中國信息安全行業發展現狀及市場發展前景分析

一、信息安全：IT系統的“穩定器”

信息安全是指通過采取措施對信息系統的軟硬件、數據及依托其開展的業務進行保護，使得它們不會由于偶然的或者惡意的原因而遭到未經授權的訪問、泄露、破壞、修改、審閱、檢查、記錄或銷毀，保證信息系統連續可靠地正常運行。信息安全產品主要包括安全硬件、安全軟件及安全服務。信息安全是IT系統的“穩定器”，雖然信息安全投入不能直接為帶來收益，但是保證信息安全是企業業務得以順利開展的重要基礎。

隨著信息技術的迅速發展，特別是云計算、大數據、物聯網和人工智能等新一代信息技術的飛速發展，網絡與信息安全風險全面泛化，種類和復雜度均顯著增加，信息安全產品與服務種類也不斷得到充實與細化。

信息安全產業上游主要是IT設備及操作系統、電子元器件提供商等軟硬件生產行業，上游市場競爭充分，主要參與者均為成熟的全球化廠商，產品更新快，產量足，產品價格相對穩定，且產品性價比呈上升趨勢；中游由安全軟硬件產品集成商和安全服務提供構成；下游主要為政府、電信、金融、教育、工業、軍隊等領域的行業用戶，未來隨著各行業網絡信息安全意識的進一步提高，行業下游的覆蓋面有望進一步拓寬，產品的接受程度和普及程度也將進一步提高。

二、網絡安全事件不斷，政策推動信息安全產業加速成長

信息安全投資不能直接為企業帶來收益，安全事件和政策法規催生的下游需求是信息安全產業增長的主要推動因素。近年來國內外重大網絡安全事件頻發，信息安全形勢嚴峻，信息安全保護上升到國家安全層面，全球各國政府不斷細化完善有關信息安全的政策和標準體系，加大信息安全領域投入力度，以提升整體信息安全防御水平，驅動全球信息安全產業快速增長。

1、信息安全事件頻發，信息安全強化需求日益增強

早在20世紀80年代，伴隨互聯網的發展，1987年全球就已出現首例計算機病毒；20世紀90年代至2014年，互聯網經過近二十余年來的快速發展，網絡攻擊手段不斷豐富，攻擊內容形式也在不斷演化，網絡攻擊從最初的僅限于單一的計算機病毒、破解口令和利用操作系統已知漏洞等有限的幾個方法，演變為篡改、偽造、拒絕服務、惡意軟件、安全漏洞等多元化攻擊手段，涉及攻擊技術包括端口掃描技術、網絡監聽技術、網絡欺詐技術、密碼破解技術、拒絕服務技術等等。近些年，伴隨互聯網的高速發展，大規模數據泄露、網絡攻擊、網絡犯罪等信息安全問題也越來越突出，網絡信息安全事件在總體數量、規模與影響范圍上每年都呈現顯著變化，其中尤以數據泄露、技術風險和網絡攻擊最為突出。

隨著生產生活對于信息技術依賴提升，信息安全事件帶來的社會影響日趨顯著，經常導致嚴重的經濟損失。2019年3月，委內瑞拉最大的古里水電站遭到蓄意破壞，首都加拉加斯等數個城市燈火驟熄，陷入一片漆黑，停電波及全國23個州中的21州，多個地區供水和通信網絡中斷。2018年6月，由于缺乏有效防火墻的加密保護，美國Exactis公司泄露了約3.4億條個人信息記錄。2018年3月，伊朗黑客對全球超過300所大學發動網絡攻擊，共竊取31TB的數據，涉及知識產權信息的預估價值達30億美元。2017年5月，WannaCry勒索病毒大規模爆發，全球范圍內造成的經濟損失高達數十億美元。自2015年以來，全球數據泄露事件數量激增，2018年上半年數據泄露事件數量達45億件，同比增長133%，整體信息安全形勢不容樂觀，對信息安全強化的需求日益增強。

2、各國持續提升網絡保障要求，加大信息安全投入

《2020-2026年中國信息安全行業市場運行態勢及投資前景規劃報告》數據顯示：全球各國政府不斷細化完善有關信息安全的政策和標準體系，以提升整體信息安全防御水平為重點，加大對信息安全預算的投入力度，通過頂層安全戰略的制定來引導各國信息安全產業的發展。2018年以來，美國特朗普政府延續了對信息安全的重視態度，相繼發布了《提升關鍵基礎設施網絡安全的框架》、《能源行業網絡安全多年計劃》、《網絡安全戰略》等多份相關政策文件，進一步強化對網絡安全的政策指導。2018年6月，英國政府內閣辦公室發布實施網絡安全最低標準，包括從識別、保護、檢測、響應和恢復五個維度的最低建設要求。2018年5月，歐盟推出的GDPR保護條例正式生效，詳細更新對個人隱私數據的保護說明，大力加強對違規企業的處罰力度，防止個人信息被濫用。

