查看原文
其他

数据安全产业深度解读,从政策、技术、供需到产业链上下游

The following article is from 慧博资讯 Author 小翠


在政策和技术革新催化下,数据安全作为数字中国建设和数字经济发展的重要支撑,已经成为国家重点支持和持续投入的方向。虽然在数据治理中因为数据流动控制和数据确权方面存在一定的困难,但随着法律法规的逐渐完善细化,数字经济建设必将有法可依、有法可行。而数据安全在数字的收集、存储、使用、加工、传输、提供、公开等活动及数据跨境流动中是重要的合规保障和权益保障,是发展底线和前提,其需求有望大量伴生。

政策方面,继2021年《数据安全法》统筹数字经济发展和数据安全 依法切实保护个人信息权益、《个人信息保护法》亮点“十”足!一图读懂《个人信息保护法》颁布实施之后,十六个部门又联合出台数据安全产业顶层政策文件《指导意见》,其《指导意见》明确提出,到2025 年, 数据安全产业基础能力和综合实力明显增强,数据安全产业规模超过1500亿元,年复合增长率超过 30%,相较2021年工信部发布《网络安全产业高质量发展三年行动计划(2021-2023 年)(征求意见稿)》提出的目标“到 2023 年,网络安全产业规模超过2500亿元,年复合增长率超过15%。”,给予了更高的政策牵引目标,产业高景气可期。

将以数据安全为主题,分析讨论数据安全产业当前面临的政策环境、市场现状、驱动因素,同时对市场供需格局、产业链、重点布局企业、产业发展趋势进行梳理。

目录:
01:行业概述
02:政策环境分析
03:行业现状分析
04:驱动因素分析
05:技术发展趋势
06:市场供需格局
07:产业链分析
08:产业趋势发展

01

行业概述


1、定义


数据安全通常指用于保护计算机系统中数据不因偶然和恶意的原因遭到破坏、更改和泄露的安全工具,以确保数据的可用性、完整性和保密性。在计算机领域,数据是指所有能输入计算机并被计算机程序处理的介质,包括符号、文字、数字、语音、图像、视频等。因此,数据安全所针对的对象即为数据的载体,如数据库、文件、存储介质等,并基于加密、访问控制等技术,围绕数据在生成、存储、使用、共享、归档、销毁的整个生命周期安全所衍生出了的相关技术和工具,一般包括数据库安全、数据防泄漏、文档加密、容灾备份等等。

2、发展阶段

数据安全的发展历程可大致分为三个阶段,从早期的以数据库为主的单系统安全,到数据生命周期的安全,再到数据基础设施安全,当前正在由第二阶段向第三阶段发展和演变:

数据安全1.0:在行业发展早期主要以数据库等单系统的安全为核心。这一时期数据安全主要强调针对数据的边界防护以及内容审计,特别是数据库系统作为数据的重要载体,数据库安全是数据安全最重要的组成部分,数据库安全也与网络边界安全在思想上也形成了直接的对应关系,数据库加密对应磁盘加密,数据库防火墙对应防火墙/UTM,数据库审计对应IDS入侵检测,数据库漏扫对应漏洞扫描等。这一阶段数据安全产品主要以数据库安全、DLP等产品为主。

数据安全2.0:随着数据的使用与流转不再局限于单个业务部门,跨业务部门跨网络边界的数据流动成为常态,数据安全开始逐渐以企业整体的安全为核心。这一时期随着网络架构和IT架构的演变,数据也从过去以数据库为载体的单一场景向云、大、物、移等其他场景不断延伸。在这一阶段,数据安全的重心不再仅是针对数据库等单一系统,而是针对数据的整个生命周期进行体系化治理,因此数据安全的产品也开始迅速丰富,同时更强调对技术的综合应用,包括数据分级分类,数据安全平台、数据监控与审计、IAM等技术得以快速发展。

数据安全3.0:随着数字经济时代的到来,数据资产成为了国家的战略资源和核心资产,数据安全脱离了单独的个人或企业层面,开始以数字经济基础设施的安全为核心。这一时期,数据交易市场开始逐渐形成,对于银行、电信、能源等关键基础设施机构以及阿里、滴滴、腾讯等大型互联网公司而言,数据的泄露不仅对企业造成严重损失,同时也将威胁到公共安全乃至国家安全。因此在这一时期,数据已经脱离单个企业层面,成为了国家的战略性资源。从2021年数据安全政策的密集出台可以看出国家监管部门对数据安全的高度重视。在这一时期数据治理、隐私计算等技术将开始得到广泛应用。

3、市场规模

数据安全作为网络安全行业景气度最高的赛道之一,市场规模有望在近年达到百亿量级。根据计世资讯的数据显示,2020年我国数据安全市场规模达到52.5亿元,同比增长33%,预计2022年将达到百亿级别的市场规模。分行业看,金融、电信等行业数据安全的成熟度较高,未来能源、制造、医疗、教育、政府、零售等行业也对数据安全市场的投入将持续提升。分产品看,数据安全涉及的细分领域较多,主要赛道包括数据安全治理、数据防泄漏DLP、数据库审计、个人隐私保护、文档加密,数据分级、数据治理和容灾备份等,其中数据防泄漏DLP和数据库安全是国内数据安全领域最大的两个子市场,市场规模均在10亿以上。同时,由于数据安全泛在性的特点,许多的网络安全项目均与数据安全相关,因此我们认为,广义上数据安全的市场规模要远远大于这一数字。

