2021中国网络安全行业创新创业研究报告

目前，网络安全上升到国家安全的新格局。2021年11月18日，中共中央政治局召开会议，其中审议通过《国家安全战略（2021－2025年）》。会议指出，“新形势下维护国家安全，必须牢固树立总体国家安全观，加快构建新安全格局”。会议强调，“确保重要基础设施安全”，“加快提升生物安全、网络安全、数据安全、人工智能安全等领域的治理能力”等任务。习近平总书记，多次强调“没有网络安全就没有国家安全”。可见，网络安全和数据安全，在国家整体安全观战略之下，上升到国家安全的新格局。

2021年是我国十四五规划的开局之年，也是网络安全和数据安全法律法规发布最为密集的一年。网络安全产业的发展，离不开国家政策的引导，尤其国家政策提倡数字化转型，提出“上云用数赋智”的具体要求。网络安全和数据安全的法律法规，对政府和企业的安全提出合规的新要求，需要合适的网络安全产品和服务来满足这些要求。国家政策的牵引，法略法规的要求，能够极大促进网络安全产业的发展。

在这样的背景下，计算机安全专委会创新创业工作组展开2021年网络安全行业创新创业研究，分析网络安全产业发展的情况和趋势，安全创新企业的融资布局，技术领域的热点情况等，并展望未来网络安全行业的长远发展。

一、网络安全产业发展概述‍

（一）全球网络安全产业发展

从全球来看，网络安全产业的规模持续增长。根据咨询机构IDC估算，2021年全球网络安全市场规模达到1435亿美元，同比增速约为8.7%。在区域分布上，北美地区占据全球网络安全市场的最大份额，其中美国网络安全产业规模最大，接近全球的一半。英国和德国为主的西欧地区网络安全市场规模次之，达到25%。以我国、日本、澳大利亚等亚太区域的网络安全产业规模位列全球第三，达到20%。其他区域的产业规模较小，不足10%。

网络安全产业，从客户购买的产品来看，分为安全硬件、软件和安全服务三种类型。其中，防火墙类安全网关是安全硬件中占比最大的产品，终端安全和身份管理为主要的安全软件，安全咨询、安全运营、安全集成和培训和教育输入安全服务市场。

全球范围来看，网络安全企业的投融资较为活跃。根据Momentum Cyber数据，2021年前三个季度，网络安全的投融资活动非常活跃，共计850笔交易，并购交易价值总计686亿美元。

（二）中国网络安全产业发展

中国网络安全产业规模与全球相比，有两个特点，一是占据的份额较小，一是增长快速。IDC预测，2021年中国网络安全市场总体支出将达到102.2亿美元，在全球市场中占7.1%。在国家政策法规、数字经济、威胁态势等多方需求驱动下，中国网络安全产业市场规模持续呈现快速发展态势，年化复合增长率达到16.8%，远远大于全球年化9.41%的增长率，显示了未来中国网络安全市场的发展潜力与发展空间。

中国网络安全产业，在产品和服务的构成上有着自己的特点。主要体现在，安全硬件投资比例大，安全软件和服务投资比例小。根据IDC的统计，网络安全硬件投资，全球约占16%，我国在安全硬件上投资接近50%。

中国陆续完善和发布系列网络安全和数据安全相关的法律法规。继2016年发布《网络安全法》之后，2021年，网络安全相关法律法规密集出台。《数据安全法》、《个人信息保护法》、《关键信息基础设施保护条例》、《网络产品安全漏洞管理规定》等系列法律法规密集出台，标志着我国在网络安全在规范化和法制化逐步完善。

我国网络安全态势持续向好。网络攻防演练活动促进了企业安全防护体系的建设，提升了安全管理人员和技术人员的能力。攻防演练活动，近年来从国家到地方相继开展，不断扩大范围。政府和企业重视安全演练带来的检验效果，加大网络安全投入，完善网络威胁检测，攻击预警，应急处置等能力，从整体上改善我国网络安全态势。

