数据安全保险箱产业深度调研及未来发展现状趋势

数据安全保险箱产业深度调研及未来发展现状趋势

我国数据安全市场发展概况（一）我国网络安全领域投入规模不断增加，为数据安全行业提供良好发展环境中国网络安全市场起步较晚，近年来在国家政策法规、数据经济及市场需求的多方驱动下，政府在网络安全支出行业内的投入力度也逐步加大，在全球范围内，中国是除美国外网络安全支出最多的国家。中国网络安全市场近五年在数字化转型、国家政策法规、市场需求等多方因素的推动下也实现了快速增长。伴随网络安全法、等级保护2．0等相关法律法规的逐步落地，行业监管力度的不断提升，中国网络安全相关硬件、软件和服务市场有望持续保持快速增长态势。数据安全作为网络安全建设系统中的重要分支，政府在网络安全行业的投入力度加大，在一定程度为数据安全行业的发展提供利好环境。（二）我国网络安全行业市场规模增长稳定目前，我国基于安全产品和服务的应用场景、保护对象和安全能力，我国网络安全产品和服务已覆盖基础安全、基础技术、安全系统、安全服务等多个维度，网络安全产品体系日益完备，产业活力日益增强。近年来国家以及企业对网络安全重视程度不断提升，我国网络安全市场迎来快速发展期。据中国信通院数据显示，2021年中国网络安全市场规模达到2，003亿元，较2020年增长15．8%。随着互联网的不断发展，5G、大数据、物联网、云计算等新一代信息技术的深入应用，网络安全的重要性将进一步凸显，市场规模不断扩大，后续在国家政策推动以及新技术融合发展之下，预计国内网络安全的市场规模在2025年达到3，426亿元，2020-2025年CAGR达到14．7%，增速远高于全球平均水平。（三）我国数据安全行业市场增速不断提高近年来，国内数字经济和信息产业蓬勃发展，5G、大数据、人工智能、区块链等技术不断落地应用。2021年我国数字经济规模达到45．4万亿元，占GDP比重达到39．8%，数字经济在国民经济中的地位更加稳固、支撑作用更加明显。新业态新技术在推动经济转型升级的同时，数据规模不断扩大，数据泄露、滥用等风险日益凸显，防范数据安全风险、构建数据安全保护体系成为各方共识。近年来，随着人们对数据安全的重视程度不断加深，数据安全市场规模不断增长，2021年我国数据安全市场规模达到了70．9亿元，近三年市场增速分别达到了32．7%、33．2%、35%的水平，明显高于网络安全市场规模增速水平，但目前数据安全市场规模在网络安全市场的整体占比约为3．5%，因此行业未来仍有较大发展空间，预计2022年该市场规模将达到99．2亿元。中国数据安全市场处于成长期，伴随数据泄露事件数量激增以及企业数字化转型加速、物联网、业务上云、区块链等新技术的落地，中国政府对数据安全的重视程度不断增加，数据安全技术将持续突破，数据安全在不同行业领域的应用将逐渐深入，中国数据安全行业市场规模将不断增长。（四）我国信息化发展促使移动安全市场快速增长信息化的发展催生了新的信息安全需求，新安全产品的推出将进一步扩展行业维度，并带动相关市场不断成长。近年来，随着移动智能终端设备渗透率的不断提升，以及应用领域的扩张，全球移动信息安全的需求出现了大幅增长趋势，移动互联网数据激增推动了全球移动信息安全规模的高速增长，尤其在中国，移动互联网市场规模和用户数量持续上升，带动了移动电子商务、移动支付、社交网络等应用快速发展，而由此引发的信息安全问题也愈发突出，人们对移动信息安全关注度不断提升，相关产品市场规模也不断增长。共研网数据显示，我国移动安全市场呈现较强的增长趋势，2021年市场规模达89．50亿元，同比增长22．8%，预计2022年规模可达107．50亿元。（五）我国数据安全行业下游应用领域广泛数据安全行业的下游用户群体主要分布于医疗、金融、政府、电信等领域。2021年我国数据安全分析市场下游行业中，政府、教育、医疗卫生和公检法司位居应用领域前四名，项目采购量占比分别为36．8%、17．3%、17．3%和9．4%，合计超过80%，其他重点行业主要包括电信、金融、企业等。我国数据安全建设进程加速，各行各业对于数据安全投资意识增加，未来随着不同行业需求的增长，数据安全市场规模将进一步增加。