千亿级市场,数据安全「巨轮」驶来
从主机安全到程序安全,再到如今的云上安全,一张张大幕正在被缓缓拉开。
作者|斗斗
出品|产业家
2022年3月的第一天,丰田汽车因零部件供应商系统受到网络攻击,整个供应链出现故障,关闭了所有日本国内工厂,涉及当地累计共28条生产线。
而在此之前的2020年,本田就因内部系统就因感染病毒而关闭了9家工厂。2021年 12 月,丰田旗下最大的零部件制造商电装(Denso )遭到一群黑客的攻击,并泄露了员工的个人信息。
而此次停产,这意味着丰田日本产能全面瘫痪,预计将影响13000辆的生产——这仅仅是停产一天的损失。
在360政企安全集团近日发布的独家报告中,公开披露了美国国家安全局(NSA)为达到美国政府情报收集目的,针对全球发起大规模网络攻击。
NSA利用美国在全球网络通讯和互联网体系中所处的核心地位,利用先进技术手段实现对网络信号的监听、截获与自动化利用。
而NSA针对我国的大型攻击活动,仅Validator(验证器)后门一项的感染量保守估计达几万数量级,随着持续攻击演进感染量甚至可能已经达到数十万、百万量级。严重威胁电力、水利、交通、能源等关键基础设施。
此外,数据安全更在个人隐私方面,如联合国超 10 万名员工的个人信息遭到泄露,互联网电信诈骗屡禁不止、“徐玉玉”案令人痛心不已。凡此种种都切实威胁个人隐私这一基本权利。
就当下而言,数据安全已经被推上了历史发展的新高度,无论是个人层面、企业层面还是国家层面,促进数据安全产业发展已经成为数字时代的最大命题。
市场需要怎样的安全服务商?科技为背景的时代进步又需要怎样的安全能力?在数字化进击的当下,这些都在成为最核心的命题。
根据IDC发布的《数据时代2025》报告,到2020年,全球数据量达到了60ZB,2025年将达到175ZB,接近2020年数据量的3倍。
同时,IDC预测中国数据量增速最为迅猛,预计2025年将增至48.6ZB,占全球数据圈的27.8%,成为全球最大的数据圈。
随着数据量的增加,隐藏在数据背后可被挖掘的信息也逐渐丰富,无论是政府还是企业都开始意识到数据泄露可能带来的严重后果,对数据安全的重视程度提升趋势明显,并在积极探索在安全可控的情况下最大化发掘数据价值。
另外,根据海外市场研究机构VMR统计,2019年全球数据安全市场规模约为173.8亿美元,且预计到2027年全球数据安全市场规模将达到572.9亿美元,年复合增长率约为17.35%。
而根据中商产业研究院统计,2019年我国数据安全市场规模仅为38亿元,仅占全球数据安全市场规模的3.4%,与我国整体数据量在全球27.8%的占比仍有较大差距。
由此可见,未来中国数据安全市场容量仍有较大增长空间,而考虑到中国数据安全市场整体发展节奏慢于美国,所以长期来看中国数据安全市场存在千亿市场空间。
根据中国网络安全产业联盟最新公布的网络安全市场规模数据,预计到2023年我国网络安全市场规模有望达到809亿,同时根据信通院安全所信息安全部主任魏薇表示,我国数据安全市场规模将在2023年预计达到97.5亿,届时数据安全在整体网络安全市场占比将达到12.1%。
中国网络安全企业100强
工信部在2021年7月16日发布《网络安全产业高质量发展三年行动计划(2021-2023 年)(征求意见稿)》,其中提出未来三年电信等重点行业网络安全投入占信息化投入比例达10%,而这将会同时带动数据安全领域的投入。
通过对现有重点行业在网络安全领域的投入占比情况进行测算,对标工信部对于10%的网络安全投入占比要求以及国际平均投入水平,可以预测未来政府、金融、医疗卫生以及能源行业在数据安全领域的投入有望进一步打开1至3倍的成长空间,整体数据安全领域仍有近1倍的弹性增长潜力空间。
加之目前我国的数据安全监管体系框架形成了以“数据安全国家战略”为出发点,《网络安全法》、《数据安全法》(即将实施)、《个人信息保护法》为核心,其他专项规定、行政法规、行业部门规章、以及地方性法规等为细节补充的体系框架。
通过对中央法律法规、部委出台的文件要求、以及各行业监管部门针对各行业出台的与数据安全直接相关的政策文件的梳理与统计,可以看出监管部门对于数据安全的监管和关注程度逐年提升,且主要由中央政府与工信部主导,各行业监管中金融、水利、交通、教育、政府、电信与互联网行业为数据安全监管较为严格的行业。
