互联网安全行业分析：行业特征石榴籽

网络安全正在由一种粗放经济下的可选消费变成精细经济与万物互联下的必选消费刚需行业。

中国投入太少，被攻击最多；没有网络安全就没有国家安全，现在就是受制于人。

2018年奔驰汽车在高速公路上的电子巡航系统坏了，那部车子后来怎么停下来的？你想想一下，如果这个行为是一个黑客操作的话会发生什么现象？之前有个黑客黑入心脏起搏器将电流加大将人给电死了，网络信息安全这个市场非常庞大。

在2015年，中国互联网大会上数据，因为信息安全面临诈骗造成的损失是805亿人民币。2014年，国际先进组织报了世界第一犯罪是网络犯罪，那个数字是300亿美金，三分之一是人民币。美国专业的咨询公司报道，预测到2020年，我们可以看到网络信息安全领域是非常重要的，包括现在很多方面都在重视这块领域，这个是现状。我们说了这个行业有三个一，中国在信息化投入和网络安全的投入上，这个比例只有1%-3%，美国是20%以上，50多个法案定下来了。在信息化路上，20%必须投入到网络安全，欧盟是10%-15%，去年的数字是1.7%。从这个数字上可以看到我们的安全很落后，落后是投入太少。但是你可以看到这个市场的空间很大，这是第一。

我们绝大多数的技术创新、商业模式的创新，不是科技的创造，科技的创造是0-1的概念，而我们很多的创新在中国，绝大部分是1-n，所以信息安全也是这个层面。

从信息安全防御产品的维度看，中国信息安全行业经历了三个重要发展阶段：

第一阶段（1992-1996年）：PC时代-端上安全-终端杀毒

在这一时期，以PC电脑为代表的终端设备开始普及，但还属于单机状态，设备之间无法联网互通。此时，病毒主要通过光盘、软盘等外接设备侵入终端，因此以软件为主的安全产品便安装在终端内进行防护，即所谓的“端上安全”，也随着出现了一批以杀毒软件为主的信息安全公司，比如我们耳熟能详的瑞星、金山、江民、北信源等。其中北信源于2012年9月在深交所上市，当前市值为47亿元。

第二阶段（1996-2014年）：互联网/IT时代-网络安全-边界防护

在20世纪末，互联网开始在中国普及，越来越多的个人和企业终端设备开始联网。病毒的传播渠道开始发生变化，越来越多的攻击来源于互联网而非外接设备，企业网络安全兴起。对应的安全防护手段也从传统安装在主机上的杀毒软件转变为以隔离防护来源于外网的攻击为核心。在此基础上，大量实现边界防护的信息安全公司涌现，也带来了第一波企业信息安全浪潮。

在边界防护的基础思想下，信息安全防御产品也出现了不同形态，由于信息安全潜在市场规模极大，在各个细分赛道里也跑出了众多上市公司：

防火墙（1996-2000年）：由于攻击更多来源于外部网络，于是出现了将外网与内网隔离的防火墙，由CheckPoint于1993年发明并引入国际互联网中。防火墙置于内网与外网之间，根据企业的安全政策控制进出网络的访问行为，将攻击隔离在内网之外。最初防火墙以软件形式被安装在企业服务器上，后来为了减少CPU负担，防火墙被集成到ASIC芯片商形成了硬件防火墙。在这个领域的代表公司包括天融信、网神等。天融信在2016年8月时被上市公司南洋股份以57亿的价格收购；网神则被360收购。

IDS/IPS（1996-2000年）：虽然防火墙能够控制网络访问行为进而隔离攻击，但是防火墙也并不是万能的。防火墙只能检验TCP/IP协议中数据链路层到传输层，无法安全过滤会话层到应用层的非法攻击，比如针对WEB服务的注入攻击等；防火墙无法防御不通过它的连接，比如内网攻击；另外，防火墙采用的是静态安全策略技术，无法动态防御新的非法攻击。于是，出现了针对防火墙无法防护而进入内网的非法攻击的防御产品IDS/IPS，IDS是对非法攻击的检测报警并不阻止攻击，IPS则具备检测和阻止攻击双重职能。通过IDS/IPS起家的公司包括启明星辰（2010年上市，市值189亿）、绿盟科技（2014年上市，市值70亿元）。

VPN（2004-2016年）：VPN实际上是通过加密的方式架设了一条专门的数据传输的安全通道，即便数据通过外网也无法受到来自外网非法攻击的威胁，进而实现内网的安全访问。在这一领域的代表公司为深信服，2018年5月上市，当前市值354亿元，VPN业务在中国多年市占率第一。

UTM（统一威胁管理）：边界防护安全产品的核心是防火墙，随着IDS/IPS、VPN等针对防火墙进行补充的技术出现，这些原本以软件形式独立存在的安全产品也逐渐被集中到硬件防火墙中，还包括病毒扫描、网页过滤、应用控制等功能，形成具备多种安全特性的统一管理平台，这就被称为UTM—统一威胁管理。

