安全系统开发与服务市场分析

安全系统开发与服务市场分析

数据安全监管框架对于数据安全防护的监管核心在于止损，延用了网络安全领域等保制度的建设思路，旨在防止因为数据泄露、丢失、以及不当操作等对社会秩序、公共利益或者对国家安全造成损害。通过对数据防护相关政策的梳理，对于数据安全防护的监管渊源可追溯至2015年7月全国人大发布的《国家安全法》，其中提到建设网络与信息安全保障体系和实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控。之后在《国家安全法》的基础上，全国人大和网信办陆续发布《网络安全法》、《数据安全法》、《个人信息保护法》、《数据出境安全评估办法》等跟数据安全防护直接相关的法律法规，各行业亦出台相关指导文件，数据安全防护监管要求逐步细化。对于数据开发利用的监管核心在于创利，旨在打破数据孤岛，实现数据的跨场景流通共享，也是现阶段构建数据要素市场的核心。同样基于对于数据开放共享相关政策文件的梳理，对于数据开发利用的监管渊源可追溯至2015年9月《促进大数据发展行动纲要》其中提到加快政府数据开放共享，推动资源整合，提升治理能力、稳步推动公共数据资源开放、统筹规划大数据基础设施建设。之后的2016-2020年间医疗、交通、气象、水利、工业等领域主管部门陆续发文，促进行业数据共治共享。2022年《要素市场化配置综合改革试点总体方案》和《关于构建数据基础制度更好发挥数据要素作用的意见》，将数据流通共享纳入数据要素体系框架。数据安全行业现状分析全球进入数字经济时代，数据量呈现高速增长态势。随着云计算、AI、5G、物联网等新兴技术的快速普及，全球各类重点产业加速数字化转型，带来数据量的高速增长。根据IDC发布的数据，全球数据量从2010年的2ZB增长到2021年将近60ZB，2025年预计将增长至175ZB，其中中国将成为数据量最大的国家，数据量将达到48．6ZB，占全球总量的27．8％。2021年，美国社交软件Facebook因系统漏洞泄露超过5．33亿用户的个人信息；美国油管公司遭遇勒索病毒攻击，核心数据被加密，迫使其一度关闭整个能源供应网络，极大影响了美国东海岸燃油等能源供应，美国政府宣布进入国家紧急状态；印度移动支付软件MobiKwik因黑客攻击泄露约1亿用户的信息；美国电信企业T-Mobile因服务器被黑客入侵泄露4860万用户的数据；滴滴出行App存在严重违法违规收集使用个人信息问题并下架。数据安全问题频出，对社会经济及相关企业经营均带来了不利影响。数据安全与企业生产经营的关系愈发紧密，同步催生了下游用户对数据安全产品和解决方案的需求。数据安全问题在全球多个发达地区持续得到政府的高度重视。1981年，欧洲委员会发布了《个人数据自动化处理中的个人保护公约》，对个人隐私数据进行保护。随着数据要素在经济发展中的重要程度持续提升，全球多个发达国家及地区对数据安全的重视程度逐渐提升，各地政府颁发的相关政策也越来越密集。2018年，欧盟发布《通用数据保护条例》（GeneralDataProtectionRegulation，GDPR），明确了用户对属于自己个人的数据有绝对掌控权，规定欧盟所有成员国企业在收集、传输、保留、使用个人信息上都必须要取得用户的同意。GDPR的出台标志着全球各个国家地区在数据领域的竞争发展开始加速。在欧盟持续加强数据领域发力的同时，美国也加快围绕数据的立法及法律法规体系建设，陆续发布《应用程序隐私保护和安全法案》（APPsActof2018）草案、《加州消费者隐私保护法案》（CCPA）等相关数据保障法案。2022年6月，美国参议院与众议院发布了《美国数据隐私和保护法案》草案（AmericanDataPrivacyandProtectionAct，ADPPA），有望进一步树立全国性的联邦标准。