1. 数据安全:数字经济发展的“盾”
数字经济是现代化产业体系的重要组成部分,近年随着相关政策的支持,数字经济快速发展,其辐射范围广,影响程度也极其深远。数字经济肩负着重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键任务。
数据安全是数字经济发展的盾。数据是数字经济发展的最基本也是最核心的要素,而保护数据安全则是数字经济发展的重中之重。何为数据安全?《中华人民共和国数据安全法》中第三条,给出了相关定义,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。从数据角度看,数据安全是指在数字信息的整个生命周期中保护数字信息不受未经授权的访问、损坏或盗窃。 数据安全有两方面含义:一是数据本身的安全,主要是指采用现代密码算法对数据进行主动保护,如数据保密、数据完整性、双向强身份认证等,二是数据防护的安全,主要是采用现代信息存储手段对数据进行主动防护,如通过磁盘阵列、数据备份、异地容灾等手段保证数据的安全,数据安全是一种主动的保护措施,数据本身的安全必须基于可靠的加密算法与安全体系,主要是有对称算法与公开密钥密码体系两种。
1.1. 信息安全、数据安全、网络安全区别及联系
国际标准化组织(ISO)对信息安全的定义是为数据处理系统建立和采用的技术、管理上的安全保护,为的是保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露。这里面既包含了层面的概念,计算机硬件可以看作是物理层面,软件可以看做是运行层面,再就是数据层面,又包含了属性的概念,其中破坏涉及的是可用性,更改涉及的是完整性,显露涉及的是机密性。 网络安全的定义可以从狭义和广义两个角度看。狭义角度上在针对网络中的一个运行系统而言,网络安全就是指信息处理和传输的安全。它包括硬件系统的安全、可靠运行,操作系统和应用软件的安全,数据库系统的安全,电磁信息泄露的防护等,狭义的网络安全,侧重于网络传输的安全。 广义的网络安全是指网络系统的硬件、软件及其系统中的信息受到保护。它包括系统连续、可靠、正常地运行,网络服务不中断,系统中的信息不因偶然的或恶意的行为而遭到破坏、更改或泄露。
在大数据的概念出现以前,广义的信息安全范围最广,能够涵盖网络安全和数据安全。早期的网络安全概念通常泛指保护由计算机网络 (特别是接入互联网的网络)连接的软硬件信息基础设施能够持续正常运行,防范外部攻击者对信息系统及其中存储的数据进行破坏和篡改或者对秘密数据进行窃取。同时期的数据安全一般被理解为对信息系统中重要数据进行保护,因此可视作网络安全范畴的子集。 随着移动互联网、物联网、人工智能等技术的迅猛发展,网络的概念开始由传统的计算机网络不断向云、边缘、终端等新的衍生概念延伸,早期的网络安全也相应演变为与陆、海、空、天等国家安全概念相提并论的网络空间安全 (Cyber Security) 的简称。数据安全概念的发展速度比网络安全有过之而无不及,当下一般将数据安全解读为以数据为中心,保护数据在其生命周期内的安全性,现今数据安全的概念范畴尽管仍与网络安全拥有大量重合,但已不再完全是网络(空间) 安全的子集。综合来看,网络安全侧重于网络环境与计算资源的安全防护范畴,而数据安全则更侧重于促进与保障数据开发利用、数据价值的释放。
1.2. 数据安全的发展历程
数据安全的发展历程可划分为三个阶段:1.数据库和文件系统安全。2.数据生命周期的安全。3.数据基础设施和数字化业务过程中的数据安全。 在网络架构相对简单的早期,数据一般只在服务器、网络和办公电脑之间流存,因此数据安全通常被定义为数据库安全和内部数据防泄漏,通过如设置数据库权限、复杂密码等方式保护好数据库,通过规范员工行为、文档加密等方式防止内部数据泄漏。 随着互联网的快速发展,信息化程度的不断提升和数据时代的到来,数据的流存节点和区域变得繁杂,流动量呈现指数级增长,使用方式也不断多样化,数据安全作为独立的安全体系被重新定义,形成以数据生命周期为核心的大数据安全。数字化时代新的数据安全,包含了以数据为中心的安全体系,以数据的采集、传输、存储、处理(使用)、交换(共享)、销毁等覆盖全生命周期的安全为目标,侧重于从数据产生到销毁的全生命周期的保护,保护方式类似于伴随数据全生命周期的安保人员,强调数据的所有权、管辖权、隐私权等。发展到现在,主要包括数据治理、数据库安全、大数据安全、数据生命周期安全、隐私计算等主要细分赛道。
2021 年是我国数据安全的元年,随着《数据安全法》和《个人信息保护法》先后正式生效,我国在数据安全治理已经形成以法律、行政法规、部门规章及规范性文件、地方性法规、以及相关行业标准、指南等相结合的综合性治理体系,不断加强数据治理的规范建设。其中,《网络安全法》从法律层面保障了广大人民群众在网络空间的利益,有效维护了国家网络空间主权和安全,是国家基本法律;《数据安全法》、《个人信息保护法》从法律层面提供了数据安全保障和个人信息保护是相关领域的基础性法律。《网络安全法》、《数据安全法》以及《个人信息保护法》共同构成了我国数据保护的基础体系。
1. 《网络安全法》保障网络与信息安全
我国于 2016 年颁布并于 2017 年施行的《网络安全法》是我国网络安全管理方面的第一部基础性立法,旨在应对我国网络安全领域的严峻形势,以制度建设加强网络空间治理,规范网络信息传播秩序,惩治网络违法犯罪。《网络安全法》全面地规定网络与信息安全治理的基本规则,以网络运营者及关键信息基础设施运营者为主要规制对象,明确网络运行安全、网络信息安全、监测预警与应急处置等方面的义务。 近年来,各机构因网络安全防护能力薄弱进而导致的网络攻击、网络安全事件层出不穷、数据泄露及毁损危机凸显,由于网络安全的一大重要内容即是保障网络数据的完整性、保密性、可用性的能力,因此《网络安全法》对于构建数据安全保障体系有着重要的意义。
