1、云安全行業(yè)概況

（一）云安全行業(yè)定義

云安全行業(yè)是云計算行業(yè)的分支，云安全即云安全服務，將云計算技術和業(yè)務模式應用于網絡安全領域，實現安全即服務的一種技術和業(yè)務模式。云安全服務融合了并行處理、網格計算、病毒行為判斷等新興技術和概念，通過網狀的大量客戶端對網絡中軟件行為的異常監(jiān)測，獲取互聯網中大流量攻擊、木馬、惡意程序、病毒等信息及攻擊流量，并傳送到云端進行自動分析，以云端直接處理或端云協(xié)同處理的方式完成安全防御。

云安全行業(yè)包括了云計算基礎架構的安全、云計算服務平臺的安全和云計算軟件的安全，具體包括數據、應用、傳輸、系統(tǒng)和網絡等各方面的安全，目前，云安全服務市場的提供商主要包括兩種類型，分別為云服務提供商和安全廠商。云服務提供商在多維度為用戶提供云上安全，如亞馬遜AWS、微軟Azure、阿里云等；安全廠商主要負責用戶側云安全，如McAfee、Palo Alto等。

（二）云安全產品結構

從責任共擔模型和云原生兩個維度出發(fā)，云安全產品可以大體分成三大類，分別為傳統(tǒng)安全設備的云化、云服務提供商（CSP）為配套云服務而提供的安全產品以及基于云原生應運而生的“新安全”產品和服務。

第一類是傳統(tǒng)安全設備的云化。在傳統(tǒng)的數據中心中，安全防護通常是通過在安全域入口部署專用的安全設備來實現的，比如防火墻、IDS、IPS等。在虛擬化的云環(huán)境下，傳統(tǒng)的安全防護設備不再發(fā)揮作用，因此出現了相對應的虛擬防火墻，虛擬IDS、IPS。

第二類是云服務提供商（CSP）為配套云服務而提供的安全產品。常見的有威脅檢測、云數據庫安全、API安全、容器和工作負載安全、用戶行為監(jiān)控、合規(guī)與風險管理等。

第三類是基于云原生應運而生的“新安全”產品和服務，也是目前發(fā)展前景最好的云安全產品，包括CASB（云訪問安全代理），CSPM（云安全配置管理），CWPP（云工作負載安全防護平臺）等。其中，CASB作為部署在客戶和云服務商之間的安全策略控制點，是在訪問基于云的資源時企業(yè)實施的安全策略。而CSPM產品通常使用自動化方式來解決云配置和合規(guī)性問題。CWPP作為一項以主機為中心的解決方案，主要是滿足這些數據中心的工作負載保護需求，因此，主要適用于IaaS層。雖然這三大產品在功能上有一些重疊，但是三者之間更多是起到互補的作用。

（三）云安全應用場景

云安全的應用需求場景主要可以分為電子郵件安全、web安全、身份識別與訪問管理（IAM）、遠程漏洞評估、安全信息與事件管理（SIEM）、應用安全測試和其他等。

圖表3：云安全應用場景圖片圖片

資料來源：公開資料，融中研究整理

2017年開始，電子郵件安全、Web安全以及身份識別與訪問管理（IAM）成為企業(yè)上云的三大優(yōu)先考慮事項，這些優(yōu)先事項的主要實現方法（包括SIEM、IAM技術以及新型技術與服務）是云安全服務市場增長的主要組成部分；威脅情報、基于云的惡意軟件沙箱、基于云的數據加密、端點保護管理和WAF等都屬于新興服務，新興服務是云安全服務市場增長最快的部分之一。

根據Gartner統(tǒng)計數據顯示，2019年IAM領域市場規(guī)模最大，占比達到38.40%，預計2020年仍然為云安全服務市場的最大板塊；其次是安全的網頁網關，市場規(guī)模約為11.20%；安全的電子郵件網關占比位于第三，市場規(guī)模占比達到10.4%。

2、云安全行業(yè)發(fā)展環(huán)境

（一）云安全行業(yè)政策環(huán)境

2016年以前，針對云安全行業(yè)的政策較少，行業(yè)政策大多只涉及云計算，云安全政策尚不健全。2016年11月7日，中國《網絡安全法》獲得通過，我國網絡安全管理的綜合法律體系建設正式起航，后續(xù)配套政策和規(guī)范性文件相繼出臺，包括《國家網絡安全應急預案》、《網絡產品和服務安全審查辦法（試行）》、《網絡關鍵設備和網絡安全專用產品目錄》、《個人信息和重要數據出境安全評估辦法（征求意見稿）》等，我國網絡安全法治體系建設加速開展。

