導(dǎo)市場(chǎng)的關(guān)鍵因素之一。預(yù)算或增或減、支出重點(diǎn)戰(zhàn)略方向等都是甲方和廠商共同關(guān)心的問(wèn)題。對(duì)此，F(xiàn)reeBuf咨詢聯(lián)合FreeBuf甲方智庫(kù)特別策劃了《2021國(guó)內(nèi)甲方企業(yè)安全建預(yù)算調(diào)研報(bào)告》。

　　在未知的風(fēng)浪面前，我們希望可以從報(bào)告中看到不同企業(yè)的安全建設(shè)投入狀況，也得以一探近幾年國(guó)內(nèi)安全發(fā)展的冰山一角。

　　Key Findings

　　網(wǎng)絡(luò)安全行業(yè)普遍具備較高的抵抗風(fēng)險(xiǎn)能力，40%的調(diào)研企業(yè)認(rèn)為2020年疫情對(duì)企業(yè)安全建設(shè)投入絲毫無(wú)影響。

　　企業(yè)對(duì)新一年的安全建設(shè)預(yù)算投入保持謹(jǐn)慎態(tài)度并呈現(xiàn)穩(wěn)健發(fā)展趨勢(shì)，企業(yè)安全建設(shè)投入聚焦于100W-500W金額區(qū)間，43%的企業(yè)2021年安全建設(shè)預(yù)算IT占比在3%-10%。

　　數(shù)據(jù)安全保護(hù)建設(shè)、安全運(yùn)營(yíng)體系建設(shè)、管理制度體系建設(shè)、應(yīng)急響應(yīng)體系建設(shè)和開(kāi)發(fā)與運(yùn)維安全建設(shè)成為企業(yè)2021年關(guān)注的規(guī)劃重點(diǎn)。同時(shí)個(gè)人隱私保護(hù)、演練對(duì)抗、DevSecOps、DLP、SIEM/SOC占據(jù)企業(yè)2021安全熱詞榜前列。

　　金融行業(yè)安全建設(shè)現(xiàn)狀已達(dá)到較高的行業(yè)水平，安全建設(shè)投入/預(yù)算IT占比明顯高于全行業(yè)平均水平，24%的金融企業(yè)2021安全建設(shè)預(yù)算IT占比達(dá)到了10%-15%。

　　調(diào)研背景篇

　　本次調(diào)研的參與者均為國(guó)內(nèi)甲方企業(yè)安全從業(yè)者，從行業(yè)分布數(shù)據(jù)可以看到，互聯(lián)網(wǎng)/電子商務(wù)行業(yè)與金融行業(yè)占比達(dá)到40%。同時(shí)從企業(yè)屬性分布來(lái)看，民營(yíng)企業(yè)與國(guó)企占比85%，是本次調(diào)研的主要組成對(duì)象。

　　企業(yè)安全建設(shè)預(yù)算統(tǒng)計(jì)篇

　　回顧2020年，疫情對(duì)宏觀環(huán)境的短期沖擊是顯而易見(jiàn)的，企業(yè)普遍緊縮支出、控制成本。在全行業(yè)普遍受到疫情影響的情況下，我們發(fā)現(xiàn)，網(wǎng)絡(luò)安全行業(yè)普遍具備較高的抵抗風(fēng)險(xiǎn)能力。調(diào)研結(jié)果顯示，40%的調(diào)研企業(yè)認(rèn)為2020年疫情對(duì)企業(yè)安全建設(shè)投入絲毫無(wú)影響，僅有16%的調(diào)研企業(yè)認(rèn)為影響很大。

　　與此同時(shí)，我們也發(fā)現(xiàn)，企業(yè)對(duì)新一年的安全建設(shè)預(yù)算投入保持謹(jǐn)慎態(tài)度并呈現(xiàn)穩(wěn)健發(fā)展趨勢(shì)，企業(yè)安全建設(shè)投入聚焦于100W-500W金額區(qū)間。對(duì)比2020年與2021年安全建設(shè)投入/預(yù)算數(shù)據(jù)，可以看到整體變化幅度并不大，有36%的企業(yè)新年安全建設(shè)預(yù)算處于100W-500W區(qū)間。

