前言

最近同网络安全行业的创业者及投资人交流发现，明显感觉到越来越多资本开始关注网络安全行业，但另一方面，网络安全又是一个门道很深，商业信息又相对封闭的领域，绝大部分公开的行业报告和文章，都充满了IT味的语言，对于非产业或技术出身的投资人十分不友好。

笔者非产业人士背景，亦非技术出身，于20年4月份首次接触到网络安全创业公司，下半年开始相对聚焦网络安全，非常能体会网络安全行业创业投资从零基础开始摸索入门的难度，故根据自己一路过来积累的经验与思考整理出此文。

最初只是想做一个简单的梳理，没想到写着写着就到了1万5千多字，部分内容出于多种原因未作进一步展开。文中尽量将每个点阐述得通俗易懂，希望能够对刚开始接触网络安全领域的VC/PE投资人有所帮助，对推进网络安全产业投融资繁荣作出一些贡献。

文本将从以下三大方面来梳理整个网络安全行业：

1.网络安全领域创业投资基本面概述

2.为什么网络安全行业非常难看懂

3.网络安全赛道零基础创投入门方法论

涉及到公开研报和文章可以查询到的行业信息，则不再重点阐述。

 

一. 网络安全行业投资基本面概述

基本面概述

网安行业的基本面在很多公开的研报上都有相关描述，但大部分读起来都相对晦涩难懂，这里笔者按自己的理解，从投资的角度重新梳理。

1.1 网络安全行业的范围

网络安全这个概念听上去非常广，因为涉及到IT设施的地方都有网络安全。

但在国内，大部的市场范围，可以模糊的理解为面向一批自主IT建设能力不是很强，但又有较充足采购预算的企业或单位，单独提供能更好保障IT设施按设计要求正常使用，避免被人恶意破坏或使用的一些列产品或服务。

几乎所有涉及到联网计算设备的地方都需要网络安全，但并不是所有与建设或加强网络安全有关的事物，都可以纳入网络安全行业的统计范围。

比如某个计算设备或软件系统在设计时考虑并加入的安全措施，同样涉及大量的网络安全知识，但该部分的投入通常并不会计入网络安全行业的市场规模。

1.2 为什么会出现网络安全行业

网络安全行业的出现，笔者认为主要原因还是人才利用效率问题。对于大部分企业而言，所有网络安全需求，若均通过自主聘用相关人才来满足，管理成本过高。

而聚合了一批安全人才的网络安全公司，面向不同企业同时解决网络安全需求（通过产品及服务），大大摊薄了人力成本。

同时网络安全的本质是人与人之间的攻防对抗，所以大多数网络安全产品，其实是网安人才的部分能力的提炼。

比如将识别病毒、发现安全漏洞、阻断威胁等本由人完成的操作，通过固化规则或自动化脚本，使之具备更强的可复制性，而可复制性也进一步提升了网络安全公司的商业价值。

1.3 为什么网络安全行业有创业投资机会

资本会开始关注到某个行业，必然是因为有利可图，目前来看越来越多一级市场投资人开始关注网络安全，主要是因为科创板的放开大大降低了网络安全创业公司的上市周期，以及国家政策对于网络安全行业的支持，放开了较多网安公司的上市机会。

整个网安市场规模由于政策助推，预计会保持较长周期的高速增长，二级市场也普遍给予了较高的PE或PS倍数。

另外网络安全涵盖从IT建设的底层硬件到高层应用软件，任何IT设施的变化演进，往往都会带来新市场，比如移动互联网、云计算、工业互联网、物联网的普及催生了移动安全市场、云安全市场、工控安全市场以及物联网安全市场。

此外还有攻防对抗技术的升级迭代产生的新市场，任何一种防护手段，永远有攻击方会不断地琢磨如何找到破解方法，防护手段被破解后，也永远会有防守方不断琢磨如何找到新的防护方法，这个过程中往往就有新的产品源源不断出现。

所以总得来说，由于IT基础设施的变化，攻防对抗的演进都会产生新的技术要求，以及大公司由于船大难操控，对不是特别明确的新兴领域通常不会重点布局甚至不布局，这些都给行业内的小公司带来了很好的创业机会。

当然，新市场新玩家并不足以支撑完备的投资逻辑，新市场最后能涨多大往往是第一个要重点解决的问题，这也是网络安全创业投资碰到的最常见难题，因为这往往还涉及到新政策的具体动向。

