近年来，我国在国家和地方层面不断出台信息安全相关的政策性法规文件，加强投入的力度，推动产业发展。2016-2018年，我国信息安全市场规模增速维持在20%以上；2018年我国信息安全市场规模达到495亿元，同比增长20.9%，保持快速增长，但仍处于追赶全球第一梯队的阶段。

　　一、信息安全产业概述

　　信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断等。信息安全主要包括五方面的内容，即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。在全球化数字资源日益完备、互联网信息鱼龙混杂的背景下，个人信息泄露、企业和国家机密信息受到威胁等事件频发，对信息安全产业发展提出了新的要求，信息安全产业因此也上升为国家层面的重要产业之一。

　　（一）数字经济时代来临，促进信息安全产品呈现多元化发展

　　当前，全球已经进入第三次技术革命的深化阶段，迎来以大数据、云计算、5G通信等多种前沿技术为代表的数字经济时代，朝着产业数字化、数字产业化的方向不断发展，带动数以ZB级的数据量产生。根据国际权威机构Statistics预测，预计2020年全球数据量将超过50ZB，加之5G网络架构更加开放，给信息安全带来了新一轮的挑战。

　　近5年来，全球范围内发生的大规模信息安全事件超过15件，涉及软硬件企业、政府、金融机构等多个领域，信息泄露给用户造成了巨大损失，也给网络攻击这一地下黑色产业链提供了滋生的土壤。因此，保护用户隐私，提高信息安全防护等级刻不容缓。

　　随着移动互联网的不断普及，信息安全不仅是国家、企业所重视的领域，个人用户的信息保护意识也应逐步增强。同时，随着网络技术不断发展，信息安全产业产品形态不断丰富，产业融合和一体化程度也不断提高。如今，信息安全产品已经从传统而单一的防火墙、VPN、杀毒软件和风险评估服务等独立产品形态逐渐发展为综合性的安全服务和IT治理、网络安全调查和取证、SCM安全内容管理、UTM统一威胁管理和信息安全管理体系建设等新兴领域，带动相关硬件、软件协同发展产品体系。从更加广义的产业发展趋势来看，信息安全产业最终将拓展到对整个IT生态链和网络空间的安全治理。

　　（二）各国信息安全政策持续加码，推动信息安全产业健康稳定发展

　　从全球范围来看，无论是技术、资金还是人才等方面，美国毫无疑问占据全球信息安全产业的龙头位置。目前，全球主要的信息安全厂商以美国企业为主，而法国、以色列、英国、丹麦、日本和俄罗斯等国的信息安全实力也不可小觑。

　　美国：产业龙头优势显著，政策多样构筑坚实体系。美国十分重视信息安全产业的发展，作为全球互联网发展最早的国家之一，从财政方面给予了强力的预算支持。自21世纪以来，美国高度重视信息安全，制定了大量有关信息安全的国家战略和法律法规，先后发布《网络安全国家战略》《网络空间安全国际战略》《网络空间安全行动战略》等重大战略政策，以及《信息自由法》《总统归档法》《反电子盗窃法》《计算机犯罪强制法》等一系列的法律法规，全方位构筑起国家信息安全政策体系。为落实《国家网络战略》中“加强联邦网络和关键基础设施的网络安全”的要求，美国出台多项信息安全相关法案。美国参议院于2018年12月通过《保护能源基础设施法案》；众议院于2019年1月引入《管道和液化天然气设施网络安全预备法案》，要求管理和预算办公室加大财政投入，以提高美国能源基础设施抵御网络威胁的能力；2019年2月，美国参议院推出《2019年网络安全披露法》；2019年4月，美国国会引入《州网络弹性法案》，支持各州扩大网络安全产品和服务采购，并为各州解决网络安全问题提供资金支持；2019年4月，美国国会推出《物联网网络安全改进法案》；2019年6月，美国众议院通过《物联网设备安全改进法案》，该法案通过提高政府物联网设备供应商的标准，利用政府的购买力来推动物联网安全市场的发展；2019年7月，美国众议院引入《网络安全漏洞修复法案》；2019年8月，美国参议院引入《网络安全诊断和缓解增强法案》等。