　　此外，調(diào)研也發(fā)現(xiàn)：企業(yè)安全建設(shè)投入IT占比逐漸向3%-10%區(qū)間聚集。網(wǎng)絡(luò)安全已融入到各行業(yè)IT決策的每一個(gè)環(huán)節(jié)中。對(duì)比2021年和2020年企業(yè)安全建設(shè)投入/預(yù)算數(shù)據(jù)，可以清晰看到，安全建設(shè)投入IT占比在3%以下的企業(yè)數(shù)量逐漸減少，更多企業(yè)開(kāi)始注重安全建設(shè)的重要性。

　　后疫情時(shí)代，衍生于新場(chǎng)景、新業(yè)態(tài)下的新安全威脅，正在考驗(yàn)著企業(yè)的安全技術(shù)、團(tuán)隊(duì)和能力儲(chǔ)備。與此同時(shí)關(guān)于加強(qiáng)網(wǎng)絡(luò)安全建設(shè)的相關(guān)政策紛紛出臺(tái)，促使企業(yè)在嚴(yán)峻安全局勢(shì)和合規(guī)政策緊縮的雙重壓力下，持續(xù)增加在網(wǎng)絡(luò)安全方面的投入。

　　企業(yè)安全建設(shè)現(xiàn)狀與展望

　　首先針對(duì)企業(yè)安全建設(shè)現(xiàn)狀，我們從安全建設(shè)階段和安全團(tuán)隊(duì)規(guī)模兩方面調(diào)研展示。調(diào)研結(jié)果發(fā)現(xiàn)，企業(yè)安全建設(shè)仍舊具備較高的發(fā)展空間。僅有15%的企業(yè)處于安全建設(shè)的提升階段，同時(shí)超過(guò)半數(shù)以上的企業(yè)安全團(tuán)隊(duì)規(guī)模僅有5人以下。

　　其次針對(duì)企業(yè)2021年安全建設(shè)規(guī)劃重點(diǎn)，調(diào)研發(fā)現(xiàn)：數(shù)據(jù)安全保護(hù)建設(shè)、安全運(yùn)營(yíng)體系建設(shè)、管理制度體系建設(shè)、應(yīng)急響應(yīng)體系建設(shè)和開(kāi)發(fā)與運(yùn)維安全建設(shè)成為企業(yè)更加關(guān)注的規(guī)劃重點(diǎn)。

　　此外，我們也重點(diǎn)統(tǒng)計(jì)了2021年企業(yè)安全建設(shè)熱詞榜，值得一提的是，個(gè)人隱私保護(hù)、演練對(duì)抗、DevSecOps、DLP、SIEM/SOC成為企業(yè)關(guān)注度及討論頻率最高的熱詞。

　　“幸福”的企業(yè)都是相同的，“不幸”的企業(yè)各有各的“不幸”。最后關(guān)于企業(yè)安全建設(shè)中的驅(qū)動(dòng)因素與困難點(diǎn)，調(diào)研數(shù)據(jù)顯示：合規(guī)影響、安全監(jiān)管以及企業(yè)高層重視是促使企業(yè)安全建設(shè)不斷前行的動(dòng)力來(lái)源。與之伴隨地，則是企業(yè)在安全建設(shè)中遇到的諸多實(shí)際困難點(diǎn)，老生常談的有專業(yè)安全人員欠缺、安全預(yù)算有限，此外還有安全廠商產(chǎn)品服務(wù)有待提升、安全建設(shè)不受重視等。

