2022,向百亿数据安全市场进发(云合汇森底层核心技术系列文章之二)
来源:汇森投资 | 日期:2022-02-18 11:46:28 作者:汇森投资 行研组 | 原创 阅读次数:
“我们想通知您,贵公司的本地网络已被黑客入侵。我们已经拿到您所有的本地网络数据,解锁价格为2250万美元。”
2021年5月,全球最大的牛肉生产商JBS收到一封来自勒索软件团伙REvil的“最后通牒”。
双方经过一系列讨价还价后,JBS最终不得不向REvil支付了1100万美元的赎金,并于6月1日以比特币付款,以防止他们被盗的数据被公开泄露。
好在勒索软件团伙并未食言。JBS在付款后很快收到了REvil发来的解密工具。
在2021年,JBS并不是唯一一个被迫支付大量赎金、才能将关键基础设施重新上线运营的公司。
4月,另一个勒索软件团伙DarkSide攻击了美国最大的燃料管道Colonial Pipeline,导致向美国东南部和东北部的燃料运输暂时关闭。后来,Colonial Pipeline证实,他们不得不向DarkSide支付四五百万美元的赎金,以便快速重启其燃料管道——他们实在等不起。
同样是2021年上半年,在国内,一桩被认为是人民法院史上判决赔偿额最高的侵害商业秘密案件也引起了人们的关注。
2021年2月,浙江嘉兴中华化工公司等与王龙集团公司等侵害技术秘密纠纷上诉案,被诉侵权人王龙集团公司等盗用香料“香兰素”技术秘密,被判赔偿技术秘密权利人1.59亿元。
最高法表示,该案系我国法院生效判决赔偿额最高的侵害商业秘密案件。通过该案判决,依法保护了重要产业核心技术,切实加大了对恶意侵权的打击力度。
该案的涉案产品为“香兰素”,具有香荚兰豆香气及浓郁的奶香,起增香和定香作用,广泛用于化妆品、烟草、糕点、糖果以及烘烤食品等行业,是全球产量最大的合成香料品种之一。
资料显示,嘉兴中华化工公司凭借其生产香兰素的新工艺成为全球最大的香兰素制造商(本案侵权行为发生前),占据全球香兰素市场约60%的份额。但在2010年,嘉兴中华化工公司前员工——傅祥根从王龙集团公司获得报酬后,将“香兰素”技术秘密披露给王龙集团公司监事、宁波王龙科技股份有限公司(简称王龙科技公司)董事长王国军,并进入王龙科技公司的香兰素车间工作。2011年6月起,王龙科技公司开始生产香兰素,并在短时间内成为全球第三大香兰素制造商。
发生在2021年上半年的这几桩事件,都有一个共同点——均与工业企业的数据安全密切相关,社会影响重大。
事实上,过去几年涉及数据安全的事件一直在迅速增加。
早在2015年,国内30省5000多万社保数据泄露;2018年,华大基因数据出境被科技部处罚;2019年,Yahoo因为泄露30亿账号数据,不得不支付超1亿美金的和解费用;2020年,万豪酒店数据泄露被罚款1800万英镑。
根据风险基础安全(Risk Based Security)的数据显示,2020年全球数据泄漏达到360亿条,创历史新高。对比传统的网络安全威胁,数据安全威胁更加多样化,不再局限于利用安全漏洞、恶意流量、病毒木马等攻击手段,数据安全问题集中爆发在特权账号弱口令、数据权限滥用、API接口攻击等方面。
那么,数据安全事件为何会愈演愈烈?其间又将诞生一个多大的安全市场?在强监管周期内,相关企业又该如何解决相应的痛点?
01数据价值的重估
美国科技创投圈大佬彼得蒂尔在他那本《从0到1》中曾经说过:一个人发现了某种秘密之后,一个好的选择就是以此为基础做一桩相关的生意。
但他没说的一点是,除了努力把生意做大之外,你还有一件事要做——那就是想方设法保护好你的秘密!
那么,一个秘密的价值究竟几何?秘密的守护者们又愿意为此付出多大代价呢?
