网络安全行业专题研究：数据安全与数字经济共腾飞

网络安全行业专题研究：数据安全，与数字经济共腾飞数字经济时代来临，需求与政策共振推动数据安全发展全球数据量高速增长，数据安全风险敞口激增全球进入数字经济时代，数据量呈现高速增长态势。随着云计算、AI、5G、物联网等新兴技术的快速普及，全球各类重点产业加速数字化转型，带来数据量的高速增长。根据IDC发布的数据，全球数据量从2010年的2ZB增长到2021年将近60ZB，2025年预计将增长至175ZB，其中中国将成为数据量最大的国家，数据量将达到48.6ZB，占全球总量的27.8％。境内外数据泄露事件频发，数据安全问题亟待解决。2021年，美国社交软件Facebook因系统漏洞泄露超过5.33亿用户的个人信息；美国油管公司遭遇勒索病毒攻击，核心数据被加密，迫使其一度关闭整个能源供应网络，极大影响了美国东海岸燃油等能源供应，美国政府宣布进入国家紧急状态；印度移动支付软件MobiKwik因黑客攻击泄露约1亿用户的信息；美国电信企业T-Mobile因服务器被黑客入侵泄露4860万用户的数据；“滴滴出行”App存在严重违法违规收集使用个人信息问题并下架。数据安全问题频出，对社会经济及相关企业经营均带来了不利影响。数据安全与企业生产经营的关系愈发紧密，同步催生了下游用户对数据安全产品和解决方案的需求。我国数字经济加速发展，核心产业占GDP比重将进一步提升。2022年1月，国务院印发

《“十四五”数字经济发展规划》，强调“以数据为关键要素，以数字技术与实体经济深度融合为主线，加强数字基础设施建设，完善数字经济治理体系，协同推进数字产业化和产业数字化，赋能传统产业转型升级，培育新产业新业态新模式，不断做强做优做大我国数字经济，为构建数字中国提供有力支撑”。同时，《规划》明确提出到2025年，数字经济迈向全面扩展期，数字经济核心产业增加值占GDP比重达到10%，数字化创新引领发展能力大幅提升，智能化水平明显增强，数字技术与实体经济融合取得显著成效，数字经济治理体系更加完善，我国数字经济竞争力和影响力稳步提升。其中，上海市政府提出“到2025年，数字经济核心产业增加值占全市生产总值比重达到15%左右，规模以上制造业企业数字化转型比例达到80%左右”；江苏省政府提出“到2025年，数字经济核心产业增加值比重达13.5%左右”。全球多个发达地区已将数据保护及数据安全提升至国家高度数据安全问题在全球多个发达地区持续得到政府的高度重视。1981年，欧洲委员会发布了

《个人数据自动化处理中的个人保护公约》，对个人隐私数据进行保护。随着数据要素在经济发展中的重要程度持续提升，全球多个发达国家及地区对数据安全的重视程度逐渐提升，各地政府颁发的相关政策也越来越密集。2018年，欧盟发布《通用数据保护条例》（GeneralDataProtectionRegulation，GDPR），明确了用户对属于自己个人的数据有绝对掌控权，规定欧盟所有成员国企业在收集、传输、保留、使用个人信息上都必须要取得用户的同意。GDPR的出台标志着全球各个国家地区在数据领域的竞争发展开始加速。在欧盟持续加强数据领域发力的同时，美国也加快围绕数据的立法及法律法规体系建设，陆续发布《应用程序隐私保护和安全法案》（APPsActof2018）草案、《加州消费者隐私保护法案》（CCPA）等相关数据保障法案。2022年6月，美国参议院与众议院发布了《美国数据隐私和保护法案》草案（AmericanDataPrivacyandProtectionAct，ADPPA），有望进一步树立全国性的联邦标准。此外，日本、韩国等其他发达国家也加速针对数据保护出台相关法律，助力数据产业正规化发展。在法律法规层面不断完善的同时，全球各地监管机构对数据安全泄露问题执行严格的处罚。2020年10月，英国政府就对万豪集团泄露顾客个人信息的事件对万豪集团罚款1840万英镑；2020年11月，美国联邦贸易委员会对Zoom的数据安全问题实施非常高压的监管。随着各国政府的监管不断趋严，国外企业对数据安全的重视程度越来越高，推动海外数据安全产业不断发展。