從主機(jī)安全到程序安全，再到如今的云上安全，一張張大幕正在被緩緩拉開。

作者|斗斗

出品|產(chǎn)業(yè)家

2022年3月的第一天，豐田汽車因零部件供應(yīng)商系統(tǒng)受到網(wǎng)絡(luò)攻擊，整個(gè)供應(yīng)鏈出現(xiàn)故障，關(guān)閉了所有日本國(guó)內(nèi)工廠，涉及當(dāng)?shù)乩塾?jì)共28條生產(chǎn)線。

而在此之前的2020年，本田就因內(nèi)部系統(tǒng)就因感染病毒而關(guān)閉了9家工廠。2021年 12 月，豐田旗下最大的零部件制造商電裝（Denso ）遭到一群黑客的攻擊，并泄露了員工的個(gè)人信息。

而此次停產(chǎn)，這意味著豐田日本產(chǎn)能全面癱瘓，預(yù)計(jì)將影響13000輛的生產(chǎn)——這僅僅是停產(chǎn)一天的損失。

在360政企安全集團(tuán)近日發(fā)布的獨(dú)家報(bào)告中，公開披露了美國(guó)國(guó)家安全局（NSA）為達(dá)到美國(guó)政府情報(bào)收集目的，針對(duì)全球發(fā)起大規(guī)模網(wǎng)絡(luò)攻擊。

NSA利用美國(guó)在全球網(wǎng)絡(luò)通訊和互聯(lián)網(wǎng)體系中所處的核心地位，利用先進(jìn)技術(shù)手段實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信號(hào)的監(jiān)聽、截獲與自動(dòng)化利用。

而NSA針對(duì)我國(guó)的大型攻擊活動(dòng)，僅Validator（驗(yàn)證器）后門一項(xiàng)的感染量保守估計(jì)達(dá)幾萬數(shù)量級(jí)，隨著持續(xù)攻擊演進(jìn)感染量甚至可能已經(jīng)達(dá)到數(shù)十萬、百萬量級(jí)。嚴(yán)重威脅電力、水利、交通、能源等關(guān)鍵基礎(chǔ)設(shè)施。

此外，數(shù)據(jù)安全更在個(gè)人隱私方面，如聯(lián)合國(guó)超 10 萬名員工的個(gè)人信息遭到泄露，互聯(lián)網(wǎng)電信詐騙屢禁不止、“徐玉玉”案令人痛心不已。凡此種種都切實(shí)威脅個(gè)人隱私這一基本權(quán)利。

就當(dāng)下而言，數(shù)據(jù)安全已經(jīng)被推上了歷史發(fā)展的新高度，無論是個(gè)人層面、企業(yè)層面還是國(guó)家層面，促進(jìn)數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展已經(jīng)成為數(shù)字時(shí)代的最大命題。

市場(chǎng)需要怎樣的安全服務(wù)商？科技為背景的時(shí)代進(jìn)步又需要怎樣的安全能力？在數(shù)字化進(jìn)擊的當(dāng)下，這些都在成為最核心的命題。

根據(jù)IDC發(fā)布的《數(shù)據(jù)時(shí)代2025》報(bào)告，到2020年，全球數(shù)據(jù)量達(dá)到了60ZB，2025年將達(dá)到175ZB，接近2020年數(shù)據(jù)量的3倍。

同時(shí)，IDC預(yù)測(cè)中國(guó)數(shù)據(jù)量增速最為迅猛，預(yù)計(jì)2025年將增至48.6ZB，占全球數(shù)據(jù)圈的27.8％，成為全球最大的數(shù)據(jù)圈。

隨著數(shù)據(jù)量的增加，隱藏在數(shù)據(jù)背后可被挖掘的信息也逐漸豐富，無論是政府還是企業(yè)都開始意識(shí)到數(shù)據(jù)泄露可能帶來的嚴(yán)重后果，對(duì)數(shù)據(jù)安全的重視程度提升趨勢(shì)明顯，并在積極探索在安全可控的情況下最大化發(fā)掘數(shù)據(jù)價(jià)值。