此外，日本、韩国等其他发达国家也加速针对数据保护出台相关法律，助力数据产业正规化发展。数据安全是数据经济产业的基石。我国数字经济规模逐年增长，根据信通院数据，我国数字经济规模从2016年22．6万亿元，增长至2021年45．5万亿元，年均复合增长率达到15%。我国数据安全市场发展前景（一）国家政策不断完善对数据安全产业发展起到推动作用我国一直对网络安全产业高度重视，近年来，国家陆续出台了多项政策推动网络安全行业的发展。《十四五数字经济发展规划》《十四五国家信息化规划》《关于促进网络安全产业发展的指导意见（征求意见稿）》等发展规划，全面加强网络安全基础设置建设，开展高级威胁防护、监测预警等关键技术研究，健全网络安全管理机制和新型可信网络安全综合防控体系，培养若干具有国际竞争力的网络安全骨干企业。在相关政策指引的推动下，我国持续完善网络安全措施，网络安全防护水平进一步提升，未来行业发展空间和潜力可期。近年来，数据安全政策法规不断完善和优化，数据安全市场规范化程度逐步提高，政府和企业客户对数据安全产品和服务的投入稳步增加。2020年1月1日《中华人民共和国密码法》开始施行，填补了我国密码领域长期存在的法律空白，对于加快密码法治建设，理顺国家安全领域相关法律法规关系，完善国家安全法律制度体系具有重大意义。2021年9月1日《数据安全法》施行，首次从法律层面明确数据安全保护义务，为开展数据处理活动的组织和个人提供了行为指引，填补了我国数据安全保护空白。2021年11月1日《个人信息保护法》施行，立足于数据产业发展实践和个人信息保护的迫切需求，更全面地保障了个人权利，及时回应了国家、社会、个人对个人信息保护的关切。目前，中国数据安全市场处于成长期，伴随数据泄露事件数量激增、性质不断恶化，以及企业数字化转型加速，物联网、业务上云、区块链等新技术的落地，我国政府对数据安全的重视程度不断增加。（二）国内外数据安全监管趋势将推动数据安全产业业态创新全球数据安全产业向着服务化和细分化方向转型，我国政府颁布《数据安全法》迎合数据安全合规发展的契机，除了鼓励数据安全创新产品和技术的研发，更加积极打造数据安全创新服务业态，面向重点行业开展数据安全综合服务能力体系构建，重点发展数据安全保险、大数据安全审计、安全态势感知、大数据安全情报分析等服务业态、数据安全咨询/培训等，以服务业态创新提升中国数据安全产业能级。（三）数据安全市场规模不断扩大，未来将保持继续高速增长态势进程随着我国社会数字化转型步伐加速，数据规模持续扩大，金融、医疗、交通等重要市场以及智能汽车、智能家居等新兴领域数据安全投入持续增加，稳定增长的市场需求将吸引越来越多的传统安全企业以及新兴安全企业推出数据安全相关产品和服务，抢占市场份额，引领行业发展。数据安全产品将向专业化、体系化方向不断迈进，为专业型企业发展带来新机遇。数据安全产品和服务垂直细化的趋势愈加明显，促使数据安全企业的产品结构愈加周密，专业程度愈来愈高，企业与企业之间、行业与行业之间的独立性越来越强，专业化聚焦基础上的差异化共存成为商业主流，以需求定制为驱动的专业型产品供给时代正在到来，专业型数据安全企业将迎来创新发展新机遇。（四）数据安全技术将不断创新在国家对技术创新支持力度不断提升的大背景下，产业链各环节相关主体将持续加大在人工智能、区块链、密态计算等基础通用技术方面的研发投入，为数据识别、数字水印、隐私计算等数据安全关键技术的能力提升和创新发展提供有力支撑。应用领域的逐步拓展将推动数据安全技术的持续演进。数据要素市场化背景下，联邦学习、密文检索、多方安全计算等处于萌芽期的新兴技术，为解决数据利用与数据保护之间的矛盾提供了新的解决方案，应用需求旺盛。