（六）我国数据泄露事件频发，数据安全成为行业发展核心内容随着我国信息化建设不断加速，人工智能、大数据等新兴技术的普及，网络攻击越发倾向智能化、自动化和武器化，通过机器实施的自动化攻击逐渐成为网络攻击的主流，带来的负面影响和潜在危害不断加深。网络安全事件频发并导致了严重的经济损失，数据泄漏、数据勒索、流量攻击等网络攻击形式成为重点关注领域。2022年1月，ITRC发布了2021年度数据泄露报告，2020年全球全部数据泄露事件共1，108起，2021年数据泄露事件增加到1，862起，增加了68%。我国数据泄露问题同样不容乐观，与2020年相比，2021年数据泄漏所占比例进一步上升，占所有数据安全事件类型的84%，其中以获利为目的的数据泄漏事件占比为80%。所以利益驱动导致数据安全泄露仍然是如今面对的主要问题。随着我国信息化建设水平不断加速，大量企业及个人数据被曝光在网络空间中，因此，主动发现安全威胁并及时制定和执行安全策略将成为保障网络安全的关键，数据安全已成为我国网络安全行业发展的核心内容。数据安全监管框架对于数据安全防护的监管核心在于止损，延用了网络安全领域等保制度的建设思路，旨在防止因为数据泄露、丢失、以及不当操作等对社会秩序、公共利益或者对国家安全造成损害。通过对数据防护相关政策的梳理，对于数据安全防护的监管渊源可追溯至2015年7月全国人大发布的《国家安全法》，其中提到建设网络与信息安全保障体系和实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控。之后在《国家安全法》的基础上，全国人大和网信办陆续发布《网络安全法》、《数据安全法》、《个人信息保护法》、《数据出境安全评估办法》等跟数据安全防护直接相关的法律法规，各行业亦出台相关指导文件，数据安全防护监管要求逐步细化。对于数据开发利用的监管核心在于创利，旨在打破数据孤岛，实现数据的跨场景流通共享，也是现阶段构建数据要素市场的核心。同样基于对于数据开放共享相关政策文件的梳理，对于数据开发利用的监管渊源可追溯至2015年9月《促进大数据发展行动纲要》其中提到加快政府数据开放共享，推动资源整合，提升治理能力、稳步推动公共数据资源开放、统筹规划大数据基础设施建设。之后的2016-2020年间医疗、交通、气象、水利、工业等领域主管部门陆续发文，促进行业数据共治共享。2022年《要素市场化配置综合改革试点总体方案》和《关于构建数据基础制度更好发挥数据要素作用的意见》，将数据流通共享纳入数据要素体系框架。数据安全行业现状分析全球进入数字经济时代，数据量呈现高速增长态势。随着云计算、AI、5G、物联网等新兴技术的快速普及，全球各类重点产业加速数字化转型，带来数据量的高速增长。根据IDC发布的数据，全球数据量从2010年的2ZB增长到2021年将近60ZB，2025年预计将增长至175ZB，其中中国将成为数据量最大的国家，数据量将达到48．6ZB，占全球总量的27．8％。2021年，美国社交软件Facebook因系统漏洞泄露超过5．33亿用户的个人信息；美国油管公司遭遇勒索病毒攻击，核心数据被加密，迫使其一度关闭整个能源供应网络，极大影响了美国东海岸燃油等能源供应，美国政府宣布进入国家紧急状态；印度移动支付软件MobiKwik因黑客攻击泄露约1亿用户的信息；美国电信企业T-Mobile因服务器被黑客入侵泄露4860万用户的数据；滴滴出行App存在严重违法违规收集使用个人信息问题并下架。数据安全问题频出，对社会经济及相关企业经营均带来了不利影响。数据安全与企业生产经营的关系愈发紧密，同步催生了下游用户对数据安全产品和解决方案的需求。数据安全问题在全球多个发达地区持续得到政府的高度重视。1981年，欧洲委员会发布了《个人数据自动化处理中的个人保护公约》，对个人隐私数据进行保护。随着数据要素在经济发展中的重要程度持续提升，全球多个发达国家及地区对数据安全的重视程度逐渐提升，各地政府颁发的相关政策也越来越密集。2018年，欧盟发布《通用数据保护条例》（GeneralDataProtectionRegulation，GDPR），明确了用户对属于自己个人的数据有绝对掌控权，规定欧盟所有成员国企业在收集、传输、保留、使用个人信息上都必须要取得用户的同意。GDPR的出台标志着全球各个国家地区在数据领域的竞争发展开始加速。