(溫馨提示:文末有下載方式)
報告綜述:
政策提升合規要求,安全支出不斷提升
信息安全目前主要以被動性需求為主,主動需求較少。信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到了對信息安全領域政策推 動進程,從而提升整體的合規要求。目前世界各國不斷加強信息安全佈局,財政 預算有望持續上升。等保 2.0 從立法層面提升了信息安全的合規要求,我們認為 《國家關鍵信息基礎設施安全保護條例》有望年內出臺,完善網絡基礎設施安全 防護體系,再次提升信息安全領域的合規要求
中美信息安全發展差異顯著,中國市場發展空間巨大
世界各國中中國受網絡攻擊安全損失最為嚴重,每年損失 663 億美元,但中國信 息安全發展水平遠低於美國以及全球平均水平,根據 2016 年 IDC 的數據顯示 IT 安全投入佔比全球平均水平為 3.74%,美國為 4.78% 而中國為 1.84%。對標美國 以及全球 IT安全投入比例,中國網安發展空間巨大。我們認為未來信息和重要 數據保護重要性的提升,有望驅動我國金融、電信、互聯網等領域信息安全防護
IT技術演變,誕生增量市場
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的 變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會誕生增量市場, 往往新技術革新越大時,新的場景經濟價值越大時,信息安全對應增量市場空間 越大。信息安全以結果為導向產生了不同的細分,不同公司關注的市場細分不同, 打造了不同的競爭優勢,形成了多層次信息安全產業,巨頭間與安全廠商的合作 大於競爭。等保2.0 時代,新興領域信息安全投入相對各自產業規模佔比逐年上 升,我們認為雲計算以及工業信息信息安全領域是最為重要的兩個細分,看好該 領域有核心競爭力的企業
期待併購重組實現市場集中度提升,安全服務方向具備長期發展潛力
十三五規劃後兩年,信息安全產業有望提速,2018 年中國國內信息安全市場空間 達到 495.2 億,預計在 2021 年將達到 926.8億,未來3 年複合增速將達到 23%。目 前國內信息安全市場呈碎片化,整體市場呈現“競爭型”,傳統細分市場主要呈 現“寡佔型”競爭,傳統產品細分市場格局穩固,市佔率變動較小,安全服務領 域剛剛起步具備長期發展潛力,短期內整體信息安全市場集中度難以快速上升。 根據海外龍頭髮展經驗,企業通過併購重組實現快速擴張,打造整體解決方案, 積極轉型佈局安全服務。根據國內相關企業收購投資經驗數據比較,我們認為領 軍企業併購意願更強,安全服務領域是長期具備發展潛力的重要方向
報告內容:
一、信息安全產業驅動要素
信息安全目前主要是以被動性需求為主,主動需求較少,信息安全投入與經濟效益直接 關聯不緊密。從信息安全的角度,對於普通的軟硬件往往有如下屬性:
1)信息不對稱難以消除。對於軟硬件產品,普通用戶很難對一個軟硬件的安全性進行檢 驗,所以較難對產品安全性願意支出更高的價格
2)責任主體不明。產品漏洞產生嚴重後果時,市場中因為對於廠商、使用者如何承擔明 確的責任是沒有明確的共識
信息安全產品主要起防禦性的作用,合規性提升對信息安全要求防禦的等級和程度。短 期內信息安全的被動需求需要通過立法以及提高合規要求來拉動實現,我們認為通過立法加強 合規的要求,需要立法者不斷提升信息安全的重要性,這種改變在現實中往往需要信息安全事 件(負面)的衝擊。長期數據安全敏感的領域如金融、電信、醫療等,一旦信息洩露造成巨大 損失,是未來拉動信息安全的主力行業。
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會催生新的增量市場,往往新技術革新 越大時,新的場景經濟價值越大時,信息安全對應的增量市場空間越大。
二、合規驅動:政策提高合規要求,安全支出不斷提升
信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到對信息 安全領域政策立法進程,以及整體的合規要求。世界各國不斷加強信息安全投入,財政預算 有望持續上升。我國受網絡攻擊安全損失最為嚴重,但信息安全發展水平遠低於美國以及全 球平均水平,未來信息和重要數據保護重要性的提升,有望驅動我國金融、電信、醫療等領 域信息安全防護。
(一)安全事件促進立法合規,網絡安全已升至各國國家戰略高度
信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到了對信 息安全領域政策立法進程。本質上軟硬件在線服務的漏洞無法根除,更多漏洞直到被利用、 引發實質性的網絡攻擊才為公眾所知曉。從美國信息安全相關法律立法進程來看,當有重大安 全事件發生時,新聞媒體對事件的報道不斷改變人們對信息安全的認知,進而推進相關法律的 設立。
網絡安全已經上升到國家戰略高度,財政預算有望持續上升。各國通過立法以及關注保 護關鍵信息基礎設施等方式加強在網絡安全佈局,美國在網絡安全領域的投入和佈局是最全面 力度最大的,不斷增加網絡安全財政預算,維持增加美國在網絡安全的領先優勢。我們認為網 絡安全地位不斷提升是世界各國關注的重點和趨勢,相關財政預算有望持續上升,加速相關立 法的推進,同時完善信息安全具體合規性的落地。2017-2019 年美國聯邦政府信息安全支出總 額以及比例持續上升,特別是在 2020 年美國聯邦政府財政預算中計劃 IT 支出比 19 年有所下 降的情況下,信息安全計劃支出佔比上升到20%,達到 17435 億美元。
(溫馨提示:文末有下載方式)
報告綜述:
政策提升合規要求,安全支出不斷提升
信息安全目前主要以被動性需求為主,主動需求較少。信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到了對信息安全領域政策推 動進程,從而提升整體的合規要求。目前世界各國不斷加強信息安全佈局,財政 預算有望持續上升。等保 2.0 從立法層面提升了信息安全的合規要求,我們認為 《國家關鍵信息基礎設施安全保護條例》有望年內出臺,完善網絡基礎設施安全 防護體系,再次提升信息安全領域的合規要求
中美信息安全發展差異顯著,中國市場發展空間巨大
世界各國中中國受網絡攻擊安全損失最為嚴重,每年損失 663 億美元,但中國信 息安全發展水平遠低於美國以及全球平均水平,根據 2016 年 IDC 的數據顯示 IT 安全投入佔比全球平均水平為 3.74%,美國為 4.78% 而中國為 1.84%。對標美國 以及全球 IT安全投入比例,中國網安發展空間巨大。我們認為未來信息和重要 數據保護重要性的提升,有望驅動我國金融、電信、互聯網等領域信息安全防護
IT技術演變,誕生增量市場
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的 變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會誕生增量市場, 往往新技術革新越大時,新的場景經濟價值越大時,信息安全對應增量市場空間 越大。信息安全以結果為導向產生了不同的細分,不同公司關注的市場細分不同, 打造了不同的競爭優勢,形成了多層次信息安全產業,巨頭間與安全廠商的合作 大於競爭。等保2.0 時代,新興領域信息安全投入相對各自產業規模佔比逐年上 升,我們認為雲計算以及工業信息信息安全領域是最為重要的兩個細分,看好該 領域有核心競爭力的企業
期待併購重組實現市場集中度提升,安全服務方向具備長期發展潛力
十三五規劃後兩年,信息安全產業有望提速,2018 年中國國內信息安全市場空間 達到 495.2 億,預計在 2021 年將達到 926.8億,未來3 年複合增速將達到 23%。目 前國內信息安全市場呈碎片化,整體市場呈現“競爭型”,傳統細分市場主要呈 現“寡佔型”競爭,傳統產品細分市場格局穩固,市佔率變動較小,安全服務領 域剛剛起步具備長期發展潛力,短期內整體信息安全市場集中度難以快速上升。 根據海外龍頭髮展經驗,企業通過併購重組實現快速擴張,打造整體解決方案, 積極轉型佈局安全服務。根據國內相關企業收購投資經驗數據比較,我們認為領 軍企業併購意願更強,安全服務領域是長期具備發展潛力的重要方向
報告內容:
一、信息安全產業驅動要素
信息安全目前主要是以被動性需求為主,主動需求較少,信息安全投入與經濟效益直接 關聯不緊密。從信息安全的角度,對於普通的軟硬件往往有如下屬性:
1)信息不對稱難以消除。對於軟硬件產品,普通用戶很難對一個軟硬件的安全性進行檢 驗,所以較難對產品安全性願意支出更高的價格
2)責任主體不明。產品漏洞產生嚴重後果時,市場中因為對於廠商、使用者如何承擔明 確的責任是沒有明確的共識
信息安全產品主要起防禦性的作用,合規性提升對信息安全要求防禦的等級和程度。短 期內信息安全的被動需求需要通過立法以及提高合規要求來拉動實現,我們認為通過立法加強 合規的要求,需要立法者不斷提升信息安全的重要性,這種改變在現實中往往需要信息安全事 件(負面)的衝擊。長期數據安全敏感的領域如金融、電信、醫療等,一旦信息洩露造成巨大 損失,是未來拉動信息安全的主力行業。
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會催生新的增量市場,往往新技術革新 越大時,新的場景經濟價值越大時,信息安全對應的增量市場空間越大。
二、合規驅動:政策提高合規要求,安全支出不斷提升
信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到對信息 安全領域政策立法進程,以及整體的合規要求。世界各國不斷加強信息安全投入,財政預算 有望持續上升。我國受網絡攻擊安全損失最為嚴重,但信息安全發展水平遠低於美國以及全 球平均水平,未來信息和重要數據保護重要性的提升,有望驅動我國金融、電信、醫療等領 域信息安全防護。
(一)安全事件促進立法合規,網絡安全已升至各國國家戰略高度
信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到了對信 息安全領域政策立法進程。本質上軟硬件在線服務的漏洞無法根除,更多漏洞直到被利用、 引發實質性的網絡攻擊才為公眾所知曉。從美國信息安全相關法律立法進程來看,當有重大安 全事件發生時,新聞媒體對事件的報道不斷改變人們對信息安全的認知,進而推進相關法律的 設立。
網絡安全已經上升到國家戰略高度,財政預算有望持續上升。各國通過立法以及關注保 護關鍵信息基礎設施等方式加強在網絡安全佈局,美國在網絡安全領域的投入和佈局是最全面 力度最大的,不斷增加網絡安全財政預算,維持增加美國在網絡安全的領先優勢。我們認為網 絡安全地位不斷提升是世界各國關注的重點和趨勢,相關財政預算有望持續上升,加速相關立 法的推進,同時完善信息安全具體合規性的落地。2017-2019 年美國聯邦政府信息安全支出總 額以及比例持續上升,特別是在 2020 年美國聯邦政府財政預算中計劃 IT 支出比 19 年有所下 降的情況下,信息安全計劃支出佔比上升到20%,達到 17435 億美元。
(溫馨提示:文末有下載方式)
報告綜述:
政策提升合規要求,安全支出不斷提升
信息安全目前主要以被動性需求為主,主動需求較少。信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到了對信息安全領域政策推 動進程,從而提升整體的合規要求。目前世界各國不斷加強信息安全佈局,財政 預算有望持續上升。等保 2.0 從立法層面提升了信息安全的合規要求,我們認為 《國家關鍵信息基礎設施安全保護條例》有望年內出臺,完善網絡基礎設施安全 防護體系,再次提升信息安全領域的合規要求
中美信息安全發展差異顯著,中國市場發展空間巨大
世界各國中中國受網絡攻擊安全損失最為嚴重,每年損失 663 億美元,但中國信 息安全發展水平遠低於美國以及全球平均水平,根據 2016 年 IDC 的數據顯示 IT 安全投入佔比全球平均水平為 3.74%,美國為 4.78% 而中國為 1.84%。對標美國 以及全球 IT安全投入比例,中國網安發展空間巨大。我們認為未來信息和重要 數據保護重要性的提升,有望驅動我國金融、電信、互聯網等領域信息安全防護
IT技術演變,誕生增量市場
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的 變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會誕生增量市場, 往往新技術革新越大時,新的場景經濟價值越大時,信息安全對應增量市場空間 越大。信息安全以結果為導向產生了不同的細分,不同公司關注的市場細分不同, 打造了不同的競爭優勢,形成了多層次信息安全產業,巨頭間與安全廠商的合作 大於競爭。等保2.0 時代,新興領域信息安全投入相對各自產業規模佔比逐年上 升,我們認為雲計算以及工業信息信息安全領域是最為重要的兩個細分,看好該 領域有核心競爭力的企業
期待併購重組實現市場集中度提升,安全服務方向具備長期發展潛力
十三五規劃後兩年,信息安全產業有望提速,2018 年中國國內信息安全市場空間 達到 495.2 億,預計在 2021 年將達到 926.8億,未來3 年複合增速將達到 23%。目 前國內信息安全市場呈碎片化,整體市場呈現“競爭型”,傳統細分市場主要呈 現“寡佔型”競爭,傳統產品細分市場格局穩固,市佔率變動較小,安全服務領 域剛剛起步具備長期發展潛力,短期內整體信息安全市場集中度難以快速上升。 根據海外龍頭髮展經驗,企業通過併購重組實現快速擴張,打造整體解決方案, 積極轉型佈局安全服務。根據國內相關企業收購投資經驗數據比較,我們認為領 軍企業併購意願更強,安全服務領域是長期具備發展潛力的重要方向
報告內容:
一、信息安全產業驅動要素
信息安全目前主要是以被動性需求為主,主動需求較少,信息安全投入與經濟效益直接 關聯不緊密。從信息安全的角度,對於普通的軟硬件往往有如下屬性:
1)信息不對稱難以消除。對於軟硬件產品,普通用戶很難對一個軟硬件的安全性進行檢 驗,所以較難對產品安全性願意支出更高的價格
2)責任主體不明。產品漏洞產生嚴重後果時,市場中因為對於廠商、使用者如何承擔明 確的責任是沒有明確的共識
信息安全產品主要起防禦性的作用,合規性提升對信息安全要求防禦的等級和程度。短 期內信息安全的被動需求需要通過立法以及提高合規要求來拉動實現,我們認為通過立法加強 合規的要求,需要立法者不斷提升信息安全的重要性,這種改變在現實中往往需要信息安全事 件(負面)的衝擊。長期數據安全敏感的領域如金融、電信、醫療等,一旦信息洩露造成巨大 損失,是未來拉動信息安全的主力行業。
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會催生新的增量市場,往往新技術革新 越大時,新的場景經濟價值越大時,信息安全對應的增量市場空間越大。
二、合規驅動:政策提高合規要求,安全支出不斷提升
信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到對信息 安全領域政策立法進程,以及整體的合規要求。世界各國不斷加強信息安全投入,財政預算 有望持續上升。我國受網絡攻擊安全損失最為嚴重,但信息安全發展水平遠低於美國以及全 球平均水平,未來信息和重要數據保護重要性的提升,有望驅動我國金融、電信、醫療等領 域信息安全防護。
(一)安全事件促進立法合規,網絡安全已升至各國國家戰略高度
信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到了對信 息安全領域政策立法進程。本質上軟硬件在線服務的漏洞無法根除,更多漏洞直到被利用、 引發實質性的網絡攻擊才為公眾所知曉。從美國信息安全相關法律立法進程來看,當有重大安 全事件發生時,新聞媒體對事件的報道不斷改變人們對信息安全的認知,進而推進相關法律的 設立。
網絡安全已經上升到國家戰略高度,財政預算有望持續上升。各國通過立法以及關注保 護關鍵信息基礎設施等方式加強在網絡安全佈局,美國在網絡安全領域的投入和佈局是最全面 力度最大的,不斷增加網絡安全財政預算,維持增加美國在網絡安全的領先優勢。我們認為網 絡安全地位不斷提升是世界各國關注的重點和趨勢,相關財政預算有望持續上升,加速相關立 法的推進,同時完善信息安全具體合規性的落地。2017-2019 年美國聯邦政府信息安全支出總 額以及比例持續上升,特別是在 2020 年美國聯邦政府財政預算中計劃 IT 支出比 19 年有所下 降的情況下,信息安全計劃支出佔比上升到20%,達到 17435 億美元。
(二)政策提升信息安全合規要求,合規支出佔比不斷提升
1、政策實現責任實質化,支出佔比不斷提升
美國通過立法逐步提高信息安全的合規要求。2002 年美國《聯邦信息安全管理法案》 (FISMA)的頒佈將合規性進一步落地,要求各聯邦機構制定並實施適用於本機構的信息安 全計劃,以保障聯邦信息和信息系統安全。
1)以法律的形式明確了聯邦機構職責,法律責任實質化。
2)明確監督檢查措施,對違法行為進行強制問責。
3)適用於機構、承包商及其他組織所使用的信息和信息系統,比以前的安全法律更廣泛 的適用性。
FISMA 法案適用於機構、承包商及其他組織所使用的信息和信息系統,面對FISMA 的合 規要求,要求多數的(國家安全部門除外)聯邦政府部門按照標準中的規定進行執行,同時各 個聯邦機構及其下屬機構都要依照FISMA 的考核指標體系向 OMB 彙報安全建設與運營情況, 並接受國會的質詢,以及美國政府問責署的審計。特別是《2009 網絡安全法》的頒佈後提升 了整個美國聯邦政府的合規支出,2012 年佔比曾提升到了近 20%。
2、等保 2.0 下合規要求更加嚴格,《國家關鍵信息基礎設施安全保護條例》有望年內出臺
等保 2.0 帶來增量市場。5 月 13 日國家市場監督管理總局正式發佈《信息安全技術網絡信息安全等級保護基本要求》國家標準, 將於 2019 年 12 月 1 日正式實施, 標誌著“等保 2.0” 時代正式到來。我們認為等保 2.0 的正式發佈將從以下幾個方面對信息安全產業帶來增量市場: 1)保護對象有擴展 2)被動防禦變主動防禦 3)合規性要求更加嚴格。
等保 2.0法律依據的效力位階提高,合規更加嚴格, 法律責任實質化。等保 1.0 其制定的主要法律依據《計算機信息系統安全保護條例》為行政法規;而等保 2.0 的核心法律依據中的 《網絡安全法》屬於法律,特別是《網絡安全等級保護條例》屬於由公安部會同其他有關部門 起草的行政法規,與《管理辦法》相比明顯提升。等保 2.0 對法律責任條款大大增強。文件中 從“違反安全保護義務”、“違反技術維護要求”、“違反數據安全和個人信息保護要求”、“違反網絡安全服務責任”等共八個方面對網絡安全等級保護涉及的法律責任進行了詳細規定。
《國家關鍵信息基礎設施安全保護條例》有望年內出臺,完善網絡基礎設施安全防護體 系。等保 2.0 從立法層面提升了信息安全的合規要求,明確了整體信息安全防禦標準綱領,新 增的領域細分有望陸續出臺相應的政策合規指導以及相關的安全產業發展規劃。在 2019 C3 安全峰會上,公安部網絡安全保衛局總工郭啟全指出《國家關鍵信息基礎設施安全保護條例》 有望年內出臺,條例將為關鍵信息基礎設施保護提供強大的支撐和保障,完善網絡基礎設施安 全防護體系。
(三)中美信息安全發展差異顯著,中國市場發展空間巨大
中國受網絡攻擊安全損失最為嚴重,但信息安全發展水平遠低於美國以及全球平均水平。中國是全球國家中受損失最大的國家,2017 年網絡攻擊造成的安全損失達到 663 億美元。但 在信息安全投入相對 IT 佔比低於世界平均水平,根據 2016 年 IDC 的數據顯示 IT 安全投入佔 比全球平均水平為 3.74%,美國為 4.78% 而中國為 1.84%。對標美國以及全球 IT 安全投入比 例,中國信息安全發展空間巨大。
信息和重要數據保護有望驅動我國金融、電信、互聯網等領域信息安全防護。我國信息 安全最大的下游需求來自於政府(28%),其次是電信(17%)和金融(15%),美國客戶結 構與中國有所不同,信息安全產業結構主要是金融業(26%)、IT 行業(13%)以及政府(14%)。 我們認為對個人信息和重要數據保護越敏感的行業,除了從合規性的角度來部署信息安全防護 以外,會有更強烈的主動需求來增加對信息安全的投入。未來中國在金融、醫療等重要數據敏 感領域有望持續擴大信息安全投入。
中國的安全服務市場處於早期成長階段,市場短期內仍以 IT 硬件為主。中國信息安全市 場相對美國市場,IT 硬件佔比較高達到 48.1%,安全服務比例較低主要是使用外部的安全服 務可能會使提供商接觸到一些企業敏感信息,與中國某些合規要求不符,而美國主要以安全服 務為主,佔比達到了 64.4%。中國的安全服務市場整體還處於早期成長階段,中國各信息安全 廠商主要向市場提供諸如安全設計、安全評估、安全運維和安全技術研發等方面的安全服務,IT 安全硬件市場在未來短期內仍將是 IT 安全市場中佔比最大的市場。
(溫馨提示:文末有下載方式)
報告綜述:
政策提升合規要求,安全支出不斷提升
信息安全目前主要以被動性需求為主,主動需求較少。信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到了對信息安全領域政策推 動進程,從而提升整體的合規要求。目前世界各國不斷加強信息安全佈局,財政 預算有望持續上升。等保 2.0 從立法層面提升了信息安全的合規要求,我們認為 《國家關鍵信息基礎設施安全保護條例》有望年內出臺,完善網絡基礎設施安全 防護體系,再次提升信息安全領域的合規要求
中美信息安全發展差異顯著,中國市場發展空間巨大
世界各國中中國受網絡攻擊安全損失最為嚴重,每年損失 663 億美元,但中國信 息安全發展水平遠低於美國以及全球平均水平,根據 2016 年 IDC 的數據顯示 IT 安全投入佔比全球平均水平為 3.74%,美國為 4.78% 而中國為 1.84%。對標美國 以及全球 IT安全投入比例,中國網安發展空間巨大。我們認為未來信息和重要 數據保護重要性的提升,有望驅動我國金融、電信、互聯網等領域信息安全防護
IT技術演變,誕生增量市場
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的 變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會誕生增量市場, 往往新技術革新越大時,新的場景經濟價值越大時,信息安全對應增量市場空間 越大。信息安全以結果為導向產生了不同的細分,不同公司關注的市場細分不同, 打造了不同的競爭優勢,形成了多層次信息安全產業,巨頭間與安全廠商的合作 大於競爭。等保2.0 時代,新興領域信息安全投入相對各自產業規模佔比逐年上 升,我們認為雲計算以及工業信息信息安全領域是最為重要的兩個細分,看好該 領域有核心競爭力的企業
期待併購重組實現市場集中度提升,安全服務方向具備長期發展潛力
十三五規劃後兩年,信息安全產業有望提速,2018 年中國國內信息安全市場空間 達到 495.2 億,預計在 2021 年將達到 926.8億,未來3 年複合增速將達到 23%。目 前國內信息安全市場呈碎片化,整體市場呈現“競爭型”,傳統細分市場主要呈 現“寡佔型”競爭,傳統產品細分市場格局穩固,市佔率變動較小,安全服務領 域剛剛起步具備長期發展潛力,短期內整體信息安全市場集中度難以快速上升。 根據海外龍頭髮展經驗,企業通過併購重組實現快速擴張,打造整體解決方案, 積極轉型佈局安全服務。根據國內相關企業收購投資經驗數據比較,我們認為領 軍企業併購意願更強,安全服務領域是長期具備發展潛力的重要方向
報告內容:
一、信息安全產業驅動要素
信息安全目前主要是以被動性需求為主,主動需求較少,信息安全投入與經濟效益直接 關聯不緊密。從信息安全的角度,對於普通的軟硬件往往有如下屬性:
1)信息不對稱難以消除。對於軟硬件產品,普通用戶很難對一個軟硬件的安全性進行檢 驗,所以較難對產品安全性願意支出更高的價格
2)責任主體不明。產品漏洞產生嚴重後果時,市場中因為對於廠商、使用者如何承擔明 確的責任是沒有明確的共識
信息安全產品主要起防禦性的作用,合規性提升對信息安全要求防禦的等級和程度。短 期內信息安全的被動需求需要通過立法以及提高合規要求來拉動實現,我們認為通過立法加強 合規的要求,需要立法者不斷提升信息安全的重要性,這種改變在現實中往往需要信息安全事 件(負面)的衝擊。長期數據安全敏感的領域如金融、電信、醫療等,一旦信息洩露造成巨大 損失,是未來拉動信息安全的主力行業。
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會催生新的增量市場,往往新技術革新 越大時,新的場景經濟價值越大時,信息安全對應的增量市場空間越大。
二、合規驅動:政策提高合規要求,安全支出不斷提升
信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到對信息 安全領域政策立法進程,以及整體的合規要求。世界各國不斷加強信息安全投入,財政預算 有望持續上升。我國受網絡攻擊安全損失最為嚴重,但信息安全發展水平遠低於美國以及全 球平均水平,未來信息和重要數據保護重要性的提升,有望驅動我國金融、電信、醫療等領 域信息安全防護。
(一)安全事件促進立法合規,網絡安全已升至各國國家戰略高度
信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到了對信 息安全領域政策立法進程。本質上軟硬件在線服務的漏洞無法根除,更多漏洞直到被利用、 引發實質性的網絡攻擊才為公眾所知曉。從美國信息安全相關法律立法進程來看,當有重大安 全事件發生時,新聞媒體對事件的報道不斷改變人們對信息安全的認知,進而推進相關法律的 設立。
網絡安全已經上升到國家戰略高度,財政預算有望持續上升。各國通過立法以及關注保 護關鍵信息基礎設施等方式加強在網絡安全佈局,美國在網絡安全領域的投入和佈局是最全面 力度最大的,不斷增加網絡安全財政預算,維持增加美國在網絡安全的領先優勢。我們認為網 絡安全地位不斷提升是世界各國關注的重點和趨勢,相關財政預算有望持續上升,加速相關立 法的推進,同時完善信息安全具體合規性的落地。2017-2019 年美國聯邦政府信息安全支出總 額以及比例持續上升,特別是在 2020 年美國聯邦政府財政預算中計劃 IT 支出比 19 年有所下 降的情況下,信息安全計劃支出佔比上升到20%,達到 17435 億美元。
(二)政策提升信息安全合規要求,合規支出佔比不斷提升
1、政策實現責任實質化,支出佔比不斷提升
美國通過立法逐步提高信息安全的合規要求。2002 年美國《聯邦信息安全管理法案》 (FISMA)的頒佈將合規性進一步落地,要求各聯邦機構制定並實施適用於本機構的信息安 全計劃,以保障聯邦信息和信息系統安全。
1)以法律的形式明確了聯邦機構職責,法律責任實質化。
2)明確監督檢查措施,對違法行為進行強制問責。
3)適用於機構、承包商及其他組織所使用的信息和信息系統,比以前的安全法律更廣泛 的適用性。
FISMA 法案適用於機構、承包商及其他組織所使用的信息和信息系統,面對FISMA 的合 規要求,要求多數的(國家安全部門除外)聯邦政府部門按照標準中的規定進行執行,同時各 個聯邦機構及其下屬機構都要依照FISMA 的考核指標體系向 OMB 彙報安全建設與運營情況, 並接受國會的質詢,以及美國政府問責署的審計。特別是《2009 網絡安全法》的頒佈後提升 了整個美國聯邦政府的合規支出,2012 年佔比曾提升到了近 20%。
2、等保 2.0 下合規要求更加嚴格,《國家關鍵信息基礎設施安全保護條例》有望年內出臺
等保 2.0 帶來增量市場。5 月 13 日國家市場監督管理總局正式發佈《信息安全技術網絡信息安全等級保護基本要求》國家標準, 將於 2019 年 12 月 1 日正式實施, 標誌著“等保 2.0” 時代正式到來。我們認為等保 2.0 的正式發佈將從以下幾個方面對信息安全產業帶來增量市場: 1)保護對象有擴展 2)被動防禦變主動防禦 3)合規性要求更加嚴格。
等保 2.0法律依據的效力位階提高,合規更加嚴格, 法律責任實質化。等保 1.0 其制定的主要法律依據《計算機信息系統安全保護條例》為行政法規;而等保 2.0 的核心法律依據中的 《網絡安全法》屬於法律,特別是《網絡安全等級保護條例》屬於由公安部會同其他有關部門 起草的行政法規,與《管理辦法》相比明顯提升。等保 2.0 對法律責任條款大大增強。文件中 從“違反安全保護義務”、“違反技術維護要求”、“違反數據安全和個人信息保護要求”、“違反網絡安全服務責任”等共八個方面對網絡安全等級保護涉及的法律責任進行了詳細規定。
