导航菜单

钛资本研究院:等保2.0及网络安全产业投资思考

钛资本研究院:等保2.0及网络安全产业投资思考

[

随着2019年5月13日《信息安全技术网络安全等级保护基本要求》(以下简称“欢迎2.0”)的发布,以及近期美国对伊朗的网络攻击,投资界对信息安全的关注度逐渐增强。此前,Titanium Capital已经组织了网络安全风险投资的共享。在过去的五年中,信息技术的影响已从IT类扩展到整个社会。随着5G的商业化,它将带来更多不可估量的影响。目前,中国网络安全市场规模急剧增长,呈指数增长态势。

在第23期Titanium Capital的新一代企业级技术投资者投资研究机构中,Apple Capital的投资经理徐军结合“Welcome 2.0”的发布,分享了网络安全行业投资的变化。徐军毕业于浙江大学,获得中欧国际工商学院工商管理硕士学位。他曾在UT斯达康和诺基亚从事研发,研发管理和产品管理工作。徐军曾在华为战略投资部门工作,领导收购了一家光通信领域的欧洲公司,后来加入了Datai Capital和iResearch Capital,负责IT相关领域的早期投资。现在Apple Capital主要从事网络安全相关领域。投资和投资项目包括大数据公司永红,以及网络安全公司Naga,Zhixiang和omniscience。

中国的网络安全行业有两个显着的特点:

第一个特点是快速增长。

[

从中国网络安全行业的规模和增长率来看(网络安全行业的统计数据主要是传统的IT安全和基础设施安全),我们可以看到,到2018年中国的网络安全行业将小于500亿的小规模市场,但行业的规模。逐渐增加,增长率逐渐增加。在2018年突破500亿后,预计其增长率将相对较高。

[

通过统计网络安全领域15家上市公司的年度报告数据,我们可以看到总销售额的增长率从2015年的26.5%增加到2017年的36.1%,并且每年都在增长,而2018年的增长估计超过36%。

近年来,中国的网络安全产业发展迅速,其快速发展的原因是网络安全需求在多个方面同时增长:

首先,在同一行业中,从业务的边缘或从互联网到网站,直到核心业务是Internetized,企业对网络安全的需求变得越来越僵化,投资越来越高,资金越来越多正在增加。从而推动了市场的增长浪潮;

二是逐步从IT相关产业向各种传统产业扩展。越来越多的行业逐渐成为基于互联网的行业,越来越多的行业需要受到网络安全的护送;

第三,从PC和服务器到移动电话,物联网和车载设备,将来会有越来越多的连接设备,更多的连接设备将导致越来越多的设备受到保护。从PC或服务器到与生产安全相关的工业控制设备,与生命安全相关的物联网医疗仪器,以及与交通安全相关的汽车网络,不仅是网络安全,还是人身安全。随着网络设备和设备的爆炸性增长,网络设备成倍增长,并且网络安全要求已经爆炸式增长。

第四,自《网络安全法》以来,国家逐步颁布了各种网络安全法规和政策,这一“欢迎2.0”政策的出台不仅建立了更加完善的国家网络安全监管体系,而且使安全问题得以实现。更多的关注。与此同时,网络安全更加遵纪守法,以前没有重视的安全领域和安全要求不断出现;

5.在比特币和区块链的数据组合和比特币数字化之后,黑色生产更容易形成,网络安全问题引起的经济损失呈指数级增长,网络安全要求呈指数级增长。

网络安全需求在多个方面同时增长,使得中国网络安全市场的增长率不断提高。

第二个特征是需要更多积分。

[

从上图可以看出,网络安全的类别和子类别非常精细,小类和所涉及的技术之间需要完成的工作往往是不同的。

在网络安全领域有许多需求点,主要是因为只要一个点被打破,攻击者就可以进入,所以防御者必须防范每一点。此外,随着IT技术的不断发展,它将带来新的问题。

更多的需求点将导致问题。哪些领域值得投资?

