近年來,我國在國家和地方層面不斷出臺信息安全相關(guān)的政策性法規(guī)文件,加強投入的力度,推動產(chǎn)業(yè)發(fā)展。2016-2018年,我國信息安全市場規(guī)模增速維持在20%以上;2018年我國信息安全市場規(guī)模達到495億元,同比增長20.9%,保持快速增長,但仍處于追趕全球第一梯隊的階段。
一、信息安全產(chǎn)業(yè)概述
信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不因偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,信息服務(wù)不中斷等。信息安全主要包括五方面的內(nèi)容,即需保證信息的保密性、真實性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全性。在全球化數(shù)字資源日益完備、互聯(lián)網(wǎng)信息魚龍混雜的背景下,個人信息泄露、企業(yè)和國家機密信息受到威脅等事件頻發(fā),對信息安全產(chǎn)業(yè)發(fā)展提出了新的要求,信息安全產(chǎn)業(yè)因此也上升為國家層面的重要產(chǎn)業(yè)之一。
(一)數(shù)字經(jīng)濟時代來臨,促進信息安全產(chǎn)品呈現(xiàn)多元化發(fā)展
當前,全球已經(jīng)進入第三次技術(shù)革命的深化階段,迎來以大數(shù)據(jù)、云計算、5G通信等多種前沿技術(shù)為代表的數(shù)字經(jīng)濟時代,朝著產(chǎn)業(yè)數(shù)字化、數(shù)字產(chǎn)業(yè)化的方向不斷發(fā)展,帶動數(shù)以ZB級的數(shù)據(jù)量產(chǎn)生。根據(jù)國際權(quán)威機構(gòu)Statistics預(yù)測,預(yù)計2020年全球數(shù)據(jù)量將超過50ZB,加之5G網(wǎng)絡(luò)架構(gòu)更加開放,給信息安全帶來了新一輪的挑戰(zhàn)。
近5年來,全球范圍內(nèi)發(fā)生的大規(guī)模信息安全事件超過15件,涉及軟硬件企業(yè)、政府、金融機構(gòu)等多個領(lǐng)域,信息泄露給用戶造成了巨大損失,也給網(wǎng)絡(luò)攻擊這一地下黑色產(chǎn)業(yè)鏈提供了滋生的土壤。因此,保護用戶隱私,提高信息安全防護等級刻不容緩。
隨著移動互聯(lián)網(wǎng)的不斷普及,信息安全不僅是國家、企業(yè)所重視的領(lǐng)域,個人用戶的信息保護意識也應(yīng)逐步增強。同時,隨著網(wǎng)絡(luò)技術(shù)不斷發(fā)展,信息安全產(chǎn)業(yè)產(chǎn)品形態(tài)不斷豐富,產(chǎn)業(yè)融合和一體化程度也不斷提高。如今,信息安全產(chǎn)品已經(jīng)從傳統(tǒng)而單一的防火墻、VPN、殺毒軟件和風險評估服務(wù)等獨立產(chǎn)品形態(tài)逐漸發(fā)展為綜合性的安全服務(wù)和IT治理、網(wǎng)絡(luò)安全調(diào)查和取證、SCM安全內(nèi)容管理、UTM統(tǒng)一威脅管理和信息安全管理體系建設(shè)等新興領(lǐng)域,帶動相關(guān)硬件、軟件協(xié)同發(fā)展產(chǎn)品體系。從更加廣義的產(chǎn)業(yè)發(fā)展趨勢來看,信息安全產(chǎn)業(yè)最終將拓展到對整個IT生態(tài)鏈和網(wǎng)絡(luò)空間的安全治理。
(二)各國信息安全政策持續(xù)加碼,推動信息安全產(chǎn)業(yè)健康穩(wěn)定發(fā)展
