【原创研究】蓝海之下,暗潮涌动:数据安全行业再思考
来源: 远桥资产-陈天伦日期:2022-04-29浏览量:1372
前言:继《数据安全法》、《个人隐私保护法》等顶层设计落地以来,数据安全已成为全社会的共识性问题。合规驱动向数字化转型驱动的拐点将至,我们正在经历产业的重要边际变化,数据安全行业的高增长可期。尽管市场已经在相当长的一段时间内保持升温,但现阶段却仍面临着需求演进、产品成熟度、商业模式等“阵痛”。当我们回归现实,“数据安全热”风靡的背后,我们该如何平衡与选择?
根据《GB/T37988-数据安全能力成熟度模型》国标,数据的生命周期分为:数据采集—数据传输—数据交换—数据存储—数据处理—数据销毁等六个阶段。这与我们观察ICT产业的基础逻辑相类似——作为产业核心对象,“数据”的生命周期是行业图谱研究的基础。数据在各个生命节点对于安全防护的核心诉求是不同的:
表 – 数据安全产品和服务矩阵
我们建立了“以数据流动为中心”的数据安全产品和服务图谱:
2019年底开始,等保2.0已成为中国信息安全产业的事实标准。数据安全作为基本要素在各个子项目中被多次强调,即“一个中心、三重防护”(安全管理中心、安全计算环境、安全通信网络、安全区域边界)。为建立符合等保2.0要求的安全防护框架,企业内部的安全诉求包括:
信息安全产业的发展和中国数字化进程相耦合。安全产业自21世纪初发展至今,其主要增长来自于传统安全(端安全和传输安全),这与国内信息化普及进程是相吻合的。而站在当下,随着政府和企业数字化进程的加速,数据已成为事实上的生产要素,为新兴安全(数据安全)的发展提供土壤。信息安全和数据安全的核心差别是什么?回答这个问题,我们先理解信息和数据的差别——信息是数据加工、处理和被理解后所生成的“知识”与“情报”;而数据是事物属性的客观记录。从信息安全到数据安全,必要性在于通过数据和人工智能技术的训练和应用,可以跨过数据的处理、加工和人类的后天理解,直接生成“知识”和“情报”。这意味着,数据(而不是知识和情报)可以直接作为生产要素和生产资源被配置,这是数据安全的基础。因此,信息安全是“知识和情报”在信息载体上的安全,我们强调的是“端安全”(知识和情报的载体)和“传输安全”(知识和情报的交换)。而数据安全是跨过人类加工、处理和理解而直接成为知识和情报的过程中,所必需的生产要素安全。
信息安全产业的典型特征是产品种类碎片化、产品线极长。因涉及用户IT资产的全方位、全周期、全流程防护,安全产业的细分产品线众多。供给端高度分散,为大量中小创业企业提供了潜在的市场机会,也导致不同领域的安全公司往往各有所长。
◎ 上游:数据安全产业的产业链短,核心成本是“人”
上游芯片、服务器、工控机以及硬件耗材、辅件,整体发展相对较成熟,行业普遍采用外协加工或采购的方式,给予安全产业充分的议价空间;同时,数据安全行业的核心成本开支来自于产品研发工程师。
根据2020年以来各行业部门出台数据安全监管政策的数量、频次,以及实际市场需求起量的进展,金融、水利、交通、教育、政府、电信、互联网是数据安全监管相对严格且强制性需求最为明确的七大行业。
1. 外因:“等保2.0”+《数据安全法》,合规强制驱动2019年底,《网络安全法》将“等保2.0”上升到法律层面,首次明确“一个中心、三重防护”的基本要求,并将“数据安全”作为核心要素覆盖,掀起政府和关键行业客户的改造行动。2021年起陆续出台的《数据安全法》、《个人信息保护法》、《网络数据安全管理条例》等法律法规,明确了数据安全“有法可依”,并正式将“数据安全”上升至国家安全的范畴。据IDC,预计中国数据量至2025年将增至48.6ZB,占全球数据总量的27.8%(2020年中国占全球数据总量比重约20%),成为全球最大的数据圈。与之相较,2020年中国数据安全市场规模仅40亿元,占全球数据安全市场规模的3.4%。两者存在的巨大差距反映了中国数字化进程的滞后(数据量大而未被有效发掘和应用)。长期来看,中国数据安全市场将伴随企业数字化进程而被快速激活。
据Gartner,2019年中国数据安全产业规模仅38亿元,属于典型的新兴市场。至2023年,预计中国数据安全产业规模达97.5亿元,5年期复合增速达26.5%。同时,据网安产业联盟相关数据测算,2023年中国数据安全占网络安全产业的整体比重将自2016年的不足1.5%提升至12.1%。
根据数据安全的直接买单方(以科研机构、高校、政府及金融、电力、运营商行业为代表),以及根据上市公司公开资料查询可得的数据安全产品单价,预计在未来3年内直接衍生的产业规模不低于60亿元人民币。
表1 – 谁来为数据安全买单?
