圖檔來源@視覺中國
文 | 産業家,作者 | 鬥鬥
從主機安全到程式安全,再到如今的雲上安全,一張張大幕正在被緩緩拉開。
2022年3月的第一天,豐田汽車因零部件供應商系統受到網絡攻擊,整個供應鍊出現故障,關閉了所有日本國内工廠,涉及當地累計共28條生産線。
而在此之前的2020年,本田就因内部系統就因感染病毒而關閉了9家工廠。2021年 12 月,豐田旗下最大的零部件制造商電裝(Denso )遭到一群黑客的攻擊,并洩露了員工的個人資訊。
而此次停産,這意味着豐田日本産能全面癱瘓,預計将影響13000輛的生産——這僅僅是停産一天的損失。
在360政企安全集團近日釋出的獨家報告中,公開披露了美國國家安全局(NSA)為達到美國政府情報收集目的,針對全球發起大規模網絡攻擊。
NSA利用美國在全球網絡通訊和網際網路體系中所處的核心地位,利用先進技術手段實作對網絡信号的監聽、截獲與自動化利用。
而NSA針對大陸的大型攻擊活動,僅Validator(驗證器)後門一項的感染量保守估計達幾萬數量級,随着持續攻擊演進感染量甚至可能已經達到數十萬、百萬量級。嚴重威脅電力、水利、交通、能源等關鍵基礎設施。
此外,資料安全更在個人隐私方面,如聯合國超 10 萬名員工的個人資訊遭到洩露,網際網路電信詐騙屢禁不止、“徐玉玉”案令人痛心不已。凡此種種都切實威脅個人隐私這一基本權利。
就當下而言,資料安全已經被推上了曆史發展的新高度,無論是個人層面、企業層面還是國家層面,促進資料安全産業發展已經成為數字時代的最大命題。
市場需要怎樣的安全服務商?科技為背景的時代進步又需要怎樣的安全能力?在數字化進擊的當下,這些都在成為最核心的命題。
01 資料安全的大藍海
根據IDC釋出的《資料時代2025》報告,到2020年,全球資料量達到了60ZB,2025年将達到175ZB,接近2020年資料量的3倍。
同時,IDC預測中國資料量增速最為迅猛,預計2025年将增至48.6ZB,占全球資料圈的27.8%,成為全球最大的資料圈。
随着資料量的增加,隐藏在資料背後可被挖掘的資訊也逐漸豐富,無論是政府還是企業都開始意識到資料洩露可能帶來的嚴重後果,對資料安全的重視程度提升趨勢明顯,并在積極探索在安全可控的情況下最大化發掘資料價值。
另外,根據海外市場研究機構VMR統計,2019年全球資料安全市場規模約為173.8億美元,且預計到2027年全球資料安全市場規模将達到572.9億美元,年複合增長率約為17.35%。
而根據中商産業研究院統計,2019年大陸資料安全市場規模僅為38億元,僅占全球資料安全市場規模的3.4%,與大陸整體資料量在全球27.8%的占比仍有較大差距。
由此可見,未來中國資料安全市場容量仍有較大增長空間,而考慮到中國資料安全市場整體發展節奏慢于美國,是以長期來看中國資料安全市場存在千億市場空間。
根據中國網絡安全産業聯盟最新公布的網絡安全市場規模資料,預計到2023年大陸網絡安全市場規模有望達到809億,同時根據信通院安全所資訊安全部主任魏薇表示,大陸資料安全市場規模将在2023年預計達到97.5億,屆時資料安全在整體網絡安全市場占比将達到12.1%。
中國網絡安全企業100強
工信部在2021年7月16日釋出《網絡安全産業高品質發展三年行動計劃(2021-2023 年)(征求意見稿)》,其中提出未來三年電信等重點行業網絡安全投入占資訊化投入比例達10%,而這将會同時帶動資料安全領域的投入。
通過對現有重點行業在網絡安全領域的投入占比情況進行測算,對标工信部對于10%的網絡安全投入占比要求以及國際平均投入水準,可以預測未來政府、金融、醫療衛生以及能源行業在資料安全領域的投入有望進一步打開1至3倍的成長空間,整體資料安全領域仍有近1倍的彈性增長潛力空間。
加之目前大陸的資料安全監管體系架構形成了以“資料安全國家戰略”為出發點,《網絡安全法》、《資料安全法》(即将實施)、《個人資訊保護法》為核心,其他專項規定、行政法規、行業部門規章、以及地方性法規等為細節補充的體系架構。
通過對中央法律法規、部委出台的檔案要求、以及各行業監管部門針對各行業出台的與資料安全直接相關的政策檔案的梳理與統計,可以看出監管部門對于資料安全的監管和關注程度逐年提升,且主要由中央政府與工信部主導,各行業監管中金融、水利、交通、教育、政府、電信與網際網路行業為資料安全監管較為嚴格的行業。
