鈦資本研究院:等保2.0及網路安全產業投資思考
隨著2019年5月13號《資訊保安技術網路安全等級保護基本要求》(以下簡稱“等保2.0”)的釋出,及近期美國對伊朗的網路攻擊,使投資圈對資訊保安領域的關注度逐漸提高。此前,鈦資本已經組織了網路安全創業投資相關的分享,過去5年間資訊科技的影響已經從IT範疇擴充套件到全社會範圍,隨著5G的商用將帶來更加不可估量的影響。當前,我國網路安全市場規模在急劇增大,呈現指數型增長。
在鈦資本新一代企業級科技投資人投研社第23期,蘋果資本管理合夥人許俊結合“等保2.0”的釋出,分享了網路安全產業投資會有哪些變化。許俊畢業於浙江大學,擁有中歐國際工商學院MBA學位,曾在UTStarcom、諾基亞等公司從事研發、研發管理、產品管理等工作。許俊曾任職於華為的戰略投資部門,主導收購了一家光通訊領域的歐洲公司,後又先後加入達泰資本、艾瑞資本,負責IT技術相關領域的早期投資,現在蘋果資本主要從事網路安全相關領域投資,投資專案包括大資料公司永洪,以及網路安全公司娜迦、志翔、全知等。
中國網路安全產業有兩個顯著的特點:
第一個特點是增長迅速。
從中國網路安全產業規模和增長率(圖中統計的網路安全產業主要是傳統IT安全和基礎設施安全)可以看到,中國網路安全產業在2018年之前不到500億小規模市場,但產業規模在逐步增長且增速逐步提高。2018年突破了500億之後,預計會有一個比較高速的增長。
通過統計15家網路安全領域上市公司的年報資料可以看到,總體銷售額的增長率從2015年的26.5%到2017年的36.1%,每年都在提高,而2018年的增長估計在36%以上。
近幾年中國的網路安全產業高速發展,高速發展的原因是網路安全需求在多個維度的同時增長:
一,在同行業裡,從邊緣業務或從網站開始網際網路化,直到核心業務被網際網路化後,企業對網路安全的需求的剛性越來越強,投入也越來越高,經費越來越多,從而帶動市場的一波增長;
二,從IT相關行業逐步拓展到各個傳統行業,越來越多的行業逐步網際網路化後,需要網路安全為之保駕護航的行業越來越多;
三,從PC、伺服器到手機、物聯網、車聯網裝置,未來會有越來越多聯網裝置,而更多聯網裝置導致要防護的裝置也越來越多。從PC或伺服器到關係到生產安全的工控裝置、關係到生命安全的物聯網醫療儀器、關係到交通安全的車聯網等,不僅僅是網路安全更是人身安全。隨著聯網裝置與裝置智慧化的爆發式增長,網元裝置指數級增長,網路安全需求隨之爆發式增長;
四,國家從《網路安全法》開始,逐步頒佈了各種網路安全法規、政策,加上這次“等保2.0”政策的出臺,不僅建立起更完善的國家網路安全法規體系,也使得安全越來越被重視。同時使網路安全更有法可依,以前不重視的安全領域與安全需求不斷湧現;
五,比特幣、區塊鏈等資料資產化、貨幣數字化之後,使得黑產更容易形成,網路安全問題帶來的經濟損失呈指數級增長,網路安全需求也隨之呈指數級增長。
對網路安全的需求在多個維度同時增長,使得中國網路安全市場增速不斷提高。
第二個特點是需求點多。
從上圖可以發現,網路安全的大類和小類分得非常細,而且小類之間需要做的工作、涉及到的技術往往不同。
網路安全領域需求點多,主要因為只要有一個點被突破後,進攻方就可以進來,所以作為防守方必須防範每一個點。此外,隨著IT技術不斷地進展,又會帶來新的問題。
需求點多會造成一個問題,到底哪些領域值得投資?
