网络安全行业,正迎来顶层规划及法律法规的密集发布。
7月份以来,《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》(以下简称《行动计划》)发布,《网络安全审查办法(修订草案征求意见稿)》(以下简称《审查办法》)也在公开征求意见,《网络产品安全漏洞管理规定》和《数据安全法》将于9月1日正式施行。
工业和信息化部最新公布的统计显示,今年上半年,网络信息安全产品和服务共实现收入732亿元,同比增长26.0%,增速较一季度提高1.2个百分点,更是超过《行动计划》中提出的15%年均增速目标。
政策推动之下,网络安全产业的新一轮景气周期正加速而至。
网络安全行业预期规模扩容
按照《行动计划》的目标,到2023年,网络安全产业规模超过2500亿元,年复合增长率超过15%。相比2019年的规划,目标规模扩容了25%。
2016-2023年中国网络安全市场规模分析
这一增速目标,让腾讯安全战略发展中心行业安全专家组负责人陈颢明“眼前一亮”。
“《行动计划》提出,电信等重点行业网络安全投入占信息化投入比例要达10%。此前,网络安全在部分地方的安全发展规划中有所提及,但这次征求意见稿,则是从全行业的角度进行了规划,对整个行业将有极大的推动作用。”他说。
和陈灏明一样,此次《行动计划》是继“等保2.0”(即“网络安全等级保护制度2.0国家标准”)发布之后又一网络安全领域的国家顶层政策,网络安全的国家战略地位得到进一步巩固。
2019年,工业和信息化部出台《关于促进网络安全产业发展的指导意见》提出,力争到2025年,网络安全产业规模将超过2000亿元。
最新的《行动计划》则有新的目标:2023年,网络安全产业的规划目标将超过2500亿元。对比而言,不仅时间提前了两年,目标规模也扩容了25%。
数据安全市场有望成为新蓝海。9月1日,《数据安全法》将正式施行。对此,奇安信集团总裁吴云坤表示,《数据安全法》作为数据领域的“上位法”,确定了数据流转过程中组织、个人的安全责任和义务,明确了监管要求。
同时,《数据安全法》明确了政府、企业、社会相关管理者、运营者和经营者的数据安全保护责任,消除数据活动的“灰色地带”,形成制约机制,及时遏制住与国计民生相关的数据随意共享和流转的不良势头。
“这将确保城市的管理运营者、关键基础设施的运营者、企业经营者等相关数据运营方,把数字化转型过程的安全作为首要前提,在数据采集、共享、流转和应用等环节中,加大对数据安全的投入,完善保护体系,提升数据安全能力和水平。”吴云坤表示。
规划不断出台,行动逐步落实。2019年至今,工业和信息化部已责令2000多家违规APP运营商进行整改。2021年以来,包括作业精灵、极速体育、高旅纵横在内的约250款APP被下架处理。
7月下旬,在前期APP专项整治的基础上,工业和信息化部又启动了为期半年的互联网行业专项整治行动(下称“专项行动”),其中,扰乱市场秩序、侵害用户权益、威胁数据安全、违反资源和资质管理规定等是重点治理内容。
政策红利为网络安全产业打开了新的增长空间,头部企业肩上的责任则在加码。一系列监管制度的出台,从政策层面强化了网络安全管理,对相关企业的产品和服务、系统化建设等提出了更高要求,促使网络安全企业持续提升科研实力。
地方规划重点建设加码
网络安全也被地方政府纳入“十四五”规划的重点建设范畴。在5G安全、云安全、AI和数据安全方面,具有关键领域专项技术优势的公司将大有可为。
日前举行的2021世界人工智能大会安全高端对话会上,上海市经信委软件和信息服务业处处长裘薇透露,正和相关部委办协商,在今年发布的网络安全“十四五”规划以及即将发布的网络安全产业行动计划中,进一步明确政府和公共企事业单位在网络安全上的投入比例不低于10%。
此外,安徽省正组织编制“十四五”网络安全和信息化总体规划及网络内容建设、网络安全、信息化等专项规划;《浙江省数字经济发展“十四五”规划》提出,加强重点行业网络安全防护,提升网络安全态势感知、主动防御、监测预警、安全防护能力等;《广东省数据要素市场化配置改革行动方案》近日出炉,成为全国首份数据要素市场化配置改革行动方案,预计到2021年底,广东省内初步构建起统一协调的公共数据运营管理体系等。
华创证券发布研报称,在下游需求释放方面,政府和公共企事业单位为建设重点。产品需求上,结合我国正逐步迈入主动安全防御时代、“云大物移”蓬勃发展,对云安全、物联网安全等新场景解决方案需求较大,对能够融入大数据、人工智能技术提升主动防御能力的产品有迫切需求。
相关网络安全上市公司高管表示,作为新基建的重要支撑,网络安全相关规划在上海、广东等地率先落地,将带动全国范围加大发展网络安全产业的趋势。“十四五”期间,网络安全产业将作为地方的支撑产业获得更多支持,产业聚集效应将更加显著。