1.4 网络安全行业到底值不值得看？

根据Frost&Sullivan以及国盛证券研究所数据，国内的软件及信息技术服务行业是一个7-8万亿的市场，网络安全（网络安全公司本质上提供的也是软件和服务）占其中1%不到，其中的门道又并不比软件行业要更简单。

客观的讲，综合考虑网络安全行业创业投资深耕所需要付出的精力，网络安全创业公司的估值增长速度以及整体市场容量，网络安全赛道的性价比至少在过去10年来看是比较低的。

所以这么多年除了产业出身的投资人，其实也没太多人关注这个领域，且鲜有投资人只看网络安全赛道，不少网络安全项目的投资人，是在看企业服务赛道或IT软件赛道的时候扫到网络安全项目，看着本身质地不错就出手投资。

但从投资的角度来看，任何一个赛道都存在投资人才和投资项目变化匹配的情况。优质项目多的赛道，机会多，抢机会的人也多。优质资产稀缺的赛道，机会少，争机会的人也少。

市场很大，公司发展快，看懂门槛也不高的赛道，竞争往往也非常激烈，如果投不到头部或至少质地中上的项目，这个赛道好不好可能跟你也没啥关系。

而能不能投到头部项目，跟你努不努力做研究，判断能力是不是超群又没特别紧密的联系，进入那个赛道的创业投资核心圈才是第一生产力。

所以这里就涉及到对自身情况的评估，基于自身的能力、兴趣、资源的积累、基金的品牌、基金投资组合策略等等，综合考虑来判断是否值得看网络安全赛道。再好的赛道也不是大家都看，再差的赛道也依然会有高回报项目，还是要不断的反思不断的突破自身限制条件。

网络安全行业目前的一个情况是，科创板和政策使得网络安全行业的资产端产生了重要变化，投出上市公司（至少对B轮及以后的项目而言）和并购退出的机会相对变多了，以前人才和项目端的平衡状态被打破，另一方面由于行业门槛比一般赛道高，使之在这段时间内出现了机会和竞争激烈程度不匹配的窗口期。

当然，这样看起来，好像半导体跟生物医药赛道要更好，的确。不过还是回到上面说的结合自身情况做评估，半导体与生物医药领域项目的技术门槛，比网络安全还是要高深太多。

且根据笔者粗浅的了解，半导体跟生物医药行业，商业因素和技术因素对一个项目的影响程度大约是三七开。而网络安全行业，商业因素和技术因素对一个项目的影响程度大约是六四开甚至七三开。

如果再把时间线拉长，那么网络安全的价值可能就看得更清晰一些。

除了涉及到国家安全战略，对绝大多数企业和单位来说，搞IT建设永远是满足业务需求为先，因为这才符合资源投入的产出比最高，所以要先让业务能跑起来，再多考虑安全的问题。

最后等到业务功能满足得差不多了，IT预算空出来一部分，对于增加安全投入显得比较富足了，再重点建设安全。

这点特性有些像奢侈品，当其基础需求充分满足后，才开始有更昂贵的投入，提前奢侈消费的还是属于少数人。这点在企业IT化建设更加成熟的美国也可以看出来，根据IDC数据，美国网安投入占整个IT投入大约是4.78%，中国只有1.84%。

所以网络安全行业做提早布局的一个重要逻辑也在于此，目前我国非互联网以外的企业，IT建设成熟度还有很大提升空间，整个产业互联网也还未到达下半场，长期来看，网络安全至少还有数倍的市场增长空间。

至于现在到底是不是最佳入场时间点，如果不是的话最佳入场时间点又在何时，这个就需要再做深入的研究才好得出了。

 

二. 为什么网络安全行业非常难看懂

 

进入门槛

可能每个非产业出身，首次接触网络安全创业项目的投资人，都容易觉得企业看起来总是特别的模糊，首先了解他们在做什么，没有IT技术背景的投资人就得花好一番精力，即使有技术背景的投资人，要站在全行业视角梳理产业情况、市场定位的时候，也容易陷入一团乱麻，毕竟接近100个纵横交错的细分领域，要做到简单又划分清晰的定位难度很高。