2.《数据安全法》构建数据安全治理框架
由于数据安全已成为事关国家安全与经济社会发展的重大问题,为了有效应对数据这一非传统领域的国家安全风险与挑战,切实加强数据安全保护,维护公民、组织的合法权益,并发挥数据的基础资源作用和创新引擎作用,推进政务数据资源开放和开发利用,2021 年我国颁布并实施《数据安全法》。《数据安全法》作为数据领域的基础性法律,重点确立数据安全保护管理各项基本制度,构建起数据安全治理的框架,强调数据开发利用与保障数据安全并重的思路,将个人、企业和公共机构的数据安全纳入保障体系,确立了对数据领域的全方位监管。
3.《个人信息保护法》保障个人信息全生命周期处理的安全
相较于一般数据,个人信息因对个人权益的影响需要进行专门的保护。为了解决一些企业、机构甚至个人,从商业利益等出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题,在保障个人信息权益的基上,促进信息数据依法合理有效利用,2021 年颁布并施行的《个人信息保护法》以数据中的“个人信息”为主要规范对象,划定个人信息全生命周期处理的安全保护规则,以保护个人信息权益、促进个人信息合理利用。
1.3. 数据安全赛道细分
数据安全的细分赛道众多,可划分为四个大类 18 个技术领域。
18 个数据安全技术领域涉及数据安全治理、数据安全态势感知、数据服务、大数据安全管控与防护、API 安全、数据库防火墙、数据库审计、数据库加密、数据库运维、数据库保密检查、文档加密、数据脱敏、DLP、数据水印、数据备份/恢复/销毁、APP 隐私检测与保护、隐私计算、隐私管理。其中 DLP 和数据库安全是国内数据安全领域最大的两个子市场,市场规模均在 10 亿以上。
2. 数据安全行业现状及未来趋势
数据安全面临的风险与日俱增。IBM《2021 年数据泄露成本报告》指出,每次数据泄露事件平均为公司带来 424 万美元的损失为 17 年来之最。其中,大型数据泄露的平均成本达到 4.01 亿美元,泄露记录达到 5000 万到 6500 万条。据 Verizon《2021 年数据泄露调查报告》指出,2021 年数据泄露的主要原因是 web 应用程序攻击网络钓鱼和勒索软件,其中 85% 涉及人为因素。该报告分析了 79635 起事件,其中29207 起符合分析标准,5258 起确认是数据泄露,这些事件来自全球 88 个国家。据中国软件评测中心持续对电信和互联网行业的威胁监测和远程检测结果分析,发现安全漏洞或问题 80% 和数据安全相关,主要包括 SOL 注入、非授权访问、数据泄露三大类。其中实现非授权访问的原因多样,包括弱口令、授权绕过、未进行身份验证等。数据泄露方面甚至存在源代码泄露。 数据安全行业的基本现状可以先从风险态势来看,我们将其分为外部与内部数据安全风险。
外部数据安全威持续升级。业务数字化、信息系统云化、安全边界模糊化等众多正在加速演进的时代发展趋势,使得企业或组织面临的外部数据安全威胁也在相应发生变化。在数据时代,通过漏洞利用、防护绕过等手段侵入企业或组织的内部网络实现数据窃取或破坏的安全事件仍常有发生,但随着网络安全防护设施的普及和加强,明显增加了侵入内部网络的难度。伴生而来的新的攻击和外部数据安全威胁层出不穷,导致数据的窃取、篡改和非法使用等威胁。 内部数据安全风险日益严峻。相比持续升级的外部数据安全威胁,日益严峻的内部数据安全风险更是让企业或组织感到迫在眉睫。其主要风险包括内部人员有意或无意行为引发的数据安全风险、敏感个人信息非法利用严重侵害个人权益、业务频繁变化引起的数据误用、滥用等。
2.1. 数据安全行业规模
数据安全的发展与数字经济高度相关。国务院发展研究中心市场经济研究所所长王微在中国发展高层论坛 2023 年年会上表示,全球新一轮技术革命方兴未艾,特别是以数字技术为核心的信息技术革命正在实现群体突破和加快广泛深度应用。2022 年中国数字经济规模超过 50 万亿,占 GDP 比重超过 40%,继续保持在 10%的高位增长速度,成为稳定经济增长的关键动力。从 2012 年至 2021 年,我国数字经济规模从 11 万亿元增长到超 45 万亿元,数字经济占国内生产总值比重由 21.6%提升至 39.8%,发展势头迅猛。
规模小、增速快、细分领域多是现阶段中国数据安全市场的特点。据中商情报网讯,数据显示,2017-2021 年,中国数据安全市场规模由 22.9 亿元增长至 70.9 亿元,复合年均增长率达 32.6%。未来,数据安全技术将持续突破,数据安全在不同行业领域的应用将逐渐深入,预计 2023 年我国数据安全市场规模将达 109.5 亿元。此外工信部等 16 部门发布的《关于促进数据安全产业发展的指导意见》提出促进数据安全产业发展的总体要求,分两个阶段明确发展目标。到 2025 年,数据安全产业基础能力和综合实力明显增强,产业规模迅速扩大,数据安全产业规模超过1500 亿元,年复合增长率超过 30%。我们认为工信部等部门提到的 1500 亿目标与中商情报网预测差异较大因素在于统计口径的不同,工信部等部门可能将网络安全市场规模纳入了数据安全市场规模合并计算。但无论从哪个口径看,数据安全都是整个信息安全领域中增速最快的方向。
海外数据安全市场相对国内来看规模更大,但也存在市场规模显著低于同期网安市场规模的特点。根据 VMR 统计,2019 年全球数据安全市场规模约为 173.8 亿美元(按 2019 年美元平均汇率,折合人民币 1199.22 亿元),2019-2025 的复合增速预计为 17.35%,约为同期全球网络安全市场规模的 13.73%(Gartner 测算 2019 年全球网安市场规模为 1265.49 亿美元)。
2.2. 数据安全行业供需情况分析
