互联网网安需求催生千亿市场

互联网+时代 网安需求催生千亿市场 目前，网络安全成为热门话题，国内网络安全市场方兴未艾，在国家队与 民间队、互联网巨头与中小企业、黑帽子与白帽子的竞争之下，一个千亿规模 市场正在起航。近日，每日经济新闻记者采访调研多家知名网安企业，解 读行业变化趋势，通过与权威专家的深入对话，深度还原产业发展背后的现实 困境。 过去十年，信息安全并不被大多数企业重视。相关机构统计显示，国内大 中型企业在过去一年内因信息安全事件平均每家损失达 240 万美元。而每年计 算机及网络犯罪活动带来的损失超过 4450 亿美元。每日经济新闻记者注意 到，来自网络的威胁已经不再仅限于传统 IT 系统，已经扩展至传统工业基础设 施。国内网络安全市场规模也呈爆发式增长，企业级市场有望从目前的约 100 亿元规模扩张到千亿以上。有业内人士预计，目前国内网安市场还在起步阶段， 未来可能催生万亿级别市场。 网络威胁掣肘“互联网+” 截至 2014 年底，国内网民规模达 6.49 亿。与互联网行业飞速发展形成鲜 明对比的是，网络安全市场的明显滞后。广发证券研报认为，国内网络安全市 场从规模上仅增长了 23 倍，年均复合增速约 17%，远低于互联网发展速度。 这种不平衡的发展,显示了我国企业对信息安全的重视程度不够，大量的主机在 互联网上仍处于“裸奔”状态。 国家计算机网络应急技术处理协调中心今年 5 月发布的2014 年中国互联 网网络安全报告（以下简称2014 年网安报告）显示，2014 年， CNCERT/CC 共接收境内外报告的网络安全事件 56180 起，较 2013 年增长了 77.5%。 网站数据和个人信息泄露仍是泄露事件的重灾区。2014 年网安报告认 为，数据泄露事件仍频繁出现，移动应用程序成为数据泄露的新主体。2014 年， 订票、社交、点评、论坛、浏览器等国内多种知名移动应用发生用户数据泄露 事件。 医疗行业、物流行业、零售业等传统行业，其数据大多是用户的真实身份， 而且这些行业的网络安全意识相对落后，信息技术基础薄弱，随着线上业务与 线下业务交融，这些行业逐渐成为隐私泄露的重灾区。 2014 年网安报告最新披露，网络攻击威胁日益向工业互联网领域渗透， 已发现我国部分地址感染专门针对工业控制系统的恶意程序事件。针对工业控 制系统的攻击方法和手段已逐渐成熟，并有能力影响物理生产运行环境。 卫士通董事长李成刚在一次会议上公开表示，互联网的时代，信息安全 将作为互联网+的核心基因，也将连通各行各业。网络空间已经延伸到了传统产 业的方方面面，但“互联网+应用”中很多时候应用对象不重视网络安全。 在“中国制造 2025”的国家战略下，“互联网+工业”成为推动制造业向 智能化发展的重要支撑。这打破了工业网络与公共互联网之间的物理隔离，使 得工控系统不可避免地面对来自互联网的各种潜在的网络攻击威胁。不同于传 统 IT 系统，工业控制系统直接与物理现实世界相连接，其网络攻击一旦成功， 可能造成重大经济损失、物理和人身伤害。一位长期从事网络安全业内人士透 露，目前国内很多工厂的智能阀门等工控系统一度处于“裸奔”状态。 事实上，这也是全球范围内的“老大难”问题。长江证券研报显示，从 2012 年全球各个行业成为网络安全目标的份额来看，制造业占比 24%，位居各 个行业之首。而据不完全统计，超过 80%涉及国计民生的关键基础设施，依靠 工业控制系统来实现自动化作业，工业控制系统已是国家安全战略的重要组成 部分。 市场规模从百亿到千亿 层出不穷的信息安全事件引起企业重视，进而转化为信息安全需求，驱动 信息安全行业景气度提升。在安全事件频出之时，也有乐观的声音认为，安全 防护有望一改过去在 IT 建设中无足轻重、可有可无的尴尬境地，信息安全产业 迎来难得机遇。“我们依然处在快速成长阶段。”在卫士通董事长李成刚看来， 我国在安全领域的投入还比较低，主要投入不到信息系统投入的 3%，仅占整个 IT 产业的 2%左右，而欧美国家的这一比例通常在 8%10%。 网络安全的投入不足也让诸多企业付出惨重代价。依据普华永道的调查报 告，2014 年，受访的内地和香港大中型企业在过去一年内因信息安全事件平均 每家损失达 240 万美元，同比增加 33%。 网络安全和互联网产业之间的发展差距正在缩短。2014 年开始，高层开始 高度重视网络安全工作，成立中央网络安全和信息化领导小组，中共十八届四 中全会明确提出加强互联网领域立法，政府工作报告首次出现“维护网络安全” 表述，相关管理办法和指导意见先后出台。