继《数据安全法》于9月1日起施行后,中国已正式就数据安全构建了基础性法律体系。解决数据安全问题,已成为上至国家、下至个人的共识性问题。自上半年以来,无论是关键基础设施的核心数据防护、严审境外IPO信息安全隐患、保护个人信息安全,显然当下时点“不同以往”,我们正在经历信息安全产业的重要边际变化——站在合规驱动向内生需求驱动的拐角点,我们有信心眺望信息安全产业更广阔的星辰大海。
01俯瞰安全产业框架
当我们在谈“信息安全”时,往往是个相对宽泛的概念。为了更好地理解信息安全产业的框架,我们制作了信息安全的产业图谱。我们认为,信息安全产业是“保障性产业”,无法离开原生产业而独立存在。从最终需要保护的对象出发,围绕“端安全、传输安全、数据安全”三大底座展开,沿着产业形态、应用场景和产品线深入,以更加立体地观察安全产业。
站在保护对象的视角:信息安全下至终端设备,中至通信网络,上至软件数据,覆盖面横跨行业和企业客户的完整IT架构。从这个维度看,信息安全的最终落脚点是端安全、传输安全、数据安全。
作为保障性产业或者说次生产业,信息安全永远无法离开所保护的原生对象。原生产业的发展阶段、进程和空间,直接映射了端、通信和数据保障的“刚需性”,这也是我们观察信息安全产业的底层视角。
站在应用场景的视角:信息安全产业又呈现了很明显的垂直特征。从传统的基础设施、设备管理和企业IT应用,再到云、物联网、工控、工业互联网、车联网等新兴场景,衍生了需求导向的纵深产品线。
站在产业形态的视角:产业的最终呈现仍然离不开硬件、软件和服务三大基本形态。当我们立体地观察产业格局,传统硬件是中国信息安全产业增长的核心载体。考虑到中国政府和企业客户的消费习惯,绝大多数时候,传统信息安全无法脱离硬件设备的集成交付。
值得期待的是,全社会数据安全意识的兴起使隐私计算、SaaS化服务、虚拟化防护、风险评估与安全咨询的需求量显著提升,“软件定义安全”未来可期。
站在产品线的视角:信息安全产业的典型特征是产品种类碎片化、产品线极长。因涉及用户IT资产的全方位、全场景、全周期、全流程防护,安全产业的细分产品线众多。供给端高度分散,为大量中小创业企业提供了潜在的市场机会,也导致不同的信息安全公司往往“各有所长”且“百花齐放”。
资料来源:远桥资产原创研究
站在产业链的视角:安全产业的核心成本是“人”。上游芯片、服务器、工控机以及硬件耗材、辅件,整体发展相对较成熟,行业普遍采用外协加工或采购的方式,这也决定了安全产业充分的议价空间。下游需求的分布广泛,政府、行业企业、事业单位、军队、医院、学校都是安全产业的直接目标客户;这也为不同细分市场的发展奠定了需求基础。
在客户眼中,安全产业的需求存在高度集中性,这与供给侧的高度分散存在矛盾。站在客户视角,政府和企业往往需要从一而终、从下至上的系统级解决方案,以降低采购成本、优化供应链管理。这与我们观察到的,几乎所有安全公司的产品线总是“由短到长”、“由少及多”、“由碎至全”的趋势相吻合,也更加凸出了安全产业内“巨头生态”的存在价值。
02沉浮中的安全市场:竞争门槛观察
★ 传统安全市场:渠道为王
对于以端安全、网络传输安全为代表的传统安全市场,过去15年的发展带动了技术供给的高度成熟,产品高度通用化、标准化,带来了产品和技术的竞争门槛大幅降低。耳熟能详的防火墙、网关、VPN,尽管仍在新技术、新场景的迭代里繁荣生长,却仍然逃不过价格战和最终趋于同质化的命运。
受制于产品的同质化趋向,传统安全市场已经受了价格战和边际利润下降的考验,缓慢驶入“红海”——这一细分市场的竞争逻辑,显然不再是技术、产品能力,而更多地体现为渠道和服务。红海中的巨头挤压,带来的问题往往是:
如何建立供应链管理的门槛,以最大优化成本控制,应对价格战?
如何更高效地扩张产品和服务的销售网络?
如何更轻、更快地完成产品交付?