首先,我们应该看到,秘密本身——也即数据安全的核心保护资产——数据的价值正在被“重估”。
如今,全球每天产生2.5万亿字节的数据,随着越来越多的人和设备连接到Internet,该数字将以更快的速度增长。
IDC对全球数据规模进行的预测显示,到2025年,全球数据可达175ZB(十万亿亿字节),其中有超过一半(90ZB)来自物联网设备,80%的数据是非结构化的,数据交互用户则将从2018年的50亿上涨到60亿。
随着数据收集的持续增长和用于货币化的新技术的兴起,它将成为越来越有价值的资产。不仅仅是投资者,所有想通过数据牟利的人都在使用新的分析框架来评估公司数据,以便更好地了解其内在价值和增长潜力。
从投资的角度,举例来说,美国S&P 500指数中排名前五的公司(苹果、Alphabet、微软、亚马逊和Facebook)都是“数据”含量很高的科技公司,它们合计占该指数的26%上下(2021年)。从这个角度看,数据确实非常有价值。
在互联网革命之前,公司通常根据其有形资产进行估值。比如一家能源公司可以根据其油气储量获得估值倍数,也可以通过其机器设备的价值来衡量。而现在,数据成为企业估值的一个重要维度。
将数据视为资产的一个主要支持论据是,公司在收集、存储和使用其数据方面进行了大量投资。从全球来看,预计到2022年,大数据和分析的总支出将达到2740亿美元。但是,如今的会计准则在很多地方尚未将数据视为资产。因此,与存储和保护数据相关的成本被视为支出而不是资本投资。在所有条件相同的情况下,将数据视为公司资产负债表上的资产可以增加公司的账面价值,这无疑也直接影响公司的PE和PB倍数,估值随之调整。有数据统计,如果公司将其拥有的数据量增加一倍,则其价值可能会增加三倍。
数据价值得到充分的衡量更体现在数据资产化这一趋势上。
数据资产一词诞生于上世纪七十年代,然后在2011年的世界经济论坛上,首次提出了数据成为新的经济“资产类别”;同一年,“数据资产”的概念第一次出现在我国A股企业年报中。
目前在国内,数据资产化相关政策经过起步、深化两个阶段后,现在已经进入应用阶段。该阶段更多鼓励数据的深度应用,首次提出将数据与土地、劳动力、资本、技术等要素并称为五大生产要素。未来数据要素的市场化配置能力将得到进一步发挥。
截至2020年5月,我国A股市场共计84家企业在组织、生产与运营中实际应用了“数据资产”,但总量仍不足A股市场企业总量的3%。根据Gartner预测,到2022年,90%的企业将明确数据作为关键企业资产。
2021年11月25日,上海数据交易所揭牌成立仪式在沪举行,并达成了部分首单交易,也将有望成为引领全国数据要素市场发展的“上海模式”。
数据资产化将迅速推升我国的大数据产业市场规模。根据大数据产业生态联盟《2020中国大数据产业发展白皮书》的数据,2019年中国大数据市场规模达5397亿元;预计2020-2022年的市场规模CAGR为23.46%;2022年市场规模有望超10000亿元。
当然,如果从不法牟利者的角度来看,跟数据相关的利益同样在水涨船高。
如文首案例所示,勒索者要求事主支付的赎金已经高达千万美金,其中蕴含的巨大利益依然在吸引不法者采取各种手段对“数据”继续下黑手。
02数据安全产业的崛起
数据价值在各个层面逐步得到认可之时,“数据安全”的地位也迅速被抬升。
驱动之一基于产业自身的进化。我们从安全圈的风向标——RSA大会最近二十年的主题/议题变化就能看到其中的发展主线。
在2000年之前,大会的主要方向是围绕“黑客扬名,信息加密”等话题展开;同一时期,中国的计算机安全事业才开始起步。
