二八科技-二八科技新聞資訊

導語:近日,國內領先的產業金融機構匯森投資發布了最新一期的“底層核心技術系列文章”,就數據安全行業在《數據安全法》頒布后的發展走勢進行了分析。以下為文章正文:

“我們想通知您,貴公司的本地網絡已被黑客入侵。我們已經拿到您所有的本地網絡數據,解鎖價格為 2250萬美元?！?/p>

2021年5月,全球最大的牛肉生產商JBS收到一封來自勒索軟件團伙REvil的“最后通牒”。

雙方經過一系列討價還價后,JBS最終不得不向REvil支付了1100萬美元的贖金,并于6月1日以比特幣付款,以防止他們被盜的數據被公開泄露。

好在勒索軟件團伙并未食言。JBS在付款后很快收到了REvil發來的解密工具如下所示。

事實上,過去幾年涉及數據安全的事件一直在迅速增加。

根據風險基礎安全Risk Based Security的數據顯示,2020年全球數據泄漏達到 360億條,創歷史新高。對比傳統的網絡安全威脅,??數據安全威脅更加多樣化,不再局限于利用安全漏洞、惡意流量、病毒木馬等攻擊手段,數據安全問題集中爆發在特權賬號弱口令、數據權限濫用、API接口攻擊等方面。

那么,數據安全事件為何會愈演愈烈?其間又將誕生一個多大的安全市場?在強監管周期內,相關企業又該如何解決相關的痛點?

數據價值的重估

美國科技創投圈大佬彼得蒂爾在他那本《從0到1》中曾經說過:一個人發現了某種秘密之后,一個好的選擇就是以此為基礎做一樁相關的生意。

但他沒說的一點是,除了努力把生意做大之外,你還有一件事要做——那就是想方設法保護好你的秘密!

那么,一個秘密的價值究竟幾何?秘密的守護者們又愿意為此付出多大代價呢?

首先,我們應該看到,秘密本身——也即數據安全的核心保護資產——數據的價值正在被“重估”。

如今,全球每天產生2.5萬億字節的數據,隨著越來越多的人和設備連接到Internet,該數字將以更快的速度增長。

IDC對全球數據規模進行的預測顯示,到2025年,全球數據可達175ZB十萬億億字節,其中有超過一半90ZB來自物聯網設備,80的數據是非結構化的,數據交互用戶則將從2018年的50億上漲到60億。

隨著數據收集的持續增長和用于貨幣化的新技術的興起,它將成為越來越有價值的資產。不僅僅是投資者——所有想通過數據牟利的人——都在使用新的分析框架來評估公司數據,以便更好地了解其內在價值和增長潛力。

從投資的角度來看,舉例來說,美國Samp;P 500指數中排名前五的公司蘋果,Alphabet,微軟,亞馬遜和Facebook都是“數據”含量很高的科技公司,它們合計占該指數的26上下2021年,從這個角度看,數據確實非常有價值。

在互聯網革命之前,公司通常根據其有形資產進行估值。比如一家能源公司可以根據其油氣儲量獲得估值倍數,也可以根據其機器設備的價值來衡量。而現在,數據成為企業估值的一個重要維度。

支持將數據視為資產的一個主要論據是,公司在收集,存儲和使用其數據方面進行了大量投資。從全球來看,預計到2022年,大數據和分析的總支出將達到2740億美元。但是,如今的會計準則在很多地方尚未將數據視為資產。因此,與存儲和保護數據相關的成本被視為支出而不是資本投資。在所有條件相同的情況下,將數據視為公司資產負債表上的資產將增加公司的賬面價值,無疑這也直接影響公司的PE和PB倍數,估值也會隨之調整。有數據統計,如果公司將其擁有的數據量增加一倍,則其價值可能會增加三倍。

