“等保2.0”给网络安全产业投资带来了哪些变化?| 投资者说
图片来源@视觉中国
文 | 钛资本研究院
随着2019年5月13号《信息安全技术网络安全等级保护基本要求》(以下简称“等保2.0”)的发布,及近期美国对伊朗的网络攻击,使投资圈对信息安全领域的关注度逐渐提高。此前,钛资本已经组织了网络安全创业投资相关的分享,过去5年间信息技术的影响已经从IT范畴扩展到全社会范围,随着5G的商用将带来更加不可估量的影响。当前,我国网络安全市场规模在急剧增大,呈现指数型增长。
在钛资本新一代企业级科技投资人投研社第23期,苹果资本管理合伙人许俊结合“等保2.0”的发布,分享了网络安全产业投资会有哪些变化。
许俊毕业于浙江大学,拥有中欧国际工商学院MBA学位,曾在UTStarcom、诺基亚等公司从事研发、研发管理、产品管理等工作。许俊曾任职于华为的战略投资部门,主导收购了一家光通信领域的欧洲公司,后又先后加入达泰资本、艾瑞资本,负责IT技术相关领域的早期投资,现在苹果资本主要从事网络安全相关领域投资,投资项目包括大数据公司永洪,以及网络安全公司娜迦、志翔、全知等。
中国网络安全产业的特点
中国网络安全产业有两个显著的特点:
第一个特点是增长迅速。
中国网络安全产业规模和增长率(来源:《2018全球网络安全产业投融资研究报告》上海赛博网络安全产业创新研究院)
从中国网络安全产业规模和增长率(图中统计的网络安全产业主要是传统IT安全和基础设施安全)可以看到,中国网络安全产业在2018年之前不到500亿小规模市场,但产业规模在逐步增长且增速逐步提高。2018年突破了500亿之后,预计会有一个比较高速的增长。
网络安全上市公司总销售额增长率
通过统计15家网络安全领域上市公司的年报数据可以看到,总体销售额的增长率从2015年的26.5%到2017年的36.1%,每年都在提高,而2018年的增长估计在36%以上。
近几年中国的网络安全产业高速发展,高速发展的原因是网络安全需求在多个维度的同时增长:
一、在同行业里,从边缘业务或从网站开始互联网化,直到核心业务被互联网化后,企业对网络安全的需求的刚性越来越强,投入也越来越高,经费越来越多,从而带动市场的一波增长;
二、从IT相关行业逐步拓展到各个传统行业,越来越多的行业逐步互联网化后,需要网络安全为之保驾护航的行业越来越多;
三、从PC、服务器到手机、物联网、车联网设备,未来会有越来越多联网设备,而更多联网设备导致要防护的设备也越来越多。从PC或服务器到关系到生产安全的工控设备、关系到生命安全的物联网医疗仪器、关系到交通安全的车联网等,不仅仅是网络安全更是人身安全。随着联网设备与设备智能化的爆发式增长,网元设备指数级增长,网络安全需求随之爆发式增长;
四、国家从《网络安全法》开始,逐步颁布了各种网络安全法规、政策,加上这次“等保2.0”政策的出台,不仅建立起更完善的国家网络安全法规体系,也使得安全越来越被重视。同时使网络安全更有法可依,以前不重视的安全领域与安全需求不断涌现;
五、比特币、区块链等数据资产化、货币数字化之后,使得黑产更容易形成,网络安全问题带来的经济损失呈指数级增长,网络安全需求也随之呈指数级增长。
对网络安全的需求在多个维度同时增长,使得中国网络安全市场增速不断提高。
第二个特点是需求点多。
来源:《2018全球网络安全产业投融资研究报告》上海产业赛博网络安全创新研究院
从上图可以发现,网络安全的大类和小类分得非常细,而且小类之间需要做的工作、涉及到的技术往往不同。
网络安全领域需求点多,主要因为只要有一个点被突破后,进攻方就可以进来,所以作为防守方必须防范每一个点。此外,随着IT技术不断地进展,又会带来新的问题。
需求点多会造成一个问题,到底哪些领域值得投资?