4、行业规范

2019年8月30日,《信息安全技术-数据安全能力成熟度模型》(GB/T37988-2019)简称DSMM(Data Security Maturity Model)正式成为国标对外发布,并已于2020年3月起正式实施。DSMM作为数据安全领域的国家标准,为数据安全的实现提供了可参照的行业规范。DSMM将数据按照其生命周期分阶段采用不同的能力评估等级,分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全七大过程维度。同时,DSMM从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM将数据安全成熟度划分成了1-5个等级,依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级,形成一个三维立体模型,全方面对数据安全进行能力建设。

02

政策环境分析


1、数字经济蓬勃发展,数据安全上升至国家安全层面


2021年,《数据安全法》、《个人信息保护法》开始施行,2022年,党中央、国务院颁布“数据二十条”。我国数据安全政策体系逐步完善并落地执行,保障数字经济发展。

数据成为国家基础性战略资源,价值与安全威胁同步显现。我国加快数据安全建设具有三方面背景:一是数字经济蓬勃发展。数字经济以数据为关键生产要素,产业数字化、数字产业化趋势正在加快,《“十四五”数字经济发展规划》提出,到2025年,数字经济核心产业增加值占GDP比重达到10%。二是数据安全威胁多发。数据具有可复制、可无限供给等属性,伴随各类数据迅猛增长,数据安全问题由冲击个人隐私、商业秘密上升至损害国家利益;根据Risk Based Security统计,2021年全球公开披露数据泄露事件4145起,共导致超220亿条数据泄露。三是数据主权博弈显现。经济全球化推动各国经济贸易与技术交流,大量数据在全球范围内跨境流动,或导致国家关键数据资源流失,美国、欧盟等颁布法案并进行数据安全“长臂管辖”,各国数据博弈紧张化。

《数据安全法》、《个人信息保护法》落地,数据安全上升至国家安全层面,“十四五”期间将加快建设。《数据安全法》首次独立将数据作为保护对象,明确由“中央国家安全领导机构负责国家数据安全工作的决策和议事协调”;《个人信息保护法》专门针对个人信息处理活动进行规范;《“十四五”数字经济发展规划》将数据安全作为数字经济安全体系的一环,要求建立健全数据安全治理体系。伴随数据安全“五法一典”出齐,2021年成为我国数据安全元年,各地、各行业加快数据安全政策体系完善与落地执行,政企机构强化数据安全建设,共同助力网络安全行业高景气度维系。2022年12月,《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》强调加快构建数据基础制度,提出“强化数据安全保障体系建设,把安全贯穿数据供给、流通、使用全过程”。2023年1月,工信部等十六部门联合印发《关于促进数据安全产业发展的指导意见》,提出到2025年,数据安全产业基础能力和综合实力明显增强,产业规模超过1500亿元,到2035年,数据安全产业进入繁荣成熟期。

2、坚持数据安全与发展并重,发挥数据作为生产要素价值
我国坚持数据安全与发展并重,安全是发展的前提,发展是安全的保障。《数据安全法》对数据安全的定义为“通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力”。这与《网络安全法》中强调“国家坚持网络安全与信息化发展并重”的原则相一致。
数据安全是数据开发利用和产业发展之基,政企机构具有数据安全保护义务。我国数据安全政策的安全主线体现在:与等保、关基衔接。《网络安全法》对等保、关基对象已提出数据安全要求,《数据安全法》进行衔接,要求利用网络开展数据处理活动,应当在等保基础上履行数据安全保护义务。贯穿数据全生命周期。在数据采集、传输、存储、处理、共享、销毁等各阶段,政企均需进行安全防护。数据分类分级保护。不同类型、不同级别的数据,重要程度、可能造成的危害程度不同,应当匹配不同的保护措施;《数据安全法》要求建立数据分类分级保护制度,《网络数据安全管理条例(征求意见稿)》将数据分为一般/重要/核心数据,身份信息、隐私信息、生物特征信息等也成为政策关注点。“管理+技术+运营”体系建设。数据安全不仅是技术问题,更是管理问题;《数据安全法》规定,数据处理者要建立数据安全管理制度,也要采取技术措施保障数据安全,还要加强风险监测;《个人信息保护法》也在管理、技术、运营等方面提出要求。
2021年以来,围绕数据安全的监管动作密集,体现决策层、监管部门推进决心。2021年6月,网络安全等保测评报告模板新版发布,将数据作为独立测评对象,单独列出数据安全测评结果;7月,为“防范国家数据安全风险”,国家网信办对若干互联网公司实施网络安全审查;2022年2月,工信部决定在辽宁等15个省(区、市)及计划单列市开展工业领域数据安全管理试点工作,试点内容包括数据安全管理/防护/评估/监测以及数据安全产品应用推广、数据出境安全管理;2022年6月,国家市场监管总局、国家网信办决定开展数据安全管理认证工作,鼓励网络运营者通过认证方式规范网络数据处理活动,加强网络数据安全保护。我们认为,密集监管动作反映了国家对于数据安全建设的决心。

