信息安全服务行业分析报告.doc

信息安全服务行业分析报告 信息安全服务行业信息安全服务行业 分析报告分析报告 信息安全服务行业分析报告 目目 录录 一 行业管理体制和有关政策一 行业管理体制和有关政策 4 1 行业主管部门及监管体制 4 2 行业主要法律法规及政策 6 1 相关监管法律 法规及规范性文件 6 2 行业的相关政策 6 二 信息安全行业概述二 信息安全行业概述 8 1 信息安全的概念 8 2 信息安全行业的主要技术 8 3 信息安全行业的主要产品与服务 9 三 信息安全行业发展概况三 信息安全行业发展概况 11 1 全球信息安全行业发展状况 11 1 信息安全在全球范围内日益受到重视 11 2 全球信息安全领域的市场规模稳定增长 11 3 全球信息安全市场发展趋势 11 2 我国信息安全行业发展状况 12 1 需求驱动 13 2 政策驱动 14 3 我国信息安全行业的市场前景 15 4 我国信息安全行业发展趋势 16 1 Web 及应用安全类 合规和安全管理类的市场份额将会逐步增大 16 2 安全产品和服务的发展和演进将会呈现 合 分 与 延 三个特点 17 3 创新性的安全运维服务或云安全服务会成为下一个市场增长点 17 四 信息安全行业发展的影响因素四 信息安全行业发展的影响因素 17 信息安全服务行业分析报告 1 有利因素 17 1 产业政策支持 17 2 用户安全意识提高 18 3 安全逐步成为提升企业核心竞争力的手段 18 4 安全产品和服务逐步呈现精细化 18 2 不利因素 19 1 国内产业规模较国外偏小 19 2 国际厂商与国内新进厂商的冲击 19 3 应用安全技术的发展带来新的挑战 19 3 进入该行业的主要壁垒 20 1 技术壁垒 20 2 人才壁垒 20 3 品牌壁垒 21 4 资质壁垒 21 五 行业的技术水平及技术特点五 行业的技术水平及技术特点 21 1 行业的技术水平 21 2 行业技术特点 22 1 长期积累的安全知识库是核心 22 2 快速响应威胁的变化成为关键 22 3 信息安全技术呈现广度特点 23 六 行业的经营模式 周期性 区域性或季节性特征六 行业的经营模式 周期性 区域性或季节性特征 23 1 行业的经营模式 23 2 行业周期性 季节性特点 23 3 行业区域性特点 24 七 本行业与上 下游行业之间的关联性七 本行业与上 下游行业之间的关联性 24 八 行业竞争格局和市场化程度八 行业竞争格局和市场化程度 24 信息安全服务行业分析报告 一 行业管理体制和有关政策一 行业管理体制和有关政策 1 1 行业主管部门及监管体制 行业主管部门及监管体制 信息安全产品在应用上具有一定的特殊性 客户对保密要求较 高 信息安全行业主要受信息产业及安全主管部门的监管 具体如 下 此外 信息安全产业还受到国家标准化管理委员会全国信息技 术标准化委员会信息安全分技术委员会 国家质检总局直属的中国 信息安全认证中心 国家质检总局授权的中国信息安全测评中心 公安部计算机信息系统安全产品质量监督检验中心以及国家信息安 全产品认证管理委员会在安全标准和产品测评认证方面的管理 信息安全厂商从事研发 生产 销售和提供安全服务等经营活 动 通常需取得计算机信息系统安全专用产品销售许可证等产品认 信息安全服务行业分析报告 证 并具备信息安全服务资质等业务资质 公司拥有的信息安全行 业主要资质的认证管理情况如下所示 信息安全服务行业分析报告 2 2 行业主要法律法规及政策 行业主要法律法规及政策 1 1 相关监管法律 法规及规范性文件 相关监管法律 法规及规范性文件 2 2 行业的相关政策 行业的相关政策 信息安全服务行业分析报告 信息安全服务行业分析报告 二 信息安全行业概述二 信息安全行业概述 1 1 信息安全的概念 信息安全的概念 信息安全是指信息系统的硬件 软件及系统中的数据受到保护 不会由于偶然的或者恶意的原因而遭到未经授权的访问 