《國家關鍵信息基礎設施安全保護條例》有望年內出臺,完善網絡基礎設施安全防護體 系。等保 2.0 從立法層面提升了信息安全的合規要求,明確了整體信息安全防禦標準綱領,新 增的領域細分有望陸續出臺相應的政策合規指導以及相關的安全產業發展規劃。在 2019 C3 安全峰會上,公安部網絡安全保衛局總工郭啟全指出《國家關鍵信息基礎設施安全保護條例》 有望年內出臺,條例將為關鍵信息基礎設施保護提供強大的支撐和保障,完善網絡基礎設施安 全防護體系。
(三)中美信息安全發展差異顯著,中國市場發展空間巨大
中國受網絡攻擊安全損失最為嚴重,但信息安全發展水平遠低於美國以及全球平均水平。中國是全球國家中受損失最大的國家,2017 年網絡攻擊造成的安全損失達到 663 億美元。但 在信息安全投入相對 IT 佔比低於世界平均水平,根據 2016 年 IDC 的數據顯示 IT 安全投入佔 比全球平均水平為 3.74%,美國為 4.78% 而中國為 1.84%。對標美國以及全球 IT 安全投入比 例,中國信息安全發展空間巨大。
信息和重要數據保護有望驅動我國金融、電信、互聯網等領域信息安全防護。我國信息 安全最大的下游需求來自於政府(28%),其次是電信(17%)和金融(15%),美國客戶結 構與中國有所不同,信息安全產業結構主要是金融業(26%)、IT 行業(13%)以及政府(14%)。 我們認為對個人信息和重要數據保護越敏感的行業,除了從合規性的角度來部署信息安全防護 以外,會有更強烈的主動需求來增加對信息安全的投入。未來中國在金融、醫療等重要數據敏 感領域有望持續擴大信息安全投入。
中國的安全服務市場處於早期成長階段,市場短期內仍以 IT 硬件為主。中國信息安全市 場相對美國市場,IT 硬件佔比較高達到 48.1%,安全服務比例較低主要是使用外部的安全服 務可能會使提供商接觸到一些企業敏感信息,與中國某些合規要求不符,而美國主要以安全服 務為主,佔比達到了 64.4%。中國的安全服務市場整體還處於早期成長階段,中國各信息安全 廠商主要向市場提供諸如安全設計、安全評估、安全運維和安全技術研發等方面的安全服務,IT 安全硬件市場在未來短期內仍將是 IT 安全市場中佔比最大的市場。
(溫馨提示:文末有下載方式)
報告綜述:
政策提升合規要求,安全支出不斷提升
信息安全目前主要以被動性需求為主,主動需求較少。信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到了對信息安全領域政策推 動進程,從而提升整體的合規要求。目前世界各國不斷加強信息安全佈局,財政 預算有望持續上升。等保 2.0 從立法層面提升了信息安全的合規要求,我們認為 《國家關鍵信息基礎設施安全保護條例》有望年內出臺,完善網絡基礎設施安全 防護體系,再次提升信息安全領域的合規要求
中美信息安全發展差異顯著,中國市場發展空間巨大
世界各國中中國受網絡攻擊安全損失最為嚴重,每年損失 663 億美元,但中國信 息安全發展水平遠低於美國以及全球平均水平,根據 2016 年 IDC 的數據顯示 IT 安全投入佔比全球平均水平為 3.74%,美國為 4.78% 而中國為 1.84%。對標美國 以及全球 IT安全投入比例,中國網安發展空間巨大。我們認為未來信息和重要 數據保護重要性的提升,有望驅動我國金融、電信、互聯網等領域信息安全防護
IT技術演變,誕生增量市場
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的 變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會誕生增量市場, 往往新技術革新越大時,新的場景經濟價值越大時,信息安全對應增量市場空間 越大。信息安全以結果為導向產生了不同的細分,不同公司關注的市場細分不同, 打造了不同的競爭優勢,形成了多層次信息安全產業,巨頭間與安全廠商的合作 大於競爭。等保2.0 時代,新興領域信息安全投入相對各自產業規模佔比逐年上 升,我們認為雲計算以及工業信息信息安全領域是最為重要的兩個細分,看好該 領域有核心競爭力的企業
期待併購重組實現市場集中度提升,安全服務方向具備長期發展潛力
十三五規劃後兩年,信息安全產業有望提速,2018 年中國國內信息安全市場空間 達到 495.2 億,預計在 2021 年將達到 926.8億,未來3 年複合增速將達到 23%。目 前國內信息安全市場呈碎片化,整體市場呈現“競爭型”,傳統細分市場主要呈 現“寡佔型”競爭,傳統產品細分市場格局穩固,市佔率變動較小,安全服務領 域剛剛起步具備長期發展潛力,短期內整體信息安全市場集中度難以快速上升。 根據海外龍頭髮展經驗,企業通過併購重組實現快速擴張,打造整體解決方案, 積極轉型佈局安全服務。根據國內相關企業收購投資經驗數據比較,我們認為領 軍企業併購意願更強,安全服務領域是長期具備發展潛力的重要方向
報告內容:
一、信息安全產業驅動要素
信息安全目前主要是以被動性需求為主,主動需求較少,信息安全投入與經濟效益直接 關聯不緊密。從信息安全的角度,對於普通的軟硬件往往有如下屬性:
1)信息不對稱難以消除。對於軟硬件產品,普通用戶很難對一個軟硬件的安全性進行檢 驗,所以較難對產品安全性願意支出更高的價格
2)責任主體不明。產品漏洞產生嚴重後果時,市場中因為對於廠商、使用者如何承擔明 確的責任是沒有明確的共識
信息安全產品主要起防禦性的作用,合規性提升對信息安全要求防禦的等級和程度。短 期內信息安全的被動需求需要通過立法以及提高合規要求來拉動實現,我們認為通過立法加強 合規的要求,需要立法者不斷提升信息安全的重要性,這種改變在現實中往往需要信息安全事 件(負面)的衝擊。長期數據安全敏感的領域如金融、電信、醫療等,一旦信息洩露造成巨大 損失,是未來拉動信息安全的主力行業。
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會催生新的增量市場,往往新技術革新 越大時,新的場景經濟價值越大時,信息安全對應的增量市場空間越大。
二、合規驅動:政策提高合規要求,安全支出不斷提升
信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到對信息 安全領域政策立法進程,以及整體的合規要求。世界各國不斷加強信息安全投入,財政預算 有望持續上升。我國受網絡攻擊安全損失最為嚴重,但信息安全發展水平遠低於美國以及全 球平均水平,未來信息和重要數據保護重要性的提升,有望驅動我國金融、電信、醫療等領 域信息安全防護。
(一)安全事件促進立法合規,網絡安全已升至各國國家戰略高度
信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到了對信 息安全領域政策立法進程。本質上軟硬件在線服務的漏洞無法根除,更多漏洞直到被利用、 引發實質性的網絡攻擊才為公眾所知曉。從美國信息安全相關法律立法進程來看,當有重大安 全事件發生時,新聞媒體對事件的報道不斷改變人們對信息安全的認知,進而推進相關法律的 設立。
網絡安全已經上升到國家戰略高度,財政預算有望持續上升。各國通過立法以及關注保 護關鍵信息基礎設施等方式加強在網絡安全佈局,美國在網絡安全領域的投入和佈局是最全面 力度最大的,不斷增加網絡安全財政預算,維持增加美國在網絡安全的領先優勢。我們認為網 絡安全地位不斷提升是世界各國關注的重點和趨勢,相關財政預算有望持續上升,加速相關立 法的推進,同時完善信息安全具體合規性的落地。2017-2019 年美國聯邦政府信息安全支出總 額以及比例持續上升,特別是在 2020 年美國聯邦政府財政預算中計劃 IT 支出比 19 年有所下 降的情況下,信息安全計劃支出佔比上升到20%,達到 17435 億美元。
(二)政策提升信息安全合規要求,合規支出佔比不斷提升
1、政策實現責任實質化,支出佔比不斷提升
美國通過立法逐步提高信息安全的合規要求。2002 年美國《聯邦信息安全管理法案》 (FISMA)的頒佈將合規性進一步落地,要求各聯邦機構制定並實施適用於本機構的信息安 全計劃,以保障聯邦信息和信息系統安全。
1)以法律的形式明確了聯邦機構職責,法律責任實質化。
2)明確監督檢查措施,對違法行為進行強制問責。
3)適用於機構、承包商及其他組織所使用的信息和信息系統,比以前的安全法律更廣泛 的適用性。
FISMA 法案適用於機構、承包商及其他組織所使用的信息和信息系統,面對FISMA 的合 規要求,要求多數的(國家安全部門除外)聯邦政府部門按照標準中的規定進行執行,同時各 個聯邦機構及其下屬機構都要依照FISMA 的考核指標體系向 OMB 彙報安全建設與運營情況, 並接受國會的質詢,以及美國政府問責署的審計。特別是《2009 網絡安全法》的頒佈後提升 了整個美國聯邦政府的合規支出,2012 年佔比曾提升到了近 20%。
2、等保 2.0 下合規要求更加嚴格,《國家關鍵信息基礎設施安全保護條例》有望年內出臺
等保 2.0 帶來增量市場。5 月 13 日國家市場監督管理總局正式發佈《信息安全技術網絡信息安全等級保護基本要求》國家標準, 將於 2019 年 12 月 1 日正式實施, 標誌著“等保 2.0” 時代正式到來。我們認為等保 2.0 的正式發佈將從以下幾個方面對信息安全產業帶來增量市場: 1)保護對象有擴展 2)被動防禦變主動防禦 3)合規性要求更加嚴格。
等保 2.0法律依據的效力位階提高,合規更加嚴格, 法律責任實質化。等保 1.0 其制定的主要法律依據《計算機信息系統安全保護條例》為行政法規;而等保 2.0 的核心法律依據中的 《網絡安全法》屬於法律,特別是《網絡安全等級保護條例》屬於由公安部會同其他有關部門 起草的行政法規,與《管理辦法》相比明顯提升。等保 2.0 對法律責任條款大大增強。文件中 從“違反安全保護義務”、“違反技術維護要求”、“違反數據安全和個人信息保護要求”、“違反網絡安全服務責任”等共八個方面對網絡安全等級保護涉及的法律責任進行了詳細規定。
《國家關鍵信息基礎設施安全保護條例》有望年內出臺,完善網絡基礎設施安全防護體 系。等保 2.0 從立法層面提升了信息安全的合規要求,明確了整體信息安全防禦標準綱領,新 增的領域細分有望陸續出臺相應的政策合規指導以及相關的安全產業發展規劃。在 2019 C3 安全峰會上,公安部網絡安全保衛局總工郭啟全指出《國家關鍵信息基礎設施安全保護條例》 有望年內出臺,條例將為關鍵信息基礎設施保護提供強大的支撐和保障,完善網絡基礎設施安 全防護體系。
(三)中美信息安全發展差異顯著,中國市場發展空間巨大
中國受網絡攻擊安全損失最為嚴重,但信息安全發展水平遠低於美國以及全球平均水平。中國是全球國家中受損失最大的國家,2017 年網絡攻擊造成的安全損失達到 663 億美元。但 在信息安全投入相對 IT 佔比低於世界平均水平,根據 2016 年 IDC 的數據顯示 IT 安全投入佔 比全球平均水平為 3.74%,美國為 4.78% 而中國為 1.84%。對標美國以及全球 IT 安全投入比 例,中國信息安全發展空間巨大。
信息和重要數據保護有望驅動我國金融、電信、互聯網等領域信息安全防護。我國信息 安全最大的下游需求來自於政府(28%),其次是電信(17%)和金融(15%),美國客戶結 構與中國有所不同,信息安全產業結構主要是金融業(26%)、IT 行業(13%)以及政府(14%)。 我們認為對個人信息和重要數據保護越敏感的行業,除了從合規性的角度來部署信息安全防護 以外,會有更強烈的主動需求來增加對信息安全的投入。未來中國在金融、醫療等重要數據敏 感領域有望持續擴大信息安全投入。
中國的安全服務市場處於早期成長階段,市場短期內仍以 IT 硬件為主。中國信息安全市 場相對美國市場,IT 硬件佔比較高達到 48.1%,安全服務比例較低主要是使用外部的安全服 務可能會使提供商接觸到一些企業敏感信息,與中國某些合規要求不符,而美國主要以安全服 務為主,佔比達到了 64.4%。中國的安全服務市場整體還處於早期成長階段,中國各信息安全 廠商主要向市場提供諸如安全設計、安全評估、安全運維和安全技術研發等方面的安全服務,IT 安全硬件市場在未來短期內仍將是 IT 安全市場中佔比最大的市場。
(溫馨提示:文末有下載方式)
報告綜述:
政策提升合規要求,安全支出不斷提升
信息安全目前主要以被動性需求為主,主動需求較少。信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到了對信息安全領域政策推 動進程,從而提升整體的合規要求。目前世界各國不斷加強信息安全佈局,財政 預算有望持續上升。等保 2.0 從立法層面提升了信息安全的合規要求,我們認為 《國家關鍵信息基礎設施安全保護條例》有望年內出臺,完善網絡基礎設施安全 防護體系,再次提升信息安全領域的合規要求
中美信息安全發展差異顯著,中國市場發展空間巨大
世界各國中中國受網絡攻擊安全損失最為嚴重,每年損失 663 億美元,但中國信 息安全發展水平遠低於美國以及全球平均水平,根據 2016 年 IDC 的數據顯示 IT 安全投入佔比全球平均水平為 3.74%,美國為 4.78% 而中國為 1.84%。對標美國 以及全球 IT安全投入比例,中國網安發展空間巨大。我們認為未來信息和重要 數據保護重要性的提升,有望驅動我國金融、電信、互聯網等領域信息安全防護
IT技術演變,誕生增量市場
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的 變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會誕生增量市場, 往往新技術革新越大時,新的場景經濟價值越大時,信息安全對應增量市場空間 越大。信息安全以結果為導向產生了不同的細分,不同公司關注的市場細分不同, 打造了不同的競爭優勢,形成了多層次信息安全產業,巨頭間與安全廠商的合作 大於競爭。等保2.0 時代,新興領域信息安全投入相對各自產業規模佔比逐年上 升,我們認為雲計算以及工業信息信息安全領域是最為重要的兩個細分,看好該 領域有核心競爭力的企業
期待併購重組實現市場集中度提升,安全服務方向具備長期發展潛力
十三五規劃後兩年,信息安全產業有望提速,2018 年中國國內信息安全市場空間 達到 495.2 億,預計在 2021 年將達到 926.8億,未來3 年複合增速將達到 23%。目 前國內信息安全市場呈碎片化,整體市場呈現“競爭型”,傳統細分市場主要呈 現“寡佔型”競爭,傳統產品細分市場格局穩固,市佔率變動較小,安全服務領 域剛剛起步具備長期發展潛力,短期內整體信息安全市場集中度難以快速上升。 根據海外龍頭髮展經驗,企業通過併購重組實現快速擴張,打造整體解決方案, 積極轉型佈局安全服務。根據國內相關企業收購投資經驗數據比較,我們認為領 軍企業併購意願更強,安全服務領域是長期具備發展潛力的重要方向
報告內容:
一、信息安全產業驅動要素
信息安全目前主要是以被動性需求為主,主動需求較少,信息安全投入與經濟效益直接 關聯不緊密。從信息安全的角度,對於普通的軟硬件往往有如下屬性:
1)信息不對稱難以消除。對於軟硬件產品,普通用戶很難對一個軟硬件的安全性進行檢 驗,所以較難對產品安全性願意支出更高的價格
2)責任主體不明。產品漏洞產生嚴重後果時,市場中因為對於廠商、使用者如何承擔明 確的責任是沒有明確的共識
信息安全產品主要起防禦性的作用,合規性提升對信息安全要求防禦的等級和程度。短 期內信息安全的被動需求需要通過立法以及提高合規要求來拉動實現,我們認為通過立法加強 合規的要求,需要立法者不斷提升信息安全的重要性,這種改變在現實中往往需要信息安全事 件(負面)的衝擊。長期數據安全敏感的領域如金融、電信、醫療等,一旦信息洩露造成巨大 損失,是未來拉動信息安全的主力行業。
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會催生新的增量市場,往往新技術革新 越大時,新的場景經濟價值越大時,信息安全對應的增量市場空間越大。
二、合規驅動:政策提高合規要求,安全支出不斷提升
信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到對信息 安全領域政策立法進程,以及整體的合規要求。世界各國不斷加強信息安全投入,財政預算 有望持續上升。我國受網絡攻擊安全損失最為嚴重,但信息安全發展水平遠低於美國以及全 球平均水平,未來信息和重要數據保護重要性的提升,有望驅動我國金融、電信、醫療等領 域信息安全防護。
(一)安全事件促進立法合規,網絡安全已升至各國國家戰略高度
信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到了對信 息安全領域政策立法進程。本質上軟硬件在線服務的漏洞無法根除,更多漏洞直到被利用、 引發實質性的網絡攻擊才為公眾所知曉。從美國信息安全相關法律立法進程來看,當有重大安 全事件發生時,新聞媒體對事件的報道不斷改變人們對信息安全的認知,進而推進相關法律的 設立。
網絡安全已經上升到國家戰略高度,財政預算有望持續上升。各國通過立法以及關注保 護關鍵信息基礎設施等方式加強在網絡安全佈局,美國在網絡安全領域的投入和佈局是最全面 力度最大的,不斷增加網絡安全財政預算,維持增加美國在網絡安全的領先優勢。我們認為網 絡安全地位不斷提升是世界各國關注的重點和趨勢,相關財政預算有望持續上升,加速相關立 法的推進,同時完善信息安全具體合規性的落地。2017-2019 年美國聯邦政府信息安全支出總 額以及比例持續上升,特別是在 2020 年美國聯邦政府財政預算中計劃 IT 支出比 19 年有所下 降的情況下,信息安全計劃支出佔比上升到20%,達到 17435 億美元。
(二)政策提升信息安全合規要求,合規支出佔比不斷提升
1、政策實現責任實質化,支出佔比不斷提升
美國通過立法逐步提高信息安全的合規要求。2002 年美國《聯邦信息安全管理法案》 (FISMA)的頒佈將合規性進一步落地,要求各聯邦機構制定並實施適用於本機構的信息安 全計劃,以保障聯邦信息和信息系統安全。
1)以法律的形式明確了聯邦機構職責,法律責任實質化。
2)明確監督檢查措施,對違法行為進行強制問責。
3)適用於機構、承包商及其他組織所使用的信息和信息系統,比以前的安全法律更廣泛 的適用性。
FISMA 法案適用於機構、承包商及其他組織所使用的信息和信息系統,面對FISMA 的合 規要求,要求多數的(國家安全部門除外)聯邦政府部門按照標準中的規定進行執行,同時各 個聯邦機構及其下屬機構都要依照FISMA 的考核指標體系向 OMB 彙報安全建設與運營情況, 並接受國會的質詢,以及美國政府問責署的審計。特別是《2009 網絡安全法》的頒佈後提升 了整個美國聯邦政府的合規支出,2012 年佔比曾提升到了近 20%。
2、等保 2.0 下合規要求更加嚴格,《國家關鍵信息基礎設施安全保護條例》有望年內出臺
等保 2.0 帶來增量市場。5 月 13 日國家市場監督管理總局正式發佈《信息安全技術網絡信息安全等級保護基本要求》國家標準, 將於 2019 年 12 月 1 日正式實施, 標誌著“等保 2.0” 時代正式到來。我們認為等保 2.0 的正式發佈將從以下幾個方面對信息安全產業帶來增量市場: 1)保護對象有擴展 2)被動防禦變主動防禦 3)合規性要求更加嚴格。
等保 2.0法律依據的效力位階提高,合規更加嚴格, 法律責任實質化。等保 1.0 其制定的主要法律依據《計算機信息系統安全保護條例》為行政法規;而等保 2.0 的核心法律依據中的 《網絡安全法》屬於法律,特別是《網絡安全等級保護條例》屬於由公安部會同其他有關部門 起草的行政法規,與《管理辦法》相比明顯提升。等保 2.0 對法律責任條款大大增強。文件中 從“違反安全保護義務”、“違反技術維護要求”、“違反數據安全和個人信息保護要求”、“違反網絡安全服務責任”等共八個方面對網絡安全等級保護涉及的法律責任進行了詳細規定。
《國家關鍵信息基礎設施安全保護條例》有望年內出臺,完善網絡基礎設施安全防護體 系。等保 2.0 從立法層面提升了信息安全的合規要求,明確了整體信息安全防禦標準綱領,新 增的領域細分有望陸續出臺相應的政策合規指導以及相關的安全產業發展規劃。在 2019 C3 安全峰會上,公安部網絡安全保衛局總工郭啟全指出《國家關鍵信息基礎設施安全保護條例》 有望年內出臺,條例將為關鍵信息基礎設施保護提供強大的支撐和保障,完善網絡基礎設施安 全防護體系。
(三)中美信息安全發展差異顯著,中國市場發展空間巨大
中國受網絡攻擊安全損失最為嚴重,但信息安全發展水平遠低於美國以及全球平均水平。中國是全球國家中受損失最大的國家,2017 年網絡攻擊造成的安全損失達到 663 億美元。但 在信息安全投入相對 IT 佔比低於世界平均水平,根據 2016 年 IDC 的數據顯示 IT 安全投入佔 比全球平均水平為 3.74%,美國為 4.78% 而中國為 1.84%。對標美國以及全球 IT 安全投入比 例,中國信息安全發展空間巨大。
信息和重要數據保護有望驅動我國金融、電信、互聯網等領域信息安全防護。我國信息 安全最大的下游需求來自於政府(28%),其次是電信(17%)和金融(15%),美國客戶結 構與中國有所不同,信息安全產業結構主要是金融業(26%)、IT 行業(13%)以及政府(14%)。 我們認為對個人信息和重要數據保護越敏感的行業,除了從合規性的角度來部署信息安全防護 以外,會有更強烈的主動需求來增加對信息安全的投入。未來中國在金融、醫療等重要數據敏 感領域有望持續擴大信息安全投入。
中國的安全服務市場處於早期成長階段,市場短期內仍以 IT 硬件為主。中國信息安全市 場相對美國市場,IT 硬件佔比較高達到 48.1%,安全服務比例較低主要是使用外部的安全服 務可能會使提供商接觸到一些企業敏感信息,與中國某些合規要求不符,而美國主要以安全服 務為主,佔比達到了 64.4%。中國的安全服務市場整體還處於早期成長階段,中國各信息安全 廠商主要向市場提供諸如安全設計、安全評估、安全運維和安全技術研發等方面的安全服務,IT 安全硬件市場在未來短期內仍將是 IT 安全市場中佔比最大的市場。
(溫馨提示:文末有下載方式)
報告綜述:
政策提升合規要求,安全支出不斷提升
信息安全目前主要以被動性需求為主,主動需求較少。信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到了對信息安全領域政策推 動進程,從而提升整體的合規要求。目前世界各國不斷加強信息安全佈局,財政 預算有望持續上升。等保 2.0 從立法層面提升了信息安全的合規要求,我們認為 《國家關鍵信息基礎設施安全保護條例》有望年內出臺,完善網絡基礎設施安全 防護體系,再次提升信息安全領域的合規要求
中美信息安全發展差異顯著,中國市場發展空間巨大
世界各國中中國受網絡攻擊安全損失最為嚴重,每年損失 663 億美元,但中國信 息安全發展水平遠低於美國以及全球平均水平,根據 2016 年 IDC 的數據顯示 IT 安全投入佔比全球平均水平為 3.74%,美國為 4.78% 而中國為 1.84%。對標美國 以及全球 IT安全投入比例,中國網安發展空間巨大。我們認為未來信息和重要 數據保護重要性的提升,有望驅動我國金融、電信、互聯網等領域信息安全防護
IT技術演變,誕生增量市場
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的 變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會誕生增量市場, 往往新技術革新越大時,新的場景經濟價值越大時,信息安全對應增量市場空間 越大。信息安全以結果為導向產生了不同的細分,不同公司關注的市場細分不同, 打造了不同的競爭優勢,形成了多層次信息安全產業,巨頭間與安全廠商的合作 大於競爭。等保2.0 時代,新興領域信息安全投入相對各自產業規模佔比逐年上 升,我們認為雲計算以及工業信息信息安全領域是最為重要的兩個細分,看好該 領域有核心競爭力的企業
期待併購重組實現市場集中度提升,安全服務方向具備長期發展潛力
十三五規劃後兩年,信息安全產業有望提速,2018 年中國國內信息安全市場空間 達到 495.2 億,預計在 2021 年將達到 926.8億,未來3 年複合增速將達到 23%。目 前國內信息安全市場呈碎片化,整體市場呈現“競爭型”,傳統細分市場主要呈 現“寡佔型”競爭,傳統產品細分市場格局穩固,市佔率變動較小,安全服務領 域剛剛起步具備長期發展潛力,短期內整體信息安全市場集中度難以快速上升。 根據海外龍頭髮展經驗,企業通過併購重組實現快速擴張,打造整體解決方案, 積極轉型佈局安全服務。根據國內相關企業收購投資經驗數據比較,我們認為領 軍企業併購意願更強,安全服務領域是長期具備發展潛力的重要方向
報告內容:
一、信息安全產業驅動要素
信息安全目前主要是以被動性需求為主,主動需求較少,信息安全投入與經濟效益直接 關聯不緊密。從信息安全的角度,對於普通的軟硬件往往有如下屬性:
1)信息不對稱難以消除。對於軟硬件產品,普通用戶很難對一個軟硬件的安全性進行檢 驗,所以較難對產品安全性願意支出更高的價格
2)責任主體不明。產品漏洞產生嚴重後果時,市場中因為對於廠商、使用者如何承擔明 確的責任是沒有明確的共識
信息安全產品主要起防禦性的作用,合規性提升對信息安全要求防禦的等級和程度。短 期內信息安全的被動需求需要通過立法以及提高合規要求來拉動實現,我們認為通過立法加強 合規的要求,需要立法者不斷提升信息安全的重要性,這種改變在現實中往往需要信息安全事 件(負面)的衝擊。長期數據安全敏感的領域如金融、電信、醫療等,一旦信息洩露造成巨大 損失,是未來拉動信息安全的主力行業。
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會催生新的增量市場,往往新技術革新 越大時,新的場景經濟價值越大時,信息安全對應的增量市場空間越大。
二、合規驅動:政策提高合規要求,安全支出不斷提升
信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到對信息 安全領域政策立法進程,以及整體的合規要求。世界各國不斷加強信息安全投入,財政預算 有望持續上升。我國受網絡攻擊安全損失最為嚴重,但信息安全發展水平遠低於美國以及全 球平均水平,未來信息和重要數據保護重要性的提升,有望驅動我國金融、電信、醫療等領 域信息安全防護。
(一)安全事件促進立法合規,網絡安全已升至各國國家戰略高度
信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到了對信 息安全領域政策立法進程。本質上軟硬件在線服務的漏洞無法根除,更多漏洞直到被利用、 引發實質性的網絡攻擊才為公眾所知曉。從美國信息安全相關法律立法進程來看,當有重大安 全事件發生時,新聞媒體對事件的報道不斷改變人們對信息安全的認知,進而推進相關法律的 設立。
網絡安全已經上升到國家戰略高度,財政預算有望持續上升。各國通過立法以及關注保 護關鍵信息基礎設施等方式加強在網絡安全佈局,美國在網絡安全領域的投入和佈局是最全面 力度最大的,不斷增加網絡安全財政預算,維持增加美國在網絡安全的領先優勢。我們認為網 絡安全地位不斷提升是世界各國關注的重點和趨勢,相關財政預算有望持續上升,加速相關立 法的推進,同時完善信息安全具體合規性的落地。2017-2019 年美國聯邦政府信息安全支出總 額以及比例持續上升,特別是在 2020 年美國聯邦政府財政預算中計劃 IT 支出比 19 年有所下 降的情況下,信息安全計劃支出佔比上升到20%,達到 17435 億美元。
(二)政策提升信息安全合規要求,合規支出佔比不斷提升
1、政策實現責任實質化,支出佔比不斷提升
美國通過立法逐步提高信息安全的合規要求。2002 年美國《聯邦信息安全管理法案》 (FISMA)的頒佈將合規性進一步落地,要求各聯邦機構制定並實施適用於本機構的信息安 全計劃,以保障聯邦信息和信息系統安全。
1)以法律的形式明確了聯邦機構職責,法律責任實質化。
2)明確監督檢查措施,對違法行為進行強制問責。
3)適用於機構、承包商及其他組織所使用的信息和信息系統,比以前的安全法律更廣泛 的適用性。
FISMA 法案適用於機構、承包商及其他組織所使用的信息和信息系統,面對FISMA 的合 規要求,要求多數的(國家安全部門除外)聯邦政府部門按照標準中的規定進行執行,同時各 個聯邦機構及其下屬機構都要依照FISMA 的考核指標體系向 OMB 彙報安全建設與運營情況, 並接受國會的質詢,以及美國政府問責署的審計。特別是《2009 網絡安全法》的頒佈後提升 了整個美國聯邦政府的合規支出,2012 年佔比曾提升到了近 20%。
2、等保 2.0 下合規要求更加嚴格,《國家關鍵信息基礎設施安全保護條例》有望年內出臺
等保 2.0 帶來增量市場。5 月 13 日國家市場監督管理總局正式發佈《信息安全技術網絡信息安全等級保護基本要求》國家標準, 將於 2019 年 12 月 1 日正式實施, 標誌著“等保 2.0” 時代正式到來。我們認為等保 2.0 的正式發佈將從以下幾個方面對信息安全產業帶來增量市場: 1)保護對象有擴展 2)被動防禦變主動防禦 3)合規性要求更加嚴格。
