信息安全深度剖析3：数据安全和隐私计算站风口等保和关保再启增长.pdf_报告吧baogao8.com-

资源描述

请务必阅读正文之后的免责条款部分全球视野本土智慧行业研究 Page 1 证券研究报告深度报告软件与服务 Table_IndustryInfo 信息安全深度剖析 3 超配（维持评级） 2021 年 08 月 18 日一年该行业与上证综指走势比较行业专题数据安全和隐私计算站风口 ,等保和关保再启增长数据严格治理是大势所趋，政策密集推动数据安全建设数据已经成为新生产要素，当前数据泄露事件频出，叠加互联网行业数据监管趋严，数据安全成为建设重点。数据安全强调数据生命周期的保护，需要技术、产品、管理多方协作，建设体量不亚于网络侧安全。当前数据安全法即将在 9 月 1 日正式实施，各地数据安全条例逐步落地，政策节奏和推进速度明显加快，数据安全产品有望开启高增长。数据交易探索 3.0 模式，隐私计算开启千亿市场上海成立全国数据交易联盟，利用智能合约、区块链、多方安全计算技术探索数据交易 3.0 模式，有望盘活数据交易市场。隐私计算正走向成熟，我国具备技术优势和生态环境，尤其是政府领域数据利用。 Gartner 预测市场有望达到 150 亿美金，安恒信息和奇安信已推出隐私计算产品。安全产业增长有望加速，安全投入比持续提升安全产业规模 IDC、信通院、工信部口径有所不同。工信部规划 2023 年网络安全产业规模超过 2500 亿，以工信部数据计算，复合增速要达到 18.62%；与 IDC 复合增速 17.9%接近，相比历史增速有所提升。安全投入比计算， IDC和工信部计算均不超过 3%；从第三方安全预算调研， 2021 年各行业增速明显。政府、电信等行业安全投入有望率先达到 10%。等保 2.0 测评带来确定性增量，关保接力为安全预算增长再添筹码等保 2.0 的测评报告模板发生了重大修订，扣分制导致企业过关难度剧增。新模板将数据作为独立测评对象，进一步提升数据安全的必要性。同时，新模板带动了态势感知、 APT 等新产品采购。关键信息基础设施安全保护条例终出台，关保在等保和密评基础上进一步严格，明确了机构设置和经费支持，政企安全预算有望再增长。投资建议：看好网络安全板块，关注数据安全卡位厂商数据安全带来新成长赛道，政策推进为行业带来预算增长。网络安全板块集体股权激励，验证当前产业发展信心。重点关注安恒信息、奇安信、绿盟科技、启明星辰、迪普科技、深信服等。风险提示：政策推进不及预期；疫情反复影响 IT 支出；行业竞争加剧。重点公司盈利预测及投资评级公司公司投资昨收盘总市值 EPS PE 代码名称评级（元）（亿元） 2021E 2022E 2021E 2022E 688023 安恒信息买入 299.00 221 2.58 3.76 115.89 79.52 688561 奇安信 -U 买入 93.65 636 -0.13 0.48 - 195.10 300369 绿盟科技买入 19.90 159 0.52 0.69 38.27 28.84 002439 启明星辰买入 30.40 284 1.13 1.42 26.90 21.41 300768 迪普科技买入 39.50 158 0.90 1.17 43.89 33.76 300454 深信服买入 260.00 1076 2.49 3.45 104.42 75.36 资料来源： Wind、国信证券经济研究所预测相关研究报告：海外科技跟踪：海外科技跟踪谷歌首次自研智能手机处理器， Facebook 战略布局元宇宙 2021-08-10 国信证券 -工控系统行业报告：看 PLC、 DCS、 SCADA 市场的中国机遇 2021-07-28 海外科技跟踪：海外科技跟踪微软发布 Windows365，自动驾驶汽车初创企业 Aurora 拟上市 2021-07-26 海外科技跟踪：海外科技跟踪 3nm 芯片最快于明年投产，券商平台 Robinhood 上市在即 2021-07-12 国信证券 -地产数字化专题全球 3D 云设计软件龙头厂商（群核科技） 2021-07-10 证券分析师：熊莉 E-MAIL：证券投资咨询执业资格证书编码： S0980519030002 证券分析师：库宏垚电话： 