另外，根據(jù)海外市場(chǎng)研究機(jī)構(gòu)VMR統(tǒng)計(jì)，2019年全球數(shù)據(jù)安全市場(chǎng)規(guī)模約為173.8億美元，且預(yù)計(jì)到2027年全球數(shù)據(jù)安全市場(chǎng)規(guī)模將達(dá)到572.9億美元，年復(fù)合增長(zhǎng)率約為17.35%。

而根據(jù)中商產(chǎn)業(yè)研究院統(tǒng)計(jì)，2019年我國(guó)數(shù)據(jù)安全市場(chǎng)規(guī)模僅為38億元，僅占全球數(shù)據(jù)安全市場(chǎng)規(guī)模的3.4%，與我國(guó)整體數(shù)據(jù)量在全球27.8％的占比仍有較大差距。

由此可見，未來中國(guó)數(shù)據(jù)安全市場(chǎng)容量仍有較大增長(zhǎng)空間，而考慮到中國(guó)數(shù)據(jù)安全市場(chǎng)整體發(fā)展節(jié)奏慢于美國(guó)，所以長(zhǎng)期來看中國(guó)數(shù)據(jù)安全市場(chǎng)存在千億市場(chǎng)空間。

根據(jù)中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟最新公布的網(wǎng)絡(luò)安全市場(chǎng)規(guī)模數(shù)據(jù)，預(yù)計(jì)到2023年我國(guó)網(wǎng)絡(luò)安全市場(chǎng)規(guī)模有望達(dá)到809億，同時(shí)根據(jù)信通院安全所信息安全部主任魏薇表示，我國(guó)數(shù)據(jù)安全市場(chǎng)規(guī)模將在2023年預(yù)計(jì)達(dá)到97.5億，屆時(shí)數(shù)據(jù)安全在整體網(wǎng)絡(luò)安全市場(chǎng)占比將達(dá)到12.1%。

中國(guó)網(wǎng)絡(luò)安全企業(yè)100強(qiáng)

工信部在2021年7月16日發(fā)布《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動(dòng)計(jì)劃（2021-2023 年）（征求意見稿）》，其中提出未來三年電信等重點(diǎn)行業(yè)網(wǎng)絡(luò)安全投入占信息化投入比例達(dá)10%，而這將會(huì)同時(shí)帶動(dòng)數(shù)據(jù)安全領(lǐng)域的投入。

通過對(duì)現(xiàn)有重點(diǎn)行業(yè)在網(wǎng)絡(luò)安全領(lǐng)域的投入占比情況進(jìn)行測(cè)算，對(duì)標(biāo)工信部對(duì)于10%的網(wǎng)絡(luò)安全投入占比要求以及國(guó)際平均投入水平，可以預(yù)測(cè)未來政府、金融、醫(yī)療衛(wèi)生以及能源行業(yè)在數(shù)據(jù)安全領(lǐng)域的投入有望進(jìn)一步打開1至3倍的成長(zhǎng)空間，整體數(shù)據(jù)安全領(lǐng)域仍有近1倍的彈性增長(zhǎng)潛力空間。

加之目前我國(guó)的數(shù)據(jù)安全監(jiān)管體系框架形成了以“數(shù)據(jù)安全國(guó)家戰(zhàn)略”為出發(fā)點(diǎn)，《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》（即將實(shí)施）、《個(gè)人信息保護(hù)法》為核心，其他專項(xiàng)規(guī)定、行政法規(guī)、行業(yè)部門規(guī)章、以及地方性法規(guī)等為細(xì)節(jié)補(bǔ)充的體系框架。

通過對(duì)中央法律法規(guī)、部委出臺(tái)的文件要求、以及各行業(yè)監(jiān)管部門針對(duì)各行業(yè)出臺(tái)的與數(shù)據(jù)安全直接相關(guān)的政策文件的梳理與統(tǒng)計(jì)，可以看出監(jiān)管部門對(duì)于數(shù)據(jù)安全的監(jiān)管和關(guān)注程度逐年提升，且主要由中央政府與工信部主導(dǎo)，各行業(yè)監(jiān)管中金融、水利、交通、教育、政府、電信與互聯(lián)網(wǎng)行業(yè)為數(shù)據(jù)安全監(jiān)管較為嚴(yán)格的行業(yè)。