可以把网络安全市场看作一个石榴型市场。石榴里面有很多小籽,到底怎样的小籽是值得投资的?一要看它本身是否能够长得足够大,也就是说这个细分领域的市场空间是否足够大;二要看黏性是否足够强。网络安全企业以这个点切入后,是不是可以逐步地拓展到其它相关的安全领域,也就是说是否能够黏住周边的“籽”,这就可以从一开始的小点切入成长为类似平台型的企业。如果答案是“是”,这样的细分领域是值得投资的。
中国网络安全市场的潜在空间有多大?
一个企业在进行IT建设时,通常会考虑拿出一定比例预算投入到相关的安全系统上。因此,网络安全市场的潜在空间应该跟IT支出呈大致的比例关系。过去几年,我国IT行业迅速发展,却没有对网络安全足够重视,造成网络安全支出跟IT支出不成比例。
网络安全占IT投入的比例(来源:《中国网络安全产业报告》中国网络安全产业联盟,数说安全)
美国网络安全领域投入占IT投入的4.78%,全球的平均水平是3.74%,中国却连2%都不到。也就意味着,中国有很多网络安全问题需要修补,中国网络安全市场的潜在空间非常大。
来源:《 Unlocking the cybersecurity growth potential - Singapore’s cybersecurity industry outlook 》,PwC
2015年PWC对网络安全领域的支出进行了统计和分析。从平均每人的网络安全支出金额来看,中国只有2美金,比较高的是北美、以色列;而从IT支出中网络安全的占比来看,中国的比较低,只有1.4%,以色列是最高的达到7.7%。对比不同的国家,谁在网络安全领域做的最好?首先是有巨大的不安全感,其次是有足够的资金,以色列就是很典型的代表。目前,中国的网络安全投入水平与其它国家差距较大。
网络安全相关支出在IT支出中占比多少比较合理?2015年IDC做过一个调查统计,把200家加拿大企业分为四类:第一类是知道自己做的不好,第二类是不知道自己做的不好,第三类是对自己过分有信心,第四类是始终觉得自己做得不够好,网络安全支出占比从6%到14%不等。在此调查之后,IDC给的支出占比建议是13.7%。业界也有一些其他的建议,譬如IBM认为合理的占比是10%,而Gartner给出的数字是4%到7%。
根据这些所建议比例可以来计算在泛网络安全的概念下,各个细分领域的潜在市场空间。以下是对泛网络安全的各个细分领域的划分。
中国传统的网络安全市场比较狭窄,而整个泛网络安全矩阵则从基础设施安全扩展到业务安全、社会安全乃至国家安全,从内网安全逐渐扩展到万物互联的安全。其中包含了众多的细分领域。从中选取几个,先来做一个估计:
1)传统网络安全领域,也即IT安全领域。Gartner数据显示,2018年中国的IT支出为2.6万多亿,现在的IT安全占比低于3%,所以当前IT安全市场大概在600亿左右。但事实上,这个比例是远远不够的。随着相关网络安全支出占比的逐步提升,传统网络安全支出还有非常大的增长空间,至少能达到1000多亿。
2)工控安全领域。工控安全被越来越多地关注。2018年我国工业互联网的直接产业规模大概是6700亿,如果按照最低标准3%看,工控安全市场规模也在200多亿。事实上这个领域后续的投资可能会非常大,因为工控安全实在太重要了。很多领域都关系到国计民生,譬如电厂、电网、轨道交通等等。
3)智能家居相关的安全领域。2018年中国智能家居规模约是1800亿,按照各种比例进行估计,智能家居网络安全规模在100亿左右。
4)车联网安全领域。2018年中国车联网市场规模是3000多亿,按照比例计算,车联网安全规模应该在150亿左右。现在国家对于车联网要求正在逐步地规范化,落到实处后,一定会对车联网安全市场有很大的推动作用。
以上四个细分市场,加起来就有几千亿规模了,所以中国网络安全市场的潜在规模非常大。
