信息安全行业的特点是“体制+产品(硬件+软件)+服务★★◆◆■■”共同作用,以行业技术为背景,由国家政策牵引、其他自组织和监管部门协调下促进行业的健康发展,服务于各传统行业中■■★◆。
三是加快提升基础安全能力,强化对网络攻击的威胁监测■★★★、全局感知、预警防护等能力,推动网络与边界安全类★◆、终端安全类等产品的创新和应用。
一是继续完善相关政策、法律法规及标准体系,构建从芯片设计到产品制造★■★、集成服务再到提供综合解决方案等完整的产业链■★◆■■;
产品提供商又可以分为硬件、软件产品以及服务提供商,其一方面直接将产品/服务通过直销或分销模式销售给最终客户,另一方面也将产品销售给信息安全系统集成商。
2017年初■◆,“首席安全官”发布了2016全球网络安全企业融资排行榜,显示在2016年融资额超过1000万美元的网络安全企业有51家◆◆■■★★。在安全事件频发,传统安全手段乏力★■■★★◆,更多创新和变革出现在安全行业之际■■★■◆◆,相关的投资也继续保持增长★★◆◆。预计2016年,网络安全行业吸引投资超过40亿美元,超过2015年37.4亿美元★◆★。
(数据来源◆■★■★:国家互联网应急中心,《2016年我国互联网网络安全态势综述》)
安全硬件分为安全应用硬件和硬件认证两个领域,主要产品包括防火墙、VPN网关■★★◆★■、入侵检测系统★■◆◆■★、入侵防御系统■★★■■◆、统一威胁管理网关、令牌、指纹识别、虹膜识别等。
图3 信息安全产品结构及分类(参考资料:《信息安全管理软件市场分析报告》,慧点科技)
Gartner报告中显示,受访企业中,72%的企业预算在500万美元到1000万美元之间,而现有预算超过1000万美元的企业中★■,有64%的受访企业预计将会增加支出。
随着政策的加快推动,市场增速正呈现不断上升趋势◆★,到2018年◆◆,预测我国信息安全行业市场规模有望达到514.88亿元,2017年、2018年行业增速预计将分别达到 22★■◆★.5%%和 23★★◆■.0%。
在DDos攻击防护方面,国外安全服务提供商采用相应技术手段来分解攻击■★■★,保证每一个单点的处理能力和切换都是可控的,而我国只能靠单点的大带宽来承受攻击。
英特尔公司安全研究团队发布的报告显示,美、英、法■◆、德等8个国家的71%的企业表示,由于安全人才匮乏,每年都会因网络攻击而产生重大经济损失◆★◆。
网络信息安全威胁已经由早期单一的破解口令■★、篡改网页◆■、破坏文件等向复杂的病毒传播、域名劫持、漏洞攻击、拒绝服务、APT攻击等多种手段发展★★,并严重破坏经济社会运行◆★■、盗取、商业秘密和个人财产发展。
随着政策的加快推动■■,市场增速正呈现不断上升趋势◆■,到2018年,预测我国信息安全行业市场规模有望达到514◆◆.88亿元◆■★◆★,2017年■◆■■■◆、2018年行业增速预计将分别达到 22.5%%和 23■■■◆◆◆.0%。
移动互联网、云计算、物联网等新兴技术促使互联网环境更加复杂,通过互联网所交互的数据包数量更加庞大,因此涌现出的新网络问题★■◆◆、安全问题、业务问题等都需要有相应的网络产品、安全产品支撑,显然我国在这方面的技术能力仍有待加强。
安全集成服务提供商则通常通过竞标形式参与企业级用户大型 IT 系统的信息安全建设项目◆◆■■★◆,为用户提供产品和服务。
信息安全企业应打造自主的“专精特新”技术产品体系,将技术创新作为企业发展的源动力,着力发展安全可控核心关键技术,形成技术优势■◆★,同时★◆★■◆,又应打破恶性竞争循环★★■■,强化产业链控制能力,加速研发推广新产品、新服务以不断提升用户体验★◆★。
资本热情的提升显示市场热度显著升温,资本的持续投入将助力产业整合加速发展。
到2020年,物联网总体安全市场将达到8.455亿美元★■,预计2013年至2020年期间的物联网安全年复合增长率将达到24%。
2016年11月7日★★■◆◆★,中国《网络安全法》获得通过,并将于2017年6月1日起施行◆★★◆;
随着技术水平的提高,组织变革和更多可扩展服务的提高,IoT安全市场将在2020年之后以更快的速度增长。
2016 年年初■★■★★,网络安全被正式划入“十三五”规划重点建设方向◆★,在政府未来 5 年的 100 项重大建设项目中排在第六位;
由于薪酬和福利等吸引人才的条件不足,传统安全企业的大量人才流入国外企业或者BAT等互联网公司,顶尖安全专家日益匮乏。
从产业结构看◆■■◆★,信息安全产业由硬件、软件和信息安全服务构成,其产品可以分为三大类、十二小类、百余种产品,细分程度非常高。
从产业链构成看■★◆,信息安全产业链上主要包括信息安全产品提供商及信息安全系统集成商◆■◆◆★★。
Gartner预测,到2020年◆★■■,40%的企业将会建立★★◆■“安全数据工厂”来存储监测数据以支持后续的分析◆★◆★◆。
信息安全行业分散格局的重要原因是信息安全贯穿整个信息流链条,涉及几乎所有信息设备与软件,单个信息安全企业无法掌握全部信息安全技术,只能根据自身技术优势和渠道特点进行差异化定位,选择部分细分领域参与竞争。
IDC(国际数据公司)称,中国企业的产品通常还集中在某一个点或面上◆◆★,还没有形成完备的产业链和生态体系■◆■★◆,从基础软件到应用软件■◆★,从网络设备到服务器等还不成体系。
