随着政策资本加码和新应用场景的出现,网络安全产业的细分领域将获得更多增长动能,带动网络安全市场的整体发展势头。

从细分赛道分布看,2021年,我国融资两次以上的热门网络安全项目有20个,业务覆盖云安全、工控安全、数据安全(隐私计算)、移动安全、应用安全、身份安全、安全攻防等领域。这些安全细分领域具备较高的成长性,受到相关资本的青睐。

奇安信战略研究中心从市场容量、细分技术、发展趋势等角度,剖析网络安全七大热门赛道发展前景,以供参考。

1. 数据与隐私安全:

“十四五”期间网安产业重要增长点

2020年开始,数据安全新技术迅猛增加,其中安全多方计算、同态加密、差分隐私等隐私计算技术在近两年发展势头强劲。欧盟GDPR与我国《个人信息保护法》等政策驱动,带动隐私保护合规的需求。从Gartner报告看,隐私管理工具(PMT)、隐私保护设计(PbD)、隐私影响评估(PIA)处于快速发展阶段。

Gartner预计,在未来五年内,数据与隐私安全数项技术会进行融合,包括数据治理和数据安全的集成,企业密钥管理(EKM)和云密钥管理即服务(KMaaS)的集成,数据监控和保护技术的集成,数据安全即服务(DSaaS)、数据安全平台、多云数据库活动监控(DAM)等新技术的出现。

数据安全治理(DSG)、数据风险评估(DRA)、金融数据风险评估 (FinDRA)、PIA和数据泄露响应流程越来越需要执行一致的政策,特别是在数据驻留的影响和新的隐私法不断出台的情况下。

(1)中国数据安全市场规模与容量:数十亿市场、百亿潜在容量

我国当前数据安全市场规模达数十亿元。根据计世资讯数据2018-2021年平均年增长率约31.8%,如按照31.8%增速计算,2021年中国数据安全市场规模69亿+人民币。

我国数据安全潜在市场容量或达数百亿~千亿元。根据中商产业研究院数据,2019年中国大数据市场产值达到8500亿元,2020年大数据产业规模有望突破10000亿元。

根据信通院数据,2019年我国以云计算、大数据为基础的平台类运营技术服务收入达2.2万亿元,其中典型云服务和大数据服务收入达3284亿元,提供服务的企业2977家。

(2)主要细分领域:18个细分领域,包括数据库安全、DLP、隐私计算等主要和热门领域

数据安全目前主要有18个细分技术领域,包括数据安全治理、数据安全态势感知、数据服务、大数据安全管控与防护、API安全、数据库防火墙、数据库审计、数据库加密、数据库运维、数据库保密检查、文档加密、数据脱敏、DLP、数据水印、数据备份/恢复/销毁、APP隐私检测与保护、隐私计算、隐私管理 。

其中热点领域包括:

· 隐私计算

2021年,全球隐私计算市场规模达15.7亿美元(来源:fortune business insights),预计到2028年达到177.5亿美元, 2021年~2028年的复合年增长率(CAGR)达41.5%。

目前中国隐私计算市场达到上亿元规模,预计未来几年将形成数十亿规模的市场。乐观估计,未来3年将达100-200亿人民币的空间,甚至将撬动千亿级的数据平台运营收入空间(来源:腾讯《深潜数据蓝海:隐私计算行业研究报告》 )。

· DLP类产品

2021年全球DLP市场规模16.4亿美元(来源:statista)。预计2023年将达到22.8亿美元,平均年增长率约18%。

2021年中国DLP市场约13.7亿元,2019~2021 平均年增长率18.7%(来源:观研天下)。

· 数据库安全产品

2021年全球数据库安全市场规模63亿美元,预计到2026年将达到115亿美元年, 2021年至2026年的复合年增长率(CAGR)为12.6%(来源:marketsandmarkets)。

2021年中国数据库安全市场规模超过29亿人民币,年增长率达23.9%(来源:计世资讯)。

(3)发展趋势:数字经济和大数据产业带动数据安全快速发展

“十四五”规划和2035年远景目标纲要明确提出,加强涉及国家利益、商业秘密、个人隐私的数据保护,加快推进数据安全、个人信息保护等领域基础性立法,强化数据资源全生命周期安全保护。

