科技行业数据安全与数字经济共腾飞

1、数字经济时代来临，需求与政策共振推动数据安全发展全球数据量高速增长，数据安全风险敞口激增全球进入数字经济时代，数据量呈现高速增长态势。随着云计算、AI、5G、物联网等新兴 技术的快速普及，全球各类重点产业加速数字化转型，带来数据量的高速增长。根据 IDC 发布的数据，全球数据量从 2010 年的 2ZB 增长到 2021 年将近 60ZB，2025 年预计将增长 至 175ZB，其中中国将成为数据量最大的国家，数据量将达到 48.6ZB，占全球总量的 27.8。图表1： 全球数据总量加速增长（ZB）全球数据总量175131110805360413316.121.621.82.844.46.28

2、.62001801601401201008060402002010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 2021 2022E 2023E 2024E 2025E:IDC、境内外数据泄露事件频发，数据安全问题亟待解决。2021 年，美国社交软件 Facebook 因系统漏洞泄露超过 5.33 亿用户的个人信息；美国油管公司遭遇勒索病毒攻击，核心数据被加密，迫使其一度关闭整个能源供应网络，极大影响了美国东海岸燃油等能源供应，美国政府宣布进入国家紧急状态；印度移动支付软件 MobiKwik 因黑客攻击泄露约 1 亿用户的信息；美国电信企

3、业 T-Mobile 因服务器被黑客入侵泄露 4860 万用户的数据；“滴滴出行”App存在严重违法违规收集使用个人信息问题并下架。数据安全问题频出，对社会经济及相关企业经营均带来了不利影响。数据安全与企业生产经营的关系愈发紧密，同步催生了下游用户对数据安全产品和解决方案的需求。图表2： 2021 年以来全球发生多起严重的数据安全泄露事件数据掌管者影响人数时间泄露事件OneMoreLead6300 万2021 年 8 月VPNMentor 的网络安全团队，发现 B2B 营销公司 OneMoreLead 将 6300万美国人的私人数据，包括身份信息、工作信息放置在不受保护的数据库中，有可能会导致

4、信息被黑客所利用。T-Mobile4780 万2021 年 8 月T-Mobile 系统在 3 月份遭到了网络攻击，用户姓名、驾照、身份证 ID、社某营销公司3500 万2021 年 6 月会保障号码、出生日期、充值卡 PIN、地址和电话号码被泄露。Conparitech 的网络安全团队发现某营销公司的数据库被泄露在网络上，该数据库包含姓名、联系方式、家庭住址、种族以及购物习惯和媒体消费等，大多数和芝加哥、洛杉矶等大城市的居民有关。ParkMobile2100 万2021 年 3 月ParkMobile 是美国较大的停车应用软件供应商，其存储的用户信息被人访问，包括车牌号、电子邮件地址、电话号

5、码、车辆信息及邮寄地址等。ClearVoice1570 万2021 年 4 月ClearVoice 是一个人才网络和内容的营销平台，其个人信息数据库被未经授权的用户发布在网上公开售卖，数据包括联系信息、健康状况、政治派别、种族等。Jefit905 万2021 年 3 月Jefit 是一款健身 APP，未经授权的用户非法访问了账户用户民、资料来源：预测电子邮件地址、加密密码以及创建账户时的 IP 地址。:我国数字经济加速发展，核心产业占 GDP 比重将进一步提升。2022 年 1 月，国务院印发“十四五”数字经济发展规划，强调“以数据为关键要素，以数字技术与实体经济深度融合为主线，加强数字基础设

6、施建设，完善数字经济治理体系，协同推进数字产业化和产业数字化，赋能传统产业转型升级，培育新产业新业态新模式，不断做强做优做大我国数字经济，为构建数字中国提供有力支撑”。同时，规划明确提出到 2025 年，数字经济迈向全面扩展期，数字经济核心产业增加值占 GDP 比重达到 10%，数字化创新引领发展能力大幅提升，智能化水平明显增强，数字技术与实体经济融合取得显著成效，数字经济治理体系更加完善，我国数字经济竞争力和影响力稳步提升。其中，上海市政府提出“到 2025年，数字经济核心产业增加值占全市生产总值比重达到 15%左右，规模以上制造业企业数字化转型比例达到 80%左右”；江苏省政府提出“到 2

7、025 年，数字经济核心产业增加值比重达 13.5%左右”。图表3： “十四五”数字经济发展规划发展目标2020 年2025 年发展目标数字经济核心产业增加值占 GDP 比重7.80%10%关键业务全面数字化的企业比例48.30%60%资料来源：国务院、全球多个发达地区已将数据保护及数据安全提升至国家高度数据安全问题在全球多个发达地区持续得到政府的高度重视。1981 年，欧洲委员会发布了个人数据自动化处理中的个人保护公约，对个人隐私数据进行保护。随着数据要素在经济发展中的重要程度持续提升，全球多个发达国家及地区对数据安全的重视程度逐渐提升，各地政府颁发的相关政策也越来越密集。2018 年，欧盟