第三阶段（2014年之后）：DT时代-数据安全-数据防护

在2014年，马云曾在一次演讲中提出“人类正从IT时代走向DT时代”，社会开始从传统互联网时代逐渐演进到大数据时代，数据迎来爆发式增长，开始被利用和流通，具备产权和价值，成为未来商业社会的基础经营生产资料之一。这句话在现实中的注脚便是我们发现在2014年前后涌现出一批以大数据为核心逻辑的创业公司，如早期的极光、个推，后来的神策数据、GrowingIO等；各大企业也越来越开始重视业务数据带来的价值，努力推进企业的数字化转型，将数据作为业务发展的指挥棒，业务组织形式也将围绕数据进行。

这为企业信息安全行业带来的挑战和机会是：在IT时代，围绕网络漏洞概念的边界防护产品已经无法满足企业需求，企业的边界变得越来越模糊，大量的数据来源于各个终端，数据的存储形态也极为多样，数据的流通也变得越来越频繁；而在DT时代，业务将围绕数据进行，数据变得具有价值，数据安全也将得到重视，将出现围绕数据安全的基于企业业务场景的安全服务。

描述DT时代企业信息安全服务的具体内容，包括：

· 数据更加分散。从数据来源看，终端设备急剧增加，大量数据会停留在终端上，移动端/IoT安全愈加重要；从数据存储看，数据量级爆发后无法全部存储在本地，数据存储多样化，包括本地、公有云、私有云和混合云等多种形态，云安全也变得日益重要；

· 数据流通加强且流通链条长。IT时代数据大多是静态的不流通的，而DT时代数据则呈现动态流通的状态，为了维护数据安全，需要追踪数据流动的轨迹，包括用户/员工的行为数据、企业文件数据等。

DT时代的企业信息安全将是基于业务场景的数据安全服务，因此针对不同业务场景、不同行业也将存在不同类型的数据安全保障需求，各个细分市场都将蕴含着重要的机会。而信息安全行业的竞争格局也将更加立体，市场的供给端将更加多元，既包括在产业链纵向扩展的传统信息安全厂商，也包括寻找技术落地场景的横向扩展的如大数据、AI等新兴技术厂商，行业边界变得更加模糊，行业的增量市场空间也将逐渐被打开。在DT时代，企业信息安全行业将迎来新一轮变革，基于场景的数据安全服务变得更加碎片化，各方参与者也都将在这样的变革中获得属于自己的机会，未来也将有更多新兴信息安全业态出现。

现代网络安全：网络的变迁自然对网络安全也提出了与时俱进的要求。现代网络安全必须支持以下几点：

端到端覆盖：检查进/出流量的边界安全已不再满足需要。现代网络安全控制必须深入所有网段，审查横向流量、云端网络通信，以及根本不触及公司网络的软件即服务 (SaaS) 远程网络通信。换句话说，所有网络流量都应纳入审查覆盖范围。

全面加解密：企业战略集团 (ESG) 研究指出，当今 50%~60% 的网络流量都是加密的，且未来加密流量的比例只会越来越高。这意味着网络安全架构必须具备在大量控制点上解密并检查流量的能力。现代网络安全技术还应能够无需解密全部就可以检测可疑流量。思科 Encrypted Traffic Analytics (ETA) 加密流量分析解决方案和 Barac.io 等公司推出的独立解决方案均已包含此功能。

以业务为中心的分隔：所有现代网络安全技术都应以减小攻击界面为主要要求。这包括两个方面的功能：1) 分隔各应用层间的横向流量；2) 强制实现用户/设备和网络服务间的软件定义边界网络分隔规则。此类功能也常被称为“零信任”。

中央控制面板与分布式实施：这是 “必备” 要素。所有网络安全控制（如物理控制、虚拟控制、基于云的控制）都必须向一个通用控制面板报告管理行为（如配置管理、策略管理、变动管理等）。中央控制面板很可能设在云端，所以 CISO 应为此变化做好对风险规避审计员和业务经理的培训。有来自中央命令与控制的指令支持，网络安全系统在阻止恶意流量和实施策略时应不用考虑自身位置或尺寸了。需注意的是，尽管每家网络安全供应商都推崇自身中央管理服务，FireMon、Skybox 和 Tufin 等第三方软件提供商在这一领域也占有一席之地。

全面监视与分析：安全界有句老话：“网络不会说谎。”因为所有网络攻击的杀伤链都绕不过网络通信这一环，安全分析师必须能够访问 OSI 技术栈所有层上的端到端网络流量分析 (NTA)。最好的 NTA 工具应在基本流量监视基础之上附加检测规则、启发式分析、脚本语言和机器学习，以便帮助分析师检测未知威胁，将恶意行为映射进 MITRE ATT&CK 框架。CISO 必须广撒网，因为可供选择的强大解决方案太多了，有纯初创公司 （Bricata、Corelight、DarkTrace、IronNet、Vectra Networks 等），有网络专家（思科、ExtraHop、NETSCOUT 等），还有网络安全供应商（Fidelis、火眼、Lastline、惠普企业等）。

