来源:雪球App,作者: 未来智库,(https://xueqiu.com/9508834377/240162999)
(报告出品方/作者:,杨泽原、丁奇、潘儒琛)
创新之处
一、报告系统梳理我国数据安全政策体系,提炼出安全与发展并重这一核心原则。 二、划分数据安全需求为数据对象安全、数据汇聚安全、数据流动安全三大层次,分 析政府、电信、金融以及互联网、汽车等重点下游行业的需求特性,并探讨数据安全的潜 在落地范式。 三、认为数据安全是网络安全行业成长的重要增量,助力网络安全支出占 IT 支出的比 重提升,预计仅产品/平台/服务带来的市场空间即为百亿级;网络安全公司凭借产品线扩 展能力、解决方案提供能力、行业客户资源沉淀,预计短期将最为受益,中长期亦有广阔 空间。
数据安全政策体系逐步完善,以安全发展并重为核心 原则
蓬勃发展,数据安全上升至国家安全层面
2021 年,《数据安全法》、《个人信息保护法》开始施行,2022 年,党中央、国务院 颁布“数据二十条”。我国数据安全政策体系逐步完善并落地执行,保障发展。 数据成为国家基础性战略资源,价值与安全威胁同步显现。我国加快数据安全建设具 有三方面背景:1)数字经济蓬勃发展。数字经济以数据为关键生产要素,产业数字化、 数字产业化趋势正在加快,《“十四五”数字经济发展规划》提出,到 2025 年,数字经济 核心产业增加值占 GDP 比重达到 10%。2)数据安全威胁多发。数据具有可复制、可无 限供给等属性,伴随各类数据迅猛增长,数据安全问题由冲击个人隐私、商业秘密上升至 损害国家利益;根据 Risk based Security 统计,2021 年全球公开披露数据泄露事件 4145 起,共导致超 220 亿条数据泄露。3)数据主权博弈显现。经济全球化推动各国经济贸易 与技术交流,大量数据在全球范围内跨境流动,或导致国家关键数据资源流失,美国、欧 盟等颁布法案并进行数据安全“长臂管辖”,各国数据博弈紧张化。
《数据安全法》、《个人信息保护法》落地,数据安全上升至国家安全层面,“十四五” 期间将加快建设。《数据安全法》首次独立将数据作为保护对象,明确由“中央国家安全 领导机构负责国家数据安全工作的决策和议事协调”;《个人信息保护法》专门针对个人信 息处理活动进行规范;《“十四五”发展规划》将数据安全作为数字经济安全体系 的一环,要求建立健全数据安全治理体系。伴随数据安全“五法一典”出齐,2021 年成 为我国数据安全元年,各地、各行业加快数据安全政策体系完善与落地执行,政企机构强 化数据安全建设,共同助力网络安全行业高景气度维系。2022 年 12 月,《中共中央 国务 院关于构建数据基础制度更好发挥作用的意见》强调加快构建数据基础制度,提 出“强化数据安全保障体系建设,把安全贯穿数据供给、流通、使用全过程”。2023 年 1 月,工信部等十六部门联合印发《关于促进数据安全产业发展的指导意见》,提出到 2025 年,数据安全产业基础能力和综合实力明显增强,产业规模超过 1500 亿元,到 2035 年, 数据安全产业进入繁荣成熟期。
坚持数据安全与发展并重,发挥数据作为生产要素价值
我国坚持数据安全与发展并重,安全是发展的前提,发展是安全的保障。《数据安全 法》对数据安全的定义为“通过采取必要措施,确保数据处于有效保护和合法利用的状态, 以及具备保障持续安全状态的能力”。这与《网络安全法》中强调“国家坚持网络安全与 信息化发展并重”的原则相一致。
数据安全是数据开发利用和产业发展之基,政企机构具有数据安全保护义务。我国数 据安全政策的安全主线体现在:1)与等保、关基衔接。《网络安全法》对等保、关基对象 已提出数据安全要求,《数据安全法》进行衔接,要求利用网络开展数据处理活动,应当 在等保基础上履行数据安全保护义务。2)贯穿数据全生命周期。在数据采集、传输、存 储、处理、共享、销毁等各阶段,政企均需进行安全防护。3)数据分类分级保护。不同 类型、不同级别的数据,重要程度、可能造成的危害程度不同,应当匹配不同的保护措施; 《数据安全法》要求建立数据分类分级保护制度,《网络数据安全管理条例(征求意见稿)》 将数据分为一般/重要/核心数据,身份信息、隐私信息、生物特征信息等也成为政策关注点。4)“管理+技术+运营”体系建设。数据安全不仅是技术问题,更是管理问题;《数据 安全法》规定,数据处理者要建立数据安全管理制度,也要采取技术措施保障数据安全, 还要加强风险监测;《个人信息保护法》也在管理、技术、运营等方面提出要求。