“沒有網絡安全就沒有國家安全”網絡空間是國家主權的新疆域，網絡安全事關國家安全和國家發(fā)展，國家將網絡安全放在了更重要的位置。2018年3月中央網絡安全和信息化領導小組改為中央網絡安全和信息化委員會，簡稱“中央網信辦”，成為我國網絡安全工作國家層面的監(jiān)管機構，隨著國家網絡安全監(jiān)管機構的設立，網絡安全政策陸續(xù)實施，云安全政策也不斷出臺。

除相關政策外，網絡安全及云安全也同時被列入國家規(guī)劃重點發(fā)展方向，隨著“十三五”規(guī)劃逐漸落實，“十四五”規(guī)劃制定實施，有效拉動云安全產業(yè)的規(guī)劃和措施也不斷增多。如2018年8月，工信部及發(fā)改委提出的《擴大和升級信息消費三年行動計劃（2018-2020年）》、2019年4月工信部《關于工業(yè)大數據發(fā)展的指導意見》、2020年4月發(fā)改委、網信辦的《關于推進“上云用數賦智”行動培育新經濟發(fā)展實施方案》等規(guī)劃中均對推進云安全行業(yè)發(fā)展提出了具體措施。

對于云安全行業(yè)來說，近年來多項政策、規(guī)劃的出臺代表著中國逐漸認可云計算安全，是信息化發(fā)展的重大變革和必然趨勢。在政策上積極促進云計算創(chuàng)新發(fā)展，但也高度重視云計算存在的安全問題，并強調要制定云安全的相關標準以應對網絡安全問題，是我國云安全行業(yè)健康發(fā)展的保證。

（二）云安全相關行業(yè)現狀分析

1、網絡安全行業(yè)發(fā)展現狀

近年來，我國積極布局網絡安全，加快網絡安全市場布局，并采取一系列的重大措施以應對日益突出的網絡和信息安全問題，網絡安全市場進一步擴大，而云安全作為網絡安全的重要組成部分，也隨著網絡安全市場的不斷擴大而具備巨大的發(fā)展?jié)摿Α?

根據CNCERT統(tǒng)計數據顯示，2020年前三季度共檢測發(fā)現我國境內感染網絡病毒終端累計1191萬個，相比2019年同期798萬個上漲了49.25%。

層出不窮的國內信息安全事件給政府和社會公眾帶來了嚴重損失，網絡安全問題日漸突出，中國已經成為全球遭受網絡攻擊數量位列第二的國家，近幾年，伴隨互聯網的高速發(fā)展及物聯網、工業(yè)互聯網、云計算、大數據等新興領域和新興技術的快速發(fā)展，網絡攻擊形態(tài)更為復雜，同時為了應對日益復雜的網絡環(huán)境，網絡安全市場規(guī)模也日益龐大。

從黨的十八大以來，我國政府陸續(xù)出臺了《國家信息化發(fā)展戰(zhàn)略綱要》、《“十三五”國家信息化規(guī)劃》、《國家網絡空間安全戰(zhàn)略》、《軟件和信息技術服務業(yè)發(fā)展規(guī)劃(2016-2020年)、《信息通信網絡與信息安全規(guī)劃(2016-2020年)》和《中華人民共和國網絡安全法》等相關重要政策和法律法規(guī)，這為我國網絡安全行業(yè)的發(fā)展提供了發(fā)展動力。

國家網信工作持續(xù)發(fā)力，為網絡安全技術創(chuàng)新、網絡安全企業(yè)做大做強提供了寶貴機遇，也為網絡安全產業(yè)發(fā)展創(chuàng)造了更為優(yōu)越的政策環(huán)境，在行業(yè)技術不斷創(chuàng)新和企業(yè)大做強過程中，我國網絡安全產業(yè)進入黃金發(fā)展期。根據中國信通院2020年10月發(fā)布的《2020中國網絡安全發(fā)展白皮書》顯示，2019年我國網絡安全產業(yè)規(guī)模達到1563.59億元，較2018年增長17.1%，預計2020年產業(yè)規(guī)模約為1702億元，增速的為8.85％。網絡安全市場規(guī)模的持續(xù)增長也將會給云安全市場的發(fā)展提供良好的機遇。