随着应用领域的不断扩展和需求的不断释放以及理论研究的不断深入，这类技术在运算效率、互联互通、安全性等方面的问题将逐步得到改进，实现核心技术的持续演进。（五）定制化的数据安全产品将加速渗透至不同行业中随着新兴信息技术应用泛化，中国数据安全行业未来将布局更多的应用领域。信息技术的进步在方便企业共享信息资源扩大业务范围的过程中也使企业不得不面对更多新型的攻击手段、面对新型病毒带来持续未知的威胁，传统数据安全产品无法适应不同类型联网设备及相关人员活动的行为监测和数据防泄漏，因此不同行业场景的安全防御对数据安全行业提出了更高的要求。为了适应不同场景的行业安全需求，数据安全产品需要逐渐向多元化、定制化转变，从传统安全产品被动防御向主动监测、及时查杀的全数据周期安全防护转型。使数据安全防护从个人至企业、从企业到行业，从行业上升至国家战略的全面发展需求，功能必须不断更新、升级，以适应全新网络安全环境。数据安全行业发展面临的机遇与挑战（一）数据安全行业发展面临的机遇1、数据安全成为国家战略，数据安全行业政策不断更新出台近年来，国家有关部门相继出台了《个人信息保护法》《数据安全法》《个人信息保护法》《密码法》等一系列法律法规和鼓励行业发展的产业政策，为数据安全产业的发展营造了良好的政策环境。我国的数据安全工作提高到国家战略高度，有力促进了数据安全产业全面快速发展。数据安全形势的日益严峻，国家对数据安全产业的重视程度日益提高，随着政府及行业政策法规的推动，促使我国数据安全市场空间日益扩大。2、新基建推动传统行业转型，数据安全定制化将迎来新机遇数据安全作为新基础设施建设中必不可少的安全保障，在国家政策和行业需求的双重驱动下，将迎来产业发展的新机遇。由于建设新基础设施要考虑广泛应用场景的安全性，而不同场景的安全需求是不同的，可支持多种交互式应用场景的定制化数据安全产品将快速发展。随着交通、能源、制造等行业信息化基础设施建设逐步加快，一系列支持数据安全产业向不同场景融合渗透的政策法规不断颁布，此类行业将加大对数据安全的投入。数据安全正朝着综合安全能力和多元运维能力的方向发展。因此，数据安全产品需要与新基础设施紧密结合，与不同行业形成共同成长、共同合作的服务模式。随着无线接入技术，智能终端，传感器技术，虚拟化技术等的发展，数据安全威胁也呈现出多元化发展的趋势。物联网、移动互联网、工业互联网逐渐扩大了网络空间的范围，使得数据安全形势越来越严峻。云计算正在成为一种新型的信息基础设施，大数据正成为全面推动产业升级的巨大资源，与此同时，5G和人工智能正在成为新网络基础设施的标准。随着数据安全需求不断扩大，网络空间更加复杂和模糊。网络空间安全风险的显著变化推动着数据安全防护机制的不断升级。如何在使用新技术和新系统的同时保证数据的安全已经成为终端用户的重要内容。因此，数据安全企业不仅需要保证现有技术和产品的迭代升级，还需要不断开发新的数据安全产品，以满足市场不断扩张和升级的需要。（二）数据安全行业发展面临的挑战1、数据安全行业人才紧缺成为行业发展主要制约因素数据安全人才数量和结构失衡严重，人才已成为制约数据安全产业发展的关键因素。数据安全人才需求增长迅速，数据安全人才供不应求，这也是世界各国面临的紧迫问题。我国数据安全产业发展起步较晚，人才短缺问题尤为严重。据教育部《网络安全人才实战能力白皮书》数据显示，国内只有34个高校设立网络空间安全一级学科。到2027年，我国网络安全人员缺口将达327万，网络安全行业人才稀缺。伴随中国对数据库安全的重视程度逐渐提高，行业发展呈现稳定增长态势，中小型企业、私营企业逐步设立专岗人员，使其人才需求量不断增加，尤其是以北上广深为代表的一线和新一线城市，人才需求数量占全国需求总量60%以上，行业面临巨大的人才缺口，建立健全完善的数据安全人才培养制度，加大数据安全人才培养力度，企业自建人才园，成为行业重要发展方向。