2021 年以来,围绕数据安全的监管动作密集,体现决策层、监管部门推进决心。2021 年 6 月,网络安全等保测评报告模板新版发布,将数据作为独立测评对象,单独列出数据 安全测评结果;7 月,为“防范国家数据安全风险”,国家网信办对若干互联网公司实施网 络安全审查;2022 年 2 月,工信部决定在辽宁等 15 个省(区、市)及计划单列市开展工 业领域数据安全管理试点工作,试点内容包括数据安全管理/防护/评估/监测以及数据安全 产品应用推广、数据出境安全管理;2022 年 6 月,国家市场监管总局、国家网信办决定 开展数据安全管理认证工作,鼓励网络运营者通过认证方式规范网络数据处理活动,加强 网络数据安全保护。我们认为,密集监管动作反映了国家对于数据安全建设的决心。
数据在合理有效利用与流动中发挥价值,对数据安全建设形成促进作用。数据安全不 仅仅是存储环节的静态安全,也伴随数据全生命周期,深入市场。对于数据交易, 《数据安全法》明确,“国家建立健全数据交易管理制度,规范数据交易行为,培育数据 交易市场”;对于数据跨境流动,《数据安全法》在明确数据主权的同时,提出“国家参与 数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动”。2021 年以来,北 京国际大数据交易所、上海数据交易所、广州数据交易所等成立,探索建立数据流通机制。 未来,我国数据安全政策体系预计还将围绕数据权属、数据交易等进行完善,以进一步释 放数据价值与红利:1)数据权属,即所有权、使用权、收益权归属何方,以及相应的利 益分配机制;2)数据交易,即交易流程、定价等问题。
数据安全需求层次化迭代,行业落地范式各有特色
数据安全需求由 1.0 向 2.0、3.0 迈进,2.0 对应解决方案或成建设重点
数据安全建设强调“以数据为中心”,将强化政企机构数据安全意识与投资意愿。根 据郑云文所著《数据安全架构设计与实战》,的中心是信息,强调信息及信息系 统的保密性、完整性、可用性;网络安全注重对网络边界和安全域的防护;数据安全则直 接指向数据,强调数据作为生产力的价值和主权。对比网络安全与数据安全,网络安全强 调的是计算环境——网络空间的安全,从而保障计算对象——数据的安全。因此,网络安 全是数据安全的前提,数据安全是网络安全的一种体现,网络安全涵盖范围更广,但数据 安全更具针对性。我们认为,在数据安全时代,数据安全问题的重要性将进一步提升,与 业务的耦合程度也将更加紧密,政企的数据安全意识、投资意愿有望得以强化。
数据安全需求包括 1.0、2.0、3.0 三个层次,正由 1.0 向 2.0、3.0 层次迈进。结合启 明星辰公司提出的数据安全层次框架,我们认为,政企机构数据安全需求正由 1.0 层次向 2.0、3.0 层次迈进,在 1.0 层次强化合规产品采购,在 2.0 层次对应的“管理+技术+运营” 整体解决方案有望成为建设重点,在 3.0 层次进行隐私计算等新兴技术探索。
1.0 层次为数据对象安全,侧重于存储/处理阶段对数据库、文件的防护。典型需求为 数据库审计、数据防泄漏等功能较单一的数据安全产品,驱动因素以合规为主。中国信通 院调研显示,97%的受访企业认为“合规需求”是开展数据安全建设的主要原因之一。伴 随政策体系逐步完善与落地执行,政企机构 1.0 层次需求将大为扩充,强化产品采购。
2.0 层次为数据汇聚安全,站在政企机构的总体视角把握数据安全。典型需求为涵盖 “管理+技术+运营”体系的数据安全解决方案建设,驱动因素由合规逐渐走向内生动力。 1)管理体系:明晰数据安全防护责任。结合政策要求、业务流程,形成自上而下的数据 安全管理体系,并以制度、流程等形式下发和执行。2)技术体系:由单品叠加走向产品 联动。在数据全生命周期内,通过有针对性的产品组合形成数据安全防护能力,通过态势 感知平台对数据访问关系、内部流转情况进行动态监测。3)运营体系:采购数据安全咨 询、培训、风险评估、审计认证等服务。以数据分类分级为例,由于政企数据资源分散且 对政策标准的理解程度相对有限,因而对于外部服务的需求强烈,交由专业机构进行数据资产梳理、分类分级并最终形成数据资产清单。2021 年 11 月招标的浙江省“智慧医保” 安全运维及系统数据安全服务项目,预算达 2550 万元,致力于保障“智慧医保”系统数 据安全、支撑医疗数字化改革全周期,项目建设内容即包括数据安全管理制度、技术防护、 运营服务等三大体系。
