目录:
第三章 数据安全(★)
1. 数据防泄漏(DLP)
2. 数据库审计
3. 隐私计算
4. 数据安全平台(DSP)
第四章 安全服务(★)
1. 安全咨询
2. 托管安全服务(MSS)
3. 安全即服务(SECaaS)
4. 安全集成
第五章 其他
1. 零信任(★)
2. 态势感知平台(★)
3. 威胁情报(★)
第三章:数据安全(★)
这一章所有产品都是高增速产品。
2020年04月10日,《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》(简称《意见》)正式公布。在这份文件中,中央首次明确指出,数据为五大生产要素之一。
2021年9月,我国第一部数据安全的专门立法《数据安全法》正式出台,同时《个人信息保护法》也在11月起正式施行。自此,数据安全从过去少部分机构的风险控制需求转向全面的合规建设需求,2022年有望全面启动数据安全合规建设。
根据计世资讯的数据,2020年我国数据安全市场规模达到52.5亿元,预计2022年将达到百亿量级。同时,由于数据安全具有泛在性的特点,许多的网络安全项目都与数据安全相关,广义上数据安全的市场规模要远远大于这一数字。
1. 数据防泄漏(DLP)
数据泄密防护(DLP)是通过一定的技术手段,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。DLP可以通过监视,提示,告警,阻断和其他响应功能来解决数据面临的相关的威胁,包括无意或事故引发的数据泄露风险以及敏感数据泄露。
根据部署方式以及产品形态的不同,数据防泄漏可分为存储DLP、网络DLP、终端DLP、文件DLP、云DLP等五类。其中:
1)存储DLP:对存储在服务器、数据库、存储库中的结构化和非结构化数据进行扫描,然后根据预置在这些设备内的分析策略对扫描到的敏感数据进行记录,并对敏感事件报警;
2)网络DLP:通过物理设备或者虚拟机部署在网络端口,通过对网络传输的数据进行内容分析和识别,包括邮件、即时通讯、Web等网络协议传输中的敏感数据,并及时对违规内容进行审计、告警和阻断;
3)终端DLP:主要部署在服务器、软件客户端等设备终端,通过发现、识别、监控敏感数据,实现对敏感数据的违规控制,并对其在终端的安全接入、数据传输等使用行为进行管控;
4)文件DLP:针对Office、PDF等文档数据进行模块化,在文档创建时即采用加密、隔离、设置用户权限、分级管理等手段实现文档数据的保护;
5)云DLP:将本地部署的DLP解决方案整体迁移上云,解决远程办公场所和移动终端设备的敏感数据保护的问题,节省用户需要购置多台DLP硬件设备的成本。(以上摘自方正证券《数据安全:数字经济的基石》)
数据显示,2021年中国DLP市场约13.7亿元,2019~2021平均年增长率18.7%。
根据ResearchAndMarkets最新发布的调查数据,未来五年全球企业数据防泄漏(DLP)市场预计将以21.03%的复合年增长率高速增长,到2026年市场规模将达到62.65亿美元,而2019年为16.47亿美元。
2. 数据库审计
数据库审计的主要功能在于对数据库的访问行为进行监管,通过镜像或探针的方式采集所有数据库的访问流量,记录下数据库的所有访问和操作行为,在发生数据库安全事件(例如数据篡改或泄露)后为事件的追责提供依据,并针对数据库操作的风险行为进行告警。
2021年全球数据库安全市场规模63亿美元,预计到2026年将达到115亿美元年, 2021年至2026年的复合年增长率(CAGR)为12.6%(来源:markets and markets)。
2021年中国数据库安全市场规模超过29亿人民币,年增长率达23.9%(来源:计世资讯)。
3. 隐私计算