未来,网络安全市场的潜在规模可能就不是基于IT支出来衡量,而是基于IT系统之上所承载的数据的价值、这些数据之上所承载的业务的规模来衡量。因此,我们可以说,未来中国网络安全的潜在市场空间是万亿人民币量级的。这也是为什么苹果资本坚持投资网络安全领域,因为后续的市场实在太大。不管从互联网的发展来看,还是国家、人民对网络安全的重视程度来看,都会推动市场规模越来越大。
网络安全行业的驱动力和需求
网络安全行业的发展主要来自于四种驱动力:
一,法规。网络安全被喻为人的健康,每天跑步可能对人的健康是好的,但如果没有强制规定每天必须跑步,大家就不一定会每天跑步了。对于自己的健康都存在这样的侥幸心理,就更不要说对于一个组织的网络安全了。加上网络安全的外部性比较强,就是说如果网络安全没有做好,不仅仅会影响自己也会影响到别人,这就更加需要有法规约束。所以法规始终是网络安全的重要驱动力。法规在强制性、广度、深度、力度上的变化,将会推动网络安全行业的发展。
二,业务。随着业务的互联网化,业务会对网络安全提出更多要求,来保障业务的顺畅运行。譬如通过防薅羊毛来降低成本,通过做好数据安全来减少用户隐私泄露的可能性等。这些来自业务的要求是网络安全发展的非常重要的驱动力。
三,事件。事件这一驱动力会在事件发生后逐步地转化成法规上和业务上的驱动力。比如,拼多多的薅羊毛事件,促使拼多多思考怎样避免类似事件再次发生。再比如,一些个人隐私的泄露引发的刑事案件,推动了《个人信息保护法》等相关的法规出现。所以事件短期能够直接推动相关网络安全领域的投入,从长期看会落实到法规驱动力和业务驱动力上。
四,技术。技术驱动力可以分两个方面:一方面由于网络安全的攻击和防御是IT技术之间的互相对抗,随着新的攻击技术产生,会有新的防御思路产生;另一方面IT技术本身在不断的发展中,从简单的网络技术,到大数据、人工智能等等,新技术的应用会带来新的安全问题。比如,有研究发现,只要在人身上贴上特定的图案,人工智能就无法识别出“人”。在交通标志“stop”上贴上特定图案,自动驾驶技术就不能正确识别该标志,而是识别成为比如右转弯的标志。这些新技术产生的新问题,就需要有相应的技术来防护。所以,技术也是网络安全行业发展的一个很重要的驱动力。
在四个驱动力下,主要会产生两种需求:
一种是合规性需求。其特点是:首先,对企业来讲只要合规就可以了,有什么样的规定就买什么样的设备。这个需求并不是从业务本身的需求出发,之前“等保1.0”时还出过笑话,设备买来之后发现不好用,但规定必须要有,就买来放在那里不用,反正有了就符合标准了。在这种情况下,产品做的到底怎么样并不重要,拼的还是销售能力;其次,因为是合规性的需求,不可能要求特别高,如果要求高而导致只有一两家供应商的话又不合理,所以产品技术的要求不会特别高,很多家都能做,趋于标准化。也正因为产品趋于标准化,所以转换成本比较低,主要是销售能力的竞争。
另一种就是业务性需求。其特点是:首先,产品必须解决实际问题。比如在业务上有问题存在,必须要采用能解决问题的产品,也就是刚性很强;第二,因为要解决业务上的问题,所以产品的差异化可能性比较高,且跟业务结合比较紧密,就会造成一旦用了某家产品,再转换其它家的产品成本比较高;第三,这种特点的企业之间竞争,主要还在产品和技术能力上的竞争,因为要比拼谁能更好的解决问题。
因此,做网络安全领域的早期投资,提供合规性产品的企业并不一定是一个好的投资标的。原因是通常合规性产品的技术门槛不会太高,进入的人非常多又互相竞争,最后就会形成品牌厂商分食高端客户,各小厂商依据各自资源占据一块。另外,还有深信服等渠道能力很强的企业,为很多中小客户提供一体化的等保解决方案,通过正规军的打法收获了众多小厂商的生意机会。
