网络安全:从十八线熬成一线 压力与机遇并行
原标题:网络安全:从十八线熬成一线 压力与机遇并行
7月,网络安全唱“主角”。
一面是网络安全政策逐渐明晰,市场俨然已至爆发前夕。另一面是赴美上市企业面临全新的审查规则,互联网企业安全监管政策逐步收紧。
风雨欲来,谁喜谁忧?
压力与机遇并行
网络安全监管的一场巨大变革,由国家网信办的两则公告猛然掀开了帷幕。
7月4日,网信中国发布信息,滴滴出行App存在严重违法违规收集使用个人信息问题,责令下架。7月5日,国家网信办宣布,运满满、货车帮、BOSS直聘三家公司被要求实施网络安全审查,审查期间,停止新用户注册。
7月16日,国家网信办又会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等部门联合进驻滴滴出行科技有限公司,开展网络安全审查。
这是自2020年4月,国家互联网信息办公室等12部门联合制定的《网络安全审查办法》发布以来,首批触发网络安全审查程序的企业。
企业们的紧张情绪尚未得到一丝缓解,紧接着,数则网络安全领域的重磅政策接连出台:
7月10日,《网络安全审查办法(修订草案征求意见稿)》发布;
7月12日,工信部官网发布《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》,并向社会公开征求意见及建议;
7月13日,工信部、国家网信办、公安部印发《网络产品安全漏洞管理规定》,自2021年9月1日起施行,要求任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动;
同在9月1日,《中华人民共和国数据安全法》也即将施行.....
密集出台的政策在为企业带上网络安全监管“紧箍咒”的同时,也带来了巨大的市场机遇。
“政府和企业的确越来越重视网络安全,最近几年,网安产业也呈现一个比较快速的增长态势。”某网络安全企业市场部门负责人向泰伯网表示。
《中国互联网发展报告(2021)》显示,2020年我国数字经济市场规模已达39.2万亿元,其中网络安全市场规模达1702亿元。
网络安全需求的增加,直接刺激了资本市场,并直接反应在网安领域上市公司的股价,以及初创公司的投融资情况中。
同花顺数据显示,自今年5月以来,同花顺网络安全概念指数累计涨幅已超过30%,十几只个股累计涨幅超50%。超过六成网安企业今年一季度实现净利润正增长,近三成企业净利润增长超100%。在已披露上半年业绩预告的网安企业中,超五成企业业绩预喜。
同时,今年以来已有60多家网安概念公司多次受机构调研,其中奇安信、启明星辰、天融信等网安企业均受到超过100家机构调研。
另据不完全统计,仅今年上半年,国内网络安全企业就已披露54起融资事件,涉及工控安全、工业互联网安全、数据安全、云原生安全、开发安全、云安全、零信任、安全运营等众多细分领域。其共有20家单笔融资金额达亿元级别。
非爆发式增长
更最令业界振奋的是,《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》中提出,到2023年,网络安全产业规模超过2500亿元,年复合增长率超过15%,同时要求电信等重点行业网络安全投入占信息化投入比例达10%。
据券商分析,目前国内网络安全占信息化的投入比例约为3%,而欧美等发达国家均在10%以上,部分超过15%。10%看似占比不多,实际蕴含着相当大的增长空间。
只是,期待中的爆发式增长或许不会出现。
“最近政策利好确实非常多,但并不是说市场需求会突然之间增长。”某头部网络安全企业态势感知专家李文(化名)向泰伯网表示:“每年业界都会有一个预测,通常增长幅度在20%左右,比较稳定。相关文件公布后,增长速度可能会加快,但也不太可能一下上升到30%-40%。”
目前,业界普遍看好的网络安全机会,往往都在数字城市这一框架之中。
正如360公司创始人、董事长兼CEO周鸿祎所言:“虽然数字城市提供了无限的想象空间,但是从安全角度来看,数字化程度越高,安全挑战越大。当整个城市都架构在软件之上,网络安全就不再是一个可有可无的辅助功能,而变成了特别重要的基础。”
只是,此前业界普遍看好的单纯政府侧数据安全需求,实际上已经相对成熟。
某省大数据局相关负责人苏晓(化名)向泰伯网介绍,目前该省在管理制度、技术、运维三方面已经具有较为健全的监管模式。在管理方面,该省出台了三年行动规划,厘清了数据权责关系;在技术方面,该省除日常的业务系统加密防护及24小时漏洞扫面、安全检查外,还会定期开展攻防演练;在运维方面,联合网信办、公安厅、保密局等部门形成联动网络安全格局,进行情报共享。
更大的机会仍然蕴藏在更深层次的行业应用,以及数字城市庞杂的交互领域之中。