随着国家新基础设施建设的逐步推进，数据安全人才短缺问题将日益严重。2、国内多数数据安全企业技术研发及产品创新受到资金不足的制约目前数据安全领域国外企业仍占据技术优势，Gartner评选的全球领导企业包括了赛门铁克、Forcepoint、IntelSecurity等，而我国提名的厂商包括明朝万达在内只有五家。数据安全技术与研发投入资金规模具有密切联系，而我国数据安全企业大多毛利率偏低，自有资金不足以支撑加大技术研发投入以提高技术水平及产品创新所需要的规模。而国外数据安全企业营业收入主要来源于产品和订阅服务的规模化销售，总体毛利率水平较高，符合产品型企业的典型特征，因此在技术及产品创新层面也具有更雄厚的资金支持。我国多数国内企业毛利率水平普遍偏低，并不具备与国外厂商在技术研发及产品创新方面竞争的实力。除此外，与发达国家相比，我国在网络安全行业的资金投入规模也低于发达国家水平，因此，研发资金不足是我国数据安全行业发展的主要制约因素。数据安全产业链数据安全通常指用于保护计算机系统中数据不因偶然和恶意的原因遭到破坏、更改和泄露的安全工具，以确保数据的可用性、完整性和保密性。在计算机领域，数据是指所有能输入计算机并被计算机程序处理的介质，包括符号、文字、数字、语音、图像、视频等。因此，数据安全所针对的对象即为数据的载体，如数据库、文件、存储介质等，并基于加密、访问控制等技术，围绕数据在生成、存储、使用、共享、归档、销毁的整个生命周期安全所衍生出了的相关技术和工具，一般包括数据库安全、数据防泄漏、文档加密、容灾备份等等。数据安全行业发展前景随着2016年《网络安全法》、2021年《数据安全法》《个人信息保护法》陆续出台，我国在数据安全和个人信息保护领域已形成较为完备的法律规范体系，对我国数字经济繁荣和数据安全产业发展都在法律层面提供了制度保障。目前，受互联网技术以及企业生产环境等因素影响，企业数字化转型正在进行中国有企业的数字化转型，在开发和利用数据的过程中，必然需要专业化的数据资产管理、数据安全监测、安全存储、风险评估、隐私计算等数据安全产品和服务作为支撑和保障。相较于国有企业，中小企业更需要通过数字化网络化智能化实现复工复产，对采购、租赁云化部署的数据安全一站式产品或服务有较大需求。因此，数据安全产业面临更大的需求和更高的要求，未来将会加速发展。近年我国社会数字化转型步伐加速，数据规模持续扩大，金融、医疗、交通等重要市场以及智能汽车、智能家居等新兴领域数据安全投入持续增加，稳定增长的市场需求将吸引越来越多的传统安全企业以及新兴安全企业推出数据安全相关产品和服务。数据安全产品将向专业化、体系化方向不断迈进，为专业型企业发展带来新机遇。进入数据安全行业的主要壁垒（一）数据安全行业研发和技术壁垒数据安全产业是一个技术密集型产业，对技术水平要求很高。产品研发和技术创新要求企业具有较强的技术实力，配置丰富的技术研发资源。一方面，数据安全技术和产品的创新能力是推动企业获得竞争优势的关键因素。另一方面，不同行业、不同政企用户对数据安全产品的技术要求也不尽相同。数据安全企业只有对行业有深刻的理解，在充分了解用户需求的基础上，才能开发出符合用户实际需求的产品和解决方案。新进入者的壁垒主要在于缺乏对核心技术的有效积累，以及对数据安全技术的前瞻性研究，若不能在短时间内取得重大技术突破，实现技术跨越发展，在市场竞争中将处于劣势地位。（二）数据安全行业市场准入壁垒在数据安全产业，新进入市场的竞争者面临着市场准入壁垒。目前国家安全主管部门和行业主管部门制定了若干严格的产品资质和服务资质认证体系以规范市场，例如数据安全厂商需要取得公安部网络安全保卫局颁发的计算机信息系统安全专用产品销售许可证，相关产品和系统还需要经过严格的测评认证。