數據價值得到充分的衡量更體現在數據資產化這一趨勢上。

數據資產一詞誕生于上世紀七十年代,然后在2011年的世界經濟論壇上,首次提出了數據成為新的經濟“資產類別”;同一年,“數據資產”的概念第一次出現在我國A股企業年報中。

目前在國內,數據資產化相關政策經過起步、深化兩個階段后,現在已經進入應用階段。該階段更多鼓勵數據的深度應用,首次提出將數據與土地、勞動力、資本、技術等要素并稱為五大生產要素。未來數據要素的市場化配置能力將得到進一步發揮。

截至2020年5月,我國A股市場共計84家企業在組織、生產與運營中實際應用了“數據資產”,但總量仍不足A股市場企業總量的3。根據Gartner預測,到2022年,90的企業將明確數據作為關鍵企業資產。

2021年11月25日,上海數據交易所揭牌成立儀式在滬舉行并達成了部分首單交易,也將有望成為引領全國數據要素市場發展的“上海模式”。

數據資產化將迅速推升我國的大數據產業市場規模。根據大數據產業生態聯盟《2020中國大數據產業發展白皮書》的數據,2019年中國大數據市場規模達5,397億元;預計2020-2022年的市場規模CAGR為23.46;2022年市場規模有望超10000億元。

當然,如果從不法牟利者的角度來看,跟數據相關的利益同樣在水漲船高。

如文首案例所示,勒索者要求事主支付的贖金已經高達千萬美金,其中蘊含的巨大利益依然在吸引不法者采取各種手段對“數據”繼續下黑手。

數據安全產業的崛起

數據價值在各個層面逐步得到認可之時,“數據安全”的地位也迅速被抬升。

驅動之一是基于產業自身的進化。我們從??安全圈的風向標——?RSA大會最近二十年的主題/議題變化就能看到其中的發展主線。

在2000年之前,大會的主要方向是圍繞“黑客揚名,信息加密”等話題展開;同一時期,中國的計算機安全事業才開始起步。

從2002年至2012年,大會關注的方向開始轉向云和網絡安全,大會探討的話題開始出現“保護虛擬世界中的敏感數據云中的DLP”、“云安全的支柱——扭轉與黑客斗爭的局面”、“盤點十大數據庫外泄事件”等等;在同一時期,中國網絡安全逐漸走向正軌,國家出臺一系列重要政策,安全產業和市場開始迅速發展。

到了2013年至2021年這一階段,大會關注的方向明顯開始聚焦綜合數據安全,比如大會主題出現了“掌控數據捍衛安全”、“知識安全”、“分享·學習·保護利用集體智慧”等字眼,大會議程中更是出現了“數據保護的未來適應隱私發展”、“GDPR《歐盟一般數據保護條例》要領”、“勒索軟件與物聯網”、“針對ICS工業控制系統的攻擊”、“小心你自己的數據”等一系列跟數據安全、工業安全密切相關的具體議題;在同一時期,中國安全產業加速創新發展,中央網絡安全和信息化領導小組成立,《深入實施國家知識產權戰略行動計劃2014—2020年》開始頒布實施。

驅動之二來自政策層面。

除了上文提到的數字資產化相關的政策之外,截至2021年,我國的數據安全監管框架已經基本成型:《網絡安全法》、《數據安全法》、《個人信息保護法》成為數據安全領域的“三架馬車”。此外,在銀行、通信、工業、能源等各領域也已經有一系列條例規章從實踐角度推動產業內數據安全治理體系的落地。

2021年9月,工業和信息化部發布《工業和信息化領域數據安全管理辦法試行征求意見稿》提出要加快推動工業和信息化領域數據安全管理工作制度化、規范化,提升工業、電信行業數據安全保護能力,防范數據安全風險;還提到,要推動數據敏感企業建立數據全生命周期安全管理制度,針對不同級別數據,明確制定數據收集、存儲、使用、加工、傳輸、提供、公開等環節的具體分級防護要求和操作規程。