3.0 层次为数据流动安全,数据由政企机构内部向外部流动,涉及多主体、多方面诉 求。这一层次的典型需求为隐私计算等新兴技术,驱动因素以内生动力为主,特别是金融、 医疗、政府等行业。隐私计算起步于 20 世纪 70 年代,融合密码学、人工智能、计算机工 程等多学科,旨在实现数据可用不可见/得,四大技术路径各具特色:1)数据流出、集中 计算——数据脱敏、差分隐私、同态加密。数据持有方对数据进行脱敏、扰动或加密等操 作后,分发给数据需求方进行集中式计算。2)数据流出、协同计算——安全多方计算。 实现方式包括混淆电路、秘密共享等。在一个多方系统中,互不信任的各参与方协同完成 计算,同时保证各自数据安全性;安全级别高,但复杂任务的运算性能较低。3)数据不 流出、集中计算——可信计算。实现方式包括可信执行环境、数据沙箱等。数据需求方在 安全可控环境下进行数据分析,适用于集中公共数据开放;可信执行环境通过软硬件方法 在 CPU 中构建安全区域,保证内部加载的程序和数据得到保护,运算效率快,但受到对 硬件厂商信任度的制约。4)数据不流出、协同计算——联邦学习。本质上是一种分布式 机器学习技术,采用分发模型在每个数据持有方就地计算,但模型难以完全保密。
政府强调数据汇聚与流动安全,电信、金融在业务中安全发挥数据价值
政府、电信、金融三大行业占据我国网络安全行业下游的半壁江山,对数据安全需求 强烈且各有特色。根据 Frost&Sullivan 统计(转自招股说明书),按照投资规模, 政府、电信、金融在网络安全行业下游市场中合计占比超过 50%。三大行业面临的合规监 管压力突出,在数据安全行业的下游依然地位重要。我们认为,政府需实现政务数据汇聚 与流动安全,第三方整体解决方案是潜在落地范式;电信业分支机构、业务合作伙伴众多, 同样需依托第三方整体解决方案构建数据安全流转体系;金融业数据治理基础好,但数据 价值的安全释放难度高,隐私计算等新兴技术是破题之道;此外,制造、医疗、教育等行 业也存在较突出的数据安全需求,短期内进行合规产品采购,中长期将强化整体解决方案 部署。
政府需实现政务数据汇聚与流动安全,开展监管平台建设,第三方整体解决方案是潜 在落地范式。政务数据具有两大特点:1)海量、多元,来自不同单位,内容涵盖经济、 政治、社会等方方面面;2)安全问题至关重要,但安全基础相对薄弱。根据《数据安全 法》,国家机关应当“建立健全数据安全管理制度,落实数据安全保护责任”,做好政务数 据开放和利用的安全管理。政府数据安全需求体现在:1)政务数据汇聚安全,对应第三 方整体解决方案,从大数据视角把握数据安全,如与城市安全运营中心相结合;2)政务 数据流动安全,伴随政务数据流动属性显现,数据从在内部委办局间共享,到开放供公众 查询使用,再到形成数据产品,多地政府提出探索应用隐私计算等新兴技术,如上海“沪 惠保”借助数据沙箱合规调用公共数据开放平台医保数据;3)监管平台建设,工信部《“十 四五”大数据产业发展规划》在数据安全铸盾行动中提出建设数据安全监测系统,基于重 要网络节点,建设涵盖行业、地方、企业的全国性数据安全监测平台,形成敏感数据监测 发现、数据异常流动分析、数据安全事件追踪溯源等能力。
电信业分支机构、业务合作伙伴众多,需依托数据安全产品/平台/服务构建数据安全 流转体系。电信运营商覆盖用户群体庞大,根据工信部的数据,截至 2022 年 10 月,我国 移动电话用户总数达 16.82 亿户。伴随 5G 时代到来,运营商业务场景趋向复杂,终端接 入数、数据量爆发。此前,电信运营商涉及的数据安全事件多与分支机构、业务合作伙伴 有关。因此,电信业的数据安全需求体现为构建数据安全流转体系:1)保障数据在内部 各分支机构、业务条线流转,以为例,其建立弹性的大数据安全组织体系、策略 体系,建设或自主研发大数据能力开放平台、数据加密解密系统、大数据追踪溯源系统、 大数据安全网关系统;2)保障数据在代理渠道、广告商等业务合作伙伴处流转,目前电 信运营商多通过合同协议要求业务合作伙伴遵循安全保密规定,但约束力相对有限,且仅 能在事后追究责任,可探索利用数据水印、数据脱敏等技术。
