「行業洞察」雲安全成爲網絡安全重要細分領域,投資機會在哪裡?

“沒有網絡安全就沒有國家安全!”隨着雲計算、大數據等技術的飛速發展,雲安全成爲了我國網絡安全行業的重要細分領域,本文將從產品結構、應用場景、發展環境、競爭格局、投資機會、發展趨勢等方面詳細闡述我國雲安全行業發展現狀。

雲安全行業概況

(一)雲安全行業定義

雲安全行業是雲計算行業的分支,雲安全即雲安全服務,將雲計算技術和業務模式應用於網絡安全領域,實現安全即服務的一種技術和業務模式。雲安全服務融合了並行處理、網格計算、病毒行爲判斷等新興技術和概念,通過網狀的大量客戶端對網絡中軟件行爲的異常監測,獲取互聯網中大流量攻擊、木馬、惡意程序、病毒等信息及攻擊流量,並傳送到雲端進行自動分析,以雲端直接處理或端雲協同處理的方式完成安全防禦。

雲安全行業包括了雲計算基礎架構的安全、雲計算服務平臺的安全和雲計算軟件的安全,具體包括數據、應用、傳輸、系統和網絡等各方面的安全,目前,雲安全服務市場的提供商主要包括兩種類型,分別爲雲服務提供商和安全廠商。雲服務提供商在多維度爲用戶提供雲上安全,如亞馬遜AWS、微軟Azure、阿里雲等;安全廠商主要負責用戶側雲安全,如McAfee、Palo Alto等。

圖表1:雲安全行業定義及分類

資料來源:融中研究整理

(二)雲安全產品結構

從責任共擔模型和雲原生兩個維度出發,雲安全產品可以大體分成三大類,分別爲傳統安全設備的雲化、雲服務提供商(CSP)爲配套雲服務而提供的安全產品以及基於雲原生應運而生的“新安全”產品和服務。

第一類是傳統安全設備的雲化。在傳統的數據中心中,安全防護通常是通過在安全域入口部署專用的安全設備來實現的,比如防火牆、IDS、IPS等。在虛擬化的雲環境下,傳統的安全防護設備不再發揮作用,因此出現了相對應的虛擬防火牆,虛擬IDS、IPS。

第二類是雲服務提供商(CSP)爲配套雲服務而提供的安全產品。常見的有威脅檢測、雲數據庫安全、API安全、容器和工作負載安全、用戶行爲監控、合規與風險管理等。

第三類是基於雲原生應運而生的“新安全”產品和服務,也是目前發展前景最好的雲安全產品,包括CASB(雲訪問安全代理),CSPM(雲安全配置管理),CWPP(雲工作負載安全防護平臺)等。其中,CASB作爲部署在客戶和雲服務商之間的安全策略控制點,是在訪問基於雲的資源時企業實施的安全策略。而CSPM產品通常使用自動化方式來解決雲配置和合規性問題。CWPP作爲一項以主機爲中心的解決方案,主要是滿足這些數據中心的工作負載保護需求,因此,主要適用於IaaS層。雖然這三大產品在功能上有一些重疊,但是三者之間更多是起到互補的作用。

圖表2:三大雲安全工具覆蓋範圍關係圖

資料來源:安全牛,融中研究整理

(三)雲安全應用場景

雲安全的應用需求場景主要可以分爲電子郵件安全、web安全、身份識別與訪問管理(IAM)、遠程漏洞評估、安全信息與事件管理(SIEM)、應用安全測試和其他等。

圖表3:雲安全應用場景

資料來源:公開資料,融中研究整理

2017年開始,電子郵件安全、Web安全以及身份識別與訪問管理(IAM)成爲企業上雲的三大優先考慮事項,這些優先事項的主要實現方法(包括SIEM、IAM技術以及新型技術與服務)是雲安全服務市場增長的主要組成部分;威脅情報、基於雲的惡意軟件沙箱、基於雲的數據加密、端點保護管理和WAF等都屬於新興服務,新興服務是雲安全服務市場增長最快的部分之一。

根據Gartner統計數據顯示,2019年IAM領域市場規模最大,佔比達到38.40%,預計2020年仍然爲雲安全服務市場的最大板塊;其次是安全的網頁網關,市場規模約爲11.20%;安全的電子郵件網關佔比位於第三,市場規模佔比達到10.4%。

圖表4:2016-2020年全球雲安全細分領域市場結構(單位:%)