8、发布通用数据保护条例（General Data Protection Regulation，GDPR），明确了用户对属于自己个人的数据有绝对掌控权，规定欧盟所有成员国企业在收集、传输、保留、使用个人信息上都必须要取得用户的同意。 GDPR 的出台标志着全球各个国家地区在数据领域的竞争发展开始加速。在欧盟持续加强数据领域发力的同时，美国也加快围绕数据的立法及法律法规体系建设，陆续发布应用程序隐私保护和安全法案（APPs Act of2018）草案、加州消费者隐私保护法案（CCPA）等相关数据保障法案。2022 年 6 月，美国参议院与众议院发布了美国数据隐私和保护法案草案（American Da

9、ta Privacy and Protection Act，ADPPA），有望进一步树立全国性的联邦标准。此外，日本、韩国等其他发达国家也加速针对数据保护出台相关法律，助力数据产业正规化发展。图表4： 2018 年以来全球多个发达国家地区颁布数据安全相关法律法规时间国家法律名称主要内容2018.5欧盟通用数据保护条例（GDPR）针对个人数据保护设立了严格的标准和规定，企业在收集、存储、使用个人信息上要取得用户的同意，用户对自己的个人数据有绝对的掌控权。2018.6美国加州消费者隐私保护法案（CCPA） 赋予了数据主体访问权、删除权、可携权以及禁止个人信息出售的权利，并对数据处理的透明度做出了诸

10、多要求。2018.7美国应用程序隐私保护和安全法案(APPs Act of2018)草案美国首部专门规范 APP 收集使用用户隐私信息规范的法案。2019.12美国联邦数据战略和 2020 年行动计划 描述了美国联邦政府未来十年的数据愿景，并确立了政府范围内的框架原则和 40 项具体数据管理实践，以及 2020 年 20 项具体行动方案。2020.2欧盟欧洲数据战略明确欧盟未来五年实现数据经济所需的政策措施和投资策略。欧盟委员会的目标是创建一个单一数据空间一个真正的数据单一市场且面向世界开放，其中个人和非个人数据(包括敏感的业务数据)都是安全的，企业也可以轻松访问无限的高质量工业数据，并利用数

11、据促进经济增长、创造价值，同时最大程度地减少人为碳排放和环境破坏。2021.1韩国 数据基本法全球首部规制数据产业的基本立法，对数据的开发利用进行统筹安排。2021.5日本 个人信息保护法修正案核心在于立法的统一化，将个人信息保护法、行政机关保有的个人信息保护法和独立行政法人等保有的个人信息保护法整合为一部法律，规定关于地方公共团体个人信息保护制度的共同规则，并明确个人信息保护委员会进行统一监管等。2022.2欧盟 数据法案(Data Act)草案针对非个人数据，为非个人数据的利用，涵盖各种智能设备、自动化生产线、自动驾驶汽车等多产生的数据，提供公平的访问和共享框架，明确 B2B、B2G 的数

12、据流通措施，同时确定数据处理服务提供商的相关义务，推动数据市场更加开放，充分发挥数字经济价值。2022.6美国美国数据隐私和保护法案草案（ American Data Privacy and Protection Act，ADPPA）首个获得两党两院支持的美国联邦全面隐私提案，聚焦建立强有力的国家框架，保护消费者数据隐私和安全。公安部、在法律法规层面不断完善的同时，全球各地监管机构对数据安全泄露问题执行严格的处罚。 2020 年 10 月，英国政府就对万豪集团泄露顾客个人信息的事件对万豪集团罚款 1840 万英镑；2020 年 11 月，美国联邦贸易委员会对 Zoom 的数据安全问题实施非常高

13、压的监管。随着各国政府的监管不断趋严，国外企业对数据安全的重视程度越来越高，推动海外数据安全产业不断发展。图表5： 近年来已有多起大型企业因数据安全未执行到位被罚款事件公司罚款金额时间原因Deutsche Wohnen SE1450 万欧元2019 年 10 月因违反 GDPR 原则而被德国政府罚款摩根斯丹利银行6000 万美元2020 年 10 月因未能重视数据安全而被美国政府罚款英国航空2000 万英镑2020 年 10 月因 42 万用户数据泄露而被英国政府罚款万豪1840 万英镑2020 年 11 月因 3 亿用户数据泄露而被英国政府罚款谷歌2.1 亿欧元2021 年 1 月因违法数据

14、隐私规则而被法国政府罚款Meta1700 万欧元2022 年 3 月因违法 GDPR 而被爱尔兰政府罚款滴滴80.26 亿人民币2022 年 7 月因违反网络安全法、数据安全法、个人信息保护法而被中国政府罚款51CTO、国内相关支持政策及行业标准也正在加速落地数据安全成为国家安全重要组成部分，顶层设计不断完善，护航数字经济发展。当前，我国已进入数字经济时代，数据作为继土地、劳动力、资本、技术后的第五大生产要素，数据安全的重要程度。为保障数字经济时代的数据安全同步发展，国家加速推出多个国家级法律法规、地方行政规范等数据安全相关支持政策，全面构建数据安全防护体系，护航数字经济发展。2016 年以来

