安全接入网关系统行业市场需求与投资规划

安全接入网关系统行业市场需求与投资规划

数据安全服务行业现状与市场发展前景趋势数据安全服务行业现状，数据安全服务行业前景如何?近年来我国数据安全保护体系初步建立。坚持总体国家安全观，着力强化数据安全、个人信息安全等领域的网络安全能力建设，推动网络安全产业发展，网络安全市场规模稳步增长。网络法治建设逐步完善。我国及时跟进研究数字经济、互联网金融、人工智能、大数据、云计算等相关法律制度，网络安全、数据治理、网络空间生态治理、平台治理的立法全面展开并逐步完善。随着我国经济的不断发展及各行业网络化建设的推进，我国数据安全行业市场规模不断扩大，2021年市场规模达到65．56亿元，约占全球数据安全行业市场总规模的近20%，已经成为世界重要的数据安全市场;同时我国数据安全行业市场规模保持了30%的年均复合增长率，高于全球市场规模21%的增速，因此我国数据安全市场已经成为全球数据安全行业重要的增量市场，且预计未来我国在全球数据安全行业中的比重会进一步增加。2021年6月10日，第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》，自2021年9月1日起施行。《数据安全法》为全球数据安全治理贡献中国智慧和中国方案。《数据出境安全评估办法（征求意见稿）》，规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动。当前处于数据安全生命周期的最后阶段数据销毁。多数企业在IT资产处置的环节，采用的仍是传统物理销毁的方式。消磁打孔、暴力拆解、机械粉碎都是目前传统电子资产销毁的方式。物理销毁不出意外便成了众多企业眼中守护数据安全较为直接的方式方法。我国数字经济市场蓬勃发展，据中国信通院数据，2005至2020年，中国数字经济规模从2．6万亿元提升至39．2万亿元。数据显示，2020年至2021年，企业数据泄露事件成本平均已经达到424万美元，同比增长10%。数据泄露事件导致的最大损失是业务损失，平均为159万美元，占比为38%。十四五时期，国内数字经济将保持快速发展势头，围绕着数据资产的攻防需求也将更为旺盛，近年来中国网络安全市场高速发展，2020年中国网络安全行业收入规模达532亿元，较2019年增加了54亿元，同比增长11．30%，人工智能等新兴技术快速演进、交叉融合，技术—产业迭代交互效应持续增强，正在深刻影响网络安全产业发展。2020年受新冠肺炎疫情影响，相关数据虽然降至70亿美元左右，但是近两年数据安全投融资规模总体仍比2010年的17亿美元增长了四到五倍。具体来看，伴随GDPR、CCPA等数据安全和个人信息保护法规影响力不断扩大，隐私保护和数据合规领域异军突起，拥有合规产品或服务的企业所获得的融资量占据总体的大多数。2022年6月，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国认证认可条例》有关规定，国家市场监督管理总局、国家互联网信息办公室决定开展数据安全管理认证工作，鼓励网络运营者通过认证方式规范网络数据处理活动，加强网络数据安全保护。数据擦除技术已然成为企业降本增效的较优选择。此类技术可通过安全的擦除方式，提高设备残值，实现电子产品循环再生从而实现最大资产利益化。数据安全通常指用于保护计算机系统中数据不因偶然和恶意的原因遭到破坏、更改和泄露的安全工具，以确保数据的可用性、完整性和保密性。在计算机领域，数据是指所有能输入计算机并被计算机程序处理的介质，包符号、文字、数字、语音、图像、视频等。