自2001年起，我國“十五”、“十一五”、“十二五”、“十三五”連續四個國民經濟和社會發展五年規劃均將信息安全保障體系建設列為重要內容。2017年，工信部發布《軟件和信息技術服務業發展規劃（2016－2020年）》明確提出到“十三五”末信息安全產業規模將達到2,000億元，年均增長率達20%以上的目標。2016年11月，全國人民代表大會常務委員會發布《中華人民共和國網絡安全法》，規定“國家實行網絡安全等級保護制度”，標志了等級保護制度的法律地位。2019年5月，網絡安全等級保護核心標準《信息安全技術網絡安全等級保護測評要求》、《信息安全技術網絡安全等級保護基本要求》、《信息安全技術網絡安全等級保護安全設計技術要求》正式發布，并于2019年12月開始實施。《中華人民共和國網絡安全法》的發布、《網絡安全等級保護條例》（征求意見稿）的上報、網絡安全等級保護系列標準的發布，標志我國等級保護制度進入2.0時代。網絡安全已經上升為國家戰略，相關政策指引推動我國網絡安全行業持續發展，促進網絡安全防護水平進一步提升。

嚴峻的網絡信息安全態勢和各國在網絡信息安全領域的大力投入驅動著全球信息安全市場的快速增長。2018年全球網絡信息安全市場規模達到1269.8億美元，同比增長8.5%。未來幾年隨著5G、物聯網、人工智能等技術的全面普及，信息安全市場將繼續保持穩定上漲，至2021年整個行業規模有望達到1648.9億美元。

三、我國信息安全產業格局分散，整體規模加速增長

1、我國信息安全投入不足，市場規模保持快速增長

當前世界各國信息化快速發展，信息技術的應用促進了全球資源的優化配置和發展模式的創新，但隨著安全問題也日益突出。近年來，全球頻現重大安全事件，2017年爆發的新型“蠕蟲式”勒索軟件WannaCry、2019年，俄克拉荷馬州安全部門服務器泄露數百萬政府文等。2019采集安全漏洞高達13萬個。

2018年，CNCERT/CC通過自主捕獲和廠商交換獲得移動互聯網惡意程序283萬余個，同比增長11.7%，盡管近三年來增長速度有所放緩，但仍保持高速增長趨勢。

從2014年到2019年網絡詐騙舉報的數量和人均損失來看，這6年期間，盡管網絡詐騙的舉報數量有所起伏，但網絡詐騙的人均損失數額卻逐年提升。這從一定層面反映出，網絡詐騙騙術愈發精準、專業，導致個體上當受騙的損失也越來越大。到2019年，至少有30%的組織將在全球數據保護法規相關咨詢和實施服務上投入資金。

信息安全作為IT產業的伴生性需求，隨著信息安全重要性的不斷提升，正在向基礎需求轉變。中國IT安全產業投資占比遠低于美國及全球平均水平，未來中國IT安全投入占比提升的兩大路徑：1）意識改變及政策發力，國內政企用戶對安全重視程度不斷增加帶動投入增加；2）產業升級，包括安全服務、安全風險管理、云安全等新領域產業成熟度的不斷提升帶來行業投入增加。

為滿足信息安全強化的需求，在網絡信息安全政策和新興技術的驅動下，我國網絡信息安全行業保持較快增長。2018年市場整體規模達到495.2億元，較2017年增長20.9%，遠超全球安全市場整體增長率。隨著數字經濟的發展，物聯網建設的逐步推進，網絡信息安全作為數字經濟發展的必要保障，其投入將持續增加，未來的行業發展前景明朗。到2021年我國網絡信息安全市場將達到926.8億元。

從信息安全占整體IT投入比例來看，我國不足2%，僅有全球平均水平的一半，更遠低于美國的整體水平。中長期來看，在等保2.0政策的推動，信息安全仍處于高景氣周期中，隨著企業和政策對信息安全行業的重視，信息安全占整體IT支出水平有望持續提升。

數據時代與數字世界的來臨，信息數據已從資產保護對象成為重要的經濟生產工具。數據安全面臨著各種威脅，數據安全與身份安全保護也面臨各種挑戰。在多種威脅下，催生了態勢感知、零信任等整體性安全架構，為安全行業打開了新的成長空間。

