数据安全保险箱行业市场需求与投资规划

数据安全保险箱行业市场需求与投资规划

数据安全行业现状分析全球进入数字经济时代，数据量呈现高速增长态势。随着云计算、AI、5G、物联网等新兴技术的快速普及，全球各类重点产业加速数字化转型，带来数据量的高速增长。根据IDC发布的数据，全球数据量从2010年的2ZB增长到2021年将近60ZB，2025年预计将增长至175ZB，其中中国将成为数据量最大的国家，数据量将达到48．6ZB，占全球总量的27．8％。2021年，美国社交软件Facebook因系统漏洞泄露超过5．33亿用户的个人信息；美国油管公司遭遇勒索病毒攻击，核心数据被加密，迫使其一度关闭整个能源供应网络，极大影响了美国东海岸燃油等能源供应，美国政府宣布进入国家紧急状态；印度移动支付软件MobiKwik因黑客攻击泄露约1亿用户的信息；美国电信企业T-Mobile因服务器被黑客入侵泄露4860万用户的数据；滴滴出行App存在严重违法违规收集使用个人信息问题并下架。数据安全问题频出，对社会经济及相关企业经营均带来了不利影响。数据安全与企业生产经营的关系愈发紧密，同步催生了下游用户对数据安全产品和解决方案的需求。数据安全问题在全球多个发达地区持续得到政府的高度重视。1981年，欧洲委员会发布了《个人数据自动化处理中的个人保护公约》，对个人隐私数据进行保护。随着数据要素在经济发展中的重要程度持续提升，全球多个发达国家及地区对数据安全的重视程度逐渐提升，各地政府颁发的相关政策也越来越密集。2018年，欧盟发布《通用数据保护条例》（GeneralDataProtectionRegulation，GDPR），明确了用户对属于自己个人的数据有绝对掌控权，规定欧盟所有成员国企业在收集、传输、保留、使用个人信息上都必须要取得用户的同意。GDPR的出台标志着全球各个国家地区在数据领域的竞争发展开始加速。在欧盟持续加强数据领域发力的同时，美国也加快围绕数据的立法及法律法规体系建设，陆续发布《应用程序隐私保护和安全法案》（APPsActof2018）草案、《加州消费者隐私保护法案》（CCPA）等相关数据保障法案。2022年6月，美国参议院与众议院发布了《美国数据隐私和保护法案》草案（AmericanDataPrivacyandProtectionAct，ADPPA），有望进一步树立全国性的联邦标准。此外，日本、韩国等其他发达国家也加速针对数据保护出台相关法律，助力数据产业正规化发展。数据安全是数据经济产业的基石。我国数字经济规模逐年增长，根据信通院数据，我国数字经济规模从2016年22．6万亿元，增长至2021年45．5万亿元，年均复合增长率达到15%。我国数据安全市场发展前景（一）国家政策不断完善对数据安全产业发展起到推动作用我国一直对网络安全产业高度重视，近年来，国家陆续出台了多项政策推动网络安全行业的发展。《十四五数字经济发展规划》《十四五国家信息化规划》《关于促进网络安全产业发展的指导意见（征求意见稿）》等发展规划，全面加强网络安全基础设置建设，开展高级威胁防护、监测预警等关键技术研究，健全网络安全管理机制和新型可信网络安全综合防控体系，培养若干具有国际竞争力的网络安全骨干企业。在相关政策指引的推动下，我国持续完善网络安全措施，网络安全防护水平进一步提升，未来行业发展空间和潜力可期。近年来，数据安全政策法规不断完善和优化，数据安全市场规范化程度逐步提高，政府和企业客户对数据安全产品和服务的投入稳步增加。2020年1月1日《中华人民共和国密码法》开始施行，填补了我国密码领域长期存在的法律空白，对于加快密码法治建设，理顺国家安全领域相关法律法规关系，完善国家安全法律制度体系具有重大意义。2021年9月1日《数据安全法》施行，首次从法律层面明确数据安全保护义务，为开展数据处理活动的组织和个人提供了行为指引，填补了我国数据安全保护空白。2021年11月1日《个人信息保护法》施行，立足于数据产业发展实践和个人信息保护的迫切需求，更全面地保障了个人权利，及时回应了国家、社会、个人对个人信息保护的关切。目前，中国数据安全市场处于成长期，伴随数据泄露事件数量激增、性质不断恶化，以及企业数字化转型加速，物联网、业务上云、区块链等新技术的落地，我国政府对数据安全的重视程度不断增加。