可以把網路安全市場看作一個石榴型市場。石榴裡面有很多小籽,到底怎樣的小籽是值得投資的?一要看它本身是否能夠長得足夠大,也就是說這個細分領域的市場空間是否足夠大;二要看黏性是否足夠強。網路安全企業以這個點切入後,是不是可以逐步地拓展到其它相關的安全領域,也就是說是否能夠黏住周邊的“籽”,這就可以從一開始的小點切入成長為類似平臺型的企業。如果答案是“是”,這樣的細分領域是值得投資的。
一個企業在進行IT建設時,通常會考慮拿出一定比例預算投入到相關的安全系統上。因此,網路安全市場的潛在空間應該跟IT支出呈大致的比例關係。過去幾年,我國IT行業迅速發展,卻沒有對網路安全足夠重視,造成網路安全支出跟IT支出不成比例。
美國網路安全領域投入佔IT投入的4.78%,全球的平均水平是3.74%,中國卻連2%都不到。也就意味著,中國有很多網路安全問題需要修補,中國網路安全市場的潛在空間非常大。
2015年PWC對網路安全領域的支出進行了統計和分析。從平均每人的網路安全支出金額來看,中國只有2美金,比較高的是北美、以色列;而從IT支出中網路安全的佔比來看,中國的比較低,只有1.4%,以色列是最高的達到7.7%。對比不同的國家,誰在網路安全領域做的最好?首先是有巨大的不安全感,其次是有足夠的資金,以色列就是很典型的代表。目前,中國的網路安全投入水平與其它國家差距較大。
網路安全相關支出在IT支出中佔比多少比較合理?2015年IDC做過一個調查統計,把200家加拿大企業分為四類:第一類是知道自己做的不好,第二類是不知道自己做的不好,第三類是對自己過分有信心,第四類是始終覺得自己做得不夠好,網路安全支出佔比從6%到14%不等。在此調查之後,IDC給的支出佔比建議是13.7%。業界也有一些其他的建議,譬如IBM認為合理的佔比是10%,而Gartner給出的數字是4%到7%。
根據這些所建議比例可以來計算在泛網路安全的概念下,各個細分領域的潛在市場空間。以下是對泛網路安全的各個細分領域的劃分。
中國傳統的網路安全市場比較狹窄,而整個泛網路安全矩陣則從基礎設施安全擴充套件到業務安全、社會安全乃至國家安全,從內網安全逐漸擴充套件到萬物互聯的安全。其中包含了眾多的細分領域。從中選取幾個,先來做一個估計:
1)傳統網路安全領域,也即IT安全領域。Gartner資料顯示,2018年中國的IT支出為2.6萬多億,現在的IT安全佔比低於3%,所以當前IT安全市場大概在600億左右。但事實上,這個比例是遠遠不夠的。隨著相關網路安全支出佔比的逐步提升,傳統網路安全支出還有非常大的增長空間,至少能達到1000多億。
2)工控安全領域。工控安全被越來越多地關注。2018年我國工業網際網路的直接產業規模大概是6700億,如果按照最低標準3%看,工控安全市場規模也在200多億。事實上這個領域後續的投資可能會非常大,因為工控安全實在太重要了。很多領域都關係到國計民生,譬如電廠、電網、軌道交通等等。
3)智慧家居相關的安全領域。2018年中國智慧家居規模約是1800億,按照各種比例進行估計,智慧家居網路安全規模在100億左右。
4)車聯網安全領域。2018年中國車聯網市場規模是3000多億,按照比例計算,車聯網安全規模應該在150億左右。現在國家對於車聯網要求正在逐步地規範化,落到實處後,一定會對車聯網安全市場有很大的推動作用。
以上四個細分市場,加起來就有幾千億規模了,所以中國網路安全市場的潛在規模非常大。
