(报告出品方/作者:华泰证券,谢春生、范昳蕊)
数字经济时代来临,需求与政策共振推动数据安全发展
全球数据量高速增长,数据安全风险敞口激增
全球进入数字经济时代,数据量呈现高速增长态势。随着云计算、AI、5G、物联网等新兴 技术的快速普及,全球各类重点产业加速数字化转型,带来数据量的高速增长。根据 IDC 发布的数据,全球数据量从 2010 年的 2ZB 增长到 2021 年将近 60ZB,2025 年预计将增长 至 175ZB,其中中国将成为数据量最大的国家,数据量将达到 48.6ZB,占全球总量的 27.8%。
境内外数据泄露事件频发,数据安全问题亟待解决。2021 年,美国社交软件 Facebook 因 系统漏洞泄露超过 5.33 亿用户的个人信息;美国油管公司遭遇勒索病毒攻击,核心数据被 加密,迫使其一度关闭整个能源供应网络,极大影响了美国东海岸燃油等能源供应,美国 政府宣布进入国家紧急状态;印度移动支付软件 MobiKwik 因黑客攻击泄露约 1 亿用户的信 息;美国电信企业 T-Mobile 因服务器被黑客入侵泄露 4860 万用户的数据;“滴滴出行”App 存在严重违法违规收集使用个人信息问题并下架。数据安全问题频出,对社会经济及相关 企业经营均带来了不利影响。数据安全与企业生产经营的关系愈发紧密,同步催生了下游 用户对数据安全产品和解决方案的需求。
我国数字经济加速发展,核心产业占 GDP 比重将进一步提升。2022 年 1 月,国务院印发 《“十四五”数字经济发展规划》,强调“以数据为关键要素,以数字技术与实体经济深度 融合为主线,加强数字基础设施建设,完善数字经济治理体系,协同推进数字产业化和产 业数字化,赋能传统产业转型升级,培育新产业新业态新模式,不断做强做优做大我国数 字经济,为构建数字中国提供有力支撑”。同时,《规划》明确提出到 2025 年,数字经济迈 向全面扩展期,数字经济核心产业增加值占 GDP 比重达到 10%,数字化创新引领发展能力 大幅提升,智能化水平明显增强,数字技术与实体经济融合取得显著成效,数字经济治理 体系更加完善,我国数字经济竞争力和影响力稳步提升。其中,上海市政府提出“到 2025 年,数字经济核心产业增加值占全市生产总值比重达到 15%左右,规模以上制造业企业数 字化转型比例达到 80%左右”;江苏省政府提出“到 2025 年,数字经济核心产业增加值比 重达 13.5%左右”。
全球多个发达地区已将数据保护及数据安全提升至国家高度
数据安全问题在全球多个发达地区持续得到政府的高度重视。1981 年,欧洲委员会发布了 《个人数据自动化处理中的个人保护公约》,对个人隐私数据进行保护。随着数据要素在经 济发展中的重要程度持续提升,全球多个发达国家及地区对数据安全的重视程度逐渐提升, 各地政府颁发的相关政策也越来越密集。2018 年,欧盟发布《通用数据保护条例》(General Data Protection Regulation,GDPR),明确了用户对属于自己个人的数据有绝对掌控权, 规定欧盟所有成员国企业在收集、传输、保留、使用个人信息上都必须要取得用户的同意。 GDPR 的出台标志着全球各个国家地区在数据领域的竞争发展开始加速。在欧盟持续加强 数据领域发力的同时,美国也加快围绕数据的立法及法律法规体系建设,陆续发布《应用 程序隐私保护和安全法案》(APPs Act of2018)草案、《加州消费者隐私保护法案》(CCPA) 等相关数据保障法案。2022 年 6 月,美国参议院与众议院发布了《美国数据隐私和保护法 案》草案(American Data Privacy and Protection Act,ADPPA),有望进一步树立全国性 的联邦标准。此外,日本、韩国等其他发达国家也加速针对数据保护出台相关法律,助力 数据产业正规化发展。