（二）国内外数据安全监管趋势将推动数据安全产业业态创新全球数据安全产业向着服务化和细分化方向转型，我国政府颁布《数据安全法》迎合数据安全合规发展的契机，除了鼓励数据安全创新产品和技术的研发，更加积极打造数据安全创新服务业态，面向重点行业开展数据安全综合服务能力体系构建，重点发展数据安全保险、大数据安全审计、安全态势感知、大数据安全情报分析等服务业态、数据安全咨询/培训等，以服务业态创新提升中国数据安全产业能级。（三）数据安全市场规模不断扩大，未来将保持继续高速增长态势进程随着我国社会数字化转型步伐加速，数据规模持续扩大，金融、医疗、交通等重要市场以及智能汽车、智能家居等新兴领域数据安全投入持续增加，稳定增长的市场需求将吸引越来越多的传统安全企业以及新兴安全企业推出数据安全相关产品和服务，抢占市场份额，引领行业发展。数据安全产品将向专业化、体系化方向不断迈进，为专业型企业发展带来新机遇。数据安全产品和服务垂直细化的趋势愈加明显，促使数据安全企业的产品结构愈加周密，专业程度愈来愈高，企业与企业之间、行业与行业之间的独立性越来越强，专业化聚焦基础上的差异化共存成为商业主流，以需求定制为驱动的专业型产品供给时代正在到来，专业型数据安全企业将迎来创新发展新机遇。（四）数据安全技术将不断创新在国家对技术创新支持力度不断提升的大背景下，产业链各环节相关主体将持续加大在人工智能、区块链、密态计算等基础通用技术方面的研发投入，为数据识别、数字水印、隐私计算等数据安全关键技术的能力提升和创新发展提供有力支撑。应用领域的逐步拓展将推动数据安全技术的持续演进。数据要素市场化背景下，联邦学习、密文检索、多方安全计算等处于萌芽期的新兴技术，为解决数据利用与数据保护之间的矛盾提供了新的解决方案，应用需求旺盛。随着应用领域的不断扩展和需求的不断释放以及理论研究的不断深入，这类技术在运算效率、互联互通、安全性等方面的问题将逐步得到改进，实现核心技术的持续演进。（五）定制化的数据安全产品将加速渗透至不同行业中随着新兴信息技术应用泛化，中国数据安全行业未来将布局更多的应用领域。信息技术的进步在方便企业共享信息资源扩大业务范围的过程中也使企业不得不面对更多新型的攻击手段、面对新型病毒带来持续未知的威胁，传统数据安全产品无法适应不同类型联网设备及相关人员活动的行为监测和数据防泄漏，因此不同行业场景的安全防御对数据安全行业提出了更高的要求。为了适应不同场景的行业安全需求，数据安全产品需要逐渐向多元化、定制化转变，从传统安全产品被动防御向主动监测、及时查杀的全数据周期安全防护转型。使数据安全防护从个人至企业、从企业到行业，从行业上升至国家战略的全面发展需求，功能必须不断更新、升级，以适应全新网络安全环境。数据安全行业投融资情况数据显示，2021年我国数据安全领域相关投资事件为54起，达到历史新高，投资金额135．34亿元。2022年，截至10月25日，我国数据安全领域投资数量为35起，投资金额达62．84亿元，预计今年投资数量和投资金额将继续增长。我国数据安全领域行业集中度不高，分布较为分散，龙头企业较少。从数据安全市场的主要参与者来看，既有综合型的安全厂商，如奇安信、启明星辰、绿盟科技、天融信、安恒信息等，也有专注于数据安全领域的安全厂商，如安华金和等。数据安全监管框架对于数据安全防护的监管核心在于止损，延用了网络安全领域等保制度的建设思路，旨在防止因为数据泄露、丢失、以及不当操作等对社会秩序、公共利益或者对国家安全造成损害。通过对数据防护相关政策的梳理，对于数据安全防护的监管渊源可追溯至2015年7月全国人大发布的《国家安全法》，其中提到建设网络与信息安全保障体系和实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控。之后在《国家安全法》的基础上，全国人大和网信办陆续发布《网络安全法》、《数据安全法》、《个人信息保护法》、《数据出境安全评估办法》等跟数据安全防护直接相关的法律法规，各行业亦出台相关指导文件，数据安全防护监管要求逐步细化。对于数据开发利用的监管核心在于创利，旨在打破数据孤岛，实现数据的跨场景流通共享，也是现阶段构建数据要素市场的核心。