從全球范圍來看,無論是技術(shù)、資金還是人才等方面,美國毫無疑問占據(jù)全球信息安全產(chǎn)業(yè)的龍頭位置。目前,全球主要的信息安全廠商以美國企業(yè)為主,而法國、以色列、英國、丹麥、日本和俄羅斯等國的信息安全實力也不可小覷。
美國:產(chǎn)業(yè)龍頭優(yōu)勢顯著,政策多樣構(gòu)筑堅實體系。美國十分重視信息安全產(chǎn)業(yè)的發(fā)展,作為全球互聯(lián)網(wǎng)發(fā)展最早的國家之一,從財政方面給予了強力的預(yù)算支持。自21世紀以來,美國高度重視信息安全,制定了大量有關(guān)信息安全的國家戰(zhàn)略和法律法規(guī),先后發(fā)布《網(wǎng)絡(luò)安全國家戰(zhàn)略》《網(wǎng)絡(luò)空間安全國際戰(zhàn)略》《網(wǎng)絡(luò)空間安全行動戰(zhàn)略》等重大戰(zhàn)略政策,以及《信息自由法》《總統(tǒng)歸檔法》《反電子盜竊法》《計算機犯罪強制法》等一系列的法律法規(guī),全方位構(gòu)筑起國家信息安全政策體系。為落實《國家網(wǎng)絡(luò)戰(zhàn)略》中“加強聯(lián)邦網(wǎng)絡(luò)和關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全”的要求,美國出臺多項信息安全相關(guān)法案。美國參議院于2018年12月通過《保護能源基礎(chǔ)設(shè)施法案》;眾議院于2019年1月引入《管道和液化天然氣設(shè)施網(wǎng)絡(luò)安全預(yù)備法案》,要求管理和預(yù)算辦公室加大財政投入,以提高美國能源基礎(chǔ)設(shè)施抵御網(wǎng)絡(luò)威脅的能力;2019年2月,美國參議院推出《2019年網(wǎng)絡(luò)安全披露法》;2019年4月,美國國會引入《州網(wǎng)絡(luò)彈性法案》,支持各州擴大網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)采購,并為各州解決網(wǎng)絡(luò)安全問題提供資金支持;2019年4月,美國國會推出《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進法案》;2019年6月,美國眾議院通過《物聯(lián)網(wǎng)設(shè)備安全改進法案》,該法案通過提高政府物聯(lián)網(wǎng)設(shè)備供應(yīng)商的標準,利用政府的購買力來推動物聯(lián)網(wǎng)安全市場的發(fā)展;2019年7月,美國眾議院引入《網(wǎng)絡(luò)安全漏洞修復(fù)法案》;2019年8月,美國參議院引入《網(wǎng)絡(luò)安全診斷和緩解增強法案》等。
歐洲:推動重點領(lǐng)域資源整合,加速國家安全能力提升。近年來,歐盟加大對各成員國信息安全資源的整合力度,以增強整體網(wǎng)絡(luò)安全能力。一是啟動網(wǎng)絡(luò)安全能力建設(shè)計劃。2019年3月,歐盟宣布投資6350萬歐元,匯集26個成員國的160余家大型企業(yè)、創(chuàng)新型中小企業(yè)、高校以及網(wǎng)絡(luò)安全研究機構(gòu),共同構(gòu)建歐洲網(wǎng)絡(luò)安全專業(yè)分析網(wǎng)絡(luò),推動歐盟網(wǎng)絡(luò)安全產(chǎn)業(yè)協(xié)同發(fā)展。