不少网络安全项目的创始人也曾向笔者抱怨，不希望再跟没看过网络安全项目的投资人接触，因为沟通起来特别费劲。

而笔者交流过的网安领域的资深投资人，即使网安产业出身，行业经验丰富，加上不短的投资年限，也都表示还有很多门道正在摸索，只出手中早期项目的资深投资人也非常少，此中门道可见一斑。

2.1 产品与业务关联度低，抽象程度高，定位难以梳理，造成理解困难

网络安全产品是为了攻防对抗而产生，而攻防对抗手段又大部分与计算机系统运行的底层原理息息相关，除了业务安全和身份认证这俩离业务比较近的领域，产品具体发挥的场景都远离非IT技术出身投资人的认知，导致了解半天也很难理清楚这个产品实质上到底在解决哪个问题。

一些AI领域的项目，即使技术原理上比网络安全更加难懂，但一对应业务场景就容易理解到产品的价值，比如人脸识别，工业自动化分拣，产品质量检测等等。

网络安全产品对应到业务上，无非都是为了保障业务正常运行，没有超出设计范围外的被恶意利用，大方向上的价值肯定没问题，但具体到对业务的价值到底能有多大，不同产品相互对比，就很难通过业务视角来辅助分析。

2.2 细分市场众多，产品功能范围纵横交错

别看网络安全行业市场只有600-700亿，但细分领域非常多。

按安全牛发布的全景图，网络安全细分领域共有15个大类，90个小类。按FreeBuf发布的全景图，网络安全细分领域共有约20个大类，80多个小类。

并且本就不大的总市场容量中，防火墙类产品（防火墙、下一代防火墙、统一威胁管理）又占去150多亿，等于剩下每个小类平均是7亿不到的市场空间。

但最让人PTSD的，并不是去理解快100类细分市场，而是近100类细分市场彼此之间还存在大量功能上纵横交错的情况。

比如FreeBuf定义的NTA/NDR产品通常又包含了APT高级威胁检测/恶意软件检测沙箱的功能，以及威胁情报的功能，而SOC或SIEM类产品通常又包含了NTA/NDR产品的部分功能，以及UEBA的功能，再比如UTM其实就是一个把防病毒、入侵检测、VPN等产品顺带集合在一起的防火墙.....

通常看一家中早期的网络安全公司，其产品涉及的领域也就1-3个小类，甚至有的虽然产品涉及到7-8个小类，但一看销售额，基本只有2-3个小类能攻入市场贡献主要业绩。

所以在做公司市场定位以及竞争对手比较的时候，如果不是类似领域每家都深入聊过，很难通过侧面获取的信息来做对比。

2.3 需求端信息较为封闭，调研难度大

商业的本质是交易，有需求才会产生交易。所以看一家网安创业公司，或一款安全产品，不能光从技术和安全效果来评估，还要结合下游采购方的需求情况，从投资的角度来看，后者更为重要。

但网络安全行业的主要客户，政府单位、军工单位、金融能源电信等国有资本主导的企业占到绝对大头，可以说是一个ToG属性比较明显的行业。

本身G端用户就不太容易接触调研，加上网络安全涉及到国家安全战略，属于比较敏感的领域，下游单位的网络安全是怎么建设的，具体的需求是什么，目前还面临哪些问题，对于哪类产品或服务未来会有更多的预算，绝不会轻易告知。

公开研报的确可以查阅到部分下游客户的需求，但最多也只到产品大类层面，而背后的需求原因，毕竟涉及到敏感信息，很少能见到阐述得较为清晰的。此外不同行业客户的IT基础不同，对网安的需求也存在不少差异之处。

想要较为准确的调研某款产品或一项技术当前的市场规模以及未来市场前景，理想情况下需要同大量不同政府部门、军工单位、银行、电信运营商、能源等企业或单位的网络安全总负责人以及IT总负责人进行深入的交流。

光是能聊完这一圈，门槛就已经非常高。

2.4 大部分公开商业信息较为模糊，在创投领域无法落地

如果去一个个翻阅网络安全上市公司的年报或招股书，会发现关于产品功能的描述也只能看个大概，往往宣传描述的是一回事，跟甲方用户了解具体功能场景又是另一回事。

现实中网络安全大厂都至少有几十款产品，上百也不奇怪，但年报中最多分5-6类产品大类进行划分，而且每家的产品大类划分维度还不一样，横向对比非常头痛。

关于网络安全行业的公开研报和各种分析报告，确实也有不少，但信息颗粒度相对于一级市场来说还是太粗，永远是我们面临的网络安全环境越来越严峻，每个提到的新技术、新品类都是未来的趋势。