同样基于对于数据开放共享相关政策文件的梳理，对于数据开发利用的监管渊源可追溯至2015年9月《促进大数据发展行动纲要》其中提到加快政府数据开放共享，推动资源整合，提升治理能力、稳步推动公共数据资源开放、统筹规划大数据基础设施建设。之后的2016-2020年间医疗、交通、气象、水利、工业等领域主管部门陆续发文，促进行业数据共治共享。2022年《要素市场化配置综合改革试点总体方案》和《关于构建数据基础制度更好发挥数据要素作用的意见》，将数据流通共享纳入数据要素体系框架。数据安全行业概述数据安全是指对数据在收集、处理、存储、检索、传输、交换、显示、扩散等过程中的保护，保障数据在各环节中依法授权使用，不被非法冒充、窃取、篡改、删除、抵赖，确保数据信息的机密性、真实性、完整性与不可否认性。传统的数据安全厂商一般为产品提供商，主要关注产品（尤其是硬件）的功能性，以提供单一功能的通用型标准安全产品为主，如防火墙、VPN、防病毒产品等。传统的数据安全厂商对于整体解决方案、一站式服务、售后服务的关注有限，未在产品类型上充分延伸。随着互联网的高速发展及物联网、工业互联网、云计算、大数据等新兴技术的兴起，网络攻击形态日益复杂，攻击模式急剧多元化、复杂化，传统的单一功能产品无法再满足数据安全防护需求，下游各类客户转而寻求一体化数据安全解决方案，客户对数据安全厂商全面防御的要求提升。国际数据安全市场发展概况近年来，全球大规模数据泄露事件不断发生，政府机构和组织屡遭攻击，各种民生数据泄露事件时有发生。德勤、网易、万豪、华住等大型商业企业的数据泄露事件，给政府、企业和民众造成了巨大的经济和信用损失。2019年1月，软件安全和云数据管理巨头Rubrik数据库数10GB的客户信息数据被泄露。2019年2月，解压缩软件WinRAR的内部漏洞被网络犯罪分子和黑客广泛使用，而且，该漏洞已经存在了近19年，影响了2000年以来发布的所有WinRAR版本，超过5亿WinRAR用户面临风险。2018年-2019年，美国思杰遭遇严重黑客攻击，大量政府机构和财富500强企业的文件被盗。2019年10月，全球最大的助听器制造商Demant，遭勒索软件入侵，直接经济损失高达9，500万美元。2022年1月，ITRC（身份盗窃资源中心）发布了2021年度数据泄露报告，2020年全球全部数据泄露事件共1，108起，2021年数据泄露事件增加到1，862起，增加了68%。综上所述，频繁的数据泄露导致各国经济损失十分严重，因此数据安全将成为衡量国际经济稳定发展的一项重要指标。近年来，各国在网络安全领域的国家级投入强势增长。IDC发布的《2022年V2全球网络安全支出指南》从技术、垂直行业、终端用户企业规模等多个维度展现了市场的发展情况，同时根据市场动态对未来五年（2022-2026）全球网络安全（Cybersecurity）IT投资规模进行了预测。IDC数据显示，2021年全球网络安全IT总投资规模为1，687．7亿美元，并有望在2026年增至2，875．7亿美元，五年复合增长率（CAGR）为11．3%。国家投入有力支撑国际战略政策落地的同时，推动全球网络安全产业规模持续扩大。从全球网络安全行业市场来看，全球网络安全市场保持稳定增长。根据Fortunebusinessinsight数据显示，2021年全球网络安全市场规模为1，397．7亿美元，同比增长2．3%，网络安全已成为全球关注问题，相关产业在全球范围内快速发展，随着人们的安全意识增强，全球数据安全市场规模将协同加速增长，根据AlliedMarketResearch数据，2021年全球数据安全市场价值约为190亿美元，预计到2027年将达到542．3亿美元。随着数据安全重要性的凸显，全球对数据安全的需求日益高涨。世界各地各类企业通过并购、创新等方式打造自己的数据安全产品线。微软、IBM、思科、甲骨文、英特尔、华为等大型跨国企业不断提高产品安全性能，通过收购、投资等渠道不断吸收世界最先进的数据安全技术，构建了强大的数据安全产品线和服务系统。德勤、安永、普华永道、毕马威、埃森哲、凯捷等全球大型咨询服务企业纷纷布局数据安全领域，将数据安全业务作为业务增长的重要引擎。此外，一些制造业和工业互联网企业也在业务线的基础上延伸数据安全服务，以确保自身业务的安全。为了提高其工业互联网平台的整体安全性，许多工业软件厂商也在利用并购迅速进入数据安全领域。