进而,我们认为,传统安全市场的门槛是以渠道为核心的交付和服务体系:
1)渠道能力。这是最核心的影响指标和门槛,渠道的先发优势和粘性很重要。
2)激励体系。完善而有吸引力的薪酬、分成和价格体系,以掌握渠道、占有渠道。
3)成本控制。采购和供应链管理能力,带来成本结构的优化,以提高边际利润空间。
★ 新兴安全市场:向场景和生态进化
尽管传统安全产业已诞生了众多百亿级市值的公司,但考虑到极长的产品线、极多的应用场景、极分散的下游细分市场,行业竞争仍然高度分散。
但不置可否,安全产业在过去5年中仍然以超出我们预期的速度进行着“行业整合”——自2019年以来,国有资本密集进驻安全产业,为头部企业创造政治环境和渠道加持;龙头公司频繁的参股、控股投资和并购,反映了头部企业进一步扩大市场占有率的野心;产业联盟、技术合作、联合研发,反映了头部企业从单纯的“大吃小”到“大小共赢”的生态关系。
我们认为,站在当下观察安全产业的竞争门槛,不再是企业玩家之间的“单打独斗”,而是围绕场景和用户需求的“大生态”竞争。有没有足够充分的前沿技术储备?有没有足够多元和丰富的渠道拓展?有没有跨行业、跨场景、跨产品线的复用能力?从技术孵化到渠道合作,从产品延伸到场景扩展,安全企业的竞争将是围绕场景的“生态体系”竞争。
03寻找边际价值改变
我们认为,信息安全产业是“政策体制 + 内生需求”的共同作用体,但作用权重会随着政策的颁布和落地而发生渐进式变化。
★ 合规驱动仍然是3年内的行业主题
过去15年内,中国信息安全产业的主要增长推动得益于国家体制和政策的牵引,以及监管部门、行业自律组织自上而下的资源协调。
自2007-2008年“等保1.0”颁布实施后,信息安全产业涌现了资本化浪潮,一度成为资本焦点;背后折射的,是PC和移动终端、网络设备、通信设备带来的端安全需求;以及高度渗透的互联网、企业网带来的网络传输安全需求。这与当时中国的自动化、信息化进程同样密切相关。
2019年4月,《网络安全法》将“等保2.0”上升到法律制度层面,首次明确“一个中心、三重防护”的安全建设要求,掀起各级政府和关键行业客户的改造行动。“等保2.0”时代,保护对象从单一信息系统延伸“全设施、全系统、全场景”,基于监管验收的压力强行催生了超400亿新增市场需求。
等保2.0与等保1.0要求对比分析
资料来源:远桥资产原创研究
“今时不同以往”,未来3年将是大量核心政策落地的窗口期。自《网络安全法》和“等保2.0”以来,今年陆续出台的《关键信息基础设施安全保护条例》、《数据安全法》、《个人信息保护法》、《网络数据安全管理条例(征求意见稿)》等法律规定,明确了数据安全防护的强制性要求“有法可依”。
此外,我们在工信部印发的《“十四五”大数据产业发展规划》中,也读到了“筑牢数据安全保障防线”的重点任务。《规划》同步发布了“十四五”期间“数据安全铸盾行动”的落实具体细节,数据安全将在未来3年内进入“从无到有,从小到大”的关键成长期。 ★ 从合规驱动走向内生需求驱动:展望数字化转型
数据安全:“大产品、小需求”,场景定制先行。与端安全、传输安全的“红海”相不同,数据安全在中国仍处于“萌芽期”。《数据安全法》的颁布,首次将“数据”的安全防护价值引入产业和公共视野。这一市场与端安全、传输安全最大的差别在于——数据安全有非常明显的“技术抢跑”特征,至少在现阶段仍面临着“技术创造需求”或“有技术,没需求”且整体“供给>需求”的局面。
讨论数据安全,离不开中国政企用户数字化转型的进程。现阶段,中国企业的IT预算90%集中在Top 200的大B玩家手中,数字化进程虽“方兴未艾”但“参差不齐”;对于处在长尾的中小企业和制造业用户而言,数字化虽不是“天方夜谭”,却也是巨大的处女地。这也导致数据安全行业的买单行为,更多发生在关键行业的头部企业;换言之,对于大量未开垦的长尾企业市场而言,数据安全是纯粹的“成本项”而非“创收项”,整体缺乏内生的自发性需求,缺乏刚性需求。
当我们观察愿意为数据安全买单的客户,更多是有一定数字化基础的大B客户。他们需要防护的是什么?除了各类ERP和数字化工具,是亟待分级分类的庞大数据资产,是定制化的业务、技术和数据中台——至少在现阶段,数据安全的服务对象往往是“薛定谔”的。你永远不知道你服务的下一个对象拥有什么样的数据资产,适合什么样的分类体系,需要什么样的产品和服务……
数据安全的蓝海,才刚刚开始起航。结合中国企业数字化转型的进程来看,头部企业为带动的数字化转型,正在逐步铺开。相对应地,数据安全正在逐渐“下海”;当然,这是一片蓝海。只是现阶段:
1)数据安全仍然离不开对于行业和场景理解,仍然处在从“定制化”到“产品化”的初级阶段;
2)数据安全缺乏长尾和大众客户的自发性需求,缺乏刚性需求。 ★ 我们在哪儿?