數據來源:Gartner,融中研究整理

雲安全行業發展環境

(一)雲安全行業政策環境

2016年以前,針對雲安全行業的政策較少,行業政策大多隻涉及雲計算,雲安全政策尚不健全。2016年11月7日,中國《網絡安全法》獲得通過,我國網絡安全管理的綜合法律體系建設正式起航,後續配套政策和規範性文件相繼出臺,包括《國家網絡安全應急預案》、《網絡產品和服務安全審查辦法(試行)》、《網絡關鍵設備和網絡安全專用產品目錄》、《個人信息和重要數據出境安全評估辦法(徵求意見稿)》等,我國網絡安全法治體系建設加速開展。

“沒有網絡安全就沒有國家安全”網絡空間是國家主權的新疆域,網絡安全事關國家安全和國家發展,國家將網絡安全放在了更重要的位置。2018年3月中央網絡安全和信息化領導小組改爲中央網絡安全和信息化委員會,簡稱“中央網信辦”,成爲我國網絡安全工作國家層面的監管機構,隨着國家網絡安全監管機構的設立,網絡安全政策陸續實施,雲安全政策也不斷出臺。

圖表5:截至2020年雲安全行業政策法規彙總

資料來源:各大政府網站,融中研究整理

除相關政策外,網絡安全及雲安全也同時被列入國家規劃重點發展方向,隨着“十三五”規劃逐漸落實,“十四五”規劃制定實施,有效拉動雲安全產業的規劃和措施也不斷增多。如2018年8月,工信部及發改委提出的《擴大和升級信息消費三年行動計劃(2018-2020年)》、2019年4月工信部《關於工業大數據發展的指導意見》、2020年4月發改委、網信辦的《關於推進“上雲用數賦智”行動培育新經濟發展實施方案》等規劃中均對推進雲安全行業發展提出了具體措施。

對於雲安全行業來說,近年來多項政策、規劃的出臺代表着中國逐漸認可雲計算安全,是信息化發展的重大變革和必然趨勢。在政策上積極促進雲計算創新發展,但也高度重視雲計算存在的安全問題,並強調要制定雲安全的相關標準以應對網絡安全問題,是我國雲安全行業健康發展的保證。

(二)雲安全相關行業現狀分析

1、網絡安全行業發展現狀

近年來,我國積極佈局網絡安全,加快網絡安全市場佈局,並採取一系列的重大措施以應對日益突出的網絡和信息安全問題,網絡安全市場進一步擴大,而云安全作爲網絡安全的重要組成部分,也隨着網絡安全市場的不斷擴大而具備巨大的發展潛力。

根據CNCERT統計數據顯示,2020年前三季度共檢測發現我國境內感染網絡病毒終端累計1191萬個,相比2019年同期798萬個上漲了49.25%。

圖表6:2019-2020年我國境內感染網絡病毒終端數(單位:萬個)

數據來源:CNCERT,融中研究整理

層出不窮的國內信息安全事件給政府和社會公衆帶來了嚴重損失,網絡安全問題日漸突出,中國已經成爲全球遭受網絡攻擊數量位列第二的國家,近幾年,伴隨互聯網的高速發展及物聯網、工業互聯網、雲計算、大數據等新興領域和新興技術的快速發展,網絡攻擊形態更爲複雜,同時爲了應對日益複雜的網絡環境,網絡安全市場規模也日益龐大。

從黨的十八大以來,我國政府陸續出臺了《國家信息化發展戰略綱要》、《“十三五”國家信息化規劃》、《國家網絡空間安全戰略》、《軟件和信息技術服務業發展規劃(2016-2020年)、《信息通信網絡與信息安全規劃(2016-2020年)》和《中華人民共和國網絡安全法》等相關重要政策和法律法規,這爲我國網絡安全行業的發展提供了發展動力。

國家網信工作持續發力,爲網絡安全技術創新、網絡安全企業做大做強提供了寶貴機遇,也爲網絡安全產業發展創造了更爲優越的政策環境,在行業技術不斷創新和企業大做強過程中,我國網絡安全產業進入黃金髮展期。根據中國信通院2020年10月發佈的《2020中國網絡安全發展白皮書》顯示,2019年我國網絡安全產業規模達到1563.59億元,較2018年增長17.1%,預計2020年產業規模約爲1702億元,增速的爲8.85%。網絡安全市場規模的持續增長也將會給雲安全市場的發展提供良好的機遇。

