本文从P（Political） E（Economic） S（Social） T（Technological） ，四个角度分析安全行业的市场现状和机会

背景：

    随着互联网的普及，人们的工作生活对互联网产生了极大的依赖。尤其是在当下数字化的背景下，生产资料数字化，交易数据数字化，政务数字化，由此可见，社会运行对网络设施的依赖性大幅度提升，相反，也为黑客利用攻击媒介创造了新的机会。网络钓鱼  、APT 、DDoS和勒索病毒等类型网络攻击频发，个人信息泄漏、企业核心业务数据泄漏大幅激增，由此造成了巨大的社会损失。随着网络危险的增加，同时也是市场规模的不断扩大，尤其是网络安全等级保护制度2.0标准发布后，合规需求和市场需求的双向刺激下，进一步扩大了市场规模和市场潜力，也催生了新一批网络安全产品百花齐放。

政策维度：

随着全球网络安全竞争的日益激烈，我国网路安全相关政策布局不断提速，积极推动相关政策出台，为促进产业发展提供了良好的政策保障。

网络安全发展总览：

图1 网络安全政策总览

1.法律角度：

《网络安全法》《密码法》等法规的出台，从法律层面明确提出国家实行网络安全等级保护制度。

a.网络安全

    《网络安全法》指出网络运营者应当按照网络安全等级保护制度的要求，制定内部安全安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任，并提出了相关设备的保护措施，尤其是对关键基础设施。

b.密码安全

    《密码法》中明确要求，在关键信息基础设施建设过程中，必须使用商用密码进行保护，并由商用密码检测机构进行密码应用安全性评估。同时，等保2.0相关标准中，也明确要求三级和四级系统建设过程中，必须采用密码技术保护系统安全。

c.数据安全

    《数据安全法（草案）》、《个人信息保护法》的制定出台将为数字经济时代数据资产的安全使用提供依据。数据安全相关的技术、产品不断涌现，使数据安全市场进入快速发展通道。数据安全产品需求将快速增长，数据资产发现、数据分类分级、数据脱敏、数据加密、数据安全监测预警平台等数据全生命周期管理的新产品与技术将不断涌现。数据安全治理将从“问题导向”向“价值导向”进行转变，用户业务需求与数据安全治理在安全风险、威胁、合规、风险容忍度等方面的平衡应得到从分考虑。

    在合规需求的刺激下，未来数据安全领域将成为融合多种能力、技术、产品与服务的综合、广覆盖的新型安全领域，有望超越防火墙成为中国网络安全第一大细分市场。

2.政策红利：

    等保2.0出台给网络安全行业带来新成长动力。2019 年 5 月 13 日，《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布，将于 2019 年 12 月 1 日开始实施，标志着国家对信息安全技术与网络安全保护迈入 2.0 时代。

 图2 新形势下的等级保护

等保 2.0给信息安全行业带来的增量空间主要来自两个方面:

a.合规：

    自2019年12月《网络完全等级保护制度》的施行，单位的关键信息系统需要被评定安全等级，根据等级配置安全保护措施。因此大量事业单位，政府部门和公司需要达到合规的安全要求，从新采购安全设备或更新现有安全设备。

b.新市场：

    等保 2.0 把包括传统网络安全、云计算、物联网、移动互联、工业控制、大数据等在内所有新技术纳入监管，比等保 1.0 拓展了一个维度。随着等保 2.0 标准的逐步落实，国内信息安全市场有望迎来更大的发展。

3.宏观政策：

 a. 《国家网络安全产业发展规划》

    2019年6月，《国家网络安全产业发展规划》正式发布，此次规划是继等保2.0 之后又一网络安全领域国家顶层规划政策，信息安全的国家战略地位进一步得到肯定。信息安全下游客户以政府、金融和电信等行业为主，整体发展受政策影响较大，预计该规划对未来信息安全产业的发展有巨大的指引意义。

根据北京地区规划，到2020年，依托产业园带动北京市网络安全产业规模超过1000亿元，拉动GDP增长超过3300亿元，打造不少3家年收入超过100亿元的骨干企业。此外，地方政府网络安全产业规划陆续出台，为网络安全行业提供场地、资金、人才等实质性发展支持。

b.护网行动

    护网行动力度加大，凸显国家对网络安全的重视。自2016年以来，公安部每年开展针对关键信息基础设施的实战攻防演习，被称为“护网行动”。伴随着等保2.0时代到来，同时为加强应对网络危险能力，2019年开始“护网行动”涉及范围扩大到工信、安全、武警、交通、铁路、民航、能源、新闻广电、电信运营商等单位，充分彰显了国家对网络安全的重视。护网行动力度的加大，也极大促进了政企对网络安全的投入，推动安全市场的发展。