《世界互联网发展报告2022》显示，2021年，全球47个国家的数字经济增加值规模达到38．1万亿美元，同比名义增长15．6%，占GDP的比重达到45．0%。数字经济为全球经济增长注入新动能，成为推动全球经济复苏的重要引擎。世界进入全面数字化转型的发展时期，数字技术创新仍是全球战略重点，是实现创新驱动生产力发展的先导性、关键性力量。信息基础设施建设全球领先，一体化大数据中心完成布局。系统推进5G、千兆光网、数据中心建设发展和传统基础设施改造升级，全面布局算力基础设施，全国一体化大数据中心体系完成总体布局设计，东数西算工程全面启动，持续加快应用基础设施建设，物联网、工业互联网、车联网等领域加速发展。数字经济赋能作用凸显，数据要素市场加速培育。中国不断加强数字经济顶层设计，推动数字技术和实体经济深度融合，赋能传统行业数字化转型升级，激活新业态新模式。数字化公共服务效能增强，社会治理向智慧化方向发展。截至2022年6月，中国网民规模达到10．51亿，互联网普及率达到74．4%。智慧城市和数字乡村建设融合发展推进，数字政府效能大幅提升，有限资源的普惠化水平提高。随着数据安全服务行业竞争的不断加剧，大型企业间并购整合与资本运作日趋频繁，国内外优秀的数据安全服务企业愈来愈重视对行业市场的分析研究，特别是对当前市场环境和客户需求趋势变化的深入研究，以期提前占领市场，取得先发优势。正因为如此，一大批优秀品牌迅速崛起，逐渐成为行业中的翘楚。中研普华利用多种独创的信息处理技术，对数据安全服务行业市场海量的数据进行采集、整理、加工、分析、传递，为客户提供一揽子信息解决方案和咨询服务，最大限度地降低客户投资风险与经营成本，把握投资机遇，提高企业竞争力。数据安全发展阶段数据安全的发展历程可大致分为三个阶段，从早期的以数据库为主的单系统安全，到数据生命周期的安全，再到数据基础设施安全，当前正在由第二阶段向第三阶段发展和演变：数据安全1．0：在行业发展早期主要以数据库等单系统的安全为核心。这一时期数据安全主要强调针对数据的边界防护以及内容审计，特别是数据库系统作为数据的重要载体，数据库安全是数据安全最重要的组成部分，数据库安全也与网络边界安全在思想上也形成了直接的对应关系，数据库加密对应磁盘加密，数据库防火墙对应防火墙/UTM，数据库审计对应IDS入侵检测，数据库漏扫对应漏洞扫描等。这一阶段数据安全产品主要以数据库安全、DLP等产品为主。数据安全2．0：随着数据的使用与流转不再局限于单个业务部门，跨业务部门跨网络边界的数据流动成为常态，数据安全开始逐渐以企业整体的安全为核心。这一时期随着网络架构和IT架构的演变，数据也从过去以数据库为载体的单一场景向云、大、物、移等其他场景不断延伸。在这一阶段，数据安全的重心不再仅是针对数据库等单一系统，而是针对数据的整个生命周期进行体系化治理，因此数据安全的产品也开始迅速丰富，同时更强调对技术的综合应用，包括数据分级分类，数据安全平台、数据监控与审计、IAM等技术得以快速发展。数据安全3．0：随着数字经济时代的到来，数据资产成为了国家的战略资源和核心资产，数据安全脱离了单独的个人或企业层面，开始以数字经济基础设施的安全为核心。这一时期，数据交易市场开始逐渐形成，对于银行、电信、能源等关键基础设施机构以及阿里、滴滴、腾讯等大型互联网公司而言，数据的泄露不仅对企业造成严重损失，同时也将威胁到公共安全乃至国家安全。因此在这一时期，数据已经脱离单个企业层面，成为了国家的战略性资源。从2021年数据安全政策的密集出台可以看出国家监管部门对数据安全的高度重视。在这一时期数据治理、隐私计算等技术将开始得到广泛应用。