网络安全技术必须支持细粒度策略与规则，基于用户位置、网络配置或新发现的威胁/漏洞迅速做出相应改变。公司企业必须拥有无论何时何地都能启动/关闭或修改网络安全服务的能力。现代网络安全控制须能适应物联网 (IoT) 设备及协议，在标准操作系统上用的健壮策略与实施应能同样应用到物联网设备上。最后，网络安全架构必须围绕易于访问的 API 打造，以便能够快速集成。

Sun Microsystems 早已消逝在 IT 发展的历史洪流中（顺带一提，这家公司目前归属 Oracle），但无论外在形式如何，网络依旧是 IT 关键组成部分。现代网络安全架构不仅仅保护所有网络流量，还帮助企业减小攻击界面，改善威胁检测/响应，缓解网络风险。这就很能说明问题了。

《2018全球网络安全企业竞争力研究报告》

12月19日，上海赛博网络安全产业创新研究院在2018网络安全产业创新（上海）论坛上发布了《2018全球网络安全企业竞争力研究报告》。微软位列第一。

报告以全球31个国家和地区的共500家网络安全企业作为样本池，评出了全球网络安全企业100强。

美国企业数量最多，共有55家入围，并占据了前10名中的7家，前10名中剩下的3家企业分别是英国的德勤、中国的华为和以色列的Check Point。

进入百强榜的中国企业名单：

08，华为

40，深信服

44，启明星辰

48，卫士通

51，360企业安全

58，绿盟科技

62，天融信

76，安恒信息

78，亚信安全

89，新华三

82，迪普科技

89，蓝盾股份

91，美亚柏科

92，飞天诚信

96，北信源

97，山石网科

98，安天

中国网络安全产业的特点

中国网络安全产业有两个显著的特点：

第一个特点是增长迅速。

中国网络安全产业规模和增长率（来源：《2018全球网络安全产业投融资研究报告》上海赛博网络安全产业创新研究院）

从中国网络安全产业规模和增长率（图中统计的网络安全产业主要是传统IT安全和基础设施安全）可以看到，中国网络安全产业在2018年之前不到500亿小规模市场，但产业规模在逐步增长且增速逐步提高。2018年突破了500亿之后，预计会有一个比较高速的增长。

网络安全上市公司总销售额增长率

通过统计15家网络安全领域上市公司的年报数据可以看到，总体销售额的增长率从2015年的26.5%到2017年的36.1%，每年都在提高，而2018年的增长估计在36%以上。

近几年中国的网络安全产业高速发展，高速发展的原因是网络安全需求在多个维度的同时增长：

一、在同行业里，从边缘业务或从网站开始互联网化，直到核心业务被互联网化后，企业对网络安全的需求的刚性越来越强，投入也越来越高，经费越来越多，从而带动市场的一波增长；

二、从IT相关行业逐步拓展到各个传统行业，越来越多的行业逐步互联网化后，需要网络安全为之保驾护航的行业越来越多；

三、从PC、服务器到手机、物联网、车联网设备，未来会有越来越多联网设备，而更多联网设备导致要防护的设备也越来越多。从PC或服务器到关系到生产安全的工控设备、关系到生命安全的物联网医疗仪器、关系到交通安全的车联网等，不仅仅是网络安全更是人身安全。随着联网设备与设备智能化的爆发式增长，网元设备指数级增长，网络安全需求随之爆发式增长；

四、国家从《网络安全法》开始，逐步颁布了各种网络安全法规、政策，加上这次“等保2.0”政策的出台，不仅建立起更完善的国家网络安全法规体系，也使得安全越来越被重视。同时使网络安全更有法可依，以前不重视的安全领域与安全需求不断涌现；

五、比特币、区块链等数据资产化、货币数字化之后，使得黑产更容易形成，网络安全问题带来的经济损失呈指数级增长，网络安全需求也随之呈指数级增长。

对网络安全的需求在多个维度同时增长，使得中国网络安全市场增速不断提高。

第二个特点是需求点多。

来源：《2018全球网络安全产业投融资研究报告》上海产业赛博网络安全创新研究院

从上图可以发现，网络安全的大类和小类分得非常细，而且小类之间需要做的工作、涉及到的技术往往不同。

网络安全领域需求点多，主要因为只要有一个点被突破后，进攻方就可以进来，所以作为防守方必须防范每一个点。此外，随着IT技术不断地进展，又会带来新的问题。

需求点多会造成一个问题，到底哪些领域值得投资？

可以把网络安全市场看作一个石榴型市场。石榴里面有很多小籽，到底怎样的小籽是值得投资的？一要看它本身是否能够长得足够大，也就是说这个细分领域的市场空间是否足够大；二要看黏性是否足够强。网络安全企业以这个点切入后，是不是可以逐步地拓展到其它相关的安全领域，也就是说是否能够黏住周边的“籽”，这就可以从一开始的小点切入成长为类似平台型的企业。如果答案是“是”，这样的细分领域是值得投资的。

▍中国网络安全市场的潜在空间有多大？

一个企业在进行IT建设时，通常会考虑拿出一定比例预算投入到相关的安全系统上。因此，网络安全市场的潜在空间应该跟IT支出呈大致的比例关系。过去几年，我国IT行业迅速发展，却没有对网络安全足够重视，造成网络安全支出跟IT支出不成比例。