c.《十四个五年规划和二零三五年远景目标建议》

    “十四五”将是数字化战略的转型建设的关键阶段，尤其是“新基建”，“政务数字化“其中《十四个五年规划和二零三五年远景目标建议》中提到统筹推进基础设施建设，加快第五代移动通信、工业互联网、大数据中心、综合交通枢纽和物流网络，建设智慧能源系统；建立数据资源产权、跨境传输和安全保护等基础制度和标准规范；扩大基础公用信息数据有序开放，保障国家数据安全，加强个人信息保护。今年北京网络安全大会上，安全框架放到了大会主题的高度。“安全框架”从甲方视角、信息化视角、网络安全顶层视角展现出政企网络安全系全景，通过以能力为导向的网络安全体系设计方法，规划出面向“十四五”期间的建设实施项目库（重点工程与任务），并设计出将网络安全与信息化相融合的目标技术体系和目标运行体系，供政企参考借鉴。

总结：

    在《十四个五年规划和二零三五年远景目标建议》和《国家网络安全产业发展规划》规划中，网络安全已经上升到国家战略高度，其次，近年来《网络安全法》、《密码法》等相关法律的颁布，网络安全行业正在逐渐由幕后走向前台，是整个社会的刚性需求，因此网络安全已经逐渐成为社会运行的基础保障。

名词解释：

关键信息基础设施：

一、关键信息基础设施的界定

    “关键信息基础设施”（Critical Information Infrastructure）是由“关键基础设施”（Critical Infrastructure）一词发展而来。关键基础设施一词由来已久，虽然各国对关键基础设施具体定义存在较大差别，但是对其范畴和边界的理解总体趋向一致，认为关键基础设施是指社会经济运转所严重依赖的产品、服务、系统和资产总和，一旦这些设施遭到破坏，会对国家安全、经济稳定和公众安全产生严重影响。具体到关键信息基础设施，可以从两个方面来理解：一个是信息基础设施中的关键部分，一个是关键基础设施中的信息部分，前者通常包括电信网络、广播电视网络、域名系统、电子签名认证系统等，后者即我们通常所说的重要信息系统。实际上，随着信息技术的发展，国家关键基础设施普遍网络化和信息化，这两个方面的融合度已经越来越高。

经济维度：

1.市场规模维度

    随着新一代信息技术的融合发展，对网络空间安全的认知不断深化，为真实、全面的反映产业发展现状，本次测算对网络安全产业范畴进行了扩充，将例如区块链应用等新技术产品、密码产品和设备等信息安全产品纳入考量范围，同时将云服务企业、电信运营商、车联网企业等主体的网络安全业务也纳入计算范围。

    2019年我国网络安全产业规模达到1563.59亿元，较2018年增长17.1%，预计2020产业规模增速为8.85%。（中国网络安全白皮书）

图4 2015-2020我国网络安全产业规模增长情况 （信通院）

    我国安全市场处于快速发展阶段一方面，工信部和发改委对网络安全行业的政策支持越来越大；另一方面，互联网的应用发展，5G、新基建等一系列新型基础设施逐渐成为创新热点。网络安全产业为保障“新基建”安全的重要基石，随着“新基建”在各个领域的深入展开，其将为网络安全企业的发展提供新的机遇。

a.业务：

    从传统的业务角度出发，安全市场可以分为硬件、软件、服务，三个主要方面，其中服务产品在2019年占比仅有15.6%，在三类产品占比最低，同时也低于全球平均水平20%，主要原因是客户在市场上对单个产品进行单独招标，很难形成网安产品的立体联动和大数据分析，安全公司很难提供有效的整体安全服务。

图5 2016-2021年 中国网络安全市场结构及预测

    根据应用场景的划分，我们从通用技术理念、基础安全领域、新型应用场景、安全服务、业务安全等五大方面勾画出我国安全市场全景图。（中国网络安全产业分析报告）

图6中国网络安全市场全景图分类架构示意图

b.政策：

    在等保2.0的政策红利下，云安全，工控安全，物联网安全，数据安全市场出现了较大的市场空间。尤其是数据安全市场，随着攻击频繁，企业信息化越来越复杂，监管趋严，主动防御和预测类安全产品如，态势感知、威胁情报分析，安全合规管理等细分市场取得快速增长。尤其是态势感知，2017,2018政府部门监管侧态势感知平台、企业端主动防御态势感知平台项目发展较快。

