(報告出品方/作者:中信證券,楊澤原、丁奇、潘儒琛)
創新之處
一、報告系統梳理大陸資料安全政策體系,提煉出安全與發展并重這一核心原則。 二、劃分資料安全需求為資料對象安全、資料彙聚安全、資料流動安全三大層次,分 析政府、電信、金融以及網際網路、汽車等重點下遊行業的需求特性,并探讨資料安全的潛 在落地範式。 三、認為資料安全是網絡安全行業成長的重要增量,助力網絡安全支出占 IT 支出的比 重提升,預計僅産品/平台/服務帶來的市場空間即為百億級;網絡安全公司憑借産品線擴 展能力、解決方案提供能力、行業客戶資源沉澱,預計短期将最為受益,中長期亦有廣闊 空間。
資料安全政策體系逐漸完善,以安全發展并重為核心 原則
數字經濟蓬勃發展,資料安全上升至國家安全層面
2021 年,《資料安全法》、《個人資訊保護法》開始施行,2022 年,黨中央、國務院 頒布“資料二十條”。大陸資料安全政策體系逐漸完善并落地執行,保障數字經濟發展。 資料成為國家基礎性戰略資源,價值與安全威脅同步顯現。大陸加快資料安全建設具 有三方面背景:1)數字經濟蓬勃發展。數字經濟以資料為關鍵生産要素,産業數字化、 數字産業化趨勢正在加快,《“十四五”數字經濟發展規劃》提出,到 2025 年,數字經濟 核心産業增加值占 GDP 比重達到 10%。2)資料安全威脅多發。資料具有可複制、可無 限供給等屬性,伴随各類資料迅猛增長,資料安全問題由沖擊個人隐私、商業秘密上升至 損害國家利益;根據 Risk Based Security 統計,2021 年全球公開披露資料洩露事件 4145 起,共導緻超 220 億條資料洩露。3)資料主權博弈顯現。經濟全球化推動各國經濟貿易 與技術交流,大量資料在全球範圍内跨境流動,或導緻國家關鍵資料資源流失,美國、歐 盟等頒布法案并進行資料安全“長臂管轄”,各國資料博弈緊張化。
《資料安全法》、《個人資訊保護法》落地,資料安全上升至國家安全層面,“十四五” 期間将加快建設。《資料安全法》首次獨立将資料作為保護對象,明确由“中央國家安全 上司機構負責國家資料安全工作的決策和議事協調”;《個人資訊保護法》專門針對個人信 息處理活動進行規範;《“十四五”數字經濟發展規劃》将資料安全作為數字經濟安全體系 的一環,要求建立健全資料安全治理體系。伴随資料安全“五法一典”出齊,2021 年成 為大陸資料安全元年,各地、各行業加快資料安全政策體系完善與落地執行,政企機構強 化資料安全建設,共同助力網絡安全行業高景氣度維系。2022 年 12 月,《中共中央 國務 院關于建構資料基礎制度更好發揮資料要素作用的意見》強調加快建構資料基礎制度,提 出“強化資料安全保障體系建設,把安全貫穿資料供給、流通、使用全過程”。2023 年 1 月,工信部等十六部門聯合印發《關于促進資料安全産業發展的指導意見》,提出到 2025 年,資料安全産業基礎能力和綜合實力明顯增強,産業規模超過 1500 億元,到 2035 年, 資料安全産業進入繁榮成熟期。
堅持資料安全與發展并重,發揮資料作為生産要素價值
大陸堅持資料安全與發展并重,安全是發展的前提,發展是安全的保障。《資料安全 法》對資料安全的定義為“通過采取必要措施,確定資料處于有效保護和合法利用的狀态, 以及具備保障持續安全狀态的能力”。這與《網絡安全法》中強調“國家堅持網絡安全與 資訊化發展并重”的原則相一緻。
資料安全是資料開發利用和産業發展之基,政企機構具有資料安全保護義務。大陸數 據安全政策的安全主線展現在:1)與等保、關基銜接。《網絡安全法》對等保、關基對象 已提出資料安全要求,《資料安全法》進行銜接,要求利用網絡開展資料處理活動,應當 在等保基礎上履行資料安全保護義務。2)貫穿資料全生命周期。在資料采集、傳輸、存 儲、處理、共享、銷毀等各階段,政企均需進行安全防護。3)資料分類分級保護。不同 類型、不同級别的資料,重要程度、可能造成的危害程度不同,應當比對不同的保護措施; 《資料安全法》要求建立資料分類分級保護制度,《網絡資料安全管理條例(征求意見稿)》 将資料分為一般/重要/核心資料,身份資訊、隐私資訊、生物特征資訊等也成為政策關注點。4)“管理+技術+營運”體系建設。資料安全不僅是技術問題,更是管理問題;《資料 安全法》規定,資料處理者要建立資料安全管理制度,也要采取技術措施保障資料安全, 還要加強風險監測;《個人資訊保護法》也在管理、技術、營運等方面提出要求。