總體來看，數(shù)據(jù)備份、數(shù)據(jù)分級(jí)分類、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估和審計(jì)是監(jiān)管最為看重的四個(gè)子領(lǐng)域，此外，身份與訪問控制、數(shù)據(jù)加密、數(shù)據(jù)防泄露也是監(jiān)管重點(diǎn)關(guān)注的方向。

此外，根據(jù)等保2.0體系下《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》中的各項(xiàng)要求標(biāo)準(zhǔn)，參加等保2.0測(cè)評(píng)的公司需在數(shù)據(jù)庫(kù)漏洞掃描、防火墻、審計(jì)、數(shù)據(jù)加密、脫敏、水印等產(chǎn)品上進(jìn)行投入。

可見，在宏觀層面上，隨著數(shù)據(jù)安全相關(guān)法案的發(fā)布實(shí)施，因合規(guī)要求，也將帶動(dòng)該產(chǎn)業(yè)的穩(wěn)定增長(zhǎng)。

換言之，在數(shù)據(jù)安全領(lǐng)域，目前還是一片藍(lán)海，增長(zhǎng)空間巨大。

伴隨著數(shù)據(jù)安全行業(yè)的增長(zhǎng)，行業(yè)發(fā)展困局也逐漸浮現(xiàn)。

數(shù)據(jù)的生命周期分為采集、傳輸、存儲(chǔ)、處理、交換和銷毀六個(gè)階段，在各個(gè)階段對(duì)于數(shù)據(jù)安全的核心技術(shù)能力訴求都有很大不同。

在數(shù)據(jù)采集階段，用戶訪問Web服務(wù)器時(shí)會(huì)涉及數(shù)據(jù)分級(jí)分類、身份認(rèn)證、權(quán)限控制等；在數(shù)據(jù)傳輸、交換階段，會(huì)涉及加密機(jī)、數(shù)據(jù)庫(kù)審計(jì)、數(shù)據(jù)動(dòng)態(tài)脫敏、數(shù)據(jù)水印、數(shù)據(jù)防泄漏、訪問控制、傳輸通道加密等；在數(shù)據(jù)存儲(chǔ)、處理階段，會(huì)涉及漏洞掃描、數(shù)據(jù)備份恢復(fù)、運(yùn)維管理、數(shù)據(jù)加密、數(shù)據(jù)防泄漏、隔離儲(chǔ)存、用戶隔離等。

隨著數(shù)字經(jīng)濟(jì)的發(fā)展，數(shù)據(jù)處理場(chǎng)景也顯著增多，數(shù)據(jù)處理量級(jí)明顯提高，傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)已無法滿足當(dāng)前數(shù)據(jù)量巨大、數(shù)據(jù)更新速度極快的場(chǎng)景。

來源/圖行天下

數(shù)據(jù)安全技術(shù)作為新興技術(shù)領(lǐng)域，發(fā)展時(shí)間尚短，部分技術(shù)手段與解決方案正處在研究發(fā)展階段，缺乏應(yīng)用實(shí)踐，無法有效保障數(shù)據(jù)安全。

例如數(shù)字血緣追蹤技術(shù)、數(shù)據(jù)字段打標(biāo)簽技術(shù)等目前尚不成熟，對(duì)業(yè)務(wù)運(yùn)營(yíng)的影響有待進(jìn)一步研究，大規(guī)模落地應(yīng)用尚需時(shí)日。

加之當(dāng)前我國(guó)數(shù)據(jù)安全管理體系初步建立，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》和《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》(工業(yè)和信息化部令第24號(hào))等法律法規(guī)提出數(shù)據(jù)安全和個(gè)人信息保護(hù)原則性要求，但尚未明確技術(shù)手段建設(shè)的具體要求與處罰規(guī)則，無法有效推動(dòng)企業(yè)開展數(shù)據(jù)安全技術(shù)手段的研發(fā)與應(yīng)用。

