10月11日国家网络安全宣传周期间,网络安全产业联盟发布了《2021中国网络安全产业分析报告》。看了下,挺有意思。发出来和大家共赏,并尝试做一些解读。
报告从五个部分展开:
法律法规
市场观察
热点方向
资本洞察
总结与展望
法律法规
图片看不太清楚,没关系,公众号回复“报告”有下载链接,这里可以直接数圆圈个数,红色是法律,蓝色是条例:
十一五期间:发布法律1份,条例1份
十二五期间:发布法律1份,条例1份
十三五期间:发布法律2份,条例3份
十四五第一年,发布法律2份,条例4份
一句话
法律法规层面,2021年一年,干了过去五年的事情,还不止。
所以,咱们说近些年法律法规出台,是有很充足证据的。
这里列出的法律法规文件,在公众号回复“报告”有合集下载。
大家平时看国家发展规划,可能会觉得“听君一席话,如听一席话”。但是你把十三五和十四五对比起来看,就会发现,其实有脉络在里面。
十三五规划是2016年发布,往前推,筹划编写时间估计是2013年,那时信息化的渗透其实还比较有限,提“数字化转型”的声音还很弱,所以网络安全的定位是“守”。但是到了十四五,各行各业的信息化水平都有了长远进步,2018年“数字化转型”的呼喊一浪接一浪,出现了FinTech/RegTech,仿佛 Tech 在 + 一切。这个时候,安全不仅仅是“守”,自己也成了产业,开始和 人工智能、大数据 等相提并论。
随着定位的变化,政策和能力方面,对“守”和“攻”的要求开始进一步细化:
“守”是底线,重点在关键信息基础设施,在国际政治“百年未有之大变局”背景下,网络安全不要成软柿子。
“攻”是上线,通过产业发展,以市场化竞争手段,提升技术实力,一方面抬高各行各业整体防护水位,一方面让“守”的能力经受实战检验,锻炼出网络空间国防安全和国家安全能力。
所以,笔者认为,十三五是网络安全法律法规的关键时刻,十四五将是网络安全产业发展的关键时刻。
市场的核心在需求和供给两端。
需求侧,从热力图可以看出,还是三个经济带(京津冀、长三角、珠三角)+川渝 客户最多。总体客户数连续两年保持40%增长。
感慨一下,中部地区还是偏弱啊,要多向川渝学习。
从行业来看客户数,泛政是绝对的No.1,纯政府客户都占了43%。其实也很好理解,作为“合规驱动”最典型的群体 + 基数庞大,法律法规密集出台,泛政一个都不会掉队。
在此,bless 政府行业作为安全的投入大户,能在实战化攻防能力上不断提升,早日从实战攻防攻击队的“软柿子”清单中被划掉。
这个数据挺意外的,没想到四川居然是网络安全客户第一大省,和重庆一对比,看来金融实践群跑去重庆办闭门会,有点跑偏了。
和上面【网络安全客户地图】对比,我感觉这个图里的数据有问题,两者自相矛盾。就不做进一步解读了。
有想到安全服务很火,但是没想到火成了 No.1。笔者觉得这背后有其合理性:
对于小客户,合规驱动网络安全建设,他的目标就是“不要被公安请去喝茶”。你不要给我讲买什么防火墙、数据库审计blalala,我听不懂。你给我报个价,我就买你一个承诺 -- 买完你的东西,警察就不找我了。
对于大客户,随着这些年的安全发展,产品都堆得七七八八了,安全建设“进入了深水区”,缺的不是产品,而是用好产品的人。所以他们的安全服务,其实是安全精细化运营。
排在最后的是日志分析和态势感知,两个难兄难弟。笔者在上一家单位,2015年买了“日志分析”,2020年买了“态势感知”,个人认为,这玩意还真是中大型企业才能玩起来,要钱要人,而且是持续要钱要人,注定了不可能太火。
“容器”排第一、账号管理第二、云平台第三。这很合理,因为都是和业务靠的紧密。
容器:为了快速响应业务需求,容器化成了很多企业的第一步,开发和安全同时关注容器。在开发的推动下,从容器到CICD,到完整的DevOps,再到DevSecOps。
账号管理:业务系统、办公系统、开发系统越来越多,内部业务的快速迭代 + 外部数据的互联互通,都迫使账号管理从应用自身的账号体系,走向集中化管理。
云平台:大家从质疑云,到部分上云(混合云),到全量上云,这有个过程,“云平台”能成为关键词,说明大量用户还处在“部分上云”的阶段。
接下来是供给侧。
作者仿照 gartner magic quadrant 的做法,从“资源力得分”和“竞争力得分”两个维度,划分出了领导者、战略布局者、挑战者、成长者和潜力者。
然后给出了【2021年中国网安产业竞争力50强(CCIA50强)】
对此,笔者就不发表意见了,大家自己看。
作者经过通过大量调研数据分析汇总,最终得出,2020年我国网络安全市场规模约为532亿元,由于受疫情影响,2020年网络安全市场规模增速放缓,同比增长率为11.3%。
看来受疫情影响,网络安全行业规模总算超越了小龙虾市场规模,着实不易。
这里作者写了三个点:
传统安全业务增长显著放缓
新兴安全市场(威胁管理、安全服务与运营、工业控制系统安全、云安全等领域)进入加速期,成为市场主要增长点;
个人信息保护法和关键信息基础设施安全保护条例等关键政策的发布将引领新需求并将形成可观的增量市场,预计未来三年将保持15%+增速,到2023年市场规模预计将超过800亿元
对此,笔者谈两点个人认识:
这个增速确实低于笔者预期,如果是11.3%这个数字,感觉没办法说服自己,网络安全是“朝阳行业”。
新兴安全市场,尤其是“工业控制系统安全”,感觉会有一些机会。从人才流动来看,目前进入工业互联网的人才明显增加,过去都觉得工厂是蓝领工人,但现在开始有博士主动进厂、去工地应用无人驾驶等新技术。前不久有个朋友去了富士康,能开出高于互联网的收入。
需求产生热点。作者给出了七个热点方向,不太清楚其分析依据,感觉和前面的热点关键词也没对应上。姑且不去深究其依据吧。
一个个来看:
关于数据安全,这里贴两段群友的观点:
数据安全,很多解读方法
1 服务端数据防盗,防改。保密性和完整性
2 数据多备份容灾。数据可用性。
3 隐私数据用户授权后采集存储共享。这个是个人信息合规性。
数据安全的“安全”是什么?