泄露 破 坏 修改 审阅 检查 记录或销毁 保证信息系统连续可靠地正 常运行 信息服务不中断 信息安全行业主要系为各类用户通过公共和专用网络传递 存 储 处理各种语音 传真 数据 视讯等信息时的信息保密和安全 提供服务的行业 即确保通信系统和信息网络中各类信息的保密性 完整性 真实性及可靠性 2 2 信息安全行业的主要技术 信息安全行业的主要技术 从技术角度来看 信息安全是对信息与信息系统固有属性的攻 击与保护的过程 它围绕着信息系统 信息自身及信息利用的保密 性 真实性 完整性 可靠性 可用性 不可否认性 可控性这七 信息安全服务行业分析报告 个核心安全属性 具体反映在物理安全 运行安全 数据安全 内 容安全 信息内容对抗等五个层面上 目前信息安全的主流安全技术包括信息系统自身的安全技术 物理安全和运行安全技术 信息自身的安全技术 数据安全与 内容安全技术 信息利用的安全技术 信息对抗技术 具体如 下 3 3 信息安全行业的主要产品与服务 信息安全行业的主要产品与服务 随着 IT 行业的快速发展 国内信息安全领域涌现了种类繁多 的信息安全产品和服务 主要包括 信息安全服务行业分析报告 信息安全服务行业分析报告 三 信息安全行业发展概况三 信息安全行业发展概况 1 1 全球信息安全行业发展状况 全球信息安全行业发展状况 1 1 信息安全在全球范围内日益受到重视 信息安全在全球范围内日益受到重视 近年来 全球信息安全事件的不断增加给国家 企业带来了大 量的损失 政府 企业对信息安全管理愈来愈重视 同时 移动互 联网 物联网 云计算等新业务的快速发展也给信息安全行业带来 新的市场发展空间 信息系统已不是单纯的 IT 基础设施 它与周围的社会结合起 来构成了新的空间 这就是网际空间 网际空间的安全问题逐渐引 起了各国政府的重视 多国都出台了相应的政策和法案 推动网际 空间安全的发展 从而带动了整个安全市场的蓬勃发展 2 2 全球信息安全领域的市场规模稳定增长 全球信息安全领域的市场规模稳定增长 据 Gartner 报告统计 2009 年全球信息安全市场安全软件市场 规模达到147 亿美元 较2008 年增长7 2010 年全球信息安全市 场安全软件市场规模达到165 亿美元 增长率为12 3 3 全球信息安全市场发展趋势 全球信息安全市场发展趋势 Web 和应用安全方向是未来信息安全市场的投资重点 当前的信息系统已经不再是一堆主机和网络设备的堆积 更重 要的是其上的应用系统和数据 随着大量Web 应用的出现 对信息 信息安全服务行业分析报告 安全领域的投资重点开始从网络和终端的安全防护 不断向Web 和 应用安全转移 如抗拒绝服务产品 Web 应用防护产品等新兴领域 合规及安全管理产品形成新的市场增长点 随着政策和规范的不断出台 类似于检查评估 上网行为管理 安全审计等产品的需求持续增加 此外 在早期的安全加固 系统 评估 值守呈现普遍化的情况下 客户对于业务安全评估 安全度 量 软件安全生命周期 SaaS 化安全的需求不断增强 形成了新的 市场增长点 信息安全在 IT 领域中的核心战略地位和重要性日渐增强 近年来 基础网络 硬件 软件及应用提供商纷纷开始进入安 全领域 2010 年 Intel收购McAfee HP 收购ArcSight 等事件 无 不展现了信息安全市场潜在的吸引力 这些厂商进入安全市场的主 要目的是为客户提供一站式的解决方案 同时也是为了寻找新的盈 利增长点 2 2 我国信息安全行业发展状况 我国信息安全行业发展状况 近年来 我国信息安全行业发展迅速 市场规模处于持续高速 增长的态势 据统计 2008 年 2009 年和2010 年中国信息安全 产品市场的规模分别为4 92 亿美元 5 62 亿美元 6 06 亿美元 2009 年和2010 年的增长率分别为14 1 和8 0 2008 年 2010 年 中国信息安全服务市场的规模分别为2 