来源:赛尔网络市场动态(ID:Cernet_Marketing)
标 志
2014年2月27日,中央网络安全和信息化领导小组宣告成立。
举 措
2016 年年初,网络安全被正式划入“十三五”规划重点建设方向,在政府未来 5 年的 100 项重大建设项目中排在第六位;
2016年11月7日,中国《网络安全法》获得通过,并将于2017年6月1日起施行;
2016年12月,国家互联网信息办公室发布《国家网络空间安全战略》。
政府、电信、金融、能源、军队等重点行业,教育、电商、交通等新兴行业对信息安全产品、服务的需求强劲,拉动了信息安全市场的整体需求。
需求驱动:信息安全产业规模不断上升
数据显示,我国信息安全产业规模自2012年的157.26亿元上升至2016年的341.72 亿元,五年内年均复合增速达到21.41%。
随着政策的加快推动,市场增速正呈现不断上升趋势,到2018年,预测我国信息安全行业市场规模有望达到514.88亿元,2017年、2018年行业增速预计将分别达到 22.5%%和 23.0%。
图1 我国信息安全行业市场规模
数据来源:智研咨询《2017-2022年中国信息安全行业市场分析预测及投资前景分析报告》
Gartner数据显示,2016年企业的安全预算(包括人员)较2015年上升了18%,并预计在2017年将进一步增长。
Gartner报告中显示,受访企业中,72%的企业预算在500万美元到1000万美元之间,而现有预算超过1000万美元的企业中,有64%的受访企业预计将会增加支出。
此外,企业对安全工具的需求最强烈。
2017年初,“首席安全官”发布了2016全球网络安全企业融资排行榜,显示在2016年融资额超过1000万美元的网络安全企业有51家。在安全事件频发,传统安全手段乏力,更多创新和变革出现在安全行业之际,相关的投资也继续保持增长。预计2016年,网络安全行业吸引投资超过40亿美元,超过2015年37.4亿美元。
资本热情的提升显示市场热度显著升温,资本的持续投入将助力产业整合加速发展。
当前,移动互联网、云计算、大数据、物联网蓬勃发展,与各垂直行业不断跨界融合,互联网对现实世界产生了前所未有的影响。与此同时,安全的内涵也发生了变化,IT、OT、IoT甚至是物理环境都面临新的挑战。显然,全球各国、各领域、各行业也都认识到了这个问题,因此过去几年,信息安全特别是网络信息安全备受关注。
2017年,网络信息安全产业在政策、需求、资本的驱动下将迎来更加快速稳定的发展,顶层设计更加清晰,产业规模不断增长,资本的持续投入将助力产业整合加速发展。
信息安全产业全景概览
图2 信息安全产业全景概览
网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、消息认证、数据加密等),直至安全系统,如UniNAC、DLP等,只要存在安全漏洞便可以威胁全局安全。
信息安全行业的特点是“体制+产品(硬件+软件)+服务”共同作用,以行业技术为背景,由国家政策牵引、其他自组织和监管部门协调下促进行业的健康发展,服务于各传统行业中。
从安全层次看,信息安全分为三个层次,物理安全、运行安全、数据安全。
从安全领域看,信息安全包括传统安全、移动安全、云安全、工控和物联网安全、大数据安全等多个领域,并随着信息技术的发展而不断扩大领域范围。
从产业链构成看,信息安全产业链上主要包括信息安全产品提供商及信息安全系统集成商。
从产业结构看,信息安全产业由硬件、软件和信息安全服务构成,其产品可以分为三大类、十二小类、百余种产品,细分程度非常高。
图3 信息安全产业链
信息安全产业链上主要包括信息安全产品/服务提供商及信息安全系统集成商。
产品提供商又可以分为硬件、软件产品以及服务提供商,其一方面直接将产品/服务通过直销或分销模式销售给最终客户,另一方面也将产品销售给信息安全系统集成商。