　　欧洲：推动重点领域资源整合，加速国家安全能力提升。近年来，欧盟加大对各成员国信息安全资源的整合力度，以增强整体网络安全能力。一是启动网络安全能力建设计划。2019年3月，欧盟宣布投资6350万欧元，汇集26个成员国的160余家大型企业、创新型中小企业、高校以及网络安全研究机构，共同构建欧洲网络安全专业分析网络，推动欧盟网络安全产业协同发展。该计划主要包含四方面内容：整合欧盟内部网络安全资源，增强网络安全管理能力；形成政府、企业、研究机构等相关方的网络安全评估框架，进行网络预警、案例分析等；面向医疗、能源、金融、政府等行业领域，推广最佳网络安全实践；研究制定欧盟网络共同治理框架。二是构建通用的网络安全认证框架。欧洲议会于2019年3月通过《欧盟网络安全法案》，首次明确提出欧盟网络安全认证计划，促进欧盟各成员国销售的认证产品、流程和服务满足统一的网络安全标准，为各成员国开发具有互操作性的网络安全产品提供便利。三是组织相关方开展网络安全演习。2019年4月，北约举行代号为“锁盾”的网络安全实战演习，组织法国、芬兰等23个国家的网络部队和大型企业的1200名网络安全专家参与，旨在强化各国在网络安全方面合作，提升网络安全事件应对和应急协同能力。

　　以色列：完善信息安全防御体系，多角度保障产业发展。近年来，以色列相关部门、知名企业网络系统频繁遭遇黑客攻击，对其信息安全造成严峻的挑战。为确保国家和国防信息安全，以色强化国家信息安全防御能力建设。一是出台相关政策措施，以色列在2010年便宣布启动国家网络计划，旨在对国家网络安全问题进行评估，从教育、研发、体系构建、防御措施及机构保障等方面就加强网络信息安全建设提出政策建议，并形成《提高国家网络空间能力》的政府决议。二是构建网络信息安全力量。以色列信息安全力量由网络安全防御部队和国家网络安全防御机构两部分组成，前者主要工作包括情报搜集、防御作战、进攻作战、软硬件信息安全、通信系统安全等细分领域；后者则由安全局、网络防御权力机构以及信息安全权力机构构成，主要工作有保护国家基础设施信息系统、重要金融资料以及政府网络、教育民众、统计分析等。三是加强信息安全领域研发，建立以色列网络实验中心，用于检验和坚定新型网络安全技术，以符合未来网络化时代的最新的信息安全要求。以色列多层级、多部门联合推动信息安全产业发展，对我国信息安全产业的发展提供具有实质性的参考价值。

　　（三）我国信息安全产业基础较为薄弱，仍处于积极追赶阶段

　　与全球发达国家相比，我国企业在信息安全投入力度方面存在一定差距，信息安全市场软件投入占比较低、硬件投入比重较高。参考海外市场的信息安全投入占比，以及我国“十三五”规划中的IT投入内容，未来我国信息安全产业还有较大的发展空间。同时，参考海外较为成熟的信息安全市场投资结构，未来软件服务将不断取代硬件成为产业发展的主要驱动力。2016-2018年，我国信息安全市场规模增速维持在20%以上；2018年我国信息安全市场规模达到495亿元，同比增长20.9%，保持快速增长，但仍处于追赶全球第一梯队的阶段。

　　我国现阶段信息安全市场建设量距离饱和尚有较大差距。2017年我国信息安全投入占IT总支出的比重仅为1.84%，相比于全球市场的3.74%和美国市场的4.78%，严重偏低。根据规划，我国计划在2020年形成10万亿元规模的信息技术行业，信息安全市场存在3-4倍的增长空间。