数据安全行业竞争格局近年来，中国网络安全市场快速增长，参与厂商众多。截至2022年上半年，我国共有3，256家企业开展网络安全业务，相比上一年减少31%。其中，北京、广东和上海企业数量居前，分别为932家、461家和256家。2021年我国网络安全整体市场集中度小幅提升，根据美国经济学家贝恩对产业集中度的划分标准，我国网络安全行业市场占有率前8家合计占有率已经超过了40%，说明我国网络安全市场己经由竞争型转变为低集中寡占型。数据安全涉及网络安全行业的各个层面，细分领域较多，包括安全内容管理、入侵检测与防御等多种产品类型，市场竞争格局较为分散。在我国主流的数据安全产品领域，每一细分市场的主要竞争厂商都在10家以上。尽管行业内厂商数量较多，但由于目前数据安全市场的细分程度较高，单一企业难以掌握数据安全领域的全部技术，市场总体的品牌集中度不高，市场份额较分散。总体来看，数据安全产品市场缺乏真正的龙头企业。根据IDC统计，2021年中国数据安全产品与服务的总体市场规模（包含隐私计算与区块链技术中的数据安全部分）达到12．4亿美元。其中，中国数据泄露防护（DLP）市场规模为1．25亿美元，相较于2020年实现了39．2%的同比增长。从竞争格局来看，天空卫士（SkyGuard）、亿赛通（ESAFENET）和明朝万达（Wondersoft）在2021年数据泄露防护市场排名前三。天空卫士以23．1%的市场份额排在第一位；亿赛通以16．3%的市场份额排名第二；明朝万达以市场份额11．2%排名第三。未来，随着我国数据安全行业的快速发展，行业内领先企业的技术创新能力、产品研发能力将得到不断的提升。同时网络攻击行为也将日趋复杂，防火墙、入侵检测系统等传统网络安全设备并不能完全阻挡恶意的网络攻击和内部人员数据泄露的安全风险，所以构建全面的安全防护体系和制定完善的安全管理策略显得尤为重要，近年来我国信息化技术迅速发展，因此具有丰富行业经验和定制化开发能力的数据安全厂商的竞争力将越来越强。进入数据安全行业的主要壁垒（一）数据安全行业研发和技术壁垒数据安全产业是一个技术密集型产业，对技术水平要求很高。产品研发和技术创新要求企业具有较强的技术实力，配置丰富的技术研发资源。一方面，数据安全技术和产品的创新能力是推动企业获得竞争优势的关键因素。另一方面，不同行业、不同政企用户对数据安全产品的技术要求也不尽相同。数据安全企业只有对行业有深刻的理解，在充分了解用户需求的基础上，才能开发出符合用户实际需求的产品和解决方案。新进入者的壁垒主要在于缺乏对核心技术的有效积累，以及对数据安全技术的前瞻性研究，若不能在短时间内取得重大技术突破，实现技术跨越发展，在市场竞争中将处于劣势地位。（二）数据安全行业市场准入壁垒在数据安全产业，新进入市场的竞争者面临着市场准入壁垒。目前国家安全主管部门和行业主管部门制定了若干严格的产品资质和服务资质认证体系以规范市场，例如数据安全厂商需要取得公安部网络安全保卫局颁发的计算机信息系统安全专用产品销售许可证，相关产品和系统还需要经过严格的测评认证。因此，获取资质认证是新进入者参与竞争的先决条件，由于取得相关资质认证的要求较高且申请周期相对较长，导致新进入者难以在短期内进入市场并参与竞争。（三）数据安全行业人才壁垒数据安全产业是一个智力密集型产业，高端人才极度匮乏。高水平的安全攻防人员、安全评估咨询人员、软件架构设计开发人员是数据安全厂商的重要组成部分。这些人才需要在稳定的科研环境中长期培养。当前国内网络安防高端人才主要集中在国内外一些大型安全厂商和研究机构。它们的共同特点是数量稀少、就业成本高，且一般都与原单位签订了保密和竞业禁止协议。