从产品维度看◆◆■■,信息安全市场可分为安全硬件、安全软件和安全服务三大类,十二小类,约百余种产品。
权威数据显示,最近3年,我国高校学历教育培养的信息安全专业人才仅有3万余人■■★■◆★,不足70万需求的5%★◆★★■。预计到2020年,需求量将达到140万人,而现在每年培养的人数★■◆◆,尚不足1.5万人。
企业用户应转变安全防护意识■★■,树立从被动安全向主动安全★◆◆★,从事后补救向主动防御■■★■★,从单一系统防护向安全整体布局转变★◆◆。同时■◆◆★,在突发事件发生时★◆★■■,能够冷静分析,果断采取应对措施★■■★◆■。著名咨询机构Gartner研究总监Jonathan Care也指出,事件发生时首先要关注其根本原因■■★★◆,集中技术资源解决关键问题。
国际知名咨询机构Gartner指出★◆■■★◆,以持续监控和行为分析为核心引擎,建立具有“攻击防护+入侵监控+响应能力+风险预测★◆”特点的、循环持续的自适应安全架构◆◆,或将成为企业安全防护的一大趋势。
攻击技术的发展使得反制和追踪攻击行为变得越来越难,网络信息安全呈现出易攻难守的局面。
到2020年年底★★★■,物联网项目中的风险和安全管理成本的将从目前的0%增长到2%。大多数安全产品使用的还是描述和诊断分析,但从2014年起,出现了UEBA、以数据为中心的审计和保护、IAM和特权管理等安全产品◆■★,已经使用了高级分析■★。这种趋势将会持续■★■■★,2020年,大多数的安全产品将会融入预测分析。
数据来源:智研咨询《2017-2022年中国信息安全行业市场分析预测及投资前景分析报告》
随着网络信息安全事件持续频发★★■,世界各国纷纷加大了在网络信息安全产业方面的投入,并将此提升到了国家战略的层面。有效应对网络信息安全问题所带来的威胁★★◆,需要政府◆■★★、企业和用户三方共同努力,构建正确的网络信息安全全局观,加强政企合作◆★■★,持续加大安全投入,推动安全技术创新★★,多维度、多层级、全方位推进,形成拱卫之势。
在APT攻击检测和防御方面◆◆★★★■,我国技术实力较弱◆★★★■,不能及时发现APT攻击,无法对其分析取证◆★,难以掌握整个攻击过程,并缺乏有效的反击手段★◆◆。
数据显示,我国信息安全产业规模自2012年的157.26亿元上升至2016年的341.72 亿元■■★,五年内年均复合增速达到21.41%。
从安全领域看,信息安全包括传统安全、移动安全◆★■★■★、云安全、工控和物联网安全、大数据安全等多个领域★◆,并随着信息技术的发展而不断扩大领域范围。
政府、电信◆★★◆★★、金融★■★★、能源、军队等重点行业,教育、电商、交通等新兴行业对信息安全产品、服务的需求强劲,拉动了信息安全市场的整体需求◆■★★◆。
Gartner数据显示★■◆★,2016年企业的安全预算(包括人员)较2015年上升了18%,并预计在2017年将进一步增长★◆■★★。
当前,移动互联网、云计算、大数据、物联网蓬勃发展,与各垂直行业不断跨界融合■★★★,互联网对现实世界产生了前所未有的影响。与此同时★■,安全的内涵也发生了变化,IT、OT、IoT甚至是物理环境都面临新的挑战。显然■■◆,全球各国、各领域■★◆◆★、各行业也都认识到了这个问题,因此过去几年■◆◆■★★,信息安全特别是网络信息安全备受关注★◆■。
安全软件分为安全内容与威胁管理★■◆■■◆、身份管理与访问控制和安全性与漏洞管理三个领域,主要产品包括防病毒软件、Web应用防火墙、反垃圾邮件系统、数据泄露防护系统、数字证书身份认证系统、身份管理与访问控制系统、安全评估系统、安全事件管理系统、安全管理平台等。
与发达国家相比,我国信息安全领域的产品标准以及跨领域的安全标准研究仍有待加强,国家网络与信息安全标准体系有待完善。
网络环境下的信息安全体系是保证信息安全的关键■■★■■◆,包括计算机安全操作系统、各种安全协议■■★★、安全机制(数字签名、消息认证、数据加密等),直至安全系统■■,如UniNAC、DLP等,只要存在安全漏洞便可以威胁全局安全■◆★◆★。
信息安全产品的细分程度较高,不同的细分市场领域有相应的专业厂商,安全厂商主要可以划分为七大类:物理安全、网络安全★◆◆■、主机安全、应用安全、安全管理■◆■◆、移动与虚拟化安全■★、工控安全。
信息产业包含成千上万的从业者、各种供应商■★◆,以及各类软件、硬件设备等◆◆◆★■■,因此,从上游的电信运营商到下游的信息企业公司等★■,应建立统一的规范标准。
国产基础软件尤其是核心产品如操作系统★★◆、浏览器等基本都依附西方技术标准■★★,没有自己的编程语言和开发工具。
核心部件、核心设备依靠国外厂商提供配套资源,自己未掌握核心生产能力、核心技术的研发能力■◆,导致信息安全核心元器件、核心设备乃至产业发展受制于人。
基础设施安全类、终端安全、数据安全■■◆◆、应用安全◆■★★◆★、身份与访问管理■■■★■、云安全、移动安全、网络空间安全、业务安全、工控安全、安全管理◆■■◆、安全服务。
2017年,网络信息安全产业在政策、需求、资本的驱动下将迎来更加快速稳定的发展,顶层设计更加清晰★■■★◆,产业规模不断增长,资本的持续投入将助力产业整合加速发展。