42 亿美元 2 84 亿美元 信息安全服务行业分析报告 3 38 亿美元 2009 年和2010 年的增长率分别为17 4 和 19 0 数据来源 IDC 中国IT 安全硬件 软件和服务全景 图 2011 2015 近年来 我国信息安全行业发展迅速 主要原因如下 信息安全服务行业分析报告 1 1 需求驱动 需求驱动 重点行业的 IT 投入增长引发了新的未知威胁 直接带动了 安全投资的增长 中国经济的快速增长直接带动了 IT 投入的增长 包括3G 网 络 三网融合 智能电网等基础设施的建设和发展 也引发了新的 未知威胁 这些威胁直接影响着国家的安全 从而受到政府和各行 业的重视 直接带动了安全投资的增长 例如2009 年造成全国多省 网络瘫痪的 5 19 事件 2010 年爆发的Stuxnet 蠕虫病毒 都是对 IT 基础设施造成巨大影响的安全事件 未来 类似移动互联网 云 计算 物联网等重大行业或技术变革 将会给中国安全市场带来更 多的机会 防范网络犯罪是国内信息安全产业发展的又一动力 近年来 以获取经济利益为目的的网络犯罪事件层出不穷 其 特点不断发展成为以应用为载体 范围涉及各类信息终端 且针对 特定用户群 如针对网银的钓鱼攻击 利用 僵尸网络 针对竞争对 手发起的DDoS 攻击或是针对个人账户 网络游戏虚拟财产的窃取 事件等 防范此类网络犯罪成为国内信息安全产业发展的又一动力 2 2 政策驱动 政策驱动 政府和各行业出台了一系列安全政策和法规 直接刺激了安 全投资的增加 信息安全服务行业分析报告 2007 年 公安部下发 信息安全等级保护管理办法 要求对 基础设施和重要信息系统进行有针对性的定级保护 该办法增加了 各行业安全意识 各行业也根据业务需求和国家政策制订了相应的 行业政策和规范 如电信运营商每年的安全大检查 金融行业关于 网上交易方面的政策指引 电网行业的春秋检查等 由此推动了各 行业的安全投资 为各类信息安全产品提供了广阔的空间 重大事件也成为中国信息安全产业的另一推动力 重大事件 如备受全球瞩目的奥运会 世博会 亚运会等的举 办 都对国内的信息安全保障提出了更高的要求 相关的安全投资 保障也随之增加 3 3 我国信息安全行业的市场前景 我国信息安全行业的市场前景 根据 IDC 研究报告预测 到2015 年 国内信息安全产品的市 场规模有望达到14 349亿美元 2010 到2015 年信息安全产品市场 的复合增长率为18 8 到2015 年 国内信息安全服务的市场规模 有望达到6 835 亿美元 2010 到2015 年信息安全服务市场的复合 增长率为15 1 信息安全服务行业分析报告 4 4 我国信息安全行业发展趋势 我国信息安全行业发展趋势 1 1 WebWeb 及应用安全类 合规和安全管理类的市场份额将会逐步增及应用安全类 合规和安全管理类的市场份额将会逐步增 大大 随着用户信息资产的价值不断向 Web 及应用系统转移 产品 信息安全服务行业分析报告 结构不断从网络及终端安全领域向Web 及应用安全领域逐步发展 涌现出类似于应用型抗拒绝服务产品 Web 应用防火墙 DNS 安 全防护系统等应用安全防护产品 同时随着国家和行业政策 监管 的不断加强 合规和安全管理产品也会不断普及 从漏洞扫描延伸 出的漏洞管理产品 基线核查产品 上网行为管理产品 安全审计 产品等都有较好的市场前景 2 2 安全产品和服务的发展和演进将会呈现 安全产品和服务的发展和演进将会呈现 合合 分分 与与 延延 三个特点三个特点 一方面 对性能要求不高的用户 安全产品会整合多方面功能 形成类似于统一威胁网关的集成解决方案 此谓 合 另一方面 性能要求较高的用户 需要部署专门的安全设备 用于应对日益增 多的入侵行为 如Web 应用防火墙 抗拒绝服务系统 DNS 安全 防护系统等 此谓 分 同时 根据客户的不同需求 在 分 的基 础上 部分产品不断向相关领域扩展 