这使得新进入者很难在短期内获得一批了解市场需求、掌握核心技术的人才，无法突破研发领域的技术壁垒，形成自己的技术或差异化优势。因此，进入这个行业存在着很高的人才壁垒。（四）数据安全行业品牌壁垒由于数据安全的重要性，客户普遍具有较高的品牌忠诚度。目前中国市场的主要安全厂商都是经过多年的积累，在激烈的市场竞争中通过诚信服务、优良产品品质和大规模的销量逐步积累起企业的品牌和声誉，并且已经与客户形成了长期、互信的合作关系，新进入者难以在短期内建立较高的品牌忠诚度。数据安全行业的下游客户主要分布在公安、政府、运营商、广电部门、企事业单位等，这类企业需求较严格，由于涉及安全保密的特殊性，对数据安全产品供应商的选择极为慎重，尤其对于政府、金融和等敏感行业客户而言，对数据安全产品供应商的技术成熟性、产品性能、后续技术服务的要求很高，更加关注企业以往的成功案例，通常要求数据安全产品供应商具有良好的市场知名度和美誉度，并倾向于选择具有长期合作历史的供应商。目前我国主要的数据安全企业均经过十余年以上的积累，在激烈的市场竞争中通过长期行业经营、优质的服务、优良的产品品质逐步积累起行业经验、品牌和声誉；先进入者对客户所在行业业务规则、业务特征有深刻理解和经验积累，在其竞争领域建立了良好的用户基础、积累了丰富的成功案例，从而树立良好的市场品牌形象，拥有稳定、忠诚的客户群体，而新进入者往往缺乏成功案例和品牌知名度，难以在短期内培养出稳定的客户群体。另外，基于安全保密、沟通和更换成本的考虑，数据安全产品下游客户一般会对供应商产生路径依赖，这种用户黏性使得客户不会轻易更换供应商，甚至对其数据安全的新需求也倾向于选择原有供应商，市场新进入者难以在短期内获得用户足够的信任。以专用网络内容与行为审计产品市场为例，目前市场上的领先品牌已经在市场上经营了近十余年，产品已取得网络安全监管部门认可，在专业产品用户间树立起了良好的品牌形象，并建立了完善的客户体系。（五）数据安全行业经验壁垒由于数据安全行业内企业只有了解用户真实需求、理解应用场景和特征，才能为用户提供最优的数据安全解决方案，快速满足用户安全需求，这要求行业内的企业具有长期、丰富的解决方案积累。其次是发展高度复杂的产品设计、嵌入式技术和新的软件基础设施技术需要花费层出不穷的固定成本。扩大产品定义可能会增加对新进入者的壁垒。当行业领先企业通过收集和积累产品数据并利用其改进产品和服务以及重新定义售后服务来获得关键的先发优势时，进入壁垒也会增加。复杂的产品设计和飞涨的成本将对新进入市场的企业形成重大的新障碍。行业内用户对产品和解决方案的安全性、高效性要求较高，没有长期的行业经验积累，新进者在短期内难以推出对现有厂商构成实质性竞争的产品和解决方案。数据安全市场定义从广义上来看，数据安全和网络安全都是信息安全的一部分。在传统网络安全市场的框架下，数据安全从攻防视角或系统视角出发，即保障数据产生和存放的系统设备的安全，从而保护在系统设备上的数据。在这一体系下，形成了以防护数据库、网络、服务器等数据使用/存放环境为核心的数据安全产品体系。而在现阶段数据安全防护和数据开发利用并重的监管体系下，数据安全正在从传统的系统视角（保护存放数据的系统设备）向业务视角（围绕数据流动展开全生命周期防护）转变。在业务视角体系下，对于数据的防护作用于数据本身，且伴随数据全生命周期流程，涵盖数据采集、数据存储、数据传输、数据使用、数据共享、数据销毁六个阶段，同时对涉密、重要、隐私等敏感数据进行靶向监控，实施针对数据的分类分级型安全防护。