因此，获取资质认证是新进入者参与竞争的先决条件，由于取得相关资质认证的要求较高且申请周期相对较长，导致新进入者难以在短期内进入市场并参与竞争。（三）数据安全行业人才壁垒数据安全产业是一个智力密集型产业，高端人才极度匮乏。高水平的安全攻防人员、安全评估咨询人员、软件架构设计开发人员是数据安全厂商的重要组成部分。这些人才需要在稳定的科研环境中长期培养。当前国内网络安防高端人才主要集中在国内外一些大型安全厂商和研究机构。它们的共同特点是数量稀少、就业成本高，且一般都与原单位签订了保密和竞业禁止协议。这使得新进入者很难在短期内获得一批了解市场需求、掌握核心技术的人才，无法突破研发领域的技术壁垒，形成自己的技术或差异化优势。因此，进入这个行业存在着很高的人才壁垒。（四）数据安全行业品牌壁垒由于数据安全的重要性，客户普遍具有较高的品牌忠诚度。目前中国市场的主要安全厂商都是经过多年的积累，在激烈的市场竞争中通过诚信服务、优良产品品质和大规模的销量逐步积累起企业的品牌和声誉，并且已经与客户形成了长期、互信的合作关系，新进入者难以在短期内建立较高的品牌忠诚度。数据安全行业的下游客户主要分布在公安、政府、运营商、广电部门、企事业单位等，这类企业需求较严格，由于涉及安全保密的特殊性，对数据安全产品供应商的选择极为慎重，尤其对于政府、金融和等敏感行业客户而言，对数据安全产品供应商的技术成熟性、产品性能、后续技术服务的要求很高，更加关注企业以往的成功案例，通常要求数据安全产品供应商具有良好的市场知名度和美誉度，并倾向于选择具有长期合作历史的供应商。目前我国主要的数据安全企业均经过十余年以上的积累，在激烈的市场竞争中通过长期行业经营、优质的服务、优良的产品品质逐步积累起行业经验、品牌和声誉；先进入者对客户所在行业业务规则、业务特征有深刻理解和经验积累，在其竞争领域建立了良好的用户基础、积累了丰富的成功案例，从而树立良好的市场品牌形象，拥有稳定、忠诚的客户群体，而新进入者往往缺乏成功案例和品牌知名度，难以在短期内培养出稳定的客户群体。另外，基于安全保密、沟通和更换成本的考虑，数据安全产品下游客户一般会对供应商产生路径依赖，这种用户黏性使得客户不会轻易更换供应商，甚至对其数据安全的新需求也倾向于选择原有供应商，市场新进入者难以在短期内获得用户足够的信任。以专用网络内容与行为审计产品市场为例，目前市场上的领先品牌已经在市场上经营了近十余年，产品已取得网络安全监管部门认可，在专业产品用户间树立起了良好的品牌形象，并建立了完善的客户体系。（五）数据安全行业经验壁垒由于数据安全行业内企业只有了解用户真实需求、理解应用场景和特征，才能为用户提供最优的数据安全解决方案，快速满足用户安全需求，这要求行业内的企业具有长期、丰富的解决方案积累。其次是发展高度复杂的产品设计、嵌入式技术和新的软件基础设施技术需要花费层出不穷的固定成本。扩大产品定义可能会增加对新进入者的壁垒。当行业领先企业通过收集和积累产品数据并利用其改进产品和服务以及重新定义售后服务来获得关键的先发优势时，进入壁垒也会增加。复杂的产品设计和飞涨的成本将对新进入市场的企业形成重大的新障碍。行业内用户对产品和解决方案的安全性、高效性要求较高，没有长期的行业经验积累，新进者在短期内难以推出对现有厂商构成实质性竞争的产品和解决方案。数据安全行业技术水平及特点（一）数据安全行业技术水平边界安全包括身份认证、网络隔离和传输安全。身份认证指的是：关注外部用户或者第三方服务，对集群访问过程中的身份鉴别，用户在访问启用安全认证的集群时，需通过服务所需要的安全认证方式。网络隔离指的是：大数据平台集群，支持通过网络平面隔离的方式，保证网络安全。传输安全指的是：关注数据在传输过程中的安全性，包括采用安全的接口设计，和高安全的数据传输协议，来保证在通过接口访问、处理、传输数据时的安全性，避免数据被非法访问、窃听或旁路嗅探。