图7 2016-2021 中国大数据安全市场规模及预测

    其中物联网安全的市场规模发展迅速，物联网安全将成为万亿规模市场下的蓝海“潜力股”，根据赛迪顾问《2019 中国网络安全发展白皮书》统计数据，2018 年，我国物联网安全市场 规模达到 88.2 亿元，增速达到 34.7%，预计到 2021 年，物联网安全市场规模将达到301.4 亿元。

图8 2016-2021中国物联网安全市场规模及预测

c.地理位置：

从地理位置来说，网络安全需求与区域经济发展水平强相关，网络安全企业的收入主要来自于华北、华东和华南三个区域，三个区域合计收入占比超过70%。其中，华北区域由于政府及央企垂直效应，多年以来一直占据区域收入首位；华东、华南地区，经济活动活跃，无论是外企和大型企业都有不同程度的网络安全的需求。

图9 2019 年中国网络安全市场区域划分 （中国网络安全产业分析报告）

2.公司维度

近年来网络安全公司增长迅猛，2020年有3589家公司开展业务，较上年增长17.3%.

从行业集中度指数(CRN指数)出发，又称“行业集中率”，是指该行业的相关市场内前N家最大的企业所占市场份额，例如，CR1、CR4、CR8分别代表行业内排名第1位、前4位、前8位的企业所占的市场份额。2018年，我国网络安全市场CR1为6.41%，CR4为21.71%，CR8为38.75%。根据美国经济学家贝恩对产业集中度的划分标准，我国网络安全产业CR8小于40%，属于竞争型市场。但是，通过对过去三年市场集中度情况进行数据统计，我国网络安全产业的CR4和CR8都呈现增长态势，说明行业市场份额在向头部企业聚集，我国网络安全产业正在由竞争型市场向低集中寡占型市场转变。

图10 2019 年中国网络安全行业主要市场占有率

    根据CCIA统计，2020年共有1185家网络安全产品企业，同比减少了12%，提供网络安全服务的企业有2671家，同比增长了39.4%，提供网络安全服务和产品的公司有267家同比增长了36.2%。由此可见近年来网络服务的需求增加，国内网络安全市场由“重产品，轻服务”转型为综合性网络安全服务公司。

    从区域分布看，公司数量排名前5位的省份北京850家、广东540家、上海235家、四川228家、江苏190家。2020年新增公司依次在广东97家、江苏49家、福建44家、四川41家和河南29家。同图9，从地域角度的市场规模相符，主要集中在华北，华东，华南，华中等经济水平高地区；西南地区市场主要分布在四川地区。

    从业务角度来看，由于安全业务分散，细分领域众多，每个细分市场就会有十几家企业竞争，部分小企业凭借1,2款优势产品也能在某些特定行业和地区获得不错的发展，这是竞争格局分散的主要原因。

    反观，行业头部公司也并没有完全垄断业务市场，各个业务市场仍有巨大的机会。但是头部或成熟的公司大多是在行业内运营了20年以上。由防火墙、IPS/IDS这类传统安全业务可以看出头部公司占60%的市场份额，其他业务市场份额，行业前三总和低于40%，由此可见细分领域的业务市场处于竞争状态。

图11  2019 年我国网络安全格局 （华创证券安全分析报告）

名词解释：

 定义：AIRO是一套专注于允许组织确定、解析和改进公司风险态势的全面的解决方案，是成熟安全架构的基本组成部分。该市场中的产品（无论是硬件，软件还是服务）包括那些创建、监控和实施安全策略的产品以及确定给定设备的配置、结构和属性的产品。 （IDC 定义）

头部公司分为两种:

1.产业领导者，比如，奇安信、深信服等在安全行业属于业务、技术的领导者，并在二级市场上受到资金追捧，有充足的资金和资源，他们会凭借资本优势、并购新业务方向的优秀公司，丰富自己的产品线。

2.互联网巨头，包括阿里，腾讯，360由于网络安全市场规模相对较小，互联网巨头参与出于对品牌定位。

3.金融市场维度

    根据通信院不完全统计，排除股权转让、并购及IPO的影响，2019年中国网络安全行业投资事件搭40余起超过90亿元。其中奇安信占9亿（IPO69亿）。

    在融资轮次和数量方面，网络安全融资比较青睐早期融资项目。如早起天使轮+A+轮数量占比高达48.4%，中期项目B轮和后期项目C轮数量占比分别为22.6%和29%。

图12 2019 我国网络安全领域投融资分布情况 （信通院）

    业务投资角度，根据公开数据收集，融资项目分为12大类行业进行统计整理。2019年，按交易笔数统计：截至2019年年末中国网安市场发生交易笔数前三的分别为数据安全以27起交易位居第一；工控安全20笔位列第二，物联网安全19笔位列第三。2019年按交易金额统计：截至2019年年末中国网安市场发生交易笔数前三的分别为身份与访问控制18.4亿元人民币，安全运营14.0亿元人民币和数据安全10.1亿元人民币。