将网络安全市场视为石榴市场。石榴中有很多小种子。什么样的小种子值得投资?一个取决于它是否能够增长得足够大,也就是说这个细分市场的市场空间是否足够大;第二是看粘度是否足够强。在网络安全公司切入这一点之后,他们能否逐渐扩展到其他相关的安全领域,也就是说,他们是否能够坚持周围的“种子”,这种“种子”可以从一开始的小点发展到类似的平台类型。商业。如果答案是肯定的,那么这样的细分市场值得投资。

当企业进行IT建设时,通常会考虑一定比例的预算来投资相关的安全系统。因此,网络安全市场的潜在空间应与IT支出大致成比例。在过去几年中,中国的IT产业发展迅速,但对网络安全的关注不够,导致网络安全支出与IT支出不成比例。

[

美国网络安全部门占IT投资的4.78%,全球平均水平为3.74%,中国甚至没有2%。这意味着中国有许多需要修补的网络安全问题,中国网络安全市场的潜在空间非常大。

[

2015年,普华永道对网络安全领域的支出进行了统计和分析。从每人平均网络安全支出金额来看,中国只有2美元,北美,以色列则更高;而从网络安全在IT支出中的比例来看,中国相对较低,仅为1.4%,以色列是最高的,达到了7.7%。与不同国家相比,谁是网络安全领域的佼佼者?首先是巨大的不安全感,其次是足够的资金,以色列是典型的代表。目前,中国的网络安全投资水平远远不是其他国家。

[

IT支出中与网络安全相关的支出比例合理多少? 2015年,IDC进行了一项调查和统计,并将200家加拿大公司分为四类:第一类是知道他们做得不好,第二类是不知道他们做得不好,第三类是他们过度信心,第四类是你总觉得你做得不够好,网络安全支出的比例从6%到14%不等。经过调查,IDC的支出率为13.7%。该行业还有一些其他建议,例如小发猫合理比例为10%,而Gartner的数字为4%至7%。

基于这些提议的比率,可以在泛网络安全的概念下计算每个分段的潜在市场空间。以下是泛网安全的各个细分。

[

中国传统的网络安全市场相对狭窄,整个泛网安全矩阵从基础设施安全扩展到商业安全,社会保障甚至国家安全,从内部网安全到万物互联安全。它包含许多细分。从中挑选一些并首先进行估算:

[

1)传统的网络安全领域,即IT安全领域。根据Gartner的数据,2018年中国的IT支出超过2.6万亿,IT安全现在占不到3%,因此目前的IT安全市场约为600亿。但事实上,这个比例是不够的。随着相关网络安全支出比例的逐步增加,传统的网络安全支出有很大的增长空间,至少有1000亿。

2)工业控制安全领域。工业控制安全越来越受到关注。 2018年,中国工业互联网的直接工业规模约为6700亿。如果最低标准是3%,工业安全市场也超过200亿。事实上,这方面的后续投资可能非常大,因为工业控制的安全性太重要了。许多领域与国民经济和民生有关,如发电厂,电网,轨道交通等。

3)与智能家居相关的安全领域。 2018年,中国智能家居的规模约为1800亿。根据不同的比例,智能家居网络安全规模约为100亿。

4)汽车网络安全领域。 2018年,中国汽车网络市场规模超过3000亿。根据比例,汽车联网的安全规模应该在150亿左右。现在,该国对汽车网络的要求正在逐步标准化。实施后,必将推动汽车网络安全市场的发展。

上述四个细分市场规模达数千亿,因此中国网络安全市场的潜在规模非常大。

在未来,网络安全市场的潜在规模可能无法根据IT支出来衡量,而是基于IT系统之上的数据价值以及数据所承载业务的规模。因此,我们可以说,未来中国网络安全的潜在市场空间是数万亿元。这就是为什么Apple Capital坚持投资网络安全的原因,因为后续市场太大了。无论互联网的发展,或国家和人民对网络安全的重视程度如何,它都将推动市场变得越来越大。

[

网络安全行业的发展主要来自四个驱动力:

一,规定。网络安全被誉为人类健康。每天跑步可能对人们的健康有益,但如果你不必每天强迫跑步,你就不一定每天跑步。在你自己的健康中有这么好的财富,更不用说组织的网络安全了。此外,网络安全的外部性相对较强,也就是说,如果网络安全性做得不好,它不仅会影响自身,还会影响其他人,这需要更多的监管限制。因此,法规始终是网络安全的重要推动力。法规,广度,深度和强度的变化将推动网络安全行业的发展。

第二,业务。随着业务的互联网,业务将对网络安全提出更多要求,以确保业务的顺利运行。例如,通过使用防螨羊毛来降低成本,通过使数据安全性降低用户隐私泄露的可能性。业务的这些要求是网络安全发展的重要推动力。

第三,事件。事件发生后,该事件的驱动程序将逐渐转变为监管和业务驱动因素。例如,针对大量羊毛事件的斗争促使人们更多地考虑如何避免类似事件再次发生。例如,由于披露个人隐私而引起的一些刑事案件促进了《个人信息保护法》等相关法律的出现。因此,短期事件可以直接促进相关网络安全领域的投资,并将长期实施到监管驱动和业务驱动。