在法律法规层面不断完善的同时,全球各地监管机构对数据安全泄露问题执行严格的处罚。 2020 年 10 月,英国政府就对万豪集团泄露顾客个人信息的事件对万豪集团罚款 1840 万英 镑;2020 年 11 月,美国联邦贸易委员会对 Zoom 的数据安全问题实施非常高压的监管。 随着各国政府的监管不断趋严,国外企业对数据安全的重视程度越来越高,推动海外数据 安全产业不断发展。
国内相关支持政策及行业标准也正在加速落地
数据安全成为国家安全重要组成部分,顶层设计不断完善,护航数字经济发展。当前,我 国已进入数字经济时代,数据作为继土地、劳动力、资本、技术后的第五大生产要素,数 据安全的重要程度。为保障数字经济时代的数据安全同步发展,国家加速推出多个国家级 法律法规、地方行政规范等数据安全相关支持政策,全面构建数据安全防护体系,护航数 字经济发展。 2016 年以来,国家已颁布多部法律保障数据安全。随着《网络安全法》、《密码法》、《数据 安全法》、《个人信息保护法》的颁布,数据安全顶层设计逐步完善,实现从立法层面的良 好支撑。
国务院密集发文引导各领域加强数据安全保护。数据安全多次出现在我国的数字经济发展 规划、数字政务指引和各领域的经济发展规范等文件中,这些文件明确各政府部门须提升 对数据安全的重视程度,完善数据安全管理政策,制定数据安全标准,形成数据安全保护 体系。近年来,涉及数据安全的国家级行政法规政策文件发布数量逐步增加,数据安全的 重要性持续凸显。
各大部委陆续发布具体化的数据安全规章,加强对数据和个人信息的管理。网信办、公安 部、全国信息安全标准化技术委员会等部门提出对个人信息安全的相关规范,包括界定 APP 使用个人信息的范围标准、明确个人对个人信息的权利以及评估个人信息出境安全等规范, 加强对个人信息安全的保护;同时,还提出关于数据安全管理的政策,包括评估数据出境 安全、网络数据管理等的相关文件,加强数据安全保护。
海外数据安全推动 DLP 发展,国内 DLP 适应中国特色
目前数据安全领域常用的数据安全防护措施包括安装安全容器、文档加密、云桌面、数据 库安全、数据防泄漏 DLP、加密与文档管理等产品,以及数据安全治理、个人隐私保护等 服务。其中数据防泄漏 DLP 使用最为广泛,是数据安全领域中最为重要的产品。
DLP(Data Loss Prevention,数据防泄露)的概念最早来自美国,后落地形成相关产品, 在海外市场目前已经应用的非常成熟。数据安全防护是解决三个问题:(1)系统中有哪些 敏感数据,它们分布在什么地方;(2)谁在使用这些数据,它们的流转情况怎样;(3)如 何能够更好地保护这些数据。为了解决这三个问题,DLP 技术做到以下三点:(1)对关键 数据进行识别,这里面会用到的识别技术包括高级正则表达式、贝叶斯分析、元数据匹配、 高级图像识别、认为监督的机器学习文档识别等;(2)跨终端、网络、存储、云来保护数 据;(3)根据内容和上下文动态地监视、提示、警告、阻断可能的数据泄露威胁,并提供 事件响应工作流程及审计工作表以协助人工。 DLP 不是单指一项技术,而是多个网络安全技术和网络安全管理流程集合在一起的系统。 为了达到保护的最好效果,DLP 会对数据所存在的所有通道进行覆盖,包括云、网、端及 存储。针对每个数据通道,DLP 都有一款或者几款产品去进行数据保护。例如多次获得 Gartner DLP 魔力象限领导者地位的 Symantec,其 DLP 产品家族包括网络监控、邮件防 护、网页防护、终端保护、数据甄别、Office 365 保护等。