該計劃主要包含四方面內(nèi)容:整合歐盟內(nèi)部網(wǎng)絡(luò)安全資源,增強網(wǎng)絡(luò)安全管理能力;形成政府、企業(yè)、研究機構(gòu)等相關(guān)方的網(wǎng)絡(luò)安全評估框架,進行網(wǎng)絡(luò)預(yù)警、案例分析等;面向醫(yī)療、能源、金融、政府等行業(yè)領(lǐng)域,推廣最佳網(wǎng)絡(luò)安全實踐;研究制定歐盟網(wǎng)絡(luò)共同治理框架。二是構(gòu)建通用的網(wǎng)絡(luò)安全認證框架。歐洲議會于2019年3月通過《歐盟網(wǎng)絡(luò)安全法案》,首次明確提出歐盟網(wǎng)絡(luò)安全認證計劃,促進歐盟各成員國銷售的認證產(chǎn)品、流程和服務(wù)滿足統(tǒng)一的網(wǎng)絡(luò)安全標準,為各成員國開發(fā)具有互操作性的網(wǎng)絡(luò)安全產(chǎn)品提供便利。三是組織相關(guān)方開展網(wǎng)絡(luò)安全演習。2019年4月,北約舉行代號為“鎖盾”的網(wǎng)絡(luò)安全實戰(zhàn)演習,組織法國、芬蘭等23個國家的網(wǎng)絡(luò)部隊和大型企業(yè)的1200名網(wǎng)絡(luò)安全專家參與,旨在強化各國在網(wǎng)絡(luò)安全方面合作,提升網(wǎng)絡(luò)安全事件應(yīng)對和應(yīng)急協(xié)同能力。
以色列:完善信息安全防御體系,多角度保障產(chǎn)業(yè)發(fā)展。近年來,以色列相關(guān)部門、知名企業(yè)網(wǎng)絡(luò)系統(tǒng)頻繁遭遇黑客攻擊,對其信息安全造成嚴峻的挑戰(zhàn)。為確保國家和國防信息安全,以色強化國家信息安全防御能力建設(shè)。一是出臺相關(guān)政策措施,以色列在2010年便宣布啟動國家網(wǎng)絡(luò)計劃,旨在對國家網(wǎng)絡(luò)安全問題進行評估,從教育、研發(fā)、體系構(gòu)建、防御措施及機構(gòu)保障等方面就加強網(wǎng)絡(luò)信息安全建設(shè)提出政策建議,并形成《提高國家網(wǎng)絡(luò)空間能力》的政府決議。二是構(gòu)建網(wǎng)絡(luò)信息安全力量。以色列信息安全力量由網(wǎng)絡(luò)安全防御部隊和國家網(wǎng)絡(luò)安全防御機構(gòu)兩部分組成,前者主要工作包括情報搜集、防御作戰(zhàn)、進攻作戰(zhàn)、軟硬件信息安全、通信系統(tǒng)安全等細分領(lǐng)域;后者則由安全局、網(wǎng)絡(luò)防御權(quán)力機構(gòu)以及信息安全權(quán)力機構(gòu)構(gòu)成,主要工作有保護國家基礎(chǔ)設(shè)施信息系統(tǒng)、重要金融資料以及政府網(wǎng)絡(luò)、教育民眾、統(tǒng)計分析等。三是加強信息安全領(lǐng)域研發(fā),建立以色列網(wǎng)絡(luò)實驗中心,用于檢驗和堅定新型網(wǎng)絡(luò)安全技術(shù),以符合未來網(wǎng)絡(luò)化時代的最新的信息安全要求。以色列多層級、多部門聯(lián)合推動信息安全產(chǎn)業(yè)發(fā)展,對我國信息安全產(chǎn)業(yè)的發(fā)展提供具有實質(zhì)性的參考價值。
(三)我國信息安全產(chǎn)業(yè)基礎(chǔ)較為薄弱,仍處于積極追趕階段