2、合規需求仍是我國信息安全產業增長主要推動因素

多年以來合規需求是驅動我國信息安全投入的主要因素。從下游需求來看，2018年政府、電信和金融等涉及國家安全和國民經濟命脈的行業是信息安全產品的主要需求對象，總占比超過65%。在這些行業，對于信息安全都有相應的政策要求，企業受到政府監管要求而進行信息安全產品采購，所以滿足合規需求成為我國信息安全市場增長的主要驅動力。

合規性政策陸續出臺提升了信息安全產品服務空間。各行業、各領域都加緊信息安全責任制度建設，為推進信息安全工作提供有力依據。2019年4月，《中央企業負責人經營業績考核辦法》正式施行，提出“違反國家法律法規和規定，導致發生較大及以上網絡安全事件，要按照有關規定對相關負責人進行責任追究”，有助于進一步強化和落實信息安全工作責任。2019年5月，《信息安全技術網絡安全等級保護基本要求》等多項國家標準（“等保2.0”）正式發布，提出主動防御、安全可信、動態感知、全面審計等新理念，覆蓋云計算、大數據、物聯網、移動互聯和工業控制系統等新領域，有望全面推進網絡安全能力建設，帶動信息安全產業發展。

相比等級保護1.0只針對網絡和信息系統，等級保護2.0把包括傳統網絡安全、云計算、物聯網、移動互聯、工業控制、大數據等在內所有新技術納入監管，比等級保護1.0拓展了維度，提出了更高的要求，增加了云計算安全擴展要求、移動互聯安全擴展要求、工業控制安全擴展要求、物聯網安全擴展要求。等級保護2.0還新增新型網絡攻擊防護、集中管控、郵件安全防護、可信計算、個人信息保護以及安全服務等要求，并把監管對象從體制內拓展到了全社會，覆蓋技術更全面，監管范圍更廣。隨著等級保護2.0標準的逐步落實，為符合等級保護2.0政策的新要求，企事業單位將進一步加大信息安全產品和服務的投入，國內信息安全市場有望迎來更大的發展。

3、國內信息安全產業格局：安全硬件為主，市場格局分散

從產品細分領域來看，信息安全產業可劃分為信息安全產品和信息安全服務兩大類。信息安全產品包括安全硬件和安全軟件，具體包括防火墻、入侵檢測（IDS）與入侵防御系統（IPS）、統一威脅管理、抗DDoS、Web應用防火墻（WAF）、防病毒網關、漏洞掃描等諸多品類。信息安全服務是以服務的形式，面向信息化業務過程提供安全保障服務，主要包括風險評估、安全加固、滲透測試、合規性咨詢、安全運維、應急保障、安全集成等。當前我國網絡安全市場仍以產品為主。從結構上看，安全硬件產品仍占據接近一半市場份額，占比48.1%；服務占比仍然較低，2018年僅為13.8%。全球網絡信息安全市場以安全服務為主，2018年，安全服務市場份額最大，占市場的64.4%；軟件占整體市場的26.2%。國內信息安全行業以安全硬件為主的特點與全球以安全服務為主的特點有著明顯的差異。究其原因，我們認為主要由兩個因素導致：一是在國內預算制體制下，安全產品更容易核算；二是我國企業安全支出更多為合規驅動，主動防御意識弱。

國內信息安全市場快速增長，信息安全廠商也急劇增加，目前國內注冊的信息安全廠商約有1000家，大型廠商占據一定的市場份額，但由于安全需求的多樣性和復雜性，網絡信息安全產品也具有多樣性的特點，市場的細分程度較高，不同的細分市場又存在不同的領先廠商，總體來看，安全產品市場缺乏真正的龍頭企業，市場集中度較低。安全內容管理、防火墻、IDS/IPS（入侵檢測系統/入侵防御系統）、統一威脅管理、VPN（虛擬專用網絡）這五個細分子市場構成了網絡信息安全基礎設施市場的主體。2018年這五個細分子市場各有三家龍頭企業憑借技術優勢占據近半市場份額，作為強力補充的AIRO(安全分析、情報、響應、編排)軟件市場亦是如此，還沒有公司能在各個領域都占據龍頭地位。

四、需求升級，信息安全迎來主動安全+安全服務新階段

1、新興產業蓬勃發展驅動信息安全需求升級

近年我國云計算、大數據、物聯網等新技術的快速發展，在推動新興技術市場不斷增長的同時，也催生了新的安全需求。隨著這些新一代信息技術的飛速發展，網絡與信息安全風險全面泛化，種類和復雜度均顯著增加。伴隨著數據信息數量的不斷增大和數據信息的進一步集中，現有的信息安全手段已經難以滿足這些新技術和新應用模式的要求，對海量數據進行安全防護也變得愈發困難，分布式數據處理也加大了數據信息的安全風險。在技術層面上從最初對信息的單純保密發展到對信息的機密性、真實性、可控性和可用性的保證，進而發展為攻（攻擊）、防（防范）、檢（檢測）、監（監控）、審（審計）、管（管理）、評（評估）等多方面技術內容。信息安全需求也從單一的信息安全產品需求逐漸發展升級為安全產品、安全集成與安全服務相互交織的解決方案需求。下游需求的升級也為信息安全產業的發展注入新的強大動力。