数据安全成为数字经济的基础设施,数据安全是企业业务的基石。2020年中国数字经济规模为5.4万亿美元,同比增长9.6%,增速位居全球第一。放眼未来,数据安全与业务强关联,预计2024年市场规模达百亿级别。

随着《数据安全法》等法规落地、数据交易市场快速发展,毕马威(KPMG)预计,2023年国内数据安全技术服务有望达百亿规模。随IT架构走向云化,未来有望带来千亿级的数据安全SaaS运营收入。

大数据产业发展带动隐私计算需求。“十四五”期间我国大数据市场总体规模预计达到5万亿元,数据交易安全投入占比按1%计算,“十四五”期间,我国数据交易安全市场规模预计达500亿元。

2. 身份安全:成熟市场的新机遇,

零信任成为热点趋势

远程办公的流行和基于身份的攻击增加,加速了多因素身份验证(MFA)广泛部署。MFA是较为成熟的方案,但用户体验不好,低接触式的用户身份认证和访问管理(AM)受到关注。去中心化身份和安全多方计算处于技术膨胀期,在一定程度上是受保护隐私需求增加,以及对高安全性数字身份需求的推动。特权访问管理(PAM) 处于快速发展期,因为过去一年中许多最具破坏性的攻击都涉及对人类和机器特权帐户的攻击。机器身份管理已位于技术膨胀期,发展前景被广泛看好。

远程工作的扩展大大加速了SaaS-delivered IAM的广泛应用(也称为IDaaS 服务),可以帮助用户在降低运营成本的情况下,快速扩大或缩小规模。

(1)市场规模预测:市场规模达数十亿元

受益于云计算、大数据、人工智能等技术的发展和政策支持,身份认证与访问控制产品市场规模不断增加。

Gartner 预测,2021年我国身份访问管理市场规模为20亿元,2024年将达到30亿元,2019~2025年 的年复合增长率为13.51% (按汇率6.5计算)。IDC 预测,2021年我国身份软件市场规模约32.5亿元,预计2024年将达到 50亿元。

未来,IAM向IDaaS发展的趋势明显,2022年相关市场在云安全领域的占比或将达到20%。

(2)市场分布:传统市场成熟,零信任成新兴趋势

在国内零信任网络领域,产品和实践相对成熟的前十大厂商包括奇安信、腾讯、天融信、阿里云、联软科技、深信服、绿盟科技、启明星辰、数篷科技,以及指掌易。

目前,身份认证与访问控制产品市场品牌分化,有超过30个品牌的产品相互竞争,属于充分竞争市场。零信任网络作为身份认证与访问控制相关领域的新兴趋势,目前用户部署规模还不大。主要发展趋势包括:

· 认证管理由单一化趋于整合化。

数字化转型背景下,身份认证服务模式呈现出由单一认证向整合认证模式演进的趋势,传统ACL提供单一认证服务,单点登录功能助力用户一次登陆即可满足接续验证需求,联合身份验证(Federated Identity)的出现则进一步简化认证流程,助力企业在业务快速扩展背景下,实现身份管控的迅速反应和多因素扩容。随身份认证服务系统全面上云,IDaaS模式依托云算力、云架构,进一步减少繁琐的认证流程,助力企业更加安全高效地实现身份管控。

· 部署模式持续演进,推动身份管控效率的提升

早期的IAM服务多面向企业内部员工管理,为内部身份访问管理提供解决方案;信息化进程加速公众版身份认证需求延伸,客户身份和访问管理(CIAM)提供了面向公众的身份认证解决方案,相对而言,CIAM在本质功能方面较IAM有了更多拓展,但也面临更多技术挑战。

相对传统IAM,IDaaS具有更便捷,成本更低和轻维护的优势,从本质上改变了身份管控服务的部署方式,助力企业简化管理流程,大幅减轻身份管控带来的时间成本及人力成本。

· 可视化统一管理系统应对分散式身份管控需求

随着企业组织、数据、应用和系统的改变,企业用户需要更强大的IAM基础设施应对分散式身份认证授权需求,这些需求体现在:①集中统计人员信息, 支持员工在企业内部职位调整的可视化动态追踪;②人员身份信息周期化管理,即时调控员工访问权限,将飞书、企业微信等多种身份来源汇入用户池,维护信息统一性;③实时更新身份、爱好、年龄、岗位等信息,追踪员工个性化属性;④通过可视化统一管理对账号、角色、权限等信息进行动态调整。

