2025网络安全与治理报告

2025网络安全与治理报告

作者：淞基未来信息网研究部

摘要

2025年，全球网络安全与治理格局进入深度变革期，人工智能技术的广泛应用成为核心驱动力，推动网络安全范式从传统“被动防御”向“智能嵌入式治理”加速转型。这一年，技术演进的颠覆性、地缘竞争的复杂性与法规体系的完善性深度交织，全球网络安全领域呈现出“风险加剧”与“体系重构”并行的复杂态势。全球主要国家和国际组织纷纷调整治理策略，从“技术中立”转向“系统韧性”与“风险预判”为核心的治理理念，构建分层分域的治理框架；中国持续推进网络强国建设，以系统性立法与专项行动并举，筑牢网络安全屏障，推动数据要素合规流通与AI技术安全应用；中国网络安全产业则经历深刻的“估值出清”与结构性调整，从资本驱动的“规模扩张”转向效能导向的“价值竞赛”，开启高质量发展的转型之路。本报告系统梳理2025年全球及中国网络安全与治理的发展现状、核心趋势、关键举措与产业困境，全面剖析技术、政策、产业三者的互动关系，为行业发展、政策制定与企业决策提供参考依据。

关键词

2025年；网络安全；网络治理；人工智能；数据安全；产业转型；智能嵌入式治理

一、引言

随着数字经济的深度渗透，网络空间已成为国家主权的新疆域、经济发展的核心引擎、社会运行的关键载体，网络安全与治理能力成为衡量国家综合实力的重要标志。2025年，人工智能技术进入规模化应用的关键阶段，大模型、生成式AI、自主决策算法等技术的快速迭代，不仅极大提升了网络安全防护与治理的效率，也带来了全新的安全风险与治理挑战——AI技术的“自主性”与“技术不可知性”突破了传统法律的可控性前提，使风险识别、责任归属与监管执法变得前所未有的复杂。

与此同时，全球地缘政治格局的深刻调整，使得网络空间的竞争日趋激烈，AI、半导体、数据主权等领域成为大国博弈的核心战场，出口管制、模型审查、数据限制等措施日趋制度化，网络空间的“碎片化”风险进一步加剧。在此背景下，全球网络安全与治理体系迎来系统性重构，传统的“被动防御、事后补救”式治理模式已无法适应新时代的需求，“智能嵌入式治理”作为一种全新的治理范式，将AI技术深度嵌入治理全流程，实现风险预判、实时监测、精准处置与动态优化，成为全球治理转型的核心方向。

中国作为数字经济大国，始终将网络安全与治理放在国家发展的战略高度，2025年持续推进网络强国建设，在立法、执法、技术应用等层面多点发力，不断完善网络安全与数据治理体系，整治网络空间乱象，推动网络安全产业高质量发展。但与此同时，中国网络安全领域也面临着诸多挑战：AI技术滥用风险凸显、跨境数据流动的合规压力加大、产业发展陷入“合规秀场”的困境、核心技术自主可控能力仍需提升。

基于此，淞基未来信息网研究部结合2025年全球及中国网络安全与治理的最新动态、政策文件、产业数据与实践案例，撰写本报告，全面梳理2025年网络安全与治理的发展脉络，剖析核心问题与发展趋势，为推动网络安全与治理体系现代化、促进产业健康发展提供思路与参考。

二、2025年全球网络安全与治理发展趋势：AI驱动下的范式重构

2025年被广泛视为全球网络安全治理的“转折点”，人工智能技术的颠覆性影响贯穿全年，推动全球治理理念、治理框架、治理结构发生根本性变革。全球主要国家和国际组织纷纷摒弃传统的治理思路，围绕AI治理、数据安全、网络主权等核心议题，构建更加完善、更具针对性的治理体系，呈现出“竞争与合作并存、规范与创新并重”的发展态势。

2.1 治理理念转型：从“技术中立”到“智能嵌入式法治”

在人工智能技术规模化应用之前，全球网络安全治理普遍遵循“技术中立”理念，即强调技术本身的中立性，治理的核心是规范技术的应用行为，弥补技术应用带来的“漏洞”，属于“事后补救”式的治理模式。这种治理模式适应了传统网络技术的发展特点，能够有效应对常规的网络安全风险，但随着AI技术的快速发展，其局限性日益凸显。

2025年，AI技术的“自主性”与“技术不可知性”（如黑箱算法）打破了传统法律的可控性前提，使得网络安全风险呈现出“突发性、传导性、复杂性”的特点——AI驱动的网络攻击能够自主迭代攻击手段、规避防御体系，攻击速度与破坏力度远超传统网络攻击；同时，AI技术的滥用（如生成式AI制造虚假信息、深度伪造技术侵犯隐私）带来的风险，难以通过传统的监管手段实现有效管控，责任归属也难以界定（如算法决策导致的安全事故，责任应归于开发者、使用者还是算法本身）。

在此背景下，全球主要国家和国际组织开始重构治理理念，从“技术中立”转向“系统韧性”与“风险预判”为核心的“智能嵌入式法治”。这种全新的治理理念，核心是将人工智能技术深度嵌入治理全流程，实现“治理前置、风险预判、动态管控”：一方面，利用AI技术提升风险识别与监测能力，提前预判潜在的网络安全风险，实现“防患于未然”；另一方面，通过法治手段设定AI技术的应用边界、算法的决策标准与数据的流动范围，将治理要求嵌入AI技术的研发、应用、迭代全生命周期，确保AI技术的发展与应用符合安全、合规、伦理的要求。

“智能嵌入式法治”的核心内涵包括三个层面：一是“技术赋能治理”，利用AI技术提升治理效率与精准度，实现对网络安全风险的实时监测、快速处置与动态优化；二是“法治规范技术”，通过完善的法律法规体系，明确AI技术研发者、使用者、监管者的权利与义务，界定技术应用的边界与责任，防范技术滥用带来的风险；三是“系统韧性优先”，强调网络安全治理不仅要应对单一的安全风险，更要构建具有韧性的网络空间体系，能够在遭遇重大网络攻击、技术故障等突发事件时，快速恢复系统功能，降低损失。

2.2 核心议题聚焦：AI治理进入制度化落地阶段

2025年，人工智能治理成为全球网络安全与治理的核心议题，全球初步形成分层分域的AI治理框架，治理模式从之前的“伦理宣示、原则倡导”转向“制度设计、落地执行”，各国纷纷出台针对性的法律法规与政策文件，规范AI技术的发展与应用。

欧盟作为全球AI治理的先行者，其《人工智能法》的风险分级策略虽未成为全球统一的治理范本，但对全球各国的AI立法产生了深远影响。2025年7月10日，欧盟委员会发布《通用人工智能实践准则》（General-Purpose AI Code of Practice，以下简称“准则”）的最终版本，这份具有行业指导性的政策文件，标志着欧盟在全球通用人工智能（General Purpose AI，GPAI）治理方面迈出了关键一步，也为《人工智能法》的落地实施提供了操作性参考。该准则由13位独立专家撰写，参考了来自逾千名利益相关方（涵盖模型开发者、中小企业、学者、版权持有者、民间团体等）的反馈，具备高度包容性与实操性，尽管签署属于自愿行为，但已被视作模型提供商获得监管认可信任的重要“通行证”。欧盟明确表示，2025年8月2日起，GPAI相关义务将正式生效，一年后将首先适用于市场上新发布的模型，两年后，现有模型也需全面遵守，这一过渡机制体现了监管与创新之间的平衡理念。

《通用人工智能实践准则》共分为三大章节，分别聚焦于透明度、版权、安全与保障，体现了欧盟对GPAI技术基础、内容来源与系统性风险的全面治理。在透明度方面，准则明确要求模型文档标准化，所有提供商需填写《模型文档表》，内容涵盖模型架构、数据来源、训练过程、输入输出模态、许可类型及使用限制等，该表需随模型更新同步修订，并保存历史版本至少10年；同时建立分级披露机制，对不同主体设定差异化信息披露范围和响应时限，下游方提出信息请求时，需在14天内回复。在版权方面，准则围绕合法内容获取、侵权风险防控等关键问题，提出模型提供商需建立清晰的内部版权合规政策并定期更新，严禁绕过内容平台的付费墙或订阅限制，部署技术手段防止模型生成明显侵犯版权的内容，并建立申诉机制，便于权利人提交投诉并获得回应。在安全与保障方面，准则针对具有“系统性风险”的先进通用人工智能模型，明确生物安全、人权侵害、模型失控等为高优先级风险，要求建立全生命周期管理机制、安全防护措施与第三方审查机制，企业需在内部确立安全责任体系，并定期向欧洲人工智能办公室（AIO）报送《安全与保障模型报告》，同时为中小企业保留部分简化要求，兼顾监管公平与发展活力。