等保 2.0法律依據的效力位階提高,合規更加嚴格, 法律責任實質化。等保 1.0 其制定的主要法律依據《計算機信息系統安全保護條例》為行政法規;而等保 2.0 的核心法律依據中的 《網絡安全法》屬於法律,特別是《網絡安全等級保護條例》屬於由公安部會同其他有關部門 起草的行政法規,與《管理辦法》相比明顯提升。等保 2.0 對法律責任條款大大增強。文件中 從“違反安全保護義務”、“違反技術維護要求”、“違反數據安全和個人信息保護要求”、“違反網絡安全服務責任”等共八個方面對網絡安全等級保護涉及的法律責任進行了詳細規定。
《國家關鍵信息基礎設施安全保護條例》有望年內出臺,完善網絡基礎設施安全防護體 系。等保 2.0 從立法層面提升了信息安全的合規要求,明確了整體信息安全防禦標準綱領,新 增的領域細分有望陸續出臺相應的政策合規指導以及相關的安全產業發展規劃。在 2019 C3 安全峰會上,公安部網絡安全保衛局總工郭啟全指出《國家關鍵信息基礎設施安全保護條例》 有望年內出臺,條例將為關鍵信息基礎設施保護提供強大的支撐和保障,完善網絡基礎設施安 全防護體系。
(三)中美信息安全發展差異顯著,中國市場發展空間巨大
中國受網絡攻擊安全損失最為嚴重,但信息安全發展水平遠低於美國以及全球平均水平。中國是全球國家中受損失最大的國家,2017 年網絡攻擊造成的安全損失達到 663 億美元。但 在信息安全投入相對 IT 佔比低於世界平均水平,根據 2016 年 IDC 的數據顯示 IT 安全投入佔 比全球平均水平為 3.74%,美國為 4.78% 而中國為 1.84%。對標美國以及全球 IT 安全投入比 例,中國信息安全發展空間巨大。
信息和重要數據保護有望驅動我國金融、電信、互聯網等領域信息安全防護。我國信息 安全最大的下游需求來自於政府(28%),其次是電信(17%)和金融(15%),美國客戶結 構與中國有所不同,信息安全產業結構主要是金融業(26%)、IT 行業(13%)以及政府(14%)。 我們認為對個人信息和重要數據保護越敏感的行業,除了從合規性的角度來部署信息安全防護 以外,會有更強烈的主動需求來增加對信息安全的投入。未來中國在金融、醫療等重要數據敏 感領域有望持續擴大信息安全投入。
中國的安全服務市場處於早期成長階段,市場短期內仍以 IT 硬件為主。中國信息安全市 場相對美國市場,IT 硬件佔比較高達到 48.1%,安全服務比例較低主要是使用外部的安全服 務可能會使提供商接觸到一些企業敏感信息,與中國某些合規要求不符,而美國主要以安全服 務為主,佔比達到了 64.4%。中國的安全服務市場整體還處於早期成長階段,中國各信息安全 廠商主要向市場提供諸如安全設計、安全評估、安全運維和安全技術研發等方面的安全服務,IT 安全硬件市場在未來短期內仍將是 IT 安全市場中佔比最大的市場。
(溫馨提示:文末有下載方式)
報告綜述:
政策提升合規要求,安全支出不斷提升
信息安全目前主要以被動性需求為主,主動需求較少。信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到了對信息安全領域政策推 動進程,從而提升整體的合規要求。目前世界各國不斷加強信息安全佈局,財政 預算有望持續上升。等保 2.0 從立法層面提升了信息安全的合規要求,我們認為 《國家關鍵信息基礎設施安全保護條例》有望年內出臺,完善網絡基礎設施安全 防護體系,再次提升信息安全領域的合規要求
中美信息安全發展差異顯著,中國市場發展空間巨大
世界各國中中國受網絡攻擊安全損失最為嚴重,每年損失 663 億美元,但中國信 息安全發展水平遠低於美國以及全球平均水平,根據 2016 年 IDC 的數據顯示 IT 安全投入佔比全球平均水平為 3.74%,美國為 4.78% 而中國為 1.84%。對標美國 以及全球 IT安全投入比例,中國網安發展空間巨大。我們認為未來信息和重要 數據保護重要性的提升,有望驅動我國金融、電信、互聯網等領域信息安全防護
IT技術演變,誕生增量市場
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的 變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會誕生增量市場, 往往新技術革新越大時,新的場景經濟價值越大時,信息安全對應增量市場空間 越大。信息安全以結果為導向產生了不同的細分,不同公司關注的市場細分不同, 打造了不同的競爭優勢,形成了多層次信息安全產業,巨頭間與安全廠商的合作 大於競爭。等保2.0 時代,新興領域信息安全投入相對各自產業規模佔比逐年上 升,我們認為雲計算以及工業信息信息安全領域是最為重要的兩個細分,看好該 領域有核心競爭力的企業
期待併購重組實現市場集中度提升,安全服務方向具備長期發展潛力
十三五規劃後兩年,信息安全產業有望提速,2018 年中國國內信息安全市場空間 達到 495.2 億,預計在 2021 年將達到 926.8億,未來3 年複合增速將達到 23%。目 前國內信息安全市場呈碎片化,整體市場呈現“競爭型”,傳統細分市場主要呈 現“寡佔型”競爭,傳統產品細分市場格局穩固,市佔率變動較小,安全服務領 域剛剛起步具備長期發展潛力,短期內整體信息安全市場集中度難以快速上升。 根據海外龍頭髮展經驗,企業通過併購重組實現快速擴張,打造整體解決方案, 積極轉型佈局安全服務。根據國內相關企業收購投資經驗數據比較,我們認為領 軍企業併購意願更強,安全服務領域是長期具備發展潛力的重要方向
報告內容:
一、信息安全產業驅動要素
信息安全目前主要是以被動性需求為主,主動需求較少,信息安全投入與經濟效益直接 關聯不緊密。從信息安全的角度,對於普通的軟硬件往往有如下屬性:
1)信息不對稱難以消除。對於軟硬件產品,普通用戶很難對一個軟硬件的安全性進行檢 驗,所以較難對產品安全性願意支出更高的價格
2)責任主體不明。產品漏洞產生嚴重後果時,市場中因為對於廠商、使用者如何承擔明 確的責任是沒有明確的共識
信息安全產品主要起防禦性的作用,合規性提升對信息安全要求防禦的等級和程度。短 期內信息安全的被動需求需要通過立法以及提高合規要求來拉動實現,我們認為通過立法加強 合規的要求,需要立法者不斷提升信息安全的重要性,這種改變在現實中往往需要信息安全事 件(負面)的衝擊。長期數據安全敏感的領域如金融、電信、醫療等,一旦信息洩露造成巨大 損失,是未來拉動信息安全的主力行業。
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會催生新的增量市場,往往新技術革新 越大時,新的場景經濟價值越大時,信息安全對應的增量市場空間越大。
二、合規驅動:政策提高合規要求,安全支出不斷提升
信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到對信息 安全領域政策立法進程,以及整體的合規要求。世界各國不斷加強信息安全投入,財政預算 有望持續上升。我國受網絡攻擊安全損失最為嚴重,但信息安全發展水平遠低於美國以及全 球平均水平,未來信息和重要數據保護重要性的提升,有望驅動我國金融、電信、醫療等領 域信息安全防護。
(一)安全事件促進立法合規,網絡安全已升至各國國家戰略高度
信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到了對信 息安全領域政策立法進程。本質上軟硬件在線服務的漏洞無法根除,更多漏洞直到被利用、 引發實質性的網絡攻擊才為公眾所知曉。從美國信息安全相關法律立法進程來看,當有重大安 全事件發生時,新聞媒體對事件的報道不斷改變人們對信息安全的認知,進而推進相關法律的 設立。
網絡安全已經上升到國家戰略高度,財政預算有望持續上升。各國通過立法以及關注保 護關鍵信息基礎設施等方式加強在網絡安全佈局,美國在網絡安全領域的投入和佈局是最全面 力度最大的,不斷增加網絡安全財政預算,維持增加美國在網絡安全的領先優勢。我們認為網 絡安全地位不斷提升是世界各國關注的重點和趨勢,相關財政預算有望持續上升,加速相關立 法的推進,同時完善信息安全具體合規性的落地。2017-2019 年美國聯邦政府信息安全支出總 額以及比例持續上升,特別是在 2020 年美國聯邦政府財政預算中計劃 IT 支出比 19 年有所下 降的情況下,信息安全計劃支出佔比上升到20%,達到 17435 億美元。
(二)政策提升信息安全合規要求,合規支出佔比不斷提升
1、政策實現責任實質化,支出佔比不斷提升
美國通過立法逐步提高信息安全的合規要求。2002 年美國《聯邦信息安全管理法案》 (FISMA)的頒佈將合規性進一步落地,要求各聯邦機構制定並實施適用於本機構的信息安 全計劃,以保障聯邦信息和信息系統安全。
1)以法律的形式明確了聯邦機構職責,法律責任實質化。
2)明確監督檢查措施,對違法行為進行強制問責。
3)適用於機構、承包商及其他組織所使用的信息和信息系統,比以前的安全法律更廣泛 的適用性。
FISMA 法案適用於機構、承包商及其他組織所使用的信息和信息系統,面對FISMA 的合 規要求,要求多數的(國家安全部門除外)聯邦政府部門按照標準中的規定進行執行,同時各 個聯邦機構及其下屬機構都要依照FISMA 的考核指標體系向 OMB 彙報安全建設與運營情況, 並接受國會的質詢,以及美國政府問責署的審計。特別是《2009 網絡安全法》的頒佈後提升 了整個美國聯邦政府的合規支出,2012 年佔比曾提升到了近 20%。
2、等保 2.0 下合規要求更加嚴格,《國家關鍵信息基礎設施安全保護條例》有望年內出臺
等保 2.0 帶來增量市場。5 月 13 日國家市場監督管理總局正式發佈《信息安全技術網絡信息安全等級保護基本要求》國家標準, 將於 2019 年 12 月 1 日正式實施, 標誌著“等保 2.0” 時代正式到來。我們認為等保 2.0 的正式發佈將從以下幾個方面對信息安全產業帶來增量市場: 1)保護對象有擴展 2)被動防禦變主動防禦 3)合規性要求更加嚴格。
等保 2.0法律依據的效力位階提高,合規更加嚴格, 法律責任實質化。等保 1.0 其制定的主要法律依據《計算機信息系統安全保護條例》為行政法規;而等保 2.0 的核心法律依據中的 《網絡安全法》屬於法律,特別是《網絡安全等級保護條例》屬於由公安部會同其他有關部門 起草的行政法規,與《管理辦法》相比明顯提升。等保 2.0 對法律責任條款大大增強。文件中 從“違反安全保護義務”、“違反技術維護要求”、“違反數據安全和個人信息保護要求”、“違反網絡安全服務責任”等共八個方面對網絡安全等級保護涉及的法律責任進行了詳細規定。
《國家關鍵信息基礎設施安全保護條例》有望年內出臺,完善網絡基礎設施安全防護體 系。等保 2.0 從立法層面提升了信息安全的合規要求,明確了整體信息安全防禦標準綱領,新 增的領域細分有望陸續出臺相應的政策合規指導以及相關的安全產業發展規劃。在 2019 C3 安全峰會上,公安部網絡安全保衛局總工郭啟全指出《國家關鍵信息基礎設施安全保護條例》 有望年內出臺,條例將為關鍵信息基礎設施保護提供強大的支撐和保障,完善網絡基礎設施安 全防護體系。
(三)中美信息安全發展差異顯著,中國市場發展空間巨大
中國受網絡攻擊安全損失最為嚴重,但信息安全發展水平遠低於美國以及全球平均水平。中國是全球國家中受損失最大的國家,2017 年網絡攻擊造成的安全損失達到 663 億美元。但 在信息安全投入相對 IT 佔比低於世界平均水平,根據 2016 年 IDC 的數據顯示 IT 安全投入佔 比全球平均水平為 3.74%,美國為 4.78% 而中國為 1.84%。對標美國以及全球 IT 安全投入比 例,中國信息安全發展空間巨大。
信息和重要數據保護有望驅動我國金融、電信、互聯網等領域信息安全防護。我國信息 安全最大的下游需求來自於政府(28%),其次是電信(17%)和金融(15%),美國客戶結 構與中國有所不同,信息安全產業結構主要是金融業(26%)、IT 行業(13%)以及政府(14%)。 我們認為對個人信息和重要數據保護越敏感的行業,除了從合規性的角度來部署信息安全防護 以外,會有更強烈的主動需求來增加對信息安全的投入。未來中國在金融、醫療等重要數據敏 感領域有望持續擴大信息安全投入。
中國的安全服務市場處於早期成長階段,市場短期內仍以 IT 硬件為主。中國信息安全市 場相對美國市場,IT 硬件佔比較高達到 48.1%,安全服務比例較低主要是使用外部的安全服 務可能會使提供商接觸到一些企業敏感信息,與中國某些合規要求不符,而美國主要以安全服 務為主,佔比達到了 64.4%。中國的安全服務市場整體還處於早期成長階段,中國各信息安全 廠商主要向市場提供諸如安全設計、安全評估、安全運維和安全技術研發等方面的安全服務,IT 安全硬件市場在未來短期內仍將是 IT 安全市場中佔比最大的市場。
(溫馨提示:文末有下載方式)
報告綜述:
政策提升合規要求,安全支出不斷提升
信息安全目前主要以被動性需求為主,主動需求較少。信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到了對信息安全領域政策推 動進程,從而提升整體的合規要求。目前世界各國不斷加強信息安全佈局,財政 預算有望持續上升。等保 2.0 從立法層面提升了信息安全的合規要求,我們認為 《國家關鍵信息基礎設施安全保護條例》有望年內出臺,完善網絡基礎設施安全 防護體系,再次提升信息安全領域的合規要求
中美信息安全發展差異顯著,中國市場發展空間巨大
世界各國中中國受網絡攻擊安全損失最為嚴重,每年損失 663 億美元,但中國信 息安全發展水平遠低於美國以及全球平均水平,根據 2016 年 IDC 的數據顯示 IT 安全投入佔比全球平均水平為 3.74%,美國為 4.78% 而中國為 1.84%。對標美國 以及全球 IT安全投入比例,中國網安發展空間巨大。我們認為未來信息和重要 數據保護重要性的提升,有望驅動我國金融、電信、互聯網等領域信息安全防護
IT技術演變,誕生增量市場
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的 變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會誕生增量市場, 往往新技術革新越大時,新的場景經濟價值越大時,信息安全對應增量市場空間 越大。信息安全以結果為導向產生了不同的細分,不同公司關注的市場細分不同, 打造了不同的競爭優勢,形成了多層次信息安全產業,巨頭間與安全廠商的合作 大於競爭。等保2.0 時代,新興領域信息安全投入相對各自產業規模佔比逐年上 升,我們認為雲計算以及工業信息信息安全領域是最為重要的兩個細分,看好該 領域有核心競爭力的企業
期待併購重組實現市場集中度提升,安全服務方向具備長期發展潛力
十三五規劃後兩年,信息安全產業有望提速,2018 年中國國內信息安全市場空間 達到 495.2 億,預計在 2021 年將達到 926.8億,未來3 年複合增速將達到 23%。目 前國內信息安全市場呈碎片化,整體市場呈現“競爭型”,傳統細分市場主要呈 現“寡佔型”競爭,傳統產品細分市場格局穩固,市佔率變動較小,安全服務領 域剛剛起步具備長期發展潛力,短期內整體信息安全市場集中度難以快速上升。 根據海外龍頭髮展經驗,企業通過併購重組實現快速擴張,打造整體解決方案, 積極轉型佈局安全服務。根據國內相關企業收購投資經驗數據比較,我們認為領 軍企業併購意願更強,安全服務領域是長期具備發展潛力的重要方向
報告內容:
一、信息安全產業驅動要素
信息安全目前主要是以被動性需求為主,主動需求較少,信息安全投入與經濟效益直接 關聯不緊密。從信息安全的角度,對於普通的軟硬件往往有如下屬性:
1)信息不對稱難以消除。對於軟硬件產品,普通用戶很難對一個軟硬件的安全性進行檢 驗,所以較難對產品安全性願意支出更高的價格
2)責任主體不明。產品漏洞產生嚴重後果時,市場中因為對於廠商、使用者如何承擔明 確的責任是沒有明確的共識
信息安全產品主要起防禦性的作用,合規性提升對信息安全要求防禦的等級和程度。短 期內信息安全的被動需求需要通過立法以及提高合規要求來拉動實現,我們認為通過立法加強 合規的要求,需要立法者不斷提升信息安全的重要性,這種改變在現實中往往需要信息安全事 件(負面)的衝擊。長期數據安全敏感的領域如金融、電信、醫療等,一旦信息洩露造成巨大 損失,是未來拉動信息安全的主力行業。
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會催生新的增量市場,往往新技術革新 越大時,新的場景經濟價值越大時,信息安全對應的增量市場空間越大。
二、合規驅動:政策提高合規要求,安全支出不斷提升
信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到對信息 安全領域政策立法進程,以及整體的合規要求。世界各國不斷加強信息安全投入,財政預算 有望持續上升。我國受網絡攻擊安全損失最為嚴重,但信息安全發展水平遠低於美國以及全 球平均水平,未來信息和重要數據保護重要性的提升,有望驅動我國金融、電信、醫療等領 域信息安全防護。
(一)安全事件促進立法合規,網絡安全已升至各國國家戰略高度
信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到了對信 息安全領域政策立法進程。本質上軟硬件在線服務的漏洞無法根除,更多漏洞直到被利用、 引發實質性的網絡攻擊才為公眾所知曉。從美國信息安全相關法律立法進程來看,當有重大安 全事件發生時,新聞媒體對事件的報道不斷改變人們對信息安全的認知,進而推進相關法律的 設立。
網絡安全已經上升到國家戰略高度,財政預算有望持續上升。各國通過立法以及關注保 護關鍵信息基礎設施等方式加強在網絡安全佈局,美國在網絡安全領域的投入和佈局是最全面 力度最大的,不斷增加網絡安全財政預算,維持增加美國在網絡安全的領先優勢。我們認為網 絡安全地位不斷提升是世界各國關注的重點和趨勢,相關財政預算有望持續上升,加速相關立 法的推進,同時完善信息安全具體合規性的落地。2017-2019 年美國聯邦政府信息安全支出總 額以及比例持續上升,特別是在 2020 年美國聯邦政府財政預算中計劃 IT 支出比 19 年有所下 降的情況下,信息安全計劃支出佔比上升到20%,達到 17435 億美元。
(二)政策提升信息安全合規要求,合規支出佔比不斷提升
1、政策實現責任實質化,支出佔比不斷提升
美國通過立法逐步提高信息安全的合規要求。2002 年美國《聯邦信息安全管理法案》 (FISMA)的頒佈將合規性進一步落地,要求各聯邦機構制定並實施適用於本機構的信息安 全計劃,以保障聯邦信息和信息系統安全。
1)以法律的形式明確了聯邦機構職責,法律責任實質化。
2)明確監督檢查措施,對違法行為進行強制問責。
3)適用於機構、承包商及其他組織所使用的信息和信息系統,比以前的安全法律更廣泛 的適用性。
FISMA 法案適用於機構、承包商及其他組織所使用的信息和信息系統,面對FISMA 的合 規要求,要求多數的(國家安全部門除外)聯邦政府部門按照標準中的規定進行執行,同時各 個聯邦機構及其下屬機構都要依照FISMA 的考核指標體系向 OMB 彙報安全建設與運營情況, 並接受國會的質詢,以及美國政府問責署的審計。特別是《2009 網絡安全法》的頒佈後提升 了整個美國聯邦政府的合規支出,2012 年佔比曾提升到了近 20%。
2、等保 2.0 下合規要求更加嚴格,《國家關鍵信息基礎設施安全保護條例》有望年內出臺
等保 2.0 帶來增量市場。5 月 13 日國家市場監督管理總局正式發佈《信息安全技術網絡信息安全等級保護基本要求》國家標準, 將於 2019 年 12 月 1 日正式實施, 標誌著“等保 2.0” 時代正式到來。我們認為等保 2.0 的正式發佈將從以下幾個方面對信息安全產業帶來增量市場: 1)保護對象有擴展 2)被動防禦變主動防禦 3)合規性要求更加嚴格。
等保 2.0法律依據的效力位階提高,合規更加嚴格, 法律責任實質化。等保 1.0 其制定的主要法律依據《計算機信息系統安全保護條例》為行政法規;而等保 2.0 的核心法律依據中的 《網絡安全法》屬於法律,特別是《網絡安全等級保護條例》屬於由公安部會同其他有關部門 起草的行政法規,與《管理辦法》相比明顯提升。等保 2.0 對法律責任條款大大增強。文件中 從“違反安全保護義務”、“違反技術維護要求”、“違反數據安全和個人信息保護要求”、“違反網絡安全服務責任”等共八個方面對網絡安全等級保護涉及的法律責任進行了詳細規定。
《國家關鍵信息基礎設施安全保護條例》有望年內出臺,完善網絡基礎設施安全防護體 系。等保 2.0 從立法層面提升了信息安全的合規要求,明確了整體信息安全防禦標準綱領,新 增的領域細分有望陸續出臺相應的政策合規指導以及相關的安全產業發展規劃。在 2019 C3 安全峰會上,公安部網絡安全保衛局總工郭啟全指出《國家關鍵信息基礎設施安全保護條例》 有望年內出臺,條例將為關鍵信息基礎設施保護提供強大的支撐和保障,完善網絡基礎設施安 全防護體系。
(三)中美信息安全發展差異顯著,中國市場發展空間巨大
中國受網絡攻擊安全損失最為嚴重,但信息安全發展水平遠低於美國以及全球平均水平。中國是全球國家中受損失最大的國家,2017 年網絡攻擊造成的安全損失達到 663 億美元。但 在信息安全投入相對 IT 佔比低於世界平均水平,根據 2016 年 IDC 的數據顯示 IT 安全投入佔 比全球平均水平為 3.74%,美國為 4.78% 而中國為 1.84%。對標美國以及全球 IT 安全投入比 例,中國信息安全發展空間巨大。
信息和重要數據保護有望驅動我國金融、電信、互聯網等領域信息安全防護。我國信息 安全最大的下游需求來自於政府(28%),其次是電信(17%)和金融(15%),美國客戶結 構與中國有所不同,信息安全產業結構主要是金融業(26%)、IT 行業(13%)以及政府(14%)。 我們認為對個人信息和重要數據保護越敏感的行業,除了從合規性的角度來部署信息安全防護 以外,會有更強烈的主動需求來增加對信息安全的投入。未來中國在金融、醫療等重要數據敏 感領域有望持續擴大信息安全投入。
中國的安全服務市場處於早期成長階段,市場短期內仍以 IT 硬件為主。中國信息安全市 場相對美國市場,IT 硬件佔比較高達到 48.1%,安全服務比例較低主要是使用外部的安全服 務可能會使提供商接觸到一些企業敏感信息,與中國某些合規要求不符,而美國主要以安全服 務為主,佔比達到了 64.4%。中國的安全服務市場整體還處於早期成長階段,中國各信息安全 廠商主要向市場提供諸如安全設計、安全評估、安全運維和安全技術研發等方面的安全服務,IT 安全硬件市場在未來短期內仍將是 IT 安全市場中佔比最大的市場。
三、技術驅動:IT 技術演變,誕生增量市場
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的變化伴隨IT 技術的變化針對新的終端以及運用場景進行防禦,誕生增量市場,往往新技術革新越大時, 新的場景經濟價值越大,信息安全對應的增量市場空間越大。信息安全以結果為導向產生了 不同的細分,不同公司關注的市場細分不同,形成了不同的競爭優勢,形成多層次信息安全 產業,巨頭間與安全廠商的合作大於競爭。
(一)IT 技術演變催化出新的安全威脅,帶來新機遇
信息安全產品的變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會催生新 的增量市場,往往新技術革新越大,新的場景經濟價值越大時,信息安全對應的增量市場空 間越大。事實上每一個時代的興起和演變,需要相關技術的突破以及帶動應用端的變化,新技 術自身的維護以及與原有架構的融合往往都會帶來信息安全增量市場。從信息安全防禦產品的 維度看,信息安全經歷了三個重要發展階段:
1) PC 時代:以 PC 電腦為終端的設備已經開始普及,由於設備間沒法聯網,病毒主要來 自外接設備,安全產品(例如殺毒軟件)主要在終端內進行防護。
2)互聯網時代:病毒通過傳播互聯網傳播取代外接設備,防護手段也從傳統終端上的殺毒 軟件轉變為以隔離防護來源於外網的攻擊為主,企業級信息安全方案產生。例如:防火牆、 IDS/IPS 同時移動互聯網興起,防禦措施發生相應變化。
3)數據時代:當物與物之間互聯越來越緊密,數據的價值越來越高,業務的組織形式以圍 繞數據進行,將會出現圍繞企業業務場景的安全服務,同時用戶與服務器直接聯繫也越來越緊 密。例如物聯網安全、雲安全。
IT 技術不斷演變,催化出新的安全威脅,帶來新機遇。從具體的 IT 技術演變來看,IT 技術主要經歷了從寬帶發展、網絡應用蓬勃發展、社交網絡等新業務、IT 技術全面滲透以及 雲計算場景等幾個核心方向,重大新興技術革新催化出新的安全威脅,改變市場的競爭格局, 安全產品出現迭代和演變。當前最重要的技術革新是雲計算技術,雲計算作為對傳統 IT 架構 的代替,產生一系列新的安全問題,誕生了虛擬化防火牆等新產品。
(二)等保 2.0 下新興安全領域
1.雲安全:眾多企業上雲,安全需求激增
雲計算系統資源集中程度和架構複雜程度更高,安全問題更加凸顯。由於客戶端、網絡、 服務入口、服務器、雲計算數據中心、計算資源、存儲資源等基礎物理要素雲計算與傳統網絡 構成相同,兩者在一些方面面對相同的安全問題,但由於雲計算共享本質和虛擬化技術的應用, 雲計算系統的資源集中程度和架構複雜程度更高,進而產生數據安全、適應雲計算模式的加密 方法、密文檢索和處理技術、隱私保護方案、訪問控制與身份認證、虛擬化安全、多租戶隔離、 跨域服務安全等安全問題。
雲計算具體是由 IaaS、PaaS 以及 SaaS 構成。數據中心的管理和優化技術以及虛擬化技術是 IaaS 層的關鍵技術,對於 PaaS 層海量數據是安全的重點,SaaS 主要是應用安全。
雲平臺的安全構架與提供的分類等級有關,越底層需要的安全能力也越高,同時管理工作 也越多。全面的安全模式就包括主機的安全防護、客戶端的安全防護、共享間的安全控制、虛 擬機的安全加固等雲計算安全的關鍵技術涉及: 訪問控制與身份認證、數據加密與隱私保護、 密文檢索、安全雲外包計算、數據完整性與數據刪除、虛擬化安全、可信雲計算。
由於眾多企業上雲,近些年雲計算安全需求激增,成為信息安全領域重要的增量市場, 特別是對於 LaaS、PaaS 和 SaaS 的保護已經超過了傳統保護能力。根據Gartner 相關數據, 2022 年全球雲安全市場將達到 119.67 億美元,近六年複合增長實現 15.3%。
從細分市場看,企業上雲面對安全問題優先會考慮電子郵件安全、Web 安全以及身份識 別與訪問管理,LAM、Idass 和雲計算用戶認證細分是雲計算最大的細分市場2019 年達到 30 億美元。
國內涉及雲安全的廠商主要是 BAT 和華為,以及專業安全廠商啟明星辰、綠盟科技以及安恆信息等。
(溫馨提示:文末有下載方式)
報告綜述:
政策提升合規要求,安全支出不斷提升
信息安全目前主要以被動性需求為主,主動需求較少。信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到了對信息安全領域政策推 動進程,從而提升整體的合規要求。目前世界各國不斷加強信息安全佈局,財政 預算有望持續上升。等保 2.0 從立法層面提升了信息安全的合規要求,我們認為 《國家關鍵信息基礎設施安全保護條例》有望年內出臺,完善網絡基礎設施安全 防護體系,再次提升信息安全領域的合規要求
中美信息安全發展差異顯著,中國市場發展空間巨大
世界各國中中國受網絡攻擊安全損失最為嚴重,每年損失 663 億美元,但中國信 息安全發展水平遠低於美國以及全球平均水平,根據 2016 年 IDC 的數據顯示 IT 安全投入佔比全球平均水平為 3.74%,美國為 4.78% 而中國為 1.84%。對標美國 以及全球 IT安全投入比例,中國網安發展空間巨大。我們認為未來信息和重要 數據保護重要性的提升,有望驅動我國金融、電信、互聯網等領域信息安全防護
IT技術演變,誕生增量市場
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的 變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會誕生增量市場, 往往新技術革新越大時,新的場景經濟價值越大時,信息安全對應增量市場空間 越大。信息安全以結果為導向產生了不同的細分,不同公司關注的市場細分不同, 打造了不同的競爭優勢,形成了多層次信息安全產業,巨頭間與安全廠商的合作 大於競爭。等保2.0 時代,新興領域信息安全投入相對各自產業規模佔比逐年上 升,我們認為雲計算以及工業信息信息安全領域是最為重要的兩個細分,看好該 領域有核心競爭力的企業
期待併購重組實現市場集中度提升,安全服務方向具備長期發展潛力