延展出更多的类型和系列 如漏洞扫描产品演进出的基线检查产品 Web 安全扫描产品等 此 谓 延 3 3 创新性的安全运维服务或云安全服务会成为下一个市场增长点 创新性的安全运维服务或云安全服务会成为下一个市场增长点 单纯依靠产品无法彻底解决用户安全问题 用户更加关心厂商 如何帮助他们解决问题 随着基于云计算的信息安全技术的发展 以及客户安全意识的提升 未来安全运维服务以及云安全服务等创 信息安全服务行业分析报告 新性的服务会为用户的安全管理带来更好的体验 四 信息安全行业发展的影响因素四 信息安全行业发展的影响因素 1 1 有利因素 有利因素 1 1 产业政策支持 产业政策支持 信息安全行业属于国家鼓励发展的重点产业 国家有关产业政 策的大力支持为国内信息安全行业的发展创造了良好的条件 2 2 用户安全意识提高 用户安全意识提高 随着互联网的发展 类似电子商务网站或者银行用户遭遇的欺 诈事件等安全事件不断发生 造成的影响越来越大 使用户的安全 意识不断提高 各行业对信息安全的投资与日俱增 3 3 安全逐步成为提升企业核心竞争力的手段 安全逐步成为提升企业核心竞争力的手段 过去的信息安全主要是保护用户不受损失 或者符合国家政策 的需求 随着信息化程度逐步提高 互联网应用在企业中的不断发 展 企业级客户逐渐认识到安全可以作为增值或者提升自身核心竞 争力的手段 而不仅仅作为锦上添花的投资 过去很多由于安全原 因无法开展的业务可以随着安全手段的增强进入企业主营业务中 对于电信运营商 互联网等IT 或通信服务企业 安全甚至成为了其 增值业务中的一部分 直接产生收益 这些都是未来信息安全行业 信息安全服务行业分析报告 发展的有利因素 4 4 安全产品和服务逐步呈现精细化 安全产品和服务逐步呈现精细化 随着IT 应用的发展 类似于Web2 0 云计算 物联网等新兴应 用的出现 安全攻防的手段和理念也发生很大的变化 信息安全产 品和服务逐步趋于精细化 过去的以防火墙 入侵检测为主的安全 市场的内容增加了很多新兴的领域 如Web 应用防火墙 抗拒绝服 务攻击产品 应用行为审计 安全即服务 虚拟化安全产品 数据 泄漏保护等 这些安全产品和服务的精细化都得到了用户的认同 极大促进了市场的良性发展 2 2 不利因素 不利因素 1 1 国内产业规模较国外偏小 国内产业规模较国外偏小 虽然近几年我国信息安全市场快速发展 但与国际市场相比 国内信息化程度仍然较低 市场整体规模较小 产业链条不够完善 产业链各个环节的厂商都处于发展阶段 因此 信息安全行业的发 展在一定程度上依赖于产业链整体的发展和提升 2 2 国际厂商与国内新进厂商的冲击 国际厂商与国内新进厂商的冲击 国际厂商逐步向中国市场增加投入 在高端用户上的竞争加剧 同时部分有资本实力的供应商 将安全业务作为下一个市场增长点 虽然众多厂商进入安全市场 可以促进行业内的充分竞争 优胜劣 信息安全服务行业分析报告 汰 但是在短期内 人才和资源的争夺将更加激烈 对行业的发展 存在一定的不利影响 3 3 应用安全技术的发展带来新的挑战 应用安全技术的发展带来新的挑战 随着传统网络边界和终端安全市场的成熟 更多应用安全的挑 战出现 各类行业或企业的业务系统安全需求给厂商的技术研究和 发展带来了新的课题 3 3 进入该行业的主要壁垒 进入该行业的主要壁垒 经过多年发展 我国的信息安全行业已初步形成一定的行业格局 新进入者面临较高的进入壁垒 1 1 技术壁垒 技术壁垒 信息安全的核心技术在于 攻防 即攻击技术和防御技术 攻 击技术包括漏洞挖掘 漏洞渗透 木马技术 SQL 注入等 防御技 术包括漏洞检测和加固 木马扫描和杀除 蠕虫发现和清除 SQL 注入攻击阻断等 这些攻击技术和防御技术会形成一系列的知识库 如IDS 的入侵行为特征库 IPS 的Web 应用入侵特征库 漏洞扫描 软件的漏洞库 UTM 的入侵特征库 病毒库 审计产品的客户应 用策略库等 