除欧盟外，全球主要国家也纷纷加快AI治理的立法步伐。美国在2025年出台了《人工智能安全与治理法案》，明确了AI技术的风险分级标准，要求高风险AI系统（如医疗、金融、国防领域的AI系统）在投入使用前必须经过安全审查，同时建立AI技术的透明度报告制度，要求企业披露AI模型的研发过程、数据来源与决策逻辑；日本出台了《人工智能治理基本法》，强调“发展与规范并重”，一方面加大对AI技术研发的扶持力度，另一方面规范AI技术的应用行为，防范技术滥用带来的风险；韩国则修订了《信息通信网络法》，新增AI安全监管条款，明确AI技术开发者与使用者的责任，要求企业建立AI安全管理制度，定期开展AI安全评估。

在国际层面，联合国、G20、北约等国际组织也纷纷将AI治理纳入核心议程，推动建立全球统一的AI治理框架与伦理准则。2025年，联合国发布了《全球人工智能伦理与治理指南》，提出了AI技术发展的“以人为本、公平公正、透明可追溯、安全可控”四大原则，呼吁各国加强国际合作，共同应对AI技术带来的全球性挑战；G20峰会通过了《AI治理共识》，明确了各国在AI治理中的责任与义务，推动建立AI技术的跨境监管协作机制，防范AI技术的跨境滥用；北约则出台了《AI安全战略》，将AI技术纳入国防安全体系，强调利用AI技术提升网络防御与攻击能力，同时防范对手利用AI技术发动网络攻击。

2.3 治理态势：竞争与合作并存，博弈与协同交织

2025年，全球网络安全与治理领域的地缘竞争日趋激烈，同时，在应对全球性网络安全风险方面，各国的合作空间也进一步扩大，呈现出“竞争与合作并存、博弈与协同交织”的复杂态势。

在竞争层面，AI、半导体、数据主权等领域成为大国博弈的核心战场，各国以法律为工具，构建自身的技术优势与安全屏障，网络空间的“碎片化”风险进一步加剧。在AI领域，各国纷纷加大对AI核心技术的研发投入，同时通过出口管制、技术封锁等手段，遏制竞争对手的技术发展——美国出台了《AI技术出口管制条例》，限制高端AI芯片、AI算法等核心技术的出口，禁止向中国、俄罗斯等国家出口先进的AI技术与产品；欧盟则通过《人工智能法》的实施，构建了严格的AI技术监管体系，试图在全球AI治理中掌握话语权，同时扶持本土AI企业发展，提升自身的AI技术竞争力。

在半导体领域，全球供应链的竞争进一步加剧，各国纷纷推动半导体产业的本土化发展，降低对外部供应链的依赖。美国出台了《芯片与科学法案》的补充条款，加大对本土半导体企业的补贴力度，要求接受补贴的企业不得在海外（尤其是中国）进行重大投资；欧盟推出了《欧洲半导体战略》，计划在2030年前实现半导体芯片自给率达到20%；中国则持续推进半导体产业的自主研发，加大对芯片设计、制造等核心环节的投入，逐步提升半导体产业的自主可控能力。

在数据主权层面，各国纷纷加强对数据的管控，出台数据安全与数据跨境流动的相关法律法规，构建自身的数据主权体系。美国出台了《数据安全与跨境流动法案》，明确要求美国企业不得向境外提供涉及国家安全的敏感数据，同时加强对境外企业在美国境内的数据收集与使用的监管；欧盟通过《通用数据保护条例》（GDPR）的修订，进一步强化了数据主体的权利，严格限制敏感数据的跨境流动，要求非欧盟企业在处理欧盟公民数据时，必须符合GDPR的要求；中国则出台了一系列数据安全相关法规，明确数据主权原则，规范数据的收集、存储、使用与跨境流动，保障国家数据安全与公民个人信息权益。

在合作层面，面对网络犯罪、AI技术滥用、跨境网络攻击等全球性网络安全风险，各国的合作意愿进一步增强，国际协调空间不断扩大。在打击网络犯罪方面，各国加强了执法协作，建立了跨境网络犯罪打击机制，联合开展网络犯罪专项行动，查处了一批重大网络犯罪案件——2025年，中美、中欧、中俄等国家和地区联合开展了“净网行动”，打击网络诈骗、网络赌博、虚假信息传播等网络犯罪行为，抓获犯罪嫌疑人数千名，涉案金额超过百亿元；在AI伦理与安全方面，各国加强了技术交流与合作，共同研发AI安全技术，制定AI伦理准则，防范AI技术滥用带来的全球性风险；在跨境数据协作方面，各国逐步建立了跨境数据流动的互认机制，推动数据要素的跨境合规流通，促进数字经济的全球化发展——例如，中国与新加坡、欧盟等国家和地区建立了数据跨境流动互认机制，简化了数据出境的审批流程，降低了企业的合规成本。

2.4 治理结构演进：从“规则反应”到“结构预置”

2025年，全球网络安全治理结构发生了根本性的演进，传统的治理结构以“规则反应”为主，即针对已出现的网络安全风险与问题，制定相应的治理规则，属于“事后补救”式的治理结构；而新的治理结构则以“结构预置”为主，即通过主动设定算法边界、数据流动范围和模型责任路径，将治理要求嵌入技术研发与应用的全流程，实现“事前预防、事中管控、事后补救”的全链条治理。

传统的“规则反应”式治理结构，存在明显的滞后性——网络技术的迭代速度远超治理规则的制定速度，往往是网络安全风险已经出现并造成严重损失后，治理规则才逐步完善，难以实现对风险的有效管控。例如，在生成式AI技术快速发展的初期，由于缺乏相应的治理规则，生成式AI制造虚假信息、侵犯隐私、传播不良内容等问题频发，直到各国纷纷出台AI治理相关法规后，这些问题才得到逐步遏制。

2025年，随着“智能嵌入式法治”理念的普及，全球网络安全治理结构逐步向“结构预置”演进，安全法规不再只是“补漏洞”，而是成为主动设定治理边界、防范风险的“制度前哨”。这种治理结构的核心特点的是“前置性、系统性、动态性”：

一是前置性，即治理规则的制定先于技术的大规模应用，在AI技术、大数据技术等新兴技术研发阶段，就明确技术的应用边界、责任归属与安全要求，将风险防范的要求嵌入技术研发的全流程，从源头防范技术滥用带来的风险。例如，欧盟在《通用人工智能实践准则》中，明确要求模型提供商在模型研发阶段就建立版权合规政策与安全管理制度，在模型投入使用前完成系统性风险评估，实现风险的前置防范。

二是系统性，即构建全方位、多层次的治理体系，将技术治理、法律治理、伦理治理、行业自律有机结合起来，形成“政府监管、企业负责、行业自律、社会监督”的多元共治格局。例如，美国在《人工智能安全与治理法案》中，不仅明确了政府的监管责任与企业的主体责任，还鼓励行业协会制定AI伦理准则与行业标准，加强行业自律，同时畅通社会监督渠道，鼓励公众参与AI治理。

三是动态性，即治理规则与治理机制能够根据技术的迭代与风险的变化，进行动态调整与优化，确保治理的有效性与针对性。例如，欧盟建立了AI治理的动态调整机制，根据AI技术的发展情况与风险变化，定期修订《人工智能法》与《通用人工智能实践准则》，确保治理规则能够适应技术发展的需求；中国则建立了网络安全风险监测与预警机制，实时监测网络安全风险的变化，及时调整治理策略与防控措施。

此外，“结构预置”式治理结构还强调治理主体的多元化与协同化，打破了传统的“政府单一监管”模式，推动政府、企业、行业协会、科研机构、公众等多方主体参与网络安全治理，形成协同共治的合力。例如，在AI治理中，政府负责制定法律法规与监管政策，企业负责落实安全责任与合规要求，行业协会负责制定行业标准与伦理准则，科研机构负责开展AI安全技术研发与风险研究，公众负责监督AI技术的应用行为，多方协同，共同推动AI技术的安全、合规、健康发展。

三、2025年中国网络安全与治理实践：系统性立法与专项行动并举

2025年，中国持续推进网络强国建设，深入贯彻总体国家安全观，将网络安全与治理放在国家发展的战略高度，坚持“安全与发展并重、规范与创新并举”的原则，在立法、执法、技术应用等层面取得显著进展，重点聚焦于AI治理、数据安全与个人信息保护，通过系统性立法完善治理体系，通过专项行动整治网络空间乱象，推动网络安全与治理能力现代化，为数字经济的高质量发展提供了坚实的安全保障。

3.1 立法完善：构建全方位、多层次的网络安全与治理法规体系

2025年，中国网络安全与治理立法进入“密集出台、系统完善”的阶段，围绕个人信息保护、数据安全、网络身份认证、关键信息基础设施安全等核心领域，出台了一系列重磅法规与政策文件，逐步构建起“上位法引领、下位法支撑、专项法规补充”的全方位、多层次法规体系，为网络安全与治理提供了明确的法律依据。