地方政府也在積極落實國家政策和上位法精神,陸續出臺相關地方法律法規。2021年6月,《深圳經濟特區數據條例》出臺,率先就數據保護和利用開展地方立法,規范數據要素市場化行為,推動數據的有序流動和數據產業的健康發展。2021年9月,《上海數據條例草案》公開征求意見,征求意見稿在《數據安全法》等上位法的框架下,結合上海實際,建立了全面的數據安全治理體系。

進入2022年,與數據安全相關的政策還在繼續細化。

先是國家互聯網信息辦公室頒布《網絡安全審查辦法》修訂版,將網絡平臺運營者開展數據處理活動影響或者可能影響國家安全等情形納入網絡安全審查。然后,國家九部委聯合發文規范平臺企業發展,再次針對互聯網企業合規經營,強調防止數據過度采集、打擊黑市數據交易、大數據殺熟等濫用行為。在嚴格保護算法等商業秘密的前提下,支持第三方機構開展算法評估,引導平臺企業提升算法透明度與可解釋性,促進算法公平。要求平臺企業深入落實網絡安全等級保護制度,探索開展數據安全風險態勢監測通報,建立應急處理機制。

2月10日,工信部發布通知,再次公開征求對《工業和信息化領域數據安全管理辦法試行》的意見?？梢?與數據安全相關的管理辦法等細則正在加速落地。

綜上我們可以看到,在新的數據安全監管體系下,我們看到數據安全正在從傳統的“系統視角”保護存放數據的系統設備向“業務視角”圍繞數據流動展開全生命周期防護轉變。

以數據與算法為核心的監管正在深刻影響國內 IT產業格局。數據和算法安全已經成為互聯網乃至所有數字化企業的監管核心內容,也將對其盈利能力、商業模式、成長邊界等將產生深遠影響。所有企業為滿足數據安全的合規要求將進行越來越多的投入。

驅動之三是來自企業客戶的需求,無論從企業內部還是外部法律規定來說,數據安全都已經是剛需。

對于企業來說,一方面看到安全事件頻出,已經在主動尋求解決方案;另一方面,有的企業想不主動也已不可能,因為隨著相關政策的不斷頒布和落地,行業來自合規方面的壓力增大,針對數據安全“上手段”已是“必選項”,尤其是政企、金融、能源、電力等行業中,相關“剛需”采購正在越來越多。

此前,海比研究院針對數據資產化工具核心能力的一次調研結果就顯示,企業用戶比供應商更關注的兩點合規和權限管理都與數據安全相關。

走進綜合數據安全時代

當“數據安全”的地位水漲船高時,應對“數據安全”的難度也在同步增加。不管是用戶還是供應商,都要看到,跟“數據”相關的多個層面在過去幾年中均發生了不少大變化。

首先是數據類別的多樣化。

所有人都能看到數據量的指數級增長,更關鍵的是,隨著業務的持續擴大與數據應用的不斷裂變,在原有的結構化數據之外,海量、多元和非結構化成為數據發展新常態。大多數企業組織在早期,根本沒有從數據治理的角度去考慮相關的安全特性,數據本身又因為特征多、分布散,關聯關系復雜等特性,造成大量低質量、關系模糊的數據存儲在分散的數據載體中。這給組織的數據資產梳理造成了困難,而建立在數據資產梳理基礎之上的持續安全保障更是難以實施。

其次,與數據產生和使用相關的客戶場景也越來越多樣化,安全需求也就更為綜合。

在企業內部,隨著新一代信息技術的快速演進,所謂業務系統已經包括了手機、臺式機、平板電腦等多種類型的終端設備接入,網絡安全邊界范圍由實體可見的數據中心向看不見、摸不著的云端、終端不斷延伸。尤其在疫情蔓延的過去兩年中,員工使用自有設備進行遠程辦公逐漸成為常態,訪問需求的復雜性擴大了內部資源的暴露面。