数据在合理有效利用与流动中发挥价值,对数据安全建设形成促进作用。数据安全不仅仅是存储环节的静态安全,也伴随数据全生命周期,深入数据要素市场。对于数据交易,《数据安全法》明确,“国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场”;对于数据跨境流动,《数据安全法》在明确数据主权的同时,提出“国家参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动”。2021年以来,北京国际大数据交易所、上海数据交易所、广州数据交易所等成立,探索建立数据流通机制。未来,我国数据安全政策体系预计还将围绕数据权属、数据交易等进行完善,以进一步释放数据价值与红利。
3、顶层政策出台,构建数据安全发展支撑
1月13日,工业和信息化部等十六部门发布《关于促进数据安全产业发展的指导意见》,目标到2025年,数据安全产业基础能力和综合实力明显增强。产业生态和创新体系初步建立,标准供给结构和覆盖范围显著优化,产品和服务供给能力大幅提升,重点行业领域应用水平持续深化,人才培养体系基本形成。产业规模迅速扩大。数据安全产业规模超过1500亿元,年复合增长率超过30%。

数据安全政策再出台,为数字经济发展保驾护航。这是继《数据安全法》、《工业和信息化领域数据安全管理办法(试行)》《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》之后的重要指导意见,其中,中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》明确提出“要建立安全可控、弹性包容的数据要素治理制度,强调要“把安全贯穿数据治理全过程”。我们认为《关于促进数据安全产业发展的指导意见》的出台旨意是贯彻和落实《数据安全法》与《网络安全法》,同时也是国家高度重视数据安全在我国数字经济中的重要意义的体现,其核心目的是为数字经济的发展保驾护航。

03

行业现状分析


1、全球数据量高速增长,数据安全风险敞口激增


全球进入数字经济时代,数据量呈现高速增长态势。随着云计算、AI、5G、物联网等新兴技术的快速普及,全球各类重点产业加速数字化转型,带来数据量的高速增长。根据IDC发布的数据,全球数据量从2010年的2ZB增长到2021年将近60ZB,2025年预计将增长至175ZB,其中中国将成为数据量最大的国家,数据量将达到48.6ZB,占全球总量的27.8%。

2、境内外数据泄露事件频发,数据安全问题亟待解决
2021年,美国社交软件Facebook因系统漏洞泄露超过5.33亿用户的个人信息;美国油管公司遭遇勒索病毒攻击,核心数据被加密,迫使其一度关闭整个能源供应网络,极大影响了美国东海岸燃油等能源供应,美国政府宣布进入国家紧急状态;印度移动支付软件MobiKwik因黑客攻击泄露约1亿用户的信息;美国电信企业T-Mobile因服务器被黑客入侵泄露4860万用户的数据;“滴滴出行”App存在严重违法违规收集使用个人信息问题并下架。数据安全问题频出,对社会经济及相关企业经营均带来了不利影响。数据安全与企业生产经营的关系愈发紧密,同步催生了下游用户对数据安全产品和解决方案的需求。

3、全球多个发达地区已将数据保护及数据安全提升至国家高度
数据安全问题在全球多个发达地区持续得到政府的高度重视。1981年,欧洲委员会发布了《个人数据自动化处理中的个人保护公约》,对个人隐私数据进行保护。随着数据要素在经济发展中的重要程度持续提升,全球多个发达国家及地区对数据安全的重视程度逐渐提升,各地政府颁发的相关政策也越来越密集。2018年,欧盟发布《通用数据保护条例》(General Data Protection Regulation,GDPR),明确了用户对属于自己个人的数据有绝对掌控权,规定欧盟所有成员国企业在收集、传输、保留、使用个人信息上都必须要取得用户的同意。GDPR的出台标志着全球各个国家地区在数据领域的竞争发展开始加速。在欧盟持续加强数据领域发力的同时,美国也加快围绕数据的立法及法律法规体系建设,陆续发布《应用程序隐私保护和安全法案》(APPs Act of 2018)草案、《加州消费者隐私保护法案》(CCPA)等相关数据保障法案。2022年6月,美国参议院与众议院发布了《美国数据隐私和保护法案》草案(American Data Privacyand Protection Act,ADPPA),有望进一步树立全国性的联邦标准。此外,日本、韩国等其他发达国家也加速针对数据保护出台相关法律,助力数据产业正规化发展。

在法律法规层面不断完善的同时,全球各地监管机构对数据安全泄露问题执行严格的处罚。2020年10月,英国政府就对万豪集团泄露顾客个人信息的事件对万豪集团罚款1840万英镑;2020年11月,美国联邦贸易委员会对Zoom的数据安全问题实施非常高压的监管。随着各国政府的监管不断趋严,国外企业对数据安全的重视程度越来越高,推动海外数据安全产业不断发展。
4、国内头部厂商纷纷加大投入,占领数据安全高地
当前数据安全市场需求逐渐显现,网络安全行业厂商纷纷推出数据安全产品及解决方案。国内的数据安全需求由政策和市场自发需求双重驱动,政府、医疗、金融、企业等领域对数据安全的重视程度持续提升,对数据安全的投入也稳步增长。国内头部网络安全厂商深信服、启明星辰、奇安信、安恒信息、天融信、绿盟科技、亚信安全都相继推出数据安全产品和解决方案,以不同的数据安全理念构建数据安全体系,激发数据安全供给端活力,推动数据安全行业加速发展。