021-60875168 E-MAIL：证券投资咨询执业资格证书编码： S0980520010001 独立性声明：作者保证报告所采用的数据均来自合规渠道，分析逻辑基于本人的职业理解，通过合理判断并得出结论，力求客观、公正，其结论不受其它任何第三方的授意、影响，特此声明 0.6 0.7 0.8 0.9 1.0 1.1 1.2 A/20 O/20 D/20 F/21 A/21 J/21 上证综指软件与服务请务必阅读正文之后的免责条款部分全球视野本土智慧 Page 2 投资摘要关键结论与投资建议数据安全是产业发展新方向，等保 2.0 和关保等政策带来确定性增量，网络安全行业均大为受益。互联网监管趋严，叠加数据安全法推出，数据安全成为新建设重点。隐私计算逐步成熟，成为数据安全的新衍生，千亿市场为安全厂商打开新成长空间。等保 2.0 测评变化，以及关保在等保基础上更为严格的要求，为行业预算带来确定性增长。网络安全板块集体股权激励，验证当前产业发展信心。重点关注关键技术和市场卡位厂商：安恒信息、奇安信、绿盟科技、启明星辰、迪普科技、深信服等核心假设或逻辑第一，数据被定义为新“生产要素”，数据安全法即将在 9 月 1 日正式实施，各地迅速出台数据安全条例，数据安全是下一轮安全建设重点。第二，隐私计算技术不断发展成熟，成为数据安全发展的新方向，我国具备技术优势和生态环境，千亿市场打开安全行业新发展空间。第三，等保 2.0 测评模板变化巨大，导致原来普遍 80、 90 分过关的企业现在可能只有 60 多分，甚至更低。关保针对关键信息基础设施，是在等保 2.0 基础上的进一步要求。为了确保等保和关保测评通过，安全预算投入必然会增加。与市场预期不同之处第一，市场认为互联网监管催化的数据安全仅是情绪炒作。滴滴事件后，安全板块情绪高涨明显。我们认为，数据安全事件频出，其关乎每个个体，政策不断推出，相关技术和产品持续在验证，是推动安全产业下一轮增长的关键。第二，市场认为数据交易难有成功模式。我们认为，早期数据交易所不温不火是技术发展的必然探索。隐私计算为数据安全提供了新的模式，我国在该领域具备技术优势和生态环境，隐私计算有望成为安全厂商新一轮成长动力。第三，市场低估了等保 2.0 测评变化和关保给行业带来的确定性增量。等保 2.0 新模板将数据作为独立测评对象，进一步提升数据安全的必要性。同时，新模板带动了态势感知、 APT 等新产品采购。关保虽然从 2017 年就已经提出，但正式文件已发生较大变化，明确了机构设置和经费支持。关保是在等保 2.0 基础上更为严格的要求，因此各行业安全预算均有望增长。股价变化的催化因素第一，网络安全政策持续推出和发酵，资金支持得以保障。等保 2.0 测评模板变化、数据安全法推进、关保在等保 2.0 上更进一步，为行业带来切实增量。第二，数据安全社会影响不断扩大，隐私计算产品及商业模式持续落地。信息安全事件直接催化板块热情，数据安全建设成为各类机构的新重点。隐私计算成功落地，有望为安全行业打开新市场空间。第三，网络安全行业公司业绩持续高增长。四季度有望看到新政策带来的订单增长，进一步增强明年向好的确定性。各厂商数据安全、云安全等各类新产品有望逐步放量，带动公司业绩和估值提升。核心假设或逻辑的主要风险第一，各类信息安全政策实施力度不及预期。第二，疫情反复和经济下行环境中， IT 支出下降。第三，行业竞争加剧，全行业盈利能力下滑。请务必阅读正文之后的免责条款部分全球视野本土智慧 Page 3 内容目录数据严格治理大势所趋，数据安全成为建设重点 . 5 如何理解网络安全和数据安全 . 5 数据安全不容忽视，严格治理成为大势所趋 . 6 数据安全产品和技术众多，市场空间广阔 . 7 互联网监管发酵，网络和数据安全政策密集出台 . 10 滴滴事件持续发酵，互联网安全审查程度空前 . 10 数据安全成为当前建设重点，各地方加速落地 . 12 数据安全建设成新篇章，隐私计算开启千亿市场 . 13 传统数据交易所举步维艰，上海开启探索数据交易 3.0 新模式 . 13 隐私计算成为数据安全新蓝海，我国具备技术和场景优势 . 15 安全产业规模和投入再梳理，等保和关保催化带来切实增量 . 17 当前网络安全市场规模到底如何？ . 17 网络安全占 IT 投入比到底是多少？ . 19 等保 2.0 测评标准变化，再强调数据安全，直接带动网安新品放量 . 20 关键信息基础设施安全保护条例再接力，安全预算增长再添筹码 . 23 行业高增长确定性十足，重点关注数据安全厂商 . 25 全行业股权激励，行业高增充满信心 . 25 安恒信息数据安全起家，数据安全岛布局隐私计算 . 25 奇安信数据安全增长快，发布隐私计算产品 . 26 绿盟科技亿赛通 DLP 优势明显，数据安全运营平台应运而生 . 27 启明星辰数据安全不容小觑， 2020 年收入规模约 6 亿 . 27 迪普科技运营商领域数据安全有望发力 . 28 深信服将 AI 技术引入数据分类分级 . 28 风险提示 . 28 国信证券投资评级 . 29 分析师承诺 . 29 风险提示 . 29 证券投资咨询业务的说明 . 29 请务必阅读正文之后的免责条款部分全球视野本土智慧 Page 4 图表目录图 1：网络安全和数据安全的现实映射 . 5 图 2：数据安全治理总体视图 . 6 图 3：全球政企机构重大数据安全事件行业分布 . 7 图 4： 2020 年暗网交易数据规模分布 . 7 图 5： 2020 年全球数据安全事件主要原因 . 7 图 6：数据生存周期安全 . 8 图 7：中国联通数据安全体系总体框架 . 9 图 8： 2019 年中国数据泄露防护（ DLP）市场规模 . 10 图 9： 2019 年中国 DLP 产品行业结构 . 10 图 10：国内数据库安全市场规模（亿元） . 10 图 11：国内数据库安全市场份额 . 10 图 12：全球数据量迅速增长（ ZB） . 14 图 13：大数据交易中心功能定位 . 14 图 14：联邦学习和主权云加入 “技术成熟度曲线 ” . 16 图 15：各国隐私计算领域论文数量 . 16 图 16：国内隐私计算平台应用情况 . 17 图 17：国内隐私计算平台技术路线 . 17 图 18：隐私计算应用场景 . 17 图 19：我国网络安全产业规模（亿元） . 18 图 20：中国 IT 安全牛市场支出预测（亿美元） . 18 图 21：全国软件业务收入（亿元） . 18 图 22：全国信息安全产品和服务收入（亿元） . 18 图 23：全球及中国信息安全投入占 IT 投入比 . 19 图 24： 2020 年金融及全行业安全占 IT 预算比 . 20 图 25： 2021 年金融及全行业安全占 IT 预算比 . 20 图 26： 2019 年中国网络安全市场行业划分 . 20 图 27： 2019 年全球网络安全市场行业划分 . 20 图 28：等保 2.0 监管范围扩大 . 21 图 29：等保 2.0 评分标准 . 21 图 30： 2019 年各主要安全上市公司业绩增速回暖 . 23 图 31：各产品 2021 市场规模预测 . 23 图 32：关保、密评、等保关系 . 25 图 33：安恒信息数据安全岛 . 26 图 34：奇安信数据交易沙箱 . 27 图 35：绿盟科技数据安全运营平台 . 27 表 1： 2021 年上半年数据泄露若干事件 . 6 表 2：基础数据安全要求 . 8 表 3：滴滴事件梳理 . 11 表 4： APP 治理事件梳理 . 11 表 5：网络安全审查办法主要内容 . 12 表 6：网络和数据安全政策密集出台 . 12 表 7：数据安全政策及各地方实践 . 13 表 8：条例中对个人数据的保护 . 13 表 9：上海数据交易中心成果发布 . 15 表 10：隐私计算相关技术主要对比 . 16 表 11：多种测评场景下评分差别 . 22 表 12：新测评模板下 9 大实例评分情况 . 22 表 13：关键信息基础设施安全保护条例要点 . 24 表 14：国外关键信息基础设施保护政策 . 24 表 15：网络安全全行业股权激励 . 25 请务必阅读正文之后的免责条款部分全球视野本土智慧 Page 5 数据严格治理大势所趋，数据安全成为建设重点如何理解网络安全和数据安全网络安全侧重流量管控，数据安全重点在数据本身。网络和数据安全并非相互独立，在建设过程中必然是相互融合的。