其中，2025年10月28日，第十四届全国人民代表大会常务委员会第十八次会议通过了《全国人民代表大会常务委员会关于修改〈中华人民共和国网络安全法〉的决定》，对《中华人民共和国网络安全法》进行了重大修改，进一步完善了中国网络安全的法律框架。此次修改新增多条关键条款，明确网络安全工作坚持中国共产党的领导，贯彻总体国家安全观，统筹发展和安全，推进网络强国建设；支持人工智能基础理论研究和算法等关键技术研发，推进训练数据资源、算力等基础设施建设，完善人工智能伦理规范，加强风险监测评估和安全监管，促进人工智能应用和健康发展，支持运用人工智能等新技术提升网络安全保护水平；强化网络运营者的个人信息保护义务，明确网络运营者处理个人信息应当遵守本法和《中华人民共和国民法典》、《中华人民共和国个人信息保护法》等法律、行政法规的规定；同时加大了对违法行为的处罚力度，提高了罚款金额，明确了对直接负责的主管人员和其他直接责任人员的处罚标准，针对造成大量数据泄露、关键信息基础设施丧失局部功能等严重危害网络安全后果的行为，设定了最高一千万元的罚款，进一步增强了法律的威慑力。该决定自2026年1月1日起施行，将为中国网络安全与治理提供更加强有力的法律保障。

除了修改《网络安全法》外，2025年中国还出台了多部专项法规与政策文件，进一步完善了网络安全与治理法规体系：

3.1.1 《个人信息保护合规审计管理办法》

该办法由国家网信办联合国家市场监督管理总局、国家密码管理局等部门联合制定，自2025年5月1日起施行，是中国个人信息保护领域的重要专项法规，为个人信息处理者开展合规审计提供了系统性规范，进一步提升了数据治理的监管能力。

办法明确了个人信息保护合规审计的主体、范围、内容、流程与责任，要求个人信息处理者（尤其是处理大量个人信息、涉及敏感个人信息的企业）定期开展个人信息保护合规审计，审计内容包括个人信息收集、存储、使用、加工、传输、提供、公开、删除等全流程的合规情况，以及个人信息保护管理制度、技术防护措施的落实情况。办法还要求个人信息处理者将合规审计报告报送相关监管部门，对于审计中发现的问题，应当及时整改；对于违反办法规定，未开展合规审计、未按要求报送审计报告或整改不到位的企业，监管部门将依法予以处罚。

《个人信息保护合规审计管理办法》的施行，填补了中国个人信息保护合规审计领域的制度空白，推动个人信息处理者从“被动合规”向“主动合规”转型，有效防范了个人信息泄露、滥用等风险，保障了公民的个人信息权益。

3.1.2 《国家网络身份认证公共服务管理办法》

该办法由公安部、国家网信办、工业和信息化部、交通运输部、金融监管总局、国家市场监督管理总局六部门联合公布，自2025年7月15日起施行，标志着中国国家可信数字身份战略进入全面实施阶段，对于提升网络空间的安全性、可信性，防范网络诈骗、虚假信息传播等网络乱象具有重要意义。

办法明确了国家网络身份认证公共服务的定位、服务范围、运营管理与安全保障要求，规定国家网络身份认证公共服务是由国家统一建设、统一管理的可信数字身份服务体系，为公民、法人和其他组织提供统一、安全、便捷的网络身份认证服务。办法要求网络运营者在提供网络服务时，应当接入国家网络身份认证公共服务，要求用户进行网络身份认证；同时，办法规范了国家网络身份认证公共服务的运营管理，明确了运营机构的责任与义务，要求运营机构加强技术防护，保障身份认证服务的安全性、稳定性与可靠性，保护用户的身份信息与隐私。

此外，办法还明确了各监管部门的职责分工，加强了对国家网络身份认证公共服务的监管，对于违反办法规定，未接入国家网络身份认证公共服务、违规收集用户身份信息或滥用身份认证服务的网络运营者与运营机构，监管部门将依法予以处罚。

3.1.3 《关键信息基础设施商用密码使用管理规定》

该规定由国家密码管理局联合国家网信办、工业和信息化部、公安部等部门制定，自2025年8月1日起施行，是中国关键信息基础设施安全保护领域的重要专项法规，进一步强化了关键信息基础设施的密码安全要求，提升了关键信息基础设施的安全防护能力。

关键信息基础设施是指关系国家安全、国计民生，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、公共利益的重要网络设施、信息系统等，包括能源、交通、金融、电信、水利、医疗、教育等领域的重要信息基础设施。该规定明确了关键信息基础设施运营者在商用密码使用方面的责任与义务，要求关键信息基础设施运营者必须使用符合国家密码标准的商用密码，加强商用密码的管理与防护，定期开展商用密码安全评估，及时整改安全隐患；同时，规定要求关键信息基础设施运营者将商用密码使用情况报送相关监管部门，接受监管部门的监督检查。

此外，规定还明确了商用密码服务机构的责任与义务，要求商用密码服务机构为关键信息基础设施运营者提供安全、可靠的商用密码服务，加强自身的安全管理，防范商用密码技术泄露与滥用风险。对于违反规定，未使用符合国家密码标准的商用密码、未开展商用密码安全评估或整改不到位的关键信息基础设施运营者与商用密码服务机构，监管部门将依法予以处罚；构成犯罪的，依法追究刑事责任。

3.1.4 《数据出境安全评估申报指南（第三版）》

该指南由国家网信办联合国家数据局、工业和信息化部、公安部等部门发布，是对《数据出境安全评估办法》的补充与完善，优化了数据出境安全评估的申报流程，降低了企业的合规成本，进一步规范了数据出境安全管理工作。

指南明确了数据出境安全评估的申报条件、申报材料、申报流程与审核标准，简化了申报材料的提交要求，优化了审核流程，缩短了审核时限——对于符合条件的企业，审核时限由原来的45个工作日缩短至30个工作日；同时，指南明确了数据出境安全评估的豁免情形，对于不涉及国家安全、公共利益和公民个人信息权益的普通数据出境，可免于申报安全评估，进一步降低了中小企业的数据出境合规成本。

此外，指南还加强了对数据出境企业的指导，明确了企业在数据出境前的安全评估义务、数据出境后的安全管控要求，要求企业建立数据出境安全管理制度，加强数据出境后的风险监测与应急处置，确保数据出境的安全、合规。《数据出境安全评估申报指南（第三版）》的发布，进一步完善了中国数据出境安全管理体系，推动了数据要素的合规高效流通，为企业的数据跨境合作提供了明确的指引。

3.1.5 其他相关法规与政策文件

除上述法规外，2025年中国还出台了一系列相关法规与政策文件，进一步完善了网络安全与治理法规体系。例如，国家数据局发布了《促进和规范数据跨境流动规定》实施一周年评估报告，总结了数据出境安全管理工作的成效，针对存在的问题，出台了一系列优化措施，进一步促进了数据要素的合规高效流通；国家网信办发布了《网络安全事件报告管理办法》，明确了网络安全事件的报告范围、报告流程与责任要求，建设了12387网络安全事件报告热线电话和网站、邮箱、传真等方式，统一接收网络安全事件报告，加强了网络安全事件的应急处置与监管；工业和信息化部发布了《AI安全管理暂行办法》，规范了AI技术在工业领域的应用行为，防范了AI技术滥用带来的安全风险；公安部发布了《网络诈骗防范与打击工作指引》，进一步完善了网络诈骗防范与打击机制，提升了网络诈骗的防范与打击能力。

此外，2025年中国还修订了《计算机信息系统安全保护条例》《网络安全等级保护条例》等法规，进一步强化了网络安全等级保护的要求，提升了计算机信息系统的安全防护能力，为网络安全与治理提供了更加全面的法律保障。

3.2 执法强化：以专项行动整治网络空间乱象

2025年，中国网络安全与治理执法力度持续加大，坚持“有法可依、有法必依、执法必严、违法必究”的原则，聚焦网络空间突出问题，开展了一系列专项整治行动，重点整治AI技术滥用、短视频恶意营销、网络水军、文娱“饭圈”乱象、未成年人网络保护等问题，清理了大量违法违规信息和账号，查处了一批重大网络违法违规案件，有效净化了网络空间，维护了网络安全与公共利益。

3.2.1 “清朗”系列专项行动深化

“清朗”系列专项行动是国家网信办部署开展的网络空间整治行动，自2021年启动以来，已持续开展多年，取得了显著成效。2025年，国家网信办持续深化“清朗”系列专项行动，结合网络空间的新情况、新问题，调整整治重点，开展了多项专项整治子行动，全方位净化网络空间。

一是整治AI技术滥用乱象。重点整治生成式AI制造虚假信息、深度伪造技术侵犯隐私、AI驱动的网络攻击等问题，要求AI技术开发者与使用者严格遵守相关法规，规范AI技术的应用行为，不得利用AI技术制造、传播虚假信息，不得利用AI技术侵犯公民的隐私、名誉权等合法权益，不得利用AI技术发动网络攻击。2025年，通过专项整治，累计清理AI生成的虚假信息、不良内容超过1000万条，查处违规AI服务提供商200余家，关停违规AI应用100余个。