访问控制包括权限控制1和审计管理。权限控制包括鉴权、授信管理；即确保用户对平台、接口、操作、资源、数据等都具有相应的访问权限，避免越权访问；分级管理，即根据敏感度对数据进行分级，对不同级别的数据提供差异化的流程、权限和审批要求等管理措施。审计管理指的是：基于底层提供的审计数据，在权限管理、数据使用、操作行为等多个维度，对大数据平台的运转提供安全审计能力，确保及时发现大数据平台中的隐患点。数据审计包括数据生命周期管理和日志审计。数据生命周期管理指的是：追溯大数据平台内的信息；熟知数据使用、销毁情况，通过安全审计，监测大数据系统中，是否存在非法数据访问。安全审计的目的是捕获系统内的完整活动记录，且不可被更改，遵守事前可管、事中可控、事后可查，三大原则。日志审计是对日志和审计记录做集中管理和分析。数据保护包括数据加密、数据脱敏、多租户隔离、数据侵权保护、容灾管理。数据加密指的是：提供数据在传输过程及静态存储的加密保护，在敏感数据被越权访问时仍然能够得到有效保护。数据脱敏指的是：提供数据脱敏和个人信息去标识化功能，提供满足国际密码算法的用户数据加密服务。多租户隔离是指实施多租户访问隔离措施，实施数据安全等级划分，支持基于标签的强制访问控制，提供基于ACL的数据访问授权模型，提供全局数据视图和私有数据视图，提供数据视图的访问控制。数据侵权与保护是利用区块链等类似技术实现数据的溯源确权。数据容灾是为集群内部数据提供实时的异地数据容灾功能。近几年，Data-centricSecurity（简称DCS）即以数据为中心的安全引发国内外网络安全企业热议。由于数据安全与业务活动关联紧切，数据安全企业必须在熟练掌握所服务数据库的数据全貌、业务细节的基础上才可能提炼出有效的安全策略，以部署周密的数据防护计划。随着越来越多的企业依靠大数据实现高效的运营管理，其运营的核心就是企业内网的数据防护及部署安全策略。定制化数据安全产品属于DCS产品，它主要服务于企业的内网安全，它融合了DCS模型中的研发技术，以更好地服务具有特殊数据安全防护需求的企业、政府部门及个人用户；其产品职能是保护企业在业务活动中的计算机硬件、软件和数据不因意外和恶意原因而遭到损坏、更改和泄露，同时能够提供实时、相关、准确、完整的数据，为管理者提供业务管理保障的安全运营策略。DCS产品的目标包括防窃取、防滥用和防误用三方面的内容（防窃取是指防止数据被主动窃取或被动泄露到外部的过程；防滥用是指防止数据被主动不正当使用的过程；防误用是指防止数据被不经意间错误使用的过程），其产品将数据的全生命周期内各不同环节所涉及的信息系统、运行环境、业务场景和操作人员行为等作为围绕数据安全保护的支撑，在数据全生命周期内进行数据保护。（二）数据安全行业技术特点传统网络安全企业仍集中在提供防火墙、入侵检测、入侵防御等单点技术产品上，传统安全产品较多注重对外部网络攻击的防御及检测，其特点是及时清理并消灭已出现在系统内的具有安全威胁的病毒及攻击对象，属于被动防护类型且具有滞后性。标准化安全产品是游离在企业业务系统之外的，无法融合企业经营活动，主动实现内外部网络协同防御，更无法对内部人员危险行为动态监测，应对新型内部网络攻击和人员泄密导致的安全威胁。随着网络技术的发展，攻击手段、技术、频率都大幅增加，传统网络安全产品已无法抵御新型技术的攻击，客户的数据安全面临严峻挑战。与传统标准化产品相比，定制化数据安全产品开发与服务改变了过去先信息化后安全化、以打补丁方式外挂安全产品的模式，其核心在于将数据安全系统内化在客户的信息化过程中，实现多功能、全流程的安全化，可以更好地满足客户对数据安全的需求。金融，行业客户拥有大量敏感数据，保障数据安全是开展日常业务运行的必要条件。相较于业务系统加挂安全模块（OA+安全），安全系统（安全+OA）可以大幅提高