與全球發(fā)達國家相比,我國企業(yè)在信息安全投入力度方面存在一定差距,信息安全市場軟件投入占比較低、硬件投入比重較高。參考海外市場的信息安全投入占比,以及我國“十三五”規(guī)劃中的IT投入內(nèi)容,未來我國信息安全產(chǎn)業(yè)還有較大的發(fā)展空間。同時,參考海外較為成熟的信息安全市場投資結(jié)構(gòu),未來軟件服務(wù)將不斷取代硬件成為產(chǎn)業(yè)發(fā)展的主要驅(qū)動力。2016-2018年,我國信息安全市場規(guī)模增速維持在20%以上;2018年我國信息安全市場規(guī)模達到495億元,同比增長20.9%,保持快速增長,但仍處于追趕全球第一梯隊的階段。
我國現(xiàn)階段信息安全市場建設(shè)量距離飽和尚有較大差距。2017年我國信息安全投入占IT總支出的比重僅為1.84%,相比于全球市場的3.74%和美國市場的4.78%,嚴重偏低。根據(jù)規(guī)劃,我國計劃在2020年形成10萬億元規(guī)模的信息技術(shù)行業(yè),信息安全市場存在3-4倍的增長空間。
二、信息安全產(chǎn)業(yè)鏈分析
信息安全產(chǎn)業(yè)鏈主要包括信息安全產(chǎn)品提供商、信息安全服務(wù)提供商以及信息安全系統(tǒng)集成商。產(chǎn)品提供商可以分為硬件、軟件產(chǎn)品以及服務(wù)提供商,一方面直接將產(chǎn)品/服務(wù)通過直銷或分銷的模式銷售給下游客戶;另一方面,可以將產(chǎn)品銷售給信息安全系統(tǒng)集成商。而安全集成服務(wù)提供商則通常通過競標的方式,參與到企業(yè)級用戶大型IT系統(tǒng)的信息安全建設(shè)項目中,為用戶提供產(chǎn)品和服務(wù)。
(一)上游:產(chǎn)品為主,囊括軟硬件等多種品類
從信息安全產(chǎn)業(yè)鏈上游來看,主要由信息安全產(chǎn)品組成,信息安全產(chǎn)品按照大類可分為安全硬件、安全軟件和安全服務(wù)三類,按照小類可分為十二類,囊括上百余種產(chǎn)品。安全硬件可以分為安全應(yīng)用硬件和硬件認證兩個領(lǐng)域,主要產(chǎn)品包括防火墻、VPN網(wǎng)關(guān)、入侵檢測系統(tǒng)、入侵防御系統(tǒng)、統(tǒng)一威脅管理網(wǎng)關(guān)、令牌、指紋識別、虹膜識別等;安全軟件分為安全內(nèi)容與威脅管理、身份管理與訪問控制和安全性與漏洞管理3個領(lǐng)域,主要產(chǎn)品包括防病毒軟件、Web應(yīng)用防火墻、反垃圾郵件系統(tǒng)、數(shù)據(jù)泄露防護系統(tǒng)、數(shù)字證書身份認證系統(tǒng)、身份管理與訪問控制系統(tǒng)、安全評估系統(tǒng)、安全事件管理系統(tǒng)、安全管理平臺等;安全服務(wù)主要包括咨詢、實施、運維和培訓。按照十二個小類來說,信息安全可分為基礎(chǔ)設(shè)施安全類、終端安全、數(shù)據(jù)安全、應(yīng)用安全、身份與訪問管理、云安全、移動安全、網(wǎng)絡(luò)空間安全、業(yè)務(wù)安全、工控安全、安全管理和安全服務(wù)。
信息安全產(chǎn)品的細分程度較高,不同的細分市場領(lǐng)域均有相應(yīng)的專業(yè)廠商,安全廠商主要分為七大類,包括物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、安全管理、移動與虛擬化安全和工控安全。
由于信息安全貫穿整個信息流鏈條,涉及幾乎所有信息設(shè)備與軟件,因此形成較為分散的產(chǎn)業(yè)格局,單個信息安全企業(yè)無法掌握全部的信息安全技術(shù),只能根據(jù)自身的技術(shù)優(yōu)勢和渠道特點進行差異化定位和發(fā)展,選擇部分細分領(lǐng)域參與競爭。
(二)下游:政企比重大,涉及B端領(lǐng)域較為廣泛
