目前,网络安全上升到国家安全的新格局。2021年11月18日,中共中央政治局召开会议,其中审议通过《国家安全战略(2021-2025年)》。会议指出,“新形势下维护国家安全,必须牢固树立总体国家安全观,加快构建新安全格局”。会议强调,“确保重要基础设施安全”,“加快提升生物安全、网络安全、数据安全、人工智能安全等领域的治理能力”等任务。习近平总书记,多次强调“没有网络安全就没有国家安全”。可见,网络安全和数据安全,在国家整体安全观战略之下,上升到国家安全的新格局。
2021年是我国十四五规划的开局之年,也是网络安全和数据安全法律法规发布最为密集的一年。网络安全产业的发展,离不开国家政策的引导,尤其国家政策提倡数字化转型,提出“上云用数赋智”的具体要求。网络安全和数据安全的法律法规,对政府和企业的安全提出合规的新要求,需要合适的网络安全产品和服务来满足这些要求。国家政策的牵引,法略法规的要求,能够极大促进网络安全产业的发展。
在这样的背景下,计算机安全专委会创新创业工作组展开2021年网络安全行业创新创业研究,分析网络安全产业发展的情况和趋势,安全创新企业的融资布局,技术领域的热点情况等,并展望未来网络安全行业的长远发展。
一、网络安全产业发展概述
从全球来看,网络安全产业的规模持续增长。根据咨询机构IDC估算,2021年全球网络安全市场规模达到1435亿美元,同比增速约为8.7%。在区域分布上,北美地区占据全球网络安全市场的最大份额,其中美国网络安全产业规模最大,接近全球的一半。英国和德国为主的西欧地区网络安全市场规模次之,达到25%。以我国、日本、澳大利亚等亚太区域的网络安全产业规模位列全球第三,达到20%。其他区域的产业规模较小,不足10%。
网络安全产业,从客户购买的产品来看,分为安全硬件、软件和安全服务三种类型。其中,防火墙类安全网关是安全硬件中占比最大的产品,终端安全和身份管理为主要的安全软件,安全咨询、安全运营、安全集成和培训和教育输入安全服务市场。
全球范围来看,网络安全企业的投融资较为活跃。根据Momentum Cyber数据,2021年前三个季度,网络安全的投融资活动非常活跃,共计850笔交易,并购交易价值总计686亿美元。
中国网络安全产业规模与全球相比,有两个特点,一是占据的份额较小,一是增长快速。IDC预测,2021年中国网络安全市场总体支出将达到102.2亿美元,在全球市场中占7.1%。在国家政策法规、数字经济、威胁态势等多方需求驱动下,中国网络安全产业市场规模持续呈现快速发展态势,年化复合增长率达到16.8%,远远大于全球年化9.41%的增长率,显示了未来中国网络安全市场的发展潜力与发展空间。
中国网络安全产业,在产品和服务的构成上有着自己的特点。主要体现在,安全硬件投资比例大,安全软件和服务投资比例小。根据IDC的统计,网络安全硬件投资,全球约占16%,我国在安全硬件上投资接近50%。
中国陆续完善和发布系列网络安全和数据安全相关的法律法规。继2016年发布《网络安全法》之后,2021年,网络安全相关法律法规密集出台。《数据安全法》、《个人信息保护法》、《关键信息基础设施保护条例》、《网络产品安全漏洞管理规定》等系列法律法规密集出台,标志着我国在网络安全在规范化和法制化逐步完善。
我国网络安全态势持续向好。网络攻防演练活动促进了企业安全防护体系的建设,提升了安全管理人员和技术人员的能力。攻防演练活动,近年来从国家到地方相继开展,不断扩大范围。政府和企业重视安全演练带来的检验效果,加大网络安全投入,完善网络威胁检测,攻击预警,应急处置等能力,从整体上改善我国网络安全态势。
二、网络安全创新创业政策分析