相较而言，网络安全更常被提及，以防火墙为代表的各类产品也更普及。网络安全核心是保护 IT 系统的软件、硬件等资产，主要工作网络模型中的网络层和应用层，通过是对网络流量的管控和分析，实现对网络攻击的阻断和病毒过滤等。数据安全则重点在于保护数据本身，将数据视为一项与 “软硬件”相似的新资产，主要工作是对数据库的保护、审计、访问控制，以及对数据的加密、脱敏、防泄露、安全共享、多方安全计算等。数据安全涉及密码、网络、隐私计算等多种新老技术，建设过程中同样离不开网络安全的保护，可以说网络安全是第一道防线。在此基础上，全局视角的态势感知平台，结合网络和数据安全各类防护，实现完整的安全解决方案。与现实映射，网络与数据安全相辅相成。将数字世界与现实中的家庭进行映射，家庭中的防盗门、室内监控扮演了网络安全的角色，即将陌生人全部隔离在外，只允许业主和邀请客人进出；对恶意闯入者进行驱逐；对内部人员进行监控等。网络安全主要作用于流量，如同对人的管控。数据安全则类似于家庭里保险柜，将最有价值的金钱（如同数据）进行严格保护，如对保险柜加密、每个成员收入和支出的审计、不同成员的使用权限、金钱合作方银行账户的管理等，即数据安全需要对数据全生命周期的保护。整体上，小区监控室扮演了态势感知的角色，对每个家庭人员和资产进行全面管控（如企业对各个部门及 IT 系统的安全管控），网络和数据安全实现一体化建设。图 1：网络安全和数据安全的现实映射资料来源 : 计算机网络，国信证券经济研究所整理数据安全治理需要技术、产品、管理、运营等多方面共同协作。随着数据价值日益凸显，数据安全治理不再只是简单一个加密和备份这么简单。围绕数据全生命周期，数据安全涉及组织内多部门协作、流程制定、体系化技术、专业人才运维等一系列工作。数据安全治理的目标是在合规保障及风险管理的前提下，实现数据的开发利用，保证数据和业务共同安全发展。整个数据安全治理路线分为规划、建设、运营、评估，基础安全和数据全生命周期安全都要覆盖。请务必阅读正文之后的免责条款部分全球视野本土智慧 Page 6 图 2：数据安全治理总体视图资料来源 : 数据安全治理实践指南 1.0，国信证券经济研究所整理数据安全不容忽视，严格治理成为大势所趋数据泄露事件频出，安全成本逐年上升。全球各公司和组织数据泄露事件屡见不鲜，深刻威胁每个个体，已经成为全球政府的重点问题。根据 IBM 一项安全研究报告， 2021 年企业平均每起数据泄露事件成本为 424 万美元，是自 2004 年以来最高值。尤其在疫情发生后，远程办公、在线运营等新 IT 架构弱化了曾经的安全防护，导致安全成本平均提升了 10%左右。如果未对远程办公等及时跟进安全建设，数据泄露发生更为容易，直接阻碍企业运营和发展。表 1： 2021 年上半年数据泄露若干事件时间事件 2021 年 1 月巴西的一个数据库 30TB 数据被破坏，泄露的数据包含有 1.04 亿辆汽车和约 4000 万家公司的详细信息，受影响的人员数量可能有 2.2 亿 2021 年 1 月日产北美公司一台 Bitbucket Git 服务器的信息在 Telegram 频道和黑客论坛上传播，近20GB 源代码遭到泄露 2021 年 3 月印度 800 万核酸检测结果泄露，含有姓名、年龄、婚姻状况、检测时间、居住地址等敏感个人信息 2021 年 3 月美国保险巨头 CNA 公司的 IT 系统被勒索软件锁定，攻击者还窃取了数据，公司支付了4000 万美元勒索赎金 2021 年 5 月应用 Omiai 最近遭黑客攻击，约 170 多万用户个人数据遭泄露资料来源 : 腾讯新闻，国信证券经济研究所整理数据泄露问题普遍，互联网 IT、政府、金融等是重灾区。根据奇安信发布的中国政企机构数据安全风险研究报告，从 2019 年 1 月至 2020 年 8 月，全球政企机构重大数据安全事件中，数据泄露事件高达 406 起，占总体数据安全事件的 96.7%。从行业分布来看，信息化程度最高的的互联网和 IT 产业，以及与国计民生深度融合的政府、生活服务、金融等行业数据安全影响最严重。这些行业掌握了全民级数据，数据安全治理不容忽视。