未來,網路安全市場的潛在規模可能就不是基於IT支出來衡量,而是基於IT系統之上所承載的資料的價值、這些資料之上所承載的業務的規模來衡量。因此,我們可以說,未來中國網路安全的潛在市場空間是萬億人民幣量級的。這也是為什麼蘋果資本堅持投資網路安全領域,因為後續的市場實在太大。不管從網際網路的發展來看,還是國家、人民對網路安全的重視程度來看,都會推動市場規模越來越大。
網路安全行業的發展主要來自於四種驅動力:
一,法規。網路安全被喻為人的健康,每天跑步可能對人的健康是好的,但如果沒有強制規定每天必須跑步,大家就不一定會每天跑步了。對於自己的健康都存在這樣的僥倖心理,就更不要說對於一個組織的網路安全了。加上網路安全的外部性比較強,就是說如果網路安全沒有做好,不僅僅會影響自己也會影響到別人,這就更加需要有法規約束。所以法規始終是網路安全的重要驅動力。法規在強制性、廣度、深度、力度上的變化,將會推動網路安全行業的發展。
二,業務。隨著業務的網際網路化,業務會對網路安全提出更多要求,來保障業務的順暢執行。譬如通過防薅羊毛來降低成本,通過做好資料安全來減少使用者隱私洩露的可能性等。這些來自業務的要求是網路安全發展的非常重要的驅動力。
三,事件。事件這一驅動力會在事件發生後逐步地轉化成法規上和業務上的驅動力。比如,拼多多的薅羊毛事件,促使拼多多思考怎樣避免類似事件再次發生。再比如,一些個人隱私的洩露引發的刑事案件,推動了《個人資訊保護法》等相關的法規出現。所以事件短期能夠直接推動相關網路安全領域的投入,從長期看會落實到法規驅動力和業務驅動力上。
四,技術。技術驅動力可以分兩個方面:一方面由於網路安全的攻擊和防禦是IT技術之間的互相對抗,隨著新的攻擊技術產生,會有新的防禦思路產生;另一方面IT技術本身在不斷的發展中,從簡單的網路技術,到大資料、人工智慧等等,新技術的應用會帶來新的安全問題。比如,有研究發現,只要在人身上貼上特定的圖案,人工智慧就無法識別出“人”。在交通標誌“stop”上貼上特定圖案,自動駕駛技術就不能正確識別該標誌,而是識別成為比如右轉彎的標誌。這些新技術產生的新問題,就需要有相應的技術來防護。所以,技術也是網路安全行業發展的一個很重要的驅動力。
在四個驅動力下,主要會產生兩種需求:
一種是合規性需求。其特點是:首先,對企業來講只要合規就可以了,有什麼樣的規定就買什麼樣的裝置。這個需求並不是從業務本身的需求出發,之前“等保1.0”時還出過笑話,裝置買來之後發現不好用,但規定必須要有,就買來放在那裡不用,反正有了就符合標準了。在這種情況下,產品做的到底怎麼樣並不重要,拼的還是銷售能力;其次,因為是合規性的需求,不可能要求特別高,如果要求高而導致只有一兩家供應商的話又不合理,所以產品技術的要求不會特別高,很多家都能做,趨於標準化。也正因為產品趨於標準化,所以轉換成本比較低,主要是銷售能力的競爭。
另一種就是業務性需求。其特點是:首先,產品必須解決實際問題。比如在業務上有問題存在,必須要採用能解決問題的產品,也就是剛性很強;第二,因為要解決業務上的問題,所以產品的差異化可能性比較高,且跟業務結合比較緊密,就會造成一旦用了某家產品,再轉換其它家的產品成本比較高;第三,這種特點的企業之間競爭,主要還在產品和技術能力上的競爭,因為要比拼誰能更好的解決問題。
因此,做網路安全領域的早期投資,提供合規性產品的企業並不一定是一個好的投資標的。原因是通常合規性產品的技術門檻不會太高,進入的人非常多又互相競爭,最後就會形成品牌廠商分食高階客戶,各小廠商依據各自資源佔據一塊。另外,還有深信服等渠道能力很強的企業,為很多中小客戶提供一體化的等保解決方案,通過正規軍的打法收穫了眾多小廠商的生意機會。