15、，国家已颁布多部法律保障数据安全。随着网络安全法、密码法、数据安全法、个人信息保护法的颁布，数据安全顶层设计逐步完善，实现从立法层面的良好支撑。图表6： 国内数据安全相关法律已经逐步完善时间法律名称主要内容2016中华人民共和国网络安全法从“个人信息保护”“数据存储与跨境安全”“数据（信息）内容安全和”数据系统、平台、设施安全“等角度，对数据和个人信息合规方面予以规制。2019中华人民共和国密码法密码分为核心密码、普通密码和商用密码，实行分类管理。核心密码、普通密码用于保护国家秘密信息，属于国家秘密，由密码管理部门依法实行严格统一管理。2021中华人民共和国数据安全法我国数据安全领域的基础性法

16、律，其完善了国家数据安全工作体制机制，规定中央国家安全领导机构负责国家数据安全工作的决策和议事协调等职责，并提出建立国家数据安全工作协调机制。2021中华人民共和国个人信息保护法对自然人关于个人信息的权利、个人信息处理者对于个人信息的义务、相关部门对于个人信息的保护职责、个人信息处理具体要求、个人信息跨境、法律责任等做出了明确和可操作的规定。资料来源：全国人大、国务院密集发文引导各领域加强数据安全保护。数据安全多次出现在我国的数字经济发展规划、数字政务指引和各领域的经济发展规范等文件中，这些文件明确各政府部门须提升对数据安全的重视程度，完善数据安全管理政策，制定数据安全标准，形成数据安全保护体

17、系。近年来，涉及数据安全的国家级行政法规政策文件发布数量逐步增加，数据安全的重要性持续凸显。图表7： 国务院密集发文支持数据安全发展时间发布单位政策名称主要内容2017中共中央国务院关于促进移动互联网健康有序发展的意见 增强网络安全防御能力，落实网络安全责任制，制定完善关键信息基础设施安全、大数据安全等网络安全标准，明确保护对象、保护层级、保护措施。2018国务院关于印发进一步深化“互联网+政务服务”推进政务服务“一网、一门、一次”改革实施方案的通知2019国务院关于促进平台经济规范健康发展的指导意见2020中共中央关于制定国民经济和社会发展第十四个五年规划和二三五年远景目标的建议2021国务

18、院关于印发全国一体化政务服务平台移动端建设指南的通知2021国务院关于印发“十四五”数字经济发展规划的通知研究政务信息资源分类分级制度，制定数据安全管理办法，明确数据采集、传输、存储、使用、共享、开放等环节安全保障的措施、责任主体和具体要求。提高国家电子政务外网、国家数据共享交换平台和国家政务服务平台的安全防护能力。推进政务信息资源共享风险评估和安全审查，强化应急预案管理，切实做好数据安全事件的应急处置。明确平台在经营者信息核验、产品和服务质量、平台（含 APP）索权、消费者权益保护、网络安全、数据安全、劳动者权益保护等方面的相应责任，强化政府部门监督执法职责，不得将本该由政府承担的监管责任转

19、嫁给平台。扩大基础公共信息数据有序开放，建设国家数据统一共享开放平台。保障国家数据安全，加强个人信息保护。提升全民数字技能，实现信息服务全覆盖。积极参与数字领域国际规则和标准制定。加强数据安全管理，强化用户隐私保护，严格规范用户信息采集，保障用户知情权、选择权和隐私权。提升数据安全保障水平。建立健全数据安全治理体系，研究完善行业数据安全管理政策。建立数据分类分级保护制度，研究推进数据安全标准体系建设，规范数据采集、传输、存储、处理、共享、销毁全生命周期管理，推动数据使用者落实数据安全保护责任。依法依规加强政务数据安全保护，做好政务数据开放和社会化利用的安全管理。2022中共中央国务院2022中

20、共中央国务院关于推进实施国家文化数字化战略的意见 意见指出加强文化数据安全保障，依照国家有关数据安全的法律法规，在数据采集加工、交易分发、传输存储及数据治理等环节，制定文化数据安全标准。建立健全全流程文化数据安全管理制度，确定重要文化数据目录，明确重要文化数据出境安全管理举措，切实加强文化数据安全保护。关于加快建设全国统一大市场的意见加快培育数据要素市场，建立健全数据安全、权利保护、跨境传输管理、交易流通、开放共享、安全认证等基础制度和标准规范，深入开展数据资源调查，推动数据资源开发利用。2022国务院 “十四五”数字经济发展规划要求增强网络安全防护能力、提升数据安全保障水平、切实有效防范各类

21、风险。提升网络安全应急处置能力，加强关键信息基础设施网络安全防护能力，支持开展常态化安全风险评估，加强网络安全等级保护和密码应用安全性评估。健全完善数据跨境流动安全管理相关制度规范。2022中央全面深化改革委员会第二十六次会议关于构建数据基础制度更好发挥数据要素作用的意见会议强调，数据基础制度建设事关国家发展和安全大局，要维护国家数据安全，保护个人信息和商业秘密，促进数据高效流通使用、赋能实体经济，统筹推进数据产权、流通交易、收益分配、安全治理，加快构建数据基础制度体系。2022国务院关于加强数字政府建设的指导意见意见指出建立数字政府安全评估、责任落实和重大事件处置机制，加强对参与政府信息化建