從下游客戶分類來看,信息安全下游主要是在政府、電信、金融等領(lǐng)域的應(yīng)用,可以說,只要有信息交換的場景就存在信息安全的問題。從數(shù)據(jù)來看,軍隊、政府部門對信息安全的需求最為旺盛,其次是金融和電信等信息敏感行業(yè),四者的占比分別達到32%、17%、16%和12%。
從用戶類別來看,B端、G端用戶對于信息安全的要求明顯高于C端用戶,由于企業(yè)、金融機構(gòu)、科研院所、軍隊以及政府端對于信息的保密性要求很高,加之敏感信息數(shù)量繁多,因而每年在信息安全方面投入較大。在個人用戶端,信息安全主要表現(xiàn)為網(wǎng)絡(luò)詐騙、電話詐騙等對于個人財產(chǎn)的侵害,偶發(fā)事件較多,且涉及的損失相較B、G端用戶很小,因此對于信息安全投入也較小。隨著密碼學、網(wǎng)絡(luò)安全、法案政策的不斷完善,個人端信息安全已經(jīng)基本實現(xiàn)可控。
(三)產(chǎn)業(yè)政策:政策頻發(fā)保障產(chǎn)業(yè)有序發(fā)展
政策是產(chǎn)業(yè)穩(wěn)定發(fā)展的根本保障,合規(guī)性政策陸續(xù)出臺提升了信息安全產(chǎn)品和服務(wù)的發(fā)展空間。近年來,我國在國家和地方層面不斷出臺信息安全相關(guān)的政策性法規(guī)文件,為產(chǎn)業(yè)發(fā)展保駕護航。
三、信息安全產(chǎn)業(yè)發(fā)展趨勢
(一)軟件服務(wù)將成為產(chǎn)業(yè)增長驅(qū)動力
隨著新型技術(shù)持續(xù)創(chuàng)新和融合,信息安全產(chǎn)業(yè)也會隨之轉(zhuǎn)變。AI+物聯(lián)網(wǎng)、邊緣計算和數(shù)字化結(jié)合使用,提供了高度集成的智能空間;5G網(wǎng)絡(luò)的普及,提出了軟件定義網(wǎng)絡(luò)(SDN)和網(wǎng)絡(luò)功能虛擬化(NFV)新概念;網(wǎng)絡(luò)架構(gòu)更為開放,在軟件層面上的信息犯罪和信息泄露行為風險逐漸增加。網(wǎng)絡(luò)的深化應(yīng)用引發(fā)技術(shù)與模式的變革,推動了信息安全關(guān)鍵技術(shù)的創(chuàng)新,并誘發(fā)新技術(shù)與新應(yīng)用模式的產(chǎn)生,如安全中間件、安全管理與安全監(jiān)控都是未來重點的方向。同時,軟件服務(wù)將逐步替代以往主流的硬件信息安全產(chǎn)品,成為更加系統(tǒng)化、標準化的新系列,為政府、企業(yè)和個人提供更加貼身的定制化功能。
(二)云安全、工控安全等新需求將不斷增加
隨著企業(yè)信息化發(fā)展不斷提速,產(chǎn)業(yè)數(shù)字化、數(shù)字產(chǎn)業(yè)化已經(jīng)成為業(yè)界共識,尤其在工業(yè)和制造業(yè)領(lǐng)域,智能制造、工業(yè)互聯(lián)網(wǎng)、工業(yè)機器人等多種多樣的產(chǎn)品正在加速朝著更加智能化、更加數(shù)字化和標準化的方向發(fā)展。未來,在云計算、大數(shù)據(jù)和工業(yè)互聯(lián)網(wǎng)的成熟模式下,智慧工廠、智慧車間、智慧城市等多種場景應(yīng)運而生,帶來更加龐大的數(shù)據(jù)產(chǎn)出、數(shù)據(jù)傳輸,相關(guān)領(lǐng)域的信息安全需求進一步得到釋放,為產(chǎn)業(yè)提供新的發(fā)展機會。
(三)政府信息安全采購力度有望不斷加大