“网络安全中,偏硬件的已经相对成熟,偏软件形态的可能还会出现更大的变化。”李文表示:“我个人认为,近期数据安全领域的机会比较多,而且,数据安全的概念也越来越细化。”
华安证券向媒体表示,汽车智能网联化的发展也带来了车联网安全的巨大需求,这一领域有望成为网安产业重要的新兴赛道,包括三六零、奇安信、启明星辰、安恒信息在内的头部网安企业均已积极布局。而头豹研究院则认为,物联网安全防护体系建设也将成为行业重要的发展趋势。
政策加速意识迭代
“单纯网安产业的增长还是次要的,最近几则政策最大的利好,其实是在于理清了各部门与网络安全供需企业间的权责关系,为大的互联网产业健康、良性发展打下了基础。”网络安全资深从业者王齐(化名)向泰伯网表示。
事实上,近几年无论从政府层面,还是企业、大众,都处于一个安全意识升级迭代的关键时期。而近期密集出台的监管及产业政策,则为相对应用市场发展速度仍显缓慢的意识迭代添加了助推剂。
“这几年的网络安全‘学费’交的够多了,从个人数据安全问题,上升到如今的国家数据安全问题,是到了该溯本清源的时候了。”王齐表示:“只有监管框架足够完善,才能让政府和企业在安全、可控的基础上,更加充分地发挥互联网的价值。”
在这个过程中,网安企业也面临全新的挑战。
奇安信集团副总裁张卓公开表示,《网络产品安全漏洞管理规定》(以下简称:《规定》)意味着我国将首次以产品视角来管理漏洞,通过对网络产品漏洞的收集、研判、追踪、溯源,立足于供应链全链条,对网络产品进行全周期的漏洞风险跟踪,实现对我国各行各业网络安全的有效防护。
他介绍:“《规定》中有相当大的篇幅都是对厂商和运营者提出漏洞收集和处理的规范要求,不能隐瞒漏洞、拒绝漏洞、否认漏洞,必须要积极承认、积极通报、积极报告、积极修复和处理、积极通知生态环境。包括厂商要积极开通接受漏洞信息的渠道、留存信息、确保及时修复、及时评估通知上下游、及时向官方通报、及时升级通报技术问题等。”
“当然,对于网络安全企业来说,利好还是大过于挑战,但对于部分互联网企业,尤其是希望赴美IPO的企业而言,网络安全将是非常大的考验。”王齐称。
据工业和信息化部新闻发言人、信息通信管理局局长赵志国介绍,工信部已组织广东、浙江、江苏、上海、天津、四川、安徽、内蒙八个省(市、区)的通信管理局,开展了六批次集中抽检,检查了76万款APP,通报748款违规APP,下架了245款拒不整改的APP,对违规行为继续保持高压震慑。
“高压震慑”这几个字,充分说明了目前网络安全的监管态势。
数字主权不容侵犯
“这两天,某公司接受网络安全审查的事情上了网络热搜,从这个例子可以看到,当数据积攒到一定程度,量变产生质变,那么数据安全便会影响国家安全。”周鸿祎表示。
赛迪智库网络安全研究所发布的《数据安全治理白皮书》显示,我国数据安全面临着七大挑战,包括重要数据安全面临外来攻击威胁加大、数据跨境流动带来国家安全隐患、国际数据规则制定话语权与我国互联网应用领先地位严重不匹配等。
当网络安全上升到“数字主权”,首当其冲受到冲击的,就是希望赴国外上市的大型企业。
前文所提网信办开展网络安全审查的三家公司,均在近期赴美IPO,且手握大量数据。
业内人士介绍,从2012年开始,美国证券交易委员会(SEC)就要求赴美上市的中国公司提交审计底稿。也就是说,美股上市企业需要披露包括设备供应商在内的信息,可能带来潜在的数据安全风险。
近日,国家互联网信息办公室发布关于《网络安全审查办法(修订草案征求意见稿)》(下文简称“审查办法”)公开征求意见的通知。其中第六条提到,掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
《审查办法》还明确,审查将重点评估数据处理活动以及国外上市可能带来的国家安全风险,比如“核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险;国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。”
国外也已出台相关监管规定。
比如,为保障数据主权,欧盟通过GDPR(通用数据保护条例)设立了严格的数据出境限制,将管辖原则扩展为“影响主义原则”,任何向欧盟居民提供商品或服务的企业都将受制于GDPR。美国则通过《澄清合法域外使用数据法》,授权美国监管、执法等部门通过国内法律程序调取美国公司储存在境外的数据,同时也允许其认可的“适格的外国政府”在放弃数据本地化的同时,向美国公司调取数据用于侦查执法。
可以看出,数据安全是各国家地区审查的重点之一,也是国家未来安全治理的重点关注问题。
“国家执法部门接连对互联网企业启动网络安全审查,是当前境内外复杂环境下,维护国家安全、网络安全、数据安全的重要举措,彰显了国家执法部门严格监管的态度与决心,为互联网企业敲响了合规发展的警钟。”德恒律师事务所撰文表示。