22、设、运营企业的规范管理，确保政务系统和数据安全管理边界清晰、职责明确、责任落实。加大对涉及国家秘密、工作秘密、商业秘密、个人隐私和个人信息等数据的 保护力度，完善相应问责机制，依法加强重要数据出境安全管理。加强关键信息基础设 施安全保护和网络安全等级保护，建立健全网络安全、保密监测预警和密码应用安全性 评估的机制，定期开展网络安全、保密和密码应用检查，提升数字政府领域关键信息基 础设施保护水平。国务院、各大部委陆续发布具体化的数据安全规章，加强对数据和个人信息的管理。网信办、公安部、全国信息安全标准化技术委员会等部门提出对个人信息安全的相关规范，包括界定 APP使用个人信息的范围标准、明确个人

23、对个人信息的权利以及评估个人信息出境安全等规范，加强对个人信息安全的保护；同时，还提出关于数据安全管理的政策，包括评估数据出境安全、网络数据管理等的相关文件，加强数据安全保护。图表8： 国内数据安全相关部门规章时间发布单位政策名称主要内容2017国家市场监督管理局 国家标准化管理委员会信息安全技术大数据服务安全能力要求规定了大数据服务提供者应具有的组织相关基础安全能力和数据生命周期相关的数据服务安全能力，适用于对政府部门和企事业单位建设大数据服务安全能力，也适用于第三方机构对大数据服务提供者的大数据服务安全能力进行审查和评估。2019网信办、工信部、公安部、 APP 违法违规手机使用个人信息行

24、 界定了手机 APP 违法违规收集个人信息行为的六大类方法，并提出界定标准。市场监督总局为认定方法2019网信办数据安全管理办法（征求意见稿） 对近年来网络数据安全问题予以细化，包括个人敏感信息手机方式、广告精准推送、APP 过度索权、账户注销难等问题。2019网信办个人信息出境安全评估办法 明确了个人信息出境安全评估的重点评估内容，规定所有个人信息出境均应当依法向网信办申报并由网信办组织开展安全评估；明确个人信息主体在出境场景下知情权等权利履行的保障；通过系列设计加强对境外接受者的监督；全面规定了网络运营者与个人信息接受者签订的合同的具体内容。2020网信办、工信部、公安部、 常见类型移动互

25、联网应用程序必要 明确了 39 种常见类型 APP 的必要个人信息范围，要求其运营者不得因用户不同意市场监督总局个人信息范围规定提供非必要个人信息而拒绝用户使用 APP 基本功能服务，旨在有效规范 APP 手机使用个人信息行为并促进 APP 的健康发展。2020全国信息安全标准化技术委员会个人信息安全规范提出了个人信息控制者处理个人信息行为的规范，旨在遏制个人信息非法手机、滥用、泄露等乱象。2020全国信息安全标准化技术委员会网络数据处理安全规范（征求意见稿）规定了网络运营者利用网络开展数据收集、存储、使用、加工、传输、提供、公开等数据处理活动应遵循的规范和安全要求。2021网信办数据出境安全

26、评估办法（征求意见稿）2021网信办网络数据安全管理条例（征求意见稿）征求意见稿规定，数据处理者向境外提供数据，符合特定情形的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估，数据处理者在获取个人同意的途径与方式上，应当具有充分的法律依据进行论证同意的有效性和合规性，建议数据处理者在对于征求个人同意功能上线前，内部进行充分的合法合规性论证，明确相关授权方式符合法规要求。2021全国信息安全标准化技术委员会2021国家发改委、网信办、工信部、国家能源局个人信息去标识化效果分级评估规范（征求意见稿）全国一体化大数据中心协同创新体系算力枢纽实施方案给出了个人信息标识度的四种级别，以及个

27、人信息去标识化效果评定流程和重标识风险计算方法。在“国家枢纽节点重点任务”章节提出，确保网络数据安全。完善海量数据汇聚融合的风险识别与防护技术、数据脱敏技术、数据安全合规性评估认证、数据加密保护机制及相关技术监测手段，同步规划、同步建设、同步使用安全技术措施，保障业务稳定和数据安全。2021网信办、工信部、公安部、 移动互联网应用程序个人信息保护 确立了“知情同意”“最小必要”两项重要原则；细化了 APP 开发运营者、分发平市场监管总局管理暂行规定台、第三方服务提供者、终端生产企业、网络接入服务提供者等五类主体责任义务；提出了投诉举报、监督检查、处置措施、风险提示等规范要求。2022网信办等

28、10 部门数字乡村发展行动计划（2022-2025年）第五条数据安全保障提出，加强安全保障加强农业农村数据安全保护，落实涉农关键信息基础设施安全保护制度和网络安全等级保护制度，开展网络安全监督检查专项行动。组织开展面向农村居民的网络安全教育培训，提升个人信息保护意识。2022国家市场监督管理总局、网信办网信办、数据安全管理认证实施规则规则鼓励网络运营者通过认证方式规范网络数据处理活动，加强网络数据安全保护。从事数据安全管理认证活动的认证机构应当依法设立，并按照数据安全管理认证实施规则实施认证。海外数据安全推动 DLP 发展，国内 DLP 适应中国特色目前数据安全领域常用的数据安全防护措施包括安

