CSO说安全 | 刘锋:网络与信息安全行业发展的思考
由安在新媒体策划并主办的首届超级CSO研修班,于2021年1月圆满结营。18位CSO学员,历时5个月,完成16节次课程的研修学习,经历名企参访、课堂作业和私董会,更有期末3000字/每篇的毕业论文,最终,都以优异的成绩冲刺达标,获得由CCRC和安在新媒体联合颁发的结业证书。
首届超级CSO研修班学员分布广泛,包括银行、证券、保险、运营商、能源、传媒、物联网、咨询服务等多个领域,在导师引领和课程启发下,其所完成的毕业论文,也都极具代表性,是各自相关领域网络安全建设、实践与思考的精华之作。本着分享交流之精神,我们特别精选几篇,以连载的方式呈现公众。
超级CSO研修班不仅是一届课程,更是契机和起点,希望借“CSO说安全”,让更多CSO们关注、支持并参与到CSO文化的沉淀积累和广泛传播中来。
网络与信息安全行业发展的思考
现任国网网安公司总经理,高级工程师
2002年毕业于南开大学信息科学学院通信工程专业,曾任职北京奥组委技术部,参与北京奥运会信息通信解决方案与咨询服务;2009年进入国家电网公司,多年从事信息通信及网络安全领域工作。
结合网络与信息安全当前形势以及电网行业特点,对电网行业相关的网络安全发展进行思考分析。
关键词
电网、安全行业、发展。
1.国家高度重视
当前国际形势风云变幻,网络安全风险不断升级,针对电网等关键基础设施有组织的攻击可对国家安全造成重大威胁。随着国家网络强国、数字经济等中央战略的推进,以及国家新型基础设施的建设,网络安全将在国家战略的发展成为不可或缺的组成部分;近年来的专项攻防演练、红蓝对抗等一系列专项活动,推动了国内各行业对于网络安全的意识升级,促进了各单位对于网络安全资源的投入。
2.市场潜力巨大
据统计,2019 年国内网络安全技术、产品与服务总收入约为523.09 亿元,同比增长25.37%。随着市场规模基数的扩大,预计未来增长率会有所下降,尤其是受新冠疫情影响,2020 年网络安全市场规模增速进一步放缓,未来五年预计增长率在20%左右,但市场规模将持续快速增大,到2023 年底,中国网络安全市场规模将突破千亿元。
网络安全市场趋势(含预测)
3.安全业务模式转变
从电网安全业务来看,电网设备网络化的趋势愈发显著,公众服务业务数量剧增,数据量也将爆炸式增长,带动相关安全需求激增;在基础平台层,IT基础设施将从物理环境向“物理环境+云化虚拟环境”融合变化;在业务应用层,原有的单业务应用逐渐向综合业务平台和云平台服务转化;在安全对抗层面,攻防对抗由定期专项转向常态化和实战化。电网新的模式下,产生新的安全业务需求,用户对整体安全的诉求将超过单纯技防人防的传统模式,安全整体运营服务成为新模式。
1.安全产业两极分化,做大和做专。
一方面是安全公司规模要继续做强做大。现在网络安全公司规模普遍较小,且业务较为分散,据“数说安全”统计分析,目前国内规模较大的安全公司纯安全业务收入一般在几十亿元,营收在亿元甚至千万级公司占较大比例(参考附件1)。
2019 年,我国有13 家企业网络安全业务年收入超过10 亿元,占网络安全业务总收入的48.82%,安全公司呈现“诸侯割据”局面,而且普遍规模较小,当前网安行业如战国群雄争霸,安全大统将是未来方向。
从当前安全市场需求看,安全公司的业务发展还具有较大潜力,安全公司的体量会较快发展壮大;同时,从用户需求角度,安全专业性要求较高,且在防护效果上存在较明显的木桶效应,因此用户更希望安全公司能够提供综合化整套安全服务,预测综合性公司将会加速兼并。尤其以资本方式对专业公司的投资和并购,业务集中化会进一步加快加剧,安全公司巨头有望在近几年出现。
此外,安全业务目前有两三百条细分产品线,有上千家安全公司,平均每条产品线上有多家同质公司在竞争。由于安全业务的细分和专业化,部分专业型公司会继续做专做深,提供专业化产品,进一步细分市场,为综合性公司提供原型产品和专业服务,或寻求投资注入,实现转型。
2.建立安全常备军。
安全对抗需要依赖装备和人才,核心是人才。尤其对于关键基础设施的安全攻防,将逐渐升级到有组织的高级人才的对抗,甚至是国家之间的尖端对抗。电网高度重视安全人才队伍的建设,建立了安全攻防专家队伍,以及不同层级的安全人才梯队,全面支撑电网安全。对于类似电网行业的关键基础设施企业,建立常态的具备一定规模的安全常备军将是趋势。由于安全本身呈现较为明显的突发特性,平时和战时需求极不均衡,且安全行业发展迅速,安全人才成本较高、流动性较大,因此,除了配备一定规模的常备军外,需要储备一定数量的外围机动部队,充实到安全专家资源池,确保战时可随时投入战斗,在特殊时期可负责特殊任务处理。通过内外协同,虚实结合,实现平时和战时的安全保障需求。