金融业数据治理起步早,但数据价值安全释放难度高,新兴技术是破题之道。金融业 数据治理起步早,央行、证监会已发布多份行业标准, 2020 年初即启动数据资产盘 点工作,形成全行数据资产目录。结合原行长李礼辉的观点,金融业数据安全的 挑战在于数据边界交叉范围广:1)与工商企业、公立机构和国家机关共享场景,以触达 客户;2)与电信运营商等外部机构合作获取数据;3)与科技平台直接或间接产生金融业 务。因此,如何安全发挥数据价值是金融业数据安全建设的关键。2021 年 2 月,央行明 确金融业数据能力建设要遵循 5 大基本原则:用户授权、安全合规、分类施策、最小够用、可用不可见;7 月,央行征信管理局要求网络平台实现个人信息与金融机构的全面“断直 连”。证券时报报道,2020 年底以来,已有十余家头部大行、股份行以及部分城农商行立 项,寻求利用隐私计算等可信 AI 技术打通内部数据或接入外部数据,在零售信贷、合规防 控等方向进行尝试。例如,建行与星云 Clustar 合作搭建全行级的联邦学习多方安全建模 平台,是目前国内金融领域内首个完全落地的隐私计算商业化项目。
互联网行业涉及业务合规、安全防护两类需求,技术自研能力突出
互联网业务合规是重点,自身需规范数据处理活动,同时需第三方提供咨询/评估/审 计服务以及移动 APP 加固/检测产品。互联网行业基于数据驱动的业务——商业推广、精 准营销等存在的数据安全问题包括:数据过度采集、数据滥用等。国家网信办发布的《网 络数据安全管理条例(征求意见稿)》在“互联网平台运营者义务”一章中,针对产品和 服务差异化定价、最低价销售、个性化推荐等问题提出要求。对应的业务合规需求将主要 由互联网公司规范自身业务模式来达成,如 2021 年 4 月上线应用跟踪透明功能, 也收紧个性化广告规定,同时叠加专业机构提供的咨询/评估/审计等服务;网络安全 公司、移动应用安全公司开发的产品也有用武之地,如移动 APP 加固、隐私合规检测系 统等。
互联网公司掌握大量重要数据,数据安全防护能力建设是关键,头部公司技术自研能 力强大,中小厂商侧重于外部采购。2016 年 4 月 19 日举行的网络安全和信息化工作座谈 会指出:“一些涉及国家利益、国家安全的数据,很多掌握在互联网企业手里,企业要保 证这些数据安全。”对此,互联网行业中的头部公司多拥有专门的安全团队,技术能力较 强。以为例,其通用 AI 基础设施 SenseCore 保障客户数据安全的技术措施包括: 1)集成隐私计算技术,无需传输原始数据样本,可直接使用客户本地存储的数据进行模 型训练;2)提供数据脱敏和加密工具,隐去个人信息并模糊字符、数字及人脸。根据 IDC 中国数据安全市场研究报告,在业务实践中形成一套体系化、智能化的数据安全 解决方案,依托机器学习、多方计算等技术构建的“智能度量智能系统”,每天能对上百 亿的数据流动行为进行实时风险感知及处理,如用户授权支付宝上的第三方小程序调用个 人信息,系统对调用行为进行检测和保护。而对于中小互联网公司,由于安全投入体量相 对有限,将更侧重于采购、部署数据安全产品服务或解决方案。
汽车行业“新四化”趋势下迎来数据安全问题,未来空间广阔
汽车数据安全问题现阶段集中在采集与存储/处理合规上,外资车企或寻求数据托管服 务。汽车正迎来“新四化”趋势,由于各类算法、模型需要庞大的数据量进行训练,搭载 各类传感器的智能网联汽车收集的数据种类和数量爆发,一辆智能网联汽车每天至少收集 10TB 数据。汽车行业现阶段面临的数据安全问题包括:1)采集,如过度收集重要数据、 个人信息等;2)存储/处理,如数据任意向车外传输、数据在远程平台长时间存储、重要 数据违规出境等。2021 年以来,汽车数据安全相关政策密集发布,车企合规压力显现。 对于采集合规,车企将主要通过自身合规建设、购买咨询/评估/审计等服务来实现,规范 重要数据、个人信息、敏感个人信息的处理活动;对于存储/处理合规,在境内自建 数据中心,也有外资车企选择从境内的数据托管服务商处获得数据管理和处理服务。
未来将在智能驾驶这一开放场景中实现数据全生命周期安全,车企与网络安全公司等 正共同进行技术探索。伴随智能网联汽车渗透率的提升,智能驾驶技术由测试阶段迈向实 际应用阶段,汽车数据安全将绑定开放场景,由合规需求走向安全防护需求:1)车与人/ 车/路/云协同,涵盖车内数据存储/处理安全、远程平台数据存储/处理安全、数据传输安全 等;2)数据在汽车制造商、零部件供应商、软件供应商、经销商、维修机构以及出行服 务企业等之间安全流转并发挥价值。网络安全公司等第三方厂商发挥的作用将更加重要, 原因在于技术需求完整涵盖采集层、通信层、平台层、应用层,需要生态内各方共同进行 探索;传统数据安全技术需要结合新场景进行改进,匹配智能驾驶特定需求。