29、装安全容器、文档加密、云桌面、数据库安全、数据防泄漏 DLP、加密与文档管理等产品，以及数据安全治理、个人隐私保护等服务。其中数据防泄漏 DLP 使用最为广泛，是数据安全领域中最为重要的产品。图表9： 数据安全领域主要产品产品功能安全容器以隔离容器加准入技术为基础，构建数据只进不出的安全环境文档加密对指定格式的文件内容进行加密处理云桌面本地不保留数据，所有工作数据都保留在服务器上面数据库安全分为数据库审计、数据库防火墙、数据库加密、数据脱敏等产品，其中数据库审计是最主要产品数据防泄漏 DLP部署在数据出口位置，对内容识别、加密、管控、审计数据安全治理数据安全评估、数据分类分级、数据安全体系建设

30、、数据安全培训等咨询服务个人隐私保护个人数据安全咨询评估、身份管理、数据安全检测、风险监测、安全治理加密与文档管理主要针对Word、Excel 等办公文档进行加密，防止外泄资料来源：安全牛、DLP（Data Loss Prevention，数据防泄露）的概念最早来自美国，后落地形成相关产品，在海外市场目前已经应用的非常成熟。数据安全防护是解决三个问题：（1）系统中有哪些敏感数据，它们分布在什么地方；（2）谁在使用这些数据，它们的流转情况怎样；（3）如何能够更好地保护这些数据。为了解决这三个问题，DLP 技术做到以下三点：（1）对关键数据进行识别，这里面会用到的识别技术包括高级正则表达式、贝叶斯

31、分析、元数据匹配、高级图像识别、认为监督的机器学习文档识别等；（2）跨终端、网络、存储、云来保护数据；（3）根据内容和上下文动态地监视、提示、警告、阻断可能的数据泄露威胁，并提供事件响应工作流程及审计工作表以协助人工。DLP 不是单指一项技术，而是多个网络安全技术和网络安全管理流程集合在一起的系统。为了达到保护的最好效果，DLP 会对数据所存在的所有通道进行覆盖，包括云、网、端及存储。针对每个数据通道，DLP 都有一款或者几款产品去进行数据保护。例如多次获得 Gartner DLP 魔力象限领导者地位的 Symantec，其 DLP 产品家族包括网络监控、邮件防护、网页防护、终端保护、数据甄别

32、、Office 365 保护等。图表10： Symantec DLP 对终端、网络、云、存储全覆盖图表11： Symantec DLP 产品家族：Symantec、：Symantec、海外市场由于数据安全法律法规体系相对健全，且对数据安全泄露问题处罚措施非常严格，因此企业内部主动泄露的情况比较少见，部署 DLP 主要是为了防止外部入侵，或者是用户无意行为导致数据丢失的安全问题。国内市场目前仍处于对数据安全的立法执法的初级阶段，且用户的安全意识不强，有意泄露的情况相比国外更为常见，因此 DLP 在国内主要功能是防止任何方式的数据泄露，更侧重于内部的加密权限。图表12： 国内 DLP 与海外 DL

33、P 主要功能有所不同主要功能国内 DLP海外 DLP敏感数据的泄露、扩散、丢失防止有意+无意泄露防止无意泄露用户权限管理有无控制手段身份认证、权限管理、加密、隔离、阻拦、过滤监控、发现、阻止、警告多层防护数据内容、使用环境、泄露途径层数据内容层分级防护文档标签标识、数据安全区域、敏感内容识别 敏感内容识别临时应用场景防护有无外部敏感数据防护有无资料来源：游侠安全网、国产 DLP 起步相对较晚，但国内数据安全市场增速有望领先全球。目前国内众多网络安全上市公司，以及天空卫士、天锐绿盾、华途等新兴厂商都在国内推出了 DLP 产品，共同角逐数据安全领域市场机遇。根据 Gartner 发布的2020 年

34、企业级数据泄露防护市场指南中，全球甄选出的 15 家领先代表性厂商，仅有 1 家中国厂商（北京天空卫士）上榜，主要是由于国内 DLP 起步时间相对晚，国内数据安全才刚刚步入起步阶段。但我们认为，随着国内政策对数据安全愈加重视，国内数据安全保护也将逐步向国际主流国家靠拢，国内 DLP市场发展潜力广阔。同时国内特殊的市场环境又要求 DLP 具备中国特色，海外厂商在技术落地上存在劣势，中国厂商尤其是技术研发实力更强的上市企业更大有可为，未来会充分受益于 DLP 市场的发展。图表13： 2020 年 Gartner 全球 DLP 代表厂商中仅有一家中国厂商上榜代表厂商地区产品名称Clearswift海

35、外Adaptive Date Loss PreventionCoSoSys海外Endpoint ProtectorDigital Guardian海外Digital Guardian DLPE-Safe Sysytems海外People Centric DLPFidelis海外Fidelis NetworkForcepoint海外Forcepoint DLPChangorCloud海外Information Security EnforcerGTB Technologies海外GTB InspectorInfoWatch海外InfoWatch Traffic MonitorMcAfee海外Mc

36、Afee Total Protection for Data Loss PreventionSearchinform海外Searchinform DLPBeijing Skyguard Cybersecurity Technology国内Sky Guard DLPSomansa海外Somansa Date Loss PreventionSymantec海外Symantec Date Loss PreventionZecurion海外Zecurion Date Loss PreventionGartner、DSMM 成为数据安全领域国家标准，引领行业正规化发展2019 年 8 月 30 日，信息