圖表7:2015-2020年中國網絡安全市場規模及預測(單位:億元,%)

數據來源:中國信通院,融中研究整理

2、雲計算行業發展現狀

雲安全行業的發展是伴隨着雲計算市場規模的擴大而發展的。雲計算行業的不斷髮展爲雲安全行業奠定了堅實的基礎。根據中國信息通信研究院發佈的《2020年雲計算髮展白皮書》數據顯示,2019年我國雲計算整體市場規模達1334億元,增速38.6%;預計2020年我國雲計算整體市場規模將會達到1781.8億元,繼續保持30%以上增速。

圖表8:2015-2020年中國雲計算市場規模及預測(單位:億元,%)

數據來源:中國信通院,融中研究整理

從細分市場來看,2016-2019年,公有云市場佔比逐年提升,2019年爲51.65%;私有云市場佔比逐年下降,2019年爲48.35%。2019年我國公有云市場規模達到689.3億元,私有云市場規模達到645.2億元,公有云市場規模首次超過私有云。預計2020年公有云市場將會進一步擴大,公有云和私有云市場規模分別達到990.6億元和791.2億元。

圖表9:2017-2020年我國公有云及私有云市場規模(單位:億元)

數據來源:中國信通院,融中研究整理

根據Gartner統計數據顯示,2020年全球IT支出總額預計將達到3.4萬億美元;中國IT支出總額預計將達到2.77萬億人民幣。從全球和中國雲計算市場佔IT支出比重來看,中國雲計算市場佔比IT支出比重遠低於全球水平,中國雲計算市場未來仍有較大發展空間,從而帶動雲安全行業的快速發展。

圖表10:2017-2020年全球與中國雲計算市場佔IT支出比重對比(單位:%)

數據來源:Gartner,中國信通院,融中研究整理

雲安全行業發展現狀

(一)雲安全行業現狀分析

雲計算正在不斷改變組織使用、存儲和共享數據、應用程序以及工作負載的方式。但是同時也引發了一系列的新的安全威脅和挑戰。根據雲計算安全聯盟(CSA)發佈的《12大頂級雲安全威脅:行業見解報告》,總結了數據泄露;身份、憑證和訪問管理不足;不安全的API等12大核心安全問題。其中,數據泄露、系統漏洞、數據丟失等問題是由來已久的傳統安全問題,而不安全的API、濫用和惡意使用雲服務、拒絕服務、共享的技術漏洞等問題則是企業使用雲服務所面臨的新的安全威脅。

圖表11:十二大頂級雲安全威脅

資料來源:CAS,融中研究整理

面對傳統威脅的變革和新的網絡安全威脅和挑戰,基於自動化、遠程化、智能化的威脅檢測、攻擊防禦等新興服務模式也逐步得到推廣和應用,帶動了網絡安全市場服務化轉型。從2018年開始,出現了更多針對雲管理平臺、工作負載和企業SaaS應用額度供給,各安全企業也紛紛佈局雲安全防線,切實提供雲服務安全應用,保護包含用戶信息的應用及服務免於侵擾。

根據賽迪顧問統計數據顯示,2018年,中國雲安全服務市場規模達到37.8億元,較上年同比增長44.8%。隨着網絡安全市場規模的不斷擴大,雲計算技術提升不斷爲雲安全行業奠定基礎,雲安全行業具有廣闊的發展前景,根據前瞻產業研究院統計,2019年中國雲安全市場規模達到55.1億元,年增長率爲45.8%;預計到2021年中國雲安全服務市場規模將達 到115億元左右,未來三年年均增長率爲45.2%。雲安全服務帶來網絡安全行業商業模式的變革,給市場注入新的活力和增量,雲安全行業將成爲網絡安全中極具發展前景的細分市場。

圖表12:2014-2020年中國雲安全服務市場規模(單位:億元,%)

數據來源:賽迪顧問,前瞻產業研究院,融中研究整理

(二)雲安全行業競爭格局分析

我國雲安全市場的參與企業主要包括雲平臺服務提供商、專業雲安全解決方案提供商和傳統IT安全解決方案提供商。其中雲平臺服務提供商涉及企業有阿里雲、騰訊雲、華爲雲等,專業雲安全解決方案提供商涉及企業包括光通天下、途隆科技等,傳統IT安全解決方案提供商有亞信安全、綠盟科技、啓明星辰等。

