本报告的市场规模采用收入法统计,统计范围为在国内销售网络安全产品或提供网络安全服务的企业,不包括产业链上游硬件供应商和下游销售渠道(代理商和分销商)。本次调研延续前五次产业调研模式,仍然以具备网络安全产品、服务和解决方案销售收入的我国网络安全企业为目标研究对象,调研企业 296 家,最终收集到 192 家企业有效数据,基本覆盖了国内主要的网络安全企业。
2023年网络安全产业发展面临新趋势
(一)发展机遇
1.网络安全治理日臻完善,产业发展更加有据可依
一是法律法规趋严趋细,合规要求更加全面深入。近年来,随着关键信息基础设施安全保护、网络安全审查、云计算服务安全评估、数据安全管理、个人信息保护等领域一系列法律法规相继出台,我国网络安全法规体系的“四梁八柱” 基本建成。2022 年以来,网络安全治理更加全面深入,国家在一体推进网络安全立法、执法、司法、普法道路上不断向 10 前迈进。2022年第四季度,《网络安全法》首次修订,对违反网络运行安全一般规定和网络信息安全法律责任制度进行了调整,增加了从业禁止措施,网络空间治理法治化依据更加明确;《反电信网络诈骗法》正式施行,针对电信网络犯罪行为构建全方位治理体系。《未成年人网络保护条例(草 案)》修改审议,加快步入立法进程;《商用密码管理条例》 发布并施行,在《密码法》框架下完善了商用密码有关的系列重要制度;《网信部门行政执法程序规定》发布,对进一步规范和保障网信部门依法履行职责、实施行政执法等方面提出要求。此外,线上金融服务的合规监管日益严格,泸州银行泸贝尔 APP、山西银行 APP、兰州银行 APP 等超十家银行 APP 因侵犯用户权益、违规获取个人信息,被有关部门点名通报和限期整改。
二是政策标准密集发布,行业健康规范发展生态更加健全。《关于促进网络安全保险规范健康发展的意见》《关于推进 IPv6 技术演进和应用创新发展的实施意见》《关于开展网络安全服务认证工作的实施意见》等政策为规范网络安全 行业细分领域提出了具体要求;在互联网信息服务、互联网 广告、证券期货业、寄递服务、在线旅游、政务大数据等重点行业提出了网络安全管理具体措施。《生成式人工智能服务管理暂行办法》发布,对生成式人工智能技术的发展与治理做出明确规定。首个关键信息基础设施安 11 全保护的国家标准《信息安全技术 关键信息基础设施安全保护要求》正式实施,《汽车整车信息安全技术要求》等强制性国家标准征求意见,生成式人工智能数据安全规范、大型网络平台网络安全评估指南、数据分类分级保护要求等标准列入 2023 年度网络安全国家标准计划,工业互联网、车联网密码支撑标准体系建设指南发布,在助推网络安全产业高质量发展方面的基础性、规范性、引领性作用更加凸显。
2.网络安全技术加快迭代升级,为产业发展注入更强动力
2022 年下半年以来,美国陆续发布《2023—2025 年战略计划》《国家网络安全战略》《2023 年美国防部网络战略》 《美国政府关键和新兴技术国家标准战略》等政策文件,从网络空间安全、关键信息基础设施安全、数字安全等方面提出具体的战略举措,强化网络安全保护和网络空间作战能力。
(二)面临挑战
1.全球经济下行削弱政府财力和企业盈利能力,网络安全产业受到冲击
2023 年,通胀压力继续攀升,全球经济步入中低速增长轨道。世界银行的预测显示,全球增长预计将从 2022 年的 3.1%放缓至 2023 年的 2.1%。美欧等发达经济体的银行业危机发酵,金融形势险象环生,信贷条件日趋收紧,新兴市场和发展中经济体当中有四分之一实际已无法通过国际债券市场融资。从国内看,疫情防控平稳转段后,我国经济恢复呈现波浪式发展、曲折式前进的过程。宏观经济表现不佳削弱了政府财力,压缩了企业盈利空间,政府和企业在网络安全方面的投入不可避免地受到波及,给网络安全业务拓展和产品交付造成了较大的负面影响。大量企业在网络安全建设上“有心无力”,基础网络业务影响较大,部分企业经营困难, 再加上政府和企业在网络安全方面的预算和投入普遍降低或延后,大量在建项目资金延期到位,导致网安企业应收账款激增,企业营收和净利润表现不佳,需求侧不振成为网络安全产业发展增速稳中趋缓的重要原因。