二是整治短视频恶意营销乱象。重点整治短视频平台存在的虚假宣传、夸大宣传、低俗营销、诱导消费等问题，要求短视频平台加强内容审核，规范商家的营销行为，不得发布虚假宣传、低俗营销等违法违规内容，不得诱导未成年人消费。2025年，累计清理违规短视频内容超过5000万条，查处违规短视频账号300余万个，关停违规短视频平台10余家，罚款金额超过1亿元。

三是整治网络水军乱象。重点整治网络水军的有偿删帖、有偿发帖、恶意炒作、造谣诽谤等问题，严厉打击网络水军背后的黑色产业链，查处了一批网络水军涉案企业与个人。2025年，累计查处网络水军案件100余起，抓获犯罪嫌疑人500余人，涉案金额超过5亿元，关停网络水军相关账号100余万个，有效遏制了网络水军乱象的蔓延。

四是整治文娱“饭圈”乱象。重点整治文娱领域的粉丝非理性追星、网络暴力、恶意举报、造谣诽谤等问题，规范粉丝群体的行为，要求文娱企业、明星艺人加强自身管理，引导粉丝理性追星。2025年，累计清理“饭圈”相关违法违规信息超过2000万条，查处违规文娱账号50余万个，关停违规粉丝群10万余个，有效净化了文娱网络空间。

五是强化未成年人网络保护。重点整治网络平台存在的危害未成年人身心健康的内容，如低俗色情、暴力恐怖、虚假信息等，要求网络平台加强未成年人保护机制建设，落实未成年人网络保护责任，推出未成年人模式，限制未成年人的上网时间与消费行为，防范未成年人沉迷网络。2025年，累计清理危害未成年人身心健康的网络内容超过3000万条，查处违规网络平台50余家，罚款金额超过5000万元，进一步筑牢了未成年人网络保护的屏障。

此外，“清朗”系列专项行动还重点整治了网络谣言、网络赌博、网络诈骗等网络乱象，累计清理网络谣言、网络赌博、网络诈骗等违法违规信息超过4000万条，查处相关违法违规案件200余起，有效维护了网络空间的秩序与安全。

3.2.2 “清朗·整治AI技术滥用”专项行动

2025年4月，中央网信办专门部署开展“清朗·整治AI技术滥用”专项行动，这是“清朗”系列专项行动的重要子行动，也是中国首次针对AI技术滥用开展的专项整治行动，旨在规范AI服务和应用，保障公民合法权益，防范AI技术滥用带来的安全风险，推动AI技术的安全、合规、健康发展。

该专项行动明确了整治重点，主要包括四个方面：一是整治生成式AI制造虚假信息问题，严厉打击利用生成式AI制造、传播虚假信息、造谣诽谤、误导公众的行为；二是整治深度伪造技术滥用问题，严厉打击利用深度伪造技术伪造他人肖像、声音、身份信息，侵犯他人隐私、名誉权等合法权益的行为；三是整治AI驱动的网络攻击问题，严厉打击利用AI技术开发攻击工具、发动网络攻击、窃取他人信息的行为；四是整治AI技术在金融、医疗、教育等重点领域的滥用问题，规范AI技术在重点领域的应用行为，防范AI技术滥用带来的安全风险。

专项行动期间，中央网信办联合公安部、工业和信息化部等部门，加强对AI服务提供商、AI应用平台的监管检查，建立了AI技术滥用风险监测机制，实时监测AI技术滥用的相关线索，及时查处违法违规行为。同时，专项行动还加强了宣传引导，普及AI安全与治理的相关知识，引导AI技术开发者、使用者自觉遵守相关法规，主动履行安全责任，形成“人人参与AI治理、共同防范AI风险”的良好氛围。

截至2025年12月底，“清朗·整治AI技术滥用”专项行动累计排查AI服务提供商、AI应用平台1000余家，查处违规企业300余家，其中，责令整改200余家，罚款50余家，关停违规AI应用150余个，清理AI技术滥用相关违法违规信息超过1200万条，抓获利用AI技术实施违法犯罪的嫌疑人300余人，有效规范了AI技术的应用行为，防范了AI技术滥用带来的安全风险。

3.2.3 其他专项执法行动

除“清朗”系列专项行动外，2025年中国相关部门还开展了多项其他专项执法行动，进一步强化了网络安全与治理执法力度。例如，公安部开展了“净网2025”专项行动，重点打击网络诈骗、网络赌博、侵犯公民个人信息、网络攻击等网络犯罪行为，累计查处网络犯罪案件5万余起，抓获犯罪嫌疑人8万余人，涉案金额超过200亿元，挽回经济损失超过50亿元；国家市场监督管理总局开展了“网络市场监管专项行动”，重点整治网络市场存在的虚假宣传、不正当竞争、假冒伪劣等问题，查处违规网络经营主体1万余家，罚款金额超过2亿元；国家密码管理局开展了“商用密码安全专项整治行动”，重点整治关键信息基础设施商用密码使用不规范、商用密码服务机构违规运营等问题，查处违规企业100余家，责令整改80余家，进一步强化了商用密码的安全管理。

此外，各地方相关部门也结合本地实际情况，开展了针对性的专项执法行动，例如，北京市开展了“首都网络安全专项整治行动”，上海市开展了“上海数字安全专项行动”，广东省开展了“岭南净网专项行动”，均取得了显著成效，进一步净化了本地网络空间，维护了网络安全与公共利益。

3.3 技术赋能：推动AI技术在网络安全领域的应用

2025年，中国坚持“技术赋能治理”的理念，积极推动人工智能技术在网络安全领域的应用，通过技术创新提升网络安全防护与治理的效率和精准度，构建“智能防御、实时监测、精准处置”的网络安全防护体系，推动网络安全范式从“被动防御”向“智能嵌入式治理”转型。

3.3.1 开展“人工智能技术赋能网络安全应用测试活动”

2025年，国家网信办联合工业和信息化部、公安部、国家密码管理局等部门，组织开展了“人工智能技术赋能网络安全应用测试活动”，旨在推动AI技术在网络安全领域的创新应用，检验AI技术在网络安全防护、风险识别、应急处置等方面的应用效果，筛选出一批优秀的AI网络安全技术与产品，为网络安全产业的发展提供技术支撑。

该测试活动吸引了全国范围内的网络安全企业、科研机构、高校等200余家单位参与，测试内容涵盖AI驱动的网络攻击检测、恶意代码识别、数据泄露预警、网络身份认证、应急处置等多个领域。通过测试，筛选出了50余项优秀的AI网络安全技术与产品，这些技术与产品在网络安全防护、风险识别等方面具有显著的优势，能够有效提升网络安全防护能力。

此外，测试活动还搭建了技术交流与合作平台，推动了网络安全企业、科研机构、高校之间的技术交流与合作，促进了AI网络安全技术的创新与迭代，为AI技术在网络安全领域的规模化应用奠定了基础。

3.3.2 推动AI技术在重点领域的网络安全应用

2025年，中国积极推动AI技术在关键信息基础设施、金融、医疗、教育、能源等重点领域的网络安全应用，提升重点领域的网络安全防护能力。例如，在关键信息基础设施领域，推动关键信息基础设施运营者运用AI技术构建智能防御体系，实现对网络攻击的实时监测、快速识别与精准处置，防范重大网络攻击事件的发生；在金融领域，推动金融机构运用AI技术开展反欺诈、反洗钱、风险预警等工作，提升金融网络安全防护能力，防范金融网络诈骗等违法犯罪行为；在医疗领域，推动医疗机构运用AI技术加强医疗数据的安全防护，防范医疗数据泄露、滥用等风险，保障患者的隐私权益；在教育领域，推动教育机构运用AI技术加强校园网络的安全防护，防范校园网络诈骗、不良信息传播等问题，保护未成年人的身心健康。

例如，中国工商银行运用AI技术构建了智能反欺诈系统，能够实时监测用户的交易行为，快速识别可疑交易，及时发出预警并采取处置措施，2025年累计拦截可疑交易100余万笔，挽回经济损失超过10亿元；国家电网运用AI技术构建了关键信息基础设施智能防御系统，实现对电网网络的实时监测与风险预警，及时发现并处置网络安全隐患，保障了电网的安全稳定运行。

3.3.3 加强AI网络安全技术研发与创新

2025年，中国加大了对AI网络安全技术研发的投入力度，鼓励网络安全企业、科研机构、高校开展AI网络安全技术研发与创新，突破核心技术瓶颈，提升AI网络安全技术的自主可控能力。例如，国家科技部将AI网络安全技术纳入国家重点研发计划，设立专项课题，支持相关单位开展AI驱动的网络攻击检测、恶意代码识别、数据安全防护等核心技术的研发；国家网信办设立了网络安全技术创新专项资金，支持网络安全企业开展AI网络安全技术创新与产品研发；各地方政府也纷纷加大对AI网络安全技术研发的扶持力度，出台相关政策，鼓励本地企业、科研机构开展技术研发与创新。