部分企業(yè)礙于運(yùn)營(yíng)成本和系統(tǒng)性能等因素，數(shù)據(jù)安全技術(shù)手段投入較少，數(shù)據(jù)安全技術(shù)研發(fā)與應(yīng)用相對(duì)滯后，分級(jí)分類、權(quán)限管理等部分管理要求難以真正落地實(shí)施，繼而影響企業(yè)整體數(shù)據(jù)安全保障能力。

數(shù)據(jù)安全三個(gè)階段

另外，我國(guó)數(shù)據(jù)安全管理起步較晚，目前大部分企業(yè)面臨存量業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全改造的難題。

一是數(shù)據(jù)資產(chǎn)梳理難度較大。前期企業(yè)內(nèi)部各業(yè)務(wù)系統(tǒng)數(shù)據(jù)字段名稱不統(tǒng)一，數(shù)據(jù)類型繁雜、數(shù)量龐大，數(shù)據(jù)資產(chǎn)梳理作為數(shù)據(jù)安全技術(shù)手段建設(shè)的基礎(chǔ)工作難以有效開展。

二是影響業(yè)務(wù)現(xiàn)有系統(tǒng)性能，加大企業(yè)投入。數(shù)據(jù)加解密、脫敏等技術(shù)，一定程度占用系統(tǒng)資源，影響系統(tǒng)性能和用戶體驗(yàn)，進(jìn)行數(shù)據(jù)安全技術(shù)改造需要升級(jí)硬件設(shè)備，增加企業(yè)成本投入。

三是影響業(yè)務(wù)系統(tǒng)運(yùn)行風(fēng)險(xiǎn)較高。數(shù)據(jù)安全防護(hù)技術(shù)的改造往往伴隨著核心系統(tǒng)的改造，難度較高，風(fēng)險(xiǎn)較大。

同時(shí)，數(shù)據(jù)安全技術(shù)改造屬于新興技術(shù)領(lǐng)域，目前企業(yè)可參考的成熟技術(shù)方案及實(shí)踐案例較少，企業(yè)顧慮較大。

長(zhǎng)此以往，下游客戶采購(gòu)需求下降導(dǎo)致上游產(chǎn)品研發(fā)投入緩于預(yù)期，產(chǎn)品研發(fā)進(jìn)度繼而跟不上下游客戶需求，客戶需求又繼而下降......介于研發(fā)與需求之間的惡性循環(huán)就會(huì)無限上演。

其實(shí)，類似于上述的問題，不僅僅存于數(shù)據(jù)安全領(lǐng)域。然而，不同于其他行業(yè)，數(shù)據(jù)安全技術(shù)往往有不可預(yù)測(cè)性，所以往往更加依賴需求驅(qū)動(dòng)。

例如，病毒入侵的方式有很多種，數(shù)據(jù)安全服務(wù)商無法最大程度預(yù)測(cè)到其攻擊方式，只有經(jīng)過長(zhǎng)期的案例積累，才能不段迭代升級(jí)技術(shù)。

當(dāng)下，這些問題已然成為數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展亟待解決的問題。

比起行業(yè)帶來困局，企業(yè)之間的競(jìng)爭(zhēng)格局更為嚴(yán)峻。

根據(jù)IDC《IDC全球網(wǎng)絡(luò)安全支出指南, 2021V1》報(bào)告，政府、通信、金融仍將是中國(guó)網(wǎng)絡(luò)安全市場(chǎng)前三大支出行業(yè)，占中國(guó)總體網(wǎng)絡(luò)安全市場(chǎng)約五成的比例。

例如，奇安信、天融信主要服務(wù)政府、公檢法司、軍隊(duì)軍工行業(yè)，三者占比均達(dá)到其年度總營(yíng)收的50%以上。

另外，安恒信息客戶主要分布在政府、事業(yè)單位、金融和教育領(lǐng)域；深信服2020年?duì)I收一半以上來自政府及事業(yè)單位；綠盟科技相較于其他幾家公司，則具有較高的運(yùn)營(yíng)商及金融領(lǐng)域客戶營(yíng)收占比，2020年其比重分別達(dá)到21.48%、20.61%。

