信息安全行業(yè)現(xiàn)狀與前景分析
處于大數(shù)據(jù)時代的今天�����,智慧城市�、物聯(lián)網(wǎng)、云計算����、3D打印、VR/AR����、人工智能等新生事物層出不窮,網(wǎng)絡(luò)信息安全的問題關(guān)乎到一個國家的戰(zhàn)略高度�����。信心安全成為推進產(chǎn)業(yè)快速、穩(wěn)定創(chuàng)新��,國民經(jīng)濟的升級轉(zhuǎn)型和蓬勃發(fā)展的重要保障���。目前����,中國信息安全產(chǎn)業(yè)針對各類網(wǎng)絡(luò)威脅行為已經(jīng)具備了一定的防護�����、監(jiān)管��、控制能力��,市場開發(fā)潛力得到不斷提升�。
信息安全產(chǎn)業(yè)是支撐和保障國家信息安全的重要基礎(chǔ),肩負著為國家信息化基礎(chǔ)設(shè)施和信息系統(tǒng)安全保障提供安全產(chǎn)品及服務(wù)的戰(zhàn)略任務(wù)����。傳統(tǒng)的依賴于邊界防御的靜態(tài)安全控制措施將逐漸被基于大數(shù)據(jù)分析的高級、智能安全手段所取代���。
隨著互聯(lián)網(wǎng)和信息技術(shù)高速發(fā)展,并全面滲透到經(jīng)濟和社會的各個領(lǐng)域��,信息安全問題也日益突顯,安全事件頻頻發(fā)生�,市場需求十分旺盛。
目前���,中國信息安全產(chǎn)業(yè)鏈中��,下游客戶主要為政府部門��、電信��、金融�、能源等信息化程度高且對信息較敏感的行業(yè)�。而在投入來源中,政府領(lǐng)域的信息安全投入占比最大���,接近三分之一����,其次是電信(18.7%)和金融(17.9%)領(lǐng)域�。信息安全以政府和大型國企投資為主,企業(yè)投入占比較低�����,這是因為信息安全的投入對于公司而言并不產(chǎn)生直接經(jīng)濟效益,主要起到防御作用���,只有出現(xiàn)網(wǎng)絡(luò)安全事件的時候才能凸顯其價值�。從市場格局上看����,中國信息安全市場呈現(xiàn)高度分散的特點。與全球成熟的信息安全市場相比���,中國信息安全產(chǎn)業(yè)的行業(yè)集中度明顯偏低��。前五名廠商的市場占有率合計為29%左右�,而全球市場為44%左右�,未來國內(nèi)市場集中度提升是大概率事件。
在產(chǎn)業(yè)結(jié)構(gòu)方面�,我國信息安全產(chǎn)品種類不斷健全,進一步完善了涵蓋數(shù)據(jù)傳輸安全���、網(wǎng)絡(luò)安全��、數(shù)據(jù)安全�����、應(yīng)用安全�、計算機安全���、安全管理中心(SOC)以及云安全等領(lǐng)域的產(chǎn)品體系�����。從安全芯片�、網(wǎng)絡(luò)與邊界安全產(chǎn)品����、數(shù)據(jù)安全產(chǎn)品、應(yīng)用安全產(chǎn)品到安全服務(wù)的信息安全產(chǎn)業(yè)鏈不斷趨于完善�。
我國信息安全產(chǎn)業(yè)發(fā)展需從國家、企業(yè)及用戶三個層面進行加強和完善�����。在國家層面����,要營造更加良好的產(chǎn)業(yè)政策環(huán)境��、加大對研發(fā)創(chuàng)新的扶持力度��、加強信息安全專業(yè)人才隊伍建設(shè)�、加大對骨干企業(yè)的培育和扶持�,并鼓勵其積極參與國際競爭;在安全企業(yè)層面,要加強對關(guān)鍵技術(shù)和產(chǎn)品的研發(fā)創(chuàng)新和產(chǎn)業(yè)化�,重視和發(fā)展信息安全專業(yè)服務(wù),加強與高校�、科研院所等的交流與合作;在用戶層面,要提供自身的信息安全防護意識����,在同等條件下優(yōu)先支持自主的信息安全產(chǎn)品及服務(wù)。