国内相关支持政策及行业标准也正在加速落地数据安全成为国家安全重要组成部分，顶层设计不断完善，护航数字经济发展。当前，我国已进入数字经济时代，数据作为继土地、劳动力、资本、技术后的第五大生产要素，数据安全的重要程度。为保障数字经济时代的数据安全同步发展，国家加速推出多个国家级法律法规、地方行政规范等数据安全相关支持政策，全面构建数据安全防护体系，护航数字经济发展。2016年以来，国家已颁布多部法律保障数据安全。随着《网络安全法》、《密码法》、《数据安全法》、《个人信息保护法》的颁布，数据安全顶层设计逐步完善，实现从立法层面的良好支撑。国务院密集发文引导各领域加强数据安全保护。数据安全多次出现在我国的数字经济发展规划、数字政务指引和各领域的经济发展规范等文件中，这些文件明确各政府部门须提升对数据安全的重视程度，完善数据安全管理政策，制定数据安全标准，形成数据安全保护体系。近年来，涉及数据安全的国家级行政法规政策文件发布数量逐步增加，数据安全的重要性持续凸显。各大部委陆续发布具体化的数据安全规章，加强对数据和个人信息的管理。网信办、公安部、全国信息安全标准化技术委员会等部门提出对个人信息安全的相关规范，包括界定APP使用个人信息的范围标准、明确个人对个人信息的权利以及评估个人信息出境安全等规范，加强对个人信息安全的保护；同时，还提出关于数据安全管理的政策，包括评估数据出境安全、网络数据管理等的相关文件，加强数据安全保护。海外数据安全推动DLP发展，国内DLP适应中国特色目前数据安全领域常用的数据安全防护措施包括安装安全容器、文档加密、云桌面、数据库安全、数据防泄漏DLP、加密与文档管理等产品，以及数据安全治理、个人隐私保护等服务。其中数据防泄漏DLP使用最为广泛，是数据安全领域中最为重要的产品。DLP（DataLossPrevention，数据防泄露）的概念最早来自美国，后落地形成相关产品，在海外市场目前已经应用的非常成熟。数据安全防护是解决三个问题：（1）系统中有哪些敏感数据，它们分布在什么地方；（2）谁在使用这些数据，它们的流转情况怎样；（3）如何能够更好地保护这些数据。为了解决这三个问题，DLP技术做到以下三点：（1）对关键数据进行识别，这里面会用到的识别技术包括高级正则表达式、贝叶斯分析、元数据匹配、高级图像识别、认为监督的机器学习文档识别等；（2）跨终端、网络、存储、云来保护数据；（3）根据内容和上下文动态地监视、提示、警告、阻断可能的数据泄露威胁，并提供事件响应工作流程及审计工作表以协助人工。DLP不是单指一项技术，而是多个网络安全技术和网络安全管理流程集合在一起的系统。为了达到保护的最好效果，DLP会对数据所存在的所有通道进行覆盖，包括云、网、端及存储。针对每个数据通道，DLP都有一款或者几款产品去进行数据保护。例如多次获得GartnerDLP魔力象限领导者地位的Symantec，其DLP产品家族包括网络监控、邮件防护、网页防护、终端保护、数据甄别、Office365保护等。海外市场由于数据安全法律法规体系相对健全，且对数据安全泄露问题处罚措施非常严格，因此企业内部主动泄露的情况比较少见，部署DLP主要是为了防止外部入侵，或者是用户无意行为导致数据丢失的安全问题。国内市场目前仍处于对数据安全的立法执法的初级阶段，且用户的安全意识不强，有意泄露的情况相比国外更为常见，因此DLP在国内主要功能是防止任何方式的数据泄露，更侧重于内部的加密权限。国产DLP起步相对较晚，但国内数据安全市场增速有望领先全球。目前国内众多网络安全上市公司，以及天空卫士、天锐绿盾、华途等新兴厂商都在国内推出了DLP产品，共同角逐数据安全领域市场机遇。根据Gartner发布的《2020年企业级数据泄露防护市场指南》中，全球甄选出的15家领先代表性厂商，仅有1家中国厂商（北京天空卫士）上榜，主要是由于国内DLP起步时间相对晚，国内数据安全才刚刚步入起步阶段。但我们认为，随着国内政策对数据安全愈加重视，国内数据安全保护也将逐步向国际主流国家靠拢，国内DLP市场发展潜力广阔。