网络安全行业的创新发展,离不开国家相关政策的指引。2021年是十四五规划的开局之年,也是多个重要法律法规密集发布的一年。产业政策和法律法规,对网络安全产业的繁荣有重要的牵引和促进作用。
2021年3月,《国民经济和社会发展第十四个五年规划和2035年远景目标纲要》(以下简称《十四五规划和远景纲要》)正式发布。《十四五规划和远景纲要》中,对加快数字化发展,建设数字中国。提出要打造数字经济,加快推动数字产业化发展,产业数字化转型,加快数字社会的建设,提高数字政府的建设水平,建立健全数据要素市场规则等。
2021年上半年,发布《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》,主要目标在于推动我国网络安全产业,实现技术先进、产业发达的高质量发展。
2021年,是网络安全和数据安全相关法律法规密集出台的一年。《数据安全法》和《关键信息基础设施保护条例》同时在2021年9月1日开始执行,《个人信息保护法》在2021年11月执行。此外,工业和信息化部、国家互联网信息办公室、公安部联合制定《网络产品安全漏洞管理规定》,针对产品提供者和网络运营者,以及从事漏洞发现、收集、发布等活动的组织或个人,提出漏洞发现、报告、修补、发布等方面的规范要求。
国家政策牵引和法律法规的出台,让政府和企业更多的关注网络安全,提高网络安全在IT建设中的投资比例,更加促进网络安全产业创新创业的发展。
国家在下发的政策中鼓励新技术新应用的创新,为网络安全的创新创业带来新的机会。在十四五规划和高质量发展行动计划中,列举了一些新的技术领域,包括,5G、大数据、人工智能、车联网、工业互联网、物联网等等。2020年,国家发改委部署新基建策略,推动新型基础设施发展。新基建中提到了很多技术领域,比如5G、物联网、工业互联网、卫星互联网等通信网络基础设施,人工智能、云计算、区块链等为代表的新技术基础设施。此外,新基建还包括融合基础设施和创新基础设施等。
新技术领域的应用,需要网络安全的保障。不管是5G通信网络,还是物联网,工业互联网等等,在应用访问,网络通信,数据中心计算环境等等,都需要网络安全来适配这些新场景,保障业务的持续稳定运行。
2021年5月12日,美国总统拜登签署《关于加强国家网络安全的行政命令》,其目的是为了提升美国政府网络安全现代化、软件供应链安全、事件检测和响应以及对威胁的全面抵御能力。此行政命令涵盖了许多网络安全问题,包括建立一个政府和私营部门共同领导的网络安全审查委员会,审查和评估发生在美国的重大网络事件、威胁活动、漏洞、修复活动和机构响应。此外,行政命令要求联邦机构创建“零信任”环境,政府部门向云技术的迁移应在可行的情况下采用零信任架构。
行政命令主要包括以下七个方面:
· 消除共享威胁信息的障碍
· 联邦政府网络安全现代化
· 提高软件供应链的安全性
· 建立网络安全审查委员会
· 使《联邦政府应对网络安全漏洞和事件的行动手册》标准化
· 加强联邦政府网络中网络安全漏洞的检测能力
· 提高联邦政府的调查和补救能力
美国此次行政命令,背景是在发生了一系列重大网络安全事件。2021年初发生的SolarWinds供应链攻击、微软Exchange漏洞攻击,2021年5月,科罗威尔输油管道因为勒索软件攻击而关闭。这些事件的发生,暴露了美网络安全防御能力的严重不足。此次行政命令,一方面对供应链安全提出前所未有的要求,一方面对关键信息基础设施,尤其是工业互联网和工控系统的安全提出要求。
2020 年 12 月,欧盟理事会通过数字十年网络安全战略,主旨为保护欧盟公民和企业免受网络威胁、促进保护欧盟信息系统进而保护全球、构建开放、自由和安全的网络空间而采取的行动框架。
该战略指出了欧盟在未来需要采取行动的领域,主要包括:
· 建立覆盖全欧盟的安全运营中心,监测与预警网络攻击
· 与网络部门相配合,构建欧盟网络安全危机管理框架
· 致力于推动欧盟 5G 工具箱的实施,确保 5G 网络的安全性和下一代网络的发展
· 加快关键互联网安全标准的采用,有助于提高互联网的安全性和开放性,也提高了欧盟的行业竞争力
· 支持强加密技术的研发,保障基本权利与数字安全,确保执法和司法体系在线上和线下具有行使职能权力的能力
· 注意防范和打击有巨大影响的网络攻击,例如影响供应链、关键信息基础设施、基本服务、民主机构等破坏经济安全的重大攻击
· 建议成立网络情报工作组增强欧盟在此领域的专业能力
· 加强与国际组织和友好国家的合作以增进对网络威胁态势的共识
· 建议制定欧盟外部网络能力建设议程以促进全球网络改善
2020 年 12 月,欧盟理事会通过数字十年网络安全战略,主旨为保护欧盟公民和企业免受网络威胁、促进保护欧盟信息系统进而保护全球、构建开放、自由和安全的网络空间而采取的行动框架。
欧盟理事会鼓励委员会和高级代表制定详细的实施计划,以确保制定、实施和监督网络安全战略中提到建议的落实。欧盟理事会还将通过一项行动计划来监督执行的进度,该行动计划将定期对执行情况进行审查和更新。
美国和欧盟的相关政策,对我国网络安全产业有一些借鉴作用。首先,产业政策的制定要有针对性。此次美国关于加强国家网络安全的行政命令,就是针对美国出现一系列重大网络安全事件的情况下作出的。
其次,政策制定具有指导作用。美国行政命令,明确提出供应链安全和零信任体系的建立。欧盟的十年战略明确了5G工具箱的实施。具体的政策,一方面给建设单位提供明确的指南,一方面给网络安全企业的创新提供指导。
最后,我们看到,供应链在美国和欧盟都有提到。尤其是美国行政命令,特别引入“关键软件”概念,特指与系统特权或直接访问网络、计算机资源相关的软件,是供应链安全问题的重点。2021年12月的Log4j的重大开源软件漏洞,也让我们看到开源软件供应链存在着很多严重问题。我国在供应链安全的基础比较薄弱,需要从国家主管机构,和企业等层面建立软件供应链安全风险的发现能力、分析能力、处置能力、防护能力,整体提升软件供应链安全管理的水平。
三、网络安全行业投融资情况
随着我国社会加速数字化转型,政府和企业对网络安全建设的需求逐步增强,网络安全公司近些年受到全球资本的青睐。2021年国内安全市场投融资活动日常活跃。截至目前,国内安全行业共发生融资交易约127笔,根据已披露具体融资金额的交易记录显示,融资总金额超过100亿元。
在亿元级融资交易中,单次融资金额在1亿至3亿的交易占总交易数量10%,超过3亿元占21%,(包括单次融资数亿元但未披露具体金额在内)的单次融资金额超过亿元的交易占总交易数量达35%以上;在千万元级交易中,单次融资金额超过5000万元的交易占总交易数量的23%,占融资金额已披露千万级交易总数量的70%,单次融资金额在1000万至5000万元的融资交易占总交易数量的6%;另外,百万元级融资交易占总交易数量的4%。
除公司IPO以及上市公司定增外,e签宝公司于2021年9月在E轮融资12亿元,创下年初至今金额最高融资交易记录。该公司是电子签名领域的领导者,提供全球领先的电子合同全生命周期服务,公司旗下重点产品为电子签名与智能履约平台、物电一体化的印章管理平台、身份认证和智能风控系统以及基于区块链的证据管理系统。
本次融资交易由红杉中国、IDG资本、普洛斯隐山资本等机构领投,国海创新资本、广投资本、温氏资本及老股东达晨财智、远翼投资跟投。
从融资阶段的分布情况来看,今年截止目前,共有102家公司参与融资交易,位于A轮和B轮融资阶段的网络安全企业并列最多,均为19家,两者占参与融资公司总数量约为37%;位于天使轮和Pre-A轮融资阶段的公司数量并列第二,均为14家;处于以上四个轮次的网络安全公司占总融资公司数量的65%。