04

驱动因素分析


1、外因:合规要求,稳定增长


(1)数据安全监管趋势

通过对中央法律法规、部委出台的文件要求、以及各行业监管部门针对各行业出台的与数据安全直接相关的政策文件的梳理与统计,可以看出监管部门对于数据安全的监管和关注程度逐年提升,且主要由中央政府与工信部主导,各行业监管中金融、水利、交通、教育、政府、电信与互联网行业为数据安全监管较为严格的行业。

(2)数据安全监管要求

通过对中央、部委以及各行业监管部门出台的文件中提到的与数据安全直接相关的要求进行统计,可以看出数据备份、数据分级分类、数据安全风险评估和审计是监管最为看重的四个子领域,此外,身份与访问控制、数据加密、数据防泄露也是监管重点关注的方向。根据等保2.0体系下《网络安全等级保护基本要求》中的各项要求标准,参加等保2.0测评的公司需在数据库漏洞扫描、防火墙、审计、数据加密、脱敏、水印等产品上进行投入。

2、内因:内生需求,快速激活

(1)数据量快速攀升,激发数据安全意识

根据IDC发布的《数据时代2025》报告,到2020年,全球数据量达到了60ZB,2025年将达到175ZB,接近2020年数据量的3倍。同时,IDC预测中国数据量增速最为迅猛,预计2025年将增至48.6ZB,占全球数据圈的27.8%,成为全球最大的数据圈(数据圈指被创建、采集或是复制的数据集合)。随着数据量的增加,隐藏在数据背后可被挖掘的信息也逐渐丰富,无论是政府还是企业都开始意识到数据泄露可能带来的严重后果,对数据安全的重视程度提升趋势明显,并在积极探索在安全可控的情况下最大化发掘数据价值。

(2)对标欧美,未来市场容量还有大量增长空间

根据海外市场研究机构VMR统计,2019年全球数据安全市场规模约为173.8亿美元,且预计到2027年全球数据安全市场规模将达到572.9亿美元,年复合增长率约为17.35%。而根据中商产业研究院统计,2019年我国数据安全市场规模仅为38亿元,仅占全球数据安全市场规模的3.4%,与我国整体数据量在全球23%的占比仍有较大差距,因而我们认为未来中国数据安全市场容量仍有较大增长空间,考虑到中国数据安全市场整体发展节奏慢于美国,我们认为长期来看中国数据安全市场存在千亿市场空间。

05

技术发展趋势


1、数据安全技术演进方向的多样化


技术的快速迭代一直都是网络安全行业的常态,而对于数据安全行业而言,创新方向尤其多样化。结合以下Gartner数据安全技术成熟度曲线,近年来数据安全的新技术新模式主要大致向以下个四个方向演进:

隐私计算是近年来最具代表性的数据安全新技术,隐私计算的不断成熟为数据交易,数据信托等新模式奠定了基础,并带来了数据安全市场全新的商业机会;

数据安全的平台化成为重要趋势,数据安全逐渐从过去碎片化技术和工具集逐渐走向融合,Gartner也在最新的技术曲线中增加了数据安全平台DSP;

ML和行为分析等技术在数据安全领域的全面应用,目前已经和很多数据安全技术实现了很好的结合,包括数据分级、数据防泄漏(DLP)、数据库审计和保护(DAP)、数据访问治理(DAG)等;

许多新兴数据安全技术与云的结合以支持多云和混合云的部署,如多云KMaaS(密钥管理)、云本地DLP(数据防泄漏)、多云DAM(数据库审计)等,同时数据安全的SaaS化(DSaaS)也是值得关注的产业趋势,目前DSaaS正处于萌芽阶段。

2、数据安全的集成化与平台化

数据安全复杂性的增加,促使不同的数据安全功能逐渐走向融合。当前数据安全建设的现状不仅仅在于对数据安全的不重视或投入不足,更多的情况是即使部分企业对于数据安全投入了足够的预算,但由于数据安全技术的复杂性,以及向不同的安全厂商采购不同的安全产品并且由不同的团队来进行管理,导致前期投入的安全预算并没有收到很好的成效。当前数据安全技术复杂度的增长速度远超安全厂商整合和集成各类新兴技术的速度,导致在用户侧对于数据安全技术的应用难度在持续提升。

在这一趋势下,Gartner定义了数据安全平台(DSP),DSP通过将现有的各个独立的数据安全技术和功能整合在一个统一的平台之下,为用户提供跨数据类型、存储孤岛和生态系统的数据安全服务,从而实现更简单、一致的端到端数据安全。DSP相较于传统数据安全方案有很多优点,比如高水平的集成能力、简化的部署模型,统一的策略控制平面,以及对数据、存储、政策和适用法规的一致可见性。目前DSP已经能够整合许多主要的数据安全功能,其中包括标记化、加密、数据库活动监控(DAM)、数据脱敏、数据访问治理(DAG)等,包括数据防泄漏DLP、数据风险分析等关键功能也正在逐渐融入到DSP。即使用户数据安全问题很难由一个单一解决方案彻底解决,但功能的融合与平台化未来将有效带来行业集中度的提升。根据Gartner预测,到2024年,30%的企业将应用DSP,而在2019年这一比例还不到5%,未来5年DSP在全球范围内的渗透率有望迅速提升。