请务必阅读正文之后的免责条款部分全球视野本土智慧 Page 7 图 3：全球政企机构重大数据安全事件行业分布资料来源 : 奇安信，国信证券经济研究所整理个人信息和记录黑色交易成灾，数据内外部威胁是主要原因。根据报告，奇安信公司从某暗网交易平台上，抽样收录了 2019 年 5 月 -2020 年 2 月以来发布的 6357 则交易信息约 11.7 亿条可交易数据。从统计中可以看出，暗网上数据交易量最大的是电商类网站、 APP 数据行为记录、公民实名信息、棋牌博彩、券商理财等信息。个人数据的黑色交易泛滥成灾，骚扰电话、大数据杀熟、垃圾邮件和短信等损害了每个人的利益。根据调查，超过 40%的数据安全事件由外部攻击导致， 14%是由于内部人员的违规操作造成， 13%是由于合作伙伴，如供应商和服务商泄露。因此数据安全内部和外部均需要治理，当前政策和法律不断趋严。另一方面，数据需要交易共享才能发挥价值，但黑色交易理应严厉打击，以隐私计算等为代表的新兴技术，将为数据安全交易和利用带来曙光。图 4： 2020 年暗网交易数据规模分布图 5： 2020 年全球数据安全事件主要原因资料来源：奇安信，国信证券经济研究所整理资料来源：奇安信，国信证券经济研究所整理数据安全产品和技术众多，市场空间广阔数据安全强调数据生命周期的保护。对数据安全的强调，进一步推动信息化建设中内生安全的融入，即进入数据全生命周期的各个环节，不再只是后 IT 时期的修修补补。数据生命周期涉及采集、传输、存储、处理、交换、销毁。当前的网络安全建设，主要仍基于传输和存储两个环节，像“交换”之类敏感环节，并未成熟，才导致数据泄露和数据黑市的存在。因此传统及新兴数据安全技术有望得到迅速应用和发展，如数据加密（叠加当前国密改造）、脱敏；数据监测 19.30% 14% 10.70% 10% 9.80% 5.20% 4.50% 3.60% 3.30% 2.90% 0.00% 5.00% 10.00% 15.00% 20.00% 25.00% 17.2% 11.2% 10.3% 3.1% 1.0%0.4% 56.7% 电商类网站、 APP 数据等行为记录公民个人信息等实名信息棋牌、博彩、娱乐城类账户信息券商、股民、理财、网贷类账户信息车主类实名信息快递类网站、 APP数据等行为记录其他 40.3% 14.0% 13.1% 5.7% 3.6% 2.1% 21.1% 外部威胁内部威胁合作伙伴泄露存在漏洞配置错误操作失误其他请务必阅读正文之后的免责条款部分全球视野本土智慧 Page 8 （态感、 UEBA）、数据审计（堡垒、水印）；隐私计算；数据容灾等，当前也能看到持续的产品化及方案落地。图 6：数据生存周期安全资料来源 : 绿盟数据安全白皮书 2.0，国信证券经济研究所整理基础数据安全是体系重要支撑，功能点众多。基础安全能力是数据全生命周期安全能力建设的基本支撑，是整个安全体系的通用要求，实现各类资源的有效整合。基础安全主要包括数据分类分级、合规管理、合作方管理、监控审计、鉴别与访问、风险和需求分析、安全事件应急等 7 大内容，覆盖了 11 大功能项。基础数据安全主要有数据库审计、日志审计、态势感知等，也是数据全生命周期安全建设的重要基石。表 2：基础数据安全要求基础数据安全要点主要内容数据分类分级技术敏感数据识别，分类分级规则定义、管理、打标等分类分级规则定义及管理数据资产的识别、录入、管理，以及分类分级标识工单审批管理平台覆盖数据全生命周期和业务场景的各类工单的申请、审批、流转跟踪等；根据申请内容，与其他平台形成联动管理机制等合规管理平台法律、合规等文件管理，合规风险库管理，合规评审计划、记录、报告、整改的管理合作方管理平台合作方录入、删除、更新等；合作商机评审管理；合作方安全评估计划、记录、报告等管理监控审计平台覆盖全部业务场景、系统、平台等的数据流动及人员操作监控及审计；监控点及监控阈值管理；风险告警策略的配置管理等日志管理平台数据处理日志收集、记录等；全部数据访问者的操作日志收集、记录；日志监控与分析账号及权限管理平台账号申请、分配、回收等的管理；权限申请、分配、变更、回收等的管理；涉敏账号及权限管理需求管理平台业务数据安全需求的申请、分析及安全方案管理风险管理平台数据安全风险的登记、评估、更新；防控措施记录及更新数据安全事件管理平台数据安全事件的登记、应急处置记录；宣贯宣导管理等资料来源 : 数据安全治理实践指南 1.0，国信证券经济研究所整理数据安全的系统治理需要完整方案，单点产品和安全平台均不可或缺。