总体来看,国内网络安全公司在融资阶段分布上面呈现多元化态势,不同轮次的获投概率也在持续增加。
从获投企业所处的细分技术领域来看,截至目前融资交易次数排名前五的安全技术领域分别是数据安全、安全运营、身份与访问管理、工业互联网安全、云和云原生安全(应用安全并列),以上领域融资交易次数占总交易次数的76%。不难看出,资本市场对这些热门安全方向青睐有加。
数据安全领域在2021年共获得24笔融资,在所有细分领域获投次数中最多,该领域目前融资规模近20亿元(仅统计已披露具体融资金额的数据,实际规模更高)。我国今年陆续颁布《数据安全法》、《个人信息保护法》以及《关键信息基础设施保护条例》等重磅法案,从政策层面对数据合规以及各行业的数据监管提出了更严格的要求。数据安全无疑成为本年度资本竞相追逐的热点技术领域,在众多安全投融资活动中拔得头筹。
另外,在业务模式上,今年在投融资活动中出现了多次以SaaS形式交付安全能力公司的身影。相信随着国内企业的SaaS化转型,未来将会出现更多以轻资产、服务化为业务导向的网络安全公司,为客户提供更加灵活和弹性的安全能力。
从各家安全公司的投资方来看,国有资本对网络安全产业的关注度正在不断增长。2021年看好网络安全产业的投资方包括海淀国资委国新融智基金、深创投、中电科研投基金、神州数码、国家中小企业发展基金等多家国资背景投资机构。可以看到,国有资本正在加大对网络安全科技创新企业的扶持和引导,国有资本的加入对于拉动网络安全产业规模增长,促进网络安全产业蓬勃发展具有十分重要的意义。
总体来看,今年截至目前100+笔融资交易的数据反映出我国网络安全产业背后巨大的市场潜力,我国产业数字化进程还将持续加快,更多的安全需求和场景也会随之诞生,新时代下网络安全产业已势不可挡。
四、网络安全创新创业建议
我国网络安全受到各方关注,网络安全产业的利好政策不断出台,政府和企业对网络安全的重视程度不断增强。网络安全产业做大做强,应该从需求侧、供给侧、监管侧三个方面来推进和提升。
从需求侧来看,要确实满足国家法律法规的要求,建设和完善网络安全治理体系。企业网络安全投入增多,但是和欧美、日本等发达国家相比,网络安全在整个IT投入的占比还很小,说明网络安全的需求还没有充分释放。网络安全技术措施切实满足三同步要求,即同步规划、同步建设、同步使用。避免过去先上马业务系统,安全以修补的方式建设,充分释放网络安全需求。
从供给侧来看,安全产品和服务提供商要不断创新和拓宽业务。一方要修炼内功,在技术新领域和服务模式上不断创新,满足客户在新基建领域的各种需求;另一方面,有实力的安全企业,可以将业务扩展到海外市场,参与国际化竞争。
在监管侧来看,发挥政府在政策制定和市场监管的作用。法律法规的贯彻落实, 比如对等级保护2.0和关键信息基础设施的保护的落地执行,也需要监管侧的监督检查。维护公平的市场竞争环境,培育健康有序的产业生态,依赖于监管侧的监督指导。
网络安全本质在对抗,对抗的本质在于攻防两端的技术较量。网络空间安全的竞争,归根到底是网络安全人才的竞争。网络安全创新创业,既需要懂技术又创新能力的专业人才,也需要懂市场有创业精神的企业家人才。
我国出台了一些政策,增设网络空间安全一级学科,培养网络安全人才。据统计,全国170所高校设立了网络安全相关专业,每年有接近2万毕业生。国家在一些区域,成立了网络安全培养基地,为网络安全行业输出高质量人才。
培育和引进高质量领军型人才。网络安全创新发展,领军型人才在理论研究、技术创新、成果转化、应用实战等方面能够带领产业跨越式发展,掌握核心技术的高级人才能够有开创性的工作。