需求侧:数据需求量呈井喷式增长,数据安全市场乘势而起。 根据 IDC 发布的《数据时代 2025》预测,全球数据量将从 2018 年的 33ZB 增至2025 年的 175ZB,增长超过 5 倍;中国预计到 2025 年数据量将增至 48.6ZB,2018 年至2025 年 CAGR 为 30.35%。其中,中国企业级数据量将从 2015 年占中国数据量的49%增长到 2025 年的 69%。 在数据泄漏事件激增、数字化转型加速、远程办公需求上升等多因素叠加影响下,企业对数据安全的重视程度显著增加。据数说安全研究院近期发布的《数据安全市场研究报告》统计,2021 年中国数据安全采购的项目数量约为 230000 个,同比增加约 28%,其中,专项采购约为 3000 个,同比增长 43%,显著高于行业平均水平。
数据安全采购还呈现出明显的区域特征,即采购用户主要分布在经济较为发达和数字化建设水平较高的京津冀地区、长三角地区、粤港澳大湾区和川渝地区。分行业来看,政府、医疗卫生、教育和公检法司是数据安全项目的主要采购行业,占整体采购量的 81%,但是专项采购占比和增速较低。电信、企业、金融和能源化行业虽然整体采购数量较少,但是专项占比和增速较高。党委部门和交通行业的项目数量、增速及专项项目占比处于较低水平。据中商情报网讯,2021 年中国数据安全项目整体分布中,政府采购量占比达到 36.8%,教育和医疗卫生领域占比都达到 17.3%,公检法司领域占比 9.4%,电信行业占比 5.4%,随后企业、金融、能源化工、交通等领域占比相近。
供给侧:随着数字经济的高速发展,企业争相布局数据安全赛道,供给端竞争愈发激烈。中国数据安全相关专利申请数量由 2015 年的 809 件增长至 2021 年的2193 件,呈增长趋势,复合增长率为 18.08%。
据统计,2021 年中国数据安全相关投资事件为 54 起,达历史峰值,投资金额135.34 亿元。截至 2022 年 10 月 25 日,数据安全领域投资数量为 35 起,投资金额达62.84 亿元,预计 2022 年投资数量和投资金额将继续增长。
中国数据安全领域呈现龙头少,集中度低,分布较为分散的特点。数据安全市场的主要参者包括综合型的安全厂商(奇安信、启明星辰、绿盟科技、天融信、安恒信息等)和专注于数据安全领域的安全厂商如安华金和等。整体来看,综合型安全厂商一般是网络安全行业的领军企业,产品线齐全,销售渠道广,具有较强的咨询、框架和整体解决方案的能力,在部份头部客户和项目的竞争中有较大优势。专业数据安全厂商也是重要的参与者,其一般对特定业务有深入了解,专注于相应领域的数据安全产品,例如安华金和 就是一家专业数据库安全产品和服务提供商。国外的数据安全领域也未形成独角兽企业。2021 年 Gartner 数据安全技术成熟周期报告中统计了 193 个厂商,提供了 26 个小类的产品和技术,其中 98 个类目产品,有两个及以上厂商投入,说明数据安全领域得到了广泛参与,市场热度高,但技术跨度大,即便是 IBM、Microsoft 这种大厂也很难全栈跨越。
2.3. 数据安全的驱动因素及未来推演
我国的数据安全主要由政策合规,数据安全事件以及新兴技术驱动。 政策合规方面我们前文已经总结了《网络安全法》、《数据安全法》与《个人信息保护法》的相继颁布实施极大促进了我国数据安全发展,《网络安全法》更是国家的基本法律。 数据安全事件造成损失严重。IBM《2021 年数据泄露成本报告》指出,每次数据泄露事件平均为公司带来 424 万美元的损失为 17 年来之最。目前各大信息化企业均在密集发布数据安全相关的行业监管标准以及分类分级标准,甚至一些行业已将数据安全列入了考核办法。 2019 年 11 月阿里云计算有限公司未经用户同意擅自将用户留存的注册信息泄露给第三方合作公司,公司回应称系一名电销员工违反公司纪律透露给分销商员工,已严肃处理。该事件引发了各大企业的担忧,企业是否上云,上云后如何保障数据安全?
淘宝报警称,2020 年 7 月 6 日至 13 日之间,有黑产通过 mtop 订单评价接口绕过平台风控批量爬取加密数据,爬取字段量巨大,平均每天爬取数量 500 万,爬取内容包括淘宝客户数字 ID、淘宝昵称、手机号码等淘宝客户信息共计 11.8 亿条,导致了严重的数据泄露事件,危害了用户的个人信息安全,也反映出互联网平台风控机制的漏洞。 2021 年 6 月 30 日,滴滴在美国纽交所挂牌上市。滴滴赴美上市引发监管关注,2021 年 7 月 2 日,网络安全审查办公室按照《网络安全审查办法》,对“滴滴出行”实施网络安全审查。之后国家互联网信息办公室发布了两则通告,认为“滴滴出行”“滴滴企业版”等滴滴旗下 APP 存在严重违法违规收集使用个人信息问题,要求应用商店下架对应 APP。 新兴技术如人工智能、云计算 5G、物联网等快速发展、交叉融合,“技术—产业”迭代交互效应持续增强,对数据安全发展产生了深远影响。新技术应用的过程中会产生的大量数据,而我们则需创建保护措施,保障数据的安全合规。
2.3.1.数据安全行业未来推演
参考《数据安全治理白皮书 4.0》,我们发现面向数据安全治理涉及的复杂的监管与合规需求,数据安全防护技术也需要进行体系化的应对。数据防护技术在传统的注入或漏洞攻击防护、认证与访问控制、加密、审计、去标识化技术的基础上也在进行着持续的技术演进,同时,这些技术也在快速实现国产化落地,拥抱国产化趋势。对演进趋势总结归纳为以下几点:
1) 场景化主动防控手段纳入数据安全技术体系
鉴于数据资产与业务的强相关性,需要根据业务的流程和特点,面向数据资产价值及防护诉求不同,针对数据流转的风险暴露面,确定合适的数据安全防护技术手段,突破传统的基于网元的一刀切式防护手段,构建动态、按需的体系化技术防护框架。
2) 密码技术保护数据安全将成为热点