十三五規劃後兩年,信息安全產業有望提速,2018 年中國國內信息安全市場空間 達到 495.2 億,預計在 2021 年將達到 926.8億,未來3 年複合增速將達到 23%。目 前國內信息安全市場呈碎片化,整體市場呈現“競爭型”,傳統細分市場主要呈 現“寡佔型”競爭,傳統產品細分市場格局穩固,市佔率變動較小,安全服務領 域剛剛起步具備長期發展潛力,短期內整體信息安全市場集中度難以快速上升。 根據海外龍頭髮展經驗,企業通過併購重組實現快速擴張,打造整體解決方案, 積極轉型佈局安全服務。根據國內相關企業收購投資經驗數據比較,我們認為領 軍企業併購意願更強,安全服務領域是長期具備發展潛力的重要方向
報告內容:
一、信息安全產業驅動要素
信息安全目前主要是以被動性需求為主,主動需求較少,信息安全投入與經濟效益直接 關聯不緊密。從信息安全的角度,對於普通的軟硬件往往有如下屬性:
1)信息不對稱難以消除。對於軟硬件產品,普通用戶很難對一個軟硬件的安全性進行檢 驗,所以較難對產品安全性願意支出更高的價格
2)責任主體不明。產品漏洞產生嚴重後果時,市場中因為對於廠商、使用者如何承擔明 確的責任是沒有明確的共識
信息安全產品主要起防禦性的作用,合規性提升對信息安全要求防禦的等級和程度。短 期內信息安全的被動需求需要通過立法以及提高合規要求來拉動實現,我們認為通過立法加強 合規的要求,需要立法者不斷提升信息安全的重要性,這種改變在現實中往往需要信息安全事 件(負面)的衝擊。長期數據安全敏感的領域如金融、電信、醫療等,一旦信息洩露造成巨大 損失,是未來拉動信息安全的主力行業。
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會催生新的增量市場,往往新技術革新 越大時,新的場景經濟價值越大時,信息安全對應的增量市場空間越大。
二、合規驅動:政策提高合規要求,安全支出不斷提升
信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到對信息 安全領域政策立法進程,以及整體的合規要求。世界各國不斷加強信息安全投入,財政預算 有望持續上升。我國受網絡攻擊安全損失最為嚴重,但信息安全發展水平遠低於美國以及全 球平均水平,未來信息和重要數據保護重要性的提升,有望驅動我國金融、電信、醫療等領 域信息安全防護。
(一)安全事件促進立法合規,網絡安全已升至各國國家戰略高度
信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到了對信 息安全領域政策立法進程。本質上軟硬件在線服務的漏洞無法根除,更多漏洞直到被利用、 引發實質性的網絡攻擊才為公眾所知曉。從美國信息安全相關法律立法進程來看,當有重大安 全事件發生時,新聞媒體對事件的報道不斷改變人們對信息安全的認知,進而推進相關法律的 設立。
網絡安全已經上升到國家戰略高度,財政預算有望持續上升。各國通過立法以及關注保 護關鍵信息基礎設施等方式加強在網絡安全佈局,美國在網絡安全領域的投入和佈局是最全面 力度最大的,不斷增加網絡安全財政預算,維持增加美國在網絡安全的領先優勢。我們認為網 絡安全地位不斷提升是世界各國關注的重點和趨勢,相關財政預算有望持續上升,加速相關立 法的推進,同時完善信息安全具體合規性的落地。2017-2019 年美國聯邦政府信息安全支出總 額以及比例持續上升,特別是在 2020 年美國聯邦政府財政預算中計劃 IT 支出比 19 年有所下 降的情況下,信息安全計劃支出佔比上升到20%,達到 17435 億美元。
(二)政策提升信息安全合規要求,合規支出佔比不斷提升
1、政策實現責任實質化,支出佔比不斷提升
美國通過立法逐步提高信息安全的合規要求。2002 年美國《聯邦信息安全管理法案》 (FISMA)的頒佈將合規性進一步落地,要求各聯邦機構制定並實施適用於本機構的信息安 全計劃,以保障聯邦信息和信息系統安全。
1)以法律的形式明確了聯邦機構職責,法律責任實質化。
2)明確監督檢查措施,對違法行為進行強制問責。
3)適用於機構、承包商及其他組織所使用的信息和信息系統,比以前的安全法律更廣泛 的適用性。
FISMA 法案適用於機構、承包商及其他組織所使用的信息和信息系統,面對FISMA 的合 規要求,要求多數的(國家安全部門除外)聯邦政府部門按照標準中的規定進行執行,同時各 個聯邦機構及其下屬機構都要依照FISMA 的考核指標體系向 OMB 彙報安全建設與運營情況, 並接受國會的質詢,以及美國政府問責署的審計。特別是《2009 網絡安全法》的頒佈後提升 了整個美國聯邦政府的合規支出,2012 年佔比曾提升到了近 20%。
2、等保 2.0 下合規要求更加嚴格,《國家關鍵信息基礎設施安全保護條例》有望年內出臺
等保 2.0 帶來增量市場。5 月 13 日國家市場監督管理總局正式發佈《信息安全技術網絡信息安全等級保護基本要求》國家標準, 將於 2019 年 12 月 1 日正式實施, 標誌著“等保 2.0” 時代正式到來。我們認為等保 2.0 的正式發佈將從以下幾個方面對信息安全產業帶來增量市場: 1)保護對象有擴展 2)被動防禦變主動防禦 3)合規性要求更加嚴格。
等保 2.0法律依據的效力位階提高,合規更加嚴格, 法律責任實質化。等保 1.0 其制定的主要法律依據《計算機信息系統安全保護條例》為行政法規;而等保 2.0 的核心法律依據中的 《網絡安全法》屬於法律,特別是《網絡安全等級保護條例》屬於由公安部會同其他有關部門 起草的行政法規,與《管理辦法》相比明顯提升。等保 2.0 對法律責任條款大大增強。文件中 從“違反安全保護義務”、“違反技術維護要求”、“違反數據安全和個人信息保護要求”、“違反網絡安全服務責任”等共八個方面對網絡安全等級保護涉及的法律責任進行了詳細規定。
《國家關鍵信息基礎設施安全保護條例》有望年內出臺,完善網絡基礎設施安全防護體 系。等保 2.0 從立法層面提升了信息安全的合規要求,明確了整體信息安全防禦標準綱領,新 增的領域細分有望陸續出臺相應的政策合規指導以及相關的安全產業發展規劃。在 2019 C3 安全峰會上,公安部網絡安全保衛局總工郭啟全指出《國家關鍵信息基礎設施安全保護條例》 有望年內出臺,條例將為關鍵信息基礎設施保護提供強大的支撐和保障,完善網絡基礎設施安 全防護體系。
(三)中美信息安全發展差異顯著,中國市場發展空間巨大
中國受網絡攻擊安全損失最為嚴重,但信息安全發展水平遠低於美國以及全球平均水平。中國是全球國家中受損失最大的國家,2017 年網絡攻擊造成的安全損失達到 663 億美元。但 在信息安全投入相對 IT 佔比低於世界平均水平,根據 2016 年 IDC 的數據顯示 IT 安全投入佔 比全球平均水平為 3.74%,美國為 4.78% 而中國為 1.84%。對標美國以及全球 IT 安全投入比 例,中國信息安全發展空間巨大。
信息和重要數據保護有望驅動我國金融、電信、互聯網等領域信息安全防護。我國信息 安全最大的下游需求來自於政府(28%),其次是電信(17%)和金融(15%),美國客戶結 構與中國有所不同,信息安全產業結構主要是金融業(26%)、IT 行業(13%)以及政府(14%)。 我們認為對個人信息和重要數據保護越敏感的行業,除了從合規性的角度來部署信息安全防護 以外,會有更強烈的主動需求來增加對信息安全的投入。未來中國在金融、醫療等重要數據敏 感領域有望持續擴大信息安全投入。
中國的安全服務市場處於早期成長階段,市場短期內仍以 IT 硬件為主。中國信息安全市 場相對美國市場,IT 硬件佔比較高達到 48.1%,安全服務比例較低主要是使用外部的安全服 務可能會使提供商接觸到一些企業敏感信息,與中國某些合規要求不符,而美國主要以安全服 務為主,佔比達到了 64.4%。中國的安全服務市場整體還處於早期成長階段,中國各信息安全 廠商主要向市場提供諸如安全設計、安全評估、安全運維和安全技術研發等方面的安全服務,IT 安全硬件市場在未來短期內仍將是 IT 安全市場中佔比最大的市場。
三、技術驅動:IT 技術演變,誕生增量市場
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的變化伴隨IT 技術的變化針對新的終端以及運用場景進行防禦,誕生增量市場,往往新技術革新越大時, 新的場景經濟價值越大,信息安全對應的增量市場空間越大。信息安全以結果為導向產生了 不同的細分,不同公司關注的市場細分不同,形成了不同的競爭優勢,形成多層次信息安全 產業,巨頭間與安全廠商的合作大於競爭。
(一)IT 技術演變催化出新的安全威脅,帶來新機遇
信息安全產品的變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會催生新 的增量市場,往往新技術革新越大,新的場景經濟價值越大時,信息安全對應的增量市場空 間越大。事實上每一個時代的興起和演變,需要相關技術的突破以及帶動應用端的變化,新技 術自身的維護以及與原有架構的融合往往都會帶來信息安全增量市場。從信息安全防禦產品的 維度看,信息安全經歷了三個重要發展階段:
1) PC 時代:以 PC 電腦為終端的設備已經開始普及,由於設備間沒法聯網,病毒主要來 自外接設備,安全產品(例如殺毒軟件)主要在終端內進行防護。
2)互聯網時代:病毒通過傳播互聯網傳播取代外接設備,防護手段也從傳統終端上的殺毒 軟件轉變為以隔離防護來源於外網的攻擊為主,企業級信息安全方案產生。例如:防火牆、 IDS/IPS 同時移動互聯網興起,防禦措施發生相應變化。
3)數據時代:當物與物之間互聯越來越緊密,數據的價值越來越高,業務的組織形式以圍 繞數據進行,將會出現圍繞企業業務場景的安全服務,同時用戶與服務器直接聯繫也越來越緊 密。例如物聯網安全、雲安全。
IT 技術不斷演變,催化出新的安全威脅,帶來新機遇。從具體的 IT 技術演變來看,IT 技術主要經歷了從寬帶發展、網絡應用蓬勃發展、社交網絡等新業務、IT 技術全面滲透以及 雲計算場景等幾個核心方向,重大新興技術革新催化出新的安全威脅,改變市場的競爭格局, 安全產品出現迭代和演變。當前最重要的技術革新是雲計算技術,雲計算作為對傳統 IT 架構 的代替,產生一系列新的安全問題,誕生了虛擬化防火牆等新產品。
(二)等保 2.0 下新興安全領域
1.雲安全:眾多企業上雲,安全需求激增
雲計算系統資源集中程度和架構複雜程度更高,安全問題更加凸顯。由於客戶端、網絡、 服務入口、服務器、雲計算數據中心、計算資源、存儲資源等基礎物理要素雲計算與傳統網絡 構成相同,兩者在一些方面面對相同的安全問題,但由於雲計算共享本質和虛擬化技術的應用, 雲計算系統的資源集中程度和架構複雜程度更高,進而產生數據安全、適應雲計算模式的加密 方法、密文檢索和處理技術、隱私保護方案、訪問控制與身份認證、虛擬化安全、多租戶隔離、 跨域服務安全等安全問題。
雲計算具體是由 IaaS、PaaS 以及 SaaS 構成。數據中心的管理和優化技術以及虛擬化技術是 IaaS 層的關鍵技術,對於 PaaS 層海量數據是安全的重點,SaaS 主要是應用安全。
雲平臺的安全構架與提供的分類等級有關,越底層需要的安全能力也越高,同時管理工作 也越多。全面的安全模式就包括主機的安全防護、客戶端的安全防護、共享間的安全控制、虛 擬機的安全加固等雲計算安全的關鍵技術涉及: 訪問控制與身份認證、數據加密與隱私保護、 密文檢索、安全雲外包計算、數據完整性與數據刪除、虛擬化安全、可信雲計算。
由於眾多企業上雲,近些年雲計算安全需求激增,成為信息安全領域重要的增量市場, 特別是對於 LaaS、PaaS 和 SaaS 的保護已經超過了傳統保護能力。根據Gartner 相關數據, 2022 年全球雲安全市場將達到 119.67 億美元,近六年複合增長實現 15.3%。
從細分市場看,企業上雲面對安全問題優先會考慮電子郵件安全、Web 安全以及身份識 別與訪問管理,LAM、Idass 和雲計算用戶認證細分是雲計算最大的細分市場2019 年達到 30 億美元。
國內涉及雲安全的廠商主要是 BAT 和華為,以及專業安全廠商啟明星辰、綠盟科技以及安恆信息等。
(溫馨提示:文末有下載方式)
報告綜述:
政策提升合規要求,安全支出不斷提升
信息安全目前主要以被動性需求為主,主動需求較少。信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到了對信息安全領域政策推 動進程,從而提升整體的合規要求。目前世界各國不斷加強信息安全佈局,財政 預算有望持續上升。等保 2.0 從立法層面提升了信息安全的合規要求,我們認為 《國家關鍵信息基礎設施安全保護條例》有望年內出臺,完善網絡基礎設施安全 防護體系,再次提升信息安全領域的合規要求
中美信息安全發展差異顯著,中國市場發展空間巨大
世界各國中中國受網絡攻擊安全損失最為嚴重,每年損失 663 億美元,但中國信 息安全發展水平遠低於美國以及全球平均水平,根據 2016 年 IDC 的數據顯示 IT 安全投入佔比全球平均水平為 3.74%,美國為 4.78% 而中國為 1.84%。對標美國 以及全球 IT安全投入比例,中國網安發展空間巨大。我們認為未來信息和重要 數據保護重要性的提升,有望驅動我國金融、電信、互聯網等領域信息安全防護
IT技術演變,誕生增量市場
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的 變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會誕生增量市場, 往往新技術革新越大時,新的場景經濟價值越大時,信息安全對應增量市場空間 越大。信息安全以結果為導向產生了不同的細分,不同公司關注的市場細分不同, 打造了不同的競爭優勢,形成了多層次信息安全產業,巨頭間與安全廠商的合作 大於競爭。等保2.0 時代,新興領域信息安全投入相對各自產業規模佔比逐年上 升,我們認為雲計算以及工業信息信息安全領域是最為重要的兩個細分,看好該 領域有核心競爭力的企業
期待併購重組實現市場集中度提升,安全服務方向具備長期發展潛力
十三五規劃後兩年,信息安全產業有望提速,2018 年中國國內信息安全市場空間 達到 495.2 億,預計在 2021 年將達到 926.8億,未來3 年複合增速將達到 23%。目 前國內信息安全市場呈碎片化,整體市場呈現“競爭型”,傳統細分市場主要呈 現“寡佔型”競爭,傳統產品細分市場格局穩固,市佔率變動較小,安全服務領 域剛剛起步具備長期發展潛力,短期內整體信息安全市場集中度難以快速上升。 根據海外龍頭髮展經驗,企業通過併購重組實現快速擴張,打造整體解決方案, 積極轉型佈局安全服務。根據國內相關企業收購投資經驗數據比較,我們認為領 軍企業併購意願更強,安全服務領域是長期具備發展潛力的重要方向
報告內容:
一、信息安全產業驅動要素
信息安全目前主要是以被動性需求為主,主動需求較少,信息安全投入與經濟效益直接 關聯不緊密。從信息安全的角度,對於普通的軟硬件往往有如下屬性:
1)信息不對稱難以消除。對於軟硬件產品,普通用戶很難對一個軟硬件的安全性進行檢 驗,所以較難對產品安全性願意支出更高的價格
2)責任主體不明。產品漏洞產生嚴重後果時,市場中因為對於廠商、使用者如何承擔明 確的責任是沒有明確的共識
信息安全產品主要起防禦性的作用,合規性提升對信息安全要求防禦的等級和程度。短 期內信息安全的被動需求需要通過立法以及提高合規要求來拉動實現,我們認為通過立法加強 合規的要求,需要立法者不斷提升信息安全的重要性,這種改變在現實中往往需要信息安全事 件(負面)的衝擊。長期數據安全敏感的領域如金融、電信、醫療等,一旦信息洩露造成巨大 損失,是未來拉動信息安全的主力行業。
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會催生新的增量市場,往往新技術革新 越大時,新的場景經濟價值越大時,信息安全對應的增量市場空間越大。
二、合規驅動:政策提高合規要求,安全支出不斷提升
信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到對信息 安全領域政策立法進程,以及整體的合規要求。世界各國不斷加強信息安全投入,財政預算 有望持續上升。我國受網絡攻擊安全損失最為嚴重,但信息安全發展水平遠低於美國以及全 球平均水平,未來信息和重要數據保護重要性的提升,有望驅動我國金融、電信、醫療等領 域信息安全防護。
(一)安全事件促進立法合規,網絡安全已升至各國國家戰略高度
信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到了對信 息安全領域政策立法進程。本質上軟硬件在線服務的漏洞無法根除,更多漏洞直到被利用、 引發實質性的網絡攻擊才為公眾所知曉。從美國信息安全相關法律立法進程來看,當有重大安 全事件發生時,新聞媒體對事件的報道不斷改變人們對信息安全的認知,進而推進相關法律的 設立。
網絡安全已經上升到國家戰略高度,財政預算有望持續上升。各國通過立法以及關注保 護關鍵信息基礎設施等方式加強在網絡安全佈局,美國在網絡安全領域的投入和佈局是最全面 力度最大的,不斷增加網絡安全財政預算,維持增加美國在網絡安全的領先優勢。我們認為網 絡安全地位不斷提升是世界各國關注的重點和趨勢,相關財政預算有望持續上升,加速相關立 法的推進,同時完善信息安全具體合規性的落地。2017-2019 年美國聯邦政府信息安全支出總 額以及比例持續上升,特別是在 2020 年美國聯邦政府財政預算中計劃 IT 支出比 19 年有所下 降的情況下,信息安全計劃支出佔比上升到20%,達到 17435 億美元。
(二)政策提升信息安全合規要求,合規支出佔比不斷提升
1、政策實現責任實質化,支出佔比不斷提升
美國通過立法逐步提高信息安全的合規要求。2002 年美國《聯邦信息安全管理法案》 (FISMA)的頒佈將合規性進一步落地,要求各聯邦機構制定並實施適用於本機構的信息安 全計劃,以保障聯邦信息和信息系統安全。
1)以法律的形式明確了聯邦機構職責,法律責任實質化。
2)明確監督檢查措施,對違法行為進行強制問責。
3)適用於機構、承包商及其他組織所使用的信息和信息系統,比以前的安全法律更廣泛 的適用性。
FISMA 法案適用於機構、承包商及其他組織所使用的信息和信息系統,面對FISMA 的合 規要求,要求多數的(國家安全部門除外)聯邦政府部門按照標準中的規定進行執行,同時各 個聯邦機構及其下屬機構都要依照FISMA 的考核指標體系向 OMB 彙報安全建設與運營情況, 並接受國會的質詢,以及美國政府問責署的審計。特別是《2009 網絡安全法》的頒佈後提升 了整個美國聯邦政府的合規支出,2012 年佔比曾提升到了近 20%。
2、等保 2.0 下合規要求更加嚴格,《國家關鍵信息基礎設施安全保護條例》有望年內出臺
等保 2.0 帶來增量市場。5 月 13 日國家市場監督管理總局正式發佈《信息安全技術網絡信息安全等級保護基本要求》國家標準, 將於 2019 年 12 月 1 日正式實施, 標誌著“等保 2.0” 時代正式到來。我們認為等保 2.0 的正式發佈將從以下幾個方面對信息安全產業帶來增量市場: 1)保護對象有擴展 2)被動防禦變主動防禦 3)合規性要求更加嚴格。
等保 2.0法律依據的效力位階提高,合規更加嚴格, 法律責任實質化。等保 1.0 其制定的主要法律依據《計算機信息系統安全保護條例》為行政法規;而等保 2.0 的核心法律依據中的 《網絡安全法》屬於法律,特別是《網絡安全等級保護條例》屬於由公安部會同其他有關部門 起草的行政法規,與《管理辦法》相比明顯提升。等保 2.0 對法律責任條款大大增強。文件中 從“違反安全保護義務”、“違反技術維護要求”、“違反數據安全和個人信息保護要求”、“違反網絡安全服務責任”等共八個方面對網絡安全等級保護涉及的法律責任進行了詳細規定。
《國家關鍵信息基礎設施安全保護條例》有望年內出臺,完善網絡基礎設施安全防護體 系。等保 2.0 從立法層面提升了信息安全的合規要求,明確了整體信息安全防禦標準綱領,新 增的領域細分有望陸續出臺相應的政策合規指導以及相關的安全產業發展規劃。在 2019 C3 安全峰會上,公安部網絡安全保衛局總工郭啟全指出《國家關鍵信息基礎設施安全保護條例》 有望年內出臺,條例將為關鍵信息基礎設施保護提供強大的支撐和保障,完善網絡基礎設施安 全防護體系。
(三)中美信息安全發展差異顯著,中國市場發展空間巨大
中國受網絡攻擊安全損失最為嚴重,但信息安全發展水平遠低於美國以及全球平均水平。中國是全球國家中受損失最大的國家,2017 年網絡攻擊造成的安全損失達到 663 億美元。但 在信息安全投入相對 IT 佔比低於世界平均水平,根據 2016 年 IDC 的數據顯示 IT 安全投入佔 比全球平均水平為 3.74%,美國為 4.78% 而中國為 1.84%。對標美國以及全球 IT 安全投入比 例,中國信息安全發展空間巨大。
信息和重要數據保護有望驅動我國金融、電信、互聯網等領域信息安全防護。我國信息 安全最大的下游需求來自於政府(28%),其次是電信(17%)和金融(15%),美國客戶結 構與中國有所不同,信息安全產業結構主要是金融業(26%)、IT 行業(13%)以及政府(14%)。 我們認為對個人信息和重要數據保護越敏感的行業,除了從合規性的角度來部署信息安全防護 以外,會有更強烈的主動需求來增加對信息安全的投入。未來中國在金融、醫療等重要數據敏 感領域有望持續擴大信息安全投入。
中國的安全服務市場處於早期成長階段,市場短期內仍以 IT 硬件為主。中國信息安全市 場相對美國市場,IT 硬件佔比較高達到 48.1%,安全服務比例較低主要是使用外部的安全服 務可能會使提供商接觸到一些企業敏感信息,與中國某些合規要求不符,而美國主要以安全服 務為主,佔比達到了 64.4%。中國的安全服務市場整體還處於早期成長階段,中國各信息安全 廠商主要向市場提供諸如安全設計、安全評估、安全運維和安全技術研發等方面的安全服務,IT 安全硬件市場在未來短期內仍將是 IT 安全市場中佔比最大的市場。
三、技術驅動:IT 技術演變,誕生增量市場
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的變化伴隨IT 技術的變化針對新的終端以及運用場景進行防禦,誕生增量市場,往往新技術革新越大時, 新的場景經濟價值越大,信息安全對應的增量市場空間越大。信息安全以結果為導向產生了 不同的細分,不同公司關注的市場細分不同,形成了不同的競爭優勢,形成多層次信息安全 產業,巨頭間與安全廠商的合作大於競爭。
(一)IT 技術演變催化出新的安全威脅,帶來新機遇
信息安全產品的變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會催生新 的增量市場,往往新技術革新越大,新的場景經濟價值越大時,信息安全對應的增量市場空 間越大。事實上每一個時代的興起和演變,需要相關技術的突破以及帶動應用端的變化,新技 術自身的維護以及與原有架構的融合往往都會帶來信息安全增量市場。從信息安全防禦產品的 維度看,信息安全經歷了三個重要發展階段:
1) PC 時代:以 PC 電腦為終端的設備已經開始普及,由於設備間沒法聯網,病毒主要來 自外接設備,安全產品(例如殺毒軟件)主要在終端內進行防護。
2)互聯網時代:病毒通過傳播互聯網傳播取代外接設備,防護手段也從傳統終端上的殺毒 軟件轉變為以隔離防護來源於外網的攻擊為主,企業級信息安全方案產生。例如:防火牆、 IDS/IPS 同時移動互聯網興起,防禦措施發生相應變化。
3)數據時代:當物與物之間互聯越來越緊密,數據的價值越來越高,業務的組織形式以圍 繞數據進行,將會出現圍繞企業業務場景的安全服務,同時用戶與服務器直接聯繫也越來越緊 密。例如物聯網安全、雲安全。
IT 技術不斷演變,催化出新的安全威脅,帶來新機遇。從具體的 IT 技術演變來看,IT 技術主要經歷了從寬帶發展、網絡應用蓬勃發展、社交網絡等新業務、IT 技術全面滲透以及 雲計算場景等幾個核心方向,重大新興技術革新催化出新的安全威脅,改變市場的競爭格局, 安全產品出現迭代和演變。當前最重要的技術革新是雲計算技術,雲計算作為對傳統 IT 架構 的代替,產生一系列新的安全問題,誕生了虛擬化防火牆等新產品。
(二)等保 2.0 下新興安全領域
1.雲安全:眾多企業上雲,安全需求激增
雲計算系統資源集中程度和架構複雜程度更高,安全問題更加凸顯。由於客戶端、網絡、 服務入口、服務器、雲計算數據中心、計算資源、存儲資源等基礎物理要素雲計算與傳統網絡 構成相同,兩者在一些方面面對相同的安全問題,但由於雲計算共享本質和虛擬化技術的應用, 雲計算系統的資源集中程度和架構複雜程度更高,進而產生數據安全、適應雲計算模式的加密 方法、密文檢索和處理技術、隱私保護方案、訪問控制與身份認證、虛擬化安全、多租戶隔離、 跨域服務安全等安全問題。
雲計算具體是由 IaaS、PaaS 以及 SaaS 構成。數據中心的管理和優化技術以及虛擬化技術是 IaaS 層的關鍵技術,對於 PaaS 層海量數據是安全的重點,SaaS 主要是應用安全。
雲平臺的安全構架與提供的分類等級有關,越底層需要的安全能力也越高,同時管理工作 也越多。全面的安全模式就包括主機的安全防護、客戶端的安全防護、共享間的安全控制、虛 擬機的安全加固等雲計算安全的關鍵技術涉及: 訪問控制與身份認證、數據加密與隱私保護、 密文檢索、安全雲外包計算、數據完整性與數據刪除、虛擬化安全、可信雲計算。
由於眾多企業上雲,近些年雲計算安全需求激增,成為信息安全領域重要的增量市場, 特別是對於 LaaS、PaaS 和 SaaS 的保護已經超過了傳統保護能力。根據Gartner 相關數據, 2022 年全球雲安全市場將達到 119.67 億美元,近六年複合增長實現 15.3%。
從細分市場看,企業上雲面對安全問題優先會考慮電子郵件安全、Web 安全以及身份識 別與訪問管理,LAM、Idass 和雲計算用戶認證細分是雲計算最大的細分市場2019 年達到 30 億美元。
國內涉及雲安全的廠商主要是 BAT 和華為,以及專業安全廠商啟明星辰、綠盟科技以及安恆信息等。
(溫馨提示:文末有下載方式)
報告綜述:
政策提升合規要求,安全支出不斷提升
信息安全目前主要以被動性需求為主,主動需求較少。信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到了對信息安全領域政策推 動進程,從而提升整體的合規要求。目前世界各國不斷加強信息安全佈局,財政 預算有望持續上升。等保 2.0 從立法層面提升了信息安全的合規要求,我們認為 《國家關鍵信息基礎設施安全保護條例》有望年內出臺,完善網絡基礎設施安全 防護體系,再次提升信息安全領域的合規要求
中美信息安全發展差異顯著,中國市場發展空間巨大
世界各國中中國受網絡攻擊安全損失最為嚴重,每年損失 663 億美元,但中國信 息安全發展水平遠低於美國以及全球平均水平,根據 2016 年 IDC 的數據顯示 IT 安全投入佔比全球平均水平為 3.74%,美國為 4.78% 而中國為 1.84%。對標美國 以及全球 IT安全投入比例,中國網安發展空間巨大。我們認為未來信息和重要 數據保護重要性的提升,有望驅動我國金融、電信、互聯網等領域信息安全防護
IT技術演變,誕生增量市場
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的 變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會誕生增量市場, 往往新技術革新越大時,新的場景經濟價值越大時,信息安全對應增量市場空間 越大。信息安全以結果為導向產生了不同的細分,不同公司關注的市場細分不同, 打造了不同的競爭優勢,形成了多層次信息安全產業,巨頭間與安全廠商的合作 大於競爭。等保2.0 時代,新興領域信息安全投入相對各自產業規模佔比逐年上 升,我們認為雲計算以及工業信息信息安全領域是最為重要的兩個細分,看好該 領域有核心競爭力的企業
期待併購重組實現市場集中度提升,安全服務方向具備長期發展潛力
十三五規劃後兩年,信息安全產業有望提速,2018 年中國國內信息安全市場空間 達到 495.2 億,預計在 2021 年將達到 926.8億,未來3 年複合增速將達到 23%。目 前國內信息安全市場呈碎片化,整體市場呈現“競爭型”,傳統細分市場主要呈 現“寡佔型”競爭,傳統產品細分市場格局穩固,市佔率變動較小,安全服務領 域剛剛起步具備長期發展潛力,短期內整體信息安全市場集中度難以快速上升。 根據海外龍頭髮展經驗,企業通過併購重組實現快速擴張,打造整體解決方案, 積極轉型佈局安全服務。根據國內相關企業收購投資經驗數據比較,我們認為領 軍企業併購意願更強,安全服務領域是長期具備發展潛力的重要方向
報告內容:
一、信息安全產業驅動要素
信息安全目前主要是以被動性需求為主,主動需求較少,信息安全投入與經濟效益直接 關聯不緊密。從信息安全的角度,對於普通的軟硬件往往有如下屬性:
1)信息不對稱難以消除。對於軟硬件產品,普通用戶很難對一個軟硬件的安全性進行檢 驗,所以較難對產品安全性願意支出更高的價格
2)責任主體不明。產品漏洞產生嚴重後果時,市場中因為對於廠商、使用者如何承擔明 確的責任是沒有明確的共識
信息安全產品主要起防禦性的作用,合規性提升對信息安全要求防禦的等級和程度。短 期內信息安全的被動需求需要通過立法以及提高合規要求來拉動實現,我們認為通過立法加強 合規的要求,需要立法者不斷提升信息安全的重要性,這種改變在現實中往往需要信息安全事 件(負面)的衝擊。長期數據安全敏感的領域如金融、電信、醫療等,一旦信息洩露造成巨大 損失,是未來拉動信息安全的主力行業。
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會催生新的增量市場,往往新技術革新 越大時,新的場景經濟價值越大時,信息安全對應的增量市場空間越大。
二、合規驅動:政策提高合規要求,安全支出不斷提升
信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到對信息 安全領域政策立法進程,以及整體的合規要求。世界各國不斷加強信息安全投入,財政預算 有望持續上升。我國受網絡攻擊安全損失最為嚴重,但信息安全發展水平遠低於美國以及全 球平均水平,未來信息和重要數據保護重要性的提升,有望驅動我國金融、電信、醫療等領 域信息安全防護。
(一)安全事件促進立法合規,網絡安全已升至各國國家戰略高度
信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到了對信 息安全領域政策立法進程。本質上軟硬件在線服務的漏洞無法根除,更多漏洞直到被利用、 引發實質性的網絡攻擊才為公眾所知曉。從美國信息安全相關法律立法進程來看,當有重大安 全事件發生時,新聞媒體對事件的報道不斷改變人們對信息安全的認知,進而推進相關法律的 設立。
網絡安全已經上升到國家戰略高度,財政預算有望持續上升。各國通過立法以及關注保 護關鍵信息基礎設施等方式加強在網絡安全佈局,美國在網絡安全領域的投入和佈局是最全面 力度最大的,不斷增加網絡安全財政預算,維持增加美國在網絡安全的領先優勢。我們認為網 絡安全地位不斷提升是世界各國關注的重點和趨勢,相關財政預算有望持續上升,加速相關立 法的推進,同時完善信息安全具體合規性的落地。2017-2019 年美國聯邦政府信息安全支出總 額以及比例持續上升,特別是在 2020 年美國聯邦政府財政預算中計劃 IT 支出比 19 年有所下 降的情況下,信息安全計劃支出佔比上升到20%,達到 17435 億美元。
(二)政策提升信息安全合規要求,合規支出佔比不斷提升
1、政策實現責任實質化,支出佔比不斷提升
美國通過立法逐步提高信息安全的合規要求。2002 年美國《聯邦信息安全管理法案》 (FISMA)的頒佈將合規性進一步落地,要求各聯邦機構制定並實施適用於本機構的信息安 全計劃,以保障聯邦信息和信息系統安全。
1)以法律的形式明確了聯邦機構職責,法律責任實質化。
2)明確監督檢查措施,對違法行為進行強制問責。
3)適用於機構、承包商及其他組織所使用的信息和信息系統,比以前的安全法律更廣泛 的適用性。
FISMA 法案適用於機構、承包商及其他組織所使用的信息和信息系統,面對FISMA 的合 規要求,要求多數的(國家安全部門除外)聯邦政府部門按照標準中的規定進行執行,同時各 個聯邦機構及其下屬機構都要依照FISMA 的考核指標體系向 OMB 彙報安全建設與運營情況, 並接受國會的質詢,以及美國政府問責署的審計。特別是《2009 網絡安全法》的頒佈後提升 了整個美國聯邦政府的合規支出,2012 年佔比曾提升到了近 20%。
2、等保 2.0 下合規要求更加嚴格,《國家關鍵信息基礎設施安全保護條例》有望年內出臺
等保 2.0 帶來增量市場。5 月 13 日國家市場監督管理總局正式發佈《信息安全技術網絡信息安全等級保護基本要求》國家標準, 將於 2019 年 12 月 1 日正式實施, 標誌著“等保 2.0” 時代正式到來。我們認為等保 2.0 的正式發佈將從以下幾個方面對信息安全產業帶來增量市場: 1)保護對象有擴展 2)被動防禦變主動防禦 3)合規性要求更加嚴格。
等保 2.0法律依據的效力位階提高,合規更加嚴格, 法律責任實質化。等保 1.0 其制定的主要法律依據《計算機信息系統安全保護條例》為行政法規;而等保 2.0 的核心法律依據中的 《網絡安全法》屬於法律,特別是《網絡安全等級保護條例》屬於由公安部會同其他有關部門 起草的行政法規,與《管理辦法》相比明顯提升。等保 2.0 對法律責任條款大大增強。文件中 從“違反安全保護義務”、“違反技術維護要求”、“違反數據安全和個人信息保護要求”、“違反網絡安全服務責任”等共八個方面對網絡安全等級保護涉及的法律責任進行了詳細規定。
《國家關鍵信息基礎設施安全保護條例》有望年內出臺,完善網絡基礎設施安全防護體 系。等保 2.0 從立法層面提升了信息安全的合規要求,明確了整體信息安全防禦標準綱領,新 增的領域細分有望陸續出臺相應的政策合規指導以及相關的安全產業發展規劃。在 2019 C3 安全峰會上,公安部網絡安全保衛局總工郭啟全指出《國家關鍵信息基礎設施安全保護條例》 有望年內出臺,條例將為關鍵信息基礎設施保護提供強大的支撐和保障,完善網絡基礎設施安 全防護體系。
(三)中美信息安全發展差異顯著,中國市場發展空間巨大
中國受網絡攻擊安全損失最為嚴重,但信息安全發展水平遠低於美國以及全球平均水平。中國是全球國家中受損失最大的國家,2017 年網絡攻擊造成的安全損失達到 663 億美元。但 在信息安全投入相對 IT 佔比低於世界平均水平,根據 2016 年 IDC 的數據顯示 IT 安全投入佔 比全球平均水平為 3.74%,美國為 4.78% 而中國為 1.84%。對標美國以及全球 IT 安全投入比 例,中國信息安全發展空間巨大。
信息和重要數據保護有望驅動我國金融、電信、互聯網等領域信息安全防護。我國信息 安全最大的下游需求來自於政府(28%),其次是電信(17%)和金融(15%),美國客戶結 構與中國有所不同,信息安全產業結構主要是金融業(26%)、IT 行業(13%)以及政府(14%)。 我們認為對個人信息和重要數據保護越敏感的行業,除了從合規性的角度來部署信息安全防護 以外,會有更強烈的主動需求來增加對信息安全的投入。未來中國在金融、醫療等重要數據敏 感領域有望持續擴大信息安全投入。
中國的安全服務市場處於早期成長階段,市場短期內仍以 IT 硬件為主。中國信息安全市 場相對美國市場,IT 硬件佔比較高達到 48.1%,安全服務比例較低主要是使用外部的安全服 務可能會使提供商接觸到一些企業敏感信息,與中國某些合規要求不符,而美國主要以安全服 務為主,佔比達到了 64.4%。中國的安全服務市場整體還處於早期成長階段,中國各信息安全 廠商主要向市場提供諸如安全設計、安全評估、安全運維和安全技術研發等方面的安全服務,IT 安全硬件市場在未來短期內仍將是 IT 安全市場中佔比最大的市場。
三、技術驅動:IT 技術演變,誕生增量市場
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的變化伴隨IT 技術的變化針對新的終端以及運用場景進行防禦,誕生增量市場,往往新技術革新越大時, 新的場景經濟價值越大,信息安全對應的增量市場空間越大。信息安全以結果為導向產生了 不同的細分,不同公司關注的市場細分不同,形成了不同的競爭優勢,形成多層次信息安全 產業,巨頭間與安全廠商的合作大於競爭。
(一)IT 技術演變催化出新的安全威脅,帶來新機遇
信息安全產品的變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會催生新 的增量市場,往往新技術革新越大,新的場景經濟價值越大時,信息安全對應的增量市場空 間越大。事實上每一個時代的興起和演變,需要相關技術的突破以及帶動應用端的變化,新技 術自身的維護以及與原有架構的融合往往都會帶來信息安全增量市場。從信息安全防禦產品的 維度看,信息安全經歷了三個重要發展階段:
1) PC 時代:以 PC 電腦為終端的設備已經開始普及,由於設備間沒法聯網,病毒主要來 自外接設備,安全產品(例如殺毒軟件)主要在終端內進行防護。
2)互聯網時代:病毒通過傳播互聯網傳播取代外接設備,防護手段也從傳統終端上的殺毒 軟件轉變為以隔離防護來源於外網的攻擊為主,企業級信息安全方案產生。例如:防火牆、 IDS/IPS 同時移動互聯網興起,防禦措施發生相應變化。
3)數據時代:當物與物之間互聯越來越緊密,數據的價值越來越高,業務的組織形式以圍 繞數據進行,將會出現圍繞企業業務場景的安全服務,同時用戶與服務器直接聯繫也越來越緊 密。例如物聯網安全、雲安全。
IT 技術不斷演變,催化出新的安全威脅,帶來新機遇。從具體的 IT 技術演變來看,IT 技術主要經歷了從寬帶發展、網絡應用蓬勃發展、社交網絡等新業務、IT 技術全面滲透以及 雲計算場景等幾個核心方向,重大新興技術革新催化出新的安全威脅,改變市場的競爭格局, 安全產品出現迭代和演變。當前最重要的技術革新是雲計算技術,雲計算作為對傳統 IT 架構 的代替,產生一系列新的安全問題,誕生了虛擬化防火牆等新產品。
(二)等保 2.0 下新興安全領域
1.雲安全:眾多企業上雲,安全需求激增
雲計算系統資源集中程度和架構複雜程度更高,安全問題更加凸顯。由於客戶端、網絡、 服務入口、服務器、雲計算數據中心、計算資源、存儲資源等基礎物理要素雲計算與傳統網絡 構成相同,兩者在一些方面面對相同的安全問題,但由於雲計算共享本質和虛擬化技術的應用, 雲計算系統的資源集中程度和架構複雜程度更高,進而產生數據安全、適應雲計算模式的加密 方法、密文檢索和處理技術、隱私保護方案、訪問控制與身份認證、虛擬化安全、多租戶隔離、 跨域服務安全等安全問題。
雲計算具體是由 IaaS、PaaS 以及 SaaS 構成。數據中心的管理和優化技術以及虛擬化技術是 IaaS 層的關鍵技術,對於 PaaS 層海量數據是安全的重點,SaaS 主要是應用安全。
雲平臺的安全構架與提供的分類等級有關,越底層需要的安全能力也越高,同時管理工作 也越多。全面的安全模式就包括主機的安全防護、客戶端的安全防護、共享間的安全控制、虛 擬機的安全加固等雲計算安全的關鍵技術涉及: 訪問控制與身份認證、數據加密與隱私保護、 密文檢索、安全雲外包計算、數據完整性與數據刪除、虛擬化安全、可信雲計算。
由於眾多企業上雲,近些年雲計算安全需求激增,成為信息安全領域重要的增量市場, 特別是對於 LaaS、PaaS 和 SaaS 的保護已經超過了傳統保護能力。根據Gartner 相關數據, 2022 年全球雲安全市場將達到 119.67 億美元,近六年複合增長實現 15.3%。
從細分市場看,企業上雲面對安全問題優先會考慮電子郵件安全、Web 安全以及身份識 別與訪問管理,LAM、Idass 和雲計算用戶認證細分是雲計算最大的細分市場2019 年達到 30 億美元。
國內涉及雲安全的廠商主要是 BAT 和華為,以及專業安全廠商啟明星辰、綠盟科技以及安恆信息等。
2. 物聯網安全:物聯網連接設備劇增,安全風險不可忽視
物聯網系統直接暴露於互聯網,容易遭到網絡攻擊。物聯網安全風險主要集中在服務端、終端、通信網絡三個方面。服務端是整個物聯網業務系統的功能核心,終端主要功能是實現對 信息的採集、識別和控制,通信網絡系統主要用於將感知層獲取的信息在網絡中進行傳遞和處 理。
物聯網安全主要涉及服務器安全、終端安全以及通訊安全。服務器中存儲了大量用戶的 信息,一旦遭受到入侵將導致數據洩露、系統業務功能被控制等安全問題;感知器分佈在未受 保護的物理環境中,移動性高,安全可控性低,且自身的安全防護能力較弱,網絡通信缺乏加 密通信機制。
物聯網相比於互聯網添加了“雲”和“端”,信息安全防禦的面更廣也更復雜。應用層 以及傳輸層可以通過傳統的信息技術解決,物聯網多應用場景以及從終端感知結點到網關結點 使得傳統的互聯網安全技術難以滿足需求。
行業監管機構可通過感知層,網絡層,應用層建立物聯網全流程主動安全防禦體系。感 知層可運用虹膜,指紋等生物特徵進行識別,一旦認證失敗可直接告警。在網絡層可建造一套 完善的網絡層安全機制,提升接入側設備的安全防護能力,應用層可將大中型業務提供商作為 重點管理對象,加強安全防護。
(溫馨提示:文末有下載方式)
報告綜述:
政策提升合規要求,安全支出不斷提升
信息安全目前主要以被動性需求為主,主動需求較少。信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到了對信息安全領域政策推 動進程,從而提升整體的合規要求。目前世界各國不斷加強信息安全佈局,財政 預算有望持續上升。等保 2.0 從立法層面提升了信息安全的合規要求,我們認為 《國家關鍵信息基礎設施安全保護條例》有望年內出臺,完善網絡基礎設施安全 防護體系,再次提升信息安全領域的合規要求
中美信息安全發展差異顯著,中國市場發展空間巨大
世界各國中中國受網絡攻擊安全損失最為嚴重,每年損失 663 億美元,但中國信 息安全發展水平遠低於美國以及全球平均水平,根據 2016 年 IDC 的數據顯示 IT 安全投入佔比全球平均水平為 3.74%,美國為 4.78% 而中國為 1.84%。對標美國 以及全球 IT安全投入比例,中國網安發展空間巨大。我們認為未來信息和重要 數據保護重要性的提升,有望驅動我國金融、電信、互聯網等領域信息安全防護
IT技術演變,誕生增量市場
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的 變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會誕生增量市場, 往往新技術革新越大時,新的場景經濟價值越大時,信息安全對應增量市場空間 越大。信息安全以結果為導向產生了不同的細分,不同公司關注的市場細分不同, 打造了不同的競爭優勢,形成了多層次信息安全產業,巨頭間與安全廠商的合作 大於競爭。等保2.0 時代,新興領域信息安全投入相對各自產業規模佔比逐年上 升,我們認為雲計算以及工業信息信息安全領域是最為重要的兩個細分,看好該 領域有核心競爭力的企業
期待併購重組實現市場集中度提升,安全服務方向具備長期發展潛力
十三五規劃後兩年,信息安全產業有望提速,2018 年中國國內信息安全市場空間 達到 495.2 億,預計在 2021 年將達到 926.8億,未來3 年複合增速將達到 23%。目 前國內信息安全市場呈碎片化,整體市場呈現“競爭型”,傳統細分市場主要呈 現“寡佔型”競爭,傳統產品細分市場格局穩固,市佔率變動較小,安全服務領 域剛剛起步具備長期發展潛力,短期內整體信息安全市場集中度難以快速上升。 根據海外龍頭髮展經驗,企業通過併購重組實現快速擴張,打造整體解決方案, 積極轉型佈局安全服務。根據國內相關企業收購投資經驗數據比較,我們認為領 軍企業併購意願更強,安全服務領域是長期具備發展潛力的重要方向
報告內容:
一、信息安全產業驅動要素
信息安全目前主要是以被動性需求為主,主動需求較少,信息安全投入與經濟效益直接 關聯不緊密。從信息安全的角度,對於普通的軟硬件往往有如下屬性:
1)信息不對稱難以消除。對於軟硬件產品,普通用戶很難對一個軟硬件的安全性進行檢 驗,所以較難對產品安全性願意支出更高的價格
2)責任主體不明。產品漏洞產生嚴重後果時,市場中因為對於廠商、使用者如何承擔明 確的責任是沒有明確的共識
信息安全產品主要起防禦性的作用,合規性提升對信息安全要求防禦的等級和程度。短 期內信息安全的被動需求需要通過立法以及提高合規要求來拉動實現,我們認為通過立法加強 合規的要求,需要立法者不斷提升信息安全的重要性,這種改變在現實中往往需要信息安全事 件(負面)的衝擊。長期數據安全敏感的領域如金融、電信、醫療等,一旦信息洩露造成巨大 損失,是未來拉動信息安全的主力行業。
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會催生新的增量市場,往往新技術革新 越大時,新的場景經濟價值越大時,信息安全對應的增量市場空間越大。
二、合規驅動:政策提高合規要求,安全支出不斷提升
信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到對信息 安全領域政策立法進程,以及整體的合規要求。世界各國不斷加強信息安全投入,財政預算 有望持續上升。我國受網絡攻擊安全損失最為嚴重,但信息安全發展水平遠低於美國以及全 球平均水平,未來信息和重要數據保護重要性的提升,有望驅動我國金融、電信、醫療等領 域信息安全防護。
(一)安全事件促進立法合規,網絡安全已升至各國國家戰略高度
信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到了對信 息安全領域政策立法進程。本質上軟硬件在線服務的漏洞無法根除,更多漏洞直到被利用、 引發實質性的網絡攻擊才為公眾所知曉。從美國信息安全相關法律立法進程來看,當有重大安 全事件發生時,新聞媒體對事件的報道不斷改變人們對信息安全的認知,進而推進相關法律的 設立。
網絡安全已經上升到國家戰略高度,財政預算有望持續上升。各國通過立法以及關注保 護關鍵信息基礎設施等方式加強在網絡安全佈局,美國在網絡安全領域的投入和佈局是最全面 力度最大的,不斷增加網絡安全財政預算,維持增加美國在網絡安全的領先優勢。我們認為網 絡安全地位不斷提升是世界各國關注的重點和趨勢,相關財政預算有望持續上升,加速相關立 法的推進,同時完善信息安全具體合規性的落地。2017-2019 年美國聯邦政府信息安全支出總 額以及比例持續上升,特別是在 2020 年美國聯邦政府財政預算中計劃 IT 支出比 19 年有所下 降的情況下,信息安全計劃支出佔比上升到20%,達到 17435 億美元。
(二)政策提升信息安全合規要求,合規支出佔比不斷提升
1、政策實現責任實質化,支出佔比不斷提升
美國通過立法逐步提高信息安全的合規要求。2002 年美國《聯邦信息安全管理法案》 (FISMA)的頒佈將合規性進一步落地,要求各聯邦機構制定並實施適用於本機構的信息安 全計劃,以保障聯邦信息和信息系統安全。
1)以法律的形式明確了聯邦機構職責,法律責任實質化。
2)明確監督檢查措施,對違法行為進行強制問責。
3)適用於機構、承包商及其他組織所使用的信息和信息系統,比以前的安全法律更廣泛 的適用性。
FISMA 法案適用於機構、承包商及其他組織所使用的信息和信息系統,面對FISMA 的合 規要求,要求多數的(國家安全部門除外)聯邦政府部門按照標準中的規定進行執行,同時各 個聯邦機構及其下屬機構都要依照FISMA 的考核指標體系向 OMB 彙報安全建設與運營情況, 並接受國會的質詢,以及美國政府問責署的審計。特別是《2009 網絡安全法》的頒佈後提升 了整個美國聯邦政府的合規支出,2012 年佔比曾提升到了近 20%。
2、等保 2.0 下合規要求更加嚴格,《國家關鍵信息基礎設施安全保護條例》有望年內出臺
等保 2.0 帶來增量市場。5 月 13 日國家市場監督管理總局正式發佈《信息安全技術網絡信息安全等級保護基本要求》國家標準, 將於 2019 年 12 月 1 日正式實施, 標誌著“等保 2.0” 時代正式到來。我們認為等保 2.0 的正式發佈將從以下幾個方面對信息安全產業帶來增量市場: 1)保護對象有擴展 2)被動防禦變主動防禦 3)合規性要求更加嚴格。
等保 2.0法律依據的效力位階提高,合規更加嚴格, 法律責任實質化。等保 1.0 其制定的主要法律依據《計算機信息系統安全保護條例》為行政法規;而等保 2.0 的核心法律依據中的 《網絡安全法》屬於法律,特別是《網絡安全等級保護條例》屬於由公安部會同其他有關部門 起草的行政法規,與《管理辦法》相比明顯提升。等保 2.0 對法律責任條款大大增強。文件中 從“違反安全保護義務”、“違反技術維護要求”、“違反數據安全和個人信息保護要求”、“違反網絡安全服務責任”等共八個方面對網絡安全等級保護涉及的法律責任進行了詳細規定。
《國家關鍵信息基礎設施安全保護條例》有望年內出臺,完善網絡基礎設施安全防護體 系。等保 2.0 從立法層面提升了信息安全的合規要求,明確了整體信息安全防禦標準綱領,新 增的領域細分有望陸續出臺相應的政策合規指導以及相關的安全產業發展規劃。在 2019 C3 安全峰會上,公安部網絡安全保衛局總工郭啟全指出《國家關鍵信息基礎設施安全保護條例》 有望年內出臺,條例將為關鍵信息基礎設施保護提供強大的支撐和保障,完善網絡基礎設施安 全防護體系。
(三)中美信息安全發展差異顯著,中國市場發展空間巨大
中國受網絡攻擊安全損失最為嚴重,但信息安全發展水平遠低於美國以及全球平均水平。中國是全球國家中受損失最大的國家,2017 年網絡攻擊造成的安全損失達到 663 億美元。但 在信息安全投入相對 IT 佔比低於世界平均水平,根據 2016 年 IDC 的數據顯示 IT 安全投入佔 比全球平均水平為 3.74%,美國為 4.78% 而中國為 1.84%。對標美國以及全球 IT 安全投入比 例,中國信息安全發展空間巨大。
信息和重要數據保護有望驅動我國金融、電信、互聯網等領域信息安全防護。我國信息 安全最大的下游需求來自於政府(28%),其次是電信(17%)和金融(15%),美國客戶結 構與中國有所不同,信息安全產業結構主要是金融業(26%)、IT 行業(13%)以及政府(14%)。 我們認為對個人信息和重要數據保護越敏感的行業,除了從合規性的角度來部署信息安全防護 以外,會有更強烈的主動需求來增加對信息安全的投入。未來中國在金融、醫療等重要數據敏 感領域有望持續擴大信息安全投入。
中國的安全服務市場處於早期成長階段,市場短期內仍以 IT 硬件為主。中國信息安全市 場相對美國市場,IT 硬件佔比較高達到 48.1%,安全服務比例較低主要是使用外部的安全服 務可能會使提供商接觸到一些企業敏感信息,與中國某些合規要求不符,而美國主要以安全服 務為主,佔比達到了 64.4%。中國的安全服務市場整體還處於早期成長階段,中國各信息安全 廠商主要向市場提供諸如安全設計、安全評估、安全運維和安全技術研發等方面的安全服務,IT 安全硬件市場在未來短期內仍將是 IT 安全市場中佔比最大的市場。
三、技術驅動:IT 技術演變,誕生增量市場
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的變化伴隨IT 技術的變化針對新的終端以及運用場景進行防禦,誕生增量市場,往往新技術革新越大時, 新的場景經濟價值越大,信息安全對應的增量市場空間越大。信息安全以結果為導向產生了 不同的細分,不同公司關注的市場細分不同,形成了不同的競爭優勢,形成多層次信息安全 產業,巨頭間與安全廠商的合作大於競爭。
(一)IT 技術演變催化出新的安全威脅,帶來新機遇
信息安全產品的變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會催生新 的增量市場,往往新技術革新越大,新的場景經濟價值越大時,信息安全對應的增量市場空 間越大。事實上每一個時代的興起和演變,需要相關技術的突破以及帶動應用端的變化,新技 術自身的維護以及與原有架構的融合往往都會帶來信息安全增量市場。從信息安全防禦產品的 維度看,信息安全經歷了三個重要發展階段:
1) PC 時代:以 PC 電腦為終端的設備已經開始普及,由於設備間沒法聯網,病毒主要來 自外接設備,安全產品(例如殺毒軟件)主要在終端內進行防護。
2)互聯網時代:病毒通過傳播互聯網傳播取代外接設備,防護手段也從傳統終端上的殺毒 軟件轉變為以隔離防護來源於外網的攻擊為主,企業級信息安全方案產生。例如:防火牆、 IDS/IPS 同時移動互聯網興起,防禦措施發生相應變化。
3)數據時代:當物與物之間互聯越來越緊密,數據的價值越來越高,業務的組織形式以圍 繞數據進行,將會出現圍繞企業業務場景的安全服務,同時用戶與服務器直接聯繫也越來越緊 密。例如物聯網安全、雲安全。
IT 技術不斷演變,催化出新的安全威脅,帶來新機遇。從具體的 IT 技術演變來看,IT 技術主要經歷了從寬帶發展、網絡應用蓬勃發展、社交網絡等新業務、IT 技術全面滲透以及 雲計算場景等幾個核心方向,重大新興技術革新催化出新的安全威脅,改變市場的競爭格局, 安全產品出現迭代和演變。當前最重要的技術革新是雲計算技術,雲計算作為對傳統 IT 架構 的代替,產生一系列新的安全問題,誕生了虛擬化防火牆等新產品。
(二)等保 2.0 下新興安全領域
1.雲安全:眾多企業上雲,安全需求激增
雲計算系統資源集中程度和架構複雜程度更高,安全問題更加凸顯。由於客戶端、網絡、 服務入口、服務器、雲計算數據中心、計算資源、存儲資源等基礎物理要素雲計算與傳統網絡 構成相同,兩者在一些方面面對相同的安全問題,但由於雲計算共享本質和虛擬化技術的應用, 雲計算系統的資源集中程度和架構複雜程度更高,進而產生數據安全、適應雲計算模式的加密 方法、密文檢索和處理技術、隱私保護方案、訪問控制與身份認證、虛擬化安全、多租戶隔離、 跨域服務安全等安全問題。
雲計算具體是由 IaaS、PaaS 以及 SaaS 構成。數據中心的管理和優化技術以及虛擬化技術是 IaaS 層的關鍵技術,對於 PaaS 層海量數據是安全的重點,SaaS 主要是應用安全。
雲平臺的安全構架與提供的分類等級有關,越底層需要的安全能力也越高,同時管理工作 也越多。全面的安全模式就包括主機的安全防護、客戶端的安全防護、共享間的安全控制、虛 擬機的安全加固等雲計算安全的關鍵技術涉及: 訪問控制與身份認證、數據加密與隱私保護、 密文檢索、安全雲外包計算、數據完整性與數據刪除、虛擬化安全、可信雲計算。
由於眾多企業上雲,近些年雲計算安全需求激增,成為信息安全領域重要的增量市場, 特別是對於 LaaS、PaaS 和 SaaS 的保護已經超過了傳統保護能力。根據Gartner 相關數據, 2022 年全球雲安全市場將達到 119.67 億美元,近六年複合增長實現 15.3%。
從細分市場看,企業上雲面對安全問題優先會考慮電子郵件安全、Web 安全以及身份識 別與訪問管理,LAM、Idass 和雲計算用戶認證細分是雲計算最大的細分市場2019 年達到 30 億美元。
國內涉及雲安全的廠商主要是 BAT 和華為,以及專業安全廠商啟明星辰、綠盟科技以及安恆信息等。
2. 物聯網安全:物聯網連接設備劇增,安全風險不可忽視
物聯網系統直接暴露於互聯網,容易遭到網絡攻擊。物聯網安全風險主要集中在服務端、終端、通信網絡三個方面。服務端是整個物聯網業務系統的功能核心,終端主要功能是實現對 信息的採集、識別和控制,通信網絡系統主要用於將感知層獲取的信息在網絡中進行傳遞和處 理。
物聯網安全主要涉及服務器安全、終端安全以及通訊安全。服務器中存儲了大量用戶的 信息,一旦遭受到入侵將導致數據洩露、系統業務功能被控制等安全問題;感知器分佈在未受 保護的物理環境中,移動性高,安全可控性低,且自身的安全防護能力較弱,網絡通信缺乏加 密通信機制。
物聯網相比於互聯網添加了“雲”和“端”,信息安全防禦的面更廣也更復雜。應用層 以及傳輸層可以通過傳統的信息技術解決,物聯網多應用場景以及從終端感知結點到網關結點 使得傳統的互聯網安全技術難以滿足需求。
行業監管機構可通過感知層,網絡層,應用層建立物聯網全流程主動安全防禦體系。感 知層可運用虹膜,指紋等生物特徵進行識別,一旦認證失敗可直接告警。在網絡層可建造一套 完善的網絡層安全機制,提升接入側設備的安全防護能力,應用層可將大中型業務提供商作為 重點管理對象,加強安全防護。
(溫馨提示:文末有下載方式)
報告綜述:
政策提升合規要求,安全支出不斷提升
信息安全目前主要以被動性需求為主,主動需求較少。信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到了對信息安全領域政策推 動進程,從而提升整體的合規要求。目前世界各國不斷加強信息安全佈局,財政 預算有望持續上升。等保 2.0 從立法層面提升了信息安全的合規要求,我們認為 《國家關鍵信息基礎設施安全保護條例》有望年內出臺,完善網絡基礎設施安全 防護體系,再次提升信息安全領域的合規要求
中美信息安全發展差異顯著,中國市場發展空間巨大
世界各國中中國受網絡攻擊安全損失最為嚴重,每年損失 663 億美元,但中國信 息安全發展水平遠低於美國以及全球平均水平,根據 2016 年 IDC 的數據顯示 IT 安全投入佔比全球平均水平為 3.74%,美國為 4.78% 而中國為 1.84%。對標美國 以及全球 IT安全投入比例,中國網安發展空間巨大。我們認為未來信息和重要 數據保護重要性的提升,有望驅動我國金融、電信、互聯網等領域信息安全防護
IT技術演變,誕生增量市場