从安全厂商的布局来看,全球主流的数据安全头部厂商已经通过收购及合作等方式来构建DSP能力,可观察到从2020年开始相关并购的数量开始迅速增长。其中:IBM与1touch.io签署了经销商协议,以在IBM Security Guardium产品组合中提供发现和分类功能,Imperva收购了jSonar以扩展其DSP的覆盖范围和集成可能性;Informatica收购了GreenBay Technologies获得了数据治理等AI能力;Netwrix收购了Stealthbits为其DSP添加了DAG和SQL保护功能;PKware收购了Dataguise为其DSP获得数据发现和屏蔽功能;Varonis收购了Polyrize以将其数据安全功能扩展到SaaS应用程序。同样在国内市场,一些专注在数据安全领导龙头厂商比如安华金和、安恒信息已经初步具备构建数据安全平台的能力,数据安全的平台化也将成为国内数据安全市场的重要趋势。

3、隐私计算成为当前的最大热点

数据安全领域近年来最具产业化应用前景的技术即隐私计算。隐私计算能够在完成计算任务的基础上,实现对数据计算过程和数据计算结果的隐私保护,而参与方在整个计算过程中无法得到除计算结果以外的额外信息。在大数据时代,如何应用海量的数据,实现数据流动,同时能够保护数据隐私安全、防止敏感信息泄露是当前数据应用中的重大挑战。对于政府机构而言,数据出于保密性完全不能对外公布,而银行、运营商、互联网公司收集到的客户数据,也不能透露给第三者。数据之间不能互通,数据的价值无法体现,而隐私计算就是为了解决数据共享的问题而应运而生。

隐私计算并不是一种单一的技术,而是由多个技术构成的一套技术体系,关键技术包括多方计算、联邦学习、可证去标识、机密计算、同态加密等,而不同技术路线能够在很大程度上影响产品的使用场景、功能和性能表现。从隐私计算的几个主要技术在实现方法上有一定差别,比如多方计算是参与方在不泄露各自隐私数据的情况下,使用数据参与保密计算,共同完成某项计算任务,而联邦学习的主要原理是客户从中央服务器下载预测模型,使用本地数据对模型训练,再将模型更新迭代后上传至云端,自始至终数据都留在本地。不同的技术流派因为实现方式的差距,因此也会受限于不同场景的具体要求,在数据量、网络带宽、计算实时性、保密要求等方面各有其优缺点,比如多方计算适用于数据量适中但保密性要求较高场景,联邦学习适用于保密要求不高但数据量大的场景,机密计算适用于复杂及数据量大的通用场景。

目前隐私计算在商业模式上主要分为两块,一是提供技术平台和解决方案,具体的盈利点包括软件、硬件、建模即运营服务等,二是与金融机构等行业用户合作,联合运营项目,获取持续性的营收。隐私计算主要厂商一方面包括以腾讯、阿里、百度、字节跳动为代表的互联网大厂,另一方面包括光之树、翼方健数等聚焦在金融、医疗等垂直行业的厂商。互联网大厂的优势在于其拥有庞大的生态,多样的场景和丰富的数据,因此能够更好的为用户提供一整套隐私计算的解决方案以及端到端的服务。而垂直行业的玩家由于更加聚焦,因此对行业的理解更加深入,拥有本行业的丰富数据。且在互联网大厂和许多传统行业发生竞争关系的同时,垂直行业的创业公司具备明显中立性的优势,其更容易被一些大型行业用户所接纳。其中比较典型的有深耕金融行业的光之树、以及以医疗为主打行业的翼方健数。除了这两类厂商之外,网络安全厂商也开始布局隐私计算,比较有代表性的即安恒信息新推出了数据安全岛,通过多种安全技术确保数据“可用不可见”,来保障数据共享交换过程的可靠、可控和可溯。

06

市场供需格局


1、供应规模


我国数据安全相关专利申请数量近年来一直保持在较高水平,呈现逐年增长态势,由2015年的809件增长至2021年的2193件,具体数据如下:

随着下游政府、军工、金融、电信行业数据化建设的不断推进,数据安全行业快速发展,数据安全行业的供给端的竞争逐渐激烈,表明我国数据安全行业供给端的供给能力不断提升。而当前数据安全行业供给端主要分为互联网巨头、专业数据安全服务商以及传统网络安全企业三大阵营:

互联网巨头:以阿里巴巴、腾讯、百度为代表的互联网公司借助其资本、人才及品牌优势布局数据安全市场,互联网巨头通过投资并购的方式加深企业在数据安全市场的渗透,增加业务辐射范围。自2015年起,阿里云多次投资与并购网络安全相关企业,包括安华金和、ThetaRay和安恒信息等知名企业。互联网巨头入局数据安全市场,引发行业“人才争夺战”,同时拉动行业工程师整体薪酬快速提升。自2016年至今,阿里巴巴、腾讯凭借其品牌及资金优势招揽行业优质白帽黑客、对抗领域专家、顶尖的信息安全架构师等,在资本和人才等方面对传统信息安全企业构成威胁。