参考中国联通数据治理实践，公司从管理、技术、运营三个方面构建了整体数据安全体系。从数据采集、传输、存储、使用、交互等全生命周期环节出发，技术点覆盖事前、事中、事后的数据状态，主要有 7 大系统：（ 1）数据资产地图，动态管理数据资产信息，形成统一管控视图；（ 2）数据脱敏系统，对数据分类分级，敏感数据加密和脱敏；（ 3）统一账号认证授权审计系统，实现用户的统一认证、授权，对 IT 资产集中管理；（ 4）数据安全监测与审计系统，基于零信任模型，分析用户操作行为，保证数请务必阅读正文之后的免责条款部分全球视野本土智慧 Page 9 据行为可控、可审计；（ 5）云桌面系统，保证数据在云桌面内可读可控防泄漏；（ 6）数据追踪溯源系统，基于水印技术，对内容标识，能追踪泄露者；（ 7）数据安全网关系统，对外数据输出唯一出口，确保数据输出内容安全合规。结合产品和平台，联通数据安全治理取得了良好的效果。公司完成了多个高危漏洞的整改，保障大数据平台超过 100P 的数据存储以及每天新增超过 200T 压缩数据量的安全。因此，数据安全建设不是一蹴而就，需要持续的产品和平台迭代建设，建设体量不亚于网络安全侧。图 7：中国联通数据安全体系总体框架资料来源 :数据安全治理实践指南 1.0，国信证券经济研究所整理传统数据安全产品较多，有望迎来加速发展期。传统主要有数据脱敏，数据库审计、数据防泄漏 DLP 等方向。数据脱敏主要是通过一些算法，如变形、转换等内置规则降低数据敏感度。数据库审计，主要是记录、分析和汇报用户访问数据库行为，帮助用户事后生成合规报告、事故追根溯源。数据防泄漏 DLP 主要审计一切外发的数据，做到事中管控，事后溯源取证（存储、使用、传输三种场景）。除此之外，数据安全还包括终端加密、文档加密、数据资产测绘、数据库防火墙等产品。虽然每一款产品当前市场并不大，但是随着数据安全法等逐步普及，数据安全行业有望迎来高增长，根据中国信通院预测， 2023 年中国数据安全市场有望达到 97.5 亿元。 DLP 领域，绿盟科技子公司亿赛通占据优势。根据赛迪 2020 报告数据， DLP 市场 2019 年达到 9.7 亿元，虽然体量较小，行业将保持 20%左右的增长，预计 2022 年市场达到 16.6 亿元。在 DLP 下游中，金融、电信、政府占比仍是最高的三个。绿盟科技在 2014年 9月以 4.98亿收购专业数据安全厂商亿赛通 100% 股权，亿赛通是 DLP 市场龙头， 2019 年以 17.1%的份额位居行业第一。请务必阅读正文之后的免责条款部分全球视野本土智慧 Page 10 图 8： 2019 年中国数据泄露防护（ DLP）市场规模图 9： 2019 年中国 DLP 产品行业结构资料来源：赛迪顾问 2020.05，国信证券经济研究所整理资料来源：赛迪顾问 2020.05，国信证券经济研究所整理数据库审计中，启明星辰和安恒信息保持领先。 2017 年，我国数据库安全审计与防护市场保持了 16.9%的增长率，市场规模达到 10.4 亿元；预计 2020 年将达到 16.7 亿元，复合增长率为 17.1%。该领域中，启明星辰以 10.2%的份额位居第一；安恒信息市场份额 7.2%，仅次于启明星辰，领先于国外厂商 IBM 和 Imperva。图 10：国内数据库安全市场规模（亿元）图 11：国内数据库安全市场份额资料来源：赛迪顾问 2018.10，国信证券经济研究所整理资料来源：赛迪顾问 2018.10，国信证券经济研究所整理互联网监管发酵，网络和数据安全政策密集出台滴滴事件持续发酵，互联网安全审查程度空前 “滴滴”引发网络安全审查。 2021 年 7 月 2 日晚，国家网信办官网发布公告称，为防范国家数据安全风险，维护国家安全，按照网络安全审查办法，对“滴滴出行”实施网络安全审查，首先暂停了“滴滴出行”新用户注册。 7月 4日晚，经检测核实，“滴滴出行” App 存在严重违法违规收集使用个人信息问题。目前各应用商店已下架“滴滴出行” App。 