同时国内特殊的市场环境又要求DLP具备中国特色，海外厂商在技术落地上存在劣势，中国厂商尤其是技术研发实力更强的上市企业更大有可为，未来会充分受益于DLP市场的发展。DSMM成为数据安全领域国家标准，引领行业正规化发展2019年8月30日，《信息安全技术-数据安全能力成熟度模型》（GB/T37988-2019）简称DSMM（DataSecurityMaturityModel）正式成为国标对外发布，并已于2020年3月起正式实施。DSMM作为数据安全领域的国家标准，为数据安全的实现提供了可参照的行业规范。DSMM将数据按照其生命周期分阶段采用不同的能力评估等级，分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全七大过程维度。同时，DSMM从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM将数据安全成熟度划分成了1-5个等级，依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级，形成一个三维立体模型，全方面对数据安全进行能力建设。DSMM的评价方法主要是评分制，先对每个过程域（PA）的四个能力维度（BP）进行打分，再通过计算平均分、修正分值的方式得到最终的PA分值，最终得到整体的综合得分。DSMM是以组织为主要评估对象，侧重于数据全生命周期的防护；而等保以系统为主要评估对象，偏向传统的网络系统安全，侧重于物理安全、网络安全、安全建设管理等方面的网络系统安全保护。头部厂商纷纷加强投入，占领数据安全高地当前数据安全市场需求逐渐显现，网络安全行业厂商纷纷推出数据安全产品及解决方案。国内的数据安全需求由政策和市场自发需求双重驱动，政府、医疗、金融、企业等领域对数据安全的重视程度持续提升，对数据安全的投入也稳步增长。国内头部网络安全厂商深信服、启明星辰、奇安信、安恒信息、天融信、绿盟科技、亚信安全都相继推出数据安全产品和解决方案，以不同的数据安全理念构建数据安全体系，激发数据安全供给端活力，推动数据安全行业加速发展。深信服：深度融合数据流动与安全能力融合多年网络安全经验，深信服推进数据安全体系化建设。公司数据安全产品主要为数据库安全审计系统产品。公司数据安全体系具备一定优势，围绕数据安全应用的访问、API的访问，其能够全面监测敏感数据流转，发现全局数据安全隐患；其次，基于敏捷开放的数据安全能力，融合碎片化的组件能力，提供简单有效的整体安全防护能力；同时深信服长期深耕网络安全领域，拥有非常强的应对复杂攻击和未知威胁的能力，能够形成外防内控的安全体系。启明星辰：开启数据安全3.0全新发展阶段启明星辰为业内最早布局数据安全赛道的企业之一，在数据安全领域经验丰富。公司于2003年就抢先布局数据安全领域，历经近20年的发展。公司将数据安全产品发展划分为数据安全1.0、2.0、3.0三个阶段，从1.0阶段文件安全和数据库安全为核心，到2.0阶段以数据的汇聚安全为核心，至3.0阶段以数据流通安全为核心。公司数据安全产品主要包括数据防泄露系统、数据库审计与防护、数据库动静态脱敏、运维安全网关、文档加密、电子签章、数据库防火墙、数据库加密系统。公司还推出天榕数据安全管理平台，融合各项数据安全能力组件，为数据安全管理、管控、监控提供能力保障，为数据安全运营提供技术能力支撑。目前平台已部署政府、运营商等多个行业。奇安信：开放式数据安全平台助力数据价值挖掘奇安信数据安全产品阵列丰富，推出数据安全开放解决方案用于数据开放场景。公司的数据安全产品主要包括数据库防火墙、运维安全管理与审计系统、数据防泄漏系统、数据库审计与防护系统、数据脱敏系统、数据交易沙箱系统、特权账号管理系统等。公司数据安全开放解决方案主要由数据安全开放平台组成，通过将调试环境与运行环境分离，实现数据可用不可见，更大限度挖掘数据价值。方案支持多种数据源、支持对数据访问权限的严格控制、支持对所有数据操作的留痕审计等功能，实现数据所有权和使用权分离，从而确保数据安全可控。可广泛用于政府、金融、医疗、教育等有数据共享开放需求的大型企业单位。