2.大国“零和博弈”加剧,网络空间竞争交锋烈度和重点产业供应链风险强度增高
2023 年,大国竞争“零和博弈”趋势更加明显,去全球化的消极互动成为中短期内全球经济与政治互动的主要特征, 全球主要国家安全战略将进一步转向大国竞争,叠加地缘政治冲突、全球能源危机等负面因素,网络空间成为现代战争和大国对抗的重要战场。2022 年以来,国家间网络攻防、供应链攻击、虚假信息传播、勒索软件、数据泄露、黑客攻击等安全事件层出不穷且危害性更强,对国家安全和产业稳定构成威胁。据波耐蒙研究所和 IBM Security 联合发布的报告显示,2022 年全球数据泄露规模和平均成本均创下历史新高,数据泄露事件的平均成本高达 435 万美元;Verizon《2022 年数据泄露调查报告》指出,2022 年针对软件供应商的网络攻击同比增长 146%,其中 62%的数据泄露归因于供应链安全漏洞。同时,供应链攻击已成为大国角力中主要的网络攻 击手段,软件业等国际化程度高、供应链条较长的产业将面 临更加严峻的供应链安全风险。网络空间愈发激烈的角逐给 全球安全态势带来更多不确定性严重恶化了我国网络安全形势,对我国加强网络空间安全防护、维护供应链安全稳定 提出了更高要求。
3.网络攻击技术加快演进升级,网络安全挑战更加复杂多样
2023 年,新技术新应用的涌现也为网络安全带来更大挑 战。伴随 AI 大语言模型技术发展,网络攻击者通过使用 ChatGPT,用较低的成本通过 AI 技术生成攻击代码或垃圾邮件,从而大大降低网络攻击技术“门槛”;元宇宙相关技术加快应用可能造成更多窃取和仿冒数字身份事件发生,勒索或窃取数字账户将成为数字世界网络犯罪和攻击的主要方面;云原生技术的大量应用可能带来开源代码库漏洞、大量针对 API 接口的网络攻击等网络安全问题;量子计算机能够以更高速度执行复杂计算,可能被应用于操纵或破坏通信网络、 导航系统甚至武器军事系统,甚至将改变未来战争形态和战争结果。大量技术的迭代升级带来愈来愈多的网络安全风险和挑战,需要政府和企业不断更新安全理念,形成合力,筑牢网络安全防线。
综上所述,2023 年,我国网络安全产业发展面临的形势 依然复杂严峻,既有政策法规细化深入、数字经济赋能、技术迭代创新等发展机遇,也面临宏观经济下行、大国博弈更加复杂、网络攻击愈发多元等诸多挑战,网络安全产业将在 暗礁险滩遍布的湍流中探索前行,需要具备更大勇气、更高智慧、更强动力,以谋求更光明远大发展前景。
我国网络安全产业基本情况
(一)我国网络安全企业总体表现
本报告所指网络安全企业包括三类:一是具备网络安全专用产品安全检测或安全认证证书,或者计算机信息系统安全专用产品销售许可证书的企业(即产品型企业);二是具备中国信息安全测评中心或中国网络安全审查技术与认证中心服务资质证书的企业(即服务型企业);三是拥有安全检测或安全认证证书,或者产品销售许可证,且拥有服务资质证书的企业(综合性企业)。
2.网络安全企业收入
2023 年,尽管国内经济逐步复苏,但下游市场需求恢复 3 图 2 涉及数据为 CCIA 和数说安全基于巨潮资讯信息整理。19 尚需时日。上半年,23 家安全上市公司营业收入总和约 200 亿元(见表 1),相较于 2022 年同期增长 2.5%。其中,3 家公司收入增速超过 30%,7 家公司收入增速在 20%-30%之 间,7 家公司收入增速在 0-20%之间,9 家公司收入增速为负值。
(二)我国网络安全产业规模及市场集中度
1.我国网络安全产业规模与增速情况
据国内网络安全主要企业调研数据分析显示,2022 年, 我国网络安全市场规模约为 633 亿元,同比增长 3.1%。近三年行业总体保持增长态势,但受宏观经济等因素影响,网络安全行业增速持续放缓(见图 3)。