数据安全领域近年来最具产业化应用前景的技术即隐私计算。隐私计算能够在完成计算任务的基础上,实现对数据计算过程和数据计算结果的隐私保护,而参与方在整个计算过程中无法得到除计算结果以外的额外信息。在大数据时代,如何应用海量的数据,实现数据流动,同时能够保护数据隐私安全、防止敏感信息泄露是当前数据应用中的重大挑战。对于政府机构而言,数据出于保密性完全不能对外公布,而银行、运营商、互联网公司收集到的客户数据,也不能透露给第三者。数据之间不能互通,数据的价值无法体现,而隐私计算就是为了解决数据共享的问题而应运而生。(以上摘自方正证券《数据安全:数字经济的基石》)
2021年,全球隐私计算市场规模达15.7亿美元(来源:fortune business insights),预计到2028年达到177.5亿美元,2021年~2028年的复合年增长率(CAGR)达41.5%。
目前中国隐私计算市场达到上亿元规模,预计未来几年将形成数十亿规模的市场。乐观估计,未来3年将达100-200亿人民币的空间,甚至将撬动千亿级的数据平台运营收入空间(来源:腾讯《深潜数据蓝海:隐私计算行业研究报告》 )。
4. 数据安全平台(DSP)
数据安全平台(DSP),DSP通过将现有的各个独立的数据安全技术和功能整合在一个统一的平台之下,为用户提供跨数据类型、存储孤岛和生态系统的数据安全服务,从而实现更简单、一致的端到端数据安全。
DSP相较于传统数据安全方案有很多优点,比如高水平的集成能力、简化的部署模型,统一的策略控制平面,以及对数据、存储、政策和适用法规的一致可见性。目前DSP已经能够整合许多主要的数据安全功能,其中包括标记化、加密、数据库活动监控(DAM)、数据脱敏、数据访问治理(DAG)等,包括数据防泄漏DLP、数据风险分析等关键功能也正在逐渐融入到DSP。即使用户数据安全问题很难由一个单一解决方案彻底解决,但功能的融合与平台化未来将有效带来行业集中度的提升。
根据Gartner预测,到2024年,30%的企业将应用DSP,而在2019年这一比例还不到5%,未来5年DSP在全球范围内的渗透率有望迅速提升。(以上摘自方正证券《数据安全:数字经济的基石》)
第四章:安全服务(★)
安全服务和数据安全一样,所有产品都是高增速产品
全球安全服务市场占据了全球网络安全市场一半以上的份额,2019年规模达600亿美金,而国内的安全服务的市场规模仅100亿元左右,占比在20%左右;在市场结构上,全球市场安全咨询和安全运营等附加值较高的安全服务占比达到三分之二,而国内市场实施与系统集成占据了主要份额,体现出了在产业成熟度上的巨大差距(引用自方正证券的《安全服务:网络安全行业的制高点》)。未来中国网络安全中安全服务占比会逐渐提高。
1. 安全咨询
Gartner将安全咨询分为三大类别,分别为治理、策略和评估(Governance, Strategy, Assessment)、业务操作(Operations)、事件与法律响应(Incident and Legal Response)服务:
i): 治理、策略和评估(Governance,Strategy,Assessment)主要包括安全框架设计、安全策略及安全风险评估,并提供相应的解决方案;
ii): 业务操作(Operations)针对企业用户配置安全、设备安全、应用安全,以及在应对安全事故时提供技术支持,主要包括了威胁检测、渗透测试、漏洞扫描、代码检测等相关技术服务;
iii): 事件与法律响应(Incident and Legal Response)服务主要协助用户搜集与网络安全事故相关的法律证据,对事件的原因进行调查和分析,并提供业务恢复和法律诉讼相关的服务。
全球安全咨询市场总规模在2019年达到了230亿美元,约占网络安全整体规模的20%,是网络安全行业最大的赛道之一。
根据Gartner的数据,目前北美是全球规模最大的安全咨询市场,2018年占比约44.8%,其次是西欧,占比为31.3%。而大中华市场(包括中国大陆、香港、澳门、台湾等)占比仅4%。(引用自方正证券的《安全服务:网络安全行业的制高点》)
IDC预计,到2026年,中国网络安全咨询服务市场规模将达到32亿美元,五年复合增长率达到19%。
2. 托管安全服务(MSS)