總體來看,資料備份、資料分級分類、資料安全風險評估和審計是監管最為看重的四個子領域,此外,身份與通路控制、資料加密、資料防洩露也是監管重點關注的方向。
此外,根據等保2.0體系下《網絡安全等級保護基本要求》中的各項要求标準,參加等保2.0測評的公司需在資料庫漏洞掃描、防火牆、審計、資料加密、脫敏、水印等産品上進行投入。
可見,在宏觀層面上,随着資料安全相關法案的釋出實施,因合規要求,也将帶動該産業的穩定增長。
換言之,在資料安全領域,目前還是一片藍海,增長空間巨大。
02 技術與需求的“安全悖論”
伴随着資料安全行業的增長,行業發展困局也逐漸浮現。
資料的生命周期分為采集、傳輸、存儲、處理、交換和銷毀六個階段,在各個階段對于資料安全的核心技術能力訴求都有很大不同。
在資料采集階段,使用者通路Web伺服器時會涉及資料分級分類、身份認證、權限控制等;在資料傳輸、交換階段,會涉及加密機、資料庫審計、資料動态脫敏、資料水印、資料防洩漏、通路控制、傳輸通道加密等;在資料存儲、處理階段,會涉及漏洞掃描、資料備份恢複、運維管理、資料加密、資料防洩漏、隔離儲存、使用者隔離等。
随着數字經濟的發展,資料處理場景也顯著增多,資料處理量級明顯提高,傳統的網絡安全技術已無法滿足目前資料量巨大、資料更新速度極快的場景。
資料安全技術作為新興技術領域,發展時間尚短,部分技術手段與解決方案正處在研究發展階段,缺乏應用實踐,無法有效保障資料安全。
例如數字血緣追蹤技術、資料字段打标簽技術等目前尚不成熟,對業務營運的影響有待進一步研究,大規模落地應用尚需時日。
加之目前大陸資料安全管理體系初步建立,《中華人民共和國網絡安全法》和《電信和網際網路使用者個人資訊保護規定》(工業和資訊化部令第24号)等法律法規提出資料安全和個人資訊保護原則性要求,但尚未明确技術手段建設的具體要求與處罰規則,無法有效推動企業開展資料安全技術手段的研發與應用。
部分企業礙于營運成本和系統性能等因素,資料安全技術手段投入較少,資料安全技術研發與應用相對滞後,分級分類、權限管理等部分管理要求難以真正落地實施,繼而影響企業整體資料安全保障能力。
資料安全三個階段
另外,大陸資料安全管理起步較晚,目前大部分企業面臨存量業務系統資料安全改造的難題。
一是資料資産梳理難度較大。前期企業内部各業務系統資料字段名稱不統一,資料類型繁雜、數量龐大,資料資産梳理作為資料安全技術手段建設的基礎工作難以有效開展。
二是影響業務現有系統性能,加大企業投入。資料加解密、脫敏等技術,一定程度占用系統資源,影響系統性能和使用者體驗,進行資料安全技術改造需要更新硬體裝置,增加企業成本投入。
三是影響業務系統運作風險較高。資料安全防護技術的改造往往伴随着核心系統的改造,難度較高,風險較大。
同時,資料安全技術改造屬于新興技術領域,目前企業可參考的成熟技術方案及實踐案例較少,企業顧慮較大。
長此以往,下遊客戶采購需求下降導緻上遊産品研發投入緩于預期,産品研發進度繼而跟不上下遊客戶需求,客戶需求又繼而下降......介于研發與需求之間的惡性循環就會無限上演。
其實,類似于上述的問題,不僅僅存于資料安全領域。然而,不同于其他行業,資料安全技術往往有不可預測性,是以往往更加依賴需求驅動。
例如,病毒入侵的方式有很多種,資料安全服務商無法最大程度預測到其攻擊方式,隻有經過長期的案例積累,才能不段疊代更新技術。
當下,這些問題已然成為資料安全産業發展亟待解決的問題。
03 安全市場,企業的“二八定則”
比起行業帶來困局,企業之間的競争格局更為嚴峻。
根據IDC《IDC全球網絡安全支出指南, 2021V1》報告,政府、通信、金融仍将是中國網絡安全市場前三大支出行業,占中國總體網絡安全市場約五成的比例。
例如,奇安信、天融信主要服務政府、公檢法司、軍隊軍工行業,三者占比均達到其年度總營收的50%以上。
另外,安恒資訊客戶主要分布在政府、事業機關、金融和教育領域;深信服2020年營收一半以上來自政府及事業機關;綠盟科技相較于其他幾家公司,則具有較高的營運商及金融領域客戶營收占比,2020年其比重分别達到21.48%、20.61%。