在系统视角下，更加关注器的安全，即数据安全通过保护承载数据的系统设备实现，故而数据安全是传统网络安全市场下的一个分支；而在业务视角下，更加关注物本身的安全，对于数据本身的安全防护伴随业务场景流转日益丰富，故而数据安全在当下正在逐步演进为独立的赛道。未来网络安全和数据安全有望保持相互关联、依赖和演进的关系。一方面，传统系统视角下的数据安全演进成为业务视角下独立数据安全赛道的重要组成部分；另一方面，以网络为中心的安全是保证数据安全的前提和基石，而以数据为中心的安全，着手数据本身，能够有效增强数据防护能力，使得防护更加精准高效。在数据安全市场围绕数据全生命周期向独立赛道发展演进的过程中，下游对于数据安全的需求也在发生变化：对于新建系统而言，数据安全的部署和投入节点被前置，事前和事中环节的防护需求增大；对于潜在的数据共享和数据交易需求，隐私计算技术的应用场景落地逐步清晰；对于存量系统而言，数据安全的改造需求增多，轻量化改造方案有望更加获得下游客户的认可。数据安全产业增速根据信通院及部分机构测算的数据，我国2020年网络安全产业规模约为1702亿元，同年数据安全产业规模约为50亿元左右，不到网络安全产业规模的百分之三。近年来，随着我国数字经济规模的扩大，数据安全越发受到重视，我国数据安全产业增速明显，2018年到2020年我国数据安全产业同比增速分别为29．6%、32．7%、33．2%，预计2022年增速可达40%。在2019年至2022年8月期间，各行业根据行业情况对数据安全项目需求不同，其中政府、教育、医疗卫生和公检法司行业数据安全项目较多，占到了整体采购量的81%，但专项项目占比及增速不高；电信、企业、金融和能源化工行业的专项项目占比和2021年增速相对较高，在数据安全建设相对领先，建设进程较快。2021年，中国数据安全项目整体分布中，政府采购量占比达到36．8%，教育和医疗卫生领域占比都达到17．3%，公检法司领域占比9．4%，电信行业占比5．4%，随后企业、金融、能源化工、交通等领域占比相近。数据安全行业概述数据安全是指对数据在收集、处理、存储、检索、传输、交换、显示、扩散等过程中的保护，保障数据在各环节中依法授权使用，不被非法冒充、窃取、篡改、删除、抵赖，确保数据信息的机密性、真实性、完整性与不可否认性。传统的数据安全厂商一般为产品提供商，主要关注产品（尤其是硬件）的功能性，以提供单一功能的通用型标准安全产品为主，如防火墙、VPN、防病毒产品等。传统的数据安全厂商对于整体解决方案、一站式服务、售后服务的关注有限，未在产品类型上充分延伸。随着互联网的高速发展及物联网、工业互联网、云计算、大数据等新兴技术的兴起，网络攻击形态日益复杂，攻击模式急剧多元化、复杂化，传统的单一功能产品无法再满足数据安全防护需求，下游各类客户转而寻求一体化数据安全解决方案，客户对数据安全厂商全面防御的要求提升。数据安全行业技术水平及特点（一）数据安全行业技术水平边界安全包括身份认证、网络隔离和传输安全。身份认证指的是：关注外部用户或者第三方服务，对集群访问过程中的身份鉴别，用户在访问启用安全认证的集群时，需通过服务所需要的安全认证方式。网络隔离指的是：大数据平台集群，支持通过网络平面隔离的方式，保证网络安全。传输安全指的是：关注数据在传输过程中的安全性，包括采用安全的接口设计，和高安全的数据传输协议，来保证在通过接口访问、处理、传输数据时的安全性，避免数据被非法访问、窃听或旁路嗅探。访问控制包括权限控制1和审计管理。权限控制包括鉴权、授信管理；即确保用户对平台、接口、操作、资源、数据等都具有相应的访问权限，避免越权访问；分级管理，即根据敏感度对数据进行分级，对不同级别的数据提供差异化的流程、权限和审批要求等管理措施。