零信任网络作为身份认证与访问控制相关领域的新兴趋势,目前呈现全面产业化的趋势。面对外部威胁、内部威胁和IT新环境下边界瓦解的现状,零信任安全所倡导的全新安全思路,已然成为企业数字化转型过程中应对安全挑战的主流架构之一。

3. 云安全:迅速成长的百亿市场,

混合云安全合规成热点

当前大多数组织将采用多云策略,并结合智能自动化,如云安全态势管理(CSPM)和云工作负载保护平台(CWPPs),以保护其IaaS上部署的应用程序。

Gartner预测,SASE将改变未来5到10年的安全交付模式。云访问安全代理(CASBs), 云安全态势管理 (CSPM), IDaaS, 多云管理服务将在2年内出现大范围市场应用。

(1)市场规模:迅速成长的百亿市场

相较于中国整体云市场,云安全市场体量较小(2021年约占2.7%),未来增长增长空间广阔。根据艾瑞咨询研究院数据, 2018~2021年中国云安全市场平均年增长率约46.5% ;2024年中国云安全市场规模预计达到254亿元,增长41.3%。

云安全产品主要包括:云基础资源安全产品(云主机安全、云原生安全)、网络安全产品(云DDoS、云防火墙、入侵检测)、应用安全产品(应用软件安全、内容安全)、数据安全产品(云加密机、数据脱敏、数据防泄漏、数据备份与恢复、数据库安全、数据安全管理等产品)、身份安全产品(IDaaS、零信任、终端管理、访问控制)、安全服务与运营(安全管理与运营、安全服务)。

(2)发展趋势:移动办公与安全合规推动混合云安全快速发展

安全合规的持续强化将进一步激发云安全需求。等保 2.0 标准新增“云计算安全扩展要求”,进一步提出不同等级云计算平台的安全扩展要求。《云计算服务安全评估办法》,提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平。

支持混合云的安全解决方案、云内东西向安全或将成为发展重点。混合云的部署发展,将驱动适配多云模式的安全解决方案需求增长。随着云计算规模扩大和云中节点数增加,云内渗透威胁逐渐加剧,CWPP、微隔离、终端防护等东西向防护技术和产品需求日益迫切。

云计算技术的发展将进一步推动云安全技术创新,容器、微服务、云原生、 DevOps等新兴技术逐渐成为云计算技术新方向。随着5G、物联网、区块链等新技术发展,云计算环境将面临新的安全挑战,从而催生新的云安全需求。

远程办公的趋势推动了技术创新的需求,如SaaS安全态势管理(SSPM)和增强的身份保护工具(cloud-delivered IAM),零信任网络访问接入(zero trust network access, ZTNA)替代传统的VPN技术。

4. 软件供应链安全:

合规驱动下的新兴领域

随着数字化转型的加速,针对软件供应链的攻击事件一直呈快速增长态势,软件供应链安全成为网络安全市场的“新热点”,各大网络安全厂商纷纷布局这一市场。

从Gartner报告看,开发安全相关技术,如安全开发环境、DevSecOps、软件成份分析等,处于技术成熟度曲线的上升和快速发展阶段。

(1)市场规模估算:处于起步阶段的近千亿元潜在市场

当前,软件供应链安全市场处于起步阶段。2020年,全国软件和信息技术服务业企业超4万家,累计完成软件业务收入81,616亿元,同比增长13.3%。预计2021年中国软件产业实现业务收入将达88,908亿元,增长幅度将达14.9%。如按照软件业务中软件供应链安全投入占比1%的计算,我国软件供应链安全细分市场具有接近1000亿元的潜在市场容量。

(2)主要需求:依法合规是软件供应链安全的主要需求

我国的软件供应链安全,重点是关注关键信息基础设施供应链安全对运营方及提供商提出的相关要求。

2020年4月出台的《网络安全审查办法》要求为了确保关键信息基础设施供应链安全,维护国家安全,对关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应进行网络安全审查。2021年7月出台的《关键信息基础设施安全保护条例》第十九条明确指出:“运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查”。