数据安全成网安行业成长重要增量,网安公司将充分 受益
商业模式现阶段以产品/平台/服务为主,隐私计算或催生收益分成模式
产品销售构成数据安全行业基本盘,标准化程度高。数据安全产品“百花齐放”,技 术成熟度整体较高:1)技术已经成熟的产品集中在存储/处理阶段,包括数据库审计/防护、 数据防泄漏、漏扫、加密、容灾备份等,但性能有进一步提升空间;2)数据发现和识别 系统正由基于传统技术向智能技术演进,算法成熟度处于优化阶段;3)数据水印技术由 学术界走向业界,一些关键的技术问题仍有待解决。
平台建设形成数据安全态势感知能力,功能可配置,有望带动产品销售。、 、、、等网络安全公司陆续推出这一产品,名称各异, 如数据安全治理管控平台、数据安全运营平台等,类似于网络安全中的“SOC+态势感知”。 数据安全态势感知平台的特点体现在:1)数据资产可视化,形成数据资产地图,针对数 据流转情况进行动态监测;2)安全能力集中化,对接数据安全产品以及部分网络安全产 品,集中管控设备告警,下发策略;3)运营分析体系化,监测数据安全风险。数据安全 态势感知平台体量大于数据安全产品,部分功能可根据政企机构情况进行配置,但标准化 程度较高,平台建设也可带动数据安全产品销售。
服务提供以形成数据安全整体解决方案,提升数据安全治理能力,专业性较网络安全 服务更强。数据安全服务涵盖安全合规评估/审计、安全咨询、考试与培训、安全托管、安 全运维、安全应急处理等,在形式上与网络安全服务相似,既有远程服务,也有驻场服务,但专业性更强,服务提供的主体也不限于网络安全公司,还涉及咨询机构、律师事务所等。 伴随数据安全政策体系逐步落地,预计服务内容将从应急式、一次性服务,向常态化、完 整型服务转变。
隐私计算或催生新兴商业模式,收益分成将带来持续收入。隐私计算现阶段的商业模 式以项目制的系统建设为主,技术厂商为金融、政府、医疗等行业客户提供平台的定制化 开发,以及软硬件平台销售,如星云 Clustar 隐私计算软硬件一体机、蚂蚁摩斯多方安全 计算平台,应用场景包括金融风控、互联网精准营销、智慧医疗、政务数据共享开放等。 未来,隐私计算技术的潜在商业模式包括:1)提供模型更新、系统维护服务,将带来持 续现金流入;2)根据业务运行效果获取收益分成,这一模式能否落地取决于技术进展以 及供需议价能力;3)开源模式,如 Asylo、 CrypTen、 FATE,开源后再通 过后续服务、技术升级等进行收费。
数据安全产品/平台/服务将达百亿级市场空间,四类玩家同台竞技
数据安全将成网络安全行业成长的重要增量,助力网络安全支出占比提升。根据 IDC 统计数据,我国网络安全支出占整体 IT 支出比重仅 2%左右,较海外差距明显。工信部网 安产业发展计划提出,到 2023 年,电信等重点行业网络安全投入占信息化投入比例达 10%; 上海市经信委负责人 2021 年 7 月透露,上海将明确政府和公共企事业单位在网络安全上 的投入比例不低于 10%。我们认为,我国数据安全政策体系的落地执行走在全球前列,数 据安全建设的地位大为提升,政企机构有望把网络安全新增预算的重要构成分配至数据安 全,以弥补此前的建设不足和能力空缺。因此,数据安全是网络安全行业成长的重要增量, 而非对网络安全中传统投入规模的挤压。
数据安全产品/平台/服务对应的市场空间为百亿级,未来或超越防火墙成为网安第一 大细分市场。测算方法 1:根据计世资讯、统计,2019 年我国数据安全市场规模 为 39.4 亿元,网络安全市场规模为 608.1 亿元,数据安全占比约为 6.5%,与全球水平接 近;中国电子信息产业发展研究院副院长刘文强指出,至 2023 年,我国网络安全市场规 模有望达到 1300 亿元;仅考虑数据安全产品销售、平台建设、服务提供三大商业模式, 假设我国数据安全市场规模占网络安全市场规模的比重提升至 10-15%,则我国数据安全 市场规模有望达到百亿元。测算方法 2:根据工信部《“十四五”大数据产业发展规划》, 到 2025 年,我国大数据产业测算规模目标值为突破 3 万亿元;我们假设数据安全相关投 入占大数据产业规模的 1%,潜在市场规模也为百亿级。中国网络安全产业联盟《中国网 络安全产业分析报告(2020 年)》认为,未来数据安全领域将成为融合多种能力、技术、 产品与服务的综合型新兴安全领域,有望超越防火墙成为中国网络安全第一大细分市场。 工信部、国家网信办等部委联合颁布的《关于促进数据安全产业发展的指导意见》提出目 标,到 2025 年,数据安全产业规模超过 1500 亿元,年均复合增长率超过 30%。