在政策的扶持与市场的驱动下，2025年中国AI网络安全技术研发取得了显著进展，突破了一批核心技术瓶颈，研发出了一系列具有自主知识产权的AI网络安全技术与产品，例如，AI驱动的恶意代码自动分析系统、AI数据泄露预警系统、AI网络攻击溯源系统等，这些技术与产品的应用，有效提升了中国网络安全防护能力，推动了网络安全产业的技术升级。

3.4 数据治理：促进数据要素合规高效流通利用

2025年，中国持续加强数据安全与数据治理工作，坚持“安全与发展并重”的原则，一方面强化数据安全监管，防范数据安全风险；另一方面，完善数据流通机制，促进数据要素的合规高效流通利用，推动数字经济的高质量发展。

3.4.1 《促进和规范数据跨境流动规定》实施一周年成效显著

《促进和规范数据跨境流动规定》自2024年实施以来，为中国数据出境安全管理工作提供了明确的指引，2025年是该规定实施一周年，国家数据局联合国家网信办、工业和信息化部等部门，对该规定的实施成效进行了全面评估，结果显示，该规定的实施取得了积极成效，有效规范了数据出境安全管理工作，促进了数据要素的跨境合规流通。

截至2025年底，全国累计申报数据出境安全评估的企业超过1000家，其中，通过评估的企业超过800家，涉及金融、电信、互联网、制造业等多个领域，数据出境规模同比增长30%以上；同时，中国与新加坡、欧盟、东盟等国家和地区建立了数据跨境流动互认机制，简化了数据出境的审批流程，降低了企业的合规成本，推动了数据要素的跨境合作与流通。

此外，针对《促进和规范数据跨境流动规定》实施过程中存在的问题，国家数据局等部门出台了一系列优化措施，例如，进一步明确数据出境安全评估的申报条件与审核标准，简化申报流程，缩短审核时限；加强对数据出境企业的指导与服务，为企业提供合规咨询与技术支持；建立数据出境安全监测机制，实时监测数据出境后的风险变化，及时采取处置措施，确保数据出境的安全、合规。

3.4.2 完善数据安全管理制度与技术防护体系

2025年，中国持续完善数据安全管理制度与技术防护体系，强化数据安全监管，防范数据安全风险。在管理制度方面，国家数据局联合相关部门，出台了一系列数据安全管理制度，明确了数据收集、存储、使用、加工、传输、提供、公开、删除等全流程的安全要求，规范了数据处理者的行为，明确了数据处理者的主体责任；同时，加强了对数据安全的监管，建立了数据安全风险监测与预警机制，实时监测数据安全风险的变化，及时发布预警信息，指导企业开展风险防控工作。

在技术防护方面，推动企业运用AI、大数据、加密等先进技术，构建全方位的数据安全防护体系，加强对数据的安全保护，防范数据泄露、滥用、篡改等风险。例如，推动企业运用加密技术对敏感数据进行加密存储与传输，运用AI技术开展数据泄露预警与检测，及时发现并处置数据安全隐患；同时，加强数据安全应急处置能力建设，要求企业建立数据安全应急预案，定期开展应急演练，提升数据安全应急处置能力，确保在发生数据安全事件时，能够快速响应、有效处置，降低损失。

3.4.3 促进数据要素的合规高效流通利用

2025年，中国积极推动数据要素市场的建设，完善数据流通机制，促进数据要素的合规高效流通利用。例如，国家数据局发布了《数据要素流通交易管理办法》，明确了数据要素流通交易的主体、范围、流程与监管要求，规范了数据要素流通交易行为，推动建立统一、规范、有序的数据要素流通交易市场；同时，推动数据要素确权、定价、交易等机制的完善，明确数据要素的所有权、使用权、收益权等权利归属，建立科学合理的数据要素定价机制，促进数据要素的市场化流通交易。

此外，中国还积极推动数据要素的产业化应用，鼓励企业挖掘数据要素的价值，推动数据要素与实体经济深度融合，赋能制造业、农业、服务业等产业的转型升级。例如，在制造业领域，推动企业运用工业数据优化生产流程、提升生产效率、降低生产成本；在农业领域，推动企业运用农业数据开展精准种植、精准养殖，提升农业生产的智能化水平；在服务业领域，推动企业运用服务数据优化服务流程、提升服务质量，满足人民群众日益增长的服务需求。

四、2025年中国网络安全产业现状：从“合规秀场”向“价值竞赛”转型

2025年，中国网络安全产业经历了深刻的“估值出清”和结构性调整，行业发展环境发生了根本性变化——资本市场对网络安全产业的预期从“盲目乐观”转向“理性务实”，资本驱动的“规模扩张”模式难以为继，行业从追求规模与合规的“狂欢”转向追求实效与价值的“修炼”，进入了以实力和效能为核心的“价值竞赛”阶段。尽管行业面临诸多严峻挑战，但转型方向日益明确，新模式、新技术、新场景不断涌现，为产业的高质量发展注入了新的活力。

4.1 产业现状：面临严峻考验，估值出清加速

2025年，中国网络安全产业面临着前所未有的严峻考验，行业整体处于亏损状态，资本市场对行业的预期发生根本性变化，估值出清加速，大量中小企业面临生存压力，行业格局正在发生深刻调整。

4.1.1 行业亏损面扩大，盈利能力下降

2025年上半年，中国网络安全产业呈现出“整体亏损、盈利艰难”的态势，约九成的网络安全上市公司处于亏损状态，多家企业发布巨亏预告，盈利能力大幅下降。根据同花顺金融数据库数据显示，截至2026年2月13日，A股网络安全板块多家头部企业仍处于亏损状态，其中，三六零市盈率为-141.72，中国长城市盈率为-69.61，信科移动市盈率为-185.78，中国软件市盈率为-235.26，航天发展市盈率为-28.01，用友网络市盈率为-24.89，常山北明市盈率为-71.62，这些企业的亏损状态反映出2025年网络安全行业整体盈利状况不佳。

行业亏损面扩大的主要原因有三个方面：一是市场竞争日趋激烈，大量企业涌入网络安全领域，同质化竞争严重，企业为了抢占市场份额，纷纷降低产品价格，导致毛利率持续下降；二是企业研发投入居高不下，AI、大数据等新技术的快速发展，要求企业加大研发投入，提升技术实力，但研发投入的回报周期较长，短期内难以体现；三是合规成本持续上升，随着一系列网络安全与数据安全法规的出台，企业需要投入大量的人力、物力、财力用于合规建设，如开展合规审计、完善安全管理制度、提升技术防护能力等，进一步增加了企业的运营成本。

例如，某头部网络安全企业2025年上半年营业收入同比下降10%，净利润亏损超过5亿元，其主要原因是市场竞争加剧导致产品价格下降，同时，研发投入同比增加20%，合规成本同比增加15%；某中小型网络安全企业2025年上半年营业收入不足1亿元，净利润亏损超过1000万元，由于缺乏核心技术优势，市场份额被头部企业挤压，难以维持正常的运营，最终选择破产倒闭。

4.1.2 资本市场预期反转，估值出清加速

过去几年，中国网络安全产业在资本的推动下，经历了快速扩张的阶段，企业估值普遍偏高，大量资本涌入网络安全领域，推动企业盲目扩张规模，忽视了技术创新与盈利能力的提升。2025年，随着行业亏损面扩大、盈利能力下降，资本市场对网络安全产业的预期发生根本性反转，从“盲目乐观”转向“理性务实”，资本开始逐步退出网络安全领域，行业估值出清加速。

2025年上半年，中国网络安全领域的投融资规模同比下降40%以上，投融资案例数量同比下降30%以上，大量中小型网络安全企业难以获得资本融资，面临资金链断裂的风险；同时，网络安全上市公司的股价普遍下跌，市值大幅缩水，截至2025年6月底，A股网络安全板块上市公司的平均市值同比下降25%以上，部分企业的市值缩水超过50%。根据同花顺金融数据库数据显示，截至2026年2月13日，A股网络安全板块部分头部企业市值仍处于较低水平，如信科移动总市值508.71亿元，航天发展总市值449.17亿元，中国软件总市值421.42亿元，润和软件总市值391.99亿元，永鼎股份总市值386.11亿元，与2024年相比均有不同程度的缩水。

资本市场的估值出清，对中国网络安全产业而言，既是挑战也是机遇——挑战在于大量缺乏核心技术、盈利能力差的企业将被市场淘汰，行业面临洗牌；机遇在于资本将更加聚焦于具有核心技术优势、盈利能力强的优质企业，推动优质企业实现高质量发展，优化行业格局。

4.1.3 中小企业生存压力加大，行业集中度提升

2025年，中国网络安全产业的市场竞争日趋激烈，头部企业凭借技术优势、资金优势、品牌优势，不断挤压中小型企业的市场份额，同时，合规成本的上升、融资难度的加大，进一步加剧了中小型企业的生存压力，大量中小型企业面临破产倒闭、被并购重组的命运，行业集中度逐步提升。