2021 年以來,圍繞資料安全的監管動作密集,展現決策層、監管部門推進決心。2021 年 6 月,網絡安全等保測評報告模闆新版釋出,将資料作為獨立測評對象,單獨列出資料 安全測評結果;7 月,為“防範國家資料安全風險”,國家網信辦對若幹網際網路公司實施網 絡安全審查;2022 年 2 月,工信部決定在遼甯等 15 個省(區、市)及計劃單列市開展工 業領域資料安全管理試點工作,試點内容包括資料安全管理/防護/評估/監測以及資料安全 産品應用推廣、資料出境安全管理;2022 年 6 月,國家市場監管總局、國家網信辦決定 開展資料安全管理認證工作,鼓勵網絡營運者通過認證方式規範網絡資料處理活動,加強 網絡資料安全保護。我們認為,密集監管動作反映了國家對于資料安全建設的決心。
資料在合理有效利用與流動中發揮價值,對資料安全建設形成促進作用。資料安全不 僅僅是存儲環節的靜态安全,也伴随資料全生命周期,深入資料要素市場。對于資料交易, 《資料安全法》明确,“國家建立健全資料交易管理制度,規範資料交易行為,培育資料 交易市場”;對于資料跨境流動,《資料安全法》在明确資料主權的同時,提出“國家參與 資料安全相關國際規則和标準的制定,促進資料跨境安全、自由流動”。2021 年以來,北 京國際大資料交易所、上海資料交易所、廣州資料交易所等成立,探索建立資料流通機制。 未來,大陸資料安全政策體系預計還将圍繞資料權屬、資料交易等進行完善,以進一步釋 放資料價值與紅利:1)資料權屬,即所有權、使用權、收益權歸屬何方,以及相應的利 益配置設定機制;2)資料交易,即交易流程、定價等問題。
資料安全需求階層化疊代,行業落地範式各有特色
資料安全需求由 1.0 向 2.0、3.0 邁進,2.0 對應解決方案或成建設重點
資料安全建設強調“以資料為中心”,将強化政企機構資料安全意識與投資意願。根 據鄭雲文所著《資料安全架構設計與實戰》,資訊安全的中心是資訊,強調資訊及資訊系 統的保密性、完整性、可用性;網絡安全注重對網絡邊界和安全域的防護;資料安全則直 接指向資料,強調資料作為生産力的價值和主權。對比網絡安全與資料安全,網絡安全強 調的是計算環境——網絡空間的安全,進而保障計算對象——資料的安全。是以,網絡安 全是資料安全的前提,資料安全是網絡安全的一種展現,網絡安全涵蓋範圍更廣,但資料 安全更具針對性。我們認為,在資料安全時代,資料安全問題的重要性将進一步提升,與 業務的耦合程度也将更加緊密,政企的資料安全意識、投資意願有望得以強化。
資料安全需求包括 1.0、2.0、3.0 三個層次,正由 1.0 向 2.0、3.0 層次邁進。結合啟 明星辰公司提出的資料安全層次架構,我們認為,政企機構資料安全需求正由 1.0 層次向 2.0、3.0 層次邁進,在 1.0 層次強化合規産品采購,在 2.0 層次對應的“管理+技術+營運” 整體解決方案有望成為建設重點,在 3.0 層次進行隐私計算等新興技術探索。
1.0 層次為資料對象安全,側重于存儲/處理階段對資料庫、檔案的防護。典型需求為 資料庫審計、資料防洩漏等功能較單一的資料安全産品,驅動因素以合規為主。中國信通 院調研顯示,97%的受訪企業認為“合規需求”是開展資料安全建設的主要原因之一。伴 随政策體系逐漸完善與落地執行,政企機構 1.0 層次需求将大為擴充,強化産品采購。
2.0 層次為資料彙聚安全,站在政企機構的總體視角把握資料安全。典型需求為涵蓋 “管理+技術+營運”體系的資料安全解決方案建設,驅動因素由合規逐漸走向内生動力。 1)管理體系:明晰資料安全防護責任。結合政策要求、業務流程,形成自上而下的資料 安全管理體系,并以制度、流程等形式下發和執行。2)技術體系:由單品疊加走向産品 關聯。在資料全生命周期内,通過有針對性的産品組合形成資料安全防護能力,通過态勢 感覺平台對資料通路關系、内部流轉情況進行動态監測。3)營運體系:采購資料安全咨 詢、教育訓練、風險評估、審計認證等服務。以資料分類分級為例,由于政企資料資源分散且 對政策标準的了解程度相對有限,因而對于外部服務的需求強烈,交由專業機構進行資料資産梳理、分類分級并最終形成資料資産清單。2021 年 11 月招标的浙江省“智慧醫保” 安全運維及系統資料安全服務項目,預算達 2550 萬元,緻力于保障“智慧醫保”系統數 據安全、支撐醫療數字化改革全周期,項目建設内容即包括資料安全管理制度、技術防護、 營運服務等三大體系。