2、云計算行業(yè)發(fā)展現狀

云安全行業(yè)的發(fā)展是伴隨著云計算市場規(guī)模的擴大而發(fā)展的。云計算行業(yè)的不斷發(fā)展為云安全行業(yè)奠定了堅實的基礎。根據中國信息通信研究院發(fā)布的《2020年云計算發(fā)展白皮書》數據顯示，2019年我國云計算整體市場規(guī)模達1334億元，增速38.6%；預計2020年我國云計算整體市場規(guī)模將會達到1781.8億元，繼續(xù)保持30%以上增速。

從細分市場來看，2016-2019年，公有云市場占比逐年提升，2019年為51.65%;私有云市場占比逐年下降，2019年為48.35%。2019年我國公有云市場規(guī)模達到689.3億元，私有云市場規(guī)模達到645.2億元，公有云市場規(guī)模首次超過私有云。預計2020年公有云市場將會進一步擴大，公有云和私有云市場規(guī)模分別達到990.6億元和791.2億元。

根據Gartner統(tǒng)計數據顯示，2020年全球IT支出總額預計將達到3.4萬億美元；中國IT支出總額預計將達到2.77萬億人民幣。從全球和中國云計算市場占IT支出比重來看，中國云計算市場占比IT支出比重遠低于全球水平，中國云計算市場未來仍有較大發(fā)展空間，從而帶動云安全行業(yè)的快速發(fā)展。

3、云安全行業(yè)發(fā)展現狀

（一）云安全行業(yè)現狀分析

云計算正在不斷改變組織使用、存儲和共享數據、應用程序以及工作負載的方式。但是同時也引發(fā)了一系列的新的安全威脅和挑戰(zhàn)。根據云計算安全聯盟（CSA）發(fā)布的《12大頂級云安全威脅：行業(yè)見解報告》，總結了數據泄露；身份、憑證和訪問管理不足；不安全的API等12大核心安全問題。其中，數據泄露、系統(tǒng)漏洞、數據丟失等問題是由來已久的傳統(tǒng)安全問題，而不安全的API、濫用和惡意使用云服務、拒絕服務、共享的技術漏洞等問題則是企業(yè)使用云服務所面臨的新的安全威脅。

面對傳統(tǒng)威脅的變革和新的網絡安全威脅和挑戰(zhàn)，基于自動化、遠程化、智能化的威脅檢測、攻擊防御等新興服務模式也逐步得到推廣和應用，帶動了網絡安全市場服務化轉型。從2018年開始，出現了更多針對云管理平臺、工作負載和企業(yè)SaaS應用額度供給，各安全企業(yè)也紛紛布局云安全防線，切實提供云服務安全應用，保護包含用戶信息的應用及服務免于侵擾。

根據賽迪顧問統(tǒng)計數據顯示，2018年，中國云安全服務市場規(guī)模達到37.8億元，較上年同比增長44.8%。隨著網絡安全市場規(guī)模的不斷擴大，云計算技術提升不斷為云安全行業(yè)奠定基礎，云安全行業(yè)具有廣闊的發(fā)展前景，根據前瞻產業(yè)研究院統(tǒng)計，2019年中國云安全市場規(guī)模達到55.1億元，年增長率為45.8%；預計到2021年中國云安全服務市場規(guī)模將達 到115億元左右，未來三年年均增長率為45.2%。云安全服務帶來網絡安全行業(yè)商業(yè)模式的變革，給市場注入新的活力和增量，云安全行業(yè)將成為網絡安全中極具發(fā)展前景的細分市場。

（二）云安全行業(yè)競爭格局分析

我國云安全市場的參與企業(yè)主要包括云平臺服務提供商、專業(yè)云安全解決方案提供商和傳統(tǒng)IT安全解決方案提供商。其中云平臺服務提供商涉及企業(yè)有阿里云、騰訊云、華為云等，專業(yè)云安全解決方案提供商涉及企業(yè)包括光通天下、途隆科技等，傳統(tǒng)IT安全解決方案提供商有亞信安全、綠盟科技、啟明星辰等。