这些知识库都需要专门的技术研究团队和产品应用团 队长时间积累才能获得 新进入者所面临的最大技术壁垒是缺乏对 攻防技术核心知识库的有效积累 以及对有效的安全防御技术的前 瞻性研究 信息安全服务行业分析报告 2 2 人才壁垒 人才壁垒 信息安全行业是一个高端人才极其稀缺的行业 高水平的安全 攻防人才 安全评估咨询人才 软件架构设计和开发人员等对信息 安全厂商至关重要 这需要在稳定的科研环境中长期培养 目前国内 的信息安全高端人才主要集中于国内外一些大的安全厂商以及研究 机构 其共同特点一是数量稀少 二是聘用成本较高 三是他们普遍 与原单位签署了保密和竞业禁止协议 这使得新进入者难以获得所 需人才 无法突破研发领域中的技术壁垒 从而难以形成自身的技术或 差异化优势 3 3 品牌壁垒 品牌壁垒 由于信息安全的重要性 客户普遍具有较高的品牌忠诚度 目 前中国市场的主要安全厂商都是经过多年的积累 在激烈的市场竞争 中通过诚信服务 优良产品品质和大规模的销量逐步积累起公司的 品牌和声誉 并且已经与客户形成了长期 互信的合作关系 新进入 者难以在短期内建立较高的品牌忠诚度 4 4 资质壁垒 资质壁垒 为了促进 保障我国信息安全产业的稳定健康发展 国家安全 主管部门和行业主管部门通过各类产品资质认证和服务资质认证来 规范市场 如安全厂商需要取得计算机信息系统集成资质 信息安 全服务资质和计算机信息系统安全专用产品销售许可证 相关产品 信息安全服务行业分析报告 和系统还需要经过严格的测评认证 一般通过各类严格的资质认证 需要几年的时间 新进入者难以在短期内获得相关市场的准入资格 无法参与市场竞争 五 行业的技术水平及技术特点五 行业的技术水平及技术特点 1 1 行业的技术水平 行业的技术水平 目前全球信息安全产业发展水平较高的国家主要有美国 法国 以色列 英国 日本等 与国际先进水平相比 我国信息安全产业 的技术水平与国际保持同步 核心攻防技术具有世界水平 在攻防对抗技术领域 如漏洞挖掘和分析 拒绝服务攻击防护 异常行为发现与防御等方面 我国的技术水平不落后于全球水平 在上述抗拒绝服务 漏洞挖掘和分析等方面形成特有的专项技术 在产品研发方面 国内主流厂商已能够规模化开展攻防技术的体系 化研究和产品化开发 在以攻击技术和检测技术为内涵的安全服务 领域中 我国信息安全产业完全可以和国际先进水平进行抗衡 2 2 行业技术特点 行业技术特点 1 1 长期积累的安全知识库是核心 长期积累的安全知识库是核心 信息安全领域的发展是随着威胁对抗技术的发展而不断成长 从最早基于特征的攻击检测和防御 到现今异常行为模式以及信誉 库机制 这些都需要针对新兴威胁持续保持跟踪 并形成安全相关 信息安全服务行业分析报告 的各类知识库 包括漏洞库 攻击手法库 Web 信誉库等 这些知 识库是安全厂商的立足之本 也是未来发展的关键 2 2 快速响应威胁的变化成为关键 快速响应威胁的变化成为关键 随着安全威胁的种类和数量的暴增 各种威胁为了规避安全产 品的封杀 也加快了攻击威胁的变化速度 网站被感染了恶意代码 之后的存活周期从以往的几天下降到几小时 这就要求安全厂商掌 握的安全技术能够迅速发现和响应这些威胁 并在第一时间保证安 全产品的知识库得到升级 才能确保对新型威胁的有效防护和阻断 3 3 信息安全技术呈现广度特点 信息安全技术呈现广度特点 一方面 信息安全的防护需覆盖信息系统的各个方面 完善的 防护体系是综合的解决方案 另一方面 安全产品和服务需要能够 支持各类应用系统环境 这需要信息安全领域的技术呈现一定的广 度特点 六 行业的经营模式 周期性 区域性或季节性特征六 行业的经营模式 周期性 区域性或季节性特征 1 1 行业的经营模式 行业的经营模式 目前 我国信息安全产品市场集中在政府 电信运营商 金融 能源等领域的企业级用户 这些用户通常采用招投标的方式进行信 息安全产品与服务的集中采购 另外 由于行业