四是技术。技术的驱动力可以分为两个方面:一方面,网络安全的攻防是IT技术的相互对抗。利用新的攻击技术,将产生新的防御思想;另一方面,IT技术本身在不断发展中,从简单的网络技术到大数据,人工智能等,新技术的应用将带来新的安全问题。例如,一些研究发现,只要特定模式附着在人身上,人工智能就无法识别“人”。当特定模式附加到交通标志“停止”时,自动驾驶技术不能正确识别标志,但是识别出它是诸如右转的标志。这些新技术带来的新问题需要相应的技术来保护它们。因此,技术也是网络安全产业发展的重要推动力。

在四种驱动力下,有两个主要要求:

一个是合规要求。它的特点是:首先,对于企业来说,只要合规是可以的,什么样的法规会买什么样的设备。这种需求不是基于业务本身的需求。在“等待保护1.0”之前,有一个笑话。购买设备后,发现它没用。但是,规则必须在那里,并且应该在那里购买和使用。符合标准。在这种情况下,产品如何完成并不重要。这是销售能力。其次,因为它是合规要求,所以要求不是很高。如果需求很高,那么它只会是一两个供应商。这是不合理的,因此产品技术的要求不会特别高,许多家庭都可以做到并且趋于标准化。这也是因为产品趋于标准化,因此转换成本相对较低,主要是由于销售能力的竞争。

另一个是业务需求。其特点是:一是产品必须解决实际问题。例如,如果业务存在问题,则必须采用可以解决问题的产品,即刚性非常强。其次,由于要解决业务问题,产品差异化的可能性相对较高,业务紧密结合。一旦使用产品,它将导致转换其他产品的成本更高。第三,具有这种特征的企业之间的竞争主要是在产品和技术能力的竞争中,因为谁能够竞争好解决问题。

因此,为了在网络安全领域进行早期投资,提供合规产品的公司不一定是良好的投资目标。原因是通常的合规产品的技术门槛不是太高,参加比赛的人数非常多,相互竞争。最终,品牌制造商将分为高端客户,每个小型制造商将根据各自的资源占据一块。此外,还有强大的令人信服的公司具有强大的渠道能力,为许多中小客户提供集成的安全解决方案,并通过定期军事游戏为许多小型制造商获得商机。

扎根于业务需求的初创企业是良好的投资目标。当然可以完成合规性需求,但首先,有必要扎根于业务需求,因为这些产品必须解决客户真正的痛点,真正需要,而不是因为法律或法规要求使用某些产品功能。但这并不一定意味着这个痛点。这样的产品是真正可行的产品。此外,由于它不是标准化产品,产品之间的竞争不仅仅基于价格和竞争。产品差异化的可能性会更高,因此可以保证一定的利润率,并且还有可能进行大规模的开发。

合规性要求的新变化是“欢迎2.0”。

“保修2.0”的范围非常广泛:第一,最重要的保障是省级以上党政机关的重要网站和办公信息系统;第二,公共通信网络和电信和广播业的广播电力传输网络。如基本信息网络,运营公共互联网信息服务单位,互联网接入服务单位,数据中心等重要信息系统;最后,几乎所有行业,铁路,银行,海关,电力,证券,保险,外交,公安,交通,能源,文化和教育等行业内的各种重要信息系统。因此,“欢迎2.0”标准化的信息系统非常广泛。具有不同影响程度的信息系统也将具有不同的监管要求。

从“问题1.0”到“欢迎2.0”有几处变化:

[

该案件已达到国家法律的要求。

后来,制定了一个新的分层保护标准系统,命名从信息安全转变为网络安全。可以看出,监管系统的层次结构更高,这意味着网络安全越来越多,更重要的是。

该示例规定,国家应建立一个系统来提高网络安全级别的保护标准。本标准体系下有分级指南,基本要求,设计要求和评估要求。基本要求分为一般要求和云计算,移动互联网,物联网,工业控制系统和其他扩展要求。整个标准系统非常详细地规定了如何衡量网络满足哪个级别以及每个级别的要求。在设计新系统时,需要考虑哪些安全方面,以便网络安全不仅符合法律规范,而且符合标准。

