随着全球数字化深入,5G、云计算、数据中心、人工智能、物联网、区块链等网络基础设施日益发展,经济社会数字化转型步伐持续加速,现实社会和虚拟社会中的网络空间安全问题不断加剧。2022年,全球新冠疫情持续蔓延、远程和移动办公常态化、数字道德和隐私挑战凸显,网络攻击呈现出数量更频繁、破坏性更强、复杂性加剧的特点,给网络安全企业及其供应链带来更高的风险。各国政府纷纷出台网络空间治理解决方案和举措,加快构建网络安全法律规范、行政监管、行业保护、技术保障等治理生态。
国家战略风向
随着数字化、网络化进程加快,数据已成为主导网络安全的重要基础。与此同时,工业数据、政府平台数据、关键数字基础设施、个人隐私数据正迅速成为网络攻击的重点目标。全球多个国家积极防御,充分发挥政府在网络防护中的主导作用,以统一市场规范标准及监管要求。
1.1多国深化法律合规制度建设,明确运营规约和权利
全球主要国家持续加强网络安全监管、隐私保护立法及数据流动限制,正在重构企业未来数据合规的生态新格局。
一是出台法规推进网络安全事件强制报告机制。近期,美国、欧盟、澳大利亚、印度相继通过立法或指令,推动建立强制性的网络安全事件报告机制,明确运营商事件报告期限要求,提升国家网络安全态势感知能力。3月,美国通过《关键基础设施网络事件报告法》,要求关键基础设施所有者和运营商规定时限内向国土安全部网络安全和基础设施安全局报告网络事件。4月,印度发布《信息技术法》,要求企业在6小时内向政府报告网络安全事件。5月,欧盟推出网络安全新立法,要求关键领域的大中型企业在24小时内报告网络安全事件、修补软件漏洞。6月,加拿大通过一项网络安全立法,要求关键行业企业向政府报告网络攻击事件。
1.2美国持续巩固原有盟友体系,强化亚太等地区创新合作
美国持续加强与盟友和合作伙伴的密切合作,同时启动建立新型网络空间合作伙伴关系,强化集体网络防御能力。
一是持续增进与欧洲传统盟友的密切合作。通过美国对欧洲网络安全援助和实施“欧洲民主复原力倡议”(EDRI)等行动,跨大西洋数字伙伴关系战略体系已经基本成型。3月,美国和欧盟就新的跨大西洋数据隐私框架达成原则性协议,推进跨境的数据流动。4月,美国与60个全球合作伙伴发布《未来互联网宣言》,提出通过构建“开放、自由、全球、互操作、可靠和安全的互联网”,建立美国主导的全球“数字联盟”。
二是不断拓展印太地区网络空间国际合作范围。加强美国在印太地区数据共享、数字贸易等合作,通过美、日、澳、印“四方对话机制”推动建立四国网络防御同盟,推进数字化产品及服务供应链潜在风险的识别与评估;升级美国-东盟关系为全面战略伙伴关系,将“数字经济和数字贸易标准”列为重要合作领域,在“美国-东盟网络安全政策对话”议题基础上,提出强化区域数字连通,推进数字信任和网络安全标准合作,谋求共同应对网络风险。
1.3聚焦关键基础设施网络防御,持续深化跨部门协作
产业态势研判
受益于政策加码和新业态安全需求释放,网络安全产业迎来复苏回暖。全球市场调研机构marketsandmarkets报告预计,全球网络安全市场规模预计将从2022年的1735亿美元增长到2027年的2662亿美元,年复合增长率(CAGR)为8.9%。随着远程办公常态化、新冠大流行、数字道德和隐私挑战等不断深入,都将对网络安全供应链带来更高风险,需要加强网络安全防护理念、手段与技术更新,以应对不断变化的生活方式与新的安全威胁。
2.1“零信任”成网络安全新赛道,市场规模强劲增长
2.2防护手段从“被动防范”转向“主动防御、威胁预测”
近年来,随着网络攻击行为的复杂化、产业化、多样化,传统的防御手段难以应对快速变化的威胁,以数据驱动的威胁检测、感知、响应的主动防范成为了新一代防御网络安全的“利器”。