政府作為國家行政機關(guān),其信息系統(tǒng)安全與國家安全緊密結(jié)合在一起,信息安全的可用性、可控性尤為重要。目前,隨著電子政務(wù)不斷發(fā)展,政府上網(wǎng)已逐步進入加速階段,政務(wù)公開、資源貢獻、網(wǎng)上公文等是政府信息化的必然趨勢,因而將涉及到更多信息安全的問題,也為信息安全產(chǎn)品提供商和系統(tǒng)服務(wù)提供商打開了新的市場空間。從政府層面來看,為了避免敏感信息的泄露,將通過招投標、政企共建等方式進行新一輪的信息安全產(chǎn)品/服務(wù)采購工作,推動信息安全市場和產(chǎn)業(yè)規(guī)模進一步擴大。
四、對信息安全產(chǎn)業(yè)發(fā)展的幾點建議
(一)政府:加強保障措施建設(shè),有利于支撐信息安全產(chǎn)業(yè)發(fā)展
目前,我國信息安全產(chǎn)業(yè)發(fā)展在全球范圍內(nèi)仍處于跟跑態(tài)勢,每年信息安全投入占IT總投入比重與全球產(chǎn)業(yè)成熟的國家相比,仍存在較大的差距。而政策是產(chǎn)業(yè)發(fā)展的根本保障,產(chǎn)業(yè)因政策的加持則會更加快速穩(wěn)健發(fā)展。從政府層面來看,已經(jīng)將信息安全作為重點工作,因此要借助目前電子政務(wù)、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等多場景落地應(yīng)用的機會,不斷出臺信息安全產(chǎn)業(yè)的相關(guān)財政保障、人才吸引、技術(shù)研發(fā)等“產(chǎn)、學、研、用”方面政策措施,支撐信息安全產(chǎn)業(yè)穩(wěn)定發(fā)展,給予中小微信息安全企業(yè)更多的關(guān)注和扶持,實現(xiàn)對領(lǐng)先國家的追趕超越。
(二)企業(yè):加快信用體系建設(shè),適應(yīng)新經(jīng)濟時代信息安全新要求
隨著信息化的不斷發(fā)展,政府對信息資源的依賴程度逐步提高,保護信息安全也成為企業(yè)的重要工作之一。而信用體系的構(gòu)建是企業(yè)發(fā)展信息安全的重要基礎(chǔ)工作。在網(wǎng)絡(luò)和新興技術(shù)不斷發(fā)展的情況下,信用體系不再是簡單的目標構(gòu)建、組織體系構(gòu)建以及管理運行等環(huán)節(jié),更要適應(yīng)新時代新經(jīng)濟形態(tài)下的信息安全體系構(gòu)建,包括技術(shù)的更新和模式的探索,達到規(guī)避信息漏斗風險的目的。
(三)投資機構(gòu):借力科創(chuàng)板,積極尋找潛力標的進行理性投資
信息安全上升為國家戰(zhàn)略,催生出一批企業(yè)如雨后春筍般產(chǎn)生。在大型企業(yè)方面,中國電子、中電科分別入局信息安全領(lǐng)域,力爭占據(jù)早期市場。同時,科創(chuàng)板鳴鑼開市,為中小企業(yè)提供了注入資本的良好機會。未來,我國信息安全市場較為廣闊,發(fā)展空間相對較大,因此投資機構(gòu)可根據(jù)自身情況對賽道潛力企業(yè)進行布局,篩選標的并理性注資。
北大科技園創(chuàng)新研究院依托北京大學強大的科學研究實力,融合北大科技園豐富的科技服務(wù)運營經(jīng)驗與高端專業(yè)人才優(yōu)勢,專注于科技園區(qū)運營、區(qū)域經(jīng)濟發(fā)展及前沿科技領(lǐng)域產(chǎn)業(yè)研究,面向政府與企業(yè)級客戶提供宏觀創(chuàng)新發(fā)展研究、行業(yè)標準制定、創(chuàng)新戰(zhàn)略咨詢及科技產(chǎn)業(yè)發(fā)展跟蹤等具有前瞻性的研究咨詢服務(wù)。
來源:《中國高新技術(shù)產(chǎn)業(yè)導報》