二、网络安全创新创业政策分析‍

网络安全行业的创新发展，离不开国家相关政策的指引。2021年是十四五规划的开局之年，也是多个重要法律法规密集发布的一年。产业政策和法律法规，对网络安全产业的繁荣有重要的牵引和促进作用。

（一）产业政策牵引

2021年3月，《国民经济和社会发展第十四个五年规划和2035年远景目标纲要》（以下简称《十四五规划和远景纲要》）正式发布。《十四五规划和远景纲要》中，对加快数字化发展，建设数字中国。提出要打造数字经济，加快推动数字产业化发展，产业数字化转型，加快数字社会的建设，提高数字政府的建设水平，建立健全数据要素市场规则等。

2021年上半年，发布《网络安全产业高质量发展三年行动计划（2021-2023年）（征求意见稿）》，主要目标在于推动我国网络安全产业，实现技术先进、产业发达的高质量发展。

（二）法律法规促进

2021年，是网络安全和数据安全相关法律法规密集出台的一年。《数据安全法》和《关键信息基础设施保护条例》同时在2021年9月1日开始执行，《个人信息保护法》在2021年11月执行。此外，工业和信息化部、国家互联网信息办公室、公安部联合制定《网络产品安全漏洞管理规定》，针对产品提供者和网络运营者，以及从事漏洞发现、收集、发布等活动的组织或个人，提出漏洞发现、报告、修补、发布等方面的规范要求。

国家政策牵引和法律法规的出台，让政府和企业更多的关注网络安全，提高网络安全在IT建设中的投资比例，更加促进网络安全产业创新创业的发展。

（三）技术领域创新

国家在下发的政策中鼓励新技术新应用的创新，为网络安全的创新创业带来新的机会。在十四五规划和高质量发展行动计划中，列举了一些新的技术领域，包括，5G、大数据、人工智能、车联网、工业互联网、物联网等等。2020年，国家发改委部署新基建策略，推动新型基础设施发展。新基建中提到了很多技术领域，比如5G、物联网、工业互联网、卫星互联网等通信网络基础设施，人工智能、云计算、区块链等为代表的新技术基础设施。此外，新基建还包括融合基础设施和创新基础设施等。

新技术领域的应用，需要网络安全的保障。不管是5G通信网络，还是物联网，工业互联网等等，在应用访问，网络通信，数据中心计算环境等等，都需要网络安全来适配这些新场景，保障业务的持续稳定运行。

（四）国际相关政策借鉴

2021年5月12日，美国总统拜登签署《关于加强国家网络安全的行政命令》，其目的是为了提升美国政府网络安全现代化、软件供应链安全、事件检测和响应以及对威胁的全面抵御能力。此行政命令涵盖了许多网络安全问题，包括建立一个政府和私营部门共同领导的网络安全审查委员会，审查和评估发生在美国的重大网络事件、威胁活动、漏洞、修复活动和机构响应。此外，行政命令要求联邦机构创建“零信任”环境，政府部门向云技术的迁移应在可行的情况下采用零信任架构。

行政命令主要包括以下七个方面：

· 消除共享威胁信息的障碍

· 联邦政府网络安全现代化

· 提高软件供应链的安全性

· 建立网络安全审查委员会

· 使《联邦政府应对网络安全漏洞和事件的行动手册》标准化

· 加强联邦政府网络中网络安全漏洞的检测能力

· 提高联邦政府的调查和补救能力

美国此次行政命令，背景是在发生了一系列重大网络安全事件。2021年初发生的SolarWinds供应链攻击、微软Exchange漏洞攻击，2021年5月，科罗威尔输油管道因为勒索软件攻击而关闭。这些事件的发生，暴露了美网络安全防御能力的严重不足。此次行政命令，一方面对供应链安全提出前所未有的要求，一方面对关键信息基础设施，尤其是工业互联网和工控系统的安全提出要求。

2020 年 12 月，欧盟理事会通过数字十年网络安全战略，主旨为保护欧盟公民和企业免受网络威胁、促进保护欧盟信息系统进而保护全球、构建开放、自由和安全的网络空间而采取的行动框架。