MSS(托管安全服务,Managed Security Service)指安全厂商通过统一的安全运营平台为客户提供一系列安全服务,以满足企业对安全人员、技术和流程外包的需要。MSS的提供者称为托管安全服务商(MSSP),通常情况下MSS主要包括:
1)远程24/7小时对客户侧的安全事件和相关数据源(包括日志、流量等)进行安全监控和威胁检测(Threat Detection);
2)漏洞(弱点)评估与管理(Vulnerability Management)服务,包括漏洞扫描,分析和补救;
3)对客户的IT安全设备和工具,包括防火墙、IDPS、SIEM、端点安全等进行管理;
4)对客户的安全事件进行响应。目前许多新兴的MSS服务已经超出了传统MSS的边界,包括威胁情报服务,托管检测和响应(MDR)服务等。
关于安全运营中心(SOC):
网络公司要搭建安全运营中心(SOC),才能提供托管安全服务(MSS),安全运营中心(SOC)并非简单由安全产品或工具组成,而是人员、工具、技术、场地、流程的有机结合。SOC通过集中统一管理安全工具,并且搜集所有IT资产的安全信息,不断监视和改善组织的安全状况,以及预防,检测,分析和响应企业所面临的网络安全事件。目前大部分中大型企业已经具备了基础的安全防护措施,包括防火墙,IDS/IPS,防病毒,VPN等工具已经成为标配,因此搭建SOC,将安全工具进行统一管理的必要性也在逐渐提升。
关于安全信息和事件管理(SIEM):
SOC的底层平台称为SIEM(安全信息和事件管理),SIEM的主要功能在于搜集来自企业内部所有IT资源的异构数据源的信息(包括日志,事件,流量、行为等),使用户对整个网络的运行状态进行实时监控和管理,并及时发布预警,提供快速响应能力。在国内安全行业习惯直接称SIEM为SOC或安全管理平台。(引用自方正证券的《安全服务:网络安全行业的制高点》)
根据IDC的口径,MSS 2018年的市场规模达到211亿美金。MSS作为百亿美金级的大赛道,近年来基本维持在10%以上的快速增长。IDC《2022年V1全球网络安全支出指南》显示, 中国托管安全服务市场发展势头强劲,五年复合增长率预计达到31.9%。
托管安全服务实现了三位一体网络安全模型中的中位能力
3. 安全即服务(SECaaS)
安全即服务(SECaaS)是一种通过云计算方式交付的安全服务,此种交付形式可避免采购硬件带来的大量资金支出。这些安全服务通常包括认证、反病毒、反恶意软件/间谍软件、入侵检测、安全事件管理等。
这是一种交付形式的变化,以前都是像网安公司买硬件,买软件,自己安装调试处理威胁,用了安全及服务以后,就把所有网络流量转发到网安公司,网安公司把威胁处理掉以后,再把流量发送到目的地。SASE、EDR、XDR都是一种SECaaS。
相比本地部署的安全架构,SECaaS在节约成本、弹性部署、释放资源和提升能力等多个方面具备明显的优势。
1)节约成本:SECaaS无需内部硬件或庞大预算即可集成安全服务,仅在需要时才支付所需的费用,而且基于云的安全产品和服务还可以避免用户对昂贵的安全专家的需求;
2)弹性部署:SECaaS的另一大优势就是能够大幅减少产品部署的时间和成本,用户可以按需购买所需的安全资源,且能够动态扩展到平台所提供的其他安全功能模块;
3)释放资源:SECaaS简化了企业内部IT与安全团队之间的工作,将安全解决方案的部署、配置、维护、更新和管理纳入到云安全厂商的业务范畴,让内部团队可以专注于更具战略意义的业务;
4)提升能力:SECaaS厂商能够将其所覆盖的每台服务器、PC及其他设备纳入自身的情报网络,在云端安全实时动态更新病毒库和特征库,向用户提供更强大的威胁情报和安全专家服务。
根据IDC的数据,2019年全球SECaaS的市场规模已经达到了93亿美金,同比增长18%,增速明显高于全球网络安全行业的平均水平(7%)。
SECaaS是网安最热门的赛道,全球知名的终端安全 SaaS 厂商CrowdStrike,成为全球第三大的独立安全公司(334.01亿元,2022年11月14日),是美股增长最强劲(2017-2021年复合增速87%)和估值最高(市销率:18.29)的网络安全公司.