3.0 層次為資料流動安全,資料由政企機構内部向外部流動,涉及多主體、多方面訴 求。這一層次的典型需求為隐私計算等新興技術,驅動因素以内生動力為主,特别是金融、 醫療、政府等行業。隐私計算起步于 20 世紀 70 年代,融合密碼學、人工智能、計算機工 程等多學科,旨在實作資料可用不可見/得,四大技術路徑各具特色:1)資料流出、集中 計算——資料脫敏、差分隐私、同态加密。資料持有方對資料進行脫敏、擾動或加密等操 作後,分發給資料需求方進行集中式計算。2)資料流出、協同計算——安全多方計算。 實作方式包括混淆電路、秘密共享等。在一個多方系統中,互不信任的各參與方協同完成 計算,同時保證各自資料安全性;安全級别高,但複雜任務的運算性能較低。3)資料不 流出、集中計算——可信計算。實作方式包括可信執行環境、資料沙箱等。資料需求方在 安全可控環境下進行資料分析,适用于集中公共資料開放;可信執行環境通過軟硬體方法 在 CPU 中建構安全區域,保證内部加載的程式和資料得到保護,運算效率快,但受到對 硬體廠商信任度的制約。4)資料不流出、協同計算——聯邦學習。本質上是一種分布式 機器學習技術,采用分發模型在每個資料持有方就地計算,但模型難以完全保密。
政府強調資料彙聚與流動安全,電信、金融在業務中安全發揮資料價值
政府、電信、金融三大行業占據大陸網絡安全行業下遊的半壁江山,對資料安全需求 強烈且各有特色。根據 Frost&Sullivan 統計(轉自亞信安全招股說明書),按照投資規模, 政府、電信、金融在網絡安全行業下遊市場中合計占比超過 50%。三大行業面臨的合規監 管壓力突出,在資料安全行業的下遊依然地位重要。我們認為,政府需實作政務資料彙聚 與流動安全,第三方整體解決方案是潛在落地範式;電信業分支機構、業務合作夥伴衆多, 同樣需依托第三方整體解決方案建構資料安全流轉體系;金融業資料治理基礎好,但資料 價值的安全釋放難度高,隐私計算等新興技術是破題之道;此外,制造、醫療、教育等行 業也存在較突出的資料安全需求,短期内進行合規産品采購,中長期将強化整體解決方案 部署。
政府需實作政務資料彙聚與流動安全,開展監管平台建設,第三方整體解決方案是潛 在落地範式。政務資料具有兩大特點:1)海量、多元,來自不同機關,内容涵蓋經濟、 政治、社會等方方面面;2)安全問題至關重要,但安全基礎相對薄弱。根據《資料安全 法》,國家機關應當“建立健全資料安全管理制度,落實資料安全保護責任”,做好政務數 據開放和利用的安全管理。政府資料安全需求展現在:1)政務資料彙聚安全,對應第三 方整體解決方案,從大資料視角把握資料安全,如與城市安全營運中心相結合;2)政務 資料流動安全,伴随政務資料流動屬性顯現,資料從在内部委辦局間共享,到開放供公衆 查詢使用,再到形成資料産品,多地政府提出探索應用隐私計算等新興技術,如上海“滬 惠保”借助資料沙箱合規調用公共資料開放平台醫保資料;3)監管平台建設,工信部《“十 四五”大資料産業發展規劃》在資料安全鑄盾行動中提出建設資料安全監測系統,基于重 要網絡節點,建設涵蓋行業、地方、企業的全國性資料安全監測平台,形成敏感資料監測 發現、資料異常流動分析、資料安全事件追蹤溯源等能力。
電信業分支機構、業務合作夥伴衆多,需依托資料安全産品/平台/服務建構資料安全 流轉體系。電信營運商覆寫使用者群體龐大,根據工信部的資料,截至 2022 年 10 月,大陸 行動電話使用者總數達 16.82 億戶。伴随 5G 時代到來,營運商業務場景趨向複雜,終端接 入數、資料量爆發。此前,電信營運商涉及的資料安全事件多與分支機構、業務合作夥伴 有關。是以,電信業的資料安全需求展現為建構資料安全流轉體系:1)保障資料在内部 各分支機構、業務條線流轉,以中國聯通為例,其建立彈性的大資料安全組織體系、政策 體系,建設或自主研發大資料能力開放平台、資料加密解密系統、大資料追蹤溯源系統、 大資料安全網關系統;2)保障資料在代理管道、廣告商等業務合作夥伴處流轉,目前電 信營運商多通過合同協定要求業務合作夥伴遵循安全保密規定,但限制力相對有限,且僅 能在事後追究責任,可探索利用資料水印、資料脫敏等技術。
