报告从五个部分展开:
法律法规
市场观察
热点方向
资本洞察
总结与展望
法律法规
图片看不太清楚,没关系,公众号回复“报告”有下载链接,这里可以直接数圆圈个数,红色是法律,蓝色是条例:
一句话
法律法规层面,2021年一年,干了过去五年的事情,还不止。
所以,咱们说近些年法律法规出台,是有很充足证据的。
这里列出的法律法规文件,在公众号回复“报告”有合集下载。
大家平时看国家发展规划,可能会觉得“听君一席话,如听一席话”。但是你把十三五和十四五对比起来看,就会发现,其实有脉络在里面。
十三五规划是2016年发布,往前推,筹划编写时间估计是2013年,那时信息化的渗透其实还比较有限,提“数字化转型”的声音还很弱,所以网络安全的定位是“守”。但是到了十四五,各行各业的信息化水平都有了长远进步,2018年“数字化转型”的呼喊一浪接一浪,出现了FinTech/RegTech,仿佛 Tech 在 + 一切。这个时候,安全不仅仅是“守”,自己也成了产业,开始和 人工智能、大数据 等相提并论。
随着定位的变化,政策和能力方面,对“守”和“攻”的要求开始进一步细化:
所以,笔者认为,十三五是网络安全法律法规的关键时刻,十四五将是网络安全产业发展的关键时刻。
市场的核心在需求和供给两端。
需求侧,从热力图可以看出,还是三个经济带(京津冀、长三角、珠三角)+川渝 客户最多。总体客户数连续两年保持40%增长。
感慨一下,中部地区还是偏弱啊,要多向川渝学习。
从行业来看客户数,泛政是绝对的No.1,纯政府客户都占了43%。其实也很好理解,作为“合规驱动”最典型的群体 + 基数庞大,法律法规密集出台,泛政一个都不会掉队。
在此,bless 政府行业作为安全的投入大户,能在实战化攻防能力上不断提升,早日从实战攻防攻击队的“软柿子”清单中被划掉。
这个数据挺意外的,没想到四川居然是网络安全客户第一大省,和重庆一对比,看来金融实践群跑去重庆办闭门会,有点跑偏了。
和上面【网络安全客户地图】对比,我感觉这个图里的数据有问题,两者自相矛盾。就不做进一步解读了。
有想到安全服务很火,但是没想到火成了 No.1。笔者觉得这背后有其合理性:
排在最后的是日志分析和态势感知,两个难兄难弟。笔者在上一家单位,2015年买了“日志分析”,2020年买了“态势感知”,个人认为,这玩意还真是中大型企业才能玩起来,要钱要人,而且是持续要钱要人,注定了不可能太火。
“容器”排第一、账号管理第二、云平台第三。这很合理,因为都是和业务靠的紧密。
接下来是供给侧。
作者仿照 gartner magic quadrant 的做法,从“资源力得分”和“竞争力得分”两个维度,划分出了领导者、战略布局者、挑战者、成长者和潜力者。
然后给出了【2021年中国网安产业竞争力50强(CCIA50强)】
对此,笔者就不发表意见了,大家自己看。
作者经过通过大量调研数据分析汇总,最终得出,2020年我国网络安全市场规模约为532亿元,由于受疫情影响,2020年网络安全市场规模增速放缓,同比增长率为11.3%。
看来受疫情影响,网络安全行业规模总算超越了小龙虾市场规模,着实不易。
这里作者写了三个点:
对此,笔者谈两点个人认识:
需求产生热点。作者给出了七个热点方向,不太清楚其分析依据,感觉和前面的热点关键词也没对应上。姑且不去深究其依据吧。
一个个来看:
关于数据安全,这里贴两段群友的观点:
数据安全,很多解读方法
1 服务端数据防盗,防改。保密性和完整性
2 数据多备份容灾。数据可用性。
3 隐私数据用户授权后采集存储共享。这个是个人信息合规性。
数据安全的“安全”是什么?
1、数据安全的内涵和边界
先回答清楚下面几个问题:我们负责的“数据安全”范畴中
(1)“数据”是指公司控制范围内流转、存储的所有数据吗?还是仅指识别、分级后的需要加以控制的数据?
(2)“数据”包括结构化数据和非结构化数据吗?格式化数据大体指的是数据库、大数据平台存储的数据,以及应用系统内部和系统之间流转的数据;非格式化数据大体指是各种办公文档、文件、聊天记录、邮件、图片音视频等。
(3)“数据”包括电子数据、纸质数据吗?
(4)以上定义的“数据”有可能会包含员工的个人数据吗?比如聊天记录、个人文档图片、邮件等,都是什么形态存在的?
(5)“安全”指的是什么意思?是数据的机密性、完整性、可用性、抗抵赖性、可追溯性中的哪几个?除了通常说数据安全要做到防泄漏、防滥用、防篡改,“安全”一词还包括什么含义?
(6)机密性、完整性、可用性、抗抵赖性、可追溯性分别要做到什么地步?是绝对不允许泄漏,还是允许低频度、低危害的泄漏或滥用?完整性强度要达到怎样的状态?追溯能力要达到什么状态?
某些行业,“安全”还隐含“自证清白”的目标,也就是万一有投诉或者外部调查,自己可以举证自己是否清白。这个可以列入到追溯能力的定义中。
(7)“安全”的状态、强度,对于不同密级、敏感程度的数据是否有区别?如果有,是怎样的?
(8)如果你是数据安全负责人,你未来如何评价数据安全工作的好坏,如何向客户、领导展现工作质量的高低?
识别清楚以上几个问题,才能真正把数据安全工作的目标、内涵、边界定义清楚。
笔者以前做数据分类分级,面向结构化文档,更多是从管理制度层面进行落地,在技术层面,对有限格式的文本进行关键词匹配。这个方向天生会有瓶颈。
面向 DB 数据,倒是有互联网公司、创业公司在做,能切实解决一些业务场景问题。可能会是一个方向。
作为一个在资本市场呆过7年的安全从业者,我只想贴图,就不说话了。读者朋友自己感受。
作者写的太虚,笔者就一笔带过了。最后还有个全景图,附件查看大图(16M,就不占用大家流量了)。
最后,公众号回复“报告”获取《中国网络安全产业分析报告》原文PDF。