信息安全業(yè)務(wù)涵蓋范圍很廣�����,硬件��、軟件��、服務(wù)以及集成均有涉及���,由于信息安全業(yè)務(wù)類型多樣����,因而新興業(yè)務(wù)不斷出現(xiàn),但主要集中在新興市場領(lǐng)域��,如安全行為審計���、高性能UTM等。同時隨著行業(yè)競爭邊界擴大����,潛在競爭者將增多,主要是IT領(lǐng)域傳統(tǒng)的優(yōu)勢企業(yè)��,如微軟�、IBM等信息安全企業(yè)數(shù)量多,細分市場競爭較激烈�。得益于國內(nèi)信息安全市場的快速增長,國內(nèi)各類信息安全廠商也層出不窮�。
盡管行業(yè)內(nèi)廠商數(shù)量眾多,但由于目前信息安全市場的細分程度較高�,不同的細分市場領(lǐng)域有相應(yīng)的專業(yè)廠商,使得信息安全行業(yè)在全球范圍內(nèi)都未進入寡頭壟斷階段�,全球最大的幾家信息安全企業(yè)也是各有所長,如賽門鐵克在數(shù)據(jù)保護上技術(shù)領(lǐng)先���,思科和Checkpoint在安全網(wǎng)關(guān)��、防火墻上具有優(yōu)勢;瑞星��、卡巴斯基在防病毒軟件上領(lǐng)先�。
據(jù)中研普華研究咨詢報告《2021-2026年中國信息安全行業(yè)全景調(diào)研與發(fā)展戰(zhàn)略研究報告》數(shù)據(jù)顯示
中國信息安全行業(yè)技術(shù)發(fā)展分析
第一節(jié) 信息安全技術(shù)要素
一、物理安全技術(shù)的基本內(nèi)容及定位
信息系統(tǒng)的物理安全設(shè)計到整個系統(tǒng)的配套部件���、設(shè)備和設(shè)施安全的性能����、所處環(huán)境安全以及整個系統(tǒng)可靠運行等三方面��,是信息系統(tǒng)安全運行的基本保障�����。
硬件的抗電磁干擾能力����、防電磁信息泄露能力、電源保護能力以及設(shè)備振動��、碰撞����、沖擊適應(yīng)性等安全性能直接決定了信息系統(tǒng)的保密性����、完整性��、可用性�����。
信息系統(tǒng)所處物理環(huán)節(jié)的優(yōu)劣�����,如機房防火���、防水、防雷�����、防靜電����、防盜防毀能力�,供電能力�����、通信線路安全等���,直接影響了信息系統(tǒng)的可靠性��。
二����、密碼技術(shù)的基本內(nèi)容及定位
密碼學是信息安全等相關(guān)議題���,如認證�����、訪問控制的核心�����。密碼學的首要目的是隱藏信息的涵義��,并不是將隱藏信息的存在�����。密碼學也促進了計算機科學��,特別是在于電腦與網(wǎng)絡(luò)安全所使用的技術(shù)�,如訪問控制與信息的機密性。密碼學已被應(yīng)用在日常生活:包括自動柜員機的芯片卡����、電腦使用者存取密碼、電子商務(wù)等等�����。
傳統(tǒng)的加密方法是加密����、解密使用同樣的密鑰�,由發(fā)送者和接收者分別保存,在加密和解密時使用���,采用這種方法的主要問題是密鑰的生成�、注入、存儲��、管理�、分發(fā)等很復雜,特別是隨著用戶的增加����,密鑰的需求量成倍增加。在網(wǎng)絡(luò)通信中�,大量密鑰的分配是一個難以解決的問題。