在数据处理活动中,数据收集、存储、使用、加工、传输、提供、公开等每一个环节,其目标不外乎“使用”这些数据,或“加工”这些数据,创造新的价值,从而释放数据红利,为社会发展提供强大的推动力。从数据安全的角度来看,保护数据完整生命周期的安全,例如数据安全收集、安全传输、安全存储,其根本目的是确保数据在“使用”时是真实可信的,对这些数据进行“加工”所获得的价值是有效的。当前,在保证数据使用安全方面,机密计算、隐私计算等基于密码技术保护数据交易、共享安全的落地化实践场景已经展开。
3) 数据安全防护与 AI 技术融合愈加成熟商用
面向数据资产识别、数据分类分级、数据流转的风险分析等安全防护手段,单纯依赖传统的基于人工设定规则 /策略的防护技术,在处理效率、准确性、全面性等方面已经无法满足日趋复杂的数据安全防护需求,通过引入自然语言处理 (NLP)、用户异常行为分析(UEBA)、知识图谱(KG)等人工智能技术,与传统的安全技术进行有效融合并实用化,已较好的推进了智能化数据分类分级、智能化风险分析的进展,极大的提升了数据安全防护的水平。
4) 单点技术向平台化融合技术发展趋势愈加强烈
围绕数据全生命周期,在周期各阶段节点的单点防护技术手段已日益健全,但基于安全木桶效应,数据流转需要体系化防护,建立集中化、联动化的安全防护平台,将这些单点技术进行有效串联实现面向数据安全风险的动态、纵深防御已成业内共识,零信任平台,隐私计算平台、安全监测平台安全运营平台等平台化技术得到蓬勃发展,在数据收集、存储、使用、加工、传输、提供、公开等应用场景中开展了广泛实践应用,有效的支撑了数据安全治理实践。
从 Gartner2021 年发布的数据安全技术成熟度曲线来看,数据安全是持续创新的赛道。在创新萌芽阶段、炒作高峰阶段、滑入低谷阶段、稳步发展阶段和市场成熟阶段均有较多的技术方向,保持了持续的高热度。在数据安全领域,隐私计算(安全多方计算、同态加密、差分隐私),隐私合规(隐私管理工具、隐私保护设计、隐私影响评估)成为热点。Gartner 预测 2020 年开始,数据安全新技术迅猛增加,其中安全多方计算、同态加密、差分隐私等隐私计算技术近两年发展势头强劲。政策驱动(GDPR,个人信息保护法)带来隐私保护合规的需求,从 Gartner 报告看,隐私管理工具(PMT)、隐私保护设计(PbD)、隐私影响评估(PIA)处于快速发展阶段。 Gartner 预计在未来五年内,将会有几种技术会进行融合数据治理和数据安全的集成EKM 和 KMaaS 的集成。数据监控和保护技术的集成,正在数据安全即服务(DSaaS) 、数据安全平台、多云数据库活动监控(DAM)等新技术中出现。DSG、DRA、FinDRA、PIA 和数据泄露响应流程越来越需要执行一致的政策,特别是在数据驻留的影响和新的隐私法不断出台的情况下。
3. 数据安全产业链
我们从数据安全技术角度将产业链分为上游、中游和下游。上游主要包括服务器厂商、存储设备制造商、网络设备制造商、操作系统开发商等基础软硬件的供应商,他们提供的硬件和软件能够保证数据传输和存储时的安全性和稳定性。中游则主要数据安全产品供应商和服务商为主,例数据加解密、数据库安全、数据防泄漏以及咨询安全,运维服务等。下游市场主要参与者是集成商,场景服务供应商和最终用户。
3.1. 数据安全产业上游
在中国数据安全产业的上游市场中,外国制造商长期占据市场优势,而国内厂商正在逐步追赶。相较于国外企业,中国在数据安全行业的不足之处在于技术研发水平相对滞后、市场份额不够大等。国内数据安全行业产品在一些核心关键技术方面仍依赖国外厂商,需要进一步加强自主创新,但国产化产品在大部分基础信息产品点位上已实现可替代。 数据安全上游市场竞争格局相对稳定,资金和研发能力不断向龙头企业集中。以信创为代表的合规需求将成为未来推动中国数据安全上游行业市场发展的重要因素,尤其是在基础 IT 设备和系统软件领域。 数据安全上游产品的性能至关重要,其直接影响数据安全产品最终应用表现。我国十分重视上游的发展,在政策的引导下,未来国产化基础信息产品将在中国上游数据安全产业中发挥更大作用。中国数据安全的上游产业将继续发展,这是建立在坚实的研发基础上的。虽然不可能一蹴而就,但它将缩小与全球领先产品的差距。
3.2. 数据安全产业中游
数据安全产业链中游厂商根据业务特点可分为四部分:基础性防护、应用性防护、综合性防护平台以及数据安全保障服务。数据安全中游企业需要获得上游制造商的支持,并为下游用户提供服务。中游企业之间在数据安全方面也存在协同关系。
1)数据安全基础防护
数据安全基础技术主要为数据安全其它技术提供支撑,这些技术通常独立,可以不与其它技术共同形成产品。主要包括数据资产发现、数据容灾备份、保密检查工具、加解密等。
2)数据安全应用防护
数据安全应用产品防护是针对用户需求形成的单点防护产品,产品化过程中会在一定程度上依赖于基础安全防护技术。主要包括数据库安全、数据防泄漏、数据脱敏、文档安全、数据分类分级、大数据保护等。
3)数据安全综合管控
数据安全综合管控是一种系统化平台方法,对各种数据安全应用产品提供的数据进行综合分析,然后将处置策略分发给相应的数据安全应用程序产品进行响应。主要包括数据安全管控平台和安全态势感知。
4)数据安全服务
数据安全服务贯穿整个数据安全体系,从早期的安全咨询服务到持续的安全测试和评估服务,以及数据安全审计服务,不断为数据安全赋能。主要包括数据安全咨询服务、数据安全测试评估服务、数据安全审计服务。 未来我国数据安全中游产业预计将呈现百花齐放的发展趋势。随着我国对数据安全重视程度的提升以及市场规模的扩大,将会吸引更多新玩家涌入,将出现一批有特色的数据安全创新企业。法律合规和应用需求将共同推动数据安全中游产业未来发展。
3.2.1.数据库安全和数据防泄漏技术(DLP)