展望未来三年,网络安全产业发展顶层设计更加完善, 促进行业发展的政策基础愈加稳固,数字经济加速发展等正向激励将给网络安全产业注入新动力,产业结构调整逐步深化,更多网络安全板块将涌现出来,预计网络安全产业将保 持 10%以上的增速,到 2025 年市场规模将超过 800 亿元。
2.我国网络安全产业集中度
从主要企业市场占有率看,奇安信、启明星辰、深信服 和天融信四家企业的市场占有率均超过了 5%(见图 5)。预计未来数年,领军企业市场占有率仍将保持小幅增长趋势。
(三)我国网络安全市场区域分布及增速
通过对国内网络安全企业调研数据和网络安全上市公司的公开数据进行综合分析,得出以下结论:分区域来看,2022 年,华北、华东和华南等经济发达地 区对网络安全的投入进一步加大,区域市场占比有所提升 (见图 6)。同时,网络安全企业积极响应共建“一带一路” 倡议,加快探索海外市场。深信服、奇安信和绿盟科技等领 军企业海外业务发展良好,创新型企业积极尝试突破,2022 年取得一定成绩,海外市场占比小幅提升。预计未来海外市场将成为中国网络安全企业新的业务增长点。
(四)我国网络安全客户所属行业分布及增速
数说安全分析数据显示,2018 年至今,中国网络安全客户总量超过 15.8 万家,2022 年发生网安项目采购行为的客户有 67183 家,过去三年持续在网络安全投入的客户超过 2 万家。
我国网络安全企业竞争力与产业格局
1.我国主要网络安全企业经营情况
虽然成长期企业已经具备一定的规模和市场份额,但是他们和成熟期企业的差距正在扩大。部分成长期企业在经历了早期快速增长后,业务开始放缓或遭遇瓶颈,需要寻找新的增长点,否则较难向成熟期企业过渡,当前所处市场地位也可能受到威胁。初创期企业在网络安全细分领域具有独特的创新优势, 尽管在技术成熟度和市场营销能力上还有待提高,但其创新 能力和发展潜力受到了投资界的关注。我国网络安全上市企业总市值规模从 2018 年底开始急剧增长,2021 年创历史新高,总市值接近 4000 亿,2022 年 5 月回落至近 2000 亿,2023 年 4 月总市值再次攀升至 3400 亿,较 2022最低点上涨约 90%。
2.我国网络安全产业发展热点
基于对行业领军企业、研究机构,以及权威的网络安全领域专家进行问卷调查和深度访谈,结合对国内外网络安全 43 技术发展趋势的综合研判,从网络安全技术、服务和治理三个维度,提出 10 项网络安全产业发展热点:
1、生成式人工智能
随着 OpenAI 推出 ChatGPT,生成式人工智能(AIGC)和大语言模型技术在全球范围内掀起浪潮。生成式人工智能技术更被 Gartner 公司评为 2022 年十二大战略性技术趋势第一位8,多个科技巨头重点布局并持续加大投入。其中,谷歌推出生成式人工智能聊天机器人 Bard 和大型视觉语言模型 PaLM 2,微软更新升级搜索引擎必应(Bing)应用了生成式 预训练大模型 4 技术(GPT-4),META 公司发布人工智能大型语言模型LLaMA 等。国内方面,百度“文心一言”、阿里“通义千问”、科大讯飞“星火认知”、腾讯“混元助手”、华为“盘古”等相继推出,生成式人工智能大规模兴起。
2、人工智能对抗攻防技术
近年来随着数据量的爆发式增长、深度学习算法优化改 进、计算能力大幅提升,AI 技术呈现跨越式发展趋势,在计 算机视觉、自然语言处理、自动驾驶等领域取得了突破性进 展。与此同时,AI 安全性和鲁棒性问题引起了业内高度关注, 对抗样本攻击与防御技术是其中受到关注度最高的研究方向之一,学术界和产业界提出了多种典型的攻击和防御方法。
3、量子安全技术
量子计算机的崛起可能会破解加密算法,威胁到传统加密的安全。为应对这一挑战,量子安全技术应运而生,并从量子计算和量子通信的快速发展中获益匪浅。它是一种基于量子力学原理的加密解决方案,旨在抵御未来量子计算机对 传统加密算法的破解威胁。
4、云原生安全