审计管理指的是：基于底层提供的审计数据，在权限管理、数据使用、操作行为等多个维度，对大数据平台的运转提供安全审计能力，确保及时发现大数据平台中的隐患点。数据审计包括数据生命周期管理和日志审计。数据生命周期管理指的是：追溯大数据平台内的信息；熟知数据使用、销毁情况，通过安全审计，监测大数据系统中，是否存在非法数据访问。安全审计的目的是捕获系统内的完整活动记录，且不可被更改，遵守事前可管、事中可控、事后可查，三大原则。日志审计是对日志和审计记录做集中管理和分析。数据保护包括数据加密、数据脱敏、多租户隔离、数据侵权保护、容灾管理。数据加密指的是：提供数据在传输过程及静态存储的加密保护，在敏感数据被越权访问时仍然能够得到有效保护。数据脱敏指的是：提供数据脱敏和个人信息去标识化功能，提供满足国际密码算法的用户数据加密服务。多租户隔离是指实施多租户访问隔离措施，实施数据安全等级划分，支持基于标签的强制访问控制，提供基于ACL的数据访问授权模型，提供全局数据视图和私有数据视图，提供数据视图的访问控制。数据侵权与保护是利用区块链等类似技术实现数据的溯源确权。数据容灾是为集群内部数据提供实时的异地数据容灾功能。近几年，Data-centricSecurity（简称DCS）即以数据为中心的安全引发国内外网络安全企业热议。由于数据安全与业务活动关联紧切，数据安全企业必须在熟练掌握所服务数据库的数据全貌、业务细节的基础上才可能提炼出有效的安全策略，以部署周密的数据防护计划。随着越来越多的企业依靠大数据实现高效的运营管理，其运营的核心就是企业内网的数据防护及部署安全策略。定制化数据安全产品属于DCS产品，它主要服务于企业的内网安全，它融合了DCS模型中的研发技术，以更好地服务具有特殊数据安全防护需求的企业、政府部门及个人用户；其产品职能是保护企业在业务活动中的计算机硬件、软件和数据不因意外和恶意原因而遭到损坏、更改和泄露，同时能够提供实时、相关、准确、完整的数据，为管理者提供业务管理保障的安全运营策略。DCS产品的目标包括防窃取、防滥用和防误用三方面的内容（防窃取是指防止数据被主动窃取或被动泄露到外部的过程；防滥用是指防止数据被主动不正当使用的过程；防误用是指防止数据被不经意间错误使用的过程），其产品将数据的全生命周期内各不同环节所涉及的信息系统、运行环境、业务场景和操作人员行为等作为围绕数据安全保护的支撑，在数据全生命周期内进行数据保护。（二）数据安全行业技术特点传统网络安全企业仍集中在提供防火墙、入侵检测、入侵防御等单点技术产品上，传统安全产品较多注重对外部网络攻击的防御及检测，其特点是及时清理并消灭已出现在系统内的具有安全威胁的病毒及攻击对象，属于被动防护类型且具有滞后性。标准化安全产品是游离在企业业务系统之外的，无法融合企业经营活动，主动实现内外部网络协同防御，更无法对内部人员危险行为动态监测，应对新型内部网络攻击和人员泄密导致的安全威胁。随着网络技术的发展，攻击手段、技术、频率都大幅增加，传统网络安全产品已无法抵御新型技术的攻击，客户的数据安全面临严峻挑战。与传统标准化产品相比，定制化数据安全产品开发与服务改变了过去先信息化后安全化、以打补丁方式外挂安全产品的模式，其核心在于将数据安全系统内化在客户的信息化过程中，实现多功能、全流程的安全化，可以更好地满足客户对数据安全的需求。金融，行业客户拥有大量敏感数据，保障数据安全是开展日常业务运行的必要条件。相较于业务系统加挂安全模块（OA+安全），安全系统（安全+OA）可以大幅提高系统的安全性，具有以下优势：1）需求层面，在目前的政策法规下，安全需求已经与业务系统同等重要，甚至