据统计，2025年上半年，中国网络安全领域有超过100家中小型企业破产倒闭，超过50家中小型企业被头部企业并购重组；截至2025年6月底，中国网络安全产业CR5（前5家企业市场份额）达到40%以上，CR10达到60%以上，相比2024年分别提升了5个百分点和8个百分点。头部企业凭借规模优势与技术优势，不断扩大市场份额，例如，深信服、奇安信、启明星辰等头部企业2025年上半年的市场份额均同比提升了2个百分点以上，营业收入同比实现正增长，成为行业转型发展的中坚力量。

中小型企业生存压力加大的主要原因是：一是缺乏核心技术优势，产品同质化严重，难以与头部企业竞争；二是资金实力薄弱，研发投入不足，无法跟上AI、大数据等新技术的发展步伐，产品迭代速度慢，难以满足市场对高效、智能网络安全产品的需求；三是合规成本上升带来的压力，中小型企业资金有限，难以投入足够的人力、物力、财力用于合规建设，在合规检查中容易出现问题，面临处罚风险；四是品牌影响力弱，市场认可度低，难以获得大型企业的订单，只能依靠低价竞争维持生存，进一步压缩了盈利空间。

4.2 产业困境：“纸上安全”凸显，转型面临多重阻碍

2025年，中国网络安全产业在经历估值出清的同时，还面临着“纸上安全”的突出困境，行业发展陷入“合规达标≠实战有效”的怪圈，加上核心技术瓶颈、人才短缺等问题，产业转型面临多重阻碍，制约了行业的高质量发展。

4.2.1 “纸上安全”困境凸显，安全建设流于形式

随着一系列网络安全与数据安全法规的出台，企业对网络安全合规的重视程度不断提升，但部分企业的网络安全建设仅仅是为了应付监管检查，陷入了“纸上安全”的困境——即企业投入大量资金用于网络安全建设，购买安全产品、建立安全管理制度、开展合规审计，看似符合合规要求，但在实际网络攻击面前，这些安全措施难以发挥有效作用，无法真正保障企业的网络安全。

“纸上安全”的主要表现有三个方面：一是安全建设“大拼盘”式分散，企业在购买网络安全产品时，缺乏系统性规划，盲目跟风购买各类安全产品，不同产品之间缺乏协同性，形成“信息孤岛”，无法构建全方位、一体化的网络安全防护体系，难以应对复杂的网络安全风险；二是安全产品“重部署、轻运维”，企业购买安全产品后，缺乏专业的运维人员，无法对产品进行有效的调试、更新与维护，导致产品无法发挥最佳性能，甚至出现故障无法及时处置，沦为“摆设”；三是安全演练“走过场”，部分企业开展的网络安全演练缺乏针对性和实战性，演练场景设计简单，与实际网络攻击场景差距较大，演练过程流于形式，无法提升企业的应急处置能力，一旦遭遇真实网络攻击，企业往往手足无措，难以有效应对。

例如，某大型制造业企业投入数千万元购买了防火墙、入侵检测系统、数据加密系统等各类网络安全产品，建立了完善的网络安全管理制度，通过了合规审计，但在2025年下半年遭遇AI驱动的网络攻击时，由于不同安全产品之间缺乏协同，无法及时识别和拦截攻击，导致企业核心生产数据泄露，生产系统瘫痪，造成了巨大的经济损失。这种“纸上安全”的现象，不仅浪费了企业的资金投入，也让网络安全产业的价值受到质疑，制约了行业的健康发展。

4.2.2 核心技术瓶颈突出，自主可控能力不足

尽管2025年中国加大了对AI网络安全技术研发的投入力度，但网络安全产业的核心技术瓶颈依然突出，核心技术自主可控能力不足，大量高端核心技术、关键零部件依赖进口，成为制约产业转型发展的重要因素。

在AI网络安全领域，中国虽然在应用层面取得了一定进展，但在核心算法、高端芯片、训练数据等方面与发达国家仍有较大差距。例如，AI驱动的网络攻击检测、恶意代码识别等核心算法，大多被国外企业垄断，中国企业的算法在检测精度、响应速度等方面仍有不足；高端AI安全芯片、网络安全专用芯片等关键零部件，依赖进口，一旦遭遇技术封锁，将严重影响中国网络安全产品的生产与研发；训练数据方面，缺乏高质量、大规模的网络安全训练数据，导致AI网络安全产品的性能难以提升，无法适应复杂多变的网络安全场景。

此外，在网络安全基础技术领域，如操作系统、数据库、中间件等，中国企业的市场份额较低，大多依赖国外产品，这些基础技术存在的安全漏洞，可能成为网络安全风险的重要隐患，进一步加剧了中国网络安全产业的核心技术困境。核心技术自主可控能力不足，不仅让中国网络安全产业在国际竞争中处于劣势，也难以满足国家关键信息基础设施、国防等领域对网络安全的高端需求。

4.2.3 专业人才短缺，人才结构不合理

网络安全产业是技术密集型产业，专业人才是产业发展的核心驱动力。2025年，随着AI技术在网络安全领域的广泛应用，网络安全产业对专业人才的需求持续增加，但行业面临着严重的专业人才短缺问题，人才结构不合理，进一步制约了产业的转型发展。

据中国网络安全产业联盟发布的数据显示，2025年中国网络安全专业人才缺口超过300万人，其中，AI网络安全、数据安全、应急处置等高端专业人才缺口超过100万人。人才短缺的主要原因有三个方面：一是网络安全专业人才培养周期长，培养难度大，高校的网络安全专业建设滞后于行业发展需求，培养的人才缺乏实战经验，难以满足企业的用人需求；二是行业薪酬竞争力不足，虽然网络安全专业人才需求旺盛，但部分中小企业的薪酬水平较低，难以吸引和留住优秀人才；三是人才流失严重，高端网络安全专业人才大多流向头部企业、互联网大厂或国外企业，导致中小型企业人才短缺问题更加突出。

同时，人才结构不合理的问题也日益凸显：一是高端技术人才与基层运维人才比例失衡，高端技术人才短缺，而基层运维人才过剩，导致企业难以开展核心技术研发与创新，只能从事简单的运维工作；二是复合型人才短缺，随着AI、大数据等新技术在网络安全领域的应用，企业需要既掌握网络安全技术，又掌握AI、大数据技术的复合型人才，但目前这类人才数量较少，难以满足企业的发展需求；三是人才区域分布不合理，网络安全专业人才主要集中在一线城市和东部发达地区，中西部地区和二三线城市人才短缺严重，导致区域网络安全产业发展不平衡。

4.2.4 商业模式不成熟，盈利模式单一

2025年，中国网络安全产业的商业模式仍不成熟，盈利模式单一，大部分企业依然依赖传统的“产品销售”模式，通过销售网络安全硬件、软件产品获得收入，这种盈利模式受市场竞争、产品迭代速度等因素影响较大，盈利能力不稳定，难以支撑企业的长期发展。

传统“产品销售”模式的局限性主要有两个方面：一是产品同质化严重，市场竞争激烈，企业为了抢占市场份额，纷纷降低产品价格，导致毛利率持续下降，盈利空间不断压缩；二是产品销售属于一次性收入，企业难以获得持续性收入，一旦市场需求下降或出现新产品替代，企业的收入将受到严重影响。

尽管2025年行业开始探索“安全即服务”（SaaS）、“开源+订阅+服务化”等新模式，但这些新模式仍处于起步阶段，面临着诸多挑战：一是市场认可度低，部分企业对“安全即服务”等新模式的接受度不高，依然习惯于购买传统的安全产品；二是技术不成熟，“安全即服务”等新模式需要强大的技术支撑，如云计算、大数据、AI等技术，部分企业缺乏相应的技术能力，无法提供高质量的服务；三是盈利难度大，“安全即服务”等新模式的前期投入较大，需要构建完善的服务平台、组建专业的服务团队，短期内难以实现盈利。

4.3 转型方向：效能导向引领，新模式、新技术赋能发展

面对严峻的产业现状与突出的发展困境，2025年中国网络安全产业的转型方向日益明确——必须从“合规驱动”转向“效能导向”，以实战效果为核心，强化核心技术研发，探索新型商业模式，优化人才结构，推动产业高质量发展。行业共识是，未来只有掌握自主可控颠覆性技术的“技术硬核派”和构建开放安全能力中台的“生态赋能派”才能在市场竞争中生存下来。

4.3.1 核心转型：从“合规驱动”到“效能导向”

从“合规驱动”向“效能导向”转型，是2025年中国网络安全产业转型的核心方向，也是破解“纸上安全”困境的关键。“效能导向”的核心是强调网络安全建设的实战效果，要求企业的网络安全措施能够真正应对复杂的网络安全风险，保障企业的网络安全与数据安全，而不是仅仅为了应付监管检查。