中國雲安全市場尚處於創新發展期,與海外雲安全市場存在較大差異。從技術應用上來說,目前我國廠商尚處於追隨階段,大多數中國的安全廠商都聚焦在CWPP以保護客戶雲安全。對於一些新興的雲安全技術,CASB因爲國內缺乏重量級的企業級SaaS而導致市場較小;CSPM則因爲國內的公有云相比私有云、行業雲還是較少,尚未得到重視。但隨着國內公有云市場的加速發展,雲原生技術的應用越來越廣泛,CASB、SCPM、SASE等新興技術在國內的應用也將越來越廣泛。

圖表13:國內部分雲安全廠商的主要產品

資料來源:華經產研,融中研究整理

國內應用較爲廣泛的雲產品爲以安全資源池爲核心的雲安全管理平臺。雲安全資源池提供虛擬化的安全能力,如防火牆、WAF、IDS、IPS.堡壘機、數據庫審計等,並通過統一安全管理平臺對各類安全能力進行組織和編排,形成整體安全方案。國內安全池市場中奇安信集團以18.08%的市場份額領先,其次爲深信服科技和安恆信息,市場份額分別爲14.09%和13.19%。

圖表14:安全資源池國內廠商市場份額(單位:%)

數據來源:華經產研,融中研究整理

雲安全行業發展趨勢

(一)投資機會主要集中在產業鏈中游

隨着雲安全產業鏈的不斷完善和市場規模逐漸擴大,雲安全行業的投資機會主要集中在產業鏈中游,雲安全行業產業鏈的投資機會將會逐漸向“梭型”演變。雲安全產業鏈上游爲雲服務設備廠商和網絡提供商,未來投資機會適中,主要由於大部分雲服務設備的技術含量不高,供給來源和規模較大,行業巨頭企業已經定型,投資產出有限。產業鏈中游的投資機會較多,因爲現在“核心化”管理概念盛行,企業希望把有限資源用在最核心的技術上,包括研發資源、人力資源、渠道資源等。只有行業的核心技術不斷進步,才能推動行業的快速發展,所以中游雲安全產品、服務及解決方案提供商技術革新快,目前競爭格局發生變革的可能性較大,技術將會引領資本方向,因此,雲安全產業鏈中游未來投資機會較多。雲安全產業鏈下游主要是在電子政務、地理信息化、電子商務、企業應用軟件、物聯網等領域的應用。隨着國家政策扶持和國內政府、企業的安全意識增強,雲安全將成爲以需求爲導向的行業,故投資機會較少。

(二)智能安全推動雲安全邁向人工智能時代

隨着我國雲計算應用日益普及,用戶不再僅僅考慮“如何上雲”,而更關注“如何安全上雲”。目前,IaaS場景下除基礎環境的風險由雲計算廠商承擔外,雲主機、網絡、數據等層面的風險均由用戶和雲計算廠商共同分擔。雲主機作爲IaaS場景下的基礎和核心產品,安全問題成爲關鍵。由此,國內雲安全市場形成了以雲主機安全爲核心,網絡安全、數據安全、應用安全、安全管理和業務安全爲重要組成部分的格局。

隨着人工智能技術的不斷髮展,國家和國內廠商日益重視人工智能與安全領域的深度融合。工業和信息化部印發的《促進新一代人工智能產業發展三年行動計劃(2018-2020年)》中指出,應“完善人工智能網絡安全產業佈局,形成人工智能安全防護體系框架”。隨着智能安全需求的不斷增加,將會推動我國雲安全行業邁向人工智能時代。未來AI雲安全產品將以解決某一類安全問題爲目標,將傳統的安全技術與人工智能相融合,聚焦某一類或幾類的數據,提供更智能化的分析、決策、預測和處理模式,突破傳統安全技術的侷限。

(三)跨境數據管理爲國內雲安全新方向

在數字經濟時代,“數據”儼然已經成爲企業重要資產和關鍵的生產要素。無論是“新基建”建設要求還是政策層面的發展規劃,均將數據納入了國家基礎性戰略資源。隨着雲計算、大數據、分佈式系統和國際數字貿易的飛速發展,跨境數據管理問題成爲數字經濟國際規則的新焦點。《網絡安全法》第三十七條規定:“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。”隨着雲計算、人工智能等新技術的應用,數據管理模式也向智能化、雲化的方向發展,因此,跨境數據安全管理將成爲網絡安全尤其是雲安全的新方向。