在工業生產環節,隨著工業互聯網建設在廣度和深度上不斷拓展,打通了企業內外網,實現了信息技術IT與運營技術OT的融合,工業控制系統ICS中的數據面臨的安全隱患也陡然上升。

在各種組織之間,通過業務協同、數據共享實現流程優化、合作共贏已經成為共識。數據應用場景和參與主體的日益多樣化,使得數據伴隨業務及應用在不同載體間流動和留存,貫穿于信息化和業務系統的各層面、各環節。組織間的合作共享導致數據資源的訪問量和訪問人員大幅增加,極容易引發數據權限管理不清、使用情況不明等安全問題,最終釀成數據安全事件。歷年的“凈網行動”曾發現多起由于權限盜用導致的敏感數據泄露事件。在這種復雜應用環境下,保證核心商業數據、核心工業生產數據以及用戶個人隱私數據等敏感數據不發生外泄,就是人們在數據安全層面的基本要求。

第三,是與數據安全相關的技術手段必須綜合施策才能收到效果。

根據《GB/T37988-2019信息安全技術數據安全能力成熟度模型》國家標準,數據的生命周期分為采集、傳輸、存儲、處理、交換和銷毀六個階段,在各個階段對于數據安全的核心技術能力訴求如下圖所示:

除傳統圍繞數據的生命周期,沿著數據的采集、傳輸、交換、存儲、處理與銷毀流程直接與數據或者數據庫相關的產品外,像數據安全治理、身份與訪問管理“零信任”體系、隱私計算、云數據安全SASE等,也都已經是數據安全產業的重要組成部分。

以隱私計算為例,企業內部借助隱私計算,能切實保護企業在采集、存儲、分析等過程中的關鍵信息;另一方面,由于隱私計算能夠實現數據“可用不可見”,能夠幫助不同企業和機構與產業鏈上下游的主體進行聯合分析。

各類安全技術的不斷涌現,也導致數據安全市場以及整個安全市場產品碎片化非常嚴重。根據安全牛2021年的數據,網安行業目前涉及到14項一級安全分類,106項二級細分領域。這種現狀也導致企業用戶在挑選供應商時,對具備“綜合性”安全能力的“平臺型”廠商會更為青睞。

作為國內綜合數據安全領域的“全能型龍頭”,億賽通公司對國內數據安全領域的用戶需求和發展趨勢有著深刻理解。

億賽通公司把整個數據安全市場過去近二十年的發展,分為四個階段。

其中,第一階段,主要是以數據載體為安全目標核心,核心是保護邊界,防止外部入侵,對外部進行監管。這個階段是以一種系統安全的思想來保護數據,主要強調邊界防護和防止黑客入侵。

第二階段,是將數據放到相應場景中結合業務進行考慮,其提供的安全措施應該符合特定的活動場景。

第三階段,開始上升到系統化的數據安全治理,最關鍵的特征是體系化安全。數據上升到資產、基礎設施層面,安全不再是一個技術上的安全,實際上是組織規范加技術的整合,以呈現整體的安全。

第四個階段,大數據交易、分享的安全成為業內熱點?！皵祿Y產”正在真正流轉、交易起來,數據安全要起到全程保駕護航的作用。

正是基于這一趨勢判斷,億賽通公司在理念和模式兩個方面給出了自己的答案。

首先在理念上,億賽通提出一種結合了“分·放·管·服”的數據安全建設理念,力圖分別從制度和技術角度為客戶建立數據安全防線。其中,制度主“建”,技術主“戰”,對數據和人實現分權分責分風險,形成放權管責相結合的態勢。

具體來說,就是首先要針對公司的所有數據資產進行區分對待,一是進行風險評估、漏洞分析,二是進行數據確權、數據分類、分級保護,三是針對具體的權限、職責和對象進行區分處理。