在基于云架构的网络安全领域,美国强调要优先考虑运用云技术等前沿技术主动识别威胁,4月,美国网络安全和基础设施安全局启动安全云业务项目,以“建立现代IT基础设施、软件、硬件与系统”。
在5G网络安全领域,5月,AT&T、T-Mobile、思科、诺基亚、戴尔、英特尔等企业加入美国家标准与技术研究局(NIST)牵头构建的5G网络安全解决方案联盟,探索新技术助力5G网络保护。
在量子网络安全领域,美国宣布支持关键基础设施和政府网络所有者和运营商,7月,美国网络安全和基础设施安全局(CISA)宣布建立后量子加密计划,并选择微软、亚马逊、VMWare、思科、三星等12家公司进行抗量子密码学研究。
2.3强化数据安全和隐私保护,构建合法合规的竞争环境
数据安全和隐私保护已成为各国政府和企业非常重视的问题,一些企业因数据、用户隐私泄露而被开出高额罚单也逐渐成为其“难以承受之重”。据悉,根据欧盟《通用数据保护条例》(GDPR),欧盟可对最严重的违规行为处以高达公司年营收4%的罚款。据统计,欧盟于2021年共开出412笔罚单,亚马逊、Meta、谷歌、苹果在内的大量科技巨头均遭到了欧盟处罚,罚款总金额高达10亿欧元,是过去三年罚款总额2.4亿欧元的4倍多。今年3月,爱尔兰数据保护委员会(DPC)宣布,由于Facebook的母公司Meta违反欧盟《通用数据保护条例》,将对其处以1700万欧元的罚款。
企业重大动向
3.1资源向头部企业聚集,领跑优势持续扩大
随着全球网络安全产业规模不断壮大,资本加速涌入网络安全主要头部企业,全球网络安全上市公司的数量和市值规模达到10年来最高水平。据全球咨询公司高德纳预计,网络安全厂商合作将加速安全技术融合,到2024年30%的企业将采用同一家厂商提供的云端安全网络网关、零信任网络接入等功能。截止2022年12月,全球市值排名前十的网络安全公司市值总额达到2215.2亿美元,其中,CrowdStrike、Zscaler和Cloudflare的市值增长幅度惊人,均超过450%,远高于行业平均水平,在榜单的排名上升幅度也最大。总的看,综合能力更全面、防御经验更成熟的网络安全头部厂商,竞争优势显然更加明显,有望在这个黄金赛道上继续扩大领跑优势。
表全球顶级网络安全公司市值
微软、思科、IBM、谷歌、亚马逊等全球科技巨头纷纷扩大网络安全业务,选择以并购的方式补足安全短板,全面布局网络安全产业最先进的技术和服务。根据网络安全咨询公司Momentum统计,2022年上半年全球网络安全领域交易额达1151亿美元,其中并购交易1026亿美元,融资交易125亿美元,投融资领域覆盖从合规性到数据安全、安全管理服务、身份与访问管理等。微软公司在去年已收购多家网络安全公司的基础上,今年宣布将收购一家网络威胁分析和研究的初创公司Miburo,以加强其网络安全服务。1月,谷歌公司以5亿美元收购以色列初创网络安全公司Siemplify,将Siemplify的平台集成到谷歌云服务中,并为后续安全功能的开发打下基础。3月,谷歌公司宣布计划以约54亿美元收购网络安全公司Mandiant,增强其云安全业务。
图2022年上半年全球网络安全数据
3.3推进新技术融合应用,提高行业智能化水平
2022年,在网络攻击、数字化转型、远程办公等推动下,一些企业加大对网络安全领域的研发投资,积极布局下一代通信网络、人工智能系统等领域的新安全技术。10月,爱立信宣布与英特尔达成5G独立组网协议,将爱立信5G专网集成到英特尔的产品中,以加速5G网络的数字化进程。12月,微软计划向OpenAI再投资100亿美元,打算在其必应(Bing)搜索引擎中加入OpenAI的人工智能语言模型ChatGPT,从而挑战谷歌在搜索引擎领域的霸主地位。