网络安全占IT投入的比例（来源：《中国网络安全产业报告》中国网络安全产业联盟，数说安全）

美国网络安全领域投入占IT投入的4.78%，全球的平均水平是3.74%，中国却连2%都不到。也就意味着，中国有很多网络安全问题需要修补，中国网络安全市场的潜在空间非常大。

来源：《 Unlocking the cybersecurity growth potential - Singapore’s cybersecurity industry outlook 》，PwC

2015年PWC对网络安全领域的支出进行了统计和分析。从平均每人的网络安全支出金额来看，中国只有2美金，比较高的是北美、以色列；而从IT支出中网络安全的占比来看，中国的比较低，只有1.4%，以色列是最高的达到7.7%。对比不同的国家，谁在网络安全领域做的最好？首先是有巨大的不安全感，其次是有足够的资金，以色列就是很典型的代表。目前，中国的网络安全投入水平与其它国家差距较大。

网络安全相关支出在IT支出中占比多少比较合理？2015年IDC做过一个调查统计，把200家加拿大企业分为四类：第一类是知道自己做的不好，第二类是不知道自己做的不好，第三类是对自己过分有信心，第四类是始终觉得自己做得不够好，网络安全支出占比从6%到14%不等。在此调查之后，IDC给的支出占比建议是13.7%。业界也有一些其他的建议，譬如IBM认为合理的占比是10%，而Gartner给出的数字是4%到7%。

根据这些所建议比例可以来计算在泛网络安全的概念下，各个细分领域的潜在市场空间。以下是对泛网络安全的各个细分领域的划分。

中国传统的网络安全市场比较狭窄，而整个泛网络安全矩阵则从基础设施安全扩展到业务安全、社会安全乃至国家安全，从内网安全逐渐扩展到万物互联的安全。其中包含了众多的细分领域。从中选取几个，先来做一个估计：

1）传统网络安全领域，也即IT安全领域。Gartner数据显示，2018年中国的IT支出为2.6万多亿，现在的IT安全占比低于3%，所以当前IT安全市场大概在600亿左右。但事实上，这个比例是远远不够的。随着相关网络安全支出占比的逐步提升，传统网络安全支出还有非常大的增长空间，至少能达到1000多亿。

2）工控安全领域。工控安全被越来越多地关注。2018年我国工业互联网的直接产业规模大概是6700亿，如果按照最低标准3%看，工控安全市场规模也在200多亿。事实上这个领域后续的投资可能会非常大，因为工控安全实在太重要了。很多领域都关系到国计民生，譬如电厂、电网、轨道交通等等。

3）智能家居相关的安全领域。2018年中国智能家居规模约是1800亿，按照各种比例进行估计，智能家居网络安全规模在100亿左右。

4）车联网安全领域。2018年中国车联网市场规模是3000多亿，按照比例计算，车联网安全规模应该在150亿左右。现在国家对于车联网要求正在逐步地规范化，落到实处后，一定会对车联网安全市场有很大的推动作用。

以上四个细分市场，加起来就有几千亿规模了，所以中国网络安全市场的潜在规模非常大。

未来，网络安全市场的潜在规模可能就不是基于IT支出来衡量，而是基于IT系统之上所承载的数据的价值、这些数据之上所承载的业务的规模来衡量。因此，我们可以说，未来中国网络安全的潜在市场空间是万亿人民币量级的。这也是为什么苹果资本坚持投资网络安全领域，因为后续的市场实在太大。不管从互联网的发展来看，还是国家、人民对网络安全的重视程度来看，都会推动市场规模越来越大。

▍网络安全行业的驱动力和需求

网络安全行业的发展主要来自于四种驱动力：

一、法规。网络安全被喻为人的健康，每天跑步可能对人的健康是好的，但如果没有强制规定每天必须跑步，大家就不一定会每天跑步了。对于自己的健康都存在这样的侥幸心理，就更不要说对于一个组织的网络安全了。加上网络安全的外部性比较强，就是说如果网络安全没有做好，不仅仅会影响自己也会影响到别人，这就更加需要有法规约束。所以法规始终是网络安全的重要驱动力。法规在强制性、广度、深度、力度上的变化，将会推动网络安全行业的发展。

二、业务。随着业务的互联网化，业务会对网络安全提出更多要求，来保障业务的顺畅运行。譬如通过防薅羊毛来降低成本，通过做好数据安全来减少用户隐私泄露的可能性等。这些来自业务的要求是网络安全发展的非常重要的驱动力。

三、事件。事件这一驱动力会在事件发生后逐步地转化成法规上和业务上的驱动力。比如，拼多多的薅羊毛事件，促使拼多多思考怎样避免类似事件再次发生。再比如，一些个人隐私的泄露引发的刑事案件，推动了《个人信息保护法》等相关的法规出现。所以事件短期能够直接推动相关网络安全领域的投入，从长期看会落实到法规驱动力和业务驱动力上。