37、安全技术-数据安全能力成熟度模型（GB/T 37988-2019）简称 DSMM（Data Security Maturity Model）正式成为国标对外发布，并已于 2020 年 3 月起正式实施。DSMM 作为数据安全领域的国家标准，为数据安全的实现提供了可参照的行业规范。DSMM 将数据按照其生命周期分阶段采用不同的能力评估等级，分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全七大过程维度。同时，DSMM 从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM 将数据安全成熟度划分成了 1-5 个等级，依次为

38、非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级，形成一个三维立体模型，全方面对数据安全进行能力建设。图表14： DSMM 数据安全成熟度模型:CSDN、其中，七大过程维度又可细分为 30 个过程域，实现形成数据全生命周期的安全管理。图表15： DSMM 模型包含 30 个过程域:CSDN、DSMM 的评价方法主要是评分制，先对每个过程域（PA）的四个能力维度（BP）进行打分，再通过计算平均分、修正分值的方式得到最终的 PA 分值，最终得到整体的综合得分。图表16： DSMM 模型计算过程:CSDN、DSMM 是以组织为主要评估对象，侧重于数据全生命周期的防护；而等保以系统为主要评

39、估对象，偏向传统的网络系统安全，侧重于物理安全、网络安全、安全建设管理等方面的网络系统安全保护。图表17： DSMM 与等保的对比标准评估对象领域范围类型DSMM组织数据安全管理、技术、人实践指南等保系统系统防护管理、技术实践指南CSDN、头部厂商纷纷加强投入，占领数据安全高地当前数据安全市场需求逐渐显现，网络安全行业厂商纷纷推出数据安全产品及解决方案。国内的数据安全需求由政策和市场自发需求双重驱动，政府、医疗、金融、企业等领域对数据安全的重视程度持续提升，对数据安全的投入也稳步增长。国内头部网络安全厂商深信服、启明星辰、奇安信、安恒信息、天融信、绿盟科技、亚信安全都相继推出数据安全产品和解决

40、方案，以不同的数据安全理念构建数据安全体系，激发数据安全供给端活力，推动数据安全行业加速发展。深信服：深度融合数据流动与安全能力融合多年网络安全经验，深信服推进数据安全体系化建设。公司数据安全产品主要为数据库安全审计系统产品。公司数据安全体系具备一定优势，围绕数据安全应用的访问、API的访问，其能够全面监测敏感数据流转，发现全局数据安全隐患；其次，基于敏捷开放的数据安全能力，融合碎片化的组件能力，提供简单有效的整体安全防护能力；同时深信服长期深耕网络安全领域，拥有非常强的应对复杂攻击和未知威胁的能力，能够形成外防内控的安全体系。图表18： 深信服数据安全体系框架：深信服、启明星辰：开启数据安全

41、 3.0 全新发展阶段启明星辰为业内最早布局数据安全赛道的企业之一，在数据安全领域经验丰富。公司于 2003 年就抢先布局数据安全领域，历经近 20 年的发展。公司将数据安全产品发展划分为数据安全 1.0、2.0、3.0 三个阶段，从 1.0 阶段文件安全和数据库安全为核心，到 2.0 阶段以数据的汇聚安全为核心，至 3.0 阶段以数据流通安全为核心。公司数据安全产品主要包括数据防泄露系统、数据库审计与防护、数据库动静态脱敏、运维安全网关、文档加密、电子签章、数据库防火墙、数据库加密系统。公司还推出天榕数据安全管理平台，融合各项数据安全能力组件，为数据安全管理、管控、监控提供能力保障，为数据安

42、全运营提供技术能力支撑。目前平台已部署政府、运营商等多个行业。图表19： 启明星辰数据安全 3.0 阶段产品丰富：启明星辰、奇安信：开放式数据安全平台助力数据价值挖掘奇安信数据安全产品阵列丰富，推出数据安全开放解决方案用于数据开放场景。公司的数据安全产品主要包括数据库防火墙、运维安全管理与审计系统、数据防泄漏系统、数据库审计与防护系统、数据脱敏系统、数据交易沙箱系统、特权账号管理系统等。公司数据安全开放解决方案主要由数据安全开放平台组成，通过将调试环境与运行环境分离，实现数据可用不可见，更大限度挖掘数据价值。方案支持多种数据源、支持对数据访问权限的严格控制、支持对所有数据操作的留痕审计等功能，

43、实现数据所有权和使用权分离，从而确保数据安全可控。可广泛用于政府、金融、医疗、教育等有数据共享开放需求的大型企业单位。图表20： 奇安信数据安全产品致力于推动数据流通：奇安信、奇安信数据安全开放解决方案广泛应用于政府数据共享开放。近年来，政府践行国家大数据战略，建设大数据平台，利用政务大数据支撑产业发展，政府部门作为数据拥有方，其数据的开放共享需要得到安全保障。公司方案基于数据安全开放平台技术，保障向社会企业开放数据的安全，兼顾数据隐私的安全和政务数据价值的发挥，为拥有海量数据的政府大数据平台实现更大化的数据挖掘价值，助力基于数据的创新服务产业的发展。安恒信息：以 AiGaurd 打造全景数据