总体来看,数据备份、数据分级分类、数据安全风险评估和审计是监管最为看重的四个子领域,此外,身份与访问控制、数据加密、数据防泄露也是监管重点关注的方向。
此外,根据等保2.0体系下《网络安全等级保护基本要求》中的各项要求标准,参加等保2.0测评的公司需在数据库漏洞扫描、防火墙、审计、数据加密、脱敏、水印等产品上进行投入。
可见,在宏观层面上,随着数据安全相关法案的发布实施,因合规要求,也将带动该产业的稳定增长。
换言之,在数据安全领域,目前还是一片蓝海,增长空间巨大。
伴随着数据安全行业的增长,行业发展困局也逐渐浮现。
数据的生命周期分为采集、传输、存储、处理、交换和销毁六个阶段,在各个阶段对于数据安全的核心技术能力诉求都有很大不同。
在数据采集阶段,用户访问Web服务器时会涉及数据分级分类、身份认证、权限控制等;在数据传输、交换阶段,会涉及加密机、数据库审计、数据动态脱敏、数据水印、数据防泄漏、访问控制、传输通道加密等;在数据存储、处理阶段,会涉及漏洞扫描、数据备份恢复、运维管理、数据加密、数据防泄漏、隔离储存、用户隔离等。
随着数字经济的发展,数据处理场景也显著增多,数据处理量级明显提高,传统的网络安全技术已无法满足当前数据量巨大、数据更新速度极快的场景。
来源/图行天下
数据安全技术作为新兴技术领域,发展时间尚短,部分技术手段与解决方案正处在研究发展阶段,缺乏应用实践,无法有效保障数据安全。
例如数字血缘追踪技术、数据字段打标签技术等目前尚不成熟,对业务运营的影响有待进一步研究,大规模落地应用尚需时日。
加之当前我国数据安全管理体系初步建立,《中华人民共和国网络安全法》和《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)等法律法规提出数据安全和个人信息保护原则性要求,但尚未明确技术手段建设的具体要求与处罚规则,无法有效推动企业开展数据安全技术手段的研发与应用。
部分企业碍于运营成本和系统性能等因素,数据安全技术手段投入较少,数据安全技术研发与应用相对滞后,分级分类、权限管理等部分管理要求难以真正落地实施,继而影响企业整体数据安全保障能力。
数据安全三个阶段
另外,我国数据安全管理起步较晚,目前大部分企业面临存量业务系统数据安全改造的难题。
一是数据资产梳理难度较大。前期企业内部各业务系统数据字段名称不统一,数据类型繁杂、数量庞大,数据资产梳理作为数据安全技术手段建设的基础工作难以有效开展。
二是影响业务现有系统性能,加大企业投入。数据加解密、脱敏等技术,一定程度占用系统资源,影响系统性能和用户体验,进行数据安全技术改造需要升级硬件设备,增加企业成本投入。
三是影响业务系统运行风险较高。数据安全防护技术的改造往往伴随着核心系统的改造,难度较高,风险较大。
同时,数据安全技术改造属于新兴技术领域,目前企业可参考的成熟技术方案及实践案例较少,企业顾虑较大。
长此以往,下游客户采购需求下降导致上游产品研发投入缓于预期,产品研发进度继而跟不上下游客户需求,客户需求又继而下降......介于研发与需求之间的恶性循环就会无限上演。
其实,类似于上述的问题,不仅仅存于数据安全领域。然而,不同于其他行业,数据安全技术往往有不可预测性,所以往往更加依赖需求驱动。
例如,病毒入侵的方式有很多种,数据安全服务商无法最大程度预测到其攻击方式,只有经过长期的案例积累,才能不段迭代升级技术。
当下,这些问题已然成为数据安全产业发展亟待解决的问题。
比起行业带来困局,企业之间的竞争格局更为严峻。
根据IDC《IDC全球网络安全支出指南, 2021V1》报告,政府、通信、金融仍将是中国网络安全市场前三大支出行业,占中国总体网络安全市场约五成的比例。
例如,奇安信、天融信主要服务政府、公检法司、军队军工行业,三者占比均达到其年度总营收的50%以上。
另外,安恒信息客户主要分布在政府、事业单位、金融和教育领域;深信服2020年营收一半以上来自政府及事业单位;绿盟科技相较于其他几家公司,则具有较高的运营商及金融领域客户营收占比,2020年其比重分别达到21.48%、20.61%。
值得肯定的是,在数据的采集、传输、交换、存储、处理与销毁六大基础网络安全领域,天融信、深信服、启明星辰在网络与基础架构安全领域深耕多年,核心产品历经研发升级,在各自市场稳定占据着领导地位。