数据库安全与数据防泄漏技术是数据安全中游重要的两个子市场,市场规模均在10 亿以上。 数据库安全在中国属于合规型刚需市场,相关的技术标准和政策要求较为清楚,其中数据库审计产品的市场需求最大,占据了六成以上的市场。数据库安全技术主要包括以下几个方面: 1. 数据库加密:对数据库进行加密,达到防止非法访问和数据泄露的目的。2. 审计:对数据库进行审计,记录对数据库的访问、修改、删除等操作,以达到监控和追踪数据使用情况的目的。 3. 强密码和访问控制:设立强密码和访问控制机制,保证只有授权人员可以访问数据库。 4. 备份和恢复:备份数据库以减少数据丢失和恢复的时间,以保护数据安全。数据库审计以安全事件为中心,以全面审计和精确审计为基础,实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行实时告警。它通过对用户访问数据库行为的记录、分析和汇报,来帮助用户事后生成合规报告、事故追根溯源,同时通过大数据搜索技术提供高效查询审计报告,定位事件原因,以便日后查询、分析、过滤,实现加强内外部数据库网络行为的监控与审计,提高数据资产安全。
数据库安全审计的参与者较多,既包括如 Oracle、IBM 为代表的数据库厂商,也包括 Imperva、Guardium、安华金和等数据库安全厂商,还有如启明星辰、绿盟科技、安恒信息等综合型解决厂商。赛迪顾问发布的《中国数据库安全审计与防护产品市场研究报告(2022)》显示,启明星辰集团以 12.8%的份额占据中国数据库安全审计与防护市场第一,已连续八年领跑该领域。
数据泄露防护(DLP)又称为数据丢失防护、信息泄漏防护等,是指通过一定的技术手段,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。国内外对于 DLP 的解释有所不同,国外厂商所说的 DLP 是以防止无意泄漏为目标的,而国内厂商则是以防止任何方式的泄漏为目标。此外,根据ResearchAndMarkets 的研究数据显示,2019 年全球企业数据丢失防护市场规模为16.47 亿美元,预计将以 21.03%的年复合增长率持续增长,2026 年规模将达到62.65 亿美元。
当前市场上的数据防泄漏产品大多侧重于网络数据防泄漏和终端数据防泄漏(PC),但很少提及应用程序数据防泄露和移动终端数据防泄露。关于如何处理好数据在全生命周期的流通与共享,规模与效率、应用与保护,安全和发展的关系,杨明非在介绍《数据防泄露技术(DLP)技术指南》的演讲中表示,企业级 DLP 通过动态平衡数据安全与业务风险,建立持续、自适应的数据安全防御体系,帮助企业构建完善的数据防泄露解决方案,保护数据资产安全。而完善的数据防泄露解决方案必然贯穿于数据生命周期的全过程,提供对整个组织的网络、邮件、数据库、移动应用、端点、内部业务应用的全 IT 架构覆盖,在统一的数据安全策略下保护组织的核心数据资产。在未来的数据防泄露(DLP)领域,将行为分析技术与数据保护体系相结合,通过人工智能的多维度风险建模匹配,实现对内部用户的行为和意图进行监控和预测。
按照数据泄露途径的不同,数据防泄漏可划分为:网络数据防泄漏(网络 DLP),终端数据防泄漏(终端 DLP),存储数据防泄漏(存储 DLP),云数据防泄漏(云 DLP)。1)存储 DLP:发现 DLP 主动扫描网络上的笔记本电脑、文件共享、服务器和数据库,提供一个驻留在所有这些设备上的敏感信息的分析。一些用于执行数据发现的解决方案也需要在扫描的机器上安装代理。 2) 网络 DLP:通过互联网传输的数据进行防护,网络 DLP 支持的协议包括电子邮件、文件传输、web、文件共享和其它自定义的 TCP 会话流量。功能主要包含流量内容检查、全流量检测、简单加密算法解密、审计、自定义协议。 3) 终端 DLP :主要对电脑终端的数据进行防护,依赖于运行于桌面、笔记本电脑、服务器、及 Windows、Apple OS、Linux 的设备上的软件客户端。该客户端提供可见性,在数据进行操作之前对其进行管控。 4)云 DLP:主要包含管理平台云化和数据网关云化。即降低了用户在购买多个DLP 硬件设备时产生的额外成本,又解决了远程办公场所和移动终端设备中的敏感数据保护问题。
随着国产化替代的不断推进,例如 Symantec,Intel Security,Forcepoint 等国外厂商在中国的市场份额被不断蚕食,IDC 发布的《中国数据泄露防护市场份额,2021:合规驱动与业务需求齐发力,DLP 市场重现活力》报告显示,2021 年中国数据泄露防护市场规模达到 1.25 亿美元,同比增长 39.2%。头部玩家以专业数据安全技术提供商为主,天空卫士领跑市场市占率达到了 23.1%,接下来是亿赛通和明朝万达。
3.3. 数据安全产业下游
数据安全需求可分为主动安全需求和被动安全需求。主动的安全需求造就了一些集成商、关键信息基础设施领域的领先安全供应商等,通过整合数据安全能力,有效满足用户的安全建设需求。大部分下游企业的数据安全仍处于被动投入状态,主要集中在以合规为导向的安全投资上。 1)最终用户:数据安全的最终用户包括企业、政府、机构等。随着互联网、云计算和物联网等技术的广泛应用,最终用户对数据安全的需求越来越高。未来,用户将更加关注他们所使用的产品和服务的数据安全性和可靠性。 2)集成商:数据安全的集成商是将不同供应商的技术和服务进行整合,为最终用户提供完整的数据安全解决方案的企业。数据安全的集成商在将来会不断增加,集成商不仅需要拥有领先的技术,还需要对客户的业务及其安全需要有深刻了解,为客户提供量身定制的数据安全解决方案。 3)服务供应商:服务供应商是提供数据安全服务的企业。未来,随着数据安全产业的发展,服务供应商将向更加专业化和差异化的方向发展,提供更加完善和个性化的数据安全服务。同时,服务供应商还需要深刻理解客户需求和对数据安全的需求,为客户提供定制化的服务。