44、安全安恒信息推出 AiGuard 数据安全解决方案，覆盖全场景数据安全。公司数据安全产品包括 AiLand 数据安全岛平台、Aisort 数据安全分级与风险评估系统、AiThink 用户与实体行为分析平台、AiGate 数据库安全网关、数据库漏洞扫描系统、数据库系统安全自我检测与评估、数据库审计与风险控制系统、DSG-API 零信任 API 代理系统、运维审计与风险控制系统。 AiGuard 解决方案融合各子系统，针对数据库泄露利用风险、开发测试环节数据泄露风险、数据明文存储风险等问题，在生产区、共享开放区、应用区、数据安全风险感知与管理区提供全方位的数据安全保护。当前，在国家政策的指引下，未

45、来数据共享将更成熟，AiGuard解决方案有望实现更高效的多方数据安全融合计算。图表21： 安恒信息产品覆盖多场景数据安全：安恒信息、安恒信息解决方案将数据安全嵌入到智慧医院整体方案中。公司为智慧医院打造安全、弹性、智能的基础架构，以超融合技术搭建基础架构平台，围绕网络安全、数据安全等打造安全稳定的智慧医院安全防御检测体系，采用 AI 及大数据技术建设集中安全管理、安全运营、态势感知的安全管理中心。并进一步打造更可靠、更灵活的智慧医院数据中心，实现数据的安全、便捷使用。天融信：打造“以数据为中心”的数据安全体系天融信作为国内数据安全领域的领先厂商，提出“以数据为中心的安全体系”建设思路通过数据

46、安全体系规划、数据安全能力建设、数据安全运营管控建设、数据安全监管建设各个阶段打造完整的数据安全体系。目前天融信已形成一套涵盖数据安全生命周期、多种场景的产品架构体系，为用户提供全面的数据安全防护，在政府、运营商、能源、金融、教育等 10 余个行业大型客户中规模化实践落地。图表22： 天融信打造“以数据为中心”的数据安全体系：天融信、绿盟科技：构建自适应数据安全防护体系绿盟科技从“知”、“识”、“控”、“察”、“行”五个阶段性步骤进行数据安全建设。公司的数据安全产品主要包括数据库防火墙、数据脱敏系统、数据安全运营平台、敏感数据发现与风险评估系统、数据泄露防护系统、数据库审计系统等。方案围绕着数

47、据安全合规性管理、个人信息安全保护、重要数据安全保护来设计多种安全应用场景，并通过优化改进与持续运营，建立持续自适应的数据安全防护体系。图表23： 绿盟科技从“知”、“识”、“控”、“察”、“行”五个阶段性步骤进行数据安全建设：绿盟科技、亚信安全：先“理”后“治”实现数据安全亚信安全推出数据安全治理解决方案。公司的数据安全产品主要包括 SIM 盾运营系统、数据脱敏系统、多方计算平台、日志审计系统、运维安全管理与审计系统等。公司数据安全治理平台覆盖了“数据安全监控+数据安全管理+数据安全运营”三大场景，能够实现对各项数据安全能力进行集中化能力接管、安全策略的统一管理与下发、安全事件统一分析与管理

48、，并形成全网的数据安全风险视图，为数据安全治理提供了一体化解决方案。图表24： 亚信安全提供统一的数据安全“监控、管理、运营”中台：亚信安全、2022 下半年网络安全行业有望迎来盈利拐点2021 网络安全行业收入快速增长，加大人员投入挤压利润空间国内网络安全行业 2021 年实现收入总和同比增长 26.1%，相比于 2020 年有所加速。加速的原因在于 2021 年网络安全问题多发，包括数据安全法、个人信息保护法、关键信息基础设施安全保护条例、网络安全审查办法（2021 年修订）等多项行业重磅政策出台，推动政府、重要企业加大对网络安全的投入。我们可以从 20172021 年五年网络安全上市公司

49、收入总和数据看出，其始终维持在 20%30%的增速。目前国内对网络安全的投入力量显著于发达国家，但网络安全越来越受到重视，我们判断未来网络安全行业依然会保持较高的收入增速，具备“长坡厚雪”的行业特征。图表25： 2017-2021 网安行业企业总营收及增速30025020015010050行业营收（亿元）行业营收增速261.8634.3%207.60172.8326.1%20.9%23.6%128.7220.1%104.1540%35%30%25%20%15%10%5%020172018201920200%2021：Wind、从利润端来看，网安行业 10 家 A 股上市企业（深信服、奇安信-U

50、、卫士通、启明星辰、天融信、安恒信息、迪普科技、亚信安全、绿盟科技、山石网科）归母净利润总和同比下降 29.2%，扣非净利润总和同比下降 54.2%。扣非净利润总和同比下滑并非由少数公司贡献，详细拆分数据可以发现 6 家上市企业的扣非净利润都出现同比下滑的现象。从各家公司2021 年年报解读中可以发现，导致利润承压的主要因素来自于费用投入的增多。由于 2021年是“十四五”的开局之年，加上 2021 年诸多政策的推进导致上市公司对未来景气判断相对积极，因此超前投入费用谋划增长。虽然费用前置导致利润不达预期，但我们判断在行业景气度向上的背景下，各家上市公司未来能够通过收入快速增长消化掉前期高投入