[

二是对保护水平进行了调整,特别严重损害公民,法人和其他组织合法权益的保险对象设定为第三级平等保护。

在平等保护分类表中,受害对象具有国家安全,社会利益和公共利益,以及公民,法人和其他组织的权利。根据组合,伤害程度是一般伤害,严重伤害和特别严重的伤害。从二级到三级,公民,法人和其他组织的合法权益受到特别严重的损害,这也是因为有些事件促进了法规和标准的调整。

[

第三,标准体系发生了变化。只有一套标准。现在它是一个“通用+扩展”架构。

标准系统已经从一系列基本要求细分为云,移动互联网,物联网和工业控制系统。根据一般要求,根据不同的IT基础架构,存在不同的扩展要求。这意味着如果将来还有其他相关的基础设施,肯定会有新的扩展要求。

第四,防御思维发生了变化,从被动防御到主动防御。

自“欢迎1.0”实施以来,在攻防技术的不断升级和演变中,防御战略发生了一些变化。这些反映在“欢迎2.0”标准中:首先,从被动防御到主动防御,整体防御它也被分区和隔离,不仅在边界上,而且在内部,它还有各种防御里面。它等同于在边界不可控时控制内部控制内的影响范围,并尽早发现问题。其次,“欢迎2.0”在事件之前,期间和之后提出了防御,而不仅仅是在它被攻击时。有必要进行审核,如果有问题,可以追溯到源头,了解问题的根本原因在哪里,如何发生,以及为下一次保护做准备;最后,从被动保障到预警和动态保护对安全系统,安全测试,应急响应的变化。

首先,“欢迎2.0”推动了网络安全产业的发展,提高了网络安全企业的估值水平,扩大了网络安全市场的整体规模。因此,对于网络安全领域的投资者而言,“欢迎2.0”绝对是一个应该增加投资的信号。

其次,“欢迎2.0”直接促进了相关的合规要求,但在早期投资网络安全领域时,没有必要找到这种类型的公司。正如之前对合规性要求的分析一样,如果“保修2.0”中只有一个要求,要做某项产品创业,而不研究相关企业的实际需求,将很快遇到瓶颈。建议投资适合业务需求的公司,或符合业务需求的公司。当然,对于二级市场的网络安全企业来说,Venus Chen,Green League,Tianrongxin和Shenxinfu的收入肯定会在“Welcome 2.0”的基础上增加。

总之,中国的网络安全产业发展迅速,潜在的市场空间巨大。两种不同类型的需求将带来不同的市场竞争。 “欢迎2.0”的合规性要求的变化对于提高网络安全的可见性,提高组织及相关管理的安全意识,从而促进网络安全行业的发展更为重要。 “欢迎2.0”的合规性要求并不是早期投资网络安全的最佳投资机会。初创网络安全公司只有专注于合规+业务需求或纯粹的业务需求,才能为团队提供更好的发展机会。在此过程中,如果存在相关的合规性要求,那么最好能够开展相关业务。

据行业统计,自2018年以来,中国的网络安全市场一直是增长最快的一年。 2019年6月,为了全面提高电信和互联网行业的网络数据安全保护能力,工业和信息化部发布了《电信和互联网行业提升网络数据安全保护能力专项行动方案》(以下简称“特别行动”)部署为期一年的专项旨在提高行业网络数据安全保护能力的活动。这一特殊行动无疑是2019年中国网络安全市场的加速。

这一特别行动集中在中华人民共和国成立70周年和行业网络数据安全体系建设等重大事件的数据安全上,明确了两阶段工作目标,加快了网络数据安全系统标准,合规评估和特殊项目的实施。从五个方面提出了14个关键任务:治理,加强行业网络数据安全管理,创新促进网络数据安全技术保护能力建设,加强社会监督和宣传沟通。

另一方面,我们也观察到中国网络安全产业的分裂严重。例如,安全公牛发布的《中国网络安全100强企业(2019)》名单已从“50”扩展到“前100名”,年收入为1亿。安全公司40多家,总收入约80亿元,占整体网络安全收入的17%。网络安全集成业务集中在一些重要行业的少数大型IT服务提供商和IT服务提供商手中。这对网络安全中小企业的发展提出了一定的挑战,因为产品开发需要了解客户的实际需求。越接近客户,就越容易进行研究和开发。

Titanium Capital此前曾强调,中国的网络信息安全市场是一个长期市场,企业家可以冷静下来,找到差异化的技术创新,而不是采取同质竞争。但是,2018年改革开放40年,2019年新中国70年,2020年小康年,2021年党的建党100周年,一年可以说是新的网络安全市场的高潮,后波浪高于浪潮。

,查看更多