扎根业务性需求的初创企业才是好的投资标的。合规性需求当然可以做,但是首先还是要扎根业务性需求,因为这样的产品一定是解决了客户真正的痛点,才会真的被需要,而不是因为法律或法规规定要用某类产品功能但本身并不一定这个痛点。这样的产品才是真正有生命力的产品。而且,因为不是标准化的产品,产品之间互相竞争就不是单纯靠价格、靠关系竞争,产品差异化的可能性就会比较高,从而就能保证一定的利润率,也有规模化发展的可能。
“等保2.0”带来的变化
合规性需求有了一个新的变化,就是“等保2.0”。
“等保2.0”涉及的范围非常广:首先,最重要的安全就是省辖市以上党政机关的重要网站和办公信息系统;其次,是电信、广电行业的公用通信网、广播电规传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统;最后,是几乎涉及到各个行业的,铁路、银行、海关、电力、证券、保险、外交、公安、交通、能源、文化教育等行业内部各种各样重要的信息系统。所以“等保2.0”要规范的信息系统范围非常广,对不同影响度的信息系统也会有不同的规范要求。
从“等保1.0”到“等保2.0”,主要有几点变化:
第一,法规体系有了很大的变化,已经从国务院的条例上升到了国家法律的要求。
“等保1.0”时的法规体系,最上层是1994年颁布的《中华人民共和国计算机信息系统安全保护条例》,2007年发布了《信息安全等级保护管理办法》,2008年提出了《信息安全等级保护标准体系》。到了“等保2.0”,2017年颁布了《中华人民共和国网络安全法》,规定了要进行网络安全等级保护;2019年颁布了《网络安全等级保护条例》。之后又颁布了等级保护新的标准体系,命名也从信息安全改为网络安全。可以看到,法规体系上层级更高了,也就是说网络安全越来越重要了。
在《中华人民共和国网络安全保护法》里第21条规定,国家实行网络安全等级保护制度。后面颁布了《网络安全等级保护条例》,规定国家要建立完善网络安全等级保护标准体系。在这个标准体系下有定级指南、基本要求、设计要求和测评要求。而基本要求里面分了通用要求和云计算、移动互联、物联网、工业控制系统等扩展要求。整个标准体系非常详细的规定了如何测评网络符合哪个级别,各级别的要求怎样。新的系统在设计时,安全方面到底要考虑哪些,从而使网络安全不仅有法可依,也有标准可依。
第二,在保护等级上做了调整,把特别严重损害公民、法人和其他组织的合法权益的等保对象,从等保二级设定为等保三级。
等保的等级划分表格中,受损害的对象有国家安全,社会利益和公共利益,公民、法人和其他组织的权益。损害程度是一般损害、严重损害及特别严重损害,根据不同的组合会有不同的级别。在公民、法人和其他组织的合法权益受到特别严重损害从第二级升到第三级,这也是因为一些事件的发生推动了法规和标准的调整。
第三,标准体系有了变化,原来只有一套标准,现在是采用“通用+扩展”的架构。
标准体系从原来只是一套基本要求,到现在云、移动互联、物联网、工业控制系统等进行了细分。从一个通用要求起,根据不同的IT基础设施有不同的扩展要求。这意味着未来有其它相关的基础设施出现,就肯定会有新的拓展要求出来。
第四,防御思路上有了变化,从被动防御到主动防御。
“等保1.0”实施以来,在攻防技术不断地升级演变中,防御思路发生了一些变化,这些都反映在了“等保2.0”标准中:首先,从被动防御变成了主动防御,整体防御也分区隔离,不仅在边界上防御,在内部也进行一层一层各种各样的防御,相当于在边界上防不住时,在内部控制影响范围,尽量更早地发现问题;其次,“等保2.0”提出了事前、事中、事后的防御,而不仅仅像原来只是在受攻击时防御。防不住就要审计,出现问题还要事后溯源,知道问题根源在哪,是怎么发生的,为下次的防护做好准备;最后,在保障体系上由被动保障向感知预警、动态的防护、安全检测、应急响应做转变。
“等保2.0”对网络安全投资意味着什么?