数据安全市场空间测算对标全球数据安全市场，我国数据安全市场存在较大提升空间。数据安全市场理应受到数据总量规模的驱动，即数据总量越大，需要防护的信息量越复杂，对数据安全市场的需求空间就越广阔。从数据安全市场规模的角度来看：根据研究机构VMR的统计，2019年全球数据安全市场空间约为173．8亿美元，且预计2027年该规模增加至572．9亿美元，复合增长率为17．35%。而根据相关研究机构的测算，我国2019年数据安全市场规模仅为38亿元，在全球数据安全市场占比仅为3．4%。从数据量的角度来看：根据IDC的研究，2018年我国数据量占全球数据量的23．4%，预计到2025年在全球的占比将达到约28%（远超2019年中国数据安全市场在全球3．4%的占比）。考虑到中国数据安全市场规模全球占比相较于中国数据总量全球占比仍有较大差距，中国未来数据安全市场增长潜力较大。假设到2025年中国数据安全市场规模在全球的占比与数据量占比相匹配（达到28%），进一步估算得到中国数据安全市场潜在空间在2025年有望达到126亿美元（820亿元人民币），相较于2019年复合增长率为67%。数据安全行业竞争格局近年来，中国网络安全市场快速增长，参与厂商众多。截至2022年上半年，我国共有3，256家企业开展网络安全业务，相比上一年减少31%。其中，北京、广东和上海企业数量居前，分别为932家、461家和256家。2021年我国网络安全整体市场集中度小幅提升，根据美国经济学家贝恩对产业集中度的划分标准，我国网络安全行业市场占有率前8家合计占有率已经超过了40%，说明我国网络安全市场己经由竞争型转变为低集中寡占型。数据安全涉及网络安全行业的各个层面，细分领域较多，包括安全内容管理、入侵检测与防御等多种产品类型，市场竞争格局较为分散。在我国主流的数据安全产品领域，每一细分市场的主要竞争厂商都在10家以上。尽管行业内厂商数量较多，但由于目前数据安全市场的细分程度较高，单一企业难以掌握数据安全领域的全部技术，市场总体的品牌集中度不高，市场份额较分散。总体来看，数据安全产品市场缺乏真正的龙头企业。根据IDC统计，2021年中国数据安全产品与服务的总体市场规模（包含隐私计算与区块链技术中的数据安全部分）达到12．4亿美元。其中，中国数据泄露防护（DLP）市场规模为1．25亿美元，相较于2020年实现了39．2%的同比增长。从竞争格局来看，天空卫士（SkyGuard）、亿赛通（ESAFENET）和明朝万达（Wondersoft）在2021年数据泄露防护市场排名前三。天空卫士以23．1%的市场份额排在第一位；亿赛通以16．3%的市场份额排名第二；明朝万达以市场份额11．2%排名第三。未来，随着我国数据安全行业的快速发展，行业内领先企业的技术创新能力、产品研发能力将得到不断的提升。同时网络攻击行为也将日趋复杂，防火墙、入侵检测系统等传统网络安全设备并不能完全阻挡恶意的网络攻击和内部人员数据泄露的安全风险，所以构建全面的安全防护体系和制定完善的安全管理策略显得尤为重要，近年来我国信息化技术迅速发展，因此具有丰富行业经验和定制化开发能力的数据安全厂商的竞争力将越来越强。数据安全行业技术水平及特点（一）数据安全行业技术水平边界安全包括身份认证、网络隔离和传输安全。身份认证指的是：关注外部用户或者第三方服务，对集群访问过程中的身份鉴别，用户在访问启用安全认证的集群时，需通过服务所需要的安全认证方式。网络隔离指的是：大数据平台集群，支持通过网络平面隔离的方式，保证网络安全。传输安全指的是：关注数据在传输过程中的安全性，包括采用安全的接口设计，和高安全的数据传输协议，来保证在通过接口访问、处理、传输数据时的安全性，避免数据被非法访问、窃听或旁路嗅探。访问控制包括权限控制1和审计管理。权限控制包括鉴权、授信管理；即确保用户对平台、接口、操作、资源、数据等都具有相应的访问权限，避免越权访问；分级管理，即根据敏感度对数据进行分级，对不同级别的数据提供差异化的流程、权限和审批要求等管理措施。审计管理指的是：基于底层提供的审计数据，在权限管理、数据使用、操作行为等多个维度，对大数据平台的运转提供安全审计能力，确保及时发现大数据平台中的隐患点。数据审计包括数据生命周期管理和日志审计。