近年来,伴随云计算和容器化技术的广泛应用,企业将应用和数据逐步迁移到云平台,安全威胁也随之增加。传统的安全解决方案难以充分适应云原生架构的特点和需求,云原生安全技术和服务应运而生。云原生安全技术和服务针对 云环境中的安全需求,提供一系列技术、工具和服务以保护云上应用和数据的安全,具体包括:云环境的实时监测和审计、漏洞扫描和风险评估、访问控制和身份验证、日志管理和分析,以及威胁情报和事件响应等。云原生安全工具和技术能够检测和预防云环境中的恶意活动、数据泄露、网络入侵等安全威胁,并进行实时监控和警报,帮助企业及时发现和应对潜在的网络安全漏洞和攻击。
5、网络安全保险服务
当前,我国数字经济快速发展,网络安全基础性、保障性作用逐步增强。网络安全保险作为具有网络安全风险管理和经济补偿功能的新型网络安全服务,对于提升企业网络 安全风险应对能力,促进中小企业数字化转型发展,推进构 建网络安全社会化服务体系具有重要意义。2023 年 7 月,工业和信息化部、国家金融监督管理总局联合印发《关于促进 网络安全保险规范健康发展的意见》,提出促进网络安全保险规范健康发展。
6、安全审计和合规性服务
网络安全审计和合规性是保护企业数据安全的重要环节,是加强关键业务信息和客户数据安全保护的重要手段,也是满足日益丰富和细化的网络安全法律法规和政策标准合规性要求的重要途径。通过评估和改进网络安全措施,确保符合相关的合规性标准,不仅可以帮助企业进一步夯实网络安全基础,提升潜在网络安全威胁和风险防范能力,也可以帮助企业满足相关政策法规要求,避免承担网络安全相关法律责任和声誉损失,真正实现业务不宕机、合规不踩线。安全审计和合规性服务是指对组织的信息系统进行安全审计,以确保它们符合相关法规和标准。该服务旨在发现潜在的安全漏洞,评估安全控制的有效性,并确定是否存在任何违规行为。安全审计服务包含安全控制评估、安全漏洞扫 描、安全策略审查、安全事件响应评估等;合规性服务包含 法规合规性评估、标准合规性评估、行业合规性评估等。通过开展安全审计和合规性服务,可以评估和改进网络安全控制措施、策略和流程,提高企业整体的安全水平。但是,安全审计和合规性服务也存在资金成本较高、服务范围和深度 有限、难以及时跟进最新技术变化和政策要求等不足。当前, 安全审计和合规性服务已广泛应用于金融、医疗健康、零售和电子商务、能源和公用事业等领域,部分企业已面向各类客户提供安全控制评估、安全漏洞扫描、安全策略审查、安全事件响应评估等安全审计服务,以及法规合规性评估、标准合规性评估、行业合规性评估等合规性服务。未来在多领域技术带动下,安全审计和合规性服务将朝着自动化、智能化和融合化发展,拓展衍生云安全审计、物联网安全审计、 区块链合规性审计等多领域网络安全审计和合规性服务,从而降低服务成本、提高服务时效性和有效性。
7、网络安全防护有效性验证服务
据 Gartner 的调查显示,97%的网络入侵行为发生在已经部署网络安全防护系统的公司,99%的网络攻击行为是使用已知并且存在多年的攻击方式或者漏洞,95%的绕过安全防护设备的入侵攻击行为是由错误配置造成的。由此可见,即使各类安全防护设备已做好部署,如果没有持续升级或正确配置网络安全防护策略,这些安全防护设备仍然无法发挥最大效果,难以有效防范网络安全入侵。因此,网络安全防护有效性验证服务的重要性日益凸显,网络安全验证成为 Gartner 发布的 2023 年 9 大主要网络安全趋势之一,指汇集多项技术、流程和工具,对潜在攻击者利用已知威胁暴露面的方式进行验证。网络安全防护有效性验证服务能够提供模 拟攻击验证的方法,检验各类设备的防护策略是否有效,全面评估防御的有效性并测试出防护短板,帮助企业了解其网 络系统的安全状况,识别潜在的安全风险,并提出相应的解决措施。当前,国内一些网络安全企业通过漏洞扫描、渗透测试、入侵与模拟攻击、安全配置审核和风险评估等网络安全测试,验证客户网络安全防护的有效性。综上所述,网络安全防护有效性验证服务是网络安全运营体系的补充,将成为企业增强网络安全性、保障网络稳定运行的重要抓手。
8、云密码服务