从2002年至2012年,大会关注的方向开始转向云和网络安全,大会探讨的话题开始出现“保护虚拟世界中的敏感数据(云中的DLP)”、“云安全的支柱——扭转与黑客斗争的局面”、“盘点十大数据库外泄事件”等等;在同一时期,中国网络安全逐渐走向正轨,国家出台一系列重要政策,安全产业和市场开始迅速发展。
到了2013年至2021年这一阶段,大会关注的方向明显开始聚焦综合数据安全,比如大会主题出现了“掌控数据捍卫安全”、“知识安全”、“分享·学习·保护利用集体智慧”等字眼,大会议程中更是出现了“数据保护的未来(适应隐私发展)”、“GDPR(《欧盟一般数据保护条例》)要领”、“勒索软件与物联网”、“针对ICS(工业控制系统)的攻击”、“小心你自己的数据”等一系列跟数据安全、工业安全密切相关的具体议题;在同一时期,中国安全产业加速创新发展,中央网络安全和信息化领导小组成立,《深入实施国家知识产权战略行动计划(2014—2020年)》开始颁布实施。
驱动之二来自政策层面。
除了上文提到的数字资产化相关的政策之外,截至2021年,我国的数据安全监管框架已经基本成型:《网络安全法》、《数据安全法》、《个人信息保护法》成为数据安全领域的“三架马车”。此外,在银行、通信、工业、能源等各领域也已经有一系列条例规章从实践角度推动产业内数据安全治理体系的落地。
2021年9月,工业和信息化部发布《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》,提出要加快推动工业和信息化领域数据安全管理工作制度化、规范化,提升工业、电信行业的数据安全保护能力,防范数据安全风险;还提到,要推动数据敏感企业建立数据全生命周期安全管理制度,针对不同级别数据,明确制定数据收集、存储、使用、加工、传输、提供、公开等环节的具体分级防护要求和操作规程。
地方政府也在积极落实国家政策和上位法精神,陆续出台相关地方法律法规。2021年6月,《深圳经济特区数据条例》出台,率先就数据保护和利用开展地方立法,规范数据要素市场化行为,推动数据的有序流动和数据产业的健康发展。2021年9月,《上海数据条例(草案)》公开征求意见,征求意见稿在《数据安全法》等上位法的框架下,结合上海实际,建立了全面的数据安全治理体系。
进入2022年,与数据安全相关的政策还在继续细化。
先是国家互联网信息办公室颁布《网络安全审查办法》修订版,将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查。然后,国家九部委联合发文规范平台企业发展,再次针对互联网企业合规经营,强调防止数据过度采集,打击黑市数据交易、大数据杀熟等滥用行为。在严格保护算法等商业秘密的前提下,支持第三方机构开展算法评估,引导平台企业提升算法透明度与可解释性,促进算法公平。要求平台企业深入落实网络安全等级保护制度,探索开展数据安全风险态势监测通报,建立应急处理机制。
2月10日,工信部发布通知,再次公开征求对《工业和信息化领域数据安全管理办法(试行)》的意见。可见,与数据安全相关的管理办法等细则正在加速落地。
综上我们可以看到,在新的数据安全监管体系下,数据安全正在从传统的“系统视角”(保护存放数据的系统设备)向“业务视角”(围绕数据流动展开全生命周期防护)转变。
以数据与算法为核心的监管正在深刻影响国内IT产业格局。数据和算法安全已经成为互联网乃至所有数字化企业的监管核心内容,也将对其盈利能力、商业模式、成长边界等将产生深远影响。所有企业为满足数据安全的合规要求将进行越来越多的投入。
驱动之三来自企业客户的需求,无论是从企业内部还是外部法律规定来看,数据安全都已成刚需。