四、技术。技术驱动力可以分两个方面：一方面由于网络安全的攻击和防御是IT技术之间的互相对抗，随着新的攻击技术产生，会有新的防御思路产生；另一方面IT技术本身在不断的发展中，从简单的网络技术，到大数据、人工智能等等，新技术的应用会带来新的安全问题。比如，有研究发现，只要在人身上贴上特定的图案，人工智能就无法识别出“人”。在交通标志“stop”上贴上特定图案，自动驾驶技术就不能正确识别该标志，而是识别成为比如右转弯的标志。这些新技术产生的新问题，就需要有相应的技术来防护。所以，技术也是网络安全行业发展的一个很重要的驱动力。

在四个驱动力下，主要会产生两种需求：

一种是合规性需求。其特点是：首先，对企业来讲只要合规就可以了，有什么样的规定就买什么样的设备。这个需求并不是从业务本身的需求出发，之前“等保1.0”时还出过笑话，设备买来之后发现不好用，但规定必须要有，就买来放在那里不用，反正有了就符合标准了。在这种情况下，产品做的到底怎么样并不重要，拼的还是销售能力；其次，因为是合规性的需求，不可能要求特别高，如果要求高而导致只有一两家供应商的话又不合理，所以产品技术的要求不会特别高，很多家都能做，趋于标准化。也正因为产品趋于标准化，所以转换成本比较低，主要是销售能力的竞争。

另一种就是业务性需求。其特点是：首先，产品必须解决实际问题。比如在业务上有问题存在，必须要采用能解决问题的产品，也就是刚性很强；第二，因为要解决业务上的问题，所以产品的差异化可能性比较高，且跟业务结合比较紧密，就会造成一旦用了某家产品，再转换其它家的产品成本比较高；第三，这种特点的企业之间竞争，主要还在产品和技术能力上的竞争，因为要比拼谁能更好的解决问题。

因此，做网络安全领域的早期投资，提供合规性产品的企业并不一定是一个好的投资标的。原因是通常合规性产品的技术门槛不会太高，进入的人非常多又互相竞争，最后就会形成品牌厂商分食高端客户，各小厂商依据各自资源占据一块。另外，还有深信服等渠道能力很强的企业，为很多中小客户提供一体化的等保解决方案，通过正规军的打法收获了众多小厂商的生意机会。

扎根业务性需求的初创企业才是好的投资标的。合规性需求当然可以做，但是首先还是要扎根业务性需求，因为这样的产品一定是解决了客户真正的痛点，才会真的被需要，而不是因为法律或法规规定要用某类产品功能但本身并不一定这个痛点。这样的产品才是真正有生命力的产品。而且，因为不是标准化的产品，产品之间互相竞争就不是单纯靠价格、靠关系竞争，产品差异化的可能性就会比较高，从而就能保证一定的利润率，也有规模化发展的可能。

▍“等保2.0”带来的变化

合规性需求有了一个新的变化，就是“等保2.0”。

“等保2.0”涉及的范围非常广：首先，最重要的安全就是省辖市以上党政机关的重要网站和办公信息系统；其次，是电信、广电行业的公用通信网、广播电规传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统；最后，是几乎涉及到各个行业的，铁路、银行、海关、电力、证券、保险、外交、公安、交通、能源、文化教育等行业内部各种各样重要的信息系统。所以“等保2.0”要规范的信息系统范围非常广，对不同影响度的信息系统也会有不同的规范要求。

从“等保1.0”到“等保2.0”，主要有几点变化：

第一，法规体系有了很大的变化，已经从国务院的条例上升到了国家法律的要求。

“等保1.0”时的法规体系，最上层是1994年颁布的《中华人民共和国计算机信息系统安全保护条例》，2007年发布了《信息安全等级保护管理办法》，2008年提出了《信息安全等级保护标准体系》。到了“等保2.0”，2017年颁布了《中华人民共和国网络安全法》，规定了要进行网络安全等级保护；2019年颁布了《网络安全等级保护条例》。之后又颁布了等级保护新的标准体系，命名也从信息安全改为网络安全。可以看到，法规体系上层级更高了，也就是说网络安全越来越重要了。

在《中华人民共和国网络安全保护法》里第21条规定，国家实行网络安全等级保护制度。后面颁布了《网络安全等级保护条例》，规定国家要建立完善网络安全等级保护标准体系。在这个标准体系下有定级指南、基本要求、设计要求和测评要求。而基本要求里面分了通用要求和云计算、移动互联、物联网、工业控制系统等扩展要求。整个标准体系非常详细的规定了如何测评网络符合哪个级别，各级别的要求怎样。新的系统在设计时，安全方面到底要考虑哪些，从而使网络安全不仅有法可依，也有标准可依。

第二，在保护等级上做了调整，把特别严重损害公民、法人和其他组织的合法权益的等保对象，从等保二级设定为等保三级。

等保的等级划分表格中，受损害的对象有国家安全，社会利益和公共利益，公民、法人和其他组织的权益。损害程度是一般损害、严重损害及特别严重损害，根据不同的组合会有不同的级别。在公民、法人和其他组织的合法权益受到特别严重损害从第二级升到第三级，这也是因为一些事件的发生推动了法规和标准的调整。

