文章总结： 网络安全行业项目数量增长但亏损加剧，主要因合规内卷导致低价竞标中标价降至预算30%-60%，成本刚性上涨如人力和研发投入高，以及中间商截胡抽走利润。建议客户转向价值驱动，公司避免低价竞争，注重解决实际问题。 综合评分： 88 文章分类： 网络安全,安全建设,安全运营,政策法规,安全意识

网络安全行业，为什么做的越多，亏得越多

原创

JUN哥

君说安全

2025年12月7日 00:01 贵州

分享网络安全知识，提升网络安全认知！

让你看到达摩克利斯之剑的另一面！

“ 网络安全从来不是“一锤子买卖”，而是“长期守护”。”

大家好，我是Jun哥。

最近两年，在研究年报数据，发现一个“邪门”的现象，那就是网络安全项目做得越多，亏的越多。

本地某个安全服务公司，今年接了12个项目，比去年多了4个，结果年底算下来，还倒亏30万。

不止安全小公司，从年报的营业和利润数据上来看，大的上市网安企业也差不多如此。

明明网络安全市场看着越来越大，比如从2023开始，网络安全服务项目数量都超4万个了，近几年项目数量的复合增速已超过30%，可这个行业的现实却是反倒越干越亏？

笔者不才，综合各种信息，觉得主要有三个原因，分析如下：

  01 合规内卷，低价竞标卷到“赔本赚吆喝”

网络安全行业有几个特殊性，一是合规性，二是伴生性， 三是低占比。

（1）合规驱动

合规性“等保”，其实体量有限。

除政府和大型企业外，中小企业，尤其是小企业看着数量多，其实市场空间一点也不大。

等保合规，企业就买防火墙，日志审计；要求数据安全，就上加密系统。

这是网络安全的刚性需求，但也催生了最致命的问题，即同质化竞争。

某个在这个行业做了七年的朋友跟我吐槽，“现在做合规项目，就像千军万马过独木桥。你报100万，有人敢报80万，最后有家小公司报50万就中了标。”

中标价格降至预算价格的30%~60%左右，尤其是一些中小网安企业，价格就是他们的优势，因为要生存。

（2）低价中标

“低价中标”是更为扎心的潜规则。

不得不说，这涉及要一个担责的问题，预算的问题和审计的问题。

因此在安全服务项目上，就只能选择价格最优中标策略，让评标专家按照要求遴选供应商。

因此很多甲方采购时怕担责、评标专家评标也怕担责，于是干脆选报价最低的，至于防护效果好不好，反而成了次要的。

北京赛博英杰科技有限公司创始人谭晓生分享网络安全行业“人均创利-1.6 万”的调研数据。

意思是说，平均每个从业者辛辛苦苦干一年，刨去成本还得亏1万6。

原来我们公司的老板算过一笔账，一个常规的单人安全主场安全服务项目，人工、设备、售后等公司成本至少15万（网安大厂的成本更高），可中标价往往压到12万左右以内。

接了就亏，不接就饿死，两难。

（3）低占比

据一些统计表明，当前信息化配套网络安全项目的预算占比约为3%。

这与国外发达国家10%以上的比重仍存在较大的差距。

国内现状：

2023年数据显示，我国网络安全投资占信息化投入比例约为3%，而同期部分国家（如美国）该比例可达16.57% 。

尽管占比偏低，但我国网络安全投入增速达到18.8%，市场增长潜力显著 。

但限于甲方成本管理的要求，通常需要审查第三方服务成本。

主要原因是很多甲方有避免重复功能和冗余投入的要求，确保预算高效利用。

所以很多甲方都是贴着IT信息化预算比例3%的预算来规划安全项目的。

预算高了审计通不过，所以最后中标的项目是远低于3%的占比的，可能都不足IT信息化配套的2%。

一般以市场平均参考价或者最低价来制定项目预算的，因此越是低价中标，来年预算价格只能更低。

因此又很多低价中标的项目，因为做了就亏，很多上市网安企业的年报把这些项目叫做低价值，低毛利项目，主动放弃和砍掉。

  02  成本刚性上涨，干得越多花得越多

最近几年，00后进入人力资源市场，各个行业的平均人力成本都在蹭蹭的刚性上涨。

网络安全行业的成本，就像坐上了高铁一样，想降都降不下来。

网络安全行业工程师的薪资，相比互联网行业普遍高5%~20%，比如一个资深的渗透测试工程师，年薪综合收入基本都在30万左右。

更要命的是网络安全行业的研发成本。

网络安全技术更新迭代较快，今天刚搞定一个勒索病毒特征，明天又冒出来AI钓鱼攻击。

你不投研发投入，产品就跟不上；投了研发，大概率是“打水漂”。

有个做终端安全的企业，砸了800万研发新系统，结果上线3个月，黑客就找到了破解方法，客户纷纷要求退款，血本无归。

而且安全服务是“重人力”模式，边际成本根本降不下来。

不像卖成品软件和硬件，卖100份和卖1份，成本差不了多少。

安全项目是接一个就得配一个团队，做渗透、做加固、做售后，干的项目越多，要招的人就越多，人力成本直接翻倍。

  03 “中间商截胡”，网络安全厂商沦为打工牛马

如果说低价竞标是厂商之间竞争的“内耗”，那中间商截胡就是“抽血”的毒瘤。

最近还有一个现象，就是网络安全行业的项目被很多有中间商截胡，他们有最全的资质和资源背景，加上低价冲标抢项目，然而自己又没有项目的交付能力。

没中标，恶心自己的对手；中标了，就层层转包，自己没有交付能力，就找有交付能力的合作企业来搞。

总之一句话，你不干，有的是人干。

过去三年需求方的网络安全项目总量其实是增加的，但大量利润被中间商截走了。

某些运营商的项目，经过三层，甚至是五层的中间商转手，到真正做服务的安全厂商手里时，项目金额已经要预算的30%。

安全厂商为了不亏，只能偷工减料。

比如原本要做7天的渗透测试，压缩到1~2天；该换的老旧设备，改成临时调试或者策略优化

最后项目出了问题，背锅的还是安全厂商。

客户资源越来越集中在中间商手里，正规厂商反而成了“打工仔”。

  04 结束语

值得欣慰的是，咱们看到这些现象已经在悄悄地改变，虽然目前来看，几乎看不到趋势或者迹象。

现在客户越来越意识到网络安全的价值体现，以前可能看价格，现在看价值，“能不能防住攻击”已经成为很多政府、大企业看重的核心价值点。

这或许意味着，网络安全的价值驱动的时代来了。

最后想说，网络安全从来不是“一锤子买卖”，而是“长期守护”。

那些还在靠低价抢单的公司，迟早会被市场淘汰；而真正能帮客户解决问题、创造价值的，才能在“寒冬”里活下来。

全文完，喜欢请三连，这对我很重要！

-End-

免责声明：本文相关素材均来自互联网，仅为传递信息之用。如有侵权，请联系作者删除。****

★关注，点赞，转发，设为星标★

与你一起分享网络安全职场故事