大数据、人工智能、移动互联网、物联网等技术的蓬勃发展离不开云计算的支撑,传统的信息技术和产品需要从产 品形态、部署方式、商业模式等各层面适应云计算中的服务化需求。当前,在云计算迅猛的发展势头中,安全成为掣肘云计算发展的最关键问题,作为网络安全核心技术和基础支撑的密码技术在云计算中的作用变得更为重要。我国高度 重视网络安全保障中的密码技术,将密码作为国家的重要战略资源,在金融、国防、电信等重要应用领域全面推广应用 国产密码算法。《网络安全法》、网络安全等级保护制度 2.0 和《密码法》中,对云计算环境的安全建设提出要求,明确三级及以上的系统需要进行密码应用安全性测评。云密码服务是一种全新的密码功能交付模式,是云计算技术与身份认证、授权访问、传输加密、存储加密等密码技术的深度融合。
9、数据安全治理
数据安全是网络空间安全的关键所在,也是国家安全的 重要组成部分。随着数据安全产业迅猛发展,数据安全单点产品数量逐步增加,但是,数据安全工具的碎片化影响了实 际产品效能,急需构建全面、系统的数据安全治理体系,实 现对数据安全风险的主动防御和综合防御,确保数据的安全 高效利用。早在 2017 年,Gartner 便在其召开的安全与风险管理峰会上提出了数据安全治理理念,认为数据安全治理不仅是一套用工具组合而成的产品级解决方案,更是从决策层到技术 层,从管理制度到工具支撑,自上而下贯穿整个组织架构的 完整链条。国内网络安全企业经过数年的探索推广,形成一系列保护和管理客户数据安全的工具和服务,涵盖数据安全的策略制定、规范制定、风险评估、监控和培训等方面。数 据安全治理服务的核心在于确保数据得到适当保护,防止数 据泄露、滥用或未经授权的访问。通过有效的数据安全治理服务,企业可以建立较为完备的数据安全管理体系,进而降低数据安全风险。未来,数据安全治理将在个人信息保护、数据共享与合作、云计算和大数据安全、边缘计算和物联网安全、数据伦理和隐私保护以及 AI 与数据安全等领域发挥越来越突出的作用。但也应注意,数据安全治理服务在自动化程度、安全与隐私平衡、新兴技术应用风险以及用户安全意识等方面仍存在较大挑战。随着技术发展和理论体系逐步完善,数据安全治理将不断创新和演进,以上问题有望得到解决和改进, 从而增强对数据安全风险的主动性、体系化防御能力。
10、软件供应链安全治理
2023 年,软件供应链的安全威胁和风险继续攀升,据 Gartner 分析,到 2025 年,全球 45%的组织和企业的软件供应链将遭受攻击。软件供应链攻击是指针对软件供应链所发动的网络攻击,攻击者会先攻击软件供应链中安全防护相对 56 薄弱的部分,然后再利用软件供应链之间的相互连接(如软件供应、开源应用)等,将风险扩大至上下游企业,对大量供应商和最终用户带来巨大影响。与其它攻击形式相比,软件供应链攻击往往会产生“牵一发而动全身”的效果。在软件供应链中,各个环节均可能存在安全风险,例如开发过程中的代码漏洞、分发过程中的恶意软件、配置和使用过程中的错误等,这些风险不仅会对企业造成经济损失,还会对用户的个人信息安全造成威胁。软件供应链安全治理是指采取针对性防范措施,对软件 开发、分发、安装、配置、使用、维护以及报废等全生命周期过程中所涉及的各类资源进行管理和控制,以保障软件供应链中的各个环节和组织进行业务活动和信息交换的安全性,有效应对软件供应链中各个环节中可能存在的多种安全威胁。软件供应链安全治理主要包括:供应商管理、采购管理、开发管理、测试管理、发布管理、运维管理、报废管理 等。通过这些措施,可以确保软件供应链的透明度、可追溯性和安全可控性。近年来,国内企业越来越关注软件供应链安全风险治理,多个企业在软件供应链安全治理新模式方面 开展了有益探索,可以看到,全面、高效地保障软件供应链的安全对于加快数字化进程、推动软件产业高质量发展、切实保障网络空间安全具有重要意义。
原文始发于微信公众号(红紫蓝攻防实验室):中国网络安全产业分析(2023年)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论