隐私计算大有可为,行业领域横向延伸、纵向挖掘,或将带来百亿级市场增量。市场 增量体现在:1)行业领域横向延伸,伴随数据安全政策赋能、隐私计算技术规范明确, 隐私计算有望在工业、交通、能源等行业也实现落地;2)行业领域纵向挖掘,由面向大 客户定制化开发,到逐步面向小客户销售标准化系统;3)商业模式演变。Gartner 预测, 到 2025 年,将有一半的大型企业机构使用隐私计算在不受信任的环境和多方数据分析用 例中处理数据。根据微洞察&KPMG《2021 隐私计算行业研究报告》的预测,三 年内我国隐私计算系统销售和服务收入有望达到 100-200 亿元。
数据安全市场主要有四类参与者:网络安全公司、数据安全创业公司、垂直领域 IT 厂商、IT 基础设施厂商。1)网络安全公司的产品线扩展能力、解决方案提供能力、行业 客户资源沉淀强大,料将在短期内最为受益数据安全政策体系落地,中长期亦有广阔发展 空间。2)数据安全创业公司具有细分领域技术优势,但解决方案提供能力有待加强,隐 私计算初创公司处在商业模式和技术路线探索期,未来发展潜力巨大。3)垂直领域 IT 厂 商切入数据安全的门槛高,布局汽车数据安全得益于长期的资源积累。4)IT 基 础设施厂商,如、等凭借底座优势发力数据安全,具有一定的协同效应。
网络安全公司产品线扩展与解决方案提供能力、客户资源沉淀强大
数据安全政策体系初步落地后,短期内即带动网络安全公司数据安全业务收入的高增。 我们认为,网络安全公司发力数据安全业务的优势体现在:1)产品线扩展能力强大,基 于政策理解、客户理解、技术积累,能够快速满足客户需求;2)解决方案提供能力突出, 整体解决方案是网络安全公司做大做强的先手棋,助力实现数据全生命周期安全;3)行 业客户资源沉淀丰富,特别是在政府、电信、金融等网安传统下游行业,网安公司优质客 户数量众多。对于数据安全需求的 1.0、2.0、3.0 层次,网络安全公司将分别通过产品销 售、整体解决方案提供、新兴技术布局,进行深度赋能。
提供体系化数据安全解决方案,数据安全与隐私保护类创新型产品快速占领市 场。奇安信数据安全产品分为四个方面:1)传统的数据安全产品,包括数据库审计、数 据防泄漏、内容加密、电子数据取证等;2)大数据环境中的数据安全产品——零信任, 解决细粒度的数据访问控制问题,做到“主体身份可信、行为操作合规、计算环境与数据 实体有效防护”;3)数据交易沙箱,以安全分离学习技术为核心,将数据以资产形式进行 交易和流通,具备数据访问权限管控、数据操作留痕审计、用户行为风险分析、输出结果 申报审核等功能;4)APP 隐私合规和治理产品,包含特权卫士、权限卫士、API 卫士和 隐私卫士。根据奇安信公司年报,2021 年,奇安信数据安全与隐私保护产品竞争力和市 占率快速提升,收入突破 11 亿元,同比增长率超过 50%,高于整体营收增速(39.60%)。
始于数据安全,构建“CAPE”数据全生命周期防护体系,定增募资建设数 据安全岛平台。安恒信息英文名称为 DBAPPSecurity,代表最初的业务方向即为数据安全 与应用安全,成立之初推出数据库审计产品,后又推出数据库防火墙;2015 年,发布钉 钉密盾,为钉钉上企业提供保障;2018 年,同杭州大数据局合作,启动全生命 周期数据安全与产品研发;2019 年,承接公安部数据智能安全岛课题,探索隐 私计算技术;2021 年,公司发布 AiGuard 数据安全解决方案,以“风险核查 Check-数据 梳理 Assort-数据保护 Protect-监控预警 Examine”(CAPE)能力模型为核心,以建设数 据安全风险态势感知为目标。在定增募投项目中,安恒信息数据安全岛平台计划总投资 4.76 亿元,综合应用安全计算沙箱、联邦学习、MPC 等技术,配合关键行为数字验签和 区块链审计技术,保障多方数据联合计算过程的可靠、可控和可溯。根据安恒信息公司年 报,2021 年,安恒信息推出的战略新方向相关产品如数据安全相关产品实现超高速增长。