在欧盟持续加强数据领域发力的同时，美国也加快围绕数据的立法及法律法规体系建设，陆续发布《应用程序隐私保护和安全法案》（APPsActof2018）草案、《加州消费者隐私保护法案》（CCPA）等相关数据保障法案。2022年6月，美国参议院与众议院发布了《美国数据隐私和保护法案》草案（AmericanDataPrivacyandProtectionAct，ADPPA），有望进一步树立全国性的联邦标准。此外，日本、韩国等其他发达国家也加速针对数据保护出台相关法律，助力数据产业正规化发展。数据安全是数据经济产业的基石。我国数字经济规模逐年增长，根据信通院数据，我国数字经济规模从2016年22．6万亿元，增长至2021年45．5万亿元，年均复合增长率达到15%。进入数据安全行业的主要壁垒（一）数据安全行业研发和技术壁垒数据安全产业是一个技术密集型产业，对技术水平要求很高。产品研发和技术创新要求企业具有较强的技术实力，配置丰富的技术研发资源。一方面，数据安全技术和产品的创新能力是推动企业获得竞争优势的关键因素。另一方面，不同行业、不同政企用户对数据安全产品的技术要求也不尽相同。数据安全企业只有对行业有深刻的理解，在充分了解用户需求的基础上，才能开发出符合用户实际需求的产品和解决方案。新进入者的壁垒主要在于缺乏对核心技术的有效积累，以及对数据安全技术的前瞻性研究，若不能在短时间内取得重大技术突破，实现技术跨越发展，在市场竞争中将处于劣势地位。（二）数据安全行业市场准入壁垒在数据安全产业，新进入市场的竞争者面临着市场准入壁垒。目前国家安全主管部门和行业主管部门制定了若干严格的产品资质和服务资质认证体系以规范市场，例如数据安全厂商需要取得公安部网络安全保卫局颁发的计算机信息系统安全专用产品销售许可证，相关产品和系统还需要经过严格的测评认证。因此，获取资质认证是新进入者参与竞争的先决条件，由于取得相关资质认证的要求较高且申请周期相对较长，导致新进入者难以在短期内进入市场并参与竞争。（三）数据安全行业人才壁垒数据安全产业是一个智力密集型产业，高端人才极度匮乏。高水平的安全攻防人员、安全评估咨询人员、软件架构设计开发人员是数据安全厂商的重要组成部分。这些人才需要在稳定的科研环境中长期培养。当前国内网络安防高端人才主要集中在国内外一些大型安全厂商和研究机构。它们的共同特点是数量稀少、就业成本高，且一般都与原单位签订了保密和竞业禁止协议。这使得新进入者很难在短期内获得一批了解市场需求、掌握核心技术的人才，无法突破研发领域的技术壁垒，形成自己的技术或差异化优势。因此，进入这个行业存在着很高的人才壁垒。（四）数据安全行业品牌壁垒由于数据安全的重要性，客户普遍具有较高的品牌忠诚度。目前中国市场的主要安全厂商都是经过多年的积累，在激烈的市场竞争中通过诚信服务、优良产品品质和大规模的销量逐步积累起企业的品牌和声誉，并且已经与客户形成了长期、互信的合作关系，新进入者难以在短期内建立较高的品牌忠诚度。数据安全行业的下游客户主要分布在公安、政府、运营商、广电部门、企事业单位等，这类企业需求较严格，由于涉及安全保密的特殊性，对数据安全产品供应商的选择极为慎重，尤其对于政府、金融和等敏感行业客户而言，对数据安全产品供应商的技术成熟性、产品性能、后续技术服务的要求很高，更加关注企业以往的成功案例，通常要求数据安全产品供应商具有良好的市场知名度和美誉度，并倾向于选择具有长期合作历史的供应商。目前我国主要的数据安全企业均经过十余年以上的积累，在激烈的市场竞争中通过长期行业经营、优质的服务、优良的产品品质逐步积累起行业经验、品牌和声誉；先进入者对客户所在行业业务规则、业务特征有深刻理解和经验积累，在其竞争领域建立了良好的用户基础、积累了丰富的成功案例，从而树立良好的市场品牌形象，拥有稳定、忠诚的客户群体，而新进入者往往缺乏成功案例和品牌知名度，难以在短期内培养出稳定的客户群体。另外，基于安全保密、沟通和更换成本的考虑，数据安全产品下游客户一般会对供应商产生路径依赖，这种用户黏性使得客户不会轻易更换供应商，甚至对其数据安全的新需求也倾向于选择原有供应商，市场新进入者难以在短期内获得用户足够的信任。