专业数据安全服务商:以安华金和、奇安信、天融信等企业为代表的专业数据安全服务商凭借其技术优势布局中国数据安全市场。专业数据安全服务商通过构筑技术壁垒,研发核心技术,实现单品向产线化扩张,加深产品在各应用领域的渗透率,提升自身竞争力,例如安华金和的产品由数据库加密向数据库漏扫、数据库审计、数据库防火墙布局,扩大产线范围,丰富企业类型,形成数据安全防护“产品+工具+服务”的创新型商业模式。专业数据安全服务商通过拓展服务领域,加深产品在各领域的应用,培养外部优质资源,如奇安信凭借其技术优势为地方政府、中央企业、网络运营商提供数据安全服务,服务覆盖金融、媒体等多个领域。

传统网络安全企业:以启明星辰、360企业、卫士通、美亚柏科等企业为代表的网络安全企业在资源方面优于其他行业参与者,例如卫士通、启明星辰在安全、管理和平台运营等业务领域拥有众多政府和军工客户资源,是传统网络安全企业中政企类业务占比最大的两家企业。传统网络安全企业的发力方向各不相同,如卫士通专注于央企用户的运维转型,启明星辰致力于维护政府客户,市场分割较明确。部分传统网络安全企业通过投资并购布局新型安全服务领域,例如360企业安全集团融资金额达数十亿元,凭借资本优势招揽来自互联网企业、传统安全企业、外资背景信息安全公司的优秀技术和销售人才,借助自身在终端安全、大数据处理和分析、威胁情报领域优势,快速拓展其在党政军、金融、电信等行业的信息安全市场。未来传统网络安全企业有望通过运营服务模式的创新,拓展其在新型安全市场中的市场份额。

2、需求情况

随着物联网、边缘计算等智能终端设备不断普及,受到来自物联网设备信号、元数据、娱乐相关数据、云计算和边缘计算的数据增长的驱动,全球数据量呈现加速增长。根据IDC分布的《数据时代2025》预测,全球数据量将从2018年的33ZB增至2025年的175ZB,增长超过5倍;中国平均增速快于全球3%,预计到2025年将增至48.6ZB,占全球数据圈的比例由23.4%提升至27.8%。其中,中国企业级数据量将从2015年占中国数据量的49%增长到2025年的69%。

另一方面,随着全球数据量的增长,数据泄露事件频出,安全成本逐年上升。全球各公司和组织数据泄露事件屡见不鲜,深刻威胁每个个体,已经成为全球政府的重点问题。根据IBM一项安全研究报告,2021年企业平均每起数据泄露事件成本为424万美元,是自2004年以来最高值。尤其在疫情发生后,远程办公、在线运营等新IT架构弱化了曾经的安全防护,导致安全成本平均提升了10%左右。如果未对远程办公等及时跟进安全建设,数据泄露发生更为容易,直接阻碍企业运营和发展。
综上因素,近年来我国数据安全行业市场需求快速增长,推动着我国数据安全行业快速发展。

3、供需平衡分析

从供给端看,随着数据安全行业相关技术的不断升级,5G与物联网的不断成熟,基于大数据、云计算、物联网、工业互联网、威胁情报等的数据安全技术得到重大发展,基于人工智能等安全新技术也正快速发展。数据安全厂商不断创新,在供给端能够为下游需求方提供有效的数据防护。

再从需求端看,随着我国各行业信息化建设的不断推进,数据系统逐步成为各行业必不可少的基础设施,而数据量快速增长则催生大量的数据安全需求,为我国数据安全行业带来了巨大的市场空间。

综合来看,目前在数据安全行业,我国的数据安全企业已经能较好地满足下游数据安全需求,并根据下游需求的变化不断升级自身的数据安全服务,因此行业供需关系目前较为均衡,但随着数据安全端企业数量的不断增长,行业未来有可能进入供过于求的失衡状态,在单一产品的竞争中存在同质化低水平竞争的可能性,进而要求供给端企业向综合性的平台型企业转型升级。

07

产业链分析


1、产业链概览


从我国数据安全技术应用角度,可以将数据安全产业链分为上游、中游和下游。上游市场主体为软硬件供应商,如芯片、操作系统、数据库等;中游市场主体为数据安全产品及服务提供商,如数据库安全、数据防泄漏,安全服务类别的数据安全咨询与评估服务等;下游市场主体为应用领域用户,包括最终用户、集成商和场景服务供应商。这些企业共同组成了数据安全产业发展的经济效益、生态效益和社会效益环境。

2、产业链上游

数据安全产业链上游为数据安全的落地提供了载体,主要分为提供数据载体的基础设施硬件厂商以及提供应用的软件厂商。

(1)现状

国内数据安全产业上游市场中,国外厂商在较长时间里占据市场优势,国内厂商在逐步追上。虽然目前国外厂商在上游产业上还占有一定优势,但国产化产品在大部分基础信息产品点位上已实现可替代。国产化产品已能满足大多数数据安全中游产品的使用需求,但在性能上还有提升空间。