值得肯定的是,在資料的采集、傳輸、交換、存儲、處理與銷毀六大基礎網絡安全領域,天融信、深信服、啟明星辰在網絡與基礎架構安全領域深耕多年,核心産品曆經研發更新,在各自市場穩定占據着上司地位。
其中,安恒資訊專精于應用安全、安全管理及資料安全市場;奇安信領銜終端安全與安全管理市場;綠盟科技的IDS/IPS、WAF、ADS産品處于市場領先地位。
毋庸置疑,對于金融、通信、政府等安全要求更高的大型客戶而言,往往會選擇成立時間較久,發展穩定的頭部企業。這也側面對中小企業形成了較高的發展壁壘。
然而,除傳統圍繞資料的生命周期,沿着資料的采集、傳輸、交換、存儲、處理與銷毀流程直接與資料或者資料庫相關的産品外,還有一些産業與資料安全息息相關。
例如資料安全治理、身份與通路管理(“零信任”體系)、隐私計算等,他們為資料安全發展提供方法論和體系架構、引入新興技術和應用場景,已經成為未來資料安全産業的重要組成部分。
比如星雲Clustar就是通過金融場景打造隐私計算全棧技術解決方案。2018年,星雲Clustar獲得紅杉資本中國數千萬人民币的天使輪融資,之後又經曆三輪融資。
除此之外,還有成立于2017年的全知科技,其專注資料流動安全治理體系,其專注方向為資料安全方法論,研發出支援相關方法論的資料安全産品和工具,進而確定資料在安全可控的環境中流動。2021年,全知科技完成數億人民币B輪融資,該輪融資由紅杉資本中國、GGV紀源資本領投。
再加上最近大火的DevsecOps廠商懸鏡安全,其基于安全産品的布設使得其正在最近完成了數億元人民币的投資。
從成立時間以及融資輪次不難看出,這些資料安全領域細分賽道的企業,都已經建構出了不同方向的産品,以金融、制造等行業客戶為切入點,進行不同解決方案的驗證。
資料安全領域正在迎來新一輪的追捧。
04 下一個十年:雲上資料安全
除上述所提到的細分領域,一個不容忽視的領域是——雲上資料安全。
在雲時代的一個背景下,無論是頭部玩家還是中小玩家,想要在資料安全賽道立于不敗之地,做好雲上資料安全是大勢所趨。
據《2021中國企業上雲指數洞察報告》顯示,随着市場的發展,企業不斷尋找新方法新技術來提高自身管理效率,降低企業成本。現階段,56.8%的中國實體經濟企業選擇優先進行管理系統上雲。
在企業上雲的大趨勢下,同時也倒逼企業雲上資料安全需求的增加。
一方面,傳統環境下的安全問題在雲環境下仍然存在,比如SQL注入、内部越權、資料洩露、資料篡改、網頁篡改、漏洞攻擊等,另一方面,雲環境下又不斷湧現一堆新的安全問題。
在其中,冒頭的是各大雲計算廠商。
首先是阿裡雲,阿裡雲幾乎可以提供雲上所需的所有安全産品種類,是以阿裡雲也是業内“保姆式”雲安全的代表,字面意思就是可以為客戶提供近乎保姆式的安全服務,全面覆寫“衣食住行”。
阿裡雲的産品DDoS防禦,宣稱90%的攻擊可通過AI引擎自動防禦。産品WAF拿下Gartner、Forrester、Frost&Sullivan、IDC等四家國際知名咨詢機構的報告。作為雲上攻防對抗的核心,一直是阿裡雲的拳頭産品。
其次是騰訊雲,騰訊雲則釋出了中國首個網際網路安全實驗室矩陣——騰訊安全聯合實驗室。涵蓋雲鼎實驗室、反病毒實驗室、反詐騙實驗室等。緻力于安全技術研究安全攻防體系的搭建,其中更是涵蓋零信任、雲鏡等針對具體場景的安全産品。
另外,百度的雲計算業務也在幾經整合之後,和AI綁定在了一起。AI是百度的戰略核心,是以在百度雲安全領域,AI安全占據了大部分,同時也是百度安全所有攻防技術的核心。百度安全推出的BASS下一代人工智能安全技術棧,基本涵蓋了雲計算安全的各個方面。
除了BAT外,華為也早早布局雲上資料安全。在産品布局上,華為2019年公布了其三大安全體系,即防攻擊體系、資料安全體系、可信雲平台和雲服務體系。
需要關注的是,華為雲在私有雲安全方面有着自己非常明确的打發,那就是拉着生态夥伴一起打天下,旗下生态夥伴包括瑞星、天融信、奇安信等資料安全公司。
除此之外,京東雲、金山雲、青雲、UCloud等各大雲廠商在資料安全領域均有其布局和長處。
但值得注意的是,市場上雲服務廠商衆多,使用者往往将業務部署在多個平台上,通常涉及兩種不同雲計算提供商的基礎設施,多雲和混合雲的場景在國内市場上将會長期存在,是以多雲安全和混合雲安全正在成為雲安全解決方案需要解決的安全痛點。
從主機安全到程式安全,再到如今的雲上安全,一張張大幕正在被緩緩拉開。