4. 安全集成
指安全服务商或系统集成商,基于规划、设计、实施、项目管理等步骤,通过系统集成和定制化开发,将企业的各类安全软硬件等进行组合,以形成完整的安全解决方案,使得集成后的整体和各个组成部分能够有机、高效的运作。
第五章:其他
1. 零信任(★)
在传统的网络安全体系中,“信任”是一种重要的安全假设,我们会放行那些“可信”的网络流量,而拦截那些“不可信”的网络流量。比如,如果我们认定某台设备、某个应用、某个账户、某个IP地址,或者其他可以用于身份标识的信息是可信的,那么由这个身份标识产生的所有操作和数据,我们也会认定它们是可信的,并且这种信任会持续相当长的一段时间。事实上,在过去多年的网络安全实践中,基本都默认了内网的人、设备、系统、IP地址等都是“可信”的。
但是,现代网络安全时间告诉我们,其实并没有什么“身份”是真正、完全、永远可信的。设备可能是被操控的,应用可能是被篡改的,账户可能是被盗取的,IP地址可能是被仿冒的。数据有可能在传输过程中被篡改,系统有可能被自己的管理员破坏,开源代码可能一开始就被植入了后门,一个内网或专网中的设备可能早就被黑客操控了。
当上述安全风险成为网络安全运营的常态是,基于信任的安全体系就体现出了明显的局限性。甚至可以说,信任安全体系最大的漏洞。而零信任思想则认为,网络中的一切都不是绝对可信的,更不是永远可信的。由任何的设备、应用、账户或IP地址所产生的操作和数据,都应该进行强制访问控制和持续监测,一旦系统发现某些操作存在风险或异常,就应立即降低,甚至关闭某些“身份”的相关权限,以此保证系统的安全运行。零信任架构在本质上就是一种基于身份的动态访问控制体系。
在零信任架构下建设数据安全体系,需要自下而上地建设一整套安全访问控制机制,层层认证、处处授权、实时评估,以确保数据在采集、存储、使用、传输和销毁的每一个环节都是经过验证的、可信的,每一个参与数据处理的单元也都是经过验证的、可信的。(节选自奇安信《走进新安全》)
据市场研究机构MarketsandMarkets预测,全球零信任安全市场规模将从2019年的156亿美元增长到2024年的386亿美元,从2019年到2024年的复合年增长率为19.9%。开源证券也对零信任市场进行了预测,中性估计2024年我国零信任安全市场规模将达16.7亿美元,超百亿人民币。
2. 态势感知平台(★)
态势感知就是指以安全大数据为基础,在大规模网络环境中对能够引起网络台式变化的安全要素进行获取、理解、显示及发展趋势的顺延性预测,最终目的是进行决策与行动,即“分析一定时间和空间内网络空间的网络要素,理解其意义,判断当前整体安全状态并预测未来趋势。”
态势感知平台应具备网络安全持续监控能力,能够及时发现网络威胁和异常;具备威胁调查分析及可视化能力,可以对威胁的影响范围、攻击路径、攻击目的、攻击手段进行快速判别,从而支撑有效的安全决策和响应;应该建立安全预警机制,完善风险控制、应急响应和整体安全防护。(节选自奇安信《走进新安全》)
态势感知的市场可以分成两大类,一大类是监管市场,包括公安、网信和一些带监管职能的央企部委;第二类是被监管市场(各行各业)。监管部门为了防止自己辖区内的单位出现问题,会在城市数据出口上部署设备,快速抓取关键信息,对所有行为都进行监控,最终找到网络安全的威胁事件。
根据2020年数世咨询发布的《网络安全态势感知能力指南》,2019年国内态势感知市场规模约在32亿元左右,预计2021年将达到54亿元左右,市场增长迅速。预计未来几年依然会保持快速增长。
3. 威胁情报(★)
根据Gartner对威胁情报的定义,威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。业内大多数所说的威胁情报可以认为是狭义的威胁情报,其主要内容为用于识别和检测威胁的失陷标识,如文件HASH,IP,域名,程序运行路径,注册表项等,以及相关的归属标签。
这个定义比较复杂,其实我们可以简单理解为,网络安全用各种手段从任何来源搜集到的敌方黑客的情报,比较敌方用的攻击工具、攻击方法、敌方常用的IP地址,敌方准备攻击的目标等等,有了这些信息,就可以对敌方进行一些针对性的布置。
报告显示,未来三年中国威胁情报市场仍将保持高速增长,2023年市场规模将达到25.9亿元,三年复合增长率为46.9%。
威胁情报实现了三位一体网络安全模型中的高位能力。
$奇安信-U(SH688561)$ $启明星辰(SZ002439)$ $深信服(SZ300454)$ 安恒信息、绿盟科技、山石网科、亚信安全、天融信、卫士通、三六零