4.重点公司分析
4.1. 深信服
公司是网络安全领域国内领军企业,公司全网行为管理、VPN、下一代防火墙、广域网优化、应用交付等 5 款网络安全核心产品连续多年入围 Gartner 国际魔力象限,此外,云计算及 IT 基础设施业务铸造公司第二增长极。公司重视研发投入,连续7 年研发费用投入占营业收入的比率超过 20%。公司一直围绕解决企业级用户的IT 问题拓展自身业务,承载各行业用户数字化转型过程中的基石性工作,让各政府部门、医疗和教育等事业单位、各类金融机构、电信运营商、能源、各行业商企组织等用户的数字化更简单、更安全。 公司披露 2022 年年报,实现营业总收入约 74.13 亿元,同比增长 8.93%,增速同比明显放缓。归属于上市公司股东的净利润约为人民币 1.94 亿元,同比下降 28.84%;公司经营性现金流入为 86.69 亿元,同比下降 0.40%;经营活动产生的现金流量净额为 7.46 亿元,同比下降 24.80%。收入增速放缓主要是由于部分产品的差异化竞争优势不够明显,创新类产品收入贡献占比较小,同时叠加 2022 年国内宏观经济增速放缓,对公司核心目标客户群体的生产经营产生了一定程度的负面影响,部分客户短期内存在对公司相关产品或服务采购减少、推迟的情形。
随着公司正式发布了 SaaS XDR、SASE 3.0 战略升级版本、政务网络安全托管服务MSS、超融合 HCI 6.8.0 等产品以及公司持续控费(2022 年年报中三费(研发、销售、管理费用)增速放缓至 5.27%左右),在网安与云计算业务双轮驱动下,公司业绩将重回高增长。
4.2. 奇安信
奇安信是行业领先的企业级网络安全产品及服务提供商,公司创建了面向万物互联时代的网络安全协同联动的主动防御体系,并凭借持续的创新研发和以实战攻防为核心的安全能力,已发展成为国内领先的基于安全大数据、人工智能和安全运营技术的网络安全产品及服务提供商。持续为政企客户提供全面的网络安全软/硬件产品以及安全运营与实战化服务。参考 IDC 最新排名,公司数据安全业务在所有网络安全厂商中排名第一。 公司主营业务分为网络安全产品、网络安全服务、硬件及其他,公司 2022 年实现营业总收入 62.23 亿元,同比增长 7.12%;实现归母净利润 5,701.12 万元,同比扭亏为盈,全年首次实现了归母净利润的转正。在业务上,从特权账号管理、动态访问权限控制、云场景 API 安全管理、APP 隐私检测及个人隐私防护以及数据安全态势感知运营方面,公司帮助客户构建“一中心四卫士”的全场景数据安全闭环体系,实现了公司数据安全产品体系的竞争力和市占率快速提升。
公司深入推进“研发能力平台化”战略,已发布的八大研发平台提前结束重投入期阶段。“鲲鹏”、“诺亚”、“雷尔”、“锡安”“川陀”、“大禹”、“玄机”、“千星”,以八大网络安全研发平台为基础核心组件,再配合少量定制化特殊组件,快速研发满足客户定制化需求的网络安全产品和解决方案,大部分安全产品的研发周期将明显缩短,在 2022 年研发平台将快速进入量产阶段。 公司具有强大的研发创新能力,具体到数据安全领域,公司领先起跑并保持高速发展。2022 年 1 月,公司发布了数据卫士套件,包含特权卫士、权限卫士、API 卫士、隐私卫士和数据安全态势感知运营中心,帮助客户构建“一中心四卫士”的数据安全闭环体系,解决不同阶段面临的数据安全迫切问题。在 2022 北京冬奥中,奇安信制定了一套盘清家底、分级分类、精准防护的三大步骤数据安全完整方案,使得整个冬奥期间未发生一起数据泄露事故,兑现了“零事故”承诺。公司的数据安全产品,通过了中国信通院在开展的七大品类的测评认证,成为首家获得全套数据安全产品测评资质证书的网络安全企业。
4.3. 启明星辰
启明星辰是网络安全产业中主力经典产业板块的领军企业,同时也是新兴前沿产业板块的引领企业和可持续健康业务模式和健康产业生态的支柱企业。公司以17 类市场占有率第一的产品以及 10 类处于市场第一阵营的产品为主,成为中国数字化场景中政企客户在网络安全产品、可信安全管理平台、安全运营与服务、安全解决方案的首选提供商。公司发布了数据安全体系“数据绿洲”,基于数据的系统属性、业务属性、经济属性提供全方位的安全技术及管理体系,在推出数据绿洲的一年里,为政企客户的数据安全治理、数据共享安全、数据流转监测、数据开发运维安全、业务访问安全、数据库存储加密等多层次多节点数据场景,提供了涵盖管理体系、运营体系及技术支撑体系的整体数据安全解决方案。
公司 2022 年完成营业收入 44.37 亿元,较上年同期增长 1.16%,归属上市公司股东的净利润 6.26 亿元,较上年同期下滑 27.33%。面对极具挑战的外部环境,以及公司进行新业务布局加大研发投入的背景下,研发费用较上年同期增长 11.00%,但管理费用较上年同期下降 2.94%,销售费用较上年同期增长 5.38%,三费投入合计较上年同期增长 6.75%,销售毛利率达到 62.66%,基本保持稳定。公司在收入侧承压和研发侧重投入的背景下积极降本增效控费,体现出了较强的抗风险能力,保持了业内领先的盈利水平。 背靠中国移动集团,数字经济发展的主力军。2022 年 6 月 17 日启明星辰召开董事会审议通过以向特定对象发行 A 股股票的方式引入中国移动集团战略入股。交易完成后,启明星辰将成为中国移动集团实控的、提供安全能力的专业子公司,是中国移动集团“力量大厦”的重要安全基石,与中国移动集团及 20 余家集团下属公司分别签署了具体和细化的战略合作协议,在安全市场联合拓展、产品服务联合打造、能力体系协同建设、安全前沿协同创新等领域构筑更紧密的合作关系,进一步构建网、云、数、智、安、边、端、链(ABCDNETS)一体化协同的安全防御机制。启明星辰 32 项安全能力纳入中国移动智慧中台,覆盖业务安全、数据安全、终端安全、应用安全、基础安全等领域。首批 8 类安全能力纳入中国移动核心能力及自主产品清单。随着字经济的加速发展,未来公司与中国移动的深化合作以及“数据绿洲”的不断演进,公司将迎来高速发展。