数据安全产业链上游产品的研发通常需要雄厚的资金支撑,上游市场产业格局比较稳定,资金、研发能力呈现不断向头部企业集中态势。以信创为代表的合规需求在未来会成为推动我国数据安全上游产业市场发展的一个重要因素,特别是在基础IT设备、系统软件领域。

(2)主要厂商

(3)发展趋势

数据安全产品通常对计算资源要求较高,我国数据安全上游产品的性能将直接影响数据安全产品的应用表现。随着政策的引导,未来国产化基础信息产品将在我国数据安全上游产业中发挥更大的作用。我国数据安全上游产业将持续发展,这种发展以扎实的研发为基础,虽无法一蹴而就,但必然会不断缩小与全球领先产品的差距。

3、产业链中游

数据安全产业链中游主要为用户提供完整的数据安全防护能力。产业链中游的厂商间形成竞争关系,同时也会相互合作,综合各自的能力特点,共同形成产业支撑。我们认为,数据安全产业链中游厂商可分为:数据安全基础防护厂商、数据安全应用防护厂商、数据安全管控防护厂商以及数据安全服务厂商。

(1)现状

数据安全产业链中游厂商,按业务特点可划分为基础性防护、应用性防护、综合性防护平台以及数据安全保障服务四大部分。数据安全中游企业一方面需要获取上游厂商的支撑,同时要为下游用户提供服务。数据安全中游企业之间也形成了相互合作的协同关系。


数据安全基础技术多为数据安全其它技术提供支撑,这些技术通常独立,可以不与其它技术共同形成产品;数据安全应用产品是针对用户需求形成的单点防护产品,产品化过程中会在一定程度上依赖于基础安全防护技术;数据安全管控多为系统化平台方式,将各数据安全应用产品提供的数据进行综合分析,再将处置策略下发给相应的数据安全应用产品进行响应;数据安全服务贯穿于数据安全体系始终,从前期的安全咨询服务到持续的安全测试评估服务及与数据安全审计服务,持续为数据安全赋能。

我国数据安全产业链中游产品基本能够覆盖用户的合规需求,大型综合型安全厂商、数据安全厂商、以单点业务为重点的数据安全厂商在数据安全领域均有不同的业务诉求和技术定位。我国数据安全厂商在技术上相对国外厂商处于跟随者位置,但在数据安全业务创新上,有着较好的市场应用积累。这种以业务创新为主的产业发展模式,也让市场处于较为激烈的竞争状态。

(2)发展趋势

随着国家对数据安全重视程度的提升,数据安全市场规模将不断扩大,这也将吸引更多的创业者。数据安全中游产业的领域划分将逐步细化,会涌现一批有特色的数据安全创新企业,满足用户在某一特定业务上的需求。

法律合规和应用需求将共同推动数据安全中游产业未来发展。从合规角度,有可能催生大平台型产品的发展,例如数据安全治理平台、管控平台等;而应用需求引导将促进灵活的轻量级产品的发展。例如数据识别产品、分类分级产品、隐私计算技术等。

无论在数据安全企业发展,还是在数据安全产品研发上,我国数据安全中游产业均有望呈现百花齐放的发展态势。

4、产业链下游

数据安全下游包括最终用户、集成商和场景服务供应商,这些数据安全下游用户和厂商将数据安全集成到自身的产品中,一方面满足合规需求,另一方面也切实提升自己产品的安全水平。

(1)现状

数据安全需求可分为主动安全需求和被动安全需求。主动安全需求造就了一些集成商、关键信息基础设施的头部安全厂商等,通过集成数据安全能力切实满足用户的安全建设需求。而大部分下游企业还处于被动的数据安全投入状态,即以合规导向为主的安全投入,例如一些终端用户。随着网路安全风险不断增加,以及甲方用户的安全意识普及,这种被动安全需要正在向主动安全需求转移。

随着近年来定向攻击、高级威胁带来的网络安全风险的提升,数据安全下游市场呈现出行业特性、领域特性,各行业各领域的数据诉求不同,这使得数据安全企业不断聚焦于某个行业,并形成优势。

(2)主要厂商

(3)发展趋势

随着数字化转型的深入,数据安全下游产业的应用需求将不断释放,无论是直接采购数据安全产品的用户,还是通过采购第三方集成设备获得数据安全能力的用户,他们对数据安全的理解将不断增加,对数据安全需求将越来越明确,会对产品的功能及性能有一定的要求,在产品选型时会选择更加信任的企业,这将促进数据安全头部集团的形成。

未来,数据安全产业链下游将在横向上与纵向上同时拓展,从横向看,越来越多的行业将重视数据安全能力的部署;从纵向看,越来越多的数据安全甲方用户将不再仅满足于合规建设,同时也更加注重对企业核心数据资产的保护。