1）云安全伴隨云計算快速崛起

當前我國信息系統建設的趨勢是向云化、虛擬化方向發展，近年來私有云、行業云的建設，加之數據中心、5G的大力發展都順應了這一趨勢，云計算在技術方面逐漸走向成熟，開始進入產業發展的繁榮期。當前我國云計算市場處于高速增長階段，2018年我國云計算市場規模達919.8億元，同比2017年增長33.0%，未來我國云計算市場將保持高速增長，到2021年中國云計算市場規模將達到2,028.3億元，未來三年年均增長率為30.2%。

云計算的進步帶動無服務器計算發展，也引發了新的網絡信息安全問題。攻擊者更容易借無服務器計算隱藏活動蹤跡制造網絡威脅。這些都成為云計算發展過程中帶來的網絡信息安全威脅，同時也為未來云安全產品與服務的研發與部署提供了廣闊的應用場景。公有云的多租戶共享場景將導致可信邊界的弱化，威脅的增加，因此構建基于云的縱深防護體系成為應對公有云安全威脅的重要手段。私有云、行業云領域，眾多廠商積極在云安全資源池、云工作負載保護平臺等重點領域加速布局。中國云安全市場目前仍處于起步階段，但整體的市場規模將隨著云計算市場規模的增長而快速崛起。2018年，中國云安全市場規模達到37.8億元，增長率為44.8%，未來3年內預計仍將保持每年40%以上的高速增長。

2）數據量爆炸式增長，大數據安全成安全廠商戰略布局重點

隨著云計算和大數據技術的快速發展和廣泛的應用，業務體量達到一定規模以后，數據的產生、流通和應用更加普遍化和密集化，帶來了網絡信息安全的治理變的更加嚴峻和復雜。大數據時代背景下，新的技術、新的需求和新的應用場景都給數據安全防護帶來全新的挑戰。雖然我國大數據處于起步發展階段，但近年發展迅速。2018年中國大數據產業規模為4384.5億元，預計2021年將達8070.6億元，3年復合增長率為23%。隨著數據資產價值持續攀升、大數據產業規模不斷壯大，大數據技術在改善社會生產生活的同時，其安全問題也逐漸顯現出來。大數據安全涉及到數據全生命周期的防護，需要從“以系統為中心的安全”轉換到“以數據為中心”的安全思路上來；大數據場景下，企業內部組織結構不完善、內控制度不健全也會導致數據的泄露；數據復雜度大幅增加，數據存儲形式、使用方式和共享模式均發生變化，無法適應大數據時代下的安全防護需求。大數據安全是用以搭建大數據平臺所需的安全產品和服務，以及大數據場景下圍繞數據安全展開的大數據全生命周期的安全防護。大數據安全主要包括大數據平臺安全、大數據安全防護和大數據隱私保護，產品主要包含大數據系統安全產品、大數據資源發現、大數據管理運營、敏感數據梳理、大數據脫敏、應用數據審計、大數據審計等。大數據安全業務已經被各大傳統安全企業納入未來企業戰略布局重點和重要商業化盈利點。2018年中國大數據安全市場規模達到了28.4億元。隨著大數據安全需求的增加，年均增長率預計將逐步提高，市場規模預計將在2021年達到69.7億元。

3）“萬物互聯”時代來臨，物聯網安全需求快速增長

物聯網概念的提出和技術的發展創新，在深刻改變傳統產業形態和社會生活方式的同時，也催生了大量新產品、新服務、新模式。2014年我國物聯網產業規模達到了6,000億元，同比增長22.6%，2015年產業規模達到7,500億元，同比增長29.3%。預計到2020年，中國物聯網的整體規模將達到1.8萬億元。物聯網作為5G典型應用場景之一，在萬物互聯的大趨勢下，市場規模將進一步擴大。物聯網技術不僅僅在家庭及消費級設備上取得發展，還在制造業、物流、礦業、石油、公用設施和農業等擁有大型資產的行業也開始大量得到應用。數以億計的設備接入物聯網使其產業規模得到不斷壯大，但是物聯網的安全性非常薄弱，各類物聯網終端很容易成為被入侵和控制的對象，伴隨針對用戶隱私、基礎網絡環境安全攻擊數量的不斷增多，物聯網設備、網絡、應用面臨嚴峻的安全挑戰。物聯網安全問題已成為社會新的關注點，同時也催生了物聯網安全產