來看這樣一組數據：根據工信部的統計，國產安全廠商中有名有姓的企業就有1000多家，具備核心研發能力的企業也有500多家。廠商們可細分為終端、云、網絡、內容、應用、數據等不同類別，又可分為預防、管理、認證、分析、檢測、處置等不同領域。此外，各類新興概念也是你方唱罷我方登場：零信任、態勢感知、SOAR…

　　放眼望去，網絡安全市場一片繁榮的景象，網安人們都有著美好的未來。

　　在網絡安全市場中，甲方企業采購預算是主導市場的關鍵因素之一。預算或增或減、支出重點戰略方向等都是甲方和廠商共同關心的問題。對此，FreeBuf咨詢聯合FreeBuf甲方智庫特別策劃了《2021國內甲方企業安全建預算調研報告》。

　　在未知的風浪面前，我們希望可以從報告中看到不同企業的安全建設投入狀況，也得以一探近幾年國內安全發展的冰山一角。

　　Key Findings

　　網絡安全行業普遍具備較高的抵抗風險能力，40%的調研企業認為2020年疫情對企業安全建設投入絲毫無影響。

　　企業對新一年的安全建設預算投入保持謹慎態度并呈現穩健發展趨勢，企業安全建設投入聚焦于100W-500W金額區間，43%的企業2021年安全建設預算IT占比在3%-10%。

　　數據安全保護建設、安全運營體系建設、管理制度體系建設、應急響應體系建設和開發與運維安全建設成為企業2021年關注的規劃重點。同時個人隱私保護、演練對抗、DevSecOps、DLP、SIEM/SOC占據企業2021安全熱詞榜前列。

　　金融行業安全建設現狀已達到較高的行業水平，安全建設投入/預算IT占比明顯高于全行業平均水平，24%的金融企業2021安全建設預算IT占比達到了10%-15%。

　　調研背景篇

　　本次調研的參與者均為國內甲方企業安全從業者，從行業分布數據可以看到，互聯網/電子商務行業與金融行業占比達到40%。同時從企業屬性分布來看，民營企業與國企占比85%，是本次調研的主要組成對象。

　　企業安全建設預算統計篇

　　回顧2020年，疫情對宏觀環境的短期沖擊是顯而易見的，企業普遍緊縮支出、控制成本。在全行業普遍受到疫情影響的情況下，我們發現，網絡安全行業普遍具備較高的抵抗風險能力。調研結果顯示，40%的調研企業認為2020年疫情對企業安全建設投入絲毫無影響，僅有16%的調研企業認為影響很大。

　　與此同時，我們也發現，企業對新一年的安全建設預算投入保持謹慎態度并呈現穩健發展趨勢，企業安全建設投入聚焦于100W-500W金額區間。對比2020年與2021年安全建設投入/預算數據，可以看到整體變化幅度并不大，有36%的企業新年安全建設預算處于100W-500W區間。

　　此外，調研也發現：企業安全建設投入IT占比逐漸向3%-10%區間聚集。網絡安全已融入到各行業IT決策的每一個環節中。對比2021年和2020年企業安全建設投入/預算數據，可以清晰看到，安全建設投入IT占比在3%以下的企業數量逐漸減少，更多企業開始注重安全建設的重要性。

　　后疫情時代，衍生于新場景、新業態下的新安全威脅，正在考驗著企業的安全技術、團隊和能力儲備。與此同時關于加強網絡安全建設的相關政策紛紛出臺，促使企業在嚴峻安全局勢和合規政策緊縮的雙重壓力下，持續增加在網絡安全方面的投入。

　　企業安全建設現狀與展望

　　首先針對企業安全建設現狀，我們從安全建設階段和安全團隊規模兩方面調研展示。調研結果發現，企業安全建設仍舊具備較高的發展空間。僅有15%的企業處于安全建設的提升階段，同時超過半數以上的企業安全團隊規模僅有5人以下。

　　其次針對企業2021年安全建設規劃重點，調研發現：數據安全保護建設、安全運營體系建設、管理制度體系建設、應急響應體系建設和開發與運維安全建設成為企業更加關注的規劃重點。

　　此外，我們也重點統計了2021年企業安全建設熱詞榜，值得一提的是，個人隱私保護、演練對抗、DevSecOps、DLP、SIEM/SOC成為企業關注度及討論頻率最高的熱詞。

　　“幸福”的企業都是相同的，“不幸”的企業各有各的“不幸”。最后關于企業安全建設中的驅動因素與困難點，調研數據顯示：合規影響、安全監管以及企業高層重視是促使企業安全建設不斷前行的動力來源。與之伴隨地，則是企業在安全建設中遇到的諸多實際困難點，老生常談的有專業安全人員欠缺、安全預算有限，此外還有安全廠商產品服務有待提升、安全建設不受重視等。

　　金融行業特別分析篇

　　金融行業一向走在網絡安全建設或發展的前列，因此我們特別統計分析了金融行業的安全建設預算狀況。受調的金融企業中主要包括銀行、保險、證券/基金類企業、金融科技類。

　　首先，對比全行業平均水平來看，金融行業安全建設現狀已達到較高的行業水平。80%的金融企業處于穩定或提升的安全建設階段，此外有40%的企業已具備11人以上的安全團隊規模。

　　回顧2020年，金融行業安全建設投入受疫情影響較小。近四成的金融企業2020安全建設投入IT占比在3%-10%區間，還有21%的企業安全建設投入IT占比達到了10%-15%。

　　此外，金融企業安全建設投入/預算IT占比明顯高于全行業平均水平。根據調研數據，24%的金融企業2021安全建設預算IT占比達到了10%-15%，是同等區間全行業統計比例的一倍。

　　調研番外

　　預算掣肘的一粒灰，落在甲方安全人頭上就是一座山。

　　在日常與甲方交流與討論中，對這一點我們感受頗深。“安全1個人，安全預算0元的企業多了去了。那1個安全人員還是因為出了事了才招的。”FreeBuf甲方群的一位大佬如是說。

　　世界的悲喜并不想通，甲方群的另一位大佬也分享了他2021的計劃，“剛重新整了一份半年預算1500W，改天去匯報”。

　　還有一位甲方說道，“申請預算也是需要找準關鍵點，合規驅動以及同行業對比驅動都是有效的，比如領導一看同行業預算每年都高達1500W，明年也得給你加預算了。如果研發能力還達不到的話，可以基于現有開源工具先運營起來，等以后有預算了再招合適的人優化”。

　　也有一位甲方分享道，“做安全的就是任重道遠。最簡單來說，首先把公司信息資產的價值估算出來，這個需要去做調研。其次生產類企業還要計算產線受攻擊停線的損失，梳理出風險點、計算可能的損失，這樣就可以定向提出針對此類風險的解決方案和預算。”

　　在這些討論中，我們看到了安全從業者的焦慮又或是躊躇滿志，更多是不斷前行的勇氣與信心，前沿技術、熱點安全態勢永遠是安全從業者追逐的方向，網絡安全的責任感也始終承繼在身。

　　在此以馮唐的一段話結語：“不要怕黑暗，不要怕窮困。我們最快樂的時光是坐在路邊喝啤酒的時光，我們最滿足的時光是發現前人尚未發現的幽微的光芒。”