海外市场由于数据安全法律法规体系相对健全,且对数据安全泄露问题处罚措施非常严格, 因此企业内部主动泄露的情况比较少见,部署 DLP 主要是为了防止外部入侵,或者是用户 无意行为导致数据丢失的安全问题。国内市场目前仍处于对数据安全的立法执法的初级阶 段,且用户的安全意识不强,有意泄露的情况相比国外更为常见,因此 DLP 在国内主要功 能是防止任何方式的数据泄露,更侧重于内部的加密权限。
国产 DLP 起步相对较晚,但国内数据安全市场增速有望领先全球。目前国内众多网络安全 上市公司,以及天空卫士、天锐绿盾、华途等新兴厂商都在国内推出了 DLP 产品,共同角 逐数据安全领域市场机遇。根据 Gartner 发布的《2020 年企业级数据泄露防护市场指南》 中,全球甄选出的 15 家领先代表性厂商,仅有 1 家中国厂商(北京天空卫士)上榜,主要 是由于国内 DLP 起步时间相对晚,国内数据安全才刚刚步入起步阶段。但我们认为,随着 国内政策对数据安全愈加重视,国内数据安全保护也将逐步向国际主流国家靠拢,国内 DLP 市场发展潜力广阔。同时国内特殊的市场环境又要求 DLP 具备中国特色,海外厂商在技术 落地上存在劣势,中国厂商尤其是技术研发实力更强的上市企业更大有可为,未来会充分 受益于 DLP 市场的发展。
DSMM 成为数据安全领域国家标准,引领行业正规化发展
2019 年 8 月 30 日,《信息安全技术-数据安全能力成熟度模型》(GB/T 37988-2019)简称 DSMM(Data Security Maturity Model)正式成为国标对外发布,并已于 2020 年 3 月起正 式实施。DSMM 作为数据安全领域的国家标准,为数据安全的实现提供了可参照的行业规 范。DSMM 将数据按照其生命周期分阶段采用不同的能力评估等级,分为数据采集安全、 数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全 七大过程维度。同时,DSMM 从组织建设、制度流程、技术工具、人员能力四个安全能力 维度的建设进行综合考量。DSMM 将数据安全成熟度划分成了 1-5 个等级,依次为非正式 执行级、计划跟踪级、充分定义级、量化控制级、持续优化级,形成一个三维立体模型, 全方面对数据安全进行能力建设。
DSMM 的评价方法主要是评分制,先对每个过程域(PA)的四个能力维度(BP)进行打分, 再通过计算平均分、修正分值的方式得到最终的 PA 分值,最终得到整体的综合得分。
DSMM 是以组织为主要评估对象,侧重于数据全生命周期的防护;而等保以系统为主要评 估对象,偏向传统的网络系统安全,侧重于物理安全、网络安全、安全建设管理等方面的 网络系统安全保护。
头部厂商纷纷加强投入,占领数据安全高地
当前数据安全市场需求逐渐显现,网络安全行业厂商纷纷推出数据安全产品及解决方案。 国内的数据安全需求由政策和市场自发需求双重驱动,政府、医疗、金融、企业等领域对 数据安全的重视程度持续提升,对数据安全的投入也稳步增长。国内头部网络安全厂商深 信服、启明星辰、奇安信、安恒信息、天融信、绿盟科技、亚信安全都相继推出数据安全 产品和解决方案,以不同的数据安全理念构建数据安全体系,激发数据安全供给端活力, 推动数据安全行业加速发展。
深信服:深度融合数据流动与安全能力
融合多年网络安全经验,深信服推进数据安全体系化建设。公司数据安全产品主要为数据 库安全审计系统产品。公司数据安全体系具备一定优势,围绕数据安全应用的访问、API 的访问,其能够全面监测敏感数据流转,发现全局数据安全隐患;其次,基于敏捷开放的 数据安全能力,融合碎片化的组件能力,提供简单有效的整体安全防护能力;同时深信服 长期深耕网络安全领域,拥有非常强的应对复杂攻击和未知威胁的能力,能够形成外防内 控的安全体系。