第三，标准体系有了变化，原来只有一套标准，现在是采用“通用+扩展”的架构。

标准体系从原来只是一套基本要求，到现在云、移动互联、物联网、工业控制系统等进行了细分。从一个通用要求起，根据不同的IT基础设施有不同的扩展要求。这意味着未来有其它相关的基础设施出现，就肯定会有新的拓展要求出来。

第四，防御思路上有了变化，从被动防御到主动防御。

“等保1.0”实施以来，在攻防技术不断地升级演变中，防御思路发生了一些变化，这些都反映在了“等保2.0”标准中：首先，从被动防御变成了主动防御，整体防御也分区隔离，不仅在边界上防御，在内部也进行一层一层各种各样的防御，相当于在边界上防不住时，在内部控制影响范围，尽量更早地发现问题；其次，“等保2.0”提出了事前、事中、事后的防御，而不仅仅像原来只是在受攻击时防御。防不住就要审计，出现问题还要事后溯源，知道问题根源在哪，是怎么发生的，为下次的防护做好准备；最后，在保障体系上由被动保障向感知预警、动态的防护、安全检测、应急响应做转变。

▍ “等保2.0”对网络安全投资意味着什么？

第一，“等保2.0”很好地促进了网络安全行业的发展，提高了网络安全企业估值的水平，扩大了网络安全市场的整体规模。因此，对于网络安全领域的投资人来讲，“等保2.0”肯定是一个应该加大投资的信号。

第二，“等保2.0”直接促进了相关的合规性需求，但在做网络安全领域早期投资时，不一定要找这一类的企业。正如前面对合规性需求的分析，如果仅仅是“等保2.0”里有某个要求，就做某个产品来创业，而不研究相关业务的真实需求，会很快遇到瓶颈。建议投资面向业务性需求的企业，或是合规+业务性需求的企业。当然，对于二级市场的网络安全企业来讲，启明星辰、绿盟、天融信、深信服等的收入一定会有一个基于“等保2.0”的增长。

综上，中国网络安全行业增长迅速，潜在市场空间巨大。两类不同的需求会带来不一样的市场竞争态势。“等保2.0”的合规性需求变化，更大意义在于提升了网络安全的能见度，提高了组织和相关管理层的安全意识，从而促进了网络安全行业的发展。“等保2.0”的合规性需求从做网络安全的早期投资来讲并不是最佳的投资机会。初创网络安全企业只有注重合规+业务需求，或是纯业务性需求，才能为团队提供更好的发展机会，才能走得更远。这过程中如果有相关的合规性需求出来，也能够做相关的业务，当然是更好。

▍钛资本研究院观察

业界有关统计显示，自有统计记录以来，2018年是中国网络安全市场增长速度最为快速的一年。2019年6月，为了全面提升电信和互联网行业网络数据安全保护能力，工信部印发了《电信和互联网行业提升网络数据安全保护能力专项行动方案》（以下简称：专项行动），在行业内部署开展为期一年的提升网络数据安全保护能力专项行动。本次专项行动无疑是对2019年中国网络安全市场的加速拉升。

本次专项行动围绕新中国成立70周年等重大活动数据安全保障和行业网络数据安全保障体系建设，明确两个阶段的工作目标，并从加快完善网络数据安全制度标准、开展合规性评估和专项治理、强化行业网络数据安全管理、创新推动网络数据安全技术防护能力建设、强化社会监督和宣传交流5个方面提出14项重点任务。

另一方面，我们也观察到中国网络安全产业的碎片化现象严重，例如安全牛日前公布的《中国网络安全100强企业（2019）》榜单就从“50强”增扩至“100强”，其中年收入在1亿至3亿的安全企业，超过40余家，总收入约80亿元，占网络安全整体收入的17%。而网络安全的集成业务正集中到少数大型IT服务商和一些重点行业的IT服务商手中，这为网络安全中小企业的发展带来了一定的挑战，因为产品研发需要了解客户的实际需求，越贴近客户越容易进行研发。

我国的网络信息安全市场是一个长线市场，创业者可以静下心来找到差异化的技术创新点，而不是走同质化竞争路线。不过，2018年改革开放40年、2019年新中国成立70年、2020年全面建成小康之年、可以预期一年一个网络安全市场的新高潮，而且后浪高过前浪。

无论2019的专项行动，还是未来几年的重大安全保障事件，都将使得网络安全市场的“水位”猛涨。所谓“水涨船高”，创业者也需要借此机遇加大发展力度，投资机构也可以为网络安全创业圈注入更多的资金和资源，或有跳跃式发展的可能性。

网络犯罪分子通过将恶意代码植入零售商网站以窃取购物者的支付卡信息。全球平均每个月超过4，800个不同的网站遭到表单劫持代码入侵。2018年赛门铁克共拦截超过370万次表单劫持端点攻击，其中有近三分之一都被监测到发生在全年最繁忙的网购高峰期：11月和12月。

