1.3 中美技术布局相近,我国软件服务有望爆发
威胁迫使技术发展,“爱因斯坦”总结发展历程。自千年虫、“911”等威胁之后,美国当局意识到了网络安全技术的重要性,提出了爱因斯坦计划(目前美国国防局的防护体系)。爱因斯坦计划经历了 3 个阶段,各阶段采用了渐进式迭代开发的方法,分解为了不同的子系统(Blocks),代表了网安技术史上各个必要的发展环节。每个子系统在前一子系统的基础上逐步增强。我们认为,此计划演变过程是网安技术发展的缩影。
从分析到反制,技术有序迭代。
第 1 阶段计划使用 TCP/IP 传输协议中的数据包(Packet)进行动态\深度流量分析(DFI)来探测端口等的异常状态,这些信息主要包括病毒、异常行为、配置管理等。这些信息的收集和分析用于识别和响应网络威胁与攻击,形成了初步的态势感知。
第 2 阶段计划核心为 IDS 技术:通过在联邦机构的端口处部署传感器来收集数据包,并利用深度包解析(DPI)读取数据内容并分析识别。数据包括源 IP、目的 IP、源端口、目的端口、协议类型、包数量、字节数等 13 类信息。系统会将其与已知的恶意行为特征进行比对,进一步探知威胁。
第 3 阶段计划建立了主动防御体系,使硬件产品进行信息共享,能够实时自动地检测网络威胁并在危害发生之前做出适当的响应。其 IPS 部分可对政府机构的互联网接口进出的双向网络流量进行实时的全包检测(Full Packet Inspection,FPI)及威胁决策分析。
不同于一般的 IPS,“爱因斯坦”在电信运营商处(ITCAP)部署了传感器,能够实现在攻击进入政府网络之前就进行分析和阻断。计划主要解决钓鱼、僵尸网络、DDoS 以及其他恶意代码的插入等网络空间威胁。
与美国路径相似,我国构建体系化动态防御。
我国网络安全产业经历了三个主要发展阶段:
第一阶段:1990 年到 2000 年前后,我国处于被动应对式防护阶段,特点为单点和被动防御,主要需求为病毒预防和查*。具体技术为黑名单机制:先以人工分析病毒的特征码,之后在电脑里通过扫描文件进行匹配、查*;
第二阶段:2000 至 2015 年,我国处于静态综合式网络纵深防御阶段。此阶段中,安全产品从独立部署、解决单一安全问题,发展为系统建设、统一管理信息安全的平台;
第三阶段:2015 年-至今,我国处于动态积极防御阶段,以数据为重要驱动力,以大数据、云计算和人工智能为核心技术。有了人工智能、机器学习等技术的加持,NGFW、威胁感知、安全事件管理等产品不仅提升了防护能力,也降低了成本。我们认为,两国的技术迭代过程相似,但有了美国的经验,我国发展速度会更快。
产品结构待优化,软件服务比例有望提升。
根据赛迪咨询数据,2021 年网络安全行业产品结构中硬件占比为 41.3%,呈逐年下降趋势;而软件及服务类产品占比持续提升。我们认为,由于“云大物工移智”几大应用场景的拓展,未来安全软件与服务支出将持续增加。
根据 Gartner 数据,2021 年全球信息安全细分赛道支出占比中,网络安全设备仅 11.3%,而我国硬件设备占比为 41.3%,软件服务产品占比提升空间巨大。对比全球细分赛道占比,我们认为,硬件设备占比将进一步下降,软件与服务的占比呈主导地位。
根据 Gartner 的全球信息安全细分赛道占比,我们测算,未来我国网安产业规模在达到 3500 亿元规模时,安全服务规模约 1700 亿左右,云、身份管理、数据安全等软件产品规模约 1244 亿元,硬件设备产品规模为 396 亿元。其中,根据计世资讯数据,我国云安全市场 2021 年已达 117 亿元,年复合增速 45.7%。由于云安全规模目前占比较低且数字产业的云化趋势,我们测算,2024 年云安全市场有望达 364 亿元,约占总产业规模的 15%。(报告来源:远瞻智库)