第一,“等保2.0”很好地促进了网络安全行业的发展,提高了网络安全企业估值的水平,扩大了网络安全市场的整体规模。因此,对于网络安全领域的投资人来讲,“等保2.0”肯定是一个应该加大投资的信号。
第二,“等保2.0”直接促进了相关的合规性需求,但在做网络安全领域早期投资时,不一定要找这一类的企业。正如前面对合规性需求的分析,如果仅仅是“等保2.0”里有某个要求,就做某个产品来创业,而不研究相关业务的真实需求,会很快遇到瓶颈。建议投资面向业务性需求的企业,或是合规+业务性需求的企业。当然,对于二级市场的网络安全企业来讲,启明星辰、绿盟、天融信、深信服等的收入一定会有一个基于“等保2.0”的增长。
综上,中国网络安全行业增长迅速,潜在市场空间巨大。两类不同的需求会带来不一样的市场竞争态势。“等保2.0”的合规性需求变化,更大意义在于提升了网络安全的能见度,提高了组织和相关管理层的安全意识,从而促进了网络安全行业的发展。“等保2.0”的合规性需求从做网络安全的早期投资来讲并不是最佳的投资机会。初创网络安全企业只有注重合规+业务需求,或是纯业务性需求,才能为团队提供更好的发展机会,才能走得更远。这过程中如果有相关的合规性需求出来,也能够做相关的业务,当然是更好。
钛资本研究院观察:
业界有关统计显示,自有统计记录以来,2018年是中国网络安全市场增长速度最为快速的一年。2019年6月,为了全面提升电信和互联网行业网络数据安全保护能力,工信部印发了《电信和互联网行业提升网络数据安全保护能力专项行动方案》(以下简称:专项行动),在行业内部署开展为期一年的提升网络数据安全保护能力专项行动。本次专项行动无疑是对2019年中国网络安全市场的加速拉升。
本次专项行动围绕新中国成立70周年等重大活动数据安全保障和行业网络数据安全保障体系建设,明确两个阶段的工作目标,并从加快完善网络数据安全制度标准、开展合规性评估和专项治理、强化行业网络数据安全管理、创新推动网络数据安全技术防护能力建设、强化社会监督和宣传交流5个方面提出14项重点任务。
另一方面,我们也观察到中国网络安全产业的碎片化现象严重,例如安全牛日前公布的《中国网络安全100强企业(2019)》榜单就从“50强”增扩至“100强”,其中年收入在1亿至3亿的安全企业,超过40余家,总收入约80亿元,占网络安全整体收入的17%。而网络安全的集成业务正集中到少数大型IT服务商和一些重点行业的IT服务商手中,这为网络安全中小企业的发展带来了一定的挑战,因为产品研发需要了解客户的实际需求,越贴近客户越容易进行研发。
钛资本此前强调:我国的网络信息安全市场是一个长线市场,创业者可以静下心来找到差异化的技术创新点,而不是走同质化竞争路线。不过,2018年改革开放40年、2019年新中国成立70年、2020年全面建成小康之年、2021年建党100周年,可以预期一年一个网络安全市场的新高潮,而且后浪高过前浪。
无论2019的专项行动,还是未来几年的重大安全保障事件,都将使得网络安全市场的“水位”猛涨。所谓“水涨船高”,创业者也需要借此机遇加大发展力度,投资机构也可以为网络安全创业圈注入更多的资金和资源,或有跳跃式发展的可能性。
【钛媒体作者介绍:钛资本是专注于企业级科技的投资银行和管理咨询服务平台。微信公号:tmtcapital】
更多精彩内容,关注钛媒体微信号(ID:taimeiti),或者下载钛媒体App