该战略指出了欧盟在未来需要采取行动的领域，主要包括：

· 建立覆盖全欧盟的安全运营中心，监测与预警网络攻击

· 与网络部门相配合，构建欧盟网络安全危机管理框架

· 致力于推动欧盟 5G 工具箱的实施，确保 5G 网络的安全性和下一代网络的发展

· 加快关键互联网安全标准的采用，有助于提高互联网的安全性和开放性，也提高了欧盟的行业竞争力

· 支持强加密技术的研发，保障基本权利与数字安全，确保执法和司法体系在线上和线下具有行使职能权力的能力

· 注意防范和打击有巨大影响的网络攻击，例如影响供应链、关键信息基础设施、基本服务、民主机构等破坏经济安全的重大攻击

· 建议成立网络情报工作组增强欧盟在此领域的专业能力

· 加强与国际组织和友好国家的合作以增进对网络威胁态势的共识

· 建议制定欧盟外部网络能力建设议程以促进全球网络改善

2020 年 12 月，欧盟理事会通过数字十年网络安全战略，主旨为保护欧盟公民和企业免受网络威胁、促进保护欧盟信息系统进而保护全球、构建开放、自由和安全的网络空间而采取的行动框架。

欧盟理事会鼓励委员会和高级代表制定详细的实施计划，以确保制定、实施和监督网络安全战略中提到建议的落实。欧盟理事会还将通过一项行动计划来监督执行的进度，该行动计划将定期对执行情况进行审查和更新。

美国和欧盟的相关政策，对我国网络安全产业有一些借鉴作用。首先，产业政策的制定要有针对性。此次美国关于加强国家网络安全的行政命令，就是针对美国出现一系列重大网络安全事件的情况下作出的。

其次，政策制定具有指导作用。美国行政命令，明确提出供应链安全和零信任体系的建立。欧盟的十年战略明确了5G工具箱的实施。具体的政策，一方面给建设单位提供明确的指南，一方面给网络安全企业的创新提供指导。

最后，我们看到，供应链在美国和欧盟都有提到。尤其是美国行政命令，特别引入“关键软件”概念，特指与系统特权或直接访问网络、计算机资源相关的软件，是供应链安全问题的重点。2021年12月的Log4j的重大开源软件漏洞，也让我们看到开源软件供应链存在着很多严重问题。我国在供应链安全的基础比较薄弱，需要从国家主管机构，和企业等层面建立软件供应链安全风险的发现能力、分析能力、处置能力、防护能力，整体提升软件供应链安全管理的水平。

三、网络安全行业投融资情况‍

（一）网络安全投融资活跃

随着我国社会加速数字化转型，政府和企业对网络安全建设的需求逐步增强，网络安全公司近些年受到全球资本的青睐。2021年国内安全市场投融资活动日常活跃。截至目前，国内安全行业共发生融资交易约127笔，根据已披露具体融资金额的交易记录显示，融资总金额超过100亿元。

在亿元级融资交易中，单次融资金额在1亿至3亿的交易占总交易数量10%，超过3亿元占21%，（包括单次融资数亿元但未披露具体金额在内）的单次融资金额超过亿元的交易占总交易数量达35%以上；在千万元级交易中，单次融资金额超过5000万元的交易占总交易数量的23%，占融资金额已披露千万级交易总数量的70%，单次融资金额在1000万至5000万元的融资交易占总交易数量的6%；另外，百万元级融资交易占总交易数量的4%。

除公司IPO以及上市公司定增外，e签宝公司于2021年9月在E轮融资12亿元，创下年初至今金额最高融资交易记录。该公司是电子签名领域的领导者，提供全球领先的电子合同全生命周期服务，公司旗下重点产品为电子签名与智能履约平台、物电一体化的印章管理平台、身份认证和智能风控系统以及基于区块链的证据管理系统。

本次融资交易由红杉中国、IDG资本、普洛斯隐山资本等机构领投，国海创新资本、广投资本、温氏资本及老股东达晨财智、远翼投资跟投。

从融资阶段的分布情况来看，今年截止目前，共有102家公司参与融资交易，位于A轮和B轮融资阶段的网络安全企业并列最多，均为19家，两者占参与融资公司总数量约为37%；位于天使轮和Pre-A轮融资阶段的公司数量并列第二，均为14家；处于以上四个轮次的网络安全公司占总融资公司数量的65%。