例如���,若系統(tǒng)中有n個用戶�,其中每兩個用戶之間需要建立密碼通信�,則系統(tǒng)中每個用戶須掌握(n-1)/2個密鑰,而系統(tǒng)中所需的密鑰總數(shù)為n*(n-1)/2個��。對10個用戶的情況��,每個用戶必須有9個密鑰���,系統(tǒng)中密鑰的總數(shù)為45個�����。對100個用戶來說��,每個用戶必須有99個密鑰���,系統(tǒng)中密鑰的總數(shù)為4950個����。這還僅考慮用戶之間的通信只使用一種會話密鑰的情況��。如此龐大數(shù)量的密鑰生成����、管理、分發(fā)確實是一個難處理的問題����。
三、身份鑒別技術(shù)的基本內(nèi)容及其定位
身份識別技術(shù)采用密碼技術(shù)(尤其是公鑰密碼技術(shù))設(shè)計出安全性高的協(xié)議����。
(1)口令方式:口令是應(yīng)用最廣的一種身份識別方式����,一般是長度為5~8的字符串,由數(shù)字、字母�、特殊字符、控制字符等組成����。用戶名和口令的方法幾十年來一直用于提供所屬權(quán)和準安全的認證來對服務(wù)器提供一定程度的保護。
(2)標記方式:標記是一種個人持有物��,它的作用類似于鑰匙���,用于啟動電子設(shè)備��,標記上記錄著用于機器識別的個人信息�����。
四�、訪問控制技術(shù)的基本內(nèi)容及其定位
訪問控制指系統(tǒng)對用戶身份及其所屬的預先定義的策略組限制其使用數(shù)據(jù)資源能力的手段��。通常用于系統(tǒng)管理員控制用戶對服務(wù)器��、目錄����、文件等網(wǎng)絡(luò)資源的訪問���。訪問控制是系統(tǒng)保密性、完整性����、可用性和合法使用性的重要基礎(chǔ),是網(wǎng)絡(luò)安全防范和資源保護的關(guān)鍵策略之一��,也是主體依據(jù)某些控制策略或權(quán)限對客體本身或其資源進行的不同授權(quán)訪問��。
訪問控制的主要目的是限制訪問主體對客體的訪問�,從而保障數(shù)據(jù)資源在合法范圍內(nèi)得以有效使用和管理。為了達到上述目的���,訪問控制需要完成兩個任務(wù):識別和確認訪問系統(tǒng)的用戶����、決定該用戶可以對某一系統(tǒng)資源進行何種類型的訪問�。
訪問控制包括三個要素:主體、客體和控制策略�����。
(1)主體S(Subject)���。是指提出訪問資源具體請求�����。是某一操作動作的發(fā)起者���,但不一定是動作的執(zhí)行者,可能是某一用戶��,也可以是用戶啟動的進程�����、服務(wù)和設(shè)備等��。
(2)客體O(Object)����。是指被訪問資源的實體。所有可以被操作的信息��、資源���、對象都可以是客體���?��?腕w可以是信息、文件����、記錄等集合體,也可以是網(wǎng)絡(luò)上硬件設(shè)施��、無限通信中的終端��,甚至可以包含另外一個客體�����。
(3)控制策略A(Attribution)�。是主體對客體的相關(guān)訪問規(guī)則集合,即屬性集合�。訪問策略體現(xiàn)了一種授權(quán)行為,也是客體對主體某些操作行為的默認����。
五、惡意代碼防范技術(shù)的基本內(nèi)容及定位
圖表:惡意代碼防范技術(shù)
數(shù)據(jù)來源:中研普華研究院
信息安全行業(yè)未來五年發(fā)展趨勢如何,欲了解更多關(guān)于行業(yè)具體詳情可以點擊查看中研普華研究咨詢報告《2021-2026年中國信息安全行業(yè)全景調(diào)研與發(fā)展戰(zhàn)略研究報告》��。
信息安全基地園市場調(diào)研 2021年信息安全基地園行業(yè)前景及現(xiàn)狀報告 
研究院服務(wù)號
中研網(wǎng)訂閱號