以专用网络内容与行为审计产品市场为例，目前市场上的领先品牌已经在市场上经营了近十余年，产品已取得网络安全监管部门认可，在专业产品用户间树立起了良好的品牌形象，并建立了完善的客户体系。（五）数据安全行业经验壁垒由于数据安全行业内企业只有了解用户真实需求、理解应用场景和特征，才能为用户提供最优的数据安全解决方案，快速满足用户安全需求，这要求行业内的企业具有长期、丰富的解决方案积累。其次是发展高度复杂的产品设计、嵌入式技术和新的软件基础设施技术需要花费层出不穷的固定成本。扩大产品定义可能会增加对新进入者的壁垒。当行业领先企业通过收集和积累产品数据并利用其改进产品和服务以及重新定义售后服务来获得关键的先发优势时，进入壁垒也会增加。复杂的产品设计和飞涨的成本将对新进入市场的企业形成重大的新障碍。行业内用户对产品和解决方案的安全性、高效性要求较高，没有长期的行业经验积累，新进者在短期内难以推出对现有厂商构成实质性竞争的产品和解决方案。数据安全市场定义从广义上来看，数据安全和网络安全都是信息安全的一部分。在传统网络安全市场的框架下，数据安全从攻防视角或系统视角出发，即保障数据产生和存放的系统设备的安全，从而保护在系统设备上的数据。在这一体系下，形成了以防护数据库、网络、服务器等数据使用/存放环境为核心的数据安全产品体系。而在现阶段数据安全防护和数据开发利用并重的监管体系下，数据安全正在从传统的系统视角（保护存放数据的系统设备）向业务视角（围绕数据流动展开全生命周期防护）转变。在业务视角体系下，对于数据的防护作用于数据本身，且伴随数据全生命周期流程，涵盖数据采集、数据存储、数据传输、数据使用、数据共享、数据销毁六个阶段，同时对涉密、重要、隐私等敏感数据进行靶向监控，实施针对数据的分类分级型安全防护。在系统视角下，更加关注器的安全，即数据安全通过保护承载数据的系统设备实现，故而数据安全是传统网络安全市场下的一个分支；而在业务视角下，更加关注物本身的安全，对于数据本身的安全防护伴随业务场景流转日益丰富，故而数据安全在当下正在逐步演进为独立的赛道。未来网络安全和数据安全有望保持相互关联、依赖和演进的关系。一方面，传统系统视角下的数据安全演进成为业务视角下独立数据安全赛道的重要组成部分；另一方面，以网络为中心的安全是保证数据安全的前提和基石，而以数据为中心的安全，着手数据本身，能够有效增强数据防护能力，使得防护更加精准高效。在数据安全市场围绕数据全生命周期向独立赛道发展演进的过程中，下游对于数据安全的需求也在发生变化：对于新建系统而言，数据安全的部署和投入节点被前置，事前和事中环节的防护需求增大；对于潜在的数据共享和数据交易需求，隐私计算技术的应用场景落地逐步清晰；对于存量系统而言，数据安全的改造需求增多，轻量化改造方案有望更加获得下游客户的认可。数据安全市场空间测算对标全球数据安全市场，我国数据安全市场存在较大提升空间。数据安全市场理应受到数据总量规模的驱动，即数据总量越大，需要防护的信息量越复杂，对数据安全市场的需求空间就越广阔。从数据安全市场规模的角度来看：根据研究机构VMR的统计，2019年全球数据安全市场空间约为173．8亿美元，且预计2027年该规模增加至572．9亿美元，复合增长率为17．35%。而根据相关研究机构的测算，我国2019年数据安全市场规模仅为38亿元，在全球数据安全市场占比仅为3．4%。从数据量的角度来看：根据IDC的研究，2018年我国数据量占全球数据量的23．4%，预计到2025年在全球的占比将达到约28%（远超2019年中国数据安全市场在全球3．4%的占比）。考虑到中国数据安全市场规模全球占比相较于中国数据总量全球占比仍有较大差距，中国未来数据安全市场增长潜力较大。假设到2025年中国数据安全市场规模在全球的占比与数据量占比相匹配（达到28%），进一步估算得到中国数据安全市场潜在空间在2025年有望达到126亿美元（820亿元人民币），相较于2019年复合增长率为67%。数据安全发展阶段数据安全的发展历程可大致分为三个阶段，从早期的以数据库为主的单系统安全，到数据生命周期的安全，再到数据基础设施安全，当前正在由第二阶段向第三阶段发展和演变：数据安全1．0：在行业发展早期主要以数据库等单系统的安全为核心。