百家讲坛 | 宋荆汉：2025年网络安全行业的春天会来吗？

从各大上市安全公司公布的2024年度财务报告来看，行业整体形势不容乐观，大部分公司基本都是亏损状态。行业头部企业尚且如此，那么安全行业的中小企业的日子就更难过了。

很多人可能关心2025年安全行业会不会有更好的经营表现？很抱歉，笔者的专业很难让笔者做出这样的宏观经济预测，笔者今天是想从更深的价值层次，重新来思考网络安全行业的未来。

网络空间作为数字与人类文明的交汇点，也是国家主权疆域的延伸，攻防对抗必将一直存在，这个行业当然也会一直存在，这点毋庸置疑，但这个行业能否继续再发展，必须回到其提供的价值维度。

我们知道价值是由接受者来确定，乙方企业为甲方提供安全产品与解决方案，而甲方工作的安全人员能在多大程度上争取到相应的预算，乙方提供的产品服务又恰好能满足需求，这个需求驱动的市场才能健康地发展壮大起来。当前的安全市场，我们必须承认大部分还是合规驱动的，随着大规模数字化基础设施建设节奏放缓，各企业进入降本增效模式后，从业者难以看到行业的曙光。

引子：

一场价值错位的“安全罗生门”

老板

王总监，今年安全预算砍30%，大家克服一下。

可最近勒索攻击越来越…

总监

老板

等真出事再说，现在业务增长压力太大。

这场对话结束后，王总监看着满屏的“拦截10万次攻击”战报苦笑，安全部门就像个“隐形英雄”，明明在负重前行，却总被当成“成本黑洞”。

其实这不是个例，某机构调研显示：

▪ 72%的安全负责人认为管理层低估安全价值；

▪ 65%的业务部门觉得安全是“效率杀手”；

▪ 管理层最常问的问题是：“安全投入和公司赚钱到底有什么关系？”

我们在社区的交流群里，发现大家最喜欢讨论的问题也是："如何体现安全的价值”，笔者看到很多专家给出的度量指标，依然还是那么“专业”，笔者感觉应该要有点不一样的东西了。

问题的本质，是安全价值的“三重割裂”：技术人员用“漏洞数”自证价值，业务部门只看到“流程卡点”，老板眼里只有“预算和股价”。

为什么你越努力，

老板越觉得你不值钱？

安全部门有个致命惯性：用战术勤奋掩盖战略懒惰。

▪ 开发安全：堆砌SAST/IAST工具链；

▪ 数据安全：狂买DLP和加密产品；

▪ 汇报成果：罗列拦截攻击数、漏洞修复率…

但老板的思维是：

▪  “别说你多专业，先告诉我——你帮我省了多少钱？”

▪  “你让我少赔了多少钱？”

▪ “你帮我多赚了多少钱？”

真正的安全高手，都是“商业翻译官”。

3个可以尝试的实践

经典翻车案例：

某电商大促期间，营销部门偷偷上线“砍价裂变”活动，结果因接口未鉴权，被黑产薅走2000万——安全部门最后一个知道事故。

破局工具：[业务流程安全热力图]

▪ 横轴：业务流程多赚钱？（GMV贡献/客户量级）

▪ 纵轴：流程多危险？（历史事故损失×漏洞密度）

落地方法：

1. 优先绑定CEO最痛点的“现金牛业务”（如支付、供应链）；

2. 用《业务故障溯源看板》替代技术报告（老板最爱看“谁搞砸了事”）；

3. 把安全审查变成“业务加速器”（如自动化合规评估缩短上线周期）。

案例：

安全人最大的认知误区：总想证明自己“多重要”，却不会证明自己“多划算”。

老板真正想听的安全ROI公式：

安全净利润 = 避免的损失（罚款+赎金+业务中断） + 创造的收益（合规溢价+客户信任） - 投入成本

实战工具：[安全价值计算器]

▪ 输入：年安全投入、行业平均事故概率、业务营收规模；

▪ 输出：每投入1元安全预算，可规避__元潜在损失；

▪ 安全合规：对融资估值的加成比例：__%。

案例：

某金融公司将安全投入包装成“风险准备金优化方案”，证明投入1元安全预算可降低8.5元风险拨备——CFO当场签字追加预算。

业务部门最讨厌的安全人：

“这个需求有风险，不能做！”

业务部门最爱的安全人：

“这个需求可以做，只要加三步安全校验，我帮你搞定！”

心法口诀：

1. 用《营销活动安全自检表》替代审批流程（业务自助提效）；

2. 把安全能力封装成API，直接嵌入业务系统（如风控接口秒级调用）；

3. 和业务部门定“联合KPI”（如“安全响应速度上升30% → 业务故障损失下降50%”）。

案例：

某游戏公司安全团队开发《外挂实时拦截看板》，运营部门借此宣传“公平竞技环境”，次日留存率提升17%——安全部门首次拿到业务增长奖金。

让安全成为CEO的“战略底牌”

▪ 对投资人：安全韧性≈抗风险能力≈估值溢价（如某车企数据泄露后股价暴跌11%）；

▪ 对客户：隐私保护≈品牌信任≈复购率（某电商隐私合规升级后NPS值上升20%）；

▪ 对员工：零事故≈生产力保障（某工厂部署作业安全系统后，产线停机时间下降45%）。

普通安全人员：

▪ “今年修复582个漏洞，拦截37万次攻击。”

安全专家：

▪ “今年安全投入使公司：避免可能造成1.2亿损失的供应链攻击。”

▪ “通过等保认证拿下某政务大单（创收3000万）。”

▪ “因隐私保护出色，客户续费率提升25%。”

“真正值钱的安全人，不是最懂防火墙规则的人，而是最懂公司赚钱逻辑的人。”

安全人的黄金时代，属于那些能用商业算法破解价值隐身困局的人——当你能把漏洞修复率翻译成“市值保险金”，把安全投入换算成“风险对冲成本”，把合规认证包装成“业务通行证”，安全部门就不再是成本黑洞，而是CEO手中对抗不确定性的战略底牌。

当安全的价值被认可，才可能获得更多的预算，这个行业才能真正进入需求驱动，安全业务融合共生的黄金时代。