是国内数据库审计防护龙头,助力构建无锡城市大数据中心安全体系,成立 杭州数据安全总部。启明星辰自 2014 年以来长期位列国内数据库审计防护市场的份额第一名;此后,公司陆续推出数据防泄漏、数据脱敏、文档加密、堡垒机等各类产品,加上 最新推出的数据安全治理管控平台,共同组成数据安全整体解决方案。2021 年 12 月,启 明星辰于杭州成立数据安全总部,发布的数据绿洲技术框架是面向数据系统属性、业务属 性、经济属性的安全技术及管理体系,提出数据安全从 1.0 的数据对象安全,到 2.0 的数 据汇聚安全,再到 3.0 的数据流通安全的演化路径。根据启明星辰公司年报,2021 年,启 明星辰数据安全业务实现营收 9.12 亿元,同比增长 52%,其中数据安全 2.0 和 3.0 实现 营收 3.12 亿元。
提出“敏捷开放、持续赋能、护航数字化”的数据安全理念,采用敏捷开放的 安全架构来适应新的威胁与合规的发展。深信服将人工智能和机器学习技术应用在数据安 全,实现在智能分类分级、数据流转监测和溯源等领域的突破。数据智能分类分级产品帮 助用户通过智能算法进行标签分级和分类,提升分类分级的效率和准确性。数据安全大脑 产品对数据访问以及共享流转进行重点监测,基于行为分析模型对流量中潜藏的风险进行 分析和预警,实时展示数据的流转访问与风险态势。2021 年 7 月,深信服发布智慧医院 数据安全解决方案,构建以分类分级为基础、数据安全大脑为中枢的防护体系,着力解决 医院面临的数据分类分级费时费力、数据资产难以梳理、数据流转一头雾水、数据风险无 法掌控、数据泄露难以定责等五大难题。
深耕数据安全多年,率先提出“以数据为中心的安全技术架构”建设思路。除 数据库审计、堡垒机、加密传输等通用产品以外,2012 年开始,天融信推出终端防泄漏、 网络端防泄漏、数据脱敏、大数据安全防护、数据安全管控平台等数据安全专用产品;2017 年,公司开始布局车联网安全,构建治理框架、评估规范,包括平台类、管控类、能力类、 服务类等四大板块。截至 2021 年末,天融信共发布 9 类 33 个型号数据安全产品,可提供 3 类 14 项数据安全咨询服务,已服务大数据局、能源、运营商、金融、税务、海关等 10 多个行业,累计参与相关国家/行业标准 35 项。根据天融信公司年报,2021 年,天融信数 据安全收入 2.01 亿元,同比增长 192.68%。
数据安全治理平台覆盖“数据安全监控+数据安全管理+数据安全运营”三大场景,为数据安全治理提供一体化解决方案。针对运营商、政府、金融等行业数据安全建 设面临的能力割裂、标准不统一、无法进行集中化管理等问题,亚信安全推出数据安全治 理平台,以资产发现、数据识别、事件监视、风险分析为基础,通过安全运营和安全管理 使企业上下聚力合作,通过业务编排、能力调度将多种数据安全防护手段串联在一起协同 工作,达成企业整体数据安全治理目标。亚信安全能够为行业用户提供数据安全治理整体 解决方案及咨询规划服务,该方案包括数据安全治理平台、大数据安全管控系统、数据资 产安全地图、数据安全服务等部分。
发布全新数据安全治理体系和全生命周期数据安全治理平台。山石网科围绕 数据安全需求,以数据库审计与防护系统、静态数据脱敏系统、数据泄露防护系统为产品 基础,逐步完善数据安全综合治理平台,打造以数据为中心的安全治理解决方案体系。山 石网科数据安全综合治理平台可提供数据资产可视化、安全能力集中化、运营分析体系化、 制度流程标准化等功能,为后续推广数据安全治理解决方案提供平台支撑。
数据安全体系能力在政务、互联网等典型应用场景下得到验证和应用,完成 首个互联网游戏场景下的数据安全标杆项目的落地。在战略规划上,电科网安提出以密码 为核心的数据智能安全服务商的战略定位,聚焦基础安全、网络安全、数据安全、安全应 用和安全服务五大业务。根据电科网安公司公告,2021 年,电科网安与、易华 录先后签署战略合作框架协议,数据安全是合作的核心内容之一。2022 年 1 月,电科网 安的个人信息安全合规服务在游戏行业实现商业化落地,电科网安将为世纪华通孙公司盛 趣信息技术(上海)有限公司提供为期三年的个人信息安全合规服务,保障盛趣公司建立 并维持个人信息安全合规体系,合同总金额为 1.2 亿元(含税),这一合作具有代表意义。