　　金融行業(yè)特別分析篇

　　金融行業(yè)一向走在網(wǎng)絡(luò)安全建設(shè)或發(fā)展的前列，因此我們特別統(tǒng)計(jì)分析了金融行業(yè)的安全建設(shè)預(yù)算狀況。受調(diào)的金融企業(yè)中主要包括銀行、保險(xiǎn)、證券/基金類企業(yè)、金融科技類。

　　首先，對(duì)比全行業(yè)平均水平來(lái)看，金融行業(yè)安全建設(shè)現(xiàn)狀已達(dá)到較高的行業(yè)水平。80%的金融企業(yè)處于穩(wěn)定或提升的安全建設(shè)階段，此外有40%的企業(yè)已具備11人以上的安全團(tuán)隊(duì)規(guī)模。

　　回顧2020年，金融行業(yè)安全建設(shè)投入受疫情影響較小。近四成的金融企業(yè)2020安全建設(shè)投入IT占比在3%-10%區(qū)間，還有21%的企業(yè)安全建設(shè)投入IT占比達(dá)到了10%-15%。

　　此外，金融企業(yè)安全建設(shè)投入/預(yù)算IT占比明顯高于全行業(yè)平均水平。根據(jù)調(diào)研數(shù)據(jù)，24%的金融企業(yè)2021安全建設(shè)預(yù)算IT占比達(dá)到了10%-15%，是同等區(qū)間全行業(yè)統(tǒng)計(jì)比例的一倍。

　　調(diào)研番外

　　預(yù)算掣肘的一粒灰，落在甲方安全人頭上就是一座山。

　　在日常與甲方交流與討論中，對(duì)這一點(diǎn)我們感受頗深?！鞍踩?個(gè)人，安全預(yù)算0元的企業(yè)多了去了。那1個(gè)安全人員還是因?yàn)槌隽耸铝瞬耪械??！盕reeBuf甲方群的一位大佬如是說(shuō)。

　　世界的悲喜并不想通，甲方群的另一位大佬也分享了他2021的計(jì)劃，“剛重新整了一份半年預(yù)算1500W，改天去匯報(bào)”。

　　還有一位甲方說(shuō)道，“申請(qǐng)預(yù)算也是需要找準(zhǔn)關(guān)鍵點(diǎn)，合規(guī)驅(qū)動(dòng)以及同行業(yè)對(duì)比驅(qū)動(dòng)都是有效的，比如領(lǐng)導(dǎo)一看同行業(yè)預(yù)算每年都高達(dá)1500W，明年也得給你加預(yù)算了。如果研發(fā)能力還達(dá)不到的話，可以基于現(xiàn)有開(kāi)源工具先運(yùn)營(yíng)起來(lái)，等以后有預(yù)算了再招合適的人優(yōu)化”。

　　也有一位甲方分享道，“做安全的就是任重道遠(yuǎn)。最簡(jiǎn)單來(lái)說(shuō)，首先把公司信息資產(chǎn)的價(jià)值估算出來(lái)，這個(gè)需要去做調(diào)研。其次生產(chǎn)類企業(yè)還要計(jì)算產(chǎn)線受攻擊停線的損失，梳理出風(fēng)險(xiǎn)點(diǎn)、計(jì)算可能的損失，這樣就可以定向提出針對(duì)此類風(fēng)險(xiǎn)的解決方案和預(yù)算?！?/p>

　　在這些討論中，我們看到了安全從業(yè)者的焦慮又或是躊躇滿志，更多是不斷前行的勇氣與信心，前沿技術(shù)、熱點(diǎn)安全態(tài)勢(shì)永遠(yuǎn)是安全從業(yè)者追逐的方向，網(wǎng)絡(luò)安全的責(zé)任感也始終承繼在身。

　　在此以馮唐的一段話結(jié)語(yǔ)：“不要怕黑暗，不要怕窮困。我們最快樂(lè)的時(shí)光是坐在路邊喝啤酒的時(shí)光，我們最滿足的時(shí)光是發(fā)現(xiàn)前人尚未發(fā)現(xiàn)的幽微的光芒?！?/p>