表2 – 数据安全客单价
根据上述粗算,数据安全产业的强制性新增规模预计不低于60亿元人民币。换言之,结合2020年中国数据安全产业40-50亿元的实际规模,未来3年存在翻番空间。
数据安全:“大产品、小需求”,场景定制先行。数据安全与传统安全最大的差别在于——受限于中国企业用户的数字化进程,行业存在非常明显的“技术抢跑”特征,导致供给层面较长的产品线和实际需求层面较窄的买单面之间的矛盾。这意味着,数据安全行业的商业模式主要体现为“解决方案制”,围绕场景的定制化属性较强,没有严格意义上的绝对标准化产品,无法以理想化的产品制滚动收费,整体还是做项目。数据安全和场景相结合的要求较高(比如数据分级分类、数据脱敏、安全管理平台等),都需要通过在特定行业、特定场景的长期业务实践,进行产品打磨,以提升产品的标准化程度。(2)需求催化:受限于数字化进程,缺乏中小企业的长尾需求下游以头部大型企业或集团型企业为主,缺乏长尾需求。结合中国企业数字化转型的进程来看,头部企业为带动的数字化转型,正在逐步铺开。相对应地,数据安全正在逐渐“下沉”,但现阶段仍然以大型企业为主。数据安全产品成熟度普遍较低。主要玩家(包括上市公司)产品能力都还在优化中,现在整体行业大概在60-70分,未来会到80-90分。以数据分级分类产品为例,识别率基本在10%-30%之间,距离80%-90%的目标还有相当远的距离,各家都还在研发优化的过程之中。
作为典型的蓝海市场,数据安全产业仍然处于高度充分的竞争阶段,整体竞争格局分散。主要玩家包括两类:1)大型网络安全企业(多数为上市公司):包括安恒信息、奇安信、天融信等。2)数据安全初创企业:国内领先者为安华金和、美创科技、闪捷信息、昂楷科技、全知科技、中安星云等。
表 – A股上市公司数据安全布局情况
安恒信息、奇安信、天融信已基本完成较全面的数据安全产品线,但不同上市公司的侧重点和强项有所差异。并购和投资生态合作是产业发展的主线之一。从过去3年的产业趋势来看,由于细分产品线较长,大多数传统安全上市公司(如绿盟、启明星辰、奇安信)等均通过投资和并购外生获得数据安全技术和市场能力。数据安全市场的核心竞争壁垒是什么?我们眼中优秀的竞争者无外乎:数据安全与信息安全相类似的痛点在于,产品线高度同质化,导致竞争门槛变相降低。建立相对差异化且有侧重点的产品线,是市场竞争突围的必要能力:1、差异化的技术和产品能力。现阶段大部分数据安全产品仍存在成熟度不高的问题,核心在于是否有相对更优的技术成熟度和解决方案能力(比如,数据资产分级分类的识别率,能否做到60%或者更高?)2、细分场景Know-how和行业级复用能力。数据安全产品成熟度不高的重要原因,是主要的竞争者都缺乏在单一行业内的长期沉淀。数据安全是场景安全,部分场景(如分级分类、脱敏、管理平台)有较强的行业属性,可以在行业需求理解的基础上模块化,并实现不断复用。因此,数据安全是“相对标准化产品”与“场景Know-How”所叠加的产物。“项目制”商业模式决定了数据安全行业在现阶段所面临高昂的交付实施成本。竞争者是否有“搭积木”的能力,凝结模块化、产品化的底层逻辑和方法,以降低交付实施成本;或通过搭建服务渠道网络,实现敏捷交付,是很重要的竞争门槛。
写在最后:
从信息安全到数据安全,我们正在眺望一片潜在的百亿蓝海。“数据安全热”的背后,不仅代表了市场在未来3-5年内高增长的预期,同时也对商业模式、技术成熟度提出更多期待。我们眼中的数据安全行业:区别干端安全、传输安全。数据安全是数据跨过人类加工和理解而直接成为知识或情报的过程中,所必需的生产要素安全--从信息安全到数据安全,潜在市场空间超百亿,未来5年增速领跑“泛安全”产业。产品能力上,行业现阶段仍处于商业萌芽期,没有绝对标准化的产品,成熟度普遍较低;商业模式上,场景定制先行,需要基于对行业和场景的Know-How,以项目制为主;伴随垂直行业和场景的经验积淀,数据安全将在中期内处于“定制化”到“产品化”的阶段。作为次生产业。数据安全发展阶段与企业数字化进程密切相关。中国企业数字化进程以大中型企业为优先,考虑到实际的IT预算、数字化进程和安全意识,现阶段主要来自头部客户的定制化需求,尚缺乏长尾中小企业的自发性需求。市场处于萌芽期向快速成长期的过渡阶段,整体竞争较充分。尽管上市公司通过投资和并购进行全面的生态布局,但足够宽阔的赛道、足够长的产品线、足够低的市场渗透率,仍然为初创企业提供了突围空间。行业的核心竞争壁垒在于产品差异化(基于产品成熟度、垂直行业经验以避免同质化)和敏捷交付能力。