億賽通董事長兼總經理崔培升表示,在各種應用場景中,有些數據和環節需要強管控比如針對軟件代碼、工藝流程等商業IP的加密,有些需要弱管控主要通過審計發現問題,這兩類安全手段要協同匹配使用,才能既保障數據安全、又保障數字經濟生態的運營效率和C端的工作體驗。

其次是產品模式上,億賽通通過整合大數據技術、可信計算技術、安全技術,打破傳統單一模塊化管理模式,轉向基于平臺化的安全新模式,正在逐步完善智能管控和態勢感知兩大平臺。

在具體的產品方案上,億賽通從“云、網、端”三大類應用場景出發,細分了五大類產品,包括安全服務類、審計檢測類、加密防護類、安全管理類、安全平臺類等40余項精品產品模塊,涵蓋了數據資產管理、大數據安全、商業數據安全、專網數據安全和個人數據安全,從不同維度提供產品和服務,形成一體化智能管理,打造數據安全領域真正意義上的綜合解決方案。

億賽通的兩大主打產品——數據防泄漏DLP產品和電子文檔安全管理系統CDG——的市占率連續多年均位列行業第一CCID《中國數據泄露防護市場》年度報告。

比如其網絡數據泄露防護系統NDLP產品,可以實現同平臺管理網絡數據和郵件數據,采用大數據存儲、機器學習、智能分析模型、數據挖掘算法、靈活多樣的策略組合、多維度的數據統計分析、三權分立的管理體系,在網絡端和郵件服務器端建立一道數據泄漏防護的安全屏障,為客戶提供全方位的數據安全服務。

另外,億賽通的加密防護類產品采用其核心專利技術,支持國密SM4對稱算法,獨立密鑰管理方式,全方面滿足網絡安全法、等保政策要求,電子文檔安全管理系統CDG具有透明加密、主動加密、智能加密等多種加密方式,對數據進行智能識別、智能分類、智能加密,保障核心數據資產無泄露,滿足了用戶核心業務數據的加密保護需求。

如今,億賽通的產品方案已經在黨政、金融、能源和制造等主要行業中獲得了數萬中大型客戶,更多SaaS化新品正在加速推向中小企業市場。

紅利展望與理性預期

基于針對行業和億賽通這類標桿性企業的分析可知,未來幾年必然是數據安全大發展的關鍵時期。比如億賽通公司就表示,隨著數字經濟、相關合規政策等層面帶來的紅利將逐一落地。該公司未來幾年的營收將保持高速增長。

那么,數據安全市場的規模具體有多大?

據 Gartner預測,2023年,全球 80以上的公司將面臨至少一項以隱私為重點的數據保護法規,2024年隱私驅動的數據保護和合規技術支出將在全球突破 150億美元。隨《數據安全法》等落地、數據交易市場快速發展,KPMG預計2023年國內數據安全技術服務有望達百億,隨IT架構走向云化,長期將撬動千億級的數據安全SaaS運營收入。

此外,根據中國網絡安全產業聯盟最新公布的網絡安全市場規模數據,預計到2023年我國網絡安全市場規模有望達到809億;另據信通院安全所信息安全部主任魏薇表示,我國數據安全市場規模將在2023年預計達到97.5億,屆時數據安全在整體網絡安全市場占比將達到12.1,且自2016年以來呈現連續增長態勢。

天風證券研究所在一份報告中認為,工信部在2021年7月16日發布的《網絡安全產業高質量發展三年行動計劃2021-2023年??征求意見稿》中提出未來三年電信等重點行業網絡安全投入占信息化投入比例達10,這其中隨之帶動的也包含了數據安全領域的投入。如果通過對現有重點行業在網絡安全領域的投入占比情況進行測算,該機構認為,未來政府、金融、醫療衛生以及能源行業在數據安全領域的投入有望進一步打開1至3倍的成長空間,整體數據安全領域仍有近1倍的彈性增長潛力空間。

