等保2.0落地带来的新增需求包括产品和服务两部分。等保1.0是推荐性标准,主要影响政府、事业单位、国企,对私企、医疗、交通、教育、工业企业等影响较小。等保2.0由于网络安全法原因,已经成为实质性的强制标准,全国除小微企业外,其他均应开展等级保护。所以市场会有一个明显的放量,相比于过去每年20%+的增长,2019-2020年会有集中的体现。众所周知,信息安全行业两大驱动因素——政策+安全事件。等保2.0的落地属于安全政策的变化,影响力可能超过去年的网络安全法。而且,更重要的是,网络安全法落地是明牌,在预期之内,而等保2.0落地时点还不确定,对于其带来的新增市场空间也众说纷纭。在本文中我尝试大致测算一下。
产品端:新增产品APT防护、流量回溯、邮件防护、可信计算。此外,还有云安全、大数据安全、工控安全这些新增领域的安全产品需求。得到需求增强的产品有:堡垒机、数据库审计、集中日志审计等。从逻辑上说,等保2.0偏重于事后审计、回溯、分析,新增的产品多与此功能相关。根据我的草根调研,这几个产品的平均单价分别为APT 20万,流量回溯 15万,堡垒机15万,数据库审计12万,集中日志审计18万,态势感知平台的价格相对较高(数百万),但是目前只有工行等超大型机构进行了部署(公安部的态势感知平台1000万+),预计渗透率不会太高。这里要注意,不同参数,不同渠道的产品售价天差地别,比如运营商集采的价格就非常低,此处我只是按照均价进行了估计(与信息安全专家核对过)。目前中国等保三级的系统约为五万个,二级系统数十万个(按50万个测算),但是一个单位内部可能有多个系统,可以共用一些安全产品(APT可以部署在核心交换上,旁路)。产品的单价和假设的新增数量在下面的图中:APT在等保三级里面新增渗透率假定为36%,流量回溯40%,堡垒机、数据库审计、集中日志审计在等保二级里面新增渗透率假定为2%,4%,4%,因为很多已经有了,还有一些不会部署。
服务端:原来的安全服务项目得到加强,等保咨询服务体量将暴增。包括等保测评服务、等保咨询服务、常规安全服务(渗透、漏扫、配置核查)、重保服务、云端SaaS服务。这些安全服务以往每年都要做(等保测评工作每年都有固定要求,而且有专门的测评机构,跟信息安全公司没有直接关系),等保2.0落地以后显著增加的应该是等保咨询服务。目前市场上等保测评服务为二级8万元,三级16万元,等保咨询服务的价格为二级5万左右,三级8万~10万元(按9万计算)。按照新增20%的单位选择等保咨询服务计算,对应的新增市场空间为59亿元。
等保2.0带来的市场增量约为54.27%。产品加服务总的新增空间为271.35亿元,2018年中国信息安全市场空间约为500亿元,因此等保2.0带来的市场增量约为54.27%。此处尚未考虑以前没有定级的系统新增定级(或者二级升到三级)需要采购的产品和服务数量,因为不好估计。大致假设5%的二级系统升到三级,新增设备金额大概100万,就要再新增250亿元的市场,相当可观。
声明:本文来自蛀书狐狸,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