(3)发展趋势与展望:政策法规驱动下的新兴赛道

· 软件供应链安全标准体系将进一步完善。

随着数字化转型进行的稳步推进,软件供应链安全重要性将不断提升,软件供应链安全标准体系也将进一步完善,涵盖软件供应链安全管理、技术、工具等各个方面,普及软件供应链安全防范意识,鼓励和指导重要行业、领域加快软件供应链安全工作建设落地,重点包括供应链安全准入技术基线、软件供应链商安全基线要求、软件供应链安全技术规范等标准领域。

· 软件供应链安全关键技术将快速发展。

软件供应链安全保障工作的落地离不开安全工具的建设使用。面对日益迫切的软件供应链安全需求,安全工具建设及使用将步入快车道,国家及企业层面将聚焦核心技术创新和自主产权发展方向,加大研发投入,着力提升恶意代码检测、漏洞分析、协议分析、软件成分分析等技术水平,不断提高软件产品安全缺陷和软件成分的发现能力。

· 软件供应链安全监测及信息共享机制将不断完善。

软件供应链安全监测机制及平台建设工作将持续推进,构建信息资产库动态管理、安全情报共享与预警、安全漏洞检测等能力,建立行业级可信、合规开源组件库,统一规范软件物料清单数据格式,同时开展常态化脆弱性安全监测,打通与CNVD、CNNVD等国家级漏洞库的联动,实现安全漏洞的精准预警,及时发现和处置软件供应链安全风险。

· 软件供应链安全生态将逐步建立。

软件供应链安全涉及上下游众多机构,重点行业及领域头部企业将从自身安全角度出发,建设软件供应链安全架构体系,落地软件供应链安全工作。

头部企业软件的供应链安全工作落地将进一步推动供应链上下游企业完善自身安全管理体系,建立软件供应链安全可信生态。

5. 工业网络安全:

深耕细分市场,面向业务的一体化能力成趋势

工业网络安全的范畴不断演进,从工业控制系统安全到工业互联网安全,再到工业业务应用安全,现在总体包括:工业设备与现场网络安全、工业互联网网络与平台安全、工业应用与数据安全。

目前,工业网络安全的市场容量达到百亿规模。其中,国际市场2021年达200亿美元,年复合增长率达20%;国内市场2021年达150亿元,年复合增长率20%。

(1)主要市场:基于合规需求的监管与防护

工业网络安全是典型的政企市场,当前需求以合规需求为主,满足关键基础设施安全防护、等级保护、行业监管要求。工业网络安全根据应用行业细分,深入行业业务流程。

产品服务主要包括政府和行业监管类(态势感知、安全管理、工业靶场、漏洞库、APT防护、攻防演练、数据安全、检测检查工具、教育培训等产品和服务),以及企业安全防护类(终端、网关、平台类通用产品,安全运营、漏洞检测等服务)。

(2)产业现状:行业深耕细分市场,创企规模难以做大做强

· 产品技术

工业网络对于安全的需求与互联网不同,保障生产是第一位的,传统信息化与网络安全技术难以直接应用。工业网络安全企业通常致力于防护设备、数据采集分析和展示,同质化较为严重。

· 业务应用

工业安全通常与业务耦合度高,有较多的定制化开发。特别是在市场培育期,规模化效应还未形成的阶段,会产生较高的人力和开发成本。传统行业信息化改造项目通常周期较长、资金回流速度较慢,很多创业企业规模和现金流难以支撑业务发展的需要。

· 行业拓展

从应用行业的发展情况看,工业互联网主要应用于能源、制造、交通等垂直管理行业,有较强的信息化需求和网络安全需求,行业壁垒较为严重。一家工业网络安全企业通常只能专注1~2个行业进行深耕,成长空间有限。

(3)发展趋势:打通安全板块,形成一体化安全能力

· 工业网络安全需求形成三个主要板块

工业现场设备与网络安全:工业设备(PLC/DCS/FCS)、现场网络(工业以太网/TSN/5G)。

工业互联网网络与平台安全:网络(工业互联网、5G网络)、平台(工业云、边缘计算)、协议(SCADA/OPC/IPv6)。

工业应用与数据安全:应用(工厂级应用、平台级应用)、数据(生产数据、产品数据、数据交易)。

· 三个板块需要打通,形成一体化安全能力

在网络层面:防护(一体化安全体系:防护、分析、态势)、运行(一体化安全编排、自动化运行);