Gartner年年都推出新概念，每个新概念也都是前途大大的有。

对于整体网安产业演进趋势以及个中变化背后的大逻辑，比如政策合规、IT基础设施变化、网络安全事件等因素，公开报告的确已经梳理得很好。

但具体到细分产品会发现宏观逻辑远不够用，市场大盘增长的逻辑，与不同网安产品之间更新换代此消彼长的逻辑还是非常不一样，具体门道分不同的下游行业以及产品领域又各有各的差异。

加上大部分产品，市面上根本没有三方机构市场规模的统计数据，只能靠非常模糊的推测。

部分新兴技术和产品你去向一线的甲方安全人员核实，回答多半是的确能提升安全效果，但是由于各种各样的原因，具体落地还有待考察，未来预算在这一块能给到多少还不是很好说。

所以网络安全是一个一二级市场信息差很大的行业，想要通过研究二级市场信息入门网络安全一级市场，不是特别可行。

2.5 当前主体市场偏合规导向，市场化程度不足

网络安全行业，虽然对技术的要求比一般的IT领域要更高，但不得不说，主体的市场量还是由政策在支撑。

从九五攻关，2003年的27号文件到信息安全等级保护、网络安全法等等，这些政策几乎是过去20多年驱动网络安全市场最重要的增长因素。

但这几年由于HW行动的开展，以及一些较为出名的安全事件比如勒索病毒等，也在逐渐推动各个下游客户单位从原来的仅仅为了合规要求，随便买一台，过渡到认真考察对比谁家的产品防护效果更好，从而决定采购。

这个变化的确给了不少能力型的小创业公司更多机会，但这个过程目前来看并不是非常快，还需要一定时间。

总体上偏合规的市场，再加上下游客户普遍对于网络安全产品好坏的辨识能力不足，共同导致了销售能力对于一家网络安全公司来说，往往比技术能力的影响要更大。

所以对于早期网络安全项目来说，有的投资人可能好不容易把产品和技术这块摸得差不多了，但对于企业后续到底能不能预期增长，依然不好判断。

这里也确实又引申出一个很有意思的问题，为什么网络安全，这样一个大家都知道非常重要的东西，其主体市场在过去的那么多年，却偏偏是以合规导向为主呢？

个人推测原因主要有二：

一是对网络安全需求最为强烈的主体（典型的比如互联网公司），通常都会自主聘用大量安全人才，即使管理成本比一般IT人员更高，但带来的收益（或避免的损失）也更高，足以覆盖外部采购网络安全产品或服务的成本。

这一部分能力导向的网络安全投入，并不会纳入到网络安全市场的统计中去，因为并未产生商业交易行为。

二是剩下那些对网络安全需求相对没那么强的企业，通常对网络安全的投入产出比难以估算，除非政策强制要求，否则预算分配难度大。

这里就涉及到网络安全这件事在商业上的一个缺陷，那就是对很多企业来说，很难较为准确地评估网络安全建设到底值不值，比如你今年投入了100万建设网络安全，它明年就帮你成功防御了10次攻击，并且其中有9次攻击本来会给你造成10万的损失，有1次攻击本来会造成你500万的损失。

因为这些攻击并没有成功，你并不知道本来你会有500多万的损失，因为它没有实际发生过，你最多知道成功防御了10次攻击，甚至可能很多失败的攻击你都没有发现，所以效益非常难评估。

绝大部分企业规划预算，说白了都是要考虑投入产出（包括直接或间接的效益）比的，所以对于那些没有因为安全问题火烧到屁股上的企业或单位来说，除了公认必做的基础边界防护（不然就等于裸奔了），进一步升级防护的投入，更多靠统管领导的安全意识，或者靠政策强制要求。

而政策要求下驱动的采购，就天然倾向于采购大品牌厂商的产品，因为一旦出了事情，还可以用大厂的品牌来扛雷，毕竟连安全大厂的产品都防不住，也不能完全怪你。若采购的是创业公司的产品（即使它真的更好），有可能让人怀疑是不是有利益输送，所以才去购买。

因此对于纯粹满足合规的采购需求，小厂面对大厂的劣势明显。