信息安全产业的增长正在“合规驱动”的中后期。以“等保2.0”和《数据安全法》为代表的一系列新法规、新政策,正如2007-2008年的第一波行业脉冲一般,催生新的行业增长机会。一方面,合规驱动仍然会是未来3年的核心主题,以关键行业、头部大企业为代表的客户仍然是主要买单方;另一方面,“内生需求驱动”正在逐步演化之中。伴随企业数字化转型的加速(根据IDC,到2025年有超50%中国企业完成数字化转型),数据安全的刚需时代是值得我们期待的。
从合规驱动到内生驱动,拐角点将至。对于新场景(如云、物联网、工控等)、新技术(隐私计算、零信任等),市场在未来3-5年内将蓬勃增长。同时,我们也在持续反思用户买单的初衷。现阶段,大量用户基于“等保2.0”和政策压力,为更高层级的安全管理类产品所买单;而真正为“云安全”、“物联网安全”、“工控安全”买单的用户,却仍然处在数字化转型的初期(如上云或建设IoT底层设施阶段)。随着上云进程、IoT底层设施建设进程、工业互联网平台建设进程、企业数字化转型进程的加速,我们将越来越多地看到“新安全”市场的自发性需求爆发,以带动市场的真正规模化起量。
04总结:行业拐角点的趋势和机会
我们认为,信息安全产业正处于由合规驱动向数字化需求驱动的拐角点。在这一风口下,我们观察到,并且希望把握的产业趋势:
1. 从传统安全到数据安全。
传统安全的定义,是以端安全、网络传输安全为代表的传统信息安全市场,基本已驶入“红海”,竞争维度是以渠道为核心的标准化交付和服务能力。
评估安全赛道的增长性,离不开对于保护对象(即原生产业)。随着中国自动化、信息化驶入深水区,传统安全增长将面临瓶颈;而在信息化向数字化转型的过程中,数据安全无疑是“星辰大海”。
同时受益于“等保2.0”和《数据安全法》为驱动的合规政策要求,以及数字化转型增长带来的内生需求增长,数据安全将在未来5年迎来需求爆发。 2. 从通用安全到场景安全。
传统安全市场更多具有通用性特征,针对企业底层的IT网络和通信架构,形成了高度成熟的产品和服务供给。由于产品趋于高度同质化,竞争门槛降低,导致行业难免进入价格战,边际利润挤压剧烈,逐步形成巨头为主的行业格局。
站在当下,我们正迎来云、物联网、工业控制系统、数据智能、车联网为代表的新技术、新场景:1)连接和云化导致新增安全隐患。新兴业态将原本受保护的系统重新暴露于安全隐患,如业务系统上云、工控系统联网等;2)新技术、新场景、新业态的防护复杂度高、技术难度大,如云安全无法通过传统数据安全路径实现。
沿着“移动互联网 → 云 → 物联网 → 工控 → 数据智能 → 车联网”的产业脉络,我们将依次迎来相应纵深场景下安全行业的爆发——
“移动安全 → 云安全 → IoT安全/工控安全 → 数据安全 → 车联网安全”。 3. 在线化、云化、订阅化。
中国安全产业过去10年的发展,以传统硬件为核心载体。这与全球市场“订阅服务为主导”的产业格局形成鲜明对比。截至2021年底,安全硬件占国内行业比重仍然超过50%,而安全软件和服务分别仅占比仅不足40%和10%;而全球格局下,安全软件和服务的占超过70%,其中SaaS化的安全订阅服务占比超过30%。
数据是核心生产要素,建立以数据为中心的安全防护体系,必须拥抱SaaS。“从硬到软”、“从本地到SaaS”是安全行业中长期视角下的不可逆趋势。这一方面得益于中国整体的上云进程和B端用户对于安全产品和服务买单的意愿,同时也是从“业务驱动”到向“数据驱动”的数字化转型所必然要求的结果。掌握数据,才能掌握未来。 4. 从单一产品线到综合生态系统。
站在当下观察安全产业的竞争门槛,不再是企业玩家之间的“单打独斗”,而是围绕场景和用户需求的“大生态”竞争。
客户想要的是什么?单点难以“长大”,产品线越长越能走进客户。几乎所有安全公司的产品线总是“由短到长”、“由少及多”、“由碎至全”的趋势,也更加凸出了安全产业内“巨头生态”的存在价值。
考虑到安全产业本身产品线长而碎的特征,安全产业在未来5年内将继续加速生态建设,以投资、并购为主线的行业整合将继续繁荣。头部企业需要“新技术”、“新产品”,以打开“新渠道”、切入“新场景”,并从单纯的“大吃小”到“大小共赢”的生态关系。