7月 9日晚，同样因为“严重违法违规收集使用个人信息问题”，滴滴旗下另外 25 款 APP 也被国家网信办要求下架。在“滴滴事件”期间，美股上市不久的 BOSS 直聘、满帮集团也同样被启动网络安全审查；而计划赴美上市的 Keep、喜马拉雅、零氪科技也纷纷暂停 IPO。 0% 5% 10% 15% 20% 25% 30% 0 2 4 6 8 10 12 14 16 18 2017 2018 2019 2020E 2021E 2022E 市场规模（亿元） yoy 1.8 1.7 1.4 1.1 1 0.9 0.7 0.5 0.4 0.2 0 0.5 1 1.5 2 金融电信政府制造能源医疗卫生其他教育与科研物流与邮政交通 15% 16% 16% 17% 17% 18% 18% 19% 19% 0 2 4 6 8 10 12 14 16 18 2015 2016 2017 2018E 2019E 2020E 国内数据库安全审计与防护产品市场规模 yoy 10% 7% 7% 7% 69% 启明星辰安恒信息 IBM Imperva 其他请务必阅读正文之后的免责条款部分全球视野本土智慧 Page 11 表 3：滴滴事件梳理时间事项涉及公司 7 月 2 日网信办宣布对“滴滴出行” App 实施网络安全审查，称“为配合网络安全审查工作，防范风险扩大，审查期间滴滴出行停止新用户注册”。滴滴 7 月 4 日网信办要求各应用商店下架“滴滴出行” App，通报，称“滴滴出行” App“存在严重违法违规收集使用个人信息问题”。滴滴 7 月 5 日网信办宣布对在线招聘公司 BOSS 直聘、两家货运调度平台运满满和货车帮实施审查，审查期间以上平台停止新用户注册。注：运满满和货车帮于 2017 年合并为满帮集团（ Full Truck Alliance）。 BOSS 直聘、运满满、货车帮 7 月 7 日微信、支付宝无法搜索“滴滴出行”小程序，“滴滴出行”也从微信支付出行服务栏内消失。滴滴、微信、支付宝 7 月 8 日健身软件 Keep、播客平台喜马拉雅、阿里系医疗数据公司零氪科技（ LinkDoc Technology）等取消赴美 IPO计划 Keep、喜马拉雅、零氪科技 7 月 9 日网信办要求各网站、平台下架“滴滴企业版”等 25 款 App，称 25 款 App 存在“严重违法违规”，各网站、平台均不得为这 25 款 App 提供访问与下载服务。滴滴 7 月 16 日国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等部门联合进驻滴滴，开展网络安全审查滴滴 7 月 30 日美国证监会要求赴美上市的中企提交风险信息，同时出示得到我国有关部门“许可”上市的文件。所有赴美上市公司 7 月 30 日工信部召开贯彻落实数据安全法座谈会，阿里、腾讯、美团、奇安信、小米等 12 家企业参会各互联网公司资料来源 : 新浪财经，国信证券经济研究所整理移动 APP 安全审查近年来已经持续加强。 2019 年关于 app 治理方面的政策不断出台， 2021年开始进入密集整治期。根据工业和信息化部数据，截至 6月 21 日， APP 侵害用户权益专项整治行动共检查 117万款 APP，对 4002款违规 APP 提出了整改要求，公开通报 1248 款整改不到位的 APP，组织下架 329 款拒不整改的 APP。包括滴滴在内，多数被整改的知名 APP 应用，问题均是出在违规收集个人信息上。因此，各类网络安全审查办法、数据安全法、个人信息保护法等政策陆续落地，不断推动全社会信息安全建设。表 4： APP 治理事件梳理时间事项 2019 年 1 月 25 日中央网信办、工信部、公安部、市场监管总局四部门联合发布关于开展 App 违法违规收集使用个人信息专项治理的公告 (以下简称公告 )，决定自 2019 年 1 月至 12 月，在全国范围组织开展 App 违法违规收集使用个人信息专项治理 2019 年 5 月 27 日百款常用 App 申请收集使用个人信息权限情况公布 2019 年 12 月 30 日中央网信办、工信部、公安部、市场监管总局四部门联合印发 App 违法违规收集使用个人信息行为认定方法，方法提出，征得用户同意前就开始收集个人信息或打开可收集个人信息的权限、实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围等行为可被认定为“未经用户同意收集使用个人信息”。 