在整體市場空間不斷拓展的過程中,平臺類安全公司的崛起尤其值得關注。

如果說眼下的安全產業已經進入下半場,那么這個“下半場”最大的特點之一可能就是綜合平臺型企業的崛起。

根據相關數據,我國網安CR5市場占有率2018年為25.1,2019年上升到27.7,CR8基本達到40,說明我國網安市場已由競爭型轉變為低集中寡占型CCIAamp;數說安全。

前文已經提到,無論是供應商還是客戶,目前為了提升系統防御能力,解決產品間數據融合和協同機制,都在整合產品,以集成化、平臺化的軟件形式完成部署。單一功能的細分市場產品競爭力將逐漸弱化,市場份額開始向提供整體解決方案的綜合類廠商匯聚,市場集中度逐步提高。

以億賽通為例,該公司本身所處的數據安全主賽道??無論增速還是客戶粘性均遠高于傳統安全產品,年營收在超過億元之后,??量級還在繼續高速抬升之中。

再具體到安全平臺產品的市場空間,也已有機構進行了專門的測算。比如態勢感知平臺,國家《十三五國家信息化規劃》明確將網絡安全態勢感知列入網絡安全保障體系中,主要服務于監管類客戶各級公安和各級網絡安全和信息化委員會辦公室和關鍵信息基礎設施保護類客??運營商、金融、大型央企以及各級部委和政府用戶等。據數世咨詢調研統計,2019年國內態勢感知市場規模約在32億元左右,2021年的規模已超50億元。

另外,天風證券研究所也對“數據安全管理平臺”的空間進行過測算。測算顯示,數據安全管理平臺有望帶動傳統數據安全產品設備的銷售,短期內撬動20億以上市場空間,遠期市場規模有望達到數百億。

最后,如果說這一市場中有什么值得警醒的地方的話,那就是要注意管理好對項目營收以及估值的合理預期。

2021年10月,國盛證券在一份報告中認為,上市公司衛士通將直接受益于數據安全訂單落地,并且進行了相關測算。其測算數據顯示,如果參考隱私、營銷、安全和數據治理公司OneTrust的估值15xPS,衛士通2023年、2025年數據安全業務的潛在市值分別可達1112億元、2508億元。

二級市場之外,一級市場中一些項目的估值更是早已起飛。

比如在隱私計算領域,一些資深技術專家告訴我們,如果從產品技術上看,目前全行業基本都處在研究階段,很難說已經實現真正的產品化,一些號稱隱私計算的企業基本可以認為是在“打擦邊球”80的傳統安全技術+20的隱私計算技術。以同態加密為例,理論是很美好,但算法還沒有解決完備性加密后不能回復,另外效率也太低每秒完成1-2MB,海量大數據的話根本沒法使用。而且,這些還沒有算上在算力上所需的巨大成本?？偲饋碚f,就是產品還無法真正“work”。

顯然,不管是企業還是投資機構,對于產品技術的發展和后續的估值,還是要抱有合理的預期。

參考文獻:

天風證券:《數據安全:固基修道,履方致遠》

天風證券:《計算機年度策略報告:計算機兩個核心矛盾》;

國盛證券:《數據安全政策密集發布,千億產業爆發拐點已至》;

中國工程院李幼平院士:《國外工業互聯網安全產業布局情況及對我國的啟示》

【關于匯森投資】:

匯森投資是一家專注于軟件領域的產業金融機構,業務包含直投基金、產業基金;子品牌皓石資本負責融資及并購顧問業務。公司專注于軟件,以工業場景為核心,覆蓋工業信息化、產業金融、財稅供應鏈、安全、底層核心技術等方向。投資案例包含天地和興、博易智軟、卓訊科信、炬光科技、百應科技、融易算、??呯嘭智能、鴨嘴獸、中睿天下等。融資及并購顧問業務案例包含迅聯云、華宇元典、天地和興、合信自動化、卓訊科信等。