启明星辰:开启数据安全 3.0 全新发展阶段
启明星辰为业内最早布局数据安全赛道的企业之一,在数据安全领域经验丰富。公司于 2003 年就抢先布局数据安全领域,历经近 20 年的发展。公司将数据安全产品发展划分为 数据安全 1.0、2.0、3.0 三个阶段,从 1.0 阶段文件安全和数据库安全为核心,到 2.0 阶段 以数据的汇聚安全为核心,至 3.0 阶段以数据流通安全为核心。公司数据安全产品主要包括 数据防泄露系统、数据库审计与防护、数据库动静态脱敏、运维安全网关、文档加密、电 子签章、数据库防火墙、数据库加密系统。公司还推出天榕数据安全管理平台,融合各项 数据安全能力组件,为数据安全管理、管控、监控提供能力保障,为数据安全运营提供技 术能力支撑。目前平台已部署政府、运营商等多个行业。
奇安信:开放式数据安全平台助力数据价值挖掘
奇安信数据安全产品阵列丰富,推出数据安全开放解决方案用于数据开放场景。公司的数 据安全产品主要包括数据库防火墙、运维安全管理与审计系统、数据防泄漏系统、数据库 审计与防护系统、数据脱敏系统、数据交易沙箱系统、特权账号管理系统等。公司数据安 全开放解决方案主要由数据安全开放平台组成,通过将调试环境与运行环境分离,实现数 据可用不可见,更大限度挖掘数据价值。方案支持多种数据源、支持对数据访问权限的严 格控制、支持对所有数据操作的留痕审计等功能,实现数据所有权和使用权分离,从而确 保数据安全可控。可广泛用于政府、金融、医疗、教育等有数据共享开放需求的大型企业 单位。
奇安信数据安全开放解决方案广泛应用于政府数据共享开放。近年来,政府践行国家大数 据战略,建设大数据平台,利用政务大数据支撑产业发展,政府部门作为数据拥有方,其 数据的开放共享需要得到安全保障。公司方案基于数据安全开放平台技术,保障向社会企 业开放数据的安全,兼顾数据隐私的安全和政务数据价值的发挥,为拥有海量数据的政府 大数据平台实现更大化的数据挖掘价值,助力基于数据的创新服务产业的发展。
安恒信息:以 AiGaurd 打造全景数据安全
安恒信息推出 AiGuard 数据安全解决方案,覆盖全场景数据安全。公司数据安全产品包括 AiLand 数据安全岛平台、Aisort 数据安全分级与风险评估系统、AiThink 用户与实体行为分 析平台、AiGate 数据库安全网关、数据库漏洞扫描系统、数据库系统安全自我检测与评估、 数据库审计与风险控制系统、DSG-API 零信任 API 代理系统、运维审计与风险控制系统。 AiGuard 解决方案融合各子系统,针对数据库泄露利用风险、开发测试环节数据泄露风险、 数据明文存储风险等问题,在生产区、共享开放区、应用区、数据安全风险感知与管理区 提供全方位的数据安全保护。当前,在国家政策的指引下,未来数据共享将更成熟,AiGuard 解决方案有望实现更高效的多方数据安全融合计算。
安恒信息解决方案将数据安全嵌入到智慧医院整体方案中。公司为智慧医院打造安全、弹 性、智能的基础架构,以超融合技术搭建基础架构平台,围绕网络安全、数据安全等打造 安全稳定的智慧医院安全防御检测体系,采用 AI 及大数据技术建设集中安全管理、安全运 营、态势感知的安全管理中心。并进一步打造更可靠、更灵活的智慧医院数据中心,实现 数据的安全、便捷使用。
天融信:打造“以数据为中心”的数据安全体系