金融業資料治理起步早,但資料價值安全釋放難度高,新興技術是破題之道。金融業 資料治理起步早,央行、證監會已釋出多份行業标準,建行 2020 年初即啟動資料資産盤 點工作,形成全行資料資産目錄。結合中國銀行原行長李禮輝的觀點,金融業資料安全的 挑戰在于資料邊界交叉範圍廣:1)與工商企業、公立機構和國家機關共享場景,以觸達 客戶;2)與電信營運商等外部機構合作擷取資料;3)與科技平台直接或間接産生金融業 務。是以,如何安全發揮資料價值是金融業資料安全建設的關鍵。2021 年 2 月,央行明 确金融業資料能力建設要遵循 5 大基本原則:使用者授權、安全合規、分類施策、最小夠用、可用不可見;7 月,央行征信管理局要求網絡平台實作個人資訊與金融機構的全面“斷直 連”。證券時報報道,2020 年底以來,已有十餘家頭部大行、股份行以及部分城農商行立 項,尋求利用隐私計算等可信 AI 技術打通内部資料或接入外部資料,在零售信貸、合規防 控等方向進行嘗試。例如,建行與星雲 Clustar 合作搭建全行級的聯邦學習多方安全模組化 平台,是目前國内金融領域内首個完全落地的隐私計算商業化項目。
網際網路行業涉及業務合規、安全防護兩類需求,技術自研能力突出
網際網路業務合規是重點,自身需規範資料處理活動,同時需第三方提供咨詢/評估/審 計服務以及移動 APP 加強/檢測産品。網際網路行業基于資料驅動的業務——商業推廣、精 準營銷等存在的資料安全問題包括:資料過度采集、資料濫用等。國家網信辦釋出的《網 絡資料安全管理條例(征求意見稿)》在“網際網路平台營運者義務”一章中,針對産品和 服務差異化定價、最低價銷售、個性化推薦等問題提出要求。對應的業務合規需求将主要 由網際網路公司規範自身業務模式來達成,如蘋果公司 2021 年 4 月上線應用跟蹤透明功能, 谷歌也收緊個性化廣告規定,同時疊加專業機構提供的咨詢/評估/審計等服務;網絡安全 公司、移動應用安全公司開發的産品也有用武之地,如移動 APP 加強、隐私合規檢測系 統等。
網際網路公司掌握大量重要資料,資料安全防護能力建設是關鍵,頭部公司技術自研能 力強大,中小廠商側重于外部采購。2016 年 4 月 19 日舉行的網絡安全和資訊化工作座談 會指出:“一些涉及國家利益、國家安全的資料,很多掌握在網際網路企業手裡,企業要保 證這些資料安全。”對此,網際網路行業中的頭部公司多擁有專門的安全團隊,技術能力較 強。以商湯科技為例,其通用 AI 基礎設施 SenseCore 保障客戶資料安全的技術措施包括: 1)內建隐私計算技術,無需傳輸原始資料樣本,可直接使用客戶本地存儲的資料進行模 型訓練;2)提供資料脫敏和加密工具,隐去個人資訊并模糊字元、數字及人臉。根據 IDC 中國資料安全市場研究報告,螞蟻集團在業務實踐中形成一套體系化、智能化的資料安全 解決方案,依托機器學習、多方計算等技術建構的“智能度量智能系統”,每天能對上百 億的資料流動行為進行實時風險感覺及處理,如使用者授權支付寶上的第三方小程式調用個 人資訊,系統對調用行為進行檢測和保護。而對于中小網際網路公司,由于安全投入體量相 對有限,将更側重于采購、部署資料安全産品服務或解決方案。
汽車行業“新四化”趨勢下迎來資料安全問題,未來空間廣闊
汽車資料安全問題現階段集中在采集與存儲/處理合規上,外資車企或尋求資料托管服 務。汽車正迎來“新四化”趨勢,由于各類算法、模型需要龐大的資料量進行訓練,搭載 各類傳感器的智能網聯汽車收集的資料種類和數量爆發,一輛智能網聯汽車每天至少收集 10TB 資料。汽車行業現階段面臨的資料安全問題包括:1)采集,如過度收集重要資料、 個人資訊等;2)存儲/處理,如資料任意向車外傳輸、資料在遠端平台長時間存儲、重要 資料違規出境等。2021 年以來,汽車資料安全相關政策密集釋出,車企合規壓力顯現。 對于采集合規,車企将主要通過自身合規建設、購買咨詢/評估/審計等服務來實作,規範 重要資料、個人資訊、敏感個人資訊的處理活動;對于存儲/處理合規,特斯拉在境内自建 資料中心,也有外資車企選擇從境内的資料托管服務商處獲得資料管理和處理服務。
未來将在智能駕駛這一開放場景中實作資料全生命周期安全,車企與網絡安全公司等 正共同進行技術探索。伴随智能網聯汽車滲透率的提升,智能駕駛技術由測試階段邁向實 際應用階段,汽車資料安全将綁定開放場景,由合規需求走向安全防護需求:1)車與人/ 車/路/雲協同,涵蓋車内資料存儲/處理安全、遠端平台資料存儲/處理安全、資料傳輸安全 等;2)資料在汽車制造商、零部件供應商、軟體供應商、經銷商、維修機構以及出行服 務企業等之間安全流轉并發揮價值。網絡安全公司等第三方廠商發揮的作用将更加重要, 原因在于技術需求完整涵蓋采集層、通信層、平台層、應用層,需要生态内各方共同進行 探索;傳統資料安全技術需要結合新場景進行改進,比對智能駕駛特定需求。