安全集成服务提供商则通常通过竞标形式参与企业级用户大型 IT 系统的信息安全建设项目,为用户提供产品和服务。
图3 信息安全产品结构及分类(参考资料:《信息安全管理软件市场分析报告》,慧点科技)
从产品维度看,信息安全市场可分为安全硬件、安全软件和安全服务三大类,十二小类,约百余种产品。
安全硬件分为安全应用硬件和硬件认证两个领域,主要产品包括防火墙、VPN网关、入侵检测系统、入侵防御系统、统一威胁管理网关、令牌、指纹识别、虹膜识别等。
安全软件分为安全内容与威胁管理、身份管理与访问控制和安全性与漏洞管理三个领域,主要产品包括防病毒软件、Web应用防火墙、反垃圾邮件系统、数据泄露防护系统、数字证书身份认证系统、身份管理与访问控制系统、安全评估系统、安全事件管理系统、安全管理平台等。
安全服务主要包括咨询、实施、运维和培训。
按十二小类可以划分为:
基础设施安全类、终端安全、数据安全、应用安全、身份与访问管理、云安全、移动安全、网络空间安全、业务安全、工控安全、安全管理、安全服务。
信息安全产品的细分程度较高,不同的细分市场领域有相应的专业厂商,安全厂商主要可以划分为七大类:物理安全、网络安全、主机安全、应用安全、安全管理、移动与虚拟化安全、工控安全。
信息安全行业分散格局的重要原因是信息安全贯穿整个信息流链条,涉及几乎所有信息设备与软件,单个信息安全企业无法掌握全部信息安全技术,只能根据自身技术优势和渠道特点进行差异化定位,选择部分细分领域参与竞争。
网络信息安全威胁已经由早期单一的破解口令、篡改网页、破坏文件等向复杂的病毒传播、域名劫持、漏洞攻击、拒绝服务、APT攻击等多种手段发展,并严重破坏经济社会运行、盗取机密文件、商业秘密和个人财产发展。
当前
病毒传播、域名劫持、漏洞攻击、拒绝服务、APT攻击、……
网络攻击正呈现以下特点:
-
组织性、目的性、逐利性、破坏性越来越强;
-
攻击手段快速演变,攻击行为越来越隐蔽;
-
攻击来源更加难以预测、不确定性显著增强;
-
安全漏洞被利用的速度越来越快。
攻击技术的发展使得反制和追踪攻击行为变得越来越难,网络信息安全呈现出易攻难守的局面。
图4:2016年全球部分网络空间安全事件
图5:2016年我国互联网网络安全态势(数据来源:国家互联网应急中心,《2016年我国互联网网络安全态势综述》)
IDC(国际数据公司)称,中国企业的产品通常还集中在某一个点或面上,还没有形成完备的产业链和生态体系,从基础软件到应用软件,从网络设备到服务器等还不成体系。
数据来源: Cybersecurity Ventures发布“网络安全创新500强”
与发达国家相比,我国信息安全领域的产品标准以及跨领域的安全标准研究仍有待加强,国家网络与信息安全标准体系有待完善。
信息产业包含成千上万的从业者、各种供应商,以及各类软件、硬件设备等,因此,从上游的电信运营商到下游的信息企业公司等,应建立统一的规范标准。
1.核心元器件、核心设备、核心系统依赖国外
核心部件、核心设备依靠国外厂商提供配套资源,自己未掌握核心生产能力、核心技术的研发能力,导致信息安全核心元器件、核心设备乃至产业发展受制于人。
国产基础软件尤其是核心产品如操作系统、浏览器等基本都依附西方技术标准,没有自己的编程语言和开发工具。
2.
安全防御技术落后,对高级别复杂性威胁
应对能力不足
在APT攻击检测和防御方面,我国技术实力较弱 ,不能及时发现APT攻击,无法对其分析取证,难以掌握整个攻击过程,并缺乏有效的反击手段。
在 DDos攻击防护方面,国外安全服务提供商采用相应技术手段来分解攻击,保证每一个单点的处理能力和切换都是可控的,而我国只能靠单点的大带宽来承受攻击 。
3.
应对大数据、云计算等新兴技术网络安全
风险的能力不足
移动互联网、云计算、物联网等新兴技术促使互联网环境更加复杂,通过互联网所交互的数据包数量更加庞大,因此涌现出的新网络问题、安全问题、业务问题等都需要有相应的网络产品、安全产品支撑,显然我国在这方面的技术能力仍有待加强。