下游产业用户的需求在不断觉醒,数据安全市场将随之不断扩大。这种不断变化的需求也将对数据安全企业提出新的挑战,并对市场中的安全厂商进行重新洗牌。

08

产业发展趋势


1、数据安全成为战略布局重点


伴随疫情常态化发展,全球数据规模爆发式增长,线上交易、电子商务、远程医疗、在线娱乐等数字经济新模式和新业态蓬勃发展,数据价值日益凸显。一方面,全球数据安全博弈加速白热化,数据安全成为影响国家竞争力的关键因素。近年来,数据安全逐渐演化成为一个跨领域、跨专业的综合性议题,数据治理能力成为国家竞争力的重要体现。数据基础设施建设、数据存储、数据跨境流动和新兴技术安全等问题成为各方关注焦点,科技力量千帆竞发勇进者胜。另一方面,新冠肺炎疫情已进入常态化防控阶段,稳定和促进经济发展成为各国政府下一步工作重心,这为数据安全产业发展带来了千载难逢的机遇。在此背景下,我国也需要抓紧窗口期,落实《数据安全法》关于数据安全产业的工作布局要求,分析国外数据安全产业发展趋势,全局统筹谋划数据安全产业发展方向,加快数据安全先进技术研发落地,构建数据安全产业发展新格局。

2、数据安全保护规则体系进一步细化

伴随《数据安全法》《个人信息保护法》相继出台,我国数据安全和个人信息保护规范体系框架已经基本形成。数据分类分级、数据安全评估等制度将进一步细化,配套的数据安全规范和标准体系也将进一步完善。未来,我国将出台细则落实数据安全审查、数据安全监测、数据交易等制度,进一步细化数据分类分级、重要数据目录、数据风险评估、数据出境等重点工作的相关规范要求,进一步明确国家核心数据、重要数据保护手段。个人信息出境安全评估、安全认证、个人信息侵权案件公益诉讼等重要制度也将逐步落实,成为个人信息保护的有力抓手。下一步,企业层面也需要建立健全个人信息合规体系,落实敏感个人信息保护、个人信息影响评估、合规审计等法定保护义务,重点对自动化决策、未成年人个人信息保护、个人信息主体的权利实现等方面加强企业内部管理制度机制建设。

3、数据安全企业将迎来快速发展机遇

数据安全市场规模不断扩大,未来3到5年内将继续保持高速增长态势。随着我国社会数字化转型步伐加速,数据规模持续扩大,金融、医疗、交通等重要市场以及智能汽车、智能家居等新兴领域数据安全投入持续增加,稳定增长的市场需求将吸引越来越多的传统安全企业以及新兴安全企业推出数据安全相关产品和服务,抢占市场份额,引领行业发展。数据安全产品将向专业化、体系化方向不断迈进,为专业型企业发展带来新机遇。数据安全产品和服务垂直细化的趋势愈加明显,促使数据安全企业的产品结构愈加周密,专业程度愈来愈高,企业与企业之间、行业与行业之间的独立性越来越强,专业化聚焦基础上的“差异化共存”成为商业主流,以“需求定制”为驱动的专业型产品供给时代正在到来,专业型数据安全企业将迎来创新发展新机遇。

4、数据安全技术将不断突破创新

基础通用技术的不断发展为数据安全技术创新提供了有力支撑。在国家对技术创新支持力度不断提升的大背景下,产业链各环节相关主体将持续加大在人工智能、区块链、密态计算等基础通用技术方面的研发投入,为数据识别、数字水印、隐私计算等数据安全关键技术的能力提升和创新发展提供有力支撑。应用领域的逐步拓展将推动数据安全技术的持续演进。数据要素市场化背景下,联邦学习、密文检索、多方安全计算等处于萌芽期的新兴技术,为解决数据利用与数据保护之间的矛盾提供了新的解决方案,应用需求旺盛。随着应用领域的不断扩展和需求的不断释放以及理论研究的不断深入,这类技术在运算效率、互联互通、安全性等方面的问题将逐步得到改进,实现核心技术的持续演进。

5、数据安全产业生态将稳步推进

一是数据安全产业扶持政策的制定出台将提上日程。《数据安全法》中明确提出要“培育、发展数据开发利用和数据安全产品、产业体系”,可以预见,相关部门将制定出台专门的数据安全产业发展政策,为我国数据安全产业发展创造良好发展环境。二是数据安全标准体系将进一步健全完善。为增加标准有效供给,支撑和引领数字经济高质量发展,可以预见,国家和各行业相关标准化组织将加快重要数据的识别与保护、数据安全风险评估与监测预警、重要数据和个人信息出境安全评估等领域数据安全标准研制工作,进一步完善数据开发利用技术和数据安全标准体系建设。三是行业自律活动稳步推进。随着数据安全专业组织和平台不断发展壮大,相关组织将在技术发展、人才培养、能力认证等方面持续发力,整合技术优势和资源优势,以行业自律的形式形成并推广高质量的数据安全产品和服务最佳实践,促进数据安全政策、技术、人才多要素良性互动。四是数据安全人才培养将受到进一步重视。为解决当前数据安全人才缺口的问题,政府部门、科研机构、高等院校、企业等各方主体必然将加强人才培养力度,发挥政策、技术和资源等优势,充分采取多方联合培养、建立数据安全实训基地等手段,发掘培育全方位、多层次的复合型数据安全优秀人才,夯实数据安全人才队伍建设。



END
BREAK AWAY
往期推荐013•15案例 | 那些防不胜防的信息泄露瞬间02汽车信息安全市场刚起步,难点在哪里?03《政府工作报告》释放了哪些网络数据安全新信号?

欢迎投稿

邮箱:kedakeyin@openmpc.com

参与更多讨论,请添加小编微信加入交流群

继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存