資料安全成網安行業成長重要增量,網安公司将充分 受益
商業模式現階段以産品/平台/服務為主,隐私計算或催生收益分成模式
産品銷售構成資料安全行業基本盤,标準化程度高。資料安全産品“百花齊放”,技 術成熟度整體較高:1)技術已經成熟的産品集中在存儲/處理階段,包括資料庫審計/防護、 資料防洩漏、漏掃、加密、容災備份等,但性能有進一步提升空間;2)資料發現和識别 系統正由基于傳統技術向智能技術演進,算法成熟度處于優化階段;3)資料水印技術由 學術界走向業界,一些關鍵的技術問題仍有待解決。
平台建設形成資料安全态勢感覺能力,功能可配置,有望帶動産品銷售。啟明星辰、 綠盟科技、天融信、迪普科技、山石網科等網絡安全公司陸續推出這一産品,名稱各異, 如資料安全治理管控平台、資料安全營運平台等,類似于網絡安全中的“SOC+态勢感覺”。 資料安全态勢感覺平台的特點展現在:1)資料資産可視化,形成資料資産地圖,針對數 據流轉情況進行動态監測;2)安全能力集中化,對接資料安全産品以及部分網絡安全産 品,集中管控裝置告警,下發政策;3)營運分析體系化,監測資料安全風險。資料安全 态勢感覺平台體量大于資料安全産品,部分功能可根據政企機構情況進行配置,但标準化 程度較高,平台建設也可帶動資料安全産品銷售。
服務提供以形成資料安全整體解決方案,提升資料安全治理能力,專業性較網絡安全 服務更強。資料安全服務涵蓋安全合規評估/審計、安全咨詢、考試與教育訓練、安全托管、安 全運維、安全應急處理等,在形式上與網絡安全服務相似,既有遠端服務,也有駐場服務,但專業性更強,服務提供的主體也不限于網絡安全公司,還涉及咨詢機構、律師事務所等。 伴随資料安全政策體系逐漸落地,預計服務内容将從應急式、一次性服務,向常态化、完 整型服務轉變。
隐私計算或催生新興商業模式,收益分成将帶來持續收入。隐私計算現階段的商業模 式以項目制的系統建設為主,技術廠商為金融、政府、醫療等行業客戶提供平台的定制化 開發,以及軟硬體平台銷售,如星雲 Clustar 隐私計算軟硬體一體機、螞蟻摩斯多方安全 計算平台,應用場景包括金融風控、網際網路精準營銷、智慧醫療、政務資料共享開放等。 未來,隐私計算技術的潛在商業模式包括:1)提供模型更新、系統維護服務,将帶來持 續現金流入;2)根據業務運作效果擷取收益分成,這一模式能否落地取決于技術進展以 及供需議價能力;3)開源模式,如谷歌 Asylo、臉書 CrypTen、騰訊 FATE,開源後再通 過後續服務、技術更新等進行收費。
資料安全産品/平台/服務将達百億級市場空間,四類玩家同台競技
資料安全将成網絡安全行業成長的重要增量,助力網絡安全支出占比提升。根據 IDC 統計資料,大陸網絡安全支出占整體 IT 支出比重僅 2%左右,較海外差距明顯。工信部網 安産業發展計劃提出,到 2023 年,電信等重點行業網絡安全投入占資訊化投入比例達 10%; 上海市經信委負責人 2021 年 7 月透露,上海将明确政府和公共企事業機關在網絡安全上 的投入比例不低于 10%。我們認為,大陸資料安全政策體系的落地執行走在全球前列,數 據安全建設的地位大為提升,政企機構有望把網絡安全新增預算的重要構成配置設定至資料安 全,以彌補此前的建設不足和能力空缺。是以,資料安全是網絡安全行業成長的重要增量, 而非對網絡安全中傳統投入規模的擠壓。
資料安全産品/平台/服務對應的市場空間為百億級,未來或超越防火牆成為網安第一 大細分市場。測算方法 1:根據計世資訊、賽迪顧問統計,2019 年大陸資料安全市場規模 為 39.4 億元,網絡安全市場規模為 608.1 億元,資料安全占比約為 6.5%,與全球水準接 近;中國電子資訊産業發展研究院副院長劉文強指出,至 2023 年,大陸網絡安全市場規 模有望達到 1300 億元;僅考慮資料安全産品銷售、平台建設、服務提供三大商業模式, 假設大陸資料安全市場規模占網絡安全市場規模的比重提升至 10-15%,則大陸資料安全 市場規模有望達到百億元。測算方法 2:根據工信部《“十四五”大資料産業發展規劃》, 到 2025 年,大陸大資料産業測算規模目标值為突破 3 萬億元;我們假設資料安全相關投 入占大資料産業規模的 1%,潛在市場規模也為百億級。中國網絡安全産業聯盟《中國網 絡安全産業分析報告(2020 年)》認為,未來資料安全領域将成為融合多種能力、技術、 産品與服務的綜合型新興安全領域,有望超越防火牆成為中國網絡安全第一大細分市場。 工信部、國家網信辦等部委聯合頒布的《關于促進資料安全産業發展的指導意見》提出目 标,到 2025 年,資料安全産業規模超過 1500 億元,年均複合增長率超過 30%。