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的 變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會誕生增量市場, 往往新技術革新越大時,新的場景經濟價值越大時,信息安全對應增量市場空間 越大。信息安全以結果為導向產生了不同的細分,不同公司關注的市場細分不同, 打造了不同的競爭優勢,形成了多層次信息安全產業,巨頭間與安全廠商的合作 大於競爭。等保2.0 時代,新興領域信息安全投入相對各自產業規模佔比逐年上 升,我們認為雲計算以及工業信息信息安全領域是最為重要的兩個細分,看好該 領域有核心競爭力的企業
期待併購重組實現市場集中度提升,安全服務方向具備長期發展潛力
十三五規劃後兩年,信息安全產業有望提速,2018 年中國國內信息安全市場空間 達到 495.2 億,預計在 2021 年將達到 926.8億,未來3 年複合增速將達到 23%。目 前國內信息安全市場呈碎片化,整體市場呈現“競爭型”,傳統細分市場主要呈 現“寡佔型”競爭,傳統產品細分市場格局穩固,市佔率變動較小,安全服務領 域剛剛起步具備長期發展潛力,短期內整體信息安全市場集中度難以快速上升。 根據海外龍頭髮展經驗,企業通過併購重組實現快速擴張,打造整體解決方案, 積極轉型佈局安全服務。根據國內相關企業收購投資經驗數據比較,我們認為領 軍企業併購意願更強,安全服務領域是長期具備發展潛力的重要方向
報告內容:
一、信息安全產業驅動要素
信息安全目前主要是以被動性需求為主,主動需求較少,信息安全投入與經濟效益直接 關聯不緊密。從信息安全的角度,對於普通的軟硬件往往有如下屬性:
1)信息不對稱難以消除。對於軟硬件產品,普通用戶很難對一個軟硬件的安全性進行檢 驗,所以較難對產品安全性願意支出更高的價格
2)責任主體不明。產品漏洞產生嚴重後果時,市場中因為對於廠商、使用者如何承擔明 確的責任是沒有明確的共識
信息安全產品主要起防禦性的作用,合規性提升對信息安全要求防禦的等級和程度。短 期內信息安全的被動需求需要通過立法以及提高合規要求來拉動實現,我們認為通過立法加強 合規的要求,需要立法者不斷提升信息安全的重要性,這種改變在現實中往往需要信息安全事 件(負面)的衝擊。長期數據安全敏感的領域如金融、電信、醫療等,一旦信息洩露造成巨大 損失,是未來拉動信息安全的主力行業。
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會催生新的增量市場,往往新技術革新 越大時,新的場景經濟價值越大時,信息安全對應的增量市場空間越大。
二、合規驅動:政策提高合規要求,安全支出不斷提升
信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到對信息 安全領域政策立法進程,以及整體的合規要求。世界各國不斷加強信息安全投入,財政預算 有望持續上升。我國受網絡攻擊安全損失最為嚴重,但信息安全發展水平遠低於美國以及全 球平均水平,未來信息和重要數據保護重要性的提升,有望驅動我國金融、電信、醫療等領 域信息安全防護。
(一)安全事件促進立法合規,網絡安全已升至各國國家戰略高度
信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到了對信 息安全領域政策立法進程。本質上軟硬件在線服務的漏洞無法根除,更多漏洞直到被利用、 引發實質性的網絡攻擊才為公眾所知曉。從美國信息安全相關法律立法進程來看,當有重大安 全事件發生時,新聞媒體對事件的報道不斷改變人們對信息安全的認知,進而推進相關法律的 設立。
網絡安全已經上升到國家戰略高度,財政預算有望持續上升。各國通過立法以及關注保 護關鍵信息基礎設施等方式加強在網絡安全佈局,美國在網絡安全領域的投入和佈局是最全面 力度最大的,不斷增加網絡安全財政預算,維持增加美國在網絡安全的領先優勢。我們認為網 絡安全地位不斷提升是世界各國關注的重點和趨勢,相關財政預算有望持續上升,加速相關立 法的推進,同時完善信息安全具體合規性的落地。2017-2019 年美國聯邦政府信息安全支出總 額以及比例持續上升,特別是在 2020 年美國聯邦政府財政預算中計劃 IT 支出比 19 年有所下 降的情況下,信息安全計劃支出佔比上升到20%,達到 17435 億美元。
(二)政策提升信息安全合規要求,合規支出佔比不斷提升
1、政策實現責任實質化,支出佔比不斷提升
美國通過立法逐步提高信息安全的合規要求。2002 年美國《聯邦信息安全管理法案》 (FISMA)的頒佈將合規性進一步落地,要求各聯邦機構制定並實施適用於本機構的信息安 全計劃,以保障聯邦信息和信息系統安全。
1)以法律的形式明確了聯邦機構職責,法律責任實質化。
2)明確監督檢查措施,對違法行為進行強制問責。
3)適用於機構、承包商及其他組織所使用的信息和信息系統,比以前的安全法律更廣泛 的適用性。
FISMA 法案適用於機構、承包商及其他組織所使用的信息和信息系統,面對FISMA 的合 規要求,要求多數的(國家安全部門除外)聯邦政府部門按照標準中的規定進行執行,同時各 個聯邦機構及其下屬機構都要依照FISMA 的考核指標體系向 OMB 彙報安全建設與運營情況, 並接受國會的質詢,以及美國政府問責署的審計。特別是《2009 網絡安全法》的頒佈後提升 了整個美國聯邦政府的合規支出,2012 年佔比曾提升到了近 20%。
2、等保 2.0 下合規要求更加嚴格,《國家關鍵信息基礎設施安全保護條例》有望年內出臺
等保 2.0 帶來增量市場。5 月 13 日國家市場監督管理總局正式發佈《信息安全技術網絡信息安全等級保護基本要求》國家標準, 將於 2019 年 12 月 1 日正式實施, 標誌著“等保 2.0” 時代正式到來。我們認為等保 2.0 的正式發佈將從以下幾個方面對信息安全產業帶來增量市場: 1)保護對象有擴展 2)被動防禦變主動防禦 3)合規性要求更加嚴格。
等保 2.0法律依據的效力位階提高,合規更加嚴格, 法律責任實質化。等保 1.0 其制定的主要法律依據《計算機信息系統安全保護條例》為行政法規;而等保 2.0 的核心法律依據中的 《網絡安全法》屬於法律,特別是《網絡安全等級保護條例》屬於由公安部會同其他有關部門 起草的行政法規,與《管理辦法》相比明顯提升。等保 2.0 對法律責任條款大大增強。文件中 從“違反安全保護義務”、“違反技術維護要求”、“違反數據安全和個人信息保護要求”、“違反網絡安全服務責任”等共八個方面對網絡安全等級保護涉及的法律責任進行了詳細規定。
《國家關鍵信息基礎設施安全保護條例》有望年內出臺,完善網絡基礎設施安全防護體 系。等保 2.0 從立法層面提升了信息安全的合規要求,明確了整體信息安全防禦標準綱領,新 增的領域細分有望陸續出臺相應的政策合規指導以及相關的安全產業發展規劃。在 2019 C3 安全峰會上,公安部網絡安全保衛局總工郭啟全指出《國家關鍵信息基礎設施安全保護條例》 有望年內出臺,條例將為關鍵信息基礎設施保護提供強大的支撐和保障,完善網絡基礎設施安 全防護體系。
(三)中美信息安全發展差異顯著,中國市場發展空間巨大
中國受網絡攻擊安全損失最為嚴重,但信息安全發展水平遠低於美國以及全球平均水平。中國是全球國家中受損失最大的國家,2017 年網絡攻擊造成的安全損失達到 663 億美元。但 在信息安全投入相對 IT 佔比低於世界平均水平,根據 2016 年 IDC 的數據顯示 IT 安全投入佔 比全球平均水平為 3.74%,美國為 4.78% 而中國為 1.84%。對標美國以及全球 IT 安全投入比 例,中國信息安全發展空間巨大。
信息和重要數據保護有望驅動我國金融、電信、互聯網等領域信息安全防護。我國信息 安全最大的下游需求來自於政府(28%),其次是電信(17%)和金融(15%),美國客戶結 構與中國有所不同,信息安全產業結構主要是金融業(26%)、IT 行業(13%)以及政府(14%)。 我們認為對個人信息和重要數據保護越敏感的行業,除了從合規性的角度來部署信息安全防護 以外,會有更強烈的主動需求來增加對信息安全的投入。未來中國在金融、醫療等重要數據敏 感領域有望持續擴大信息安全投入。
中國的安全服務市場處於早期成長階段,市場短期內仍以 IT 硬件為主。中國信息安全市 場相對美國市場,IT 硬件佔比較高達到 48.1%,安全服務比例較低主要是使用外部的安全服 務可能會使提供商接觸到一些企業敏感信息,與中國某些合規要求不符,而美國主要以安全服 務為主,佔比達到了 64.4%。中國的安全服務市場整體還處於早期成長階段,中國各信息安全 廠商主要向市場提供諸如安全設計、安全評估、安全運維和安全技術研發等方面的安全服務,IT 安全硬件市場在未來短期內仍將是 IT 安全市場中佔比最大的市場。
三、技術驅動:IT 技術演變,誕生增量市場
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的變化伴隨IT 技術的變化針對新的終端以及運用場景進行防禦,誕生增量市場,往往新技術革新越大時, 新的場景經濟價值越大,信息安全對應的增量市場空間越大。信息安全以結果為導向產生了 不同的細分,不同公司關注的市場細分不同,形成了不同的競爭優勢,形成多層次信息安全 產業,巨頭間與安全廠商的合作大於競爭。
(一)IT 技術演變催化出新的安全威脅,帶來新機遇
信息安全產品的變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會催生新 的增量市場,往往新技術革新越大,新的場景經濟價值越大時,信息安全對應的增量市場空 間越大。事實上每一個時代的興起和演變,需要相關技術的突破以及帶動應用端的變化,新技 術自身的維護以及與原有架構的融合往往都會帶來信息安全增量市場。從信息安全防禦產品的 維度看,信息安全經歷了三個重要發展階段:
1) PC 時代:以 PC 電腦為終端的設備已經開始普及,由於設備間沒法聯網,病毒主要來 自外接設備,安全產品(例如殺毒軟件)主要在終端內進行防護。
2)互聯網時代:病毒通過傳播互聯網傳播取代外接設備,防護手段也從傳統終端上的殺毒 軟件轉變為以隔離防護來源於外網的攻擊為主,企業級信息安全方案產生。例如:防火牆、 IDS/IPS 同時移動互聯網興起,防禦措施發生相應變化。
3)數據時代:當物與物之間互聯越來越緊密,數據的價值越來越高,業務的組織形式以圍 繞數據進行,將會出現圍繞企業業務場景的安全服務,同時用戶與服務器直接聯繫也越來越緊 密。例如物聯網安全、雲安全。
IT 技術不斷演變,催化出新的安全威脅,帶來新機遇。從具體的 IT 技術演變來看,IT 技術主要經歷了從寬帶發展、網絡應用蓬勃發展、社交網絡等新業務、IT 技術全面滲透以及 雲計算場景等幾個核心方向,重大新興技術革新催化出新的安全威脅,改變市場的競爭格局, 安全產品出現迭代和演變。當前最重要的技術革新是雲計算技術,雲計算作為對傳統 IT 架構 的代替,產生一系列新的安全問題,誕生了虛擬化防火牆等新產品。
(二)等保 2.0 下新興安全領域
1.雲安全:眾多企業上雲,安全需求激增
雲計算系統資源集中程度和架構複雜程度更高,安全問題更加凸顯。由於客戶端、網絡、 服務入口、服務器、雲計算數據中心、計算資源、存儲資源等基礎物理要素雲計算與傳統網絡 構成相同,兩者在一些方面面對相同的安全問題,但由於雲計算共享本質和虛擬化技術的應用, 雲計算系統的資源集中程度和架構複雜程度更高,進而產生數據安全、適應雲計算模式的加密 方法、密文檢索和處理技術、隱私保護方案、訪問控制與身份認證、虛擬化安全、多租戶隔離、 跨域服務安全等安全問題。
雲計算具體是由 IaaS、PaaS 以及 SaaS 構成。數據中心的管理和優化技術以及虛擬化技術是 IaaS 層的關鍵技術,對於 PaaS 層海量數據是安全的重點,SaaS 主要是應用安全。
雲平臺的安全構架與提供的分類等級有關,越底層需要的安全能力也越高,同時管理工作 也越多。全面的安全模式就包括主機的安全防護、客戶端的安全防護、共享間的安全控制、虛 擬機的安全加固等雲計算安全的關鍵技術涉及: 訪問控制與身份認證、數據加密與隱私保護、 密文檢索、安全雲外包計算、數據完整性與數據刪除、虛擬化安全、可信雲計算。
由於眾多企業上雲,近些年雲計算安全需求激增,成為信息安全領域重要的增量市場, 特別是對於 LaaS、PaaS 和 SaaS 的保護已經超過了傳統保護能力。根據Gartner 相關數據, 2022 年全球雲安全市場將達到 119.67 億美元,近六年複合增長實現 15.3%。
從細分市場看,企業上雲面對安全問題優先會考慮電子郵件安全、Web 安全以及身份識 別與訪問管理,LAM、Idass 和雲計算用戶認證細分是雲計算最大的細分市場2019 年達到 30 億美元。
國內涉及雲安全的廠商主要是 BAT 和華為,以及專業安全廠商啟明星辰、綠盟科技以及安恆信息等。
2. 物聯網安全:物聯網連接設備劇增,安全風險不可忽視
物聯網系統直接暴露於互聯網,容易遭到網絡攻擊。物聯網安全風險主要集中在服務端、終端、通信網絡三個方面。服務端是整個物聯網業務系統的功能核心,終端主要功能是實現對 信息的採集、識別和控制,通信網絡系統主要用於將感知層獲取的信息在網絡中進行傳遞和處 理。
物聯網安全主要涉及服務器安全、終端安全以及通訊安全。服務器中存儲了大量用戶的 信息,一旦遭受到入侵將導致數據洩露、系統業務功能被控制等安全問題;感知器分佈在未受 保護的物理環境中,移動性高,安全可控性低,且自身的安全防護能力較弱,網絡通信缺乏加 密通信機制。
物聯網相比於互聯網添加了“雲”和“端”,信息安全防禦的面更廣也更復雜。應用層 以及傳輸層可以通過傳統的信息技術解決,物聯網多應用場景以及從終端感知結點到網關結點 使得傳統的互聯網安全技術難以滿足需求。
行業監管機構可通過感知層,網絡層,應用層建立物聯網全流程主動安全防禦體系。感 知層可運用虹膜,指紋等生物特徵進行識別,一旦認證失敗可直接告警。在網絡層可建造一套 完善的網絡層安全機制,提升接入側設備的安全防護能力,應用層可將大中型業務提供商作為 重點管理對象,加強安全防護。
物聯網連接設備劇增,安全風險不可忽視。據中國信通院統計,至 2025 年全球物聯網連接設備總金額 250 億美元,較 2019 年有超過一倍的增長。隨著設備連接數量的增加,物聯網 設備安全風險暴露的可能性也隨之增加,物聯網安全市場規模增長可期。
全球物聯網安全支出規模可觀,增長潛力巨大。Gartner 預測 2018 年全球物聯網安全支 出將達到 15 億美元,比同比增長 28%,預計到 2021 年物聯網安全將整體實現 31 億美元, 細分市場來看最大的市場是專業服務市場。
國外核心涉及物聯網安全的廠商是賽門鐵克,國內廠商主要是華為,啟明星辰,綠盟科技等。
3. 工業信息安全:國家關鍵基礎設施安全刻不容緩,安全防護看中整體解決方案
對比傳統安全,工業信息安全不能接受頻繁的升級,看中整體解決方案。工業信息系統 相對於傳統系統更看重可用性即在一般情況下不允許系統重啟,強調整體解決方案,同時工業控制系統不能接受頻繁的升級,而傳統的IT 信息安全產品更多的需要通過不斷的升級“庫” 來滿足當前安全的需要。
從產業結構看,工業信息安全中終端安全最為重要市場佔有率達到了 47%,網絡安全以 工業防火牆、路由器為代表的網絡安全達到了 33%。我國工業互聯網企業大多采用傳統網絡 信息安全防護技術,尚無面向工業互聯網 OT 側安全的專用防護設備。
高危漏洞佔比最多,國家關鍵基礎設施安全問題刻不容緩。工業信息系統主要涉及鋼鐵、 石化、裝備製造、軌道交通、電力、供水等國家關鍵基礎設施領域,行業來看其中電力(26%)、 石油(21%)、軌道交通(11%)佔比較大,佔比跟行業對於民生日常影響程度有關。 根據國家 工業信息安全發展研究中心截至 2017 年 11 月,跟蹤研判的所有 366 個工業信息相關漏洞 中,高危漏洞數量佔比最高(59%),其次是中危漏洞(39%),工業信息相關漏洞大一旦被 利用,極易造成破壞性的後果,安全問題刻不容緩。
工業互聯網打破了傳統工業相對封閉可信的製造環境,病毒、木馬、高級持續性攻擊(APT) 等安全風險對工業生產的威脅日益加劇,2019 年工業信息安全市場規模將達到 125.1 億,預計 2021 年將達到 221 億,複合增速為 33%。
海外主要涉及工業信息安全的廠商有 GE,西門子,英特爾,國內的廠商主要是威努特,和利時浙大中控,四方繼保,啟明星辰,綠盟科技等。
4. 大數據安全:大數據產業飛速發展,數據洩露事件頻發
4V 構成大數據顯著特徵,時效性對安全提出更高要求。4V 為 Variety,Volume Velocity,Value,含義為種類多,數量大,速度快,價值性高。與傳統數據安全不同,大數據安全對平臺安全的要求更高,由於大數據平臺的網絡攻擊手段不斷變化,更需要從攻防兩方面入手進行 管理。其次,大數據安全要兼顧數據利用與隱私保護需求,在大數據場景下,隱私保護備受關 注,需要運用同態加密、多方安全計算、匿名化等技術實現。
大數據安全技術體系分為大數據平臺安全、數據安全和個人隱私保護三個層次,自下而 上為依次承載的關係。大數據平臺不僅要保障自身基礎組件安全,還要保障在其運行的數據 以及應用安全;除平臺安全保障外,數據安全防護技術通過分類分級,數據隔離,數據加密等 為業務應用中的數據流動過程提供安全防護;隱私安全保護主要針對個人敏感信息進行防護。
大數據產業飛速發展,數據洩露事件頻發。隨著各行業大量數據不段產生,據 IDC 預測, 至 2020 年全球數據信息總量將達到 40ZB。與此同時,洩露數據事件的數量也在不斷增加,2017 年數量已超過 26 億,較 16 年增長近一倍,數據安全問題不斷加劇。
大數據安全市場規模日益擴大,預計未來增速可觀。近年來,受政策和各類數據洩密事 件影響,我國大數據安全市場規模持續高速增長,2018 年的規模達到了 28.4 億元,未來年均 增長率將穩步提高。隨著大數據安全市場不段打造成熟,各大傳統安全企業將其納入未來企業 戰略佈局重點。
海外涉及大數據安全的廠商主要是賽門鐵克,邁克菲,趨勢科技等,國內的廠商主要是啟 明星辰,綠盟科技,天融信等。
(溫馨提示:文末有下載方式)
報告綜述:
政策提升合規要求,安全支出不斷提升
信息安全目前主要以被動性需求為主,主動需求較少。信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到了對信息安全領域政策推 動進程,從而提升整體的合規要求。目前世界各國不斷加強信息安全佈局,財政 預算有望持續上升。等保 2.0 從立法層面提升了信息安全的合規要求,我們認為 《國家關鍵信息基礎設施安全保護條例》有望年內出臺,完善網絡基礎設施安全 防護體系,再次提升信息安全領域的合規要求
中美信息安全發展差異顯著,中國市場發展空間巨大
世界各國中中國受網絡攻擊安全損失最為嚴重,每年損失 663 億美元,但中國信 息安全發展水平遠低於美國以及全球平均水平,根據 2016 年 IDC 的數據顯示 IT 安全投入佔比全球平均水平為 3.74%,美國為 4.78% 而中國為 1.84%。對標美國 以及全球 IT安全投入比例,中國網安發展空間巨大。我們認為未來信息和重要 數據保護重要性的提升,有望驅動我國金融、電信、互聯網等領域信息安全防護
IT技術演變,誕生增量市場
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的 變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會誕生增量市場, 往往新技術革新越大時,新的場景經濟價值越大時,信息安全對應增量市場空間 越大。信息安全以結果為導向產生了不同的細分,不同公司關注的市場細分不同, 打造了不同的競爭優勢,形成了多層次信息安全產業,巨頭間與安全廠商的合作 大於競爭。等保2.0 時代,新興領域信息安全投入相對各自產業規模佔比逐年上 升,我們認為雲計算以及工業信息信息安全領域是最為重要的兩個細分,看好該 領域有核心競爭力的企業
期待併購重組實現市場集中度提升,安全服務方向具備長期發展潛力
十三五規劃後兩年,信息安全產業有望提速,2018 年中國國內信息安全市場空間 達到 495.2 億,預計在 2021 年將達到 926.8億,未來3 年複合增速將達到 23%。目 前國內信息安全市場呈碎片化,整體市場呈現“競爭型”,傳統細分市場主要呈 現“寡佔型”競爭,傳統產品細分市場格局穩固,市佔率變動較小,安全服務領 域剛剛起步具備長期發展潛力,短期內整體信息安全市場集中度難以快速上升。 根據海外龍頭髮展經驗,企業通過併購重組實現快速擴張,打造整體解決方案, 積極轉型佈局安全服務。根據國內相關企業收購投資經驗數據比較,我們認為領 軍企業併購意願更強,安全服務領域是長期具備發展潛力的重要方向
報告內容:
一、信息安全產業驅動要素
信息安全目前主要是以被動性需求為主,主動需求較少,信息安全投入與經濟效益直接 關聯不緊密。從信息安全的角度,對於普通的軟硬件往往有如下屬性:
1)信息不對稱難以消除。對於軟硬件產品,普通用戶很難對一個軟硬件的安全性進行檢 驗,所以較難對產品安全性願意支出更高的價格
2)責任主體不明。產品漏洞產生嚴重後果時,市場中因為對於廠商、使用者如何承擔明 確的責任是沒有明確的共識
信息安全產品主要起防禦性的作用,合規性提升對信息安全要求防禦的等級和程度。短 期內信息安全的被動需求需要通過立法以及提高合規要求來拉動實現,我們認為通過立法加強 合規的要求,需要立法者不斷提升信息安全的重要性,這種改變在現實中往往需要信息安全事 件(負面)的衝擊。長期數據安全敏感的領域如金融、電信、醫療等,一旦信息洩露造成巨大 損失,是未來拉動信息安全的主力行業。
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會催生新的增量市場,往往新技術革新 越大時,新的場景經濟價值越大時,信息安全對應的增量市場空間越大。
二、合規驅動:政策提高合規要求,安全支出不斷提升
信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到對信息 安全領域政策立法進程,以及整體的合規要求。世界各國不斷加強信息安全投入,財政預算 有望持續上升。我國受網絡攻擊安全損失最為嚴重,但信息安全發展水平遠低於美國以及全 球平均水平,未來信息和重要數據保護重要性的提升,有望驅動我國金融、電信、醫療等領 域信息安全防護。
(一)安全事件促進立法合規,網絡安全已升至各國國家戰略高度
信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到了對信 息安全領域政策立法進程。本質上軟硬件在線服務的漏洞無法根除,更多漏洞直到被利用、 引發實質性的網絡攻擊才為公眾所知曉。從美國信息安全相關法律立法進程來看,當有重大安 全事件發生時,新聞媒體對事件的報道不斷改變人們對信息安全的認知,進而推進相關法律的 設立。
網絡安全已經上升到國家戰略高度,財政預算有望持續上升。各國通過立法以及關注保 護關鍵信息基礎設施等方式加強在網絡安全佈局,美國在網絡安全領域的投入和佈局是最全面 力度最大的,不斷增加網絡安全財政預算,維持增加美國在網絡安全的領先優勢。我們認為網 絡安全地位不斷提升是世界各國關注的重點和趨勢,相關財政預算有望持續上升,加速相關立 法的推進,同時完善信息安全具體合規性的落地。2017-2019 年美國聯邦政府信息安全支出總 額以及比例持續上升,特別是在 2020 年美國聯邦政府財政預算中計劃 IT 支出比 19 年有所下 降的情況下,信息安全計劃支出佔比上升到20%,達到 17435 億美元。
(二)政策提升信息安全合規要求,合規支出佔比不斷提升
1、政策實現責任實質化,支出佔比不斷提升
美國通過立法逐步提高信息安全的合規要求。2002 年美國《聯邦信息安全管理法案》 (FISMA)的頒佈將合規性進一步落地,要求各聯邦機構制定並實施適用於本機構的信息安 全計劃,以保障聯邦信息和信息系統安全。
1)以法律的形式明確了聯邦機構職責,法律責任實質化。
2)明確監督檢查措施,對違法行為進行強制問責。
3)適用於機構、承包商及其他組織所使用的信息和信息系統,比以前的安全法律更廣泛 的適用性。
FISMA 法案適用於機構、承包商及其他組織所使用的信息和信息系統,面對FISMA 的合 規要求,要求多數的(國家安全部門除外)聯邦政府部門按照標準中的規定進行執行,同時各 個聯邦機構及其下屬機構都要依照FISMA 的考核指標體系向 OMB 彙報安全建設與運營情況, 並接受國會的質詢,以及美國政府問責署的審計。特別是《2009 網絡安全法》的頒佈後提升 了整個美國聯邦政府的合規支出,2012 年佔比曾提升到了近 20%。
2、等保 2.0 下合規要求更加嚴格,《國家關鍵信息基礎設施安全保護條例》有望年內出臺
等保 2.0 帶來增量市場。5 月 13 日國家市場監督管理總局正式發佈《信息安全技術網絡信息安全等級保護基本要求》國家標準, 將於 2019 年 12 月 1 日正式實施, 標誌著“等保 2.0” 時代正式到來。我們認為等保 2.0 的正式發佈將從以下幾個方面對信息安全產業帶來增量市場: 1)保護對象有擴展 2)被動防禦變主動防禦 3)合規性要求更加嚴格。
等保 2.0法律依據的效力位階提高,合規更加嚴格, 法律責任實質化。等保 1.0 其制定的主要法律依據《計算機信息系統安全保護條例》為行政法規;而等保 2.0 的核心法律依據中的 《網絡安全法》屬於法律,特別是《網絡安全等級保護條例》屬於由公安部會同其他有關部門 起草的行政法規,與《管理辦法》相比明顯提升。等保 2.0 對法律責任條款大大增強。文件中 從“違反安全保護義務”、“違反技術維護要求”、“違反數據安全和個人信息保護要求”、“違反網絡安全服務責任”等共八個方面對網絡安全等級保護涉及的法律責任進行了詳細規定。
《國家關鍵信息基礎設施安全保護條例》有望年內出臺,完善網絡基礎設施安全防護體 系。等保 2.0 從立法層面提升了信息安全的合規要求,明確了整體信息安全防禦標準綱領,新 增的領域細分有望陸續出臺相應的政策合規指導以及相關的安全產業發展規劃。在 2019 C3 安全峰會上,公安部網絡安全保衛局總工郭啟全指出《國家關鍵信息基礎設施安全保護條例》 有望年內出臺,條例將為關鍵信息基礎設施保護提供強大的支撐和保障,完善網絡基礎設施安 全防護體系。
(三)中美信息安全發展差異顯著,中國市場發展空間巨大
中國受網絡攻擊安全損失最為嚴重,但信息安全發展水平遠低於美國以及全球平均水平。中國是全球國家中受損失最大的國家,2017 年網絡攻擊造成的安全損失達到 663 億美元。但 在信息安全投入相對 IT 佔比低於世界平均水平,根據 2016 年 IDC 的數據顯示 IT 安全投入佔 比全球平均水平為 3.74%,美國為 4.78% 而中國為 1.84%。對標美國以及全球 IT 安全投入比 例,中國信息安全發展空間巨大。
信息和重要數據保護有望驅動我國金融、電信、互聯網等領域信息安全防護。我國信息 安全最大的下游需求來自於政府(28%),其次是電信(17%)和金融(15%),美國客戶結 構與中國有所不同,信息安全產業結構主要是金融業(26%)、IT 行業(13%)以及政府(14%)。 我們認為對個人信息和重要數據保護越敏感的行業,除了從合規性的角度來部署信息安全防護 以外,會有更強烈的主動需求來增加對信息安全的投入。未來中國在金融、醫療等重要數據敏 感領域有望持續擴大信息安全投入。
中國的安全服務市場處於早期成長階段,市場短期內仍以 IT 硬件為主。中國信息安全市 場相對美國市場,IT 硬件佔比較高達到 48.1%,安全服務比例較低主要是使用外部的安全服 務可能會使提供商接觸到一些企業敏感信息,與中國某些合規要求不符,而美國主要以安全服 務為主,佔比達到了 64.4%。中國的安全服務市場整體還處於早期成長階段,中國各信息安全 廠商主要向市場提供諸如安全設計、安全評估、安全運維和安全技術研發等方面的安全服務,IT 安全硬件市場在未來短期內仍將是 IT 安全市場中佔比最大的市場。
三、技術驅動:IT 技術演變,誕生增量市場
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的變化伴隨IT 技術的變化針對新的終端以及運用場景進行防禦,誕生增量市場,往往新技術革新越大時, 新的場景經濟價值越大,信息安全對應的增量市場空間越大。信息安全以結果為導向產生了 不同的細分,不同公司關注的市場細分不同,形成了不同的競爭優勢,形成多層次信息安全 產業,巨頭間與安全廠商的合作大於競爭。
(一)IT 技術演變催化出新的安全威脅,帶來新機遇
信息安全產品的變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會催生新 的增量市場,往往新技術革新越大,新的場景經濟價值越大時,信息安全對應的增量市場空 間越大。事實上每一個時代的興起和演變,需要相關技術的突破以及帶動應用端的變化,新技 術自身的維護以及與原有架構的融合往往都會帶來信息安全增量市場。從信息安全防禦產品的 維度看,信息安全經歷了三個重要發展階段:
1) PC 時代:以 PC 電腦為終端的設備已經開始普及,由於設備間沒法聯網,病毒主要來 自外接設備,安全產品(例如殺毒軟件)主要在終端內進行防護。
2)互聯網時代:病毒通過傳播互聯網傳播取代外接設備,防護手段也從傳統終端上的殺毒 軟件轉變為以隔離防護來源於外網的攻擊為主,企業級信息安全方案產生。例如:防火牆、 IDS/IPS 同時移動互聯網興起,防禦措施發生相應變化。
3)數據時代:當物與物之間互聯越來越緊密,數據的價值越來越高,業務的組織形式以圍 繞數據進行,將會出現圍繞企業業務場景的安全服務,同時用戶與服務器直接聯繫也越來越緊 密。例如物聯網安全、雲安全。
IT 技術不斷演變,催化出新的安全威脅,帶來新機遇。從具體的 IT 技術演變來看,IT 技術主要經歷了從寬帶發展、網絡應用蓬勃發展、社交網絡等新業務、IT 技術全面滲透以及 雲計算場景等幾個核心方向,重大新興技術革新催化出新的安全威脅,改變市場的競爭格局, 安全產品出現迭代和演變。當前最重要的技術革新是雲計算技術,雲計算作為對傳統 IT 架構 的代替,產生一系列新的安全問題,誕生了虛擬化防火牆等新產品。
(二)等保 2.0 下新興安全領域
1.雲安全:眾多企業上雲,安全需求激增
雲計算系統資源集中程度和架構複雜程度更高,安全問題更加凸顯。由於客戶端、網絡、 服務入口、服務器、雲計算數據中心、計算資源、存儲資源等基礎物理要素雲計算與傳統網絡 構成相同,兩者在一些方面面對相同的安全問題,但由於雲計算共享本質和虛擬化技術的應用, 雲計算系統的資源集中程度和架構複雜程度更高,進而產生數據安全、適應雲計算模式的加密 方法、密文檢索和處理技術、隱私保護方案、訪問控制與身份認證、虛擬化安全、多租戶隔離、 跨域服務安全等安全問題。
雲計算具體是由 IaaS、PaaS 以及 SaaS 構成。數據中心的管理和優化技術以及虛擬化技術是 IaaS 層的關鍵技術,對於 PaaS 層海量數據是安全的重點,SaaS 主要是應用安全。
雲平臺的安全構架與提供的分類等級有關,越底層需要的安全能力也越高,同時管理工作 也越多。全面的安全模式就包括主機的安全防護、客戶端的安全防護、共享間的安全控制、虛 擬機的安全加固等雲計算安全的關鍵技術涉及: 訪問控制與身份認證、數據加密與隱私保護、 密文檢索、安全雲外包計算、數據完整性與數據刪除、虛擬化安全、可信雲計算。
由於眾多企業上雲,近些年雲計算安全需求激增,成為信息安全領域重要的增量市場, 特別是對於 LaaS、PaaS 和 SaaS 的保護已經超過了傳統保護能力。根據Gartner 相關數據, 2022 年全球雲安全市場將達到 119.67 億美元,近六年複合增長實現 15.3%。
從細分市場看,企業上雲面對安全問題優先會考慮電子郵件安全、Web 安全以及身份識 別與訪問管理,LAM、Idass 和雲計算用戶認證細分是雲計算最大的細分市場2019 年達到 30 億美元。
國內涉及雲安全的廠商主要是 BAT 和華為,以及專業安全廠商啟明星辰、綠盟科技以及安恆信息等。
2. 物聯網安全:物聯網連接設備劇增,安全風險不可忽視
物聯網系統直接暴露於互聯網,容易遭到網絡攻擊。物聯網安全風險主要集中在服務端、終端、通信網絡三個方面。服務端是整個物聯網業務系統的功能核心,終端主要功能是實現對 信息的採集、識別和控制,通信網絡系統主要用於將感知層獲取的信息在網絡中進行傳遞和處 理。
物聯網安全主要涉及服務器安全、終端安全以及通訊安全。服務器中存儲了大量用戶的 信息,一旦遭受到入侵將導致數據洩露、系統業務功能被控制等安全問題;感知器分佈在未受 保護的物理環境中,移動性高,安全可控性低,且自身的安全防護能力較弱,網絡通信缺乏加 密通信機制。
物聯網相比於互聯網添加了“雲”和“端”,信息安全防禦的面更廣也更復雜。應用層 以及傳輸層可以通過傳統的信息技術解決,物聯網多應用場景以及從終端感知結點到網關結點 使得傳統的互聯網安全技術難以滿足需求。
行業監管機構可通過感知層,網絡層,應用層建立物聯網全流程主動安全防禦體系。感 知層可運用虹膜,指紋等生物特徵進行識別,一旦認證失敗可直接告警。在網絡層可建造一套 完善的網絡層安全機制,提升接入側設備的安全防護能力,應用層可將大中型業務提供商作為 重點管理對象,加強安全防護。
物聯網連接設備劇增,安全風險不可忽視。據中國信通院統計,至 2025 年全球物聯網連接設備總金額 250 億美元,較 2019 年有超過一倍的增長。隨著設備連接數量的增加,物聯網 設備安全風險暴露的可能性也隨之增加,物聯網安全市場規模增長可期。
全球物聯網安全支出規模可觀,增長潛力巨大。Gartner 預測 2018 年全球物聯網安全支 出將達到 15 億美元,比同比增長 28%,預計到 2021 年物聯網安全將整體實現 31 億美元, 細分市場來看最大的市場是專業服務市場。
國外核心涉及物聯網安全的廠商是賽門鐵克,國內廠商主要是華為,啟明星辰,綠盟科技等。
3. 工業信息安全:國家關鍵基礎設施安全刻不容緩,安全防護看中整體解決方案
對比傳統安全,工業信息安全不能接受頻繁的升級,看中整體解決方案。工業信息系統 相對於傳統系統更看重可用性即在一般情況下不允許系統重啟,強調整體解決方案,同時工業控制系統不能接受頻繁的升級,而傳統的IT 信息安全產品更多的需要通過不斷的升級“庫” 來滿足當前安全的需要。
從產業結構看,工業信息安全中終端安全最為重要市場佔有率達到了 47%,網絡安全以 工業防火牆、路由器為代表的網絡安全達到了 33%。我國工業互聯網企業大多采用傳統網絡 信息安全防護技術,尚無面向工業互聯網 OT 側安全的專用防護設備。
高危漏洞佔比最多,國家關鍵基礎設施安全問題刻不容緩。工業信息系統主要涉及鋼鐵、 石化、裝備製造、軌道交通、電力、供水等國家關鍵基礎設施領域,行業來看其中電力(26%)、 石油(21%)、軌道交通(11%)佔比較大,佔比跟行業對於民生日常影響程度有關。 根據國家 工業信息安全發展研究中心截至 2017 年 11 月,跟蹤研判的所有 366 個工業信息相關漏洞 中,高危漏洞數量佔比最高(59%),其次是中危漏洞(39%),工業信息相關漏洞大一旦被 利用,極易造成破壞性的後果,安全問題刻不容緩。
工業互聯網打破了傳統工業相對封閉可信的製造環境,病毒、木馬、高級持續性攻擊(APT) 等安全風險對工業生產的威脅日益加劇,2019 年工業信息安全市場規模將達到 125.1 億,預計 2021 年將達到 221 億,複合增速為 33%。
海外主要涉及工業信息安全的廠商有 GE,西門子,英特爾,國內的廠商主要是威努特,和利時浙大中控,四方繼保,啟明星辰,綠盟科技等。
4. 大數據安全:大數據產業飛速發展,數據洩露事件頻發
4V 構成大數據顯著特徵,時效性對安全提出更高要求。4V 為 Variety,Volume Velocity,Value,含義為種類多,數量大,速度快,價值性高。與傳統數據安全不同,大數據安全對平臺安全的要求更高,由於大數據平臺的網絡攻擊手段不斷變化,更需要從攻防兩方面入手進行 管理。其次,大數據安全要兼顧數據利用與隱私保護需求,在大數據場景下,隱私保護備受關 注,需要運用同態加密、多方安全計算、匿名化等技術實現。
大數據安全技術體系分為大數據平臺安全、數據安全和個人隱私保護三個層次,自下而 上為依次承載的關係。大數據平臺不僅要保障自身基礎組件安全,還要保障在其運行的數據 以及應用安全;除平臺安全保障外,數據安全防護技術通過分類分級,數據隔離,數據加密等 為業務應用中的數據流動過程提供安全防護;隱私安全保護主要針對個人敏感信息進行防護。
大數據產業飛速發展,數據洩露事件頻發。隨著各行業大量數據不段產生,據 IDC 預測, 至 2020 年全球數據信息總量將達到 40ZB。與此同時,洩露數據事件的數量也在不斷增加,2017 年數量已超過 26 億,較 16 年增長近一倍,數據安全問題不斷加劇。
大數據安全市場規模日益擴大,預計未來增速可觀。近年來,受政策和各類數據洩密事 件影響,我國大數據安全市場規模持續高速增長,2018 年的規模達到了 28.4 億元,未來年均 增長率將穩步提高。隨著大數據安全市場不段打造成熟,各大傳統安全企業將其納入未來企業 戰略佈局重點。
海外涉及大數據安全的廠商主要是賽門鐵克,邁克菲,趨勢科技等,國內的廠商主要是啟 明星辰,綠盟科技,天融信等。
(溫馨提示:文末有下載方式)
報告綜述:
政策提升合規要求,安全支出不斷提升
信息安全目前主要以被動性需求為主,主動需求較少。信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到了對信息安全領域政策推 動進程,從而提升整體的合規要求。目前世界各國不斷加強信息安全佈局,財政 預算有望持續上升。等保 2.0 從立法層面提升了信息安全的合規要求,我們認為 《國家關鍵信息基礎設施安全保護條例》有望年內出臺,完善網絡基礎設施安全 防護體系,再次提升信息安全領域的合規要求
中美信息安全發展差異顯著,中國市場發展空間巨大
世界各國中中國受網絡攻擊安全損失最為嚴重,每年損失 663 億美元,但中國信 息安全發展水平遠低於美國以及全球平均水平,根據 2016 年 IDC 的數據顯示 IT 安全投入佔比全球平均水平為 3.74%,美國為 4.78% 而中國為 1.84%。對標美國 以及全球 IT安全投入比例,中國網安發展空間巨大。我們認為未來信息和重要 數據保護重要性的提升,有望驅動我國金融、電信、互聯網等領域信息安全防護
IT技術演變,誕生增量市場
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的 變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會誕生增量市場, 往往新技術革新越大時,新的場景經濟價值越大時,信息安全對應增量市場空間 越大。信息安全以結果為導向產生了不同的細分,不同公司關注的市場細分不同, 打造了不同的競爭優勢,形成了多層次信息安全產業,巨頭間與安全廠商的合作 大於競爭。等保2.0 時代,新興領域信息安全投入相對各自產業規模佔比逐年上 升,我們認為雲計算以及工業信息信息安全領域是最為重要的兩個細分,看好該 領域有核心競爭力的企業
期待併購重組實現市場集中度提升,安全服務方向具備長期發展潛力
十三五規劃後兩年,信息安全產業有望提速,2018 年中國國內信息安全市場空間 達到 495.2 億,預計在 2021 年將達到 926.8億,未來3 年複合增速將達到 23%。目 前國內信息安全市場呈碎片化,整體市場呈現“競爭型”,傳統細分市場主要呈 現“寡佔型”競爭,傳統產品細分市場格局穩固,市佔率變動較小,安全服務領 域剛剛起步具備長期發展潛力,短期內整體信息安全市場集中度難以快速上升。 根據海外龍頭髮展經驗,企業通過併購重組實現快速擴張,打造整體解決方案, 積極轉型佈局安全服務。根據國內相關企業收購投資經驗數據比較,我們認為領 軍企業併購意願更強,安全服務領域是長期具備發展潛力的重要方向
報告內容:
一、信息安全產業驅動要素
信息安全目前主要是以被動性需求為主,主動需求較少,信息安全投入與經濟效益直接 關聯不緊密。從信息安全的角度,對於普通的軟硬件往往有如下屬性:
1)信息不對稱難以消除。對於軟硬件產品,普通用戶很難對一個軟硬件的安全性進行檢 驗,所以較難對產品安全性願意支出更高的價格
2)責任主體不明。產品漏洞產生嚴重後果時,市場中因為對於廠商、使用者如何承擔明 確的責任是沒有明確的共識
信息安全產品主要起防禦性的作用,合規性提升對信息安全要求防禦的等級和程度。短 期內信息安全的被動需求需要通過立法以及提高合規要求來拉動實現,我們認為通過立法加強 合規的要求,需要立法者不斷提升信息安全的重要性,這種改變在現實中往往需要信息安全事 件(負面)的衝擊。長期數據安全敏感的領域如金融、電信、醫療等,一旦信息洩露造成巨大 損失,是未來拉動信息安全的主力行業。
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會催生新的增量市場,往往新技術革新 越大時,新的場景經濟價值越大時,信息安全對應的增量市場空間越大。
二、合規驅動:政策提高合規要求,安全支出不斷提升
信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到對信息 安全領域政策立法進程,以及整體的合規要求。世界各國不斷加強信息安全投入,財政預算 有望持續上升。我國受網絡攻擊安全損失最為嚴重,但信息安全發展水平遠低於美國以及全 球平均水平,未來信息和重要數據保護重要性的提升,有望驅動我國金融、電信、醫療等領 域信息安全防護。
(一)安全事件促進立法合規,網絡安全已升至各國國家戰略高度
信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到了對信 息安全領域政策立法進程。本質上軟硬件在線服務的漏洞無法根除,更多漏洞直到被利用、 引發實質性的網絡攻擊才為公眾所知曉。從美國信息安全相關法律立法進程來看,當有重大安 全事件發生時,新聞媒體對事件的報道不斷改變人們對信息安全的認知,進而推進相關法律的 設立。
網絡安全已經上升到國家戰略高度,財政預算有望持續上升。各國通過立法以及關注保 護關鍵信息基礎設施等方式加強在網絡安全佈局,美國在網絡安全領域的投入和佈局是最全面 力度最大的,不斷增加網絡安全財政預算,維持增加美國在網絡安全的領先優勢。我們認為網 絡安全地位不斷提升是世界各國關注的重點和趨勢,相關財政預算有望持續上升,加速相關立 法的推進,同時完善信息安全具體合規性的落地。2017-2019 年美國聯邦政府信息安全支出總 額以及比例持續上升,特別是在 2020 年美國聯邦政府財政預算中計劃 IT 支出比 19 年有所下 降的情況下,信息安全計劃支出佔比上升到20%,達到 17435 億美元。
(二)政策提升信息安全合規要求,合規支出佔比不斷提升
1、政策實現責任實質化,支出佔比不斷提升
美國通過立法逐步提高信息安全的合規要求。2002 年美國《聯邦信息安全管理法案》 (FISMA)的頒佈將合規性進一步落地,要求各聯邦機構制定並實施適用於本機構的信息安 全計劃,以保障聯邦信息和信息系統安全。
1)以法律的形式明確了聯邦機構職責,法律責任實質化。
2)明確監督檢查措施,對違法行為進行強制問責。
3)適用於機構、承包商及其他組織所使用的信息和信息系統,比以前的安全法律更廣泛 的適用性。
FISMA 法案適用於機構、承包商及其他組織所使用的信息和信息系統,面對FISMA 的合 規要求,要求多數的(國家安全部門除外)聯邦政府部門按照標準中的規定進行執行,同時各 個聯邦機構及其下屬機構都要依照FISMA 的考核指標體系向 OMB 彙報安全建設與運營情況, 並接受國會的質詢,以及美國政府問責署的審計。特別是《2009 網絡安全法》的頒佈後提升 了整個美國聯邦政府的合規支出,2012 年佔比曾提升到了近 20%。
2、等保 2.0 下合規要求更加嚴格,《國家關鍵信息基礎設施安全保護條例》有望年內出臺
等保 2.0 帶來增量市場。5 月 13 日國家市場監督管理總局正式發佈《信息安全技術網絡信息安全等級保護基本要求》國家標準, 將於 2019 年 12 月 1 日正式實施, 標誌著“等保 2.0” 時代正式到來。我們認為等保 2.0 的正式發佈將從以下幾個方面對信息安全產業帶來增量市場: 1)保護對象有擴展 2)被動防禦變主動防禦 3)合規性要求更加嚴格。
等保 2.0法律依據的效力位階提高,合規更加嚴格, 法律責任實質化。等保 1.0 其制定的主要法律依據《計算機信息系統安全保護條例》為行政法規;而等保 2.0 的核心法律依據中的 《網絡安全法》屬於法律,特別是《網絡安全等級保護條例》屬於由公安部會同其他有關部門 起草的行政法規,與《管理辦法》相比明顯提升。等保 2.0 對法律責任條款大大增強。文件中 從“違反安全保護義務”、“違反技術維護要求”、“違反數據安全和個人信息保護要求”、“違反網絡安全服務責任”等共八個方面對網絡安全等級保護涉及的法律責任進行了詳細規定。
《國家關鍵信息基礎設施安全保護條例》有望年內出臺,完善網絡基礎設施安全防護體 系。等保 2.0 從立法層面提升了信息安全的合規要求,明確了整體信息安全防禦標準綱領,新 增的領域細分有望陸續出臺相應的政策合規指導以及相關的安全產業發展規劃。在 2019 C3 安全峰會上,公安部網絡安全保衛局總工郭啟全指出《國家關鍵信息基礎設施安全保護條例》 有望年內出臺,條例將為關鍵信息基礎設施保護提供強大的支撐和保障,完善網絡基礎設施安 全防護體系。
(三)中美信息安全發展差異顯著,中國市場發展空間巨大
中國受網絡攻擊安全損失最為嚴重,但信息安全發展水平遠低於美國以及全球平均水平。中國是全球國家中受損失最大的國家,2017 年網絡攻擊造成的安全損失達到 663 億美元。但 在信息安全投入相對 IT 佔比低於世界平均水平,根據 2016 年 IDC 的數據顯示 IT 安全投入佔 比全球平均水平為 3.74%,美國為 4.78% 而中國為 1.84%。對標美國以及全球 IT 安全投入比 例,中國信息安全發展空間巨大。
信息和重要數據保護有望驅動我國金融、電信、互聯網等領域信息安全防護。我國信息 安全最大的下游需求來自於政府(28%),其次是電信(17%)和金融(15%),美國客戶結 構與中國有所不同,信息安全產業結構主要是金融業(26%)、IT 行業(13%)以及政府(14%)。 我們認為對個人信息和重要數據保護越敏感的行業,除了從合規性的角度來部署信息安全防護 以外,會有更強烈的主動需求來增加對信息安全的投入。未來中國在金融、醫療等重要數據敏 感領域有望持續擴大信息安全投入。
中國的安全服務市場處於早期成長階段,市場短期內仍以 IT 硬件為主。中國信息安全市 場相對美國市場,IT 硬件佔比較高達到 48.1%,安全服務比例較低主要是使用外部的安全服 務可能會使提供商接觸到一些企業敏感信息,與中國某些合規要求不符,而美國主要以安全服 務為主,佔比達到了 64.4%。中國的安全服務市場整體還處於早期成長階段,中國各信息安全 廠商主要向市場提供諸如安全設計、安全評估、安全運維和安全技術研發等方面的安全服務,IT 安全硬件市場在未來短期內仍將是 IT 安全市場中佔比最大的市場。
三、技術驅動:IT 技術演變,誕生增量市場
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的變化伴隨IT 技術的變化針對新的終端以及運用場景進行防禦,誕生增量市場,往往新技術革新越大時, 新的場景經濟價值越大,信息安全對應的增量市場空間越大。信息安全以結果為導向產生了 不同的細分,不同公司關注的市場細分不同,形成了不同的競爭優勢,形成多層次信息安全 產業,巨頭間與安全廠商的合作大於競爭。
(一)IT 技術演變催化出新的安全威脅,帶來新機遇
信息安全產品的變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會催生新 的增量市場,往往新技術革新越大,新的場景經濟價值越大時,信息安全對應的增量市場空 間越大。事實上每一個時代的興起和演變,需要相關技術的突破以及帶動應用端的變化,新技 術自身的維護以及與原有架構的融合往往都會帶來信息安全增量市場。從信息安全防禦產品的 維度看,信息安全經歷了三個重要發展階段:
1) PC 時代:以 PC 電腦為終端的設備已經開始普及,由於設備間沒法聯網,病毒主要來 自外接設備,安全產品(例如殺毒軟件)主要在終端內進行防護。
2)互聯網時代:病毒通過傳播互聯網傳播取代外接設備,防護手段也從傳統終端上的殺毒 軟件轉變為以隔離防護來源於外網的攻擊為主,企業級信息安全方案產生。例如:防火牆、 IDS/IPS 同時移動互聯網興起,防禦措施發生相應變化。
3)數據時代:當物與物之間互聯越來越緊密,數據的價值越來越高,業務的組織形式以圍 繞數據進行,將會出現圍繞企業業務場景的安全服務,同時用戶與服務器直接聯繫也越來越緊 密。例如物聯網安全、雲安全。
IT 技術不斷演變,催化出新的安全威脅,帶來新機遇。從具體的 IT 技術演變來看,IT 技術主要經歷了從寬帶發展、網絡應用蓬勃發展、社交網絡等新業務、IT 技術全面滲透以及 雲計算場景等幾個核心方向,重大新興技術革新催化出新的安全威脅,改變市場的競爭格局, 安全產品出現迭代和演變。當前最重要的技術革新是雲計算技術,雲計算作為對傳統 IT 架構 的代替,產生一系列新的安全問題,誕生了虛擬化防火牆等新產品。
(二)等保 2.0 下新興安全領域
1.雲安全:眾多企業上雲,安全需求激增
雲計算系統資源集中程度和架構複雜程度更高,安全問題更加凸顯。由於客戶端、網絡、 服務入口、服務器、雲計算數據中心、計算資源、存儲資源等基礎物理要素雲計算與傳統網絡 構成相同,兩者在一些方面面對相同的安全問題,但由於雲計算共享本質和虛擬化技術的應用, 雲計算系統的資源集中程度和架構複雜程度更高,進而產生數據安全、適應雲計算模式的加密 方法、密文檢索和處理技術、隱私保護方案、訪問控制與身份認證、虛擬化安全、多租戶隔離、 跨域服務安全等安全問題。
雲計算具體是由 IaaS、PaaS 以及 SaaS 構成。數據中心的管理和優化技術以及虛擬化技術是 IaaS 層的關鍵技術,對於 PaaS 層海量數據是安全的重點,SaaS 主要是應用安全。
雲平臺的安全構架與提供的分類等級有關,越底層需要的安全能力也越高,同時管理工作 也越多。全面的安全模式就包括主機的安全防護、客戶端的安全防護、共享間的安全控制、虛 擬機的安全加固等雲計算安全的關鍵技術涉及: 訪問控制與身份認證、數據加密與隱私保護、 密文檢索、安全雲外包計算、數據完整性與數據刪除、虛擬化安全、可信雲計算。
由於眾多企業上雲,近些年雲計算安全需求激增,成為信息安全領域重要的增量市場, 特別是對於 LaaS、PaaS 和 SaaS 的保護已經超過了傳統保護能力。根據Gartner 相關數據, 2022 年全球雲安全市場將達到 119.67 億美元,近六年複合增長實現 15.3%。
從細分市場看,企業上雲面對安全問題優先會考慮電子郵件安全、Web 安全以及身份識 別與訪問管理,LAM、Idass 和雲計算用戶認證細分是雲計算最大的細分市場2019 年達到 30 億美元。
國內涉及雲安全的廠商主要是 BAT 和華為,以及專業安全廠商啟明星辰、綠盟科技以及安恆信息等。
2. 物聯網安全:物聯網連接設備劇增,安全風險不可忽視
物聯網系統直接暴露於互聯網,容易遭到網絡攻擊。物聯網安全風險主要集中在服務端、終端、通信網絡三個方面。服務端是整個物聯網業務系統的功能核心,終端主要功能是實現對 信息的採集、識別和控制,通信網絡系統主要用於將感知層獲取的信息在網絡中進行傳遞和處 理。
物聯網安全主要涉及服務器安全、終端安全以及通訊安全。服務器中存儲了大量用戶的 信息,一旦遭受到入侵將導致數據洩露、系統業務功能被控制等安全問題;感知器分佈在未受 保護的物理環境中,移動性高,安全可控性低,且自身的安全防護能力較弱,網絡通信缺乏加 密通信機制。
物聯網相比於互聯網添加了“雲”和“端”,信息安全防禦的面更廣也更復雜。應用層 以及傳輸層可以通過傳統的信息技術解決,物聯網多應用場景以及從終端感知結點到網關結點 使得傳統的互聯網安全技術難以滿足需求。
行業監管機構可通過感知層,網絡層,應用層建立物聯網全流程主動安全防禦體系。感 知層可運用虹膜,指紋等生物特徵進行識別,一旦認證失敗可直接告警。在網絡層可建造一套 完善的網絡層安全機制,提升接入側設備的安全防護能力,應用層可將大中型業務提供商作為 重點管理對象,加強安全防護。
物聯網連接設備劇增,安全風險不可忽視。據中國信通院統計,至 2025 年全球物聯網連接設備總金額 250 億美元,較 2019 年有超過一倍的增長。隨著設備連接數量的增加,物聯網 設備安全風險暴露的可能性也隨之增加,物聯網安全市場規模增長可期。
全球物聯網安全支出規模可觀,增長潛力巨大。Gartner 預測 2018 年全球物聯網安全支 出將達到 15 億美元,比同比增長 28%,預計到 2021 年物聯網安全將整體實現 31 億美元, 細分市場來看最大的市場是專業服務市場。
國外核心涉及物聯網安全的廠商是賽門鐵克,國內廠商主要是華為,啟明星辰,綠盟科技等。
3. 工業信息安全:國家關鍵基礎設施安全刻不容緩,安全防護看中整體解決方案
對比傳統安全,工業信息安全不能接受頻繁的升級,看中整體解決方案。工業信息系統 相對於傳統系統更看重可用性即在一般情況下不允許系統重啟,強調整體解決方案,同時工業控制系統不能接受頻繁的升級,而傳統的IT 信息安全產品更多的需要通過不斷的升級“庫” 來滿足當前安全的需要。
從產業結構看,工業信息安全中終端安全最為重要市場佔有率達到了 47%,網絡安全以 工業防火牆、路由器為代表的網絡安全達到了 33%。我國工業互聯網企業大多采用傳統網絡 信息安全防護技術,尚無面向工業互聯網 OT 側安全的專用防護設備。
高危漏洞佔比最多,國家關鍵基礎設施安全問題刻不容緩。工業信息系統主要涉及鋼鐵、 石化、裝備製造、軌道交通、電力、供水等國家關鍵基礎設施領域,行業來看其中電力(26%)、 石油(21%)、軌道交通(11%)佔比較大,佔比跟行業對於民生日常影響程度有關。 根據國家 工業信息安全發展研究中心截至 2017 年 11 月,跟蹤研判的所有 366 個工業信息相關漏洞 中,高危漏洞數量佔比最高(59%),其次是中危漏洞(39%),工業信息相關漏洞大一旦被 利用,極易造成破壞性的後果,安全問題刻不容緩。
工業互聯網打破了傳統工業相對封閉可信的製造環境,病毒、木馬、高級持續性攻擊(APT) 等安全風險對工業生產的威脅日益加劇,2019 年工業信息安全市場規模將達到 125.1 億,預計 2021 年將達到 221 億,複合增速為 33%。
海外主要涉及工業信息安全的廠商有 GE,西門子,英特爾,國內的廠商主要是威努特,和利時浙大中控,四方繼保,啟明星辰,綠盟科技等。
4. 大數據安全:大數據產業飛速發展,數據洩露事件頻發
4V 構成大數據顯著特徵,時效性對安全提出更高要求。4V 為 Variety,Volume Velocity,Value,含義為種類多,數量大,速度快,價值性高。與傳統數據安全不同,大數據安全對平臺安全的要求更高,由於大數據平臺的網絡攻擊手段不斷變化,更需要從攻防兩方面入手進行 管理。其次,大數據安全要兼顧數據利用與隱私保護需求,在大數據場景下,隱私保護備受關 注,需要運用同態加密、多方安全計算、匿名化等技術實現。
大數據安全技術體系分為大數據平臺安全、數據安全和個人隱私保護三個層次,自下而 上為依次承載的關係。大數據平臺不僅要保障自身基礎組件安全,還要保障在其運行的數據 以及應用安全;除平臺安全保障外,數據安全防護技術通過分類分級,數據隔離,數據加密等 為業務應用中的數據流動過程提供安全防護;隱私安全保護主要針對個人敏感信息進行防護。
大數據產業飛速發展,數據洩露事件頻發。隨著各行業大量數據不段產生,據 IDC 預測, 至 2020 年全球數據信息總量將達到 40ZB。與此同時,洩露數據事件的數量也在不斷增加,2017 年數量已超過 26 億,較 16 年增長近一倍,數據安全問題不斷加劇。
大數據安全市場規模日益擴大,預計未來增速可觀。近年來,受政策和各類數據洩密事 件影響,我國大數據安全市場規模持續高速增長,2018 年的規模達到了 28.4 億元,未來年均 增長率將穩步提高。隨著大數據安全市場不段打造成熟,各大傳統安全企業將其納入未來企業 戰略佈局重點。
海外涉及大數據安全的廠商主要是賽門鐵克,邁克菲,趨勢科技等,國內的廠商主要是啟 明星辰,綠盟科技,天融信等。
(溫馨提示:文末有下載方式)
報告綜述:
政策提升合規要求,安全支出不斷提升
信息安全目前主要以被動性需求為主,主動需求較少。信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到了對信息安全領域政策推 動進程,從而提升整體的合規要求。目前世界各國不斷加強信息安全佈局,財政 預算有望持續上升。等保 2.0 從立法層面提升了信息安全的合規要求,我們認為 《國家關鍵信息基礎設施安全保護條例》有望年內出臺,完善網絡基礎設施安全 防護體系,再次提升信息安全領域的合規要求
中美信息安全發展差異顯著,中國市場發展空間巨大
世界各國中中國受網絡攻擊安全損失最為嚴重,每年損失 663 億美元,但中國信 息安全發展水平遠低於美國以及全球平均水平,根據 2016 年 IDC 的數據顯示 IT 安全投入佔比全球平均水平為 3.74%,美國為 4.78% 而中國為 1.84%。對標美國 以及全球 IT安全投入比例,中國網安發展空間巨大。我們認為未來信息和重要 數據保護重要性的提升,有望驅動我國金融、電信、互聯網等領域信息安全防護
IT技術演變,誕生增量市場