这一时期数据安全主要强调针对数据的边界防护以及内容审计，特别是数据库系统作为数据的重要载体，数据库安全是数据安全最重要的组成部分，数据库安全也与网络边界安全在思想上也形成了直接的对应关系，数据库加密对应磁盘加密，数据库防火墙对应防火墙/UTM，数据库审计对应IDS入侵检测，数据库漏扫对应漏洞扫描等。这一阶段数据安全产品主要以数据库安全、DLP等产品为主。数据安全2．0：随着数据的使用与流转不再局限于单个业务部门，跨业务部门跨网络边界的数据流动成为常态，数据安全开始逐渐以企业整体的安全为核心。这一时期随着网络架构和IT架构的演变，数据也从过去以数据库为载体的单一场景向云、大、物、移等其他场景不断延伸。在这一阶段，数据安全的重心不再仅是针对数据库等单一系统，而是针对数据的整个生命周期进行体系化治理，因此数据安全的产品也开始迅速丰富，同时更强调对技术的综合应用，包括数据分级分类，数据安全平台、数据监控与审计、IAM等技术得以快速发展。数据安全3．0：随着数字经济时代的到来，数据资产成为了国家的战略资源和核心资产，数据安全脱离了单独的个人或企业层面，开始以数字经济基础设施的安全为核心。这一时期，数据交易市场开始逐渐形成，对于银行、电信、能源等关键基础设施机构以及阿里、滴滴、腾讯等大型互联网公司而言，数据的泄露不仅对企业造成严重损失，同时也将威胁到公共安全乃至国家安全。因此在这一时期，数据已经脱离单个企业层面，成为了国家的战略性资源。从2021年数据安全政策的密集出台可以看出国家监管部门对数据安全的高度重视。在这一时期数据治理、隐私计算等技术将开始得到广泛应用。数据安全行业竞争格局近年来，中国网络安全市场快速增长，参与厂商众多。截至2022年上半年，我国共有3，256家企业开展网络安全业务，相比上一年减少31%。其中，北京、广东和上海企业数量居前，分别为932家、461家和256家。2021年我国网络安全整体市场集中度小幅提升，根据美国经济学家贝恩对产业集中度的划分标准，我国网络安全行业市场占有率前8家合计占有率已经超过了40%，说明我国网络安全市场己经由竞争型转变为低集中寡占型。数据安全涉及网络安全行业的各个层面，细分领域较多，包括安全内容管理、入侵检测与防御等多种产品类型，市场竞争格局较为分散。在我国主流的数据安全产品领域，每一细分市场的主要竞争厂商都在10家以上。尽管行业内厂商数量较多，但由于目前数据安全市场的细分程度较高，单一企业难以掌握数据安全领域的全部技术，市场总体的品牌集中度不高，市场份额较分散。总体来看，数据安全产品市场缺乏真正的龙头企业。根据IDC统计，2021年中国数据安全产品与服务的总体市场规模（包含隐私计算与区块链技术中的数据安全部分）达到12．4亿美元。其中，中国数据泄露防护（DLP）市场规模为1．25亿美元，相较于2020年实现了39．2%的同比增长。从竞争格局来看，天空卫士（SkyGuard）、亿赛通（ESAFENET）和明朝万达（Wondersoft）在2021年数据泄露防护市场排名前三。天空卫士以23．1%的市场份额排在第一位；亿赛通以16．3%的市场份额排名第二；明朝万达以市场份额11．2%排名第三。未来，随着我国数据安全行业的快速发展，行业内领先企业的技术创新能力、产品研发能力将得到不断的提升。同时网络攻击行为也将日趋复杂，防火墙、入侵检测系统等传统网络安全设备并不能完全阻挡恶意的网络攻击和内部人员数据泄露的安全风险，所以构建全面的安全防护体系和制定完善的安全管理策略显得尤为重要，近年来我国信息化技术迅速发展，因此具有丰富行业经验和定制化开发能力的数据安全厂商的竞争力将越来越强。国际数据安全市场发展概况近年来，全球大规模数据泄露事件不断发生，政府机构和组织屡遭攻击，各种民生数据泄露事件时有发生。德勤、网易、万豪、华住等大型商业企业的数据泄露事件，给政府、企业和民众造成了巨大的经济和信用损失。2019年1月，软件安全和云数据管理巨头Rubrik数据库数10GB的客户信息数据被泄露。2019年2月，解压缩软件WinRAR的内部漏洞被网络犯罪分子和黑客广泛使用，而且，该漏洞已经存在了近19年，影响了2000年以来发布的所有WinRAR版本，超过5亿WinRAR用户面临风险。2018年-2019年，美国思杰遭遇严重黑客攻击