“没有网络安全，就没有国家安全； 没有信息化，就没有现代化。”这句高层指示成为中国网络安全备受重视的最 佳写照。 招商证券认为，传统的网络安全需求主要局限于企业和个人，国家网络空 间安全需求的出现不仅使得网络安全含义立体化，也使得行业市场空间将从目 前的一两百亿扩展到千亿元以上，网络安全公司的市值空间将被打开。 随着物联网、云计算等新技术的发展，以及“互联网+”不断开拓的需求， 国内网络安全市场迎来高增长时代。李成刚透露，从狭义的信息安全概念来看， 2014 年的国内网络安全产业规模达到 321.3 亿元，比 2013 年增长 21%。 在业内人士看来，这个市场的规模远远不止数百亿。一位四川网安企业高 管表示，“网络安全意识正实实在在传导到市场，我们已经感觉到市场是在加 大投入。” 事实上，在四川省 2015 年推出总投资近 3 万亿元的重点项目投资计划中， 信息安全等产业投资成为投资重点，信息安全产业发展的新目标是 2020 年达到 1100 亿元，带动相关产业规模突破 3800 亿元。 而四川大学计算机网络与安全研究所所长李涛表示，现在股市上最火的就 是 IT 方面，尤其是信息安全。由信息安全带动整个国产化是一个大的战略，有 专家估计，可能催生的市场大致上万亿。 市场格局 网安国家队民营队共存谁能成长为“大树” “中国信息安全界有数千家企业，但目前还只是一片草地，做得比较好的 企业，也只是长得比较高的草而已。这块草地上还没有树，更没有参天大树。 ”在近日的一次券商大会中，意外亮相的卫士通（002268，SZ）董事长李成刚 这样说。 接入互联网 20 余年的中国，为何迟迟未见网络安全龙头企业？谁可能成长 为“大树”？国企阵营中，以卫士通为代表的企业从不讳言自己要做“网安国 家旗舰队”的目标，其资金实力雄厚、背靠央企集团是明显优势；另一边，以 BAT 为代表的民营企业也加紧布局，将网络安全视作未来盈利的重要业务。 阿里安全研究实验室总监云舒在接受每日经济新闻记者采访时表示， 网安是个快速变化的行业，相比国企，民企更能快速反应，为抢占前沿市场甚 至不惜放弃既有的业务份额。 行业处草莽阶段 广发证券研报显示，我国的网络安全市场个体相对较小，尚未形成具有全 局影响力的大公司。“这还是和企业只为看得见的东西买单这种根深蒂固的观 念有关。”云舒认为，长期以来，大家对只花钱但不赚钱的网安服务不重视， 即便是要在网安上投入，也更情愿买看得见摸得着的设备。大量企业主体对网 安的重视度不够，久而久之导致我国的网安产业和公司逐渐与海外拉开了距离。 据 Choice 数据端统计，A 股市场上，网络安全板块的上市公司有 20 家： 联络互动、旋极信息、浪潮信息、飞天诚信、二三四五、东软集团、任子行、 蓝盾股份、美亚柏科、星网锐捷、威创股份、卫士通、国民技术、拓尔思、航 天信息、启明星辰、北信源、立思辰、绿盟科技和梅泰诺。 其中，卫士通、绿盟科技、启明星辰等公司，是较早进入网络安全行业并 以此为主业的企业代表。用李成刚的话来说，这些先行者也是在网络安全草原 上长得比较高的几株苗子。 一位不愿具名的资深网安研究者分析，从产品来看，每个细分领域都有龙 头。如卫士通是信息加密及身份认证方面产品的龙头；启明星辰在国内入侵检 测、漏洞扫描市场的占有率第一；绿盟科技的优势在于入侵检测和入侵防御。 “不过，我国的网安企业的主营业务仍是卖产品，相比安全硬件和软件，安全 服务的市场份额并不大。”他表示。 广发证券研报称，网安硬件占产业总份额 49%，安全服务和安全软件分别 占整个产业的 27%和 24%。而从全球市场来看，安全服务占 57%，安全软件和安 全硬件分别仅占 27%和 16%。虽然我国安全行业与国外总体技术水平差别不大， 但产业结构却有根本不同。 事实上，网安行业的市场趋势正悄然生变。上述资深网安研究者表示，以 网络安全行业最发达的美国为例，名列前茅的网安公司是基于大数据存储和分 析能力，将众多类似客户放在同一个平台上，对其进行安全监测和预警服务的 方式。国内的网安企业同样如此，谁越能抓住平台化、大数据化、服务化的主 流技术和市场方向，从卖产品为主转变为平台化服务，谁就越有机会成长为 “大树”。 互联网巨头抢地盘 除了主业是从事网络安全的传统企业外，面对网络安全的蓝海，互联网巨 头公司们也涉足其中。李成刚认为，跨界竞争对网络安全产业发展带来新挑战， 除了央企以外，集成商、互联网公司、网络设备商也在进入安全领域。“比如 阿里，后台有上千人的队伍在保障淘宝天猫、支付宝的交易安全。” 