中國云安全市場尚處于創(chuàng)新發(fā)展期，與海外云安全市場存在較大差異。從技術應用上來說，目前我國廠商尚處于追隨階段，大多數中國的安全廠商都聚焦在CWPP以保護客戶云安全。對于一些新興的云安全技術,CASB因為國內缺乏重量級的企業(yè)級SaaS而導致市場較?。籆SPM則因為國內的公有云相比私有云、行業(yè)云還是較少，尚未得到重視。但隨著國內公有云市場的加速發(fā)展，云原生技術的應用越來越廣泛，CASB、SCPM、SASE等新興技術在國內的應用也將越來越廣泛。

國內應用較為廣泛的云產品為以安全資源池為核心的云安全管理平臺。云安全資源池提供虛擬化的安全能力，如防火墻、WAF、IDS、IPS.堡壘機、數據庫審計等，并通過統(tǒng)一安全管理平臺對各類安全能力進行組織和編排,形成整體安全方案。國內安全池市場中奇安信集團以18.08%的市場份額領先，其次為深信服科技和安恒信息，市場份額分別為14.09%和13.19%。

4、云安全行業(yè)發(fā)展趨勢

（一）投資機會主要集中在產業(yè)鏈中游

隨著云安全產業(yè)鏈的不斷完善和市場規(guī)模逐漸擴大，云安全行業(yè)的投資機會主要集中在產業(yè)鏈中游，云安全行業(yè)產業(yè)鏈的投資機會將會逐漸向“梭型”演變。云安全產業(yè)鏈上游為云服務設備廠商和網絡提供商，未來投資機會適中，主要由于大部分云服務設備的技術含量不高，供給來源和規(guī)模較大，行業(yè)巨頭企業(yè)已經定型，投資產出有限。產業(yè)鏈中游的投資機會較多，因為現在“核心化”管理概念盛行，企業(yè)希望把有限資源用在最核心的技術上，包括研發(fā)資源、人力資源、渠道資源等。只有行業(yè)的核心技術不斷進步，才能推動行業(yè)的快速發(fā)展，所以中游云安全產品、服務及解決方案提供商技術革新快，目前競爭格局發(fā)生變革的可能性較大，技術將會引領資本方向，因此，云安全產業(yè)鏈中游未來投資機會較多。云安全產業(yè)鏈下游主要是在電子政務、地理信息化、電子商務、企業(yè)應用軟件、物聯網等領域的應用。隨著國家政策扶持和國內政府、企業(yè)的安全意識增強，云安全將成為以需求為導向的行業(yè)，故投資機會較少。

（二）智能安全推動云安全邁向人工智能時代

隨著我國云計算應用日益普及，用戶不再僅僅考慮“如何上云”，而更關注“如何安全上云”。目前，IaaS場景下除基礎環(huán)境的風險由云計算廠商承擔外，云主機、網絡、數據等層面的風險均由用戶和云計算廠商共同分擔。云主機作為IaaS場景下的基礎和核心產品，安全問題成為關鍵。由此，國內云安全市場形成了以云主機安全為核心，網絡安全、數據安全、應用安全、安全管理和業(yè)務安全為重要組成部分的格局。

隨著人工智能技術的不斷發(fā)展，國家和國內廠商日益重視人工智能與安全領域的深度融合。工業(yè)和信息化部印發(fā)的《促進新一代人工智能產業(yè)發(fā)展三年行動計劃(2018-2020年)》中指出，應“完善人工智能網絡安全產業(yè)布局，形成人工智能安全防護體系框架”。隨著智能安全需求的不斷增加，將會推動我國云安全行業(yè)邁向人工智能時代。未來AI云安全產品將以解決某一類安全問題為目標，將傳統(tǒng)的安全技術與人工智能相融合，聚焦某一類或幾類的數據，提供更智能化的分析、決策、預測和處理模式，突破傳統(tǒng)安全技術的局限。

（三）跨境數據管理為國內云安全新方向

在數字經濟時代，“數據”儼然已經成為企業(yè)重要資產和關鍵的生產要素。無論是“新基建”建設要求還是政策層面的發(fā)展規(guī)劃，均將數據納入了國家基礎性戰(zhàn)略資源。隨著云計算、大數據、分布式系統(tǒng)和國際數字貿易的飛速發(fā)展，跨境數據管理問題成為數字經濟國際規(guī)則的新焦點?！毒W絡安全法》第三十七條規(guī)定：“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業(yè)務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估?！彪S著云計算、人工智能等新技術的應用，數據管理模式也向智能化、云化的方向發(fā)展，因此，跨境數據安全管理將成為網絡安全尤其是云安全的新方向。