对于企业而言,一方面看到安全事件频出,已经在主动寻求解决方案;另一方面,有的企业想不主动也已不可能。因为随着相关政策的不断颁布和落地,行业来自合规方面的压力增大,针对数据安全“上手段”已是“必选项”,尤其是政企、金融、能源、电力等行业中,相关“刚需”采购正在越来越多。
此前,海比研究院针对数据资产化工具核心能力的一次调研结果就显示,企业用户比供应商更关注的两点:合规与权限管理,都与数据安全相关。
03走进综合数据安全时代
当“数据安全”的地位水涨船高时,应对“数据安全”的难度也在同步增加。不管是用户还是供应商,都要看到,跟“数据”相关的多个层面在过去几年中均发生了许多大变化。
首先是数据类别的多样化。
所有人都能看到数据量的指数级增长,更关键的是,随着业务的持续扩大与数据应用的不断裂变,在原有的结构化数据之外,海量、多元和非结构化成为数据发展新常态。大多数企业组织,在早期根本没有从数据治理的角度去考虑相关的安全特性,数据本身又因为特征多、分布散、关联关系复杂等特性,造成大量低质量、关系模糊的数据存储在分散的数据载体中。这给组织的数据资产梳理造成了困难,而建立在数据资产梳理基础之上的持续安全保障更是难以实施。
其次,与数据产生和使用相关的客户场景也越来越多样化,安全需求更为综合。
在企业内部,随着新一代信息技术的快速演进,所谓业务系统已经包括了手机、台式机、平板电脑等多种类型的终端设备接入,网络安全边界范围由实体可见的数据中心向看不见、摸不着的云端、终端不断延伸。尤其在疫情蔓延的过去两年中,员工使用自有设备进行远程办公逐渐成为常态,访问需求的复杂性扩大了内部资源的暴露面。
在工业生产环节,随着工业互联网建设在广度和深度上不断拓展,打通了企业内外网,实现了信息技术(IT)与运营技术(OT)的融合,工业控制系统(ICS)中的数据面临的安全隐患也陡然上升。
在各种组织之间,通过业务协同、数据共享,实现流程优化、合作共赢已经成为了共识。数据应用场景和参与主体的日益多样化,使得数据伴随业务及应用在不同载体间流动和留存,贯穿于信息化和业务系统的各层面、各环节。组织间的合作共享导致数据资源的访问量和访问人员大幅增加,极容易引发数据权限管理不清、使用情况不明等安全问题,最终酿成数据安全事件。历年的“净网行动”曾发现多起由于权限盗用导致的敏感数据泄露事件。在这种复杂应用环境下,保证核心商业数据、核心工业生产数据以及用户个人隐私数据等敏感数据不发生外泄,就是人们在数据安全层面的基本要求。
第三,是与数据安全相关的技术手段必须综合施策才能收到效果。
根据《GB/T37988-2019信息安全技术数据安全能力成熟度模型》国家标准,数据的生命周期分为采集、传输、存储、处理、交换和销毁六个阶段,在各个阶段对于数据安全的核心技术能力诉求如下图所示:
除传统围绕数据的生命周期,沿着数据的采集、传输、交换、存储、处理与销毁流程直接与数据或者数据库相关的产品外,像数据安全治理、身份与访问管理(“零信任”体系)、隐私计算、云数据安全(SASE)等,也都已经是数据安全产业的重要组成部分。
以隐私计算为例,企业内部借助隐私计算,能切实保护企业在采集、存储、分析等过程中的关键信息;另一方面,由于隐私计算能够实现数据“可用不可见”,可以帮助不同企业和机构与产业链上下游的主体进行联合分析。
各类安全技术的不断涌现,也导致数据安全市场(以及整个安全市场)产品碎片化非常严重。根据安全牛(2021年)的数据,网安行业目前涉及到14项一级安全分类,106项二级细分领域。这种现状也导致企业用户在挑选供应商时,对具备“综合性”安全能力的“平台型”厂商会更为青睐。