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的 變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會誕生增量市場, 往往新技術革新越大時,新的場景經濟價值越大時,信息安全對應增量市場空間 越大。信息安全以結果為導向產生了不同的細分,不同公司關注的市場細分不同, 打造了不同的競爭優勢,形成了多層次信息安全產業,巨頭間與安全廠商的合作 大於競爭。等保2.0 時代,新興領域信息安全投入相對各自產業規模佔比逐年上 升,我們認為雲計算以及工業信息信息安全領域是最為重要的兩個細分,看好該 領域有核心競爭力的企業
期待併購重組實現市場集中度提升,安全服務方向具備長期發展潛力
十三五規劃後兩年,信息安全產業有望提速,2018 年中國國內信息安全市場空間 達到 495.2 億,預計在 2021 年將達到 926.8億,未來3 年複合增速將達到 23%。目 前國內信息安全市場呈碎片化,整體市場呈現“競爭型”,傳統細分市場主要呈 現“寡佔型”競爭,傳統產品細分市場格局穩固,市佔率變動較小,安全服務領 域剛剛起步具備長期發展潛力,短期內整體信息安全市場集中度難以快速上升。 根據海外龍頭髮展經驗,企業通過併購重組實現快速擴張,打造整體解決方案, 積極轉型佈局安全服務。根據國內相關企業收購投資經驗數據比較,我們認為領 軍企業併購意願更強,安全服務領域是長期具備發展潛力的重要方向
報告內容:
一、信息安全產業驅動要素
信息安全目前主要是以被動性需求為主,主動需求較少,信息安全投入與經濟效益直接 關聯不緊密。從信息安全的角度,對於普通的軟硬件往往有如下屬性:
1)信息不對稱難以消除。對於軟硬件產品,普通用戶很難對一個軟硬件的安全性進行檢 驗,所以較難對產品安全性願意支出更高的價格
2)責任主體不明。產品漏洞產生嚴重後果時,市場中因為對於廠商、使用者如何承擔明 確的責任是沒有明確的共識
信息安全產品主要起防禦性的作用,合規性提升對信息安全要求防禦的等級和程度。短 期內信息安全的被動需求需要通過立法以及提高合規要求來拉動實現,我們認為通過立法加強 合規的要求,需要立法者不斷提升信息安全的重要性,這種改變在現實中往往需要信息安全事 件(負面)的衝擊。長期數據安全敏感的領域如金融、電信、醫療等,一旦信息洩露造成巨大 損失,是未來拉動信息安全的主力行業。
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會催生新的增量市場,往往新技術革新 越大時,新的場景經濟價值越大時,信息安全對應的增量市場空間越大。
二、合規驅動:政策提高合規要求,安全支出不斷提升
信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到對信息 安全領域政策立法進程,以及整體的合規要求。世界各國不斷加強信息安全投入,財政預算 有望持續上升。我國受網絡攻擊安全損失最為嚴重,但信息安全發展水平遠低於美國以及全 球平均水平,未來信息和重要數據保護重要性的提升,有望驅動我國金融、電信、醫療等領 域信息安全防護。
(一)安全事件促進立法合規,網絡安全已升至各國國家戰略高度
信息安全事件漏洞的爆發直接影響政府對信息安全領域的重視程度,進而影響到了對信 息安全領域政策立法進程。本質上軟硬件在線服務的漏洞無法根除,更多漏洞直到被利用、 引發實質性的網絡攻擊才為公眾所知曉。從美國信息安全相關法律立法進程來看,當有重大安 全事件發生時,新聞媒體對事件的報道不斷改變人們對信息安全的認知,進而推進相關法律的 設立。
網絡安全已經上升到國家戰略高度,財政預算有望持續上升。各國通過立法以及關注保 護關鍵信息基礎設施等方式加強在網絡安全佈局,美國在網絡安全領域的投入和佈局是最全面 力度最大的,不斷增加網絡安全財政預算,維持增加美國在網絡安全的領先優勢。我們認為網 絡安全地位不斷提升是世界各國關注的重點和趨勢,相關財政預算有望持續上升,加速相關立 法的推進,同時完善信息安全具體合規性的落地。2017-2019 年美國聯邦政府信息安全支出總 額以及比例持續上升,特別是在 2020 年美國聯邦政府財政預算中計劃 IT 支出比 19 年有所下 降的情況下,信息安全計劃支出佔比上升到20%,達到 17435 億美元。
(二)政策提升信息安全合規要求,合規支出佔比不斷提升
1、政策實現責任實質化,支出佔比不斷提升
美國通過立法逐步提高信息安全的合規要求。2002 年美國《聯邦信息安全管理法案》 (FISMA)的頒佈將合規性進一步落地,要求各聯邦機構制定並實施適用於本機構的信息安 全計劃,以保障聯邦信息和信息系統安全。
1)以法律的形式明確了聯邦機構職責,法律責任實質化。
2)明確監督檢查措施,對違法行為進行強制問責。
3)適用於機構、承包商及其他組織所使用的信息和信息系統,比以前的安全法律更廣泛 的適用性。
FISMA 法案適用於機構、承包商及其他組織所使用的信息和信息系統,面對FISMA 的合 規要求,要求多數的(國家安全部門除外)聯邦政府部門按照標準中的規定進行執行,同時各 個聯邦機構及其下屬機構都要依照FISMA 的考核指標體系向 OMB 彙報安全建設與運營情況, 並接受國會的質詢,以及美國政府問責署的審計。特別是《2009 網絡安全法》的頒佈後提升 了整個美國聯邦政府的合規支出,2012 年佔比曾提升到了近 20%。
2、等保 2.0 下合規要求更加嚴格,《國家關鍵信息基礎設施安全保護條例》有望年內出臺
等保 2.0 帶來增量市場。5 月 13 日國家市場監督管理總局正式發佈《信息安全技術網絡信息安全等級保護基本要求》國家標準, 將於 2019 年 12 月 1 日正式實施, 標誌著“等保 2.0” 時代正式到來。我們認為等保 2.0 的正式發佈將從以下幾個方面對信息安全產業帶來增量市場: 1)保護對象有擴展 2)被動防禦變主動防禦 3)合規性要求更加嚴格。
等保 2.0法律依據的效力位階提高,合規更加嚴格, 法律責任實質化。等保 1.0 其制定的主要法律依據《計算機信息系統安全保護條例》為行政法規;而等保 2.0 的核心法律依據中的 《網絡安全法》屬於法律,特別是《網絡安全等級保護條例》屬於由公安部會同其他有關部門 起草的行政法規,與《管理辦法》相比明顯提升。等保 2.0 對法律責任條款大大增強。文件中 從“違反安全保護義務”、“違反技術維護要求”、“違反數據安全和個人信息保護要求”、“違反網絡安全服務責任”等共八個方面對網絡安全等級保護涉及的法律責任進行了詳細規定。
《國家關鍵信息基礎設施安全保護條例》有望年內出臺,完善網絡基礎設施安全防護體 系。等保 2.0 從立法層面提升了信息安全的合規要求,明確了整體信息安全防禦標準綱領,新 增的領域細分有望陸續出臺相應的政策合規指導以及相關的安全產業發展規劃。在 2019 C3 安全峰會上,公安部網絡安全保衛局總工郭啟全指出《國家關鍵信息基礎設施安全保護條例》 有望年內出臺,條例將為關鍵信息基礎設施保護提供強大的支撐和保障,完善網絡基礎設施安 全防護體系。
(三)中美信息安全發展差異顯著,中國市場發展空間巨大
中國受網絡攻擊安全損失最為嚴重,但信息安全發展水平遠低於美國以及全球平均水平。中國是全球國家中受損失最大的國家,2017 年網絡攻擊造成的安全損失達到 663 億美元。但 在信息安全投入相對 IT 佔比低於世界平均水平,根據 2016 年 IDC 的數據顯示 IT 安全投入佔 比全球平均水平為 3.74%,美國為 4.78% 而中國為 1.84%。對標美國以及全球 IT 安全投入比 例,中國信息安全發展空間巨大。
信息和重要數據保護有望驅動我國金融、電信、互聯網等領域信息安全防護。我國信息 安全最大的下游需求來自於政府(28%),其次是電信(17%)和金融(15%),美國客戶結 構與中國有所不同,信息安全產業結構主要是金融業(26%)、IT 行業(13%)以及政府(14%)。 我們認為對個人信息和重要數據保護越敏感的行業,除了從合規性的角度來部署信息安全防護 以外,會有更強烈的主動需求來增加對信息安全的投入。未來中國在金融、醫療等重要數據敏 感領域有望持續擴大信息安全投入。
中國的安全服務市場處於早期成長階段,市場短期內仍以 IT 硬件為主。中國信息安全市 場相對美國市場,IT 硬件佔比較高達到 48.1%,安全服務比例較低主要是使用外部的安全服 務可能會使提供商接觸到一些企業敏感信息,與中國某些合規要求不符,而美國主要以安全服 務為主,佔比達到了 64.4%。中國的安全服務市場整體還處於早期成長階段,中國各信息安全 廠商主要向市場提供諸如安全設計、安全評估、安全運維和安全技術研發等方面的安全服務,IT 安全硬件市場在未來短期內仍將是 IT 安全市場中佔比最大的市場。
三、技術驅動:IT 技術演變,誕生增量市場
IT 技術不斷演變,誕生新的運用場景,催化出新的安全威脅。信息安全產品的變化伴隨IT 技術的變化針對新的終端以及運用場景進行防禦,誕生增量市場,往往新技術革新越大時, 新的場景經濟價值越大,信息安全對應的增量市場空間越大。信息安全以結果為導向產生了 不同的細分,不同公司關注的市場細分不同,形成了不同的競爭優勢,形成多層次信息安全 產業,巨頭間與安全廠商的合作大於競爭。
(一)IT 技術演變催化出新的安全威脅,帶來新機遇
信息安全產品的變化伴隨 IT 技術的變化針對新的終端以及運用場景進行防禦,會催生新 的增量市場,往往新技術革新越大,新的場景經濟價值越大時,信息安全對應的增量市場空 間越大。事實上每一個時代的興起和演變,需要相關技術的突破以及帶動應用端的變化,新技 術自身的維護以及與原有架構的融合往往都會帶來信息安全增量市場。從信息安全防禦產品的 維度看,信息安全經歷了三個重要發展階段:
1) PC 時代:以 PC 電腦為終端的設備已經開始普及,由於設備間沒法聯網,病毒主要來 自外接設備,安全產品(例如殺毒軟件)主要在終端內進行防護。
2)互聯網時代:病毒通過傳播互聯網傳播取代外接設備,防護手段也從傳統終端上的殺毒 軟件轉變為以隔離防護來源於外網的攻擊為主,企業級信息安全方案產生。例如:防火牆、 IDS/IPS 同時移動互聯網興起,防禦措施發生相應變化。
3)數據時代:當物與物之間互聯越來越緊密,數據的價值越來越高,業務的組織形式以圍 繞數據進行,將會出現圍繞企業業務場景的安全服務,同時用戶與服務器直接聯繫也越來越緊 密。例如物聯網安全、雲安全。
IT 技術不斷演變,催化出新的安全威脅,帶來新機遇。從具體的 IT 技術演變來看,IT 技術主要經歷了從寬帶發展、網絡應用蓬勃發展、社交網絡等新業務、IT 技術全面滲透以及 雲計算場景等幾個核心方向,重大新興技術革新催化出新的安全威脅,改變市場的競爭格局, 安全產品出現迭代和演變。當前最重要的技術革新是雲計算技術,雲計算作為對傳統 IT 架構 的代替,產生一系列新的安全問題,誕生了虛擬化防火牆等新產品。
(二)等保 2.0 下新興安全領域
1.雲安全:眾多企業上雲,安全需求激增
雲計算系統資源集中程度和架構複雜程度更高,安全問題更加凸顯。由於客戶端、網絡、 服務入口、服務器、雲計算數據中心、計算資源、存儲資源等基礎物理要素雲計算與傳統網絡 構成相同,兩者在一些方面面對相同的安全問題,但由於雲計算共享本質和虛擬化技術的應用, 雲計算系統的資源集中程度和架構複雜程度更高,進而產生數據安全、適應雲計算模式的加密 方法、密文檢索和處理技術、隱私保護方案、訪問控制與身份認證、虛擬化安全、多租戶隔離、 跨域服務安全等安全問題。
雲計算具體是由 IaaS、PaaS 以及 SaaS 構成。數據中心的管理和優化技術以及虛擬化技術是 IaaS 層的關鍵技術,對於 PaaS 層海量數據是安全的重點,SaaS 主要是應用安全。
雲平臺的安全構架與提供的分類等級有關,越底層需要的安全能力也越高,同時管理工作 也越多。全面的安全模式就包括主機的安全防護、客戶端的安全防護、共享間的安全控制、虛 擬機的安全加固等雲計算安全的關鍵技術涉及: 訪問控制與身份認證、數據加密與隱私保護、 密文檢索、安全雲外包計算、數據完整性與數據刪除、虛擬化安全、可信雲計算。
由於眾多企業上雲,近些年雲計算安全需求激增,成為信息安全領域重要的增量市場, 特別是對於 LaaS、PaaS 和 SaaS 的保護已經超過了傳統保護能力。根據Gartner 相關數據, 2022 年全球雲安全市場將達到 119.67 億美元,近六年複合增長實現 15.3%。
從細分市場看,企業上雲面對安全問題優先會考慮電子郵件安全、Web 安全以及身份識 別與訪問管理,LAM、Idass 和雲計算用戶認證細分是雲計算最大的細分市場2019 年達到 30 億美元。
國內涉及雲安全的廠商主要是 BAT 和華為,以及專業安全廠商啟明星辰、綠盟科技以及安恆信息等。
2. 物聯網安全:物聯網連接設備劇增,安全風險不可忽視
物聯網系統直接暴露於互聯網,容易遭到網絡攻擊。物聯網安全風險主要集中在服務端、終端、通信網絡三個方面。服務端是整個物聯網業務系統的功能核心,終端主要功能是實現對 信息的採集、識別和控制,通信網絡系統主要用於將感知層獲取的信息在網絡中進行傳遞和處 理。
物聯網安全主要涉及服務器安全、終端安全以及通訊安全。服務器中存儲了大量用戶的 信息,一旦遭受到入侵將導致數據洩露、系統業務功能被控制等安全問題;感知器分佈在未受 保護的物理環境中,移動性高,安全可控性低,且自身的安全防護能力較弱,網絡通信缺乏加 密通信機制。
物聯網相比於互聯網添加了“雲”和“端”,信息安全防禦的面更廣也更復雜。應用層 以及傳輸層可以通過傳統的信息技術解決,物聯網多應用場景以及從終端感知結點到網關結點 使得傳統的互聯網安全技術難以滿足需求。
行業監管機構可通過感知層,網絡層,應用層建立物聯網全流程主動安全防禦體系。感 知層可運用虹膜,指紋等生物特徵進行識別,一旦認證失敗可直接告警。在網絡層可建造一套 完善的網絡層安全機制,提升接入側設備的安全防護能力,應用層可將大中型業務提供商作為 重點管理對象,加強安全防護。
物聯網連接設備劇增,安全風險不可忽視。據中國信通院統計,至 2025 年全球物聯網連接設備總金額 250 億美元,較 2019 年有超過一倍的增長。隨著設備連接數量的增加,物聯網 設備安全風險暴露的可能性也隨之增加,物聯網安全市場規模增長可期。
全球物聯網安全支出規模可觀,增長潛力巨大。Gartner 預測 2018 年全球物聯網安全支 出將達到 15 億美元,比同比增長 28%,預計到 2021 年物聯網安全將整體實現 31 億美元, 細分市場來看最大的市場是專業服務市場。
國外核心涉及物聯網安全的廠商是賽門鐵克,國內廠商主要是華為,啟明星辰,綠盟科技等。
3. 工業信息安全:國家關鍵基礎設施安全刻不容緩,安全防護看中整體解決方案
對比傳統安全,工業信息安全不能接受頻繁的升級,看中整體解決方案。工業信息系統 相對於傳統系統更看重可用性即在一般情況下不允許系統重啟,強調整體解決方案,同時工業控制系統不能接受頻繁的升級,而傳統的IT 信息安全產品更多的需要通過不斷的升級“庫” 來滿足當前安全的需要。
從產業結構看,工業信息安全中終端安全最為重要市場佔有率達到了 47%,網絡安全以 工業防火牆、路由器為代表的網絡安全達到了 33%。我國工業互聯網企業大多采用傳統網絡 信息安全防護技術,尚無面向工業互聯網 OT 側安全的專用防護設備。
高危漏洞佔比最多,國家關鍵基礎設施安全問題刻不容緩。工業信息系統主要涉及鋼鐵、 石化、裝備製造、軌道交通、電力、供水等國家關鍵基礎設施領域,行業來看其中電力(26%)、 石油(21%)、軌道交通(11%)佔比較大,佔比跟行業對於民生日常影響程度有關。 根據國家 工業信息安全發展研究中心截至 2017 年 11 月,跟蹤研判的所有 366 個工業信息相關漏洞 中,高危漏洞數量佔比最高(59%),其次是中危漏洞(39%),工業信息相關漏洞大一旦被 利用,極易造成破壞性的後果,安全問題刻不容緩。
工業互聯網打破了傳統工業相對封閉可信的製造環境,病毒、木馬、高級持續性攻擊(APT) 等安全風險對工業生產的威脅日益加劇,2019 年工業信息安全市場規模將達到 125.1 億,預計 2021 年將達到 221 億,複合增速為 33%。
海外主要涉及工業信息安全的廠商有 GE,西門子,英特爾,國內的廠商主要是威努特,和利時浙大中控,四方繼保,啟明星辰,綠盟科技等。
4. 大數據安全:大數據產業飛速發展,數據洩露事件頻發
4V 構成大數據顯著特徵,時效性對安全提出更高要求。4V 為 Variety,Volume Velocity,Value,含義為種類多,數量大,速度快,價值性高。與傳統數據安全不同,大數據安全對平臺安全的要求更高,由於大數據平臺的網絡攻擊手段不斷變化,更需要從攻防兩方面入手進行 管理。其次,大數據安全要兼顧數據利用與隱私保護需求,在大數據場景下,隱私保護備受關 注,需要運用同態加密、多方安全計算、匿名化等技術實現。
大數據安全技術體系分為大數據平臺安全、數據安全和個人隱私保護三個層次,自下而 上為依次承載的關係。大數據平臺不僅要保障自身基礎組件安全,還要保障在其運行的數據 以及應用安全;除平臺安全保障外,數據安全防護技術通過分類分級,數據隔離,數據加密等 為業務應用中的數據流動過程提供安全防護;隱私安全保護主要針對個人敏感信息進行防護。
大數據產業飛速發展,數據洩露事件頻發。隨著各行業大量數據不段產生,據 IDC 預測, 至 2020 年全球數據信息總量將達到 40ZB。與此同時,洩露數據事件的數量也在不斷增加,2017 年數量已超過 26 億,較 16 年增長近一倍,數據安全問題不斷加劇。
大數據安全市場規模日益擴大,預計未來增速可觀。近年來,受政策和各類數據洩密事 件影響,我國大數據安全市場規模持續高速增長,2018 年的規模達到了 28.4 億元,未來年均 增長率將穩步提高。隨著大數據安全市場不段打造成熟,各大傳統安全企業將其納入未來企業 戰略佈局重點。
海外涉及大數據安全的廠商主要是賽門鐵克,邁克菲,趨勢科技等,國內的廠商主要是啟 明星辰,綠盟科技,天融信等。
四、產業發展:期待併購重組實現市場集中度提升,安全 服務方向具備長期發展潛力
十三五規劃後兩年,信息安全產業有望提速,目前國內信息安全市場呈碎片化,市場競 爭格局整體呈現“競爭型”,傳統細分市場主要呈現“寡佔型”競爭,長期來看傳統產品細 分市場格局穩固,市佔率變動較小,安全服務領域剛剛起步是未來發展的重點,短期內整體 信息安全市場集中度難以快速上升。根據海外龍頭髮展路線,併購重組是實現快速擴張以及 佈局新興領域最主要的方式以及公司積極轉型佈局安全服務。我們認為國內領軍企業併購意 願更強(啟明星辰、綠盟科技),同時安全服務領域長期是具備發展潛力的重要方向。
(一)海外產業發展:多層次廠商分類格局,海外領軍企業併購活
躍
海外信息安全產業發展有以下特點:1)專注市場的不同決定了企業發展的方向 2)形 成了多層次的廠商分類,巨頭間與安全廠商的合作大於競爭 3)安全廠商通過併購重組實現 新技術佈局,海外領軍企業併購活躍。
1、企業專注不同市場方向,形成了多層次的廠商分類
專注市場的不同決定了企業發展的方向。從網絡安全企業產品和市場看,美國分成開放市場和專有市場兩個領域。在開放市場領域,專注於通用的安全產品,輸出產品,關注於全球 市場;專門市場領域,是以美國國家安全為核心形成相應安全能力,保護對應的信息安全。
信息安全以結果為導向產生了不同的細分,不同公司關注的市場細分不同,形成了多層 次的廠商分類。美國信息安全廠商主要是分為四類:信息寡頭、信息安全產業巨頭、專業安 全廠商、創新企業;其中基礎信息寡頭主要指蘋果、谷歌、微軟、亞馬遜等通過信息技術最具 有影響力的寡頭企業;信息安全廠商是指例如賽門鐵克(Symantec)、邁克菲(McAfee)等能 夠多產品維度實現從流量到端解決方案的企業。專業安全廠商是指專注於某一個細分具有競爭 優勢的企業。事實上中國信息安全廠商也主要是:信息寡頭,例如互聯網廠商(BAT)、華為、 專業安全廠商(啟明星辰、綠盟科技、深信服)、創新企業。
巨頭間與安全廠商的合作大於競爭。我們認為中美同時形成多層次的安全廠商,主要是 由於中美兩國作為信息產業發展的大國,都在信息技術以及互聯網方面形成了具有國際影響力 的寡頭,例如美國通訊領域的思科、雲計算領域的亞馬遜、軟件領域的微軟、消費電子領域的 蘋果、中國的阿里、騰訊等。巨頭間與安全廠商的合作大於競爭,因為寡頭佈局信息安全往往 是對自身核心業務安全性提供保障,與自己的產品和服務配套。一旦信息寡頭產生嚴重安全漏 洞影響巨大,所以寡頭也需要與其他安全廠商合作增強業務的安全性。
併購重組實現新技術佈局,海外領軍企業併購活躍。信息安全廠商為了應對新的場景條 件和威脅以及加強自身的安全能力,信息安全公司會通過大量的併購重組實現新技術佈局。從2010 年起國際網絡安全併購次數不斷上升,近幾年整體保持在高位,2018 達到了 183 次。從 併購的次數來看,信息安全巨頭喜歡通過併購方式整合和擴大自身的業務範圍,信息安全的領 軍企業賽門鐵克多次出現在併購次數在併購單榜首的位置。
2、海外巨頭以點立足,積極併購打造整體解決方案
根據對海外信息安全龍頭分析,我們認為公司的成長路徑具有以下特點:1)初期掌握某一項核心技術,在信息安全產業某一細分具有絕對優勢。2)通過併購實現傳統優勢互補和轉 型,打造整體解決方案,積極佈局新興領域。3)積極轉型安全服務
FireEye 多次位於世界網絡安全 500 強的首位,其發展歷經了起步、發展、停滯、轉型等 過程。FireEye 成立於 2004 年,於 2008 年 3 與發佈第一個產品-網絡惡意攻擊保護系統,2011 年發佈 email MPS,2012 年拓展至 file MPS。MPS 系列產品組合構成了 APT 檢測和防禦產品 的基礎。隨著 MVX 技術遭受諸多挑戰, FireEye 逐漸喪失傳統優勢被迫轉型,14 年收購 Mandiant 公司,實現了優勢互補。公司的核心技術是FireEye APT 檢測關鍵技術,多向量虛擬 執行技術,同時公司積極面向服務轉型,動態威脅平臺是進行數據關聯,分析和威脅識別的處 理引擎,是 FireEye 產品體系的大腦。
Check Piont 成立於 1993 年,以 Firewall 獲得專利的狀態檢測技術發明成為行業先驅。目 前 Check Piont IDC 下一代防火牆和 UTM 市佔率第一,連續十八年位於 Gartner 企業級防火牆 領導者象限,連續七年位於Garnter 移動數據保護領導者象限等。2006 年,Check Piont 提出一 體化安全管理平臺 UTM,並在防火牆領域佔據優勢地位。2007 年,Check Piont 收購 Protect Data&NFR Security,用戶數量達到 5.86 億,並涉足數據安全。2009 年收購 Facetime Communications 應用數據庫,為業界最全面的應用程序分類和簽字數據庫。2010-2011 年,收 購 Liquid Machines&Dynasec。2015 年 2 月,收購 Hyperwise CPU 級別高級威脅檢測平臺,Check Piont 開始聚焦情報與雲安全,同年 4 月收購 Lacoon Mobile Security,向移動安全發力。
(二)國內產業發展:新興領域重要性不斷提升,行業龍頭有望投
資併購實現佈局
十三五規劃後兩年產業有望提速,新興領域信息安全投入佔比逐年上升,核心技術安全 投入佔比大於場景佔比。市場格局方面,傳統細分市場格局穩固,整體市場集中度短期難以 提升,安全服務是長期具備發展潛力的重要方向。中國信息安全投融資領域從數量和金額, 整體呈上升趨勢,行業龍頭更有意願開展併購重組。
1、新興領域信息安全投入佔比逐年上升,核心技術安全投入佔比大於場景佔比
信息安全行業整體產品種類細分很多,優勢公司各有不同。信息安全行業主要分為硬件、軟件以及服務,網絡與信息安全風險全面化,種類和複雜度均顯著增加,產品和服務越來越細 化。
市場空間寬廣,安全硬件短期內佔比最大,安全服務上升最快。根據 CCID 數據顯示,2018 年中國國內信息安全市場空間達到 495.2 億,預計在 2021 年將達到 926.8億,未來3 年複合增速將達到 23%。從 IT 安全細分來看,短期內安全硬件領域依然是信息安全領域佔比最大的細 分,2021 年仍有 41.3%,安全服務是上升最快的領域 2021 年預計佔比將達到 19.8%。
十三五規劃後兩年,信息安全產業有望提速。整體來看每個五年計劃中收入增速一般來 說前兩年為計劃期,第三到五年為具體實施期。在“十二五”規劃末期,信息安全產品收入達 到了 20%左右,十三五規劃開始的 16 年信息安全產業明顯下降,17 年新增國家安全標準 43 個,比 16 年多增了 13 個,首次新增突破 40 個之後,18 年信息安全產品同比增速維持在較高 的水平,我們認為19 年和 20 年作為“十三五”規劃最後的兩年,信息安全產業有望整體提速。
新興領域信息安全投入相對各自產業規模佔比逐年上升,核心技術安全投入佔比大於場 景佔比。整體來看,新興領域各個細分領域信息安全投入相對於市場規模佔比逐年上升,與我 們的判斷一致即未來運用越重要,信息安全越重要。領域細分間比較,佔比最高新興領域是雲 計算近三年平均達到了 3.8%,主要因為雲計算是對原有 IT 架構的替代,其次是工業信息安全 場景近三年佔比達到了1.6%,工業涉及日常民生問題,是信息安全防範的重點。物聯網安全 和大數據安全趨同佔比整體維持在 0.7%左右。
2、傳統細分市場格局穩固,整體市場集中度短期難以提升
硬件產品細分優勢穩固,市佔率變動較小。根據 CRn 對公司進行分類,每個硬件產品細分市場呈現“寡佔型”競爭, 2016-2018 年各類核心安全硬件產品 Cn1 的市場佔有率變動幅 度較小(防火牆變動區間為 20.9%-22.4%、統一威脅管理變動區間為 16%-18%、安全內容管理 變動區間為 25.5%-30%、VPN 變動區間為 30.6%-32%),Cn3 的變動幅度整體在較小範圍(防 火牆變動區間為 55%-63%、統一威脅管理變動區間為 43.6%-43.7%、安全內容管理變動區間為 44.7%-46.5%、VPN 變動區間為 48.4%-52.9%)。根據硬件市場的競爭格局,我們認為對於安 全產品與下游客戶粘性強,傳統細分如果已經形成明顯競爭優勢,市場份額整體變動較小。
市場呈碎片化,短期內整體信息安全市場集中度難以快速上升。信息安全整體市場呈現“競爭型”,2014 年-2017 年公司 Cn1 的變動範圍是 5.3%-5.6%,Cn5 的變動範圍在 20.6%-25.2%, Cn10 的變動範圍在 30%-39.2%。我們認為短期內整體信息安全市場集中度難以快速上升,各 個公司在各細分持續維持競爭優勢。
2、安全服務具備長期發展潛力,行業龍頭更有意願開展投資併購
國內短期仍以硬件為主,安全服務具備長期發展潛力。目前安全硬件是信息安全領域佔比最大部分達到了 45.9%。我們認為由於短期內信息安全最大的下游需求來自政府以及大型國 有企事業單位,為了滿足合規需要會注重外部提供商對敏感數據的接觸,進而減少安全運營的 需求。但長期來看安全硬件等領域產品細分市場格局穩固,安全服務領域剛剛發展,細分市場 競爭格局未定,目前整體迎來國家智慧城市機遇,同時由於新興場景雲計算以及大數據等模糊 了原有的安全邊界,安全運維效用更加凸顯,長期安全運營能夠讓企業和組織以更低成本實現 專業安全能力,安全服務領域是未來具備發展潛力的重要方向。
智慧城市建設拉動安全運營需求,藍海市場空間寬廣。國家持續發文推動智慧城市建設, 提出 2020 年建設一批智慧城市,並且要求智慧城市發展實現網絡安全長效化機制,目前截至2015 年共規劃了 686 個試點。根據智研諮詢報告研究表明,預計2021 年 IT 投資規模將達到 12,341 億元,未來五年(2017-2021)年均複合增長率約為 31.12%,以 1.5%-3%分別測算智慧 城市拉動的信息安全的市場空間,預計 2021 年將分別達到 185 億/247 億/370 億。
中國信息安全投融資領域從數量和金額,整體呈上升趨勢。特別在新興安全領域的企業 融資活躍,2018 年雲安全、移動安全、大數據安全、工業互聯網領域的融資金額佔信息安全 融資總額的 33%(總額扣除深信服 IPO 和 360 企業安全 Pre-B 融資)。
國內信息安全併購重組不斷,行業龍頭更有意願開展。從歷史上看,行業龍頭更有意願 進行併購重組,從總數來看,投資收購總次數啟明星辰和綠盟科技整體次數超過10 次,從投 資收購花費總金額來看啟明星辰上市以來總金額為20.25 億遠高於其他公司,從單位上市年平 均來看,啟明星辰和綠盟科技次數較高,金額方面啟明星辰和任子行較高。完成率方面,綠盟 科技、衛士通、北信源以及藍盾股份較高。我們認為綜合各項指標,我們認為啟明星辰、綠 盟科技在收購併購方面的意願較強。
五、投資建議:略
……
溫馨提示:如需原文檔,可在PC端登陸未來智庫www.vzkoo.com搜索下載本報告。
關注公眾號“未來智庫”,及時獲取最新內容。
(報告來源:民生證券;分析師:強超廷、郭新宇、羅戴熠)