近日，赛门铁克发布的第24期《互联网安全威胁报告》(ISTR)报告显示，随着勒索软件和密码窃取带来的收益不断减少，网络犯罪分子正在伺机寻找其他的方法来牟取利益，如网页表单内容劫持(Formjacking，以下简称"表单劫持")。

该《互联网安全威胁报告》综合介绍了当今网络威胁态势，并对全球威胁活动、网络攻击动向和攻击动机提供深度洞察。

本年度报告的主要亮点包括以下六点：

网页表单内容劫持：网络罪犯牟取暴利的最新途径

表单劫持攻击的原理很简单--其本质就是虚拟ATM扫描。网络犯罪分子通过将恶意代码植入零售商网站以窃取购物者的支付卡信息。全球平均每个月超过4，800个不同的网站遭到表单劫持代码入侵。2018年赛门铁克共拦截超过370万次表单劫持端点攻击，其中有近三分之一都被监测到发生在全年最繁忙的网购高峰期：11月和12月。

最近几个月，包括Ticketmaster和英国航空公司在内的众多知名零售商的在线支付网站均遭到了表单劫持的攻击，据赛门铁克研究显示，广泛受到网络攻击的基本上是中小型零售商。

据保守估计，去年犯罪分子通过在暗网兜售消费者个人及财务信息，牟取了数千万美元的不义之财，这些消费者信息均通过信用卡诈骗获得。一张信用卡信息在地下销售论坛上最高可叫卖到45美元，而犯罪分子只要从每个植入代码的网站窃取10张信用卡信息并出售，每月收益便可高达220万美元。 英国航空公司(British Airways)的信用卡泄露信息超过38万条，仅这次攻击就可能让犯罪分子净赚1700多万美元。

赛门铁克公司首席执行官Greg Clark表示："表单劫持已经对企业和消费者构成了严重威胁。消费者如果不使用全面的安全解决方案，便有很大可能访问已被感染的在线零售商网站，大幅增加消费者个人和财务信息被盗的潜在风险。对企业而言，表单劫持的激增也使得供应链受到攻击的风险日益加大，企业遭到攻击时所面临的声誉和责任风险更加无法估量。"

加密劫持和勒索软件的收益缩水

近年来，勒索软件和加密劫持成为网络犯罪分子牟取快速利益的惯用手段，加密劫持是指利用从消费者和企业处窃取的算力和云CPU资源挖掘加密货币。然而在2018年，随着加密货币的价值下跌以及云和移动计算的普及，这些攻击者们变得力不从心，相关攻击活动和回报随之下降。自2013年以来，勒索软件的感染率首次下降20%。但是企业不应该放松警惕 -2018年企业勒索软件感染率跳涨12%，与总体下降趋势相反，这显示出勒索软件对企业的威胁还在持续增加。事实上，超过80%的勒索软件感染会影响到企业。

加密劫持活动在去年年初时达到顶峰，但在2018年全年整体下滑52%。尽管加密货币价值下跌90%，黑客利润大幅缩水，但由于加密劫持门槛较低，开销最小且具有匿名性，它仍然备受攻击者的青睐。

PC安全问题将在云端重现

企业在最初采用PC时都出现过安全问题，如今这一现象又将在云端重现。单个错误配置的云主机或存储实例将会给企业带来数百万美元的损失，或者让其陷入违规危机。仅去年一年，就有超过7000万条记录从配置不当的S3存储桶中被盗或泄露。此外，攻击者还有很多工具，可用于识别互联网上错误配置的云资源。

最新发现的硬件芯片漏洞（包括Meltdown、Spectre和Foreshadow）云服务面临被利用的风险，攻击者趁机利用这些漏洞进入服务器上受保护的内存空间，从而窃取同一物理服务器上其他企业的资源。

"就地取材"式的工具和供应链漏洞助长更隐蔽、更凶猛的攻击

供应链攻击和"就地取材" 式(LotL)的攻击目前已经成为现代威胁环境的主流模式，在网络犯罪分子和有针对性的攻击团伙中应用十分广泛。事实上，供应链攻击在2018年飙增78%。

LotL无文件攻击战术可让攻击者保持低调，并将其活动隐藏在大量合法进程中。例如，去年恶意PowerShell脚本的使用增加了1，000%。虽然赛门铁克公司能够每个月拦截115，000个恶意PowerShell脚本，但实际上这还不到PowerShell整体使用率的1%。阻止所有PowerShell活动的企业也会受到影响，这进一步说明了为什么LotL技术已成为许多攻击者的首选策略。

识别和阻止这些攻击需要使用分析和机器学习等高级检测方法，比如赛门铁克的托管型端点检测和响应(MEDR)服务、其增强版EDR 4.0技术以及高级人工智能解决方案针对性攻击分析(TAA)。TAA帮助赛门铁克发现了数十起隐蔽的定向攻击，其中包括来自Gallmaker组织的隐蔽攻击--他们在网络间谍活动中完全没有使用到恶意软件，因此很难被察觉。