隐私計算大有可為,行業領域橫向延伸、縱向挖掘,或将帶來百億級市場增量。市場 增量展現在:1)行業領域橫向延伸,伴随資料安全政策賦能、隐私計算技術規範明确, 隐私計算有望在工業、交通、能源等行業也實作落地;2)行業領域縱向挖掘,由面向大 客戶定制化開發,到逐漸面向小客戶銷售标準化系統;3)商業模式演變。Gartner 預測, 到 2025 年,将有一半的大型企業機構使用隐私計算在不受信任的環境和多方資料分析用 例中處理資料。根據金融科技微洞察&KPMG《2021 隐私計算行業研究報告》的預測,三 年内大陸隐私計算系統銷售和服務收入有望達到 100-200 億元。
資料安全市場主要有四類參與者:網絡安全公司、資料安全創業公司、垂直領域 IT 廠商、IT 基礎設施廠商。1)網絡安全公司的産品線擴充能力、解決方案提供能力、行業 客戶資源沉澱強大,料将在短期内最為受益資料安全政策體系落地,中長期亦有廣闊發展 空間。2)資料安全創業公司具有細分領域技術優勢,但解決方案提供能力有待加強,隐 私計算初創公司處在商業模式和技術路線探索期,未來發展潛力巨大。3)垂直領域 IT 廠 商切入資料安全的門檻高,四維圖新布局汽車資料安全得益于長期的資源積累。4)IT 基 礎設施廠商,如優刻得、易華錄等憑借底座優勢發力資料安全,具有一定的協同效應。
網絡安全公司産品線擴充與解決方案提供能力、客戶資源沉澱強大
資料安全政策體系初步落地後,短期内即帶動網絡安全公司資料安全業務收入的高增。 我們認為,網絡安全公司發力資料安全業務的優勢展現在:1)産品線擴充能力強大,基 于政策了解、客戶了解、技術積累,能夠快速滿足客戶需求;2)解決方案提供能力突出, 整體解決方案是網絡安全公司做大做強的先手棋,助力實作資料全生命周期安全;3)行 業客戶資源沉澱豐富,特别是在政府、電信、金融等網安傳統下遊行業,網安公司優質客 戶數量衆多。對于資料安全需求的 1.0、2.0、3.0 層次,網絡安全公司将分别通過産品銷 售、整體解決方案提供、新興技術布局,進行深度賦能。
奇安信提供體系化資料安全解決方案,資料安全與隐私保護類創新型産品快速占領市 場。奇安信資料安全産品分為四個方面:1)傳統的資料安全産品,包括資料庫審計、數 據防洩漏、内容加密、電子資料驗證等;2)大資料環境中的資料安全産品——零信任, 解決細粒度的資料通路控制問題,做到“主體身份可信、行為操作合規、計算環境與資料 實體有效防護”;3)資料交易沙箱,以安全分離學習技術為核心,将資料以資産形式進行 交易和流通,具備資料通路權限管控、資料操作留痕審計、使用者行為風險分析、輸出結果 申報稽核等功能;4)APP 隐私合規和治理産品,包含特權衛士、權限衛士、API 衛士和 隐私衛士。根據奇安信公司年報,2021 年,奇安信資料安全與隐私保護産品競争力和市 占率快速提升,收入突破 11 億元,同比增長率超過 50%,高于整體營收增速(39.60%)。
安恒資訊始于資料安全,建構“CAPE”資料全生命周期防護體系,定增募資建設數 據安全島平台。安恒資訊英文名稱為 DBAPPSecurity,代表最初的業務方向即為資料安全 與應用安全,成立之初推出資料庫審計産品,後又推出資料庫防火牆;2015 年,釋出釘 釘密盾,為釘釘上企業提供資訊安全保障;2018 年,同杭州大資料局合作,啟動全生命 周期資料安全技術研究與産品研發;2019 年,承接公安部資料智能安全島課題,探索隐 私計算技術;2021 年,公司釋出 AiGuard 資料安全解決方案,以“風險核查 Check-資料 梳理 Assort-資料保護 Protect-監控預警 Examine”(CAPE)能力模型為核心,以建設數 據安全風險态勢感覺為目标。在定增募投項目中,安恒資訊資料安全島平台計劃總投資 4.76 億元,綜合應用安全計算沙箱、聯邦學習、MPC 等技術,配合關鍵行為數字驗簽和 區塊鍊審計技術,保障多方資料聯合計算過程的可靠、可控和可溯。根據安恒資訊公司年 報,2021 年,安恒資訊推出的戰略新方向相關産品如資料安全相關産品實作超高速增長。