今年 4 月，百度宣布全资收购安全宝，将之融入百度云安全体系；在刚刚 结束的国家网络安全周上，腾讯宣布进一步投资知道创宇，并与启明星辰联手 推出企业安全产品。 安全牛网主编王小瑞认为，这些拥有强大云服务和大数据的互联网公司， 将展开云安全和大数据安全的火拼。今年将会有更多的安全公司被更大的企业 兼并联合，或投资或入股、或收购。 据了解，以 BAT 为代表的互联网巨头们，也正不断用重金将全国的顶尖 “白帽子”（发现网络漏洞的安全专家）收入麾下。一场白帽子峰会，常常能 让登台演讲的白帽子身价飙升两三倍。一位白帽子对记者表示，其团队时常能 接到互联网巨头公司年薪 200 万元的邀请。 10 年内行业格局确立 大企业的一系列并购举措之下，网安行业的中小型民营企业的生存环境也 发生了变化。四川无声信息技术有限公司董事长黄勇表示，虽然网络安全行业 的发展大方向是向好的，但对中小民企而言，其生存境况会更加艰难。一方面 这种体量较小的公司，很容易被大企业兼并、收购；另一方面，从用户接受度 而言，党政军部门在选择网安产品和服务时，对有国资背景的网安企业具有先 天的认同优势，接受民企则有一定过程。 网络安全专家张瑞冬对记者分析道，优质的网络安全服务不是一次性的卖 产品或是出事故后堵漏洞，而应该是动态的长期维护，甚至需要网安公司时常 进行上门测试服务。在这点上，拥有强大专业团队的本地网安公司比总部在北 京的大型网安公司更能提供方便的服务。“BAT 也好，国资背景的网安公司也 罢，都不可能把这个市场全盘吃下。” 事实上，网安行业不乏细分技术水平领先的中小企业。“比如有的公司专 做灾难备份的特色领域，十多年的技术积累后，也做出了自己的特色。”李涛 举例称，现在关于信息安全的龙头该怎么划，这个还真的没有什么定论。中小 企业不一定要做全产业链，针对一两个最擅长的技术下功夫效果会更好。“行 业目前的市场格局还不清晰，但在未来 510 年内就会沉淀下来，有些公司会崛 起，有的则走向末路。” 未来趋势 “老三样”难挡新型攻击手段 解决网络安全现在流行“平台化” 网络漏洞风险向传统领域、智能终端领域泛化演进。令人眼花缭乱的新型 攻击方式，逼迫防御手段不断转型升级，同时也逼迫网络安全行业转型。目前 看来，入侵检测、防火墙、防病毒“老三样”正在向平台化方案转变。“我们 过去站在别人肩膀上进行信息化建设，突然有一天别人不让我们踩肩膀了，怎 么办？”卫士通董事长李成刚说。尽管自主技术、自主品牌、自主标准至关重 要，但国产化道路依然艰巨。 物联网、云计算、大数据和智慧城市等相关新兴技术发展的同时，出现了 新一代信息安全问题。 四川大学计算机网络与安全研究所所长李涛告诉记者，在已建成的物联网 系统中，传感器在感知层面几乎没任何防御能力。每日经济新闻记者了解 到，新技术带来的威胁正在逼迫网络安全行业转型。网络安全企业正从此前单 纯售卖“老三样”安全设备，向以数据分析为基础的平台化整体服务转变；从 事后处置、事中应急，向事前预警靠拢，这一新技术形态，被认为是未来的发 展趋势。 在安全服务商努力推进平台化服务的同时，基础网络设备商也在加紧国产 化进程。中国工程院院士倪光南对记者表示，CPU、操作系统和交换机等核心软 硬件的自主、可控，是应对网络安全新挑战的关键。 网络攻击渗入多个领域 据媒体报道，某品牌的电动汽车车载控制系统的安全漏洞曾被黑客利用， 能远程控制车辆开锁、鸣笛、开启天窗，甚至有高级黑客现场演示控制心脏起 搏器，远程杀人于无形之中。“物联网本身的设计在技术上有一定的脆弱性。 ”李涛告诉记者，“比如传感器，现在在建的、已经建成的物联网系统，在感 知层面实际上几乎没任何防御能力。” 惠普旗下应用安全部门 Fortify 曾审查过 10 款高人气的物联网设备，发现 竟存在 250 个安全漏洞，平均每款 25 个。 国家互联网应急中心今年 5 月发布的2014 年我国互联网网络安全态势报 告（以下简称2014 安全报告）显示，云服务正日益成为网络攻击的重点 目标，移动应用程序成为数据泄露的新主体，“漏洞风险向传统领域、智能终 端领域泛化演进。” 李涛还告诉记者，目前针对云计算中心出现了新的攻击手段，“有人把云 控制了，运用云计算中心去攻击别人。” 平台化方案成趋势 令人眼花缭乱的新型攻击方式，也逼迫防御手段不断转型升级。“2005 年 以前，安全行业固守着入侵检测、防火墙、防病毒老三样。”一位信息安 全资深专家告诉记者，早期的信息安全是被动防御，如今“以平台化的服务为 主，在数据中发现入侵痕迹，对攻击行为进行预判、阻止，必然是一种趋势。 ” 卫士通董事长李成刚表示，“安全不是单一的产品，不是给你一套密码设 备、一个防