其中,安恒信息专精于应用安全、安全管理及数据安全市场;奇安信领衔终端安全与安全管理市场;绿盟科技的IDS/IPS、WAF、ADS产品处于市场领先地位。
毋庸置疑,对于金融、通信、政府等安全要求更高的大型客户而言,往往会选择成立时间较久,发展稳定的头部企业。这也侧面对中小企业形成了较高的发展壁垒。
然而,除传统围绕数据的生命周期,沿着数据的采集、传输、交换、存储、处理与销毁流程直接与数据或者数据库相关的产品外,还有一些产业与数据安全息息相关。
例如数据安全治理、身份与访问管理(“零信任”体系)、隐私计算等,他们为数据安全发展提供方法论和体系框架、引入新兴技术和应用场景,已经成为未来数据安全产业的重要组成部分。
比如星云Clustar就是通过金融场景打造隐私计算全栈技术解决方案。2018年,星云Clustar获得红杉资本中国数千万人民币的天使轮融资,之后又经历三轮融资。
除此之外,还有成立于2017年的全知科技,其专注数据流动安全治理体系,其专注方向为数据安全方法论,研发出支持相关方法论的数据安全产品和工具,从而确保数据在安全可控的环境中流动。2021年,全知科技完成数亿人民币B轮融资,该轮融资由红杉资本中国、GGV纪源资本领投。
再加上最近大火的DevsecOps厂商悬镜安全,其基于安全产品的布设使得其正在最近完成了数亿元人民币的投资。
从成立时间以及融资轮次不难看出,这些数据安全领域细分赛道的企业,都已经构建出了不同方向的产品,以金融、制造等行业客户为切入点,进行不同解决方案的验证。
数据安全领域正在迎来新一轮的追捧。
除上述所提到的细分领域,一个不容忽视的领域是——云上数据安全。
在云时代的一个背景下,无论是头部玩家还是中小玩家,想要在数据安全赛道立于不败之地,做好云上数据安全是大势所趋。
据《2021中国企业上云指数洞察报告》显示,随着市场的发展,企业不断寻找新方法新技术来提高自身管理效率,降低企业成本。现阶段,56.8%的中国实体经济企业选择优先进行管理系统上云。
在企业上云的大趋势下,同时也倒逼企业云上数据安全需求的增加。
一方面,传统环境下的安全问题在云环境下仍然存在,比如SQL注入、内部越权、数据泄露、数据篡改、网页篡改、漏洞攻击等,另一方面,云环境下又不断涌现一堆新的安全问题。
在其中,冒头的是各大云计算厂商。
首先是阿里云,阿里云几乎可以提供云上所需的所有安全产品种类,所以阿里云也是业内“保姆式”云安全的代表,字面意思就是可以为客户提供近乎保姆式的安全服务,全面覆盖“衣食住行”。
阿里云的产品DDoS防御,宣称90%的攻击可通过AI引擎自动防御。产品WAF拿下Gartner、Forrester、Frost&Sullivan、IDC等四家国际知名咨询机构的报告。作为云上攻防对抗的核心,一直是阿里云的拳头产品。
其次是腾讯云,腾讯云则发布了中国首个互联网安全实验室矩阵——腾讯安全联合实验室。涵盖云鼎实验室、反病毒实验室、反诈骗实验室等。致力于安全技术研究安全攻防体系的搭建,其中更是涵盖零信任、云镜等针对具体场景的安全产品。
另外,百度的云计算业务也在几经整合之后,和AI绑定在了一起。AI是百度的战略核心,所以在百度云安全领域,AI安全占据了大部分,同时也是百度安全所有攻防技术的核心。百度安全推出的BASS下一代人工智能安全技术栈,基本涵盖了云计算安全的各个方面。
除了BAT外,华为也早早布局云上数据安全。在产品布局上,华为2019年公布了其三大安全体系,即防攻击体系、数据安全体系、可信云平台和云服务体系。
需要关注的是,华为云在私有云安全方面有着自己非常明确的打发,那就是拉着生态伙伴一起打天下,旗下生态伙伴包括瑞星、天融信、奇安信等数据安全公司。
除此之外,京东云、金山云、青云、UCloud等各大云厂商在数据安全领域均有其布局和长处。
但值得注意的是,市场上云服务厂商众多,用户往往将业务部署在多个平台上,通常涉及两种不同云计算提供商的基础设施,多云和混合云的场景在国内市场上将会长期存在,因此多云安全和混合云安全正在成为云安全解决方案需要解决的安全痛点。
从主机安全到程序安全,再到如今的云上安全,一张张大幕正在被缓缓拉开。
本文来自微信公众号 “产业家”(ID:chanyejiawang),36氪经授权发布。