啟明星辰是國内資料庫審計防護龍頭,助力建構無錫城市大資料中心安全體系,成立 杭州資料安全總部。啟明星辰自 2014 年以來長期位列國内資料庫審計防護市場的份額第一名;此後,公司陸續推出資料防洩漏、資料脫敏、文檔加密、堡壘機等各類産品,加上 最新推出的資料安全治理管控平台,共同組成資料安全整體解決方案。2021 年 12 月,啟 明星辰于杭州成立資料安全總部,釋出的資料綠洲技術架構是面向資料系統屬性、業務屬 性、經濟屬性的安全技術及管理體系,提出資料安全從 1.0 的資料對象安全,到 2.0 的數 據彙聚安全,再到 3.0 的資料流通安全的演化路徑。根據啟明星辰公司年報,2021 年,啟 明星辰資料安全業務實作營收 9.12 億元,同比增長 52%,其中資料安全 2.0 和 3.0 實作 營收 3.12 億元。
深信服提出“靈活開放、持續賦能、護航數字化”的資料安全理念,采用靈活開放的 安全架構來适應新的威脅與合規的發展。深信服将人工智能和機器學習技術應用在資料安 全,實作在智能分類分級、資料流轉監測和溯源等領域的突破。資料智能分類分級産品幫 助使用者通過智能算法進行标簽分級和分類,提升分類分級的效率和準确性。資料安全大腦 産品對資料通路以及共享流轉進行重點監測,基于行為分析模型對流量中潛藏的風險進行 分析和預警,實時展示資料的流轉通路與風險态勢。2021 年 7 月,深信服釋出智慧醫院 資料安全解決方案,建構以分類分級為基礎、資料安全大腦為中樞的防護體系,着力解決 醫院面臨的資料分類分級費時費力、資料資産難以梳理、資料流轉一頭霧水、資料風險無 法掌控、資料洩露難以定責等五大難題。
天融信深耕資料安全多年,率先提出“以資料為中心的安全技術架構”建設思路。除 資料庫審計、堡壘機、加密傳輸等通用産品以外,2012 年開始,天融信推出終端防洩漏、 網絡端防洩漏、資料脫敏、大資料安全防護、資料安全管控平台等資料安全專用産品;2017 年,公司開始布局車聯網安全,建構治理架構、評估規範,包括平台類、管控類、能力類、 服務類等四大闆塊。截至 2021 年末,天融信共釋出 9 類 33 個型号資料安全産品,可提供 3 類 14 項資料安全咨詢服務,已服務大資料局、能源、營運商、金融、稅務、海關等 10 多個行業,累計參與相關國家/行業标準 35 項。根據天融信公司年報,2021 年,天融信數 據安全收入 2.01 億元,同比增長 192.68%。
亞信安全資料安全治理平台覆寫“資料安全監控+資料安全管理+資料安全營運”三大場景,為資料安全治理提供一體化解決方案。針對營運商、政府、金融等行業資料安全建 設面臨的能力割裂、标準不統一、無法進行集中化管理等問題,亞信安全推出資料安全治 理平台,以資産發現、資料識别、事件監視、風險分析為基礎,通過安全營運和安全管理 使企業上下聚力合作,通過業務編排、能力排程将多種資料安全防護手段串聯在一起協同 工作,達成企業整體資料安全治理目标。亞信安全能夠為行業使用者提供資料安全治理整體 解決方案及咨詢規劃服務,該方案包括資料安全治理平台、大資料安全管控系統、資料資 産安全地圖、資料安全服務等部分。
山石網科釋出全新資料安全治理體系和全生命周期資料安全治理平台。山石網科圍繞 資料安全需求,以資料庫審計與防護系統、靜态資料脫敏系統、資料洩露防護系統為産品 基礎,逐漸完善資料安全綜合治理平台,打造以資料為中心的安全治了解決方案體系。山 石網科資料安全綜合治理平台可提供資料資産可視化、安全能力集中化、營運分析體系化、 制度流程标準化等功能,為後續推廣資料安全治了解決方案提供平台支撐。
電科網安資料安全體系能力在政務、網際網路等典型應用場景下得到驗證和應用,完成 首個網際網路遊戲場景下的資料安全标杆項目的落地。在戰略規劃上,電科網安提出以密碼 為核心的資料智能安全服務商的戰略定位,聚焦基礎安全、網絡安全、資料安全、安全應 用和安全服務五大業務。根據電科網安公司公告,2021 年,電科網安與世紀華通、易華 錄先後簽署戰略合作架構協定,資料安全是合作的核心内容之一。2022 年 1 月,電科網 安的個人資訊安全合規服務在遊戲行業實作商業化落地,電科網安将為世紀華通孫公司盛 趣資訊技術(上海)有限公司提供為期三年的個人資訊安全合規服務,保障盛趣公司建立 并維持個人資訊安全合規體系,合同總金額為 1.2 億元(含稅),這一合作具有代表意義。