值得肯定的是，在數(shù)據(jù)的采集、傳輸、交換、存儲(chǔ)、處理與銷毀六大基礎(chǔ)網(wǎng)絡(luò)安全領(lǐng)域，天融信、深信服、啟明星辰在網(wǎng)絡(luò)與基礎(chǔ)架構(gòu)安全領(lǐng)域深耕多年，核心產(chǎn)品歷經(jīng)研發(fā)升級(jí)，在各自市場(chǎng)穩(wěn)定占據(jù)著領(lǐng)導(dǎo)地位。

其中，安恒信息專精于應(yīng)用安全、安全管理及數(shù)據(jù)安全市場(chǎng)；奇安信領(lǐng)銜終端安全與安全管理市場(chǎng)；綠盟科技的IDS/IPS、WAF、ADS產(chǎn)品處于市場(chǎng)領(lǐng)先地位。

毋庸置疑，對(duì)于金融、通信、政府等安全要求更高的大型客戶而言，往往會(huì)選擇成立時(shí)間較久，發(fā)展穩(wěn)定的頭部企業(yè)。這也側(cè)面對(duì)中小企業(yè)形成了較高的發(fā)展壁壘。

然而，除傳統(tǒng)圍繞數(shù)據(jù)的生命周期，沿著數(shù)據(jù)的采集、傳輸、交換、存儲(chǔ)、處理與銷毀流程直接與數(shù)據(jù)或者數(shù)據(jù)庫(kù)相關(guān)的產(chǎn)品外，還有一些產(chǎn)業(yè)與數(shù)據(jù)安全息息相關(guān)。

例如數(shù)據(jù)安全治理、身份與訪問管理（“零信任”體系）、隱私計(jì)算等，他們?yōu)閿?shù)據(jù)安全發(fā)展提供方法論和體系框架、引入新興技術(shù)和應(yīng)用場(chǎng)景，已經(jīng)成為未來數(shù)據(jù)安全產(chǎn)業(yè)的重要組成部分。

比如星云Clustar就是通過金融場(chǎng)景打造隱私計(jì)算全棧技術(shù)解決方案。2018年，星云Clustar獲得紅杉資本中國(guó)數(shù)千萬人民幣的天使輪融資，之后又經(jīng)歷三輪融資。

除此之外，還有成立于2017年的全知科技，其專注數(shù)據(jù)流動(dòng)安全治理體系，其專注方向?yàn)閿?shù)據(jù)安全方法論，研發(fā)出支持相關(guān)方法論的數(shù)據(jù)安全產(chǎn)品和工具，從而確保數(shù)據(jù)在安全可控的環(huán)境中流動(dòng)。2021年，全知科技完成數(shù)億人民幣B輪融資，該輪融資由紅杉資本中國(guó)、GGV紀(jì)源資本領(lǐng)投。

再加上最近大火的DevsecOps廠商懸鏡安全，其基于安全產(chǎn)品的布設(shè)使得其正在最近完成了數(shù)億元人民幣的投資。

從成立時(shí)間以及融資輪次不難看出，這些數(shù)據(jù)安全領(lǐng)域細(xì)分賽道的企業(yè)，都已經(jīng)構(gòu)建出了不同方向的產(chǎn)品，以金融、制造等行業(yè)客戶為切入點(diǎn)，進(jìn)行不同解決方案的驗(yàn)證。

數(shù)據(jù)安全領(lǐng)域正在迎來新一輪的追捧。

除上述所提到的細(xì)分領(lǐng)域，一個(gè)不容忽視的領(lǐng)域是——云上數(shù)據(jù)安全。

在云時(shí)代的一個(gè)背景下，無論是頭部玩家還是中小玩家，想要在數(shù)據(jù)安全賽道立于不敗之地，做好云上數(shù)據(jù)安全是大勢(shì)所趨。