1、数据安全的内涵和边界
先回答清楚下面几个问题:我们负责的“数据安全”范畴中
(1)“数据”是指公司控制范围内流转、存储的所有数据吗?还是仅指识别、分级后的需要加以控制的数据?
(2)“数据”包括结构化数据和非结构化数据吗?格式化数据大体指的是数据库、大数据平台存储的数据,以及应用系统内部和系统之间流转的数据;非格式化数据大体指是各种办公文档、文件、聊天记录、邮件、图片音视频等。
(3)“数据”包括电子数据、纸质数据吗?
(4)以上定义的“数据”有可能会包含员工的个人数据吗?比如聊天记录、个人文档图片、邮件等,都是什么形态存在的?
(5)“安全”指的是什么意思?是数据的机密性、完整性、可用性、抗抵赖性、可追溯性中的哪几个?除了通常说数据安全要做到防泄漏、防滥用、防篡改,“安全”一词还包括什么含义?
(6)机密性、完整性、可用性、抗抵赖性、可追溯性分别要做到什么地步?是绝对不允许泄漏,还是允许低频度、低危害的泄漏或滥用?完整性强度要达到怎样的状态?追溯能力要达到什么状态?
某些行业,“安全”还隐含“自证清白”的目标,也就是万一有投诉或者外部调查,自己可以举证自己是否清白。这个可以列入到追溯能力的定义中。
(7)“安全”的状态、强度,对于不同密级、敏感程度的数据是否有区别?如果有,是怎样的?
(8)如果你是数据安全负责人,你未来如何评价数据安全工作的好坏,如何向客户、领导展现工作质量的高低?
识别清楚以上几个问题,才能真正把数据安全工作的目标、内涵、边界定义清楚。
笔者以前做数据分类分级,面向结构化文档,更多是从管理制度层面进行落地,在技术层面,对有限格式的文本进行关键词匹配。这个方向天生会有瓶颈。
面向 DB 数据,倒是有互联网公司、创业公司在做,能切实解决一些业务场景问题。可能会是一个方向。
管理检测和响应:这里落脚点是MSS。服务最大的挑战是无法规模化,一个萝卜一个坑。所以这里写的是MSSP主要关注远程设备管理,这是可行的方向。不过前提是该行业合规支持。
API防护安全:Pivotal官网对云原生概括为4个要点,DevOps+持续交付+微服务+容器。其中微服务要做到“应用间通过RESTful API通信”。为实现业务的快速迭代,功能模块越来越小,而微服务API化能提供充分的扩展性。随着应用场景的增加,API保护就成了热点。所以Gartner预测,API即将成为导致网络应用程序被入侵的最频繁的攻击载体。这个还是可以归入基础安全的“应用安全层”,和RASP等类似,算是很细分的一个方向。
入侵模拟攻击:BAS 是一个很有趣的方向。很多人第一反应可能是,有了渗透测试、众测、红蓝对抗以及RPA,还要这玩意干嘛?是不是在制造概念?笔者认为,并非如此,BAS重点是在解决“安全有效性验证”的问题。
安全访问服务边缘:SASE 是个框架。可能要等云的渗透率进一步提升,才有更大空间。
云原生安全:不太认同作者的描述,有些狭隘了,云原生安全是在云原生模式下所有安全防护的集合,容器只是其中一个阶段。云原生开发模式下,对于安全有一些新的需求点。
车联网安全:新能源弯道超车是国家战略,乘着东风,互联网+汽车将“智能化车联网”做成了基础功能,因为涉及到生命安全,自然衍生出了大量的安全需求。
作为一个在资本市场呆过7年的安全从业者,我只想贴图,就不说话了。读者朋友自己感受。
作者写的太虚,笔者就一笔带过了。最后还有个全景图,附件查看大图(16M,就不占用大家流量了)。
最后,公众号回复“报告”获取《中国网络安全产业分析报告》原文PDF。