3.业务模式趋向运营服务
根据市场研究公司Verified Market Research分析,安全运营服务是安全领域增速最快的细分市场。据Gartner预测分析,2019年全球安全运营服务支出达3.8亿美元,年增长率52%.另据市场研究公司Market Watch分析,预计到2025年,全球安全运营服务市场规模将增至35.31亿美元。
据报道,启明星辰依靠运营中心开展运营即安全的发展战略,绿盟科技提出了一体化安全运营服务,安恒信息以SaaS化服务模式提供云监测服务、云防服务和威胁情报等服务。对于电网内部,安全运营服务需求也正不断增长,用户需求正从系统建设产品采购向整体服务及安全运营进行转变。此外,随着业务的不断云化,服务将进一步云化,基于云平台的安全运营将是趋势,且需要能够针对主流厂商的云业务进行统一安全监控。
4.资本力量驱动安全发展
据不完全统计,目前国内网络安全上市企业共计62 家,其中,深交所和上交所上市企业23 家,新三板上市企业39 家。网络安全风险与战略投资金额呈逐年上升趋势,2017至2019 年是融资高峰期,每年的融资企业数量均在50 家以上。
投资并购主要有两个出发点:一是通过投资提高收益。安全行业目前正处于风口,瞄准具备市场前景的专业型公司进行投资,在短期内可获得较好的经济收益。二是通过并购补齐技术和产品短板。2019年来,阿里收购九州云腾和长亭科技,提高身份认证管理和多云环境的安全管理,2020年整合推出升级版长亭牧云(Cloud Walker),实现防御能力全面打通;腾讯投资数据安全厂商炼石网络,加强密码技术和云访问安全代理技术。
投融资的重点方向主要在云安全、身份安全、数据安全、工控安全、移动安全等。
1.电网工控安全。据市场研究公司Verified Market Research分析,2019年全球工业信息化安全市场规模达164.01亿美元,预计到2026年增长至297.6亿美元,年复合增长率8.83%。
据《工业信息安全产业发展白皮书2019-2020》统计分析,2019年我国工业信息安全产业规模为99.74亿元,市场增长率为41.84%。2020年受疫情影响,增速放缓,约为23.13%,市场规模约为122.81亿元。
据统计,2019年电力行业工业信息安全投入约为15.6亿元,约占工控安全市场投入的41%,目前电网安全成熟度较高,主要集中在信息化和边界安全领域,随着电力物联网建设及能源互联网战略的推进,边界进一步模糊化,工业控制安全将成为重点防护内容,工业信息化安全需求将进一步加大。随着“双碳”战略要求,以及新能源接入增加,电网与新能源侧的安全防控将是新的业务增长点。
2.物联网安全。据中商产业研究院之前的预测,2020年中国物联网市场规模将突破2万亿。“十三五”期间年均复合增长率达24%。物联网安全市场潜力巨大。
目前国家电网以发展能源互联网为战略,对传统的业务设备终端部署物联网接入,安全需求出现新的增长点;此外,随着电动汽车车联网的扩大以及充电桩的部署,车联网安全和充电桩安全将是在物联网安全中与业务关联性较大的内容,市场空间广阔。
3.数据安全。随着“数字化”不断深入,数据安全将是新的增长点。国家对数据安全更加重视,数据安全已立法,数据安全治理将逐步规范和加强,防护对象由个人数据向企业数据拓展。同时需要更加关注数据在流动使用中的安全,重点考虑如何让数据在安全的前提下能够多方共享使用,以推动数据合理流动,更好发挥数据价值,将是新的安全防护方向。
附件1:安全上市公司规模参考:
1.《2020年中国网络安全产业统计报告》
2.《中国工业信息安全产业发展白皮书(2019-2020)》
3.《中国网络安全技术与企业发展研究报告(2020年)》
首届超级CSO研修班已圆满结营,第二届超级CSO研修班正在筹备,按照计划,2021年中会正式开营。如果你是企业或机构的CSO/CISO/信息安全总监/信息安全主管,如果你想进一步拓展知识、提升眼界、广结人脉、突破自我,想更好地胜任CSO职位并探索更高阶职业发展,那么,超级CSO研修班绝对是你不二之选!
早报道早抢位,有意向者,请洽
椰子
首届超级CSO研修班全貌
过程回顾
导师授课
谭晓生 黄承 马民虎 季昕华 陈建 宋琳 杜跃进 段海新 胡洪涛
潘立亚 周斌 刘新凯 杨哲 贺嘉
学员论文
齐心抗疫 与你同在