创业公司、垂直 IT 与基础 IT 厂商将凭借资源禀赋分别走出特色路径
数据安全创业公司的优势在于专注数据安全领域,具有发展路线选择的灵活性。亿赛 通、安华金和、明朝万达等是国内早期的数据安全创业公司,陪伴行业由小众走向新兴, 梆梆安全开创了移动应用安全这一蓝海市场。隐私计算近年来兴起,成为行业的一股新风, 大量创业公司涌入赛道并获得投融资,如华控清交、翼方健数等。
1、长期专注于数据安全领域,在细分领域具有技术优势。以安华金和为例,2009 年 成立,创始团队做数据库内核起家;安华金和对数据库通信协议解析的准确性、数据库漏 洞挖掘能力、数据加密能力靠前,2017-2020 年,累计入选 12 份 Gartner 技术成熟度曲 线研究报告,是数据库审计与保护、数据脱敏领域国内率先被推荐的数据安全企业;2020 年,公司成为工商银行数据库安全审计项目的供应商,也成为脱敏项目的全国供 应商。值得注意的是,2021 年,公司提出由产品型供应商向综合解决方案提供商转变, 验证完整解决方案是数据安全的潜在最佳落地范式。亿赛通成立于 2003 年,由专业文档 加密起步,再到数据安全防护领域,2019 年以来致力于成为综合数据安全厂商,是国内 最早自主研发数据泄露防护产品的厂商之一,根据统计,安华金和 2020 年以 15.5% 的市场占有率排名第一。
2、在商业模式、技术路径上拥有选择的灵活性,未来成长路径多元。以隐私计算为 例,众多创业公司活跃于市场。在商业模式上,创业公司具有灵活性,有的由帮助客户处 理数据而打入市场,之后再寻求隐私计算技术的提供。由于四大技术路径各有优劣,根据 甲子光年报道,创业公司在 2020 年之后,根据客户实际需求,融合使用各种技术路径。 未来,拥有技术壁垒、积累客户资源的隐私计算玩家具有更大发展潜力,体现在:1)把 握技术路径,提升计算性能,与区块链技术的结合也是未来一大发展可能,隐私计算或直 接原生在区块链网络平台上;2)深耕行业领域,对特定业务场景有深入见解,能够提供 产品和解决方案,匹配客户数据流通体量、安全性要求。
垂直领域 IT 厂商或依托卡位优势发力数据安全,但条件较严苛,对厂商自身禀赋、 意愿要求高。对于金融、建筑、汽车、医疗等垂直领域的 IT 供应商,切入数据安全赛道需 具备两方面条件:一方面,已有业务与数据相关;另一方面,相较于网络安全公司等专业 玩家,能够更好匹配客户数据安全需求。 密集收获、沃尔沃、福特三大车企数据管理订单,为数据安全合规业 务打开市场空间。业务突破主要得益于:1)主营业务与数据直接相关,2020 年定增募投 自动驾驶专属云平台项目,为车企提供自动驾驶仿真测试服务、测试数据集、服务研发平 台以及专属云平台搭建服务;2)汽车数据安全需求现阶段合规导向强,特别是数据本地 化存储/处理,四维图新拥有的汽车行业 Know-How、本地化服务能力有用武之地;3)与 车企有长期合作,如为戴姆勒在中国销售的 2020-2024 年期间量产上市的旗下所属品牌的 全部乘用车提供导航电子地图、ADAS 产品。四维图新还积极开展汽车数据安全前瞻研究: 1)牵头发布车联网数据安全监测溯源平台,用于政府监管;2)探索车-云通讯安全技术研 究,牵头“基于商用密码的高精度地图车云安全通信试点项目”;3)参与设立国汽智图, 建设“国家级”关键动态高精度基础地图服务平台,提供第三方动态高精度基础地图数据、 传感器数据合规及存储和高精度地图测评等服务。
IT 基础设施厂商凭借底座优势发力数据安全。以云计算 IaaS 厂商为代表的 IT 基础设 施厂商在提供数据存储、处理服务的基础上,凭借底层算力优势,发力数据安全业务。优 刻得自 2016 年起布局数据安全屋,形成可信数据沙箱、安全多方计算、联邦学习等三大 平台,数据安全流通应用场景和案例数量靠前,在厦门大数据安全开放平台、上海大数据 中心、山东省公安厅、青岛市公共数据服务平台等得到应用。在数据存储、传输、 使用环节进行数据安全技术积累:存储层,蓝光存储介质可离线存储,防病毒及电磁干扰; 传输层,易华录可利用数据集装箱进行数据的高速、低成本远距离传输;使用层,易华录 数据治理能力可保证数据清洗脱敏,防止个人隐私及国家安全信息泄露。
(本文仅供参考,不代表我们的任何投资建议。如需使用相关信息,请参阅报告原文。)
详见报告原文。