紮根業務性需求的初創企業才是好的投資標的。合規性需求當然可以做,但是首先還是要紮根業務性需求,因為這樣的產品一定是解決了客戶真正的痛點,才會真的被需要,而不是因為法律或法規規定要用某類產品功能但本身並不一定這個痛點。這樣的產品才是真正有生命力的產品。而且,因為不是標準化的產品,產品之間互相競爭就不是單純靠價格、靠關係競爭,產品差異化的可能性就會比較高,從而就能保證一定的利潤率,也有規模化發展的可能。
合規性需求有了一個新的變化,就是“等保2.0”。
“等保2.0”涉及的範圍非常廣:首先,最重要的安全就是省轄市以上黨政機關的重要網站和辦公資訊系統;其次,是電信、廣電行業的公用通訊網、廣播電規傳輸網等基礎資訊網路,經營性公眾網際網路資訊服務單位、網際網路接入服務單位、資料中心等單位的重要資訊系統;最後,是幾乎涉及到各個行業的,鐵路、銀行、海關、電力、證券、保險、外交、公安、交通、能源、文化教育等行業內部各種各樣重要的資訊系統。所以“等保2.0”要規範的資訊系統範圍非常廣,對不同影響度的資訊系統也會有不同的規範要求。
從“等保1.0”到“等保2.0”,主要有幾點變化:
第一,法規體系有了很大的變化,已經從國務院的條例上升到了國家法律的要求。
“等保1.0”時的法規體系,最上層是1994年頒佈的《中華人民共和國計算機資訊系統安全保護條例》,2007年釋出了《資訊保安等級保護管理辦法》,2008年提出了《資訊保安等級保護標準體系》。到了“等保2.0”,2017年頒佈了《中華人民共和國網路安全法》,規定了要進行網路安全等級保護;2019年頒佈了《網路安全等級保護條例》。之後又頒佈了等級保護新的標準體系,命名也從資訊保安改為網路安全。可以看到,法規體系上層級更高了,也就是說網路安全越來越重要了。
在《中華人民共和國網路安全保護法》裡第21條規定,國家實行網路安全等級保護制度。後面頒佈了《網路安全等級保護條例》,規定國家要建立完善網路安全等級保護標準體系。在這個標準體系下有定級指南、基本要求、設計要求和測評要求。而基本要求裡面分了通用要求和雲端計算、移動互聯、物聯網、工業控制系統等擴充套件要求。整個標準體系非常詳細的規定了如何測評網路符合哪個級別,各級別的要求怎樣。新的系統在設計時,安全方面到底要考慮哪些,從而使網路安全不僅有法可依,也有標準可依。
第二,在保護等級上做了調整,把特別嚴重損害公民、法人和其他組織的合法權益的等保物件,從等保二級設定為等保三級。
等保的等級劃分表格中,受損害的物件有國家安全,社會利益和公共利益,公民、法人和其他組織的權益。損害程度是一般損害、嚴重損害及特別嚴重損害,根據不同的組合會有不同的級別。在公民、法人和其他組織的合法權益受到特別嚴重損害從第二級升到第三級,這也是因為一些事件的發生推動了法規和標準的調整。
第三,標準體系有了變化,原來只有一套標準,現在是採用“通用+擴充套件”的架構。
標準體系從原來只是一套基本要求,到現在雲、移動互聯、物聯網、工業控制系統等進行了細分。從一個通用要求起,根據不同的IT基礎設施有不同的擴充套件要求。這意味著未來有其它相關的基礎設施出現,就肯定會有新的拓展要求出來。
第四,防禦思路上有了變化,從被動防禦到主動防禦。