據(jù)《2021中國(guó)企業(yè)上云指數(shù)洞察報(bào)告》顯示，隨著市場(chǎng)的發(fā)展，企業(yè)不斷尋找新方法新技術(shù)來提高自身管理效率，降低企業(yè)成本?，F(xiàn)階段，56.8%的中國(guó)實(shí)體經(jīng)濟(jì)企業(yè)選擇優(yōu)先進(jìn)行管理系統(tǒng)上云。

在企業(yè)上云的大趨勢(shì)下，同時(shí)也倒逼企業(yè)云上數(shù)據(jù)安全需求的增加。

一方面，傳統(tǒng)環(huán)境下的安全問題在云環(huán)境下仍然存在，比如SQL注入、內(nèi)部越權(quán)、數(shù)據(jù)泄露、數(shù)據(jù)篡改、網(wǎng)頁(yè)篡改、漏洞攻擊等，另一方面，云環(huán)境下又不斷涌現(xiàn)一堆新的安全問題。

在其中，冒頭的是各大云計(jì)算廠商。

首先是阿里云，阿里云幾乎可以提供云上所需的所有安全產(chǎn)品種類，所以阿里云也是業(yè)內(nèi)“保姆式”云安全的代表，字面意思就是可以為客戶提供近乎保姆式的安全服務(wù)，全面覆蓋“衣食住行”。

阿里云的產(chǎn)品DDoS防御，宣稱90%的攻擊可通過AI引擎自動(dòng)防御。產(chǎn)品WAF拿下Gartner、Forrester、Frost&Sullivan、IDC等四家國(guó)際知名咨詢機(jī)構(gòu)的報(bào)告。作為云上攻防對(duì)抗的核心，一直是阿里云的拳頭產(chǎn)品。

其次是騰訊云，騰訊云則發(fā)布了中國(guó)首個(gè)互聯(lián)網(wǎng)安全實(shí)驗(yàn)室矩陣——騰訊安全聯(lián)合實(shí)驗(yàn)室。涵蓋云鼎實(shí)驗(yàn)室、反病毒實(shí)驗(yàn)室、反詐騙實(shí)驗(yàn)室等。致力于安全技術(shù)研究安全攻防體系的搭建，其中更是涵蓋零信任、云鏡等針對(duì)具體場(chǎng)景的安全產(chǎn)品。

另外，百度的云計(jì)算業(yè)務(wù)也在幾經(jīng)整合之后，和AI綁定在了一起。AI是百度的戰(zhàn)略核心，所以在百度云安全領(lǐng)域，AI安全占據(jù)了大部分，同時(shí)也是百度安全所有攻防技術(shù)的核心。百度安全推出的BASS下一代人工智能安全技術(shù)棧，基本涵蓋了云計(jì)算安全的各個(gè)方面。

除了BAT外，華為也早早布局云上數(shù)據(jù)安全。在產(chǎn)品布局上，華為2019年公布了其三大安全體系，即防攻擊體系、數(shù)據(jù)安全體系、可信云平臺(tái)和云服務(wù)體系。

需要關(guān)注的是，華為云在私有云安全方面有著自己非常明確的打發(fā)，那就是拉著生態(tài)伙伴一起打天下，旗下生態(tài)伙伴包括瑞星、天融信、奇安信等數(shù)據(jù)安全公司。

除此之外，京東云、金山云、青云、UCloud等各大云廠商在數(shù)據(jù)安全領(lǐng)域均有其布局和長(zhǎng)處。

但值得注意的是，市場(chǎng)上云服務(wù)廠商眾多，用戶往往將業(yè)務(wù)部署在多個(gè)平臺(tái)上，通常涉及兩種不同云計(jì)算提供商的基礎(chǔ)設(shè)施，多云和混合云的場(chǎng)景在國(guó)內(nèi)市場(chǎng)上將會(huì)長(zhǎng)期存在，因此多云安全和混合云安全正在成為云安全解決方案需要解決的安全痛點(diǎn)。

從主機(jī)安全到程序安全，再到如今的云上安全，一張張大幕正在被緩緩拉開。

本文來自微信公眾號(hào) “產(chǎn)業(yè)家”（ID：chanyejiawang），36氪經(jīng)授權(quán)發(fā)布。