51、的压力，从而实现盈利的大幅改善。图表26： 2017-2021 网安行业企业总归母净利润及增速图表27： 2017-2021 网安行业企业总归母扣非净利润及增速行业归母净利润（亿元）行业归母净利润增速 27.8352.9%23.3419.7014.2916.4% 15.276.9%19.2%-29.2%3025201510502017201820192020202160%2550%40%2030%20%1510%0%10-10%-20%5-30%-40%02017201820192020202160%行业扣非净利润（亿元）行业扣非净利润增速53.9% 22.5017.3729.6%21.0%1

52、0.2%10.2411.2810.32-54.2%40%20%0%-20%-40%-60%：Wind、：Wind、2021 年大部分网络安全公司维持较高的人员增长速度，这也是行业总体利润承压的重要原因，同时也反映了上市公司对未来需求展望的乐观。图表28： 2021 年网安行业企业员工总数图表29： 2021 年网安行业企业员工增速10,0009,0008,0007,0006,0005,0004,0003,0002,0001,000040%35%30%25%20%15%10%5%0%员工总数同比增长率9657员工总数88976587 6269442236112840 25671808 1357-

53、U奇 深 启 天 绿安 信 明 融 盟信 服 星 信 科辰 技安 亚 卫 山 迪恒 信 士 石 普信 安 通 网 科息 全 科 技山安绿33.8% 32.8%30.0%26.4%23.9% 22.4%17.8% 17.0%6.6% 4.6%石恒盟网信科科息技亚 奇 启 深 天 卫 迪信 安 明 信 融 士 普安 信 星 服 信 通 科全 辰技-U：Wind、：Wind、预计 22Q2 行业成本端仍有压力，22H2 有望迎来盈利拐点网络安全行业 2020Q1 整体收入由于疫情影响受损严重，导致板块出现明显收入下滑， 2021Q1 显著反弹，实现同比大幅增长，2022Q1 在 2021Q1 的高基

54、数下仍实现快速增长，验证行业需求仍处于高位。从利润端来看，网络安全行业毛利率多年保持相对稳定，但自 2019 年以来持续加大投入，一季度亏损呈不断扩大的趋势，我们判断，2022 下半年行业盈利有望进入恢复阶段。图表30： 2018Q1-2022Q1 网安行业主要企业总营收及增速图表31： 2018Q1-2022Q1 网安行业主要企业总归母净利润及增速行业主要企业总营收（亿元）行业主要企业总营收（不包含无上一年度数据企业，亿元）行业主要企业总归母净利润（亿元）行业主要企业总归母净利润（不包含无上一年度数据企业，亿元）120%100%80%60%40%20%0%-20%行业主要企业营收同比增速35

55、30025(2)20(4)15(6)10(8)5(10)归母净利润增速60%40%20%0%-20%-40%-60%-40%02018Q12019Q12020Q12021Q12022Q1(12)2018Q12019Q12020Q12021Q12022Q1-80%：Wind、：Wind、重点推荐公司深信服（300454 CH，买入，目标价 152.98）公司战略转型期费用前置、收入后置问题，导致公司业绩承压。但我们认为公司在销售和研发上的竞争优势依然存在，安全产品方面如 VPN、全网行为管理、下一代防火墙等产品份额已经连续多年位居全国前列，第二增长曲线云计算及 IT 基础设施业务解决短期供应链困

56、难后加速发展。我们看好公司网络安全+云业务增长动力，维持盈利预测，预计 2022-2024年营收分别为 90.84/119.28/153.87 亿元，采用 PS 估值，参考可比公司 一致预期平均 4.8 倍 22PS，考虑公司开启云计算第二成长曲线，给予公司 7 倍 22PS，目标价 152.98元，维持买入评级。（最新报告日期：2022/4/27）风险提示：网络安全政策不及预期、云业务推进低于预期。启明星辰（002439 CH，买入，目标价 28.76）公司持续稳健经营，多年保持网安行业第一梯队。公司自 2010 年上市以来，营业收入年均复合增长率为 25.3%，归母净利润年均复合增长率为

57、27.4%，经营净现金流年均复合增长率为 17.4%，持续稳定保持快速增长。同时，公司入侵检测与防御(IDPS)、统一威胁管理 (UTM)、安全管理平台(SOC/SIEM)、数据库安全审计与防护、堡垒机、日志审计、漏洞扫描、工控防火墙、工控主机安全等 15 类产品市场占有率第一，9 类产品处于市场第一阵营。公司凭借全国成熟的市场体系及技术累积，多年保持行业第一梯队位置，并不断强化自身竞争力。我们看好公司在市场区域及行业渠道上的业务拓展，维持盈利预测，预计2022-2024年净利润 10.75/14.31/19.03 亿元，采用 PE 估值，参考可比公司 22 年 一致预期平均19.3 倍 PE，因公司积极拓展市场及布局新兴安全，给予公司 25 倍 22PE，维持目标价 28.76元，维持买入评级。（最新报告日期：2022/5/5）风险提示：网络安全政策不及预期；宏观经济下行。奇安