作为国内综合数据安全领域的“全能型龙头”,亿赛通公司对国内数据安全领域的用户需求和发展趋势有着深刻理解。
亿赛通公司把整个数据安全市场过去近二十年的发展,分为四个阶段。
第一阶段,主要是以数据载体为安全目标核心,核心是保护边界,防止外部入侵,对外部进行监管。这个阶段是以一种系统安全的思想来保护数据,主要强调边界防护和防止黑客入侵。
第二阶段,是将数据放到相应场景中结合业务进行考虑,其提供的安全措施应该符合特定的活动场景。
第三阶段,开始上升到系统化的数据安全治理,最关键的特征是体系化安全。数据上升到资产、基础设施层面,安全不再是一个技术上的安全,实际上是组织规范加技术的整合,以呈现整体的安全。
第四阶段,大数据交易、分享的安全成为业内热点。“数据资产”正在真正流转、交易起来,数据安全要起到全程保驾护航的作用。
正是基于这一趋势判断,亿赛通公司在理念和模式两个方面给出了自己的答案。
首先在理念上,亿赛通提出一种结合了“分 · 放 · 管 · 服”的数据安全建设理念,力图分别从制度和技术角度为客户建立数据安全防线。其中,制度主“建”,技术主“战”,对数据和人实现分权分责分风险,形成放权管责相结合的态势。
具体来说,就是首先要针对公司的所有数据资产进行区分对待。一是进行风险评估、漏洞分析,二是进行数据确权、数据分类、分级保护,三是针对具体的权限、职责和对象进行区分处理。
亿赛通董事长兼总经理崔培升表示,在各种应用场景中,有些数据和环节需要强管控(比如针对软件代码、工艺流程等商业IP的加密),有些需要弱管控(主要通过审计发现问题),这两类安全手段要协同匹配使用,才能既保障数据安全,又保障数字经济生态的运营效率和C端的工作体验。
其次是产品模式上,亿赛通通过整合大数据技术、可信计算技术、安全技术,打破传统单一模块化管理模式,转向基于平台化的安全新模式,正在逐步完善智能管控和态势感知两大平台。
在具体的产品方案上,亿赛通从“云、网、端”三大类应用场景出发,细分了五大类产品,包括安全服务类、审计检测类、加密防护类、安全管理类、安全平台类等40余项精品产品模块,涵盖了数据资产管理、大数据安全、商业数据安全、专网数据安全和个人数据安全,从不同维度提供产品和服务,形成一体化智能管理,打造数据安全领域真正意义上的综合解决方案。
亿赛通的两大主打产品——数据防泄漏(DLP)产品和电子文档安全管理系统(CDG)——的市占率连续多年均位列行业第一(CCID《中国数据泄露防护市场》年度报告)。
比如其网络数据泄露防护系统(NDLP)产品,可以实现同平台管理网络数据和邮件数据,采用大数据存储、机器学习、智能分析模型、数据挖掘算法、灵活多样的策略组合、多维度的数据统计分析、三权分立的管理体系,在网络端和邮件服务器端建立一道数据泄漏防护的安全屏障,为客户提供全方位的数据安全服务。
另外,亿赛通的加密防护类产品采用其核心专利技术,支持国密SM4对称算法,独立密钥管理方式,全方面满足网络安全法、等保政策要求,电子文档安全管理系统(CDG)具有透明加密、主动加密、智能加密等多种加密方式,对数据进行智能识别、智能分类、智能加密,保障核心数据资产无泄露,满足了用户核心业务数据的加密保护需求。
如今,亿赛通的产品方案已经在党政、金融、能源和制造等主要行业中获得了数万中大型客户,更多SaaS化新品正在加速推向中小企业市场。
04红利展望与理性预期
基于针对行业和亿赛通这类标杆性企业的分析可知,未来几年必然是数据安全大发展的关键时期。亿赛通公司就表示,随着数字经济、相关合规政策等层面带来的红利将逐一落地,该公司未来几年的营收将保持高速增长。
那么,数据安全市场的规模具体有多大?