“政策红利为网络安全产业打开了新的增长空间,地方性规划的陆续推出,将进一步激活网络安全产业的发展。”安恒信息相关人士分析称,近年来,我国云计算、大数据、物联网等新技术的快速发展,在推动新兴技术市场不断增长的同时,也催生了新的安全需求和新的应用场景。新技术、新场景下,防护对象改变,企业网络边界逐渐消失,政府和企业网络信息安全防护理念发生较大变化,网络信息安全不再是被动的修补模式,而是与信息系统建设同步规划。尤其是多云共存、混合云为主的场景,使云安全等领域获得更多关注。
未来,网络安全产业的机会将主要集中在哪些方面?目前,不少地市将网络安全作为“十四五”规划的重点内容,持续扶持网络安全行业,具有生态引领能力的领航企业将获得鼓励,有专精特新技术优势的创新企业将获得支持。
7月19日,工业和信息化部网站公示第三批专精特新“小巨人”企业名单,永信至诚等多家网络安全服务“小巨人”企业上榜。陈颢明表示,在5G安全、云安全、AI和数据安全方向,面向新设施、新要素的安全设施和产品服务,将拥有广阔的市场空间,具有关键领域专项技术优势的创业公司将大有可为。
龙头公司发展势头高涨
从已发布的业绩预告看,大多数网络安全板块的上市公司上半年营收增速超过20%,显示了行业需求旺盛的趋势。网络安全龙头企业更是增势强劲。
今年上半年,启明星辰营业收入同比预增约60%,较2019年同期增长约37%;卫士通新签合同、销售收入及回款等指标均大幅上升,预计收入同比增长约95%;美亚柏科营收预增20%至35%,同期净利润预增100.35%至127.07%,公司军工、刑侦、企事业等细分行业新签订单均较去年同期增长;实现营业收入约3.64亿元,同比增长约107%,在主机与网络安全产品、检查检测产品快速增长的基础上,数据安全产品高速增长,公司上半年预计将扭亏为盈;数字认证同样预计扭亏为盈,公司预计上半年实现营业收入2.9亿元至3.1亿元。
此外,数据安全市场的增长潜力也引发了不少公司的前瞻性布局。
布局了数据分类分级、标识、防护、监管等产品,形成了数据全生命周期管控解决方案;北信源与华为在大数据与人工智能、互联网通信、移动办公、数据安全、云计算等领域深入合作;安恒信息日前发布数据安全整体解决方案,包含CAPE数据全生命周期防护体系、数据安全咨询服务体系、AiLand数据安全岛、AiTrust零信任解决方案、AiDSC数据安全管控平台、EDR与数据勒索防护等六大产品服务。
新变化构建行业新格局
在数字化转型过程中,企业希望云服务的供应商能够同时提供云安全的服务。因事关网络安全,相关公司赴海外IPO的政策也有了新规定。
“新的监管政策下,不仅企业安全服务的采购逻辑将发生改变,企业的品牌口碑、行业影响力,乃至一些企业的组织结构也都将会产生调整。首席数据安全官、首席风险官等职务,将不断产生,并将发挥关键职能。”陈颢明预测道。
据了解,在与客户沟通时,多家网络安全公司负责人已经明显感受到企业对数据安全的关注度在大幅提升。
陈颢明分析称,不少企业正在找腾讯及其安全生态合作伙伴进行数据安全的规划和评估,涉及企业生产、供应链和软硬件产品的安全管理和系统开发的全过程安全,金融、电信、能源、交通类企业更为明显。
“在数字化转型过程中,企业希望云服务的供应商能够同时提供云安全的服务。数据安全领域的检查要求不断提升,加密算法的更新改造,以及敏感数据的分类分级保护等服务需求也在明显提升。”陈颢明说。
此外,因事关网络安全,相关公司赴海外IPO的政策也有了新规定。《审查办法》对赴境外上市的公司作出了特殊规定,要求掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查,且在申报材料中应提供拟提交的IPO材料。
在审查关注的国家安全风险方面,针对赴国外上市行为新增了两条:一是核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险;二是国外上市后核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。
中国信息安全研究院副院长左晓栋,长期参与我国网络安全重大政策法规研究起草工作。在他看来,即使没有网络安全审查制度,相关企业也应该重视这项工作。因为《数据安全法》第三十条已经对重要数据处理者规定了“定期开展风险评估”的义务。《个人信息保护法(二审稿)》第五十四条也规定了“合规审计”的义务,第五十五条规定了“事前进行风险评估”的义务。
因此,可以明确的是,从现在起,所有的数据处理者,特别是掌握了批量个人信息或重要数据的大型互联网企业、公共服务机构,以及已经在国外上市的互联网企业,要自行组织或者委托专业机构对本企业数据处理的合规性,特别是其数据处理是否可能影响国家安全,抓紧开展自查。