4.4. 安恒信息
公司于 2007 年成立之初便以应用安全和数据安全作为切入点,推出市场首创性产品数据库审计与风险控制系统与 Web 应用防火墙产品,成功进入网络信息安全市场。主营业务为网络信息安全产品的研发、生产及销售,并为客户提供专业的网络信息安全服务。公司的产品及服务涉及应用安全、云安全、大数据安全、物联网安全、智慧城市安全和工业互联网安全等领域。目前公司核心基础安全产品持续多年市场份额位居行业前列。
公司 2022 年营业总收入 19.8 亿元,同比+8.77pct,归母净利润-2.53 亿元。在全国多地疫情持续反复以及宏观经济增速明显放缓的大环境下,公司在数据安全、MSS、信创安全、密码安全等战略新方向的相关订单仍保持高速增长,同时公司的安全服务、云安全、态势感知等保持较好增速,因此公司整体营业收入规模仍保持增长态势。归母净利润的下降主要系公司在数据安全等领域持续保持创新研发及市场拓展投入,且由于公司人员基数较大,公司刚性人工成本仍呈增长趋势,对公司净利润产生一定影响。此外,为吸引人才公司还实施了多期股权激励计划。 公司设立有安全研究院和产品研发中心两大研发机构。安全研究院致力于前沿技术预研、创新业务探索和核心能力积累。研发中心主要由云事业群、AiLPHA 大数据智能安全事业群、物联网+事业群、智慧城市事业群、基础安全事业群等多个子部门组成,除负责公司现有产品的迭代升级研发外,还覆盖云安全、移动安全,智能设备安全、大数据安全、工控安全等多个新兴领域产品的开发。此外,公司数据安全相关产品已覆盖了复杂数据应用的全生命周期、全链路数据安全,形成了较强的核心竞争力,建立了完善的“数盾”品牌,并拿下多个省部级项目。伴随着数字化改革的不断深入,数据安全产业将迎来从量变到质变的过程,未来公司数据安全业务将继续保持高速增长,并成为公司主要增长极。
4.5. 天融信
天融信是上市公司中成立最早的网络安全企业,公司在持续夯实网络安全能力的同时围绕网络安全、数据安全、云计算三大领域,构建全系列产品与服务,在防火墙类产品整体市场中已连续 23 年位居国内市场第一,VPN、IDPS、WAF、网闸、安全管理、零信任、响应和编排软件、终端安全软件、EDR、安全咨询服务、托管安全服务等产品及服务均处于市场领导地位。目前,公司已推出 100 余类产品、1000 多款型号,成为国内自主研发产品品类最全的网络安全企业,形成“一专多强”的网络安全产品技术核心能力。公司加速推进全行业营销布局,在政府、运营商、金融、能源、医疗、教育、交通等重点行业取得进一步突破。
公司 2022 年实现营业总收入 35.43 亿元,同比增加 5.71%,收入增长未达 30%目标的主要原因是政府客户营业收入同比下降 32.89%,归属于上市公司股东的净利润 2.05 亿元,同比减少 10.83%。公司控费效果明显,期间费用总计同比增加 5.16%,远低于前期费用增速。其中公司在新方向上的投入布局基本完成,研发费用增速较前期明显放缓,同比增加 2.23%,较年度控制目标 25%低 22.77 个百分点;销售费用同比增加 12.95%,较年度控制目标 35%低 22.05 个百分点;管理费用同比下降4.48%。
在大数据方面,公司业务覆盖网络安全与数据安全领域,包括大数据分析、态势感知、安全管理、主动防御等产品。报告期内,公司在核心技术研究、先进产品研发与应用实践、安全运营能力构建等方面持续突破,充分运用 AI 技术、用户行为分析(UEBA)、安全响应编排(SOAR)等关键技术在网络安全大数据中的应用,提升大数据安全整体技术水平。截至 2022 年报报告期末,公司大数据产品获得国家科技进步二等奖 1 项、省部级科技进步一等奖 3 项、申请专利 140 余项,参与编写政府、运营商、金融、广电等行业的国家、行业相关标准 10 余项。在云计算方面公 司 发 布 了 多 云 融 合 的 天 融 信 太 行 云 3.0 、 支 持 双 栈 融 合 的 超 融 合3.0、VDI+VOI+WDI 三引擎合一的桌面云 3.0、国产化桌面云产品。 此外,在 AI 网络安全方面, 公司在恶意样本、风险信息、威胁知识、安全情报等方面具有多年的安全数据积累,从 2019 年起,应用 AI 技术,陆续发布了融入AI 技术的防火墙、入侵防御、僵木蠕监测、沙箱、大数据分析、态势感知、EDR、数据防泄漏、智能内网威胁分析等多款创新型产品。基于大模型技术,在恶意样本检测与分析、攻击行为发现与溯源、安全情报推理与生成、自动化漏洞挖掘与评估、智能化安全服务与运营等方向形成了丰富技术成果。
4.6. 美亚柏科
美亚柏科是国内电子数据取证行业龙头企业、公共安全大数据领先企业、网络空间安全与社会治理领域国家队。公司是国投智能的控股子公司,国投集团的重要投资企业,国务院国资委为公司实际控制人。2022 年公司完成向特定对象发行股票并募集资金事项,公司控股股东国投智能直接持股比例由 15.61%提升至 21.08%,公司控股股东仍为国投智能,国务院国资委仍为公司实际控制人。 公司的技术与产品发展战略是持续围绕“产品装备化,大数据智能化”拓展延伸业务,形成一大共性技术基座,四大业务航道,覆盖 6 大产品类目,40 个产品体系,130 多个产品系列。公共安全大数据和电子数据取证是公司的两大基石业务,电子数据取证业务目前在国内市场占有率超过 50%,毛利率超过 60%;公共安全大数据是细分市场的领先者,覆盖全国超 1/3 的省份,产品毛利率约 50%。公司2021 年发布“乾坤”大数据操作系统(QKOS),打造大数据技术共性基座, 使得大数据技术可快速构建、复用,公司大数据研发模式从“项目型”向“产品型”转变。