图13 我国网络安全业务投融资分布情况

社会维度：

    在新一轮产业数字化转型的大背景下，工业互联网建设将全面加速，从内容来看，工业信息安全泛指工业运行过程中的信息安全，涉及工业领域各个环节，包括工业控制系统信息安全(以下简称工控安全)、工业互联网安全、工业数据安全、工业云安全、工业物联网安全等内容。其核心任务就是要确保工业自动化、信息化、网络化、智能化等基础设施的安全。所以安全保障仍是工业互联网的重点工作，自“十三五”以来，国家高度重视工业信息安全顶层设计，强化工业信息安全工作体系建设，落实工业企业主体责任，提升工业信息安全保障技术能力，为工业信息安全产业发展全面提速奠定了良好的基础。此外随着行业政策以及下游政企对信息安全需求的不断增加，产业内生需求有望进一步被激发，我国信息安全产业未来前景可期。

1.宏观政策

    工业信息化方面，2020年3月，工业和信息化部发布《工业和信息化部办公厅关于推动工业互联网加快发展的通知》提出，要加快健全安全保障体系，包括建立企业分级安全管理制度、完善安全技术监测体系、健全安全工作机制以及加强安全技术产品创新。进一步促进了我国工业信息安全行业的产业优化升级。

图14 2017-2020年我国工业信息安全行业政策一览

    在2019年我国电力、智能制造、水利、交通等关键信息基础设施的重点行业开始积极行动，纷纷在工业信息安全领域加大投入，其中2019年电力行业工业信息安全投入仍保持高位，市场规模达15.62亿元，市场占比达41%，稳居榜首。电力行业是我国目前工业信息安全建设成熟度最高的行业，尤其是电网侧在安全防护类产品方面投入非常稳定。

    其次，伴随工业互联网纵深发展，离散制造业的工业信息安全应用取得高速发展。2019年，机械加工、装备等高端制造业工业信息安全市场规模达5.55亿元，市场占有率达15%，跃居第二位。石油石化行业2019年工业信息安全市场规模达3.46亿元，市场占有率为9%，位居第三。相较过去两年的快速增长，石油石化行业工业信息安全应用进入战略调整阶段。

图15 工业信息安全行业应用情况

2.产业需求

    自2020年以来，受疫情影响，企业软件向远程化、云化、自动化、平台化的方向发展，在此影响下，网络安全产业发展出新的形态。此外，随着企业信息化程度越来也高，网络威胁层出不穷勒索病毒及其变种频繁出现，严重威胁到企业、机构及个人用户的网络安全。2019年，全球网络安全行业市场规模达1216.68亿美元。

图16 2014-2019年全球网络安全行业市场规模统计及增长情况

3.威胁

    从2019的威胁记录来看DDoS攻击、APT攻击、漏洞威胁、数据安全隐患、移动互联网恶意程序、网络黑灰产业、工业控制系统安全总体下降，但也呈现出更多的新特点。

                1.DDos攻击，党政机关、关键信息基础设施等重要单位防护能力显著增强，单DDos攻击呈现高发频发态势，攻击组织性和目的性更加凸显。2019 年某黑客组织对我国300余家政府网站发起了1000余起DDos攻击，我国发生攻击流量峰值超过10Gbps的大流量攻击事件日均220起。

                2.APT攻击，APT攻击检测与应急处置力度加大，钓鱼邮件防范意识继续提升，单APT攻击逐步向各重要行业渗透，在重大活动和敏感时期更加猖獗。2019年党政机关遭受钓鱼邮件攻击数量多达50多万次，月均4.6万封，其中携带漏洞利用恶意代码的office文档是主要载荷，主要利用漏洞包括CVE-2017-8570 和 CVE-2017-11882，目前90%的鱼叉钓鱼邮件可以被用户识别发现。

                3. 漏洞，2019年CNVD（国家信息安全漏洞共享平台）收录通用软硬件漏洞创下新高，高达16193个，同比增长14%。范围包括操作系统、办公自动化系统（OA）、等软件VPN设备、家用路由器等网络硬件设备，以及芯片、sim卡等底层硬件，广泛影响我国基础软硬件安全。

                4.数据风险监测与预警防护能力提升，但数据安全防护意识依然薄弱，大规模数据泄露事件频发。2019年数据泄露风险与事件3000余起，支撑中央网信办重点对其中 400 余起存储有重要数据或大量公民个人信息数据的事件进行了应急处臵。 MongoDB、ElasticSearch、SQL Server、MySQL、Redis 等主流数据库的弱口令漏洞、未授权访问漏洞导致数据泄露，成为 2019 年数据泄露风险与事件的突出点。                    