天融信作为国内数据安全领域的领先厂商,提出“以数据为中心的安全体系”建设思路通过数 据安全体系规划、数据安全能力建设、数据安全运营管控建设、数据安全监管建设各个阶 段打造完整的数据安全体系。目前天融信已形成一套涵盖数据安全生命周期、多种场景的 产品架构体系,为用户提供全面的数据安全防护,在政府、运营商、能源、金融、教育等 10 余个行业大型客户中规模化实践落地。
绿盟科技:构建自适应数据安全防护体系
绿盟科技从“知”、“识”、“控”、“察”、“行”五个阶段性步骤进行数据安全建设。公司的 数据安全产品主要包括数据库防火墙、数据脱敏系统、数据安全运营平台、敏感数据发现 与风险评估系统、数据泄露防护系统、数据库审计系统等。方案围绕着数据安全合规性管 理、个人信息安全保护、重要数据安全保护来设计多种安全应用场景,并通过优化改进与 持续运营,建立持续自适应的数据安全防护体系。
亚信安全:先“理”后“治”实现数据安全
亚信安全推出数据安全治理解决方案。公司的数据安全产品主要包括 SIM 盾运营系统、数 据脱敏系统、多方计算平台、日志审计系统、运维安全管理与审计系统等。公司数据安全 治理平台覆盖了“数据安全监控+数据安全管理+数据安全运营”三大场景,能够实现对各 项数据安全能力进行集中化能力接管、安全策略的统一管理与下发、安全事件统一分析与 管理,并形成全网的数据安全风险视图,为数据安全治理提供了一体化解决方案。
2022 下半年网络安全行业有望迎来盈利拐点
2021 网络安全行业收入快速增长,加大人员投入挤压利润空间
国内网络安全行业 2021 年实现收入总和同比增长 26.1%,相比于 2020 年有所加速。加速 的原因在于 2021 年网络安全问题多发,包括《数据安全法》、《个人信息保护法》、《关键信 息基础设施安全保护条例》、《网络安全审查办法(2021 年修订)》等多项行业重磅政策出 台,推动政府、重要企业加大对网络安全的投入。我们可以从 2017~2021 年五年网络安全 上市公司收入总和数据看出,其始终维持在 20%~30%的增速。目前国内对网络安全的投入 力量显著于发达国家,但网络安全越来越受到重视,我们判断未来网络安全行业依然会保 持较高的收入增速,具备“长坡厚雪”的行业特征。
从利润端来看,网安行业 10 家 A 股上市企业(深信服、奇安信-U、卫士通、启明星辰、天 融信、安恒信息、迪普科技、亚信安全、绿盟科技、山石网科)归母净利润总和同比下降 29.2%,扣非净利润总和同比下降 54.2%。扣非净利润总和同比下滑并非由少数公司贡献, 详细拆分数据可以发现 6 家上市企业的扣非净利润都出现同比下滑的现象。从各家公司 2021 年年报解读中可以发现,导致利润承压的主要因素来自于费用投入的增多。由于 2021 年是“十四五”的开局之年,加上 2021 年诸多政策的推进导致上市公司对未来景气判断相 对积极,因此超前投入费用谋划增长。虽然费用前置导致利润不达预期,但我们判断在行 业景气度向上的背景下,各家上市公司未来能够通过收入快速增长消化掉前期高投入的压 力,从而实现盈利的大幅改善。
预计 22Q2 行业成本端仍有压力,22H2 有望迎来盈利拐点
网络安全行业 2020Q1 整体收入由于疫情影响受损严重,导致板块出现明显收入下滑, 2021Q1 显著反弹,实现同比大幅增长,2022Q1 在 2021Q1 的高基数下仍实现快速增长, 验证行业需求仍处于高位。 从利润端来看,网络安全行业毛利率多年保持相对稳定,但自 2019 年以来持续加大投入, 一季度亏损呈不断扩大的趋势,我们判断,2022 下半年行业盈利有望进入恢复阶段。
(本文仅供参考,不代表我们的任何投资建议。如需使用相关信息,请参阅报告原文。)
精选报告来源:【未来智库】。