网络安全行业主要的驱动因素包括合规驱动、事件驱动、技术驱动、业务驱动,其中合规驱动和事件驱动在当前阶段影响最大。预计将于今年4月颁布的等保2.0就是典型的合规驱动,也是信息安全圈今年最期待的事件之一。
等保2.0全称是《网络安全等级保护基本要求》,其征求意见稿于2018年中颁布,与之相对应的是2008年颁布的《信息安全技术信息系统安全等级保护基本要求》,也就是等保1.0。等保2.0与1.0的主要区别在于:
(1)等级保护上升为法律
《中华人民共和国网络安全法》第21条规定“国家实行网络安全等级保护制度”,要求“网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”;第31条规定“对于国家关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。也就是说,过去等保1.0只是参考性制度,而等保2.0则通过立法强制要求单位进行网络安全基础保护。
第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
(2)等级保护工作内容将持续扩展
在定级、备案、建设整改、等级测评和监督检查等规定动作基础上,2.0时代风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等这些与网络安全密切相关的措施都将全部纳入等级保护制度并加以实施。
(3)等级保护对象将不断拓展
随着云计算、移动互联、大数据、物联网、人工智能等新技术不断涌现,计算机信息系统的概念已经不能涵盖全部,特别是互联网快速发展带来大数据价值的凸显,等保保护对象的外延将不断拓展。
由此我们自然而然地想到要对等保2.0执行所带来的增量市场空间进行测算,目前对这一话题进行过仔细测算的是国泰君安计算机团队,研究员很扎实地调研了等保2.0可能带来的影响并结合草根调研测算增量设备和设备单价,综合地得出结论。我们也参照其思路提出几点测算方式的思考。
目前对于国内信息安全市场普遍的观点是2018年市场规模在500亿元左右,未来几年CAGR保持在20%以上。传统的市场空间测算方法是
IT建设市场规模权威咨询公司具有统计数据,而安全投入占整个IT建设的占比的测量有两种思路:
(1)按照其他地区同一指标进行测算
根据IDC2018年统计,目前国内IT安全占IT市场的比例仅有1.84%,按照Gartner中国IT市场规模测算信息安全市场为486亿元。如果按照全球平均3.74%的比例测算,则市场规模应有988亿元。
(2)按照中国其他行业相似指标进行测算
根据IT安全是为了保障IT系统正常运营的目的去思考,类似的以恐惧损失驱动的行业有保险行业,同样的,保险和安全投入也都是预先性支出,一旦危机未发生具有沉没成本的特性,因此以成熟的行业去预估成长中行业的天花板是合理的。但是受限于产品形态、保护对象的不同,我国财产险的平均费率仅为财产的0.14%,因此在这个角度上不可比。但是这仍然不失为一种思考角度。
但是在测算等保2.0带来的增量市场空间时,与上述测算方式应有一些不同,我们也从下面几个角度对于国君计算机团队的测算方法进行学习。
(1)测算对象
这次测算的是新增市场空间,而非传统增速下的全部市场空间,因此关注点应该是等保2.0条例相对于1.0新增的要求/内容对于产品和服务的增量需求,计算公式应为:
(2)等保自身就是一种成本
信息安全系统由于其复杂性,需要由专业的信息安全公司进行评估和建设,而等保建设需要经历系统定级、差距评估、方案设计、建设整改、系统测评等,提出的要求更多,流程更加复杂,因此对于没有专门建设安全团队的公司而言,进行等保咨询是必不可少的,这也是等保出台直接带来的增量市场。
(3)等保间接带来的市场
等保2.0条例按照技术和管理两方面来进行评分,技术上的要求自然而然地转化为对于产品的需求,而管理的要求则利好于安全人才培训和教育等服务市场。
我们分别从产品和管理的角度进行梳理。
分别按照等保二级、三级的用户数量和新增产品/服务的内容对市场空间进行测算,计算公式为
上述测算并未考虑传统边界防护设备、安全培训、渗透测试等基础性安全产品服务增长及云计算、物联网、工控、移动安全等领域的市场增量。