                5.工业控制系统网络安全在国家层面顶层设计进一步完善，但工业控制系统产品安全问题依然突出，新技术应用带来新的安全隐患更加严峻。网络安全等级保护制度2.0正式发布，并正式将工业控制系统纳入到网络安全等级保护的范围，并出台了相应的测评要求。工业和信息化部于 2018 年、2019 年相继发布工业互联网创新发展工程项目，面向网络安全态势感知、威胁情报、公共服务等方向，建设“国家、地方、企业”三级联动的工业互联网网络安全保障技术平台。CNCERT 在积极参与相关平台建设的同时，着力打造面向互联网侧的工业控制系统威胁监测能力，面向重点行业联网工业控制设备、系统，以及工业云平台等核心网络资产开展全天候的实时监测和态势分析。

2020年我国网络威胁也是逐年增加，2020年上半年,平台收集威胁主要分布在信息传输/软件和信息技术服务业、制造业、卫生和社会工作、公共管理/社会保障和社会组织、批发和零售业和金融业等行业。2020年上半年平台收集威胁行业分布情况如图17所示。

图17 2020 年上半年威胁行业分布 （安全内参）

技术维度：

1.政策

    2020年工业和信息化部公布了《网络安全技术应用试点示范项目名单》，内包含信息基础设施安全，网络公共服务安全及安全培训，项目共177个。（数字为项目总数，仅展示部分公司）

图 19 新型信息基础设施安全类

图 20 新型信息基础设施安全类

图21 网络安全公共服务

示范项目参考链接：

               https://www.secrss.com/articles/26946

               http://www.gov.cn/zhengce/zhengceku/2020-08/04/content_5532287.htm

未来可关注：

2021-2035 年国家中长期科技发展规划。

参考链接：http://www.most.gov.cn/tztg/201911/t20191105_149762.htm

2.技术热点

1.数据安全治理技术：

    数据资产成为助力企业数字化转型、创造经济利益的新生产资料，同时也成为黑产的首要攻击目标。为了保障在收集、储存、加工、使用、交易等环节的数据全生命周期安全，无论是企业、在线数据处理公司，都需要多种数据安全技术和工具。除了传统数据库安全、数据防泄漏、数据储存备份等，数据资产发现、数据分级、数据脱敏、数据加密、数据安全监测预警平台也将进入快速发展轨道。

2. 开发安全运维技术：

    在软件开发的全生命周期进行安全赋能成为减少软件漏洞数量并将安全缺陷最小化的一种新理念在微软公司SDLC的概念基础上，通过将安全性融入即成开发和运维的DevOps体系，流程和工具链中，开发安全运维理念逐渐成为目前面向软件开发层面的主要安全技术之一。

3. 网络资产测绘技术

    主要是指对网络空间中各种设备资源的地理位置信息和网络信息进行探测和收集，并以此建设设备的相互关系索引，绘制出网络逻辑联结关系图，从而帮助用户掌握网络空间中各种设备资源的实时动态。

网络资产测绘用探测、分析和绘制三个阶段组成。网络测绘技术将抽象化的网络资源和资产利用可视化技术映射为网络空间全息地图，用以展现网络资源的分布情况，感知网络安全的当前态势并预测其演变趋势，让用户可以“按图索骥”，把握资源属性状态和发展趋势，减少资产管理决策活动的不确定性。

4. 安全编排与自动化相应

    SOAR通过融合安全编排与自动化（SOA）、安全事件响应平台（SIRP）和威胁情报平台（TIP）三种技术，覆盖安全防御的识别、防护、检测、响应、恢复等各个环节，即发现可疑行为，便可快速将防护和响应策略分发到相应的防护设备，并能够协助事后攻击溯源。　各大巨头IBM,Microsft,Splunk等争相布局SOAR生态。未来的安全运营中心类产品也会朝着增强安全协同与自动化能力的方向进化。

5. 欺骗防御术

    无论是SOC、SIEM、 SOAR等技术和产品需要有对等准确的检测情报输入，否则其分析和响应的效率会大大降低，甚至带来错误决策。欺骗防御特点是部署简单、低开销、管理简单、可扩展性强等特点成为帮助企业提高安全威胁检出率，降低误报率的高级检测技术。从技术理念上来说，Deception主要利用了蜜罐和虚拟化手段，通过高度模拟网络结构、操作系统、应用系统等，让攻击者主动陷入圈套。

总结：

图22 PEST 总结