业务层面:数据生命周期安全(采集、存储、传输、使用、交易)、工业软件供应链安全(需求、设计、开发、测试、运行)。

6. 密码应用:

产业面临新机遇,政策驱动转型融合发展

由于政策推动(密码法、信创)和产业发展(云、物联网),密码市场格局发生较大变化。其中,新增市场的规模较大,传统密码厂商洗牌,有望产生新的大型企业。此外,行业细分和定制化特征明显,金融、政务等重点领域出现创新应用,建议加强布局。

(1)市场规模与产业创新:政策驱动下传统产业快速转型发展

密码产业创新主要有两个方向:1.高性能密码应用,主要包括传统密码应用,以及信创、云、大数据的大部分应用,布局以高性能硬件设备和密码应用管理系统为主。2.轻量级密码应用,主要包括物联网、移动和区块链等创新应用,布局以低功耗密码模块(软、硬)和认证接入平台为主。

在市场规模方面,2021年我国密码市场规模约200亿元,增速超过15%。主要产品包括密码硬件(密码芯片与模块、密码卡、密码机、智能卡、KEY等),密码系统(数字证书、密钥管理、签名验签等),密码软件中间件及SDK等。

(2)发展趋势:密码与网安、数字化融合发展,服务重要行业和领域

目前,国密改造、政企上云,以及信创领域,是我国当前密码应用领域正在快速发展的重要市场;新基建、关基,以及密评,为即将落地的增量市场。数据安全与隐私保护则是中长期容量最大的市场。

在法律法规方面,《网络安全法》、等保2.0 、《密码法》、《数据安全法》、《个人信息保护法》等法律法规带来市场增量;在产业发展方面,密码应用正融入网络安全整体规划,打通产品和服务,在信创、关基、政务、金融等领域形成整体解决方案;在产品技术方面,云密码,物联网密码、密码芯片和模块等产品加强研发与技术合作,形成产业生态协同。

7. 移动安全:

规模较小,受大环境驱动加速发展

2016年至2024年期间,全球企业移动安全市场以19.4%的年复合增长率增长。2021年,全球企业移动安全市场规模达到43亿美元。移动安全市场的大多数供应商都提供基于云的移动安全解决方案,厂商代表Ivanti(收购MobileIron)、Vmware(收购AirWatch)。2021年,全球企业移动安全市场占比很小,只有1.06%。

(1)市场规模:中国企业级移动安全市场规模为20~30亿元

2016年~2021年期间,中国企业级移动应用市场将以43.25%的年复合增长率高速增长。2021年市场规模达到2340.8亿元 ,如按照全球企业移动安全市场占比1.06%估算,2021年中国企业级移动安全市场规模至少约25亿元。

根据IDC较早之前发布的《中国企业级移动安全软件市场预测与分析 》报告,按照2017年5770万美元,年复合增长率49.5%推算,预计2021年中国企业级移动安全软件市场至少20亿元(疫情催生更多移动应用需求)。

2021年国内移动安全TOP3厂商指掌易、梆梆安全、爱加密的年收入约5亿元。由于整个移动安全市场高度碎片化,按照TOP3营收占整体市场15%~20%来推算,整体市场规模约为25~33亿元。

(2)发展趋势:受APP监管、行业应用以及疫情催生的远程访问场景大环境驱动加快发展

目前中国企业级移动安全市场规模预计在20~30亿元之间,未来市场容量预测约60亿元。2019-2021年23家未上市移动安全厂商融资共19笔,总体金额约30亿元,占整体国内网安产业投资额不到10%(工信部:2019-2021国内网络安全一级市场风险与战略投资总额约为322亿元),未来随着国家加强对移动应用隐私保护与合规监管,移动安全市场投资增长潜力较大。

移动安全厂商更倾向于产品标准化而非定制化,在统一标准、统一产品,为客户提供多种标准服务的基础上形成商业发展模式。未来移动安全市场的发展一定是紧密和业务应用结合,走平台化战略。国外传统移动终端安全厂商MobileIron和AirWatch已被大厂收购,其中Vmware收购了Airwatch,全面发展其Workspace One数字化工作平台战略。

关于作者

陈华平:虎符智库专家,网络安全专家、奇安信集团公司副总裁。

乔思远:虎符智库专家、信息安全博士。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。