“等保1.0”實施以來,在攻防技術不斷地升級演變中,防禦思路發生了一些變化,這些都反映在了“等保2.0”標準中:首先,從被動防禦變成了主動防禦,整體防禦也分割槽隔離,不僅在邊界上防禦,在內部也進行一層一層各種各樣的防禦,相當於在邊界上防不住時,在內部控制影響範圍,儘量更早地發現問題;其次,“等保2.0”提出了事前、事中、事後的防禦,而不僅僅像原來只是在受攻擊時防禦。防不住就要審計,出現問題還要事後溯源,知道問題根源在哪,是怎麼發生的,為下次的防護做好準備;最後,在保障體系上由被動保障向感知預警、動態的防護、安全檢測、應急響應做轉變。
第一,“等保2.0”很好地促進了網路安全行業的發展,提高了網路安全企業估值的水平,擴大了網路安全市場的整體規模。因此,對於網路安全領域的投資人來講,“等保2.0”肯定是一個應該加大投資的訊號。
第二,“等保2.0”直接促進了相關的合規性需求,但在做網路安全領域早期投資時,不一定要找這一類的企業。正如前面對合規性需求的分析,如果僅僅是“等保2.0”裡有某個要求,就做某個產品來創業,而不研究相關業務的真實需求,會很快遇到瓶頸。建議投資面向業務性需求的企業,或是合規+業務性需求的企業。當然,對於二級市場的網路安全企業來講,啟明星辰、綠盟、天融信、深信服等的收入一定會有一個基於“等保2.0”的增長。
綜上,中國網路安全行業增長迅速,潛在市場空間巨大。兩類不同的需求會帶來不一樣的市場競爭態勢。“等保2.0”的合規性需求變化,更大意義在於提升了網路安全的能見度,提高了組織和相關管理層的安全意識,從而促進了網路安全行業的發展。“等保2.0”的合規性需求從做網路安全的早期投資來講並不是最佳的投資機會。初創網路安全企業只有注重合規+業務需求,或是純業務性需求,才能為團隊提供更好的發展機會,才能走得更遠。這過程中如果有相關的合規性需求出來,也能夠做相關的業務,當然是更好。
業界有關統計顯示,自有統計記錄以來,2018年是中國網路安全市場增長速度最為快速的一年。2019年6月,為了全面提升電信和網際網路行業網路資料安全保護能力,工信部印發了《電信和網際網路行業提升網路資料安全保護能力專項行動方案》(以下簡稱:專項行動),在行業內部署開展為期一年的提升網路資料安全保護能力專項行動。本次專項行動無疑是對2019年中國網路安全市場的加速拉昇。
本次專項行動圍繞新中國成立70週年等重大活動資料安全保障和行業網路資料安全保障體系建設,明確兩個階段的工作目標,並從加快完善網路資料安全制度標準、開展合規性評估和專項治理、強化行業網路資料安全管理、創新推動網路資料安全技術防護能力建設、強化社會監督和宣傳交流5個方面提出14項重點任務。
另一方面,我們也觀察到中國網路安全產業的碎片化現象嚴重,例如安全牛日前公佈的《中國網路安全100強企業(2019)》榜單就從“50強”增擴至“100強”,其中年收入在1億至3億的安全企業,超過40餘家,總收入約80億元,佔網絡安全整體收入的17%。而網路安全的整合業務正集中到少數大型IT服務商和一些重點行業的IT服務商手中,這為網路安全中小企業的發展帶來了一定的挑戰,因為產品研發需要了解客戶的實際需求,越貼近客戶越容易進行研發。
鈦資本此前強調:我國的網路資訊保安市場是一個長線市場,創業者可以靜下心來找到差異化的技術創新點,而不是走同質化競爭路線。不過,2018年改革開放40年、2019年新中國成立70年、2020年全面建成小康之年、2021年建黨100週年,可以預期一年一個網路安全市場的新高潮,而且後浪高過前浪。