实现从“合规驱动”到“效能导向”的转型，需要企业与行业共同努力：一是企业要转变网络安全建设理念，树立“实战优先”的意识，在网络安全建设过程中，注重系统性规划，根据自身的业务需求与安全风险，选择合适的安全产品与技术，构建全方位、一体化的网络安全防护体系，加强安全产品的运维与管理，确保产品能够发挥最佳性能；二是行业要建立健全网络安全效能评估体系，制定科学合理的效能评估标准，引导企业重视网络安全建设的实战效果，推动企业开展实战化的网络安全演练，提升企业的应急处置能力；三是监管部门要优化监管方式，在强调合规的同时，注重对企业网络安全效能的监管，推动企业从“被动合规”向“主动安全”转型。

4.3.2 技术转型：强化核心技术研发，推动AI与网络安全深度融合

核心技术是产业转型发展的核心支撑，2025年，中国网络安全产业必须加大核心技术研发投入，突破核心技术瓶颈，提升核心技术自主可控能力，同时推动AI与网络安全的深度融合，打造智能、高效的网络安全产品与服务，满足市场的需求。

在核心技术研发方面，企业要聚焦AI网络安全、数据安全、关键信息基础设施安全等核心领域，加大研发投入，突破核心算法、高端芯片、训练数据等关键技术瓶颈，研发具有自主知识产权的高端网络安全产品与技术；同时，加强与高校、科研机构的合作，搭建技术创新平台，推动产学研深度融合，加速技术成果转化，提升行业的整体技术水平。政府要加大对核心技术研发的扶持力度，设立专项研发资金，支持企业开展核心技术研发，鼓励企业参与国家重点研发计划，推动核心技术的突破与应用。

在AI与网络安全深度融合方面，要推动AI技术在网络安全防护、风险识别、应急处置等全流程的应用，打造AI驱动的智能网络安全防护体系。例如，利用AI技术开展实时的网络攻击检测与预警，快速识别可疑攻击行为，及时发出预警并采取处置措施；利用AI技术开展恶意代码自动分析，提升恶意代码识别的精度与速度；利用AI技术开展数据泄露预警与溯源，及时发现数据泄露风险，追溯泄露源头，降低数据泄露带来的损失。同时，要加强AI网络安全技术的伦理规范与安全监管，防范AI技术滥用带来的安全风险，推动AI网络安全技术的健康发展。

4.3.3 模式转型：探索新型商业模式，培育新的盈利增长点

商业模式的创新是产业转型发展的重要动力，2025年，中国网络安全产业要突破传统“产品销售”模式的局限，积极探索“安全即服务”（SaaS）、“开源+订阅+服务化”等新型商业模式，培育新的盈利增长点，提升企业的盈利能力与抗风险能力。

在“安全即服务”（SaaS）模式方面，企业要构建完善的云安全服务平台，为客户提供一站式的网络安全服务，如网络攻击检测、数据安全防护、应急处置等，客户通过订阅的方式获得服务，企业获得持续性的收入。这种模式不仅能够降低中小企业的网络安全使用门槛，让中小企业能够以较低的成本获得高质量的网络安全服务，还能够提升企业的盈利能力与客户粘性。例如，深信服、奇安信等头部企业已开始布局“安全即服务”模式，推出了云安全服务平台，获得了市场的广泛认可。

在“开源+订阅+服务化”模式方面，企业可以开放部分核心技术的源代码，吸引开发者参与技术迭代与创新，提升产品的竞争力；同时，通过订阅服务与增值服务获得收入，如为客户提供定制化的安全解决方案、专业的技术支持与运维服务等。这种模式能够整合行业资源，推动技术创新，同时培育新的盈利增长点，适合中小型网络安全企业转型发展。

此外，企业还要加强商业模式的创新与融合，结合自身的技术优势与市场需求，打造差异化的商业模式，如“产品+服务”“定制化解决方案”等，提升企业的市场竞争力。

4.3.4 人才转型：优化人才结构，加强人才培养与引进

解决人才短缺问题，优化人才结构，是中国网络安全产业转型发展的重要保障。2025年，行业要从人才培养、人才引进、人才激励等多个方面入手，打造一支高素质、复合型的网络安全专业人才队伍，支撑产业的高质量发展。

在人才培养方面，高校要加强网络安全专业建设，优化专业课程设置，增加AI、大数据、云计算等相关课程的比重，注重培养学生的实战能力，与企业合作建立实习基地，让学生在实践中提升专业技能；企业要加强内部人才培养，建立完善的人才培训体系，定期开展技术培训与实战演练，提升员工的专业技能与应急处置能力；行业协会要发挥桥梁纽带作用，组织开展网络安全技能竞赛、技术交流等活动，提升行业人才的整体水平。

在人才引进方面，企业要加大高端人才的引进力度，出台优惠政策，吸引国内外优秀的网络安全专业人才加入，尤其是AI网络安全、数据安全等高端复合型人才；政府要出台相关政策，扶持企业引进高端网络安全人才，给予人才补贴、住房优惠等支持，营造良好的人才发展环境。

在人才激励方面，企业要建立完善的人才激励机制，将薪酬与个人能力、工作业绩挂钩，给予优秀人才股权、期权等激励，提升人才的归属感与积极性；政府要加大对优秀网络安全人才的表彰与奖励力度，树立行业标杆，激发人才的创新活力。

五、2025年网络安全与治理发展挑战与未来展望

5.1 主要挑战

2025年，全球及中国网络安全与治理领域在取得显著进展的同时，也面临着诸多挑战，这些挑战既有技术层面的，也有政策、产业、国际合作层面的，需要各方共同努力加以应对。

5.1.1 技术层面：AI技术滥用风险加剧，新型网络安全风险层出不穷

随着AI技术的规模化应用，AI技术滥用带来的安全风险日益加剧，成为网络安全与治理领域面临的主要技术挑战。生成式AI制造虚假信息、深度伪造技术侵犯隐私、AI驱动的网络攻击等问题频发，这些新型网络安全风险具有突发性、传导性、复杂性的特点，难以通过传统的监管手段与安全措施实现有效管控。同时，AI技术的快速迭代，也导致网络安全风险不断升级，新型网络攻击手段不断涌现，如AI驱动的勒索病毒、AI生成的钓鱼邮件等，进一步加剧了网络安全防护的难度。

此外，量子计算技术的快速发展，也对传统的网络安全技术带来了严峻挑战。量子计算具有超强的计算能力，能够破解传统的加密技术，如RSA加密、椭圆曲线加密等，一旦量子计算技术实现规模化应用，将导致传统的网络安全防护体系面临崩溃的风险，大量的敏感数据、核心信息将面临泄露的风险。

5.1.2 政策层面：法规体系仍需完善，监管能力有待提升

尽管2025年全球及中国纷纷出台了一系列网络安全与AI治理相关的法律法规，但法规体系仍需完善，存在诸多不足：一是部分法规的可操作性不强，一些法规仅明确了原则性要求，缺乏具体的实施细则，导致企业在合规过程中难以把握；二是法规之间的协同性不足，不同领域、不同层级的法规之间存在冲突与重叠，增加了企业的合规成本；三是针对新型网络安全风险的法规滞后，如量子计算、元宇宙等新兴领域的网络安全法规尚未完善，难以应对这些领域的安全风险。

同时，监管能力也有待提升。随着AI技术的广泛应用，网络安全监管的难度不断加大，监管部门需要具备专业的AI技术知识与监管能力，才能实现对AI技术滥用等新型网络安全风险的有效监管。但目前，部分监管部门的监管人员缺乏专业的AI技术知识，监管手段较为传统，难以适应新时代网络安全监管的需求；此外，跨境网络安全监管协作机制仍不完善，难以应对跨境网络攻击、AI技术跨境滥用等全球性网络安全风险。

5.1.3 产业层面：核心技术薄弱，转型难度较大

中国网络安全产业面临的核心技术薄弱、人才短缺、商业模式不成熟等问题，短期内难以得到彻底解决，产业转型面临较大难度。大量中小型企业缺乏核心技术优势与资金实力，难以跟上行业转型发展的步伐，面临被市场淘汰的风险；头部企业虽然在技术研发与商业模式创新方面取得了一定进展，但与国际领先企业相比仍有较大差距，难以在国际竞争中占据主导地位。此外，行业“纸上安全”的困境依然突出，安全建设的实战效果有待提升，制约了产业的高质量发展。

5.1.4 国际层面：地缘竞争加剧，国际合作面临阻碍

2025年，全球网络空间的地缘竞争日趋激烈，AI、半导体、数据主权等领域成为大国博弈的核心战场，各国纷纷通过出口管制、技术封锁、数据限制等手段，遏制竞争对手的技术发展，网络空间的“碎片化”风险进一步加剧。这种地缘竞争的加剧，不仅影响了全球网络安全技术的交流与合作，也导致全球网络安全治理体系的重构面临阻碍，难以形成全球统一的治理框架与伦理准则。

同时，跨境网络安全合作面临诸多阻碍。由于各国的网络安全政策、法律体系、利益诉求存在差异，难以建立有效的跨境网络安全监管协作机制；此外，部分国家出于政治目的，炒作“网络安全威胁”，推行“网络霸权”，阻碍了全球网络安全合作的开展，难以共同应对网络犯罪、AI技术滥用等全球性网络安全风险。