奇安信数据安全开放解决方案广泛应用于政府数据共享开放。近年来，政府践行国家大数据战略，建设大数据平台，利用政务大数据支撑产业发展，政府部门作为数据拥有方，其数据的开放共享需要得到安全保障。公司方案基于数据安全开放平台技术，保障向社会企业开放数据的安全，兼顾数据隐私的安全和政务数据价值的发挥，为拥有海量数据的政府大数据平台实现更大化的数据挖掘价值，助力基于数据的创新服务产业的发展。安恒信息：以AiGaurd打造全景数据安全安恒信息推出AiGuard数据安全解决方案，覆盖全场景数据安全。公司数据安全产品包括AiLand数据安全岛平台、Aisort数据安全分级与风险评估系统、AiThink用户与实体行为分析平台、AiGate数据库安全网关、数据库漏洞扫描系统、数据库系统安全自我检测与评估、数据库审计与风险控制系统、DSG-API零信任API代理系统、运维审计与风险控制系统。AiGuard解决方案融合各子系统，针对数据库泄露利用风险、开发测试环节数据泄露风险、数据明文存储风险等问题，在生产区、共享开放区、应用区、数据安全风险感知与管理区提供全方位的数据安全保护。当前，在国家政策的指引下，未来数据共享将更成熟，AiGuard解决方案有望实现更高效的多方数据安全融合计算。安恒信息解决方案将数据安全嵌入到智慧医院整体方案中。公司为智慧医院打造安全、弹性、智能的基础架构，以超融合技术搭建基础架构平台，围绕网络安全、数据安全等打造安全稳定的智慧医院安全防御检测体系，采用AI及大数据技术建设集中安全管理、安全运营、态势感知的安全管理中心。并进一步打造更可靠、更灵活的智慧医院数据中心，实现数据的安全、便捷使用。天融信：打造“以数据为中心”的数据安全体系天融信作为国内数据安全领域的领先厂商，提出“以数据为中心的安全体系”建设思路通过数据安全体系规划、数据安全能力建设、数据安全运营管控建设、数据安全监管建设各个阶段打造完整的数据安全体系。目前天融信已形成一套涵盖数据安全生命周期、多种场景的产品架构体系，为用户提供全面的数据安全防护，在政府、运营商、能源、金融、教育等10余个行业大型客户中规模化实践落地。绿盟科技：构建自适应数据安全防护体系绿盟科技从“知”、“识”、“控”、“察”、“行”五个阶段性步骤进行数据安全建设。公司的数据安全产品主要包括数据库防火墙、数据脱敏系统、数据安全运营平台、敏感数据发现与风险评估系统、数据泄露防护系统、数据库审计系统等。方案围绕着数据安全合规性管理、个人信息安全保护、重要数据安全保护来设计多种安全应用场景，并通过优化改进与持续运营，建立持续自适应的数据安全防护体系。亚信安全：先“理”后“治”实现数据安全亚信安全推出数据安全治理解决方案。公司的数据安全产品主要包括SIM盾运营系统、数据脱敏系统、多方计算平台、日志审计系统、运维安全管理与审计系统等。公司数据安全治理平台覆盖了“数据安全监控+数据安全管理+数据安全运营”三大场景，能够实现对各项数据安全能力进行集中化能力接管、安全策略的统一管理与下发、安全事件统一分析与管理，并形成全网的数据安全风险视图，为数据安全治理提供了一体化解决方案。2022下半年网络安全行业有望迎来盈利拐点2021网络安全行业收入快速增长，加大人员投入挤压利润空间国内网络安全行业2021年实现收入总和同比增长26.1%，相比于2020年有所加速。加速的原因在于2021年网络安全问题多发，包括《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》、《网络安全审查办法（2021年修订）》等多项行业重磅政策出台，推动政府、重要企业加大对网络安全的投入。我们可以从2017~2021年五年网络安全上市公司收入总和数据看出，其始终维持在20%~30%的增速。目前国内对网络安全的投入力量显著于发达国家，但网络安全越来越受到重视，我们判断未来网络安全行业依然会保持较高的收入增速，具备“长坡厚雪”的行业特征。从利润端来看，网安行业10家A股上市企业（HYPERLINK"/S/SZ300454?from=status_stock_matc