2022 年公司实现营业总收入 22.8 亿元,较上年同期下降 10.08%;实现归属于上市公司股东的净利润 1.48 亿元,同比下降 52.41%,业绩下降主要系受宏观市场环境影响,客户预算减少及项目延期验收确认等所致。
在新网络空间安全板块,公司围绕“数据安全”全生命周期,打造“一中心两体系”的产品架构。在原有渗透测试、攻防演练、培训服务、赛事支撑的基础上,扩大服务范围,新增了数据安全咨询、等保咨询、风险评估等服务,新开发监测预警、分析研判、应急处置、溯源取证系列课程和企业网络安全能力培训课程。加大数据安全加密、脱敏、终端数据安全防护系统等产品的研发投入,与国投智能联合成立网络安全实验室,发布了数据脱敏、数据加密、零信任、政企安全大脑多款新产品。人工智能方面,公司是工信部科技司认可的 AI 产业创新单位之一,2017 年设立人工智能研发中心,深度开展人工智能技术研究和应用,支撑公司多产品航道智能化水平建设及安全产品研发。公司 AI 产品主要围绕公共安全大数据和电子数据取证业务需求来开展,提出文本智能理解分析、文本观点挖掘、多媒体文件分析、视频图像结构化分析、多模态信息检索、人脸识别等多个核心算法模型,针对视频、图像、文本等非结构化数据分析处理,结合客户的业务需求,应用到公司的大数据分析、电子数据取证类产品、舆情监测和智慧城市等业务和产品方向,目前在计算机视觉、自然语言处理、人工智能安全和人工智能国产化方向都已有相关产品。接下来公司将对各类 AIGC 内容的检测、AI 生成文本的检测技术及产品进行布局。公司也会在利用人工智能进行生成活动中的取证方向,以及人工智能算法模型的安全性和合规性方向,开展相关的业务工作。
4.7. 三未信安
三未信安成立于 2008 年,是商用密码基础设施提供商,成立至今一直专注于密码技术创新和密码产品的研发,布局密码芯片、密码板卡、密码整机、密码系统等全密码产业链。公司产品全面支持国产 SM1、SM2、SM3、SM4、SM7、SM9、ZUC 等密码算法,为各种信息系统提供数据加解密、数字签名等密码运算,并提供安全、完善的密钥管理机制,可实现各种应用场景的国产密码改造和数据安全保障。目前,三未信安有五十多款产品通过了国家商用密码检测机构的检测,获得了商用密码产品认证证书,是商用密码产品种类最齐全的公司之一。根据 Market Research Intellect 2021 年统计,公司在全球密码硬件安全市场中位列第九、国内第三。公司在密码领域布局完善,公司第一款自研密码安全芯片 XS100 已获得商密资质,并于 2022 年 9 月量产,可集成在 PCI-E 密码板卡、密码整机、安全服务器等产品中。密码整机以更集成化的功能提供密码服务,按照不同应用场景,包括服务器密码机、签名验签服务器、数据库加密机、SSL VPN、IPSec VPN 等,服务于各个行业的最终用户,并被众多网络安全厂商和系统集成商集成在解决方案中。
4.8. 吉大正元
吉大正元 1999 年成立,是国家首批商用密码产品生产定点,核心产品“电子证书认证系统” 1999 年通过国家级鉴定,属国内首例。2021 年公司获得“涉密信息系统集成 (甲级)资质证书”(系统集成/软件开发)、“涉密信息系统集成(乙级)资质证书”(系统集成/运行维护),公司已拥有完备的涉密资质证书。公司大力加强军队军工系统、政务系统以及大型央企、国企等企业的安全建设,为广大用户提供基于密码安全、身份与信任、数据安全、物联安全等方面的安全解决方案,推动公司从密码厂商向整体安全解决方案厂商转型。2022 年公司实现抗量子密码算法方面的技术突破,设计数字安全智能中枢系统,聚焦中小企业数据安全产品的研究。公司下游客户以政府为主,其次为金融、军工客户。公司曾为 40 个以上中央国家机关及部委提供信息安全解决方案或服务。2021 年公司成功拓展了国家安全部、国家能源集团公司、贵广电、青岛国创智能家电研究院等部委和央企客户。2022 年,公司成功拓展了中宣部、退役军人事务部等多个重点客户,进一步提升了公司在网络安全行业的认可度,夯实了公司行业地位。在政务市场方面,公司快速推动公安、财政、医保等优势行业的项目落地,并以密评、密改为有力抓手,连续中标多个省市级“政务云”项目,继续扩大市场影响力;在军工军队方面,公司持续加大自主研发投入,实现了多型号项目突破。
4.9. 格尔软件
格尔软件是老牌密码公司,国内最早推出 PKI 平台的厂商。公司主要产品包括PKI 基础设施产品、PKI 安全应用产品和通用安全产品三类。格尔软件是国内领先的 PKI 基础设施建设公司,1998 年成立,是中国最早研制和推出公钥基础设施PKI (Public Key Infrastructure)平台的厂商之一,创立 20 年来专注于以密码技术为基 础的 PKI 基础设施建设及安全应用设计。公司是行业少数同时具有涉密信息系统集成甲级资质和商用密码产品生产、销售资质的企业之一。公司研究开发的PKI 系统主要由数字证书认证系统(CA)、证书注册系统(RA)、密钥管理系统(KM)、目录服务系统(LDAP)及在线证书状态验证系统(OCSP)等核心部分组成。
2022 年公司基于国产软硬件的系列国产化产品已有 28 款、25 个型号,在信创产品入围中保持品类与型号领先,目前产品与解决方案已在党政、国防、金融、政法、运营商以及能源等 20 余个行业实现规模化应用。随着证券期货业的密改深入推进,公司在前期方案设计、产品改进、评审验收等环节的基础上成功拿下试点项目,从而在证券、期货等金融领域,占据先机,陆续签约和服务 20 余家头部、次头部证券公司和 40 余家期货公司,形成了细分行业市场优势。此外,公司还在医疗、教育等领域的信创业务中同样有所突破。