創業公司、垂直 IT 與基礎 IT 廠商将憑借資源禀賦分别走出特色路徑
資料安全創業公司的優勢在于專注資料安全領域,具有發展路線選擇的靈活性。億賽 通、安華金和、明朝萬達等是國内早期的資料安全創業公司,陪伴行業由小衆走向新興, 梆梆安全開創了移動應用安全這一藍海市場。隐私計算近年來興起,成為行業的一股新風, 大量創業公司湧入賽道并獲得投融資,如華控清交、翼方健數等。
1、長期專注于資料安全領域,在細分領域具有技術優勢。以安華金和為例,2009 年 成立,創始團隊做資料庫核心起家;安華金和對資料庫通信協定解析的準确性、資料庫漏 洞挖掘能力、資料加密能力靠前,2017-2020 年,累計入選 12 份 Gartner 技術成熟度曲 線研究報告,是資料庫審計與保護、資料脫敏領域國内率先被推薦的資料安全企業;2020 年,公司成為工商銀行資料庫安全審計項目的供應商,也成為中國銀行脫敏項目的全國供 應商。值得注意的是,2021 年,公司提出由産品型供應商向綜合解決方案提供商轉變, 驗證完整解決方案是資料安全的潛在最佳落地範式。億賽通成立于 2003 年,由專業文檔 加密起步,再到資料安全防護領域,2019 年以來緻力于成為綜合資料安全廠商,是國内 最早自主研發資料洩露防護産品的廠商之一,根據賽迪顧問統計,安華金和 2020 年以 15.5% 的市場占有率排名第一。
2、在商業模式、技術路徑上擁有選擇的靈活性,未來成長路徑多元。以隐私計算為 例,衆多創業公司活躍于市場。在商業模式上,創業公司具有靈活性,有的由幫助客戶處 理資料而打入市場,之後再尋求隐私計算技術的提供。由于四大技術路徑各有優劣,根據 甲子光年報道,創業公司在 2020 年之後,根據客戶實際需求,融合使用各種技術路徑。 未來,擁有技術壁壘、積累客戶資源的隐私計算玩家具有更大發展潛力,展現在:1)把 握技術路徑,提升計算性能,與區塊鍊技術的結合也是未來一大發展可能,隐私計算或直 接原生在區塊鍊網絡平台上;2)深耕行業領域,對特定業務場景有深入見解,能夠提供 産品和解決方案,比對客戶資料流通體量、安全性要求。
垂直領域 IT 廠商或依托卡位優勢發力資料安全,但條件較嚴苛,對廠商自身禀賦、 意願要求高。對于金融、建築、汽車、醫療等垂直領域的 IT 供應商,切入資料安全賽道需 具備兩方面條件:一方面,已有業務與資料相關;另一方面,相較于網絡安全公司等專業 玩家,能夠更好比對客戶資料安全需求。 四維圖新密集收獲戴姆勒、沃爾沃、福特三大車企資料管理訂單,為資料安全合規業 務打開市場空間。業務突破主要得益于:1)主營業務與資料直接相關,2020 年定增募投 自動駕駛專屬雲平台項目,為車企提供自動駕駛仿真測試服務、測試資料集、服務研發平 台以及專屬雲平台搭建服務;2)汽車資料安全需求現階段合規導向強,特别是資料本地 化存儲/處理,四維圖新擁有的汽車行業 Know-How、本地化服務能力有用武之地;3)與 車企有長期合作,如為戴姆勒在中國銷售的 2020-2024 年期間量産上市的旗下所屬品牌的 全部乘用車提供導航電子地圖、ADAS 産品。四維圖新還積極開展汽車資料安全前瞻研究: 1)牽頭釋出車聯網資料安全監測溯源平台,用于政府監管;2)探索車-雲通訊安全技術研 究,牽頭“基于商用密碼的高精度地圖車雲安全通信試點項目”;3)參與設立國汽智圖, 建設“國家級”關鍵動态高精度基礎地圖服務平台,提供第三方動态高精度基礎地圖資料、 傳感器資料合規及存儲和高精度地圖測評等服務。
IT 基礎設施廠商憑借底座優勢發力資料安全。以雲計算 IaaS 廠商為代表的 IT 基礎設 施廠商在提供資料存儲、處理服務的基礎上,憑借底層算力優勢,發力資料安全業務。優 刻得自 2016 年起布局資料安全屋,形成可信資料沙箱、安全多方計算、聯邦學習等三大 平台,資料安全流通應用場景和案例數量靠前,在廈門大資料安全開放平台、上海大資料 中心、山東省公安廳、青島市公共資料服務平台等得到應用。易華錄在資料存儲、傳輸、 使用環節進行資料安全技術積累:存儲層,藍光存儲媒體可離線存儲,防病毒及電磁幹擾; 傳輸層,易華錄可利用資料集裝箱進行資料的高速、低成本遠距離傳輸;使用層,易華錄 資料治理能力可保證資料清洗脫敏,防止個人隐私及國家安全資訊洩露。
(本文僅供參考,不代表我們的任何投資建議。如需使用相關資訊,請參閱報告原文。)
精選報告來源:【未來智庫】。「連結」