2021 年 3 月 22 日国家互联网信息办公室等四部门联合印发常见类型移动互联网应用程序必要个人信息范围规定， 2021 年 5 月 1 日关于输入法等 33 款 App 违法违规收集使用个人信息情况的通报 2021 年 5 月 15 日关于腾讯手机管家等 84 款 App 违法违规收集使用个人信息情况的通报 2021 年 5 月 21 日关于抖音等 105 款 App 违法违规收集使用个人信息情况的通报 2021 年 6 月 11 日国家网信办通报 Keep 等 129 款 App 违法违规收集使用个人信息的情况资料来源 : 新浪新闻，国信证券经济研究所整理滴滴直接导致网络安全审查办法修改升级。网络安全审查办法由国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局等 12 个部门联合发布，已于 2020 年 6 月 1 日正式实施。该办法重点强调了“关键信息基础设施”的保护，主要依据网络安全法第三十五条规定：“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查”。简单来说，就是“关键单位”采购 IT 产品时，必须符合“安全审核”。当前主要涉及电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等关键行业。显然，“滴滴”作为交通行业重要运营者，也需要网络安全审查。在“滴滴事件”发生后，网络安全审查办法于 7 月 10 日征求意见，网络安全审查办法（修订草案征求意见稿）强调，掌握超过 100 万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。法律迅速升级，进一步扩大审核覆盖范围。请务必阅读正文之后的免责条款部分全球视野本土智慧 Page 12 表 5：网络安全审查办法主要内容内容说明目的关键信息基础设施供应链安全维护国家网络安全适用范围关键信息基础设施运营者（以下简称运营者）采购网络产品和服务，影响或可能影响国家安全的网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容器存储设备、大型数据库和应用软件、网络安全设备、云计算服务等主管机构网络安全审查办公室；具体工作委托中国网络安全审查技术与认证中心承担设在国家互联网信息办公室，负责制定网络安全审查相关制度规范，组织网络安全审查运营者事先预判应当预判该产品投入使用后可能带来的国家安全风险如有影响，则需申报审查获取供应商合同承诺运营者应通过采购文件、协议等要求产品和服务提供者配合网络审查包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或必要的技术支持服务等资料来源 : 网络安全审查办法，国信证券经济研究所整理网络和数据安全政策法律不断出台，节奏明显加快。滴滴事件引发了广泛的社会影响，有望成为我国网络和数据安全建设的重要转折点，未来对各类 IT 系统的网络、数据等各类信息安全审查和投入有望实现质的提升。在最前沿的智能汽车领域， 8 月 12日出台政策，强调了汽车数据安全，以及加强了 OTA升级的安全管理。当前，个人信息保护法草案三次审议稿即将进入审议阶段，进一步规范 APP 过度收集个人信息。同时， 2021 年 8 月 4 日，党委（党组）网络安全工作责任制实施办法首度公开，该政策自 2017 年 8月 15 日起已经施行，进一步强调了党委（党组）的网络安全责任。 8月 17日，关键信息基础设施安全保护条例正式公布，该政策已于 2021 年 4 月 27 日通过，将于 2021 年 9 月 1 日起施行。安全政策推进速度明显加快，可以预期个人信息安全保护法正式文件也即将出台。表 6：网络和数据安全政策密集出台日期相关部门名称要点 2020.04.27 网信办、发改委、工信部、公安部、国安部等 12 个部门网络安全审查

展开阅读全文