总体来看，国内网络安全公司在融资阶段分布上面呈现多元化态势，不同轮次的获投概率也在持续增加。

（二）热点技术领域

从获投企业所处的细分技术领域来看，截至目前融资交易次数排名前五的安全技术领域分别是数据安全、安全运营、身份与访问管理、工业互联网安全、云和云原生安全（应用安全并列），以上领域融资交易次数占总交易次数的76%。不难看出，资本市场对这些热门安全方向青睐有加。

数据安全领域在2021年共获得24笔融资，在所有细分领域获投次数中最多，该领域目前融资规模近20亿元（仅统计已披露具体融资金额的数据，实际规模更高）。我国今年陆续颁布《数据安全法》、《个人信息保护法》以及《关键信息基础设施保护条例》等重磅法案，从政策层面对数据合规以及各行业的数据监管提出了更严格的要求。数据安全无疑成为本年度资本竞相追逐的热点技术领域，在众多安全投融资活动中拔得头筹。

另外，在业务模式上，今年在投融资活动中出现了多次以SaaS形式交付安全能力公司的身影。相信随着国内企业的SaaS化转型，未来将会出现更多以轻资产、服务化为业务导向的网络安全公司，为客户提供更加灵活和弹性的安全能力。

从各家安全公司的投资方来看，国有资本对网络安全产业的关注度正在不断增长。2021年看好网络安全产业的投资方包括海淀国资委国新融智基金、深创投、中电科研投基金、神州数码、国家中小企业发展基金等多家国资背景投资机构。可以看到，国有资本正在加大对网络安全科技创新企业的扶持和引导，国有资本的加入对于拉动网络安全产业规模增长，促进网络安全产业蓬勃发展具有十分重要的意义。

总体来看，今年截至目前100+笔融资交易的数据反映出我国网络安全产业背后巨大的市场潜力，我国产业数字化进程还将持续加快，更多的安全需求和场景也会随之诞生，新时代下网络安全产业已势不可挡。

四、网络安全创新创业建议‍

（一）创新创业建议

我国网络安全受到各方关注，网络安全产业的利好政策不断出台，政府和企业对网络安全的重视程度不断增强。网络安全产业做大做强，应该从需求侧、供给侧、监管侧三个方面来推进和提升。

从需求侧来看，要确实满足国家法律法规的要求，建设和完善网络安全治理体系。企业网络安全投入增多，但是和欧美、日本等发达国家相比，网络安全在整个IT投入的占比还很小，说明网络安全的需求还没有充分释放。网络安全技术措施切实满足三同步要求，即同步规划、同步建设、同步使用。避免过去先上马业务系统，安全以修补的方式建设，充分释放网络安全需求。

从供给侧来看，安全产品和服务提供商要不断创新和拓宽业务。一方要修炼内功，在技术新领域和服务模式上不断创新，满足客户在新基建领域的各种需求；另一方面，有实力的安全企业，可以将业务扩展到海外市场，参与国际化竞争。

在监管侧来看，发挥政府在政策制定和市场监管的作用。法律法规的贯彻落实， 比如对等级保护2.0和关键信息基础设施的保护的落地执行，也需要监管侧的监督检查。维护公平的市场竞争环境，培育健康有序的产业生态，依赖于监管侧的监督指导。

（二）人才培养

网络安全本质在对抗，对抗的本质在于攻防两端的技术较量。网络空间安全的竞争，归根到底是网络安全人才的竞争。网络安全创新创业，既需要懂技术又创新能力的专业人才，也需要懂市场有创业精神的企业家人才。

我国出台了一些政策，增设网络空间安全一级学科，培养网络安全人才。据统计，全国170所高校设立了网络安全相关专业，每年有接近2万毕业生。国家在一些区域，成立了网络安全培养基地，为网络安全行业输出高质量人才。