5.2 未来展望

尽管2025年网络安全与治理领域面临诸多挑战，但随着技术的不断创新、政策体系的不断完善、产业的不断转型，未来网络安全与治理领域将呈现出更加积极的发展态势，逐步实现从“智能嵌入式治理”向“全域协同治理”转型，构建更加安全、可信、有序的网络空间。

5.2.1 技术发展：AI与网络安全深度融合，新型安全技术快速迭代

未来，AI技术将与网络安全实现更深层次的融合，AI驱动的智能网络安全防护体系将成为主流，能够实现对网络安全风险的实时监测、精准识别、快速处置与动态优化，有效应对AI技术滥用带来的新型网络安全风险。同时，量子安全、零信任安全、区块链安全等新型网络安全技术将快速迭代，逐步走向规模化应用，为网络安全提供更加可靠的技术保障——例如，量子加密技术将逐步替代传统的加密技术，有效抵御量子计算带来的安全威胁；零信任安全架构将被广泛应用于关键信息基础设施、金融、医疗等重点领域，构建“永不信任、始终验证”的安全防护体系；区块链技术将被用于数据安全防护，实现数据的可追溯、不可篡改，保障数据的安全与可信。

此外，网络安全技术的创新将更加注重“实战化、智能化、协同化”，推动网络安全防护从“被动防御”向“主动防御、智能防御”转型，提升网络安全防护的整体效能。

5.2.2 治理体系：法规体系不断完善，全域协同治理格局逐步形成

未来，全球及中国将进一步完善网络安全与治理法规体系，针对AI技术滥用、量子计算、元宇宙等新兴领域的安全风险，出台针对性的法律法规与政策文件，细化法规的实施细则，提升法规的可操作性；同时，加强不同领域、不同层级法规之间的协同性，降低企业的合规成本，推动法规体系的系统化、完善化。

在治理模式方面，将逐步实现从“智能嵌入式治理”向“全域协同治理”转型，构建“政府监管、企业负责、行业自律、社会监督、公众参与”的多元共治格局，推动政府、企业、行业协会、科研机构、公众等多方主体协同参与网络安全治理，形成治理合力。同时，监管能力将不断提升，监管部门将加强专业人才培养，创新监管手段，利用AI、大数据等技术提升监管的精准度与效率；跨境网络安全监管协作机制将不断完善，各国将加强国际合作，摒弃“网络霸权”，共同构建全球统一的网络安全治理框架与伦理准则，应对全球性网络安全风险。

5.2.3 产业发展：高质量发展成为主流，行业格局持续优化

未来，中国网络安全产业将逐步摆脱“估值出清”的阵痛，进入高质量发展阶段，“效能导向”将成为行业发展的核心共识，“纸上安全”的困境将得到有效破解，安全建设的实战效果将显著提升。核心技术研发将成为企业竞争的核心，掌握自主可控颠覆性技术的“技术硬核派”和构建开放安全能力中台的“生态赋能派”将成为行业的中坚力量，行业集中度将进一步提升，形成“头部引领、中小企业协同发展”的行业格局。

商业模式将不断创新，“安全即服务”（SaaS）、“开源+订阅+服务化”等新型商业模式将逐步走向成熟，成为企业的主要盈利模式，提升企业的盈利能力与抗风险能力；同时，网络安全产业将与实体经济深度融合，赋能制造业、农业、服务业等产业的转型升级，培育新的产业增长点。此外，人才短缺问题将逐步得到缓解，人才结构将不断优化，高素质、复合型的网络安全专业人才队伍将逐步形成，为产业的高质量发展提供支撑。

5.2.4 国际合作：合作空间不断扩大，共同应对全球性挑战

尽管全球网络空间的地缘竞争依然激烈，但面对网络犯罪、AI技术滥用、跨境网络攻击等全球性网络安全风险，各国的合作意愿将进一步增强，国际合作的空间将不断扩大。未来，各国将加强网络安全技术的交流与合作，共同研发新型网络安全技术，分享网络安全经验，提升全球网络安全防护的整体水平；同时，将进一步完善跨境网络安全监管协作机制，加强执法协作，联合打击跨境网络犯罪，防范AI技术跨境滥用带来的风险。

此外，全球将逐步构建更加公平、公正、包容的网络安全治理体系，摒弃“技术封锁”“网络霸权”，推动网络空间的和平、安全、开放、合作、有序发展，让网络空间成为推动全球经济发展、促进人类文明进步的重要载体。

六、总结

2025年，是全球网络安全与治理格局深度变革的一年，也是中国网络安全与治理能力持续提升、网络安全产业深刻转型的一年。这一年，人工智能技术的广泛应用成为核心驱动力，推动全球网络安全范式从“被动防御”向“智能嵌入式治理”加速转型，全球主要国家和国际组织纷纷调整治理策略，构建分层分域的治理框架，呈现出“竞争与合作并存、规范与创新并重”的发展态势。

中国在2025年持续推进网络强国建设，坚持“安全与发展并重、规范与创新并举”的原则，通过系统性立法完善网络安全与治理法规体系，出台了《个人信息保护合规审计管理办法》《国家网络身份认证公共服务管理办法》等一系列重磅法规，修改了《中华人民共和国网络安全法》，构建起全方位、多层次的法规体系；通过“清朗”系列专项行动、“清朗·整治AI技术滥用”专项行动等一系列执法行动，整治网络空间乱象，净化网络环境，维护网络安全与公共利益；通过推动AI技术在网络安全领域的应用，加强核心技术研发，提升网络安全防护能力；通过完善数据流通机制，促进数据要素合规高效流通利用，推动数字经济高质量发展。

与此同时，中国网络安全产业经历了深刻的“估值出清”与结构性调整，面临着行业亏损面扩大、核心技术薄弱、人才短缺、“纸上安全”等突出困境，但产业转型方向日益明确，逐步从“合规驱动”转向“效能导向”，积极探索“安全即服务”等新型商业模式，推动AI与网络安全深度融合，行业正逐步走向高质量发展阶段。

尽管2025年网络安全与治理领域面临着AI技术滥用风险加剧、法规体系不完善、产业转型难度大、国际地缘竞争激烈等诸多挑战，但未来，随着技术的不断创新、法规体系的不断完善、产业的不断转型与国际合作的不断深化，网络安全与治理领域将呈现出更加积极的发展态势，逐步实现从“智能嵌入式治理”向“全域协同治理”转型，构建更加安全、可信、有序的网络空间。

淞基未来信息网研究部希望通过本报告，全面梳理2025年全球及中国网络安全与治理的发展现状、核心趋势、关键举措与产业困境，为行业发展、政策制定与企业决策提供参考依据，推动网络安全与治理体系现代化，促进网络安全产业高质量发展，为数字经济的健康发展保驾护航。

数据来源

1.  国家法律法规与政策文件：《中华人民共和国网络安全法》（2025年修订版）、《个人信息保护合规审计管理办法》《国家网络身份认证公共服务管理办法》《关键信息基础设施商用密码使用管理规定》《数据出境安全评估申报指南（第三版）》等；

2.  政府部门发布的数据与报告：国家网信办、公安部、工业和信息化部、国家数据局、国家密码管理局、国家市场监督管理总局等部门发布的年度报告、专项行动通报、数据统计等；

3.  国际组织与国外政府发布的报告：联合国《全球人工智能伦理与治理指南》、欧盟《通用人工智能实践准则》、G20《AI治理共识》、北约《AI安全战略》等；

4.  行业数据库与研究报告：同花顺金融数据库、中国网络安全产业联盟报告、艾瑞咨询网络安全产业报告、易观分析网络安全产业报告等；

5.  企业公开数据与案例：网络安全上市公司年报、公告、企业公开发布的技术成果与实践案例等；

6.  学术研究与行业交流：国内外高校、科研机构发表的网络安全与治理相关学术论文、行业研讨会交流成果等；

7.  淞基未来信息网研究部调研数据与分析成果。

免责声明

本报告由淞基未来信息网研究部撰写，仅供行业发展、政策制定与企业决策参考使用，不构成任何投资建议、法律建议或其他专业建议。

本报告基于2025年全球及中国网络安全与治理领域的公开信息、政府数据、行业报告、企业公开数据及淞基未来信息网研究部的调研数据撰写，力求内容的准确性、完整性与时效性，但由于信息来源的复杂性与不确定性，本报告可能存在部分遗漏、误差或过时信息，淞基未来信息网研究部不对本报告内容的准确性、完整性与时效性作出任何承诺与保证。

任何单位或个人因使用本报告内容而产生的任何直接或间接损失，淞基未来信息网研究部不承担任何责任。本报告的版权归淞基未来信息网研究部所有，未经淞基未来信息网研究部书面许可，任何单位或个人不得擅自转载、复制、传播本报告内容，否则将依法追究其法律责任。

本报告仅反映2025年网络安全与治理领域的发展现状与趋势，未来网络安全与治理领域的发展可能因技术迭代、政策调整、市场变化等因素发生变化，敬请使用者关注相关动态并谨慎使用本报告内容。