推进高校和企业合作,协同培育人才。网络安全是一个综合性学科,实践中,应届毕业生进入企业,还需要一段时间的培养,才能上手工作。高校和企业可以展开合作,开设有针对性的课程,学生提前进入企业实践。校企合作组织网络安全竞赛,以赛代练,选拔高质量人才。
五、网络安全创新创业趋势展望
十四五规划中提出“加快数字化发展,建设数字中国”,加快建设数字经济、数字社会、数字政府,以数字化转型整体驱动 生产方式、生活方式和治理方式变革。
数字经济蓬勃发展,与实体经济相融合。与此同时,网络安全、数据安全、隐私保护等威胁和挑战如影相随,各个行业,如电信、交通、电力、金融、医疗等,都会受到网络安全的影响,严重者会造成国家安全、社会秩序、公众利益等各方面损失。网络安全事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,怎么强调都不为过。习近平总书记总结: “没有网络安全就没有国家安全 , 没有信息化就没有现代化。”习近平总书记阐述了网络安全和信息化发展的辩证关系,指出“网络安全和信息化是一体之 两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。”
发展数字经济,加速数字化转型的同时,需要考虑网络安全和数据安全威胁对数字经济的影响,解决网络安全和数据安全领域的突出问题,符合国家相关法律要求合规经营。这是数字化发展战略对网络安全产业的需求,也是促进网络安全产业长期发展和繁荣的推手。
网络安全市场的玩家,不仅包括创新创业者,还包括传统的安全厂商,以及云计算厂商等等,他们都在积极创新。这些企业,在激烈的市场竞争中,都希望取得技术和服务的领先优势,开发一些独有的功能特征,像市场推出新产品,期望占领先机。传统安全厂商一般产品线长,有市场基础,但存在大公司的通病,决策时间长,试错成本高。创业企业则更灵活,在一些特定的领域,还未等大公司觉察,先行进入,开发新品推向市场。在单点上突破,做深做透,得到客户的满意和认可,先生存下去,是网络安全创业企业取得成功的关键。创业企业这一自发的经营行为,形成了网络安全产业的单点创新的趋势。
数字化转型期,“上云用数赋智”政策牵引,以及数据安全相关的法律法规发布,使得数据安全和隐私成为创新创业热点。数据作为生产要素,保障数据交易和共享的安全,也将促进数据安全的隐私保护的创业热度。
数据安全相关法律法规陆续颁布执行,使得数据安全成为今年投融资最为活跃的领域。法律法规从颁布到执行,需要对法律条款的细化理解和实践。静态数据的加密,动态数据的脱敏和泄漏防护等,融合人工智能等数据识别和判断。
从前面对网络安全行业投融资情况分析,数据安全相关的融资处在领先的位置。从国家政策牵引到法律法规的颁布执行,企业为了满足数据安全和隐私方面合规要求,逐渐增加数据安全产品和服务的投入。这是网络安全创新创业的热点领域,这一趋势也将长期维持。
云计算逐渐走向混合云,多云,云原生等细分领域,带动云安全朝着多云安全和云原生安全方向演进。云计算平台的集约化,计算和存储资源的弹性可扩展等优势明显,政企上云的的速度越来越快。采用多云的策略,提高可用性,避免绑定一家云服务商。据统计,全球在2025年,将会有一半的企业采用多云的部署方式。
随着容器技术和容器编排趋于成熟,越来的越多的公有云和私有云提供基于容器编排的云原生技术。CNCF 组织在2020年调研发现,已经有83% 的组织在生产环境中选择容器编排环境,容器已经成为应用交付的标准,是云原生时代计算资源和配套设施的交付单元。对于容器镜像的安全和编排环境的安全是云原生的主要需求,云原生安全会随着容器和容器编排的应用逐渐发展。