培育和引进高质量领军型人才。网络安全创新发展，领军型人才在理论研究、技术创新、成果转化、应用实战等方面能够带领产业跨越式发展，掌握核心技术的高级人才能够有开创性的工作。

推进高校和企业合作，协同培育人才。网络安全是一个综合性学科，实践中，应届毕业生进入企业，还需要一段时间的培养，才能上手工作。高校和企业可以展开合作，开设有针对性的课程，学生提前进入企业实践。校企合作组织网络安全竞赛，以赛代练，选拔高质量人才。

五、网络安全创新创业趋势展望‍

（一）国家数字化发展战略对安全产业的长期促进

十四五规划中提出“加快数字化发展，建设数字中国”，加快建设数字经济、数字社会、数字政府，以数字化转型整体驱动 生产方式、生活方式和治理方式变革。

数字经济蓬勃发展，与实体经济相融合。与此同时，网络安全、数据安全、隐私保护等威胁和挑战如影相随，各个行业，如电信、交通、电力、金融、医疗等，都会受到网络安全的影响，严重者会造成国家安全、社会秩序、公众利益等各方面损失。网络安全事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题，怎么强调都不为过。习近平总书记总结: “没有网络安全就没有国家安全 , 没有信息化就没有现代化。”习近平总书记阐述了网络安全和信息化发展的辩证关系，指出“网络安全和信息化是一体之 两翼、驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施。”

发展数字经济，加速数字化转型的同时，需要考虑网络安全和数据安全威胁对数字经济的影响，解决网络安全和数据安全领域的突出问题，符合国家相关法律要求合规经营。这是数字化发展战略对网络安全产业的需求，也是促进网络安全产业长期发展和繁荣的推手。

（二）网络安全创业企业单点创新趋势

网络安全市场的玩家，不仅包括创新创业者，还包括传统的安全厂商，以及云计算厂商等等，他们都在积极创新。这些企业，在激烈的市场竞争中，都希望取得技术和服务的领先优势，开发一些独有的功能特征，像市场推出新产品，期望占领先机。传统安全厂商一般产品线长，有市场基础，但存在大公司的通病，决策时间长，试错成本高。创业企业则更灵活，在一些特定的领域，还未等大公司觉察，先行进入，开发新品推向市场。在单点上突破，做深做透，得到客户的满意和认可，先生存下去，是网络安全创业企业取得成功的关键。创业企业这一自发的经营行为，形成了网络安全产业的单点创新的趋势。

（三）数据安全成为网络安全创新热点

数字化转型期，“上云用数赋智”政策牵引，以及数据安全相关的法律法规发布，使得数据安全和隐私成为创新创业热点。数据作为生产要素，保障数据交易和共享的安全，也将促进数据安全的隐私保护的创业热度。

数据安全相关法律法规陆续颁布执行，使得数据安全成为今年投融资最为活跃的领域。法律法规从颁布到执行，需要对法律条款的细化理解和实践。静态数据的加密，动态数据的脱敏和泄漏防护等，融合人工智能等数据识别和判断。

从前面对网络安全行业投融资情况分析，数据安全相关的融资处在领先的位置。从国家政策牵引到法律法规的颁布执行，企业为了满足数据安全和隐私方面合规要求，逐渐增加数据安全产品和服务的投入。这是网络安全创新创业的热点领域，这一趋势也将长期维持。

（四）云安全向细分领域深入

云计算逐渐走向混合云，多云，云原生等细分领域，带动云安全朝着多云安全和云原生安全方向演进。云计算平台的集约化，计算和存储资源的弹性可扩展等优势明显，政企上云的的速度越来越快。采用多云的策略，提高可用性，避免绑定一家云服务商。据统计，全球在2025年，将会有一半的企业采用多云的部署方式。

随着容器技术和容器编排趋于成熟，越来的越多的公有云和私有云提供基于容器编排的云原生技术。CNCF 组织在2020年调研发现，已经有83% 的组织在生产环境中选择容器编排环境，容器已经成为应用交付的标准，是云原生时代计算资源和配套设施的交付单元。对于容器镜像的安全和编排环境的安全是云原生的主要需求，云原生安全会随着容器和容器编排的应用逐渐发展。