除了LotL和软件供应链中的漏洞外，如今攻击者更加频繁地使用鱼叉式网络钓鱼等传统攻击方法来入侵组织。虽然收集情报是定向攻击的主要动机，但是2018年使用恶意软件破坏和扰乱商业运营的攻击团伙数量增加了25%。

物联网成为网络罪犯和攻击组织的目标

虽然物联网攻击数量与2017年一样居高不下，但攻击格局发生了巨大变化。尽管路由器和互连摄像头在受感染设备中占据了最大比例(90%)，但是几乎每台物联网设备都容易遭到攻击，无论是智能电灯还是语音助手，都为攻击者提供了入侵的新机会。定向攻击团伙也逐渐将物联网作为一个关键切入点。VPNFilter路由器恶意软件的兴起代表着传统物联网威胁的演变。该软件由技术娴熟且资源充足的攻击者构思而成，帮助黑客销毁或清除设备数据、盗取证书和数据以及拦截SCADA连接。

赛门铁克公司大中华区总裁陈毅威表示："随着IT和工业物联网的日益融合，生产线技术领域将成为新一轮的网络攻击战场。Thrip和Triton等越来越多的黑客组织开始打起生产系统和工业控制系统的主意，全新的网络保卫战一触即发。"

数据隐私大觉醒

随着Cambridge Analytica数据丑闻的发酵、Facebook数据隐私听证会的召开、《通用数据隐私条例》(GDPR)的实施以及苹果FaceTime等应用程序广泛使用位置跟踪及隐私漏洞的曝光，消费者隐私问题在过去一年成为关注的焦点。

智能手机可以说是有史以来最方便的监视设备，它集摄像头、监听设备和位置跟踪器于一身，无论用户走到哪里，都可以随身携带和使用。智能手机除了被一些国家政府用作一般监控手段之外，也通过收集消费者个人信息成为不法分子的摇钱树，其中移动应用程序开发者是最严重的隐私侵犯者。

根据赛门铁克研究，45%的最常用Android应用和25%的最常用iOS应用请求使用位置跟踪，46%的主流Android应用和24%的主流iOS应用请求获得设备摄像头访问权限，44%的热门Android应用和48%最受欢迎的iOS应用要求共享电子邮件地址。

为跟踪儿童、朋友或丢失手机而收集手机数据的数字工具也在不断增多，这便加剧了更多未经批准的跟踪用途持续泛滥。此外，目前有200多个应用和服务为跟踪者提供了多种功能，包括基本位置跟踪、文本收集甚至秘密视频录制。

互联网完全产品服务图谱：

网络安全产业链

2017-2019年我国上市网络安全企业净利润情况如图17所示：

在净利润方面, 10家企业平均净利润增速稳步提升,企业盈利能力出现分化。

10家上市网络安全企业2019年平均净利润为2.69亿元,较2018年的2.25亿元增长了19.39%,

其中,深信服、绿盟科技、启明星辰和迪普科技4家企业的净利润增速稳健，主要源于企业在安全领域的持续深耕和战略化的业务布局;

北信源、美亚柏科和格尔软件3家企业的盈利能力有所下滑。

在研发投入方面,企业持续加大研发投入力度。

2019年国内10家上市网络安全企业平均研发投入为3.28亿元,相较于2018年的2.63亿元增长了24.49%。

其中,北信源受净利润下降影响,用于研发的投入较上年下降2.27%。

数字认证2019年研发投入大幅增长69.15%,主要用于电子签名应用、电子合同以及信步云等项目研究。

2017-2019年我国上市网络安全企业研发投入情况如图18所示。

在融资轮次数量分布方面,我国网络安全融资比较青睐早期融资项目。如,早期项目(天使轮-A+轮)数量占比最高达到48.4% ,中期项目(pre-B轮-B+轮)和后期项目(C轮及以后)数量占比分别约为22.6%和29.0%,

行业变化：

一是安全企业通过收购进行版图升级和拓展。

2020年6月, 360全资收购瀚思科技,将充分发挥双方安全能力,共筑安全大脑,推进360大安全战略;

2020年5月,网宿科技拟以8亿元收购创而新教育科技,通过了解教育信息化业态发展情况,挖掘特定应用场景的CDN3、云安全、IDC5等网络基础服务定制化需求。

二是重要行业厂商加速网络安全能力布局。 2019年10月,阿里云全资收购九州云腾与长亭科技,其中,九州云腾将补充阿里云在云原生安全能力上的布局,长亭科技将提升阿里云的大型政企客户定制化安全服务能力;2020年3月,中国第一汽车集团旗下的一汽富晟实现对物联网安全厂商信长城的投资,积极布局智能网联汽车、v2X6安全等领域。

三是大型国企多线布局网络安全领域。继2019年8月中国电子科技集团公司(简称“中电科”)实施股份增持,成为绿盟科技第一大股东之后,同年11月, 中电科继续入股南洋天融信成为南洋股份的第三大股东,持续完善网络安全领域布局。

参考材料：

信通院互联网白皮书

钛媒体互联网安全文章。

非商业用途，仅用于知识探讨

本文仅仅对于用于产业与行业分析，不做任何投资建议