数据生命周期管理指的是：追溯大数据平台内的信息；熟知数据使用、销毁情况，通过安全审计，监测大数据系统中，是否存在非法数据访问。安全审计的目的是捕获系统内的完整活动记录，且不可被更改，遵守事前可管、事中可控、事后可查，三大原则。日志审计是对日志和审计记录做集中管理和分析。数据保护包括数据加密、数据脱敏、多租户隔离、数据侵权保护、容灾管理。数据加密指的是：提供数据在传输过程及静态存储的加密保护，在敏感数据被越权访问时仍然能够得到有效保护。数据脱敏指的是：提供数据脱敏和个人信息去标识化功能，提供满足国际密码算法的用户数据加密服务。多租户隔离是指实施多租户访问隔离措施，实施数据安全等级划分，支持基于标签的强制访问控制，提供基于ACL的数据访问授权模型，提供全局数据视图和私有数据视图，提供数据视图的访问控制。数据侵权与保护是利用区块链等类似技术实现数据的溯源确权。数据容灾是为集群内部数据提供实时的异地数据容灾功能。近几年，Data-centricSecurity（简称DCS）即以数据为中心的安全引发国内外网络安全企业热议。由于数据安全与业务活动关联紧切，数据安全企业必须在熟练掌握所服务数据库的数据全貌、业务细节的基础上才可能提炼出有效的安全策略，以部署周密的数据防护计划。随着越来越多的企业依靠大数据实现高效的运营管理，其运营的核心就是企业内网的数据防护及部署安全策略。定制化数据安全产品属于DCS产品，它主要服务于企业的内网安全，它融合了DCS模型中的研发技术，以更好地服务具有特殊数据安全防护需求的企业、政府部门及个人用户；其产品职能是保护企业在业务活动中的计算机硬件、软件和数据不因意外和恶意原因而遭到损坏、更改和泄露，同时能够提供实时、相关、准确、完整的数据，为管理者提供业务管理保障的安全运营策略。DCS产品的目标包括防窃取、防滥用和防误用三方面的内容（防窃取是指防止数据被主动窃取或被动泄露到外部的过程；防滥用是指防止数据被主动不正当使用的过程；防误用是指防止数据被不经意间错误使用的过程），其产品将数据的全生命周期内各不同环节所涉及的信息系统、运行环境、业务场景和操作人员行为等作为围绕数据安全保护的支撑，在数据全生命周期内进行数据保护。（二）数据安全行业技术特点传统网络安全企业仍集中在提供防火墙、入侵检测、入侵防御等单点技术产品上，传统安全产品较多注重对外部网络攻击的防御及检测，其特点是及时清理并消灭已出现在系统内的具有安全威胁的病毒及攻击对象，属于被动防护类型且具有滞后性。标准化安全产品是游离在企业业务系统之外的，无法融合企业经营活动，主动实现内外部网络协同防御，更无法对内部人员危险行为动态监测，应对新型内部网络攻击和人员泄密导致的安全威胁。随着网络技术的发展，攻击手段、技术、频率都大幅增加，传统网络安全产品已无法抵御新型技术的攻击，客户的数据安全面临严峻挑战。与传统标准化产品相比，定制化数据安全产品开发与服务改变了过去先信息化后安全化、以打补丁方式外挂安全产品的模式，其核心在于将数据安全系统内化在客户的信息化过程中，实现多功能、全流程的安全化，可以更好地满足客户对数据安全的需求。金融，行业客户拥有大量敏感数据，保障数据安全是开展日常业务运行的必要条件。相较于业务系统加挂安全模块（OA+安全），安全系统（安全+OA）可以大幅提高系统的安全性，具有以下优势：1）需求层面，在目前的政策法规下，安全需求已经与业务系统同等重要，甚至一些重要系统中，安全需求比业务系统需求更加重要，安全与否具有一票否决权。2）商业层面，安全是一个技术门槛较高，且与业务深度融合的特性，因此客户无法从技术上对安全产品和业务系统进行清晰的界限划分和协调。传统做法都是给业务系统开发商提出笼统的安全需求，但是一般业务系统开发商对安全理解不够深刻，随着现在安全要求越来越多，评测、审核越来越严格，单纯业务开发商的安全能力远远达不到客户需求。因此客户将安全性提高到与业务需求同等甚至更加重要的地位，出现了部分重要业务系统选择更加专业的安全厂家进行整体开发的现象，以确保能满足安全需求。3）实施层面，由专业的数据安全厂家进行业务系统整体开发，可以将需求、架构设计、代码实现、测试、实施部署等业系统开发全周期中体现并落实安全技术要求，确保安全需求得到最大程度的满足。在系统规划之初，就将安全与业务融合考虑、