据Gartner预测,2023年,全球80%以上的公司将面临至少一项以隐私为重点的数据保护法规,2024年隐私驱动的数据保护和合规技术支出将在全球突破150亿美元。随《数据安全法》等落地、数据交易市场快速发展,KPMG预计2023年国内数据安全技术服务有望达百亿,随IT架构走向云化,长期将撬动千亿级的数据安全SaaS运营收入。
此外,根据中国网络安全产业联盟最新公布的网络安全市场规模数据,预计到2023年我国网络安全市场规模有望达到809亿;另据信通院安全所信息安全部主任魏薇表示,我国数据安全市场规模将在2023年预计达到97.5亿,届时数据安全在整体网络安全市场占比将达到12.1%,且自2016年以来呈现连续增长态势。
天风证券研究所在一份报告中认为,工信部在2021年7月16日发布的《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》中提出未来三年电信等重点行业网络安全投入占信息化投入比例达10%,这其中随之带动的也包含了数据安全领域的投入。如果通过对现有重点行业在网络安全领域的投入占比情况进行测算,该机构认为,未来政府、金融、医疗卫生以及能源行业在数据安全领域的投入有望进一步打开1至3倍的成长空间,整体数据安全领域仍有近1倍的弹性增长潜力空间。
在整体市场空间不断拓展的过程中,平台类安全公司的崛起尤其值得关注。
如果说眼下的安全产业已经进入下半场,那么这个“下半场”最大的特点之一可能就是综合平台型企业的崛起。
根据相关数据,我国网安CR5市场占有率在2018年为25.1%,2019年上升到27.7%,CR8基本达到40%,说明我国网安市场已由竞争型转变为低集中寡占型(CCIA&数说安全)。
前文已经提到,无论是供应商还是客户,目前为了提升系统防御能力,解决产品间数据融合和协同机制,都在整合产品,以集成化、平台化的软件形式完成部署。单一功能的细分市场产品竞争力将逐渐弱化,市场份额开始向提供整体解决方案的综合类厂商汇聚,市场集中度逐步提高。
以亿赛通为例,该公司本身所处的数据安全主赛道无论增速还是客户粘性均远高于传统安全产品,年营收在超过亿元之后,量级还在继续高速抬升之中。
再具体到安全平台产品的市场空间,也已有机构进行了专门测算。比如态势感知平台,《十三五国家信息化规划》明确将网络安全态势感知列入网络安全保障体系中,主要服务于监管类客户(各级公安和各级网络安全和信息化委员会办公室)和关键信息基础设施保护类客(运营商、金融、大型央企以及各级部委和政府用户等)。据数世咨询调研统计,2019年国内态势感知市场规模约在32亿元左右,2021年的规模已超50亿元。
另外,天风证券研究所也对“数据安全管理平台”的空间进行过测算。测算显示,数据安全管理平台有望带动传统数据安全产品设备的销售,短期内撬动20亿以上市场空间,远期市场规模有望达到数百亿。
最后,如果说这一市场中有什么值得警醒的地方的话,那就是要注意管理好对项目营收以及估值的合理预期。
2021年10月,国盛证券在一份报告中认为,上市公司卫士通将直接受益于数据安全订单落地,并且进行了相关测算。其测算数据显示,如果参考隐私、营销、安全和数据治理公司OneTrust的估值(15xPS),卫士通2023年、2025年数据安全业务的潜在市值分别可达1112亿元、2508亿元。
二级市场之外,一级市场中一些项目的估值更是早已起飞。
比如在隐私计算领域,一些资深技术专家告诉我们,如果从产品技术上看,目前全行业基本都处在研究阶段,很难说已经实现真正的产品化,部分号称隐私计算的企业基本可以认为是在“打擦边球”( 80%的传统安全技术+20%的隐私计算技术)。以同态加密为例,理论很美好,但算法还没有解决完备性(加密后不能回复),另外效率也太低(每秒完成1-2MB),如果是海量大数据的话根本没法使用。而且,这些还没有算上在算力上所需的巨大成本。总起来说,就是产品还无法真正“work”。
显然,不管是企业还是投资机构,对于产品技术的发展和后续的估值,还是要抱有合理的预期。
参考文献
天风证券:《数据安全:固基修道,履方致远》
天风证券:《计算机年度策略报告:计算机两个核心矛盾》
国盛证券:《数据安全政策密集发布,千亿产业爆发拐点已至》
中国工程院李幼平院士:《国外工业互联网安全产业布局情况及对我国的启示》
投资案例