　　二、信息安全产业链分析

　　信息安全产业链主要包括信息安全产品提供商、信息安全服务提供商以及信息安全系统集成商。产品提供商可以分为硬件、软件产品以及服务提供商，一方面直接将产品/服务通过直销或分销的模式销售给下游客户；另一方面，可以将产品销售给信息安全系统集成商。而安全集成服务提供商则通常通过竞标的方式，参与到企业级用户大型IT系统的信息安全建设项目中，为用户提供产品和服务。

　　（一）上游：产品为主，囊括软硬件等多种品类

　　从信息安全产业链上游来看，主要由信息安全产品组成，信息安全产品按照大类可分为安全硬件、安全软件和安全服务三类，按照小类可分为十二类，囊括上百余种产品。安全硬件可以分为安全应用硬件和硬件认证两个领域，主要产品包括防火墙、VPN网关、入侵检测系统、入侵防御系统、统一威胁管理网关、令牌、指纹识别、虹膜识别等；安全软件分为安全内容与威胁管理、身份管理与访问控制和安全性与漏洞管理3个领域，主要产品包括防病毒软件、Web应用防火墙、反垃圾邮件系统、数据泄露防护系统、数字证书身份认证系统、身份管理与访问控制系统、安全评估系统、安全事件管理系统、安全管理平台等；安全服务主要包括咨询、实施、运维和培训。按照十二个小类来说，信息安全可分为基础设施安全类、终端安全、数据安全、应用安全、身份与访问管理、云安全、移动安全、网络空间安全、业务安全、工控安全、安全管理和安全服务。

　　信息安全产品的细分程度较高，不同的细分市场领域均有相应的专业厂商，安全厂商主要分为七大类，包括物理安全、网络安全、主机安全、应用安全、安全管理、移动与虚拟化安全和工控安全。

　　由于信息安全贯穿整个信息流链条，涉及几乎所有信息设备与软件，因此形成较为分散的产业格局，单个信息安全企业无法掌握全部的信息安全技术，只能根据自身的技术优势和渠道特点进行差异化定位和发展，选择部分细分领域参与竞争。

　　（二）下游：政企比重大，涉及B端领域较为广泛

　　从下游客户分类来看，信息安全下游主要是在政府、电信、金融等领域的应用，可以说，只要有信息交换的场景就存在信息安全的问题。从数据来看，军队、政府部门对信息安全的需求最为旺盛，其次是金融和电信等信息敏感行业，四者的占比分别达到32%、17%、16%和12%。

　　从用户类别来看，B端、G端用户对于信息安全的要求明显高于C端用户，由于企业、金融机构、科研院所、军队以及政府端对于信息的保密性要求很高，加之敏感信息数量繁多，因而每年在信息安全方面投入较大。在个人用户端，信息安全主要表现为网络诈骗、电话诈骗等对于个人财产的侵害，偶发事件较多，且涉及的损失相较B、G端用户很小，因此对于信息安全投入也较小。随着密码学、网络安全、法案政策的不断完善，个人端信息安全已经基本实现可控。

　　（三）产业政策：政策频发保障产业有序发展

　　政策是产业稳定发展的根本保障，合规性政策陆续出台提升了信息安全产品和服务的发展空间。近年来，我国在国家和地方层面不断出台信息安全相关的政策性法规文件，为产业发展保驾护航。

　　三、信息安全产业发展趋势

　　（一）软件服务将成为产业增长驱动力

　　随着新型技术持续创新和融合，信息安全产业也会随之转变。AI+物联网、边缘计算和数字化结合使用，提供了高度集成的智能空间；5G网络的普及，提出了软件定义网络（SDN）和网络功能虚拟化（NFV）新概念；网络架构更为开放，在软件层面上的信息犯罪和信息泄露行为风险逐渐增加。网络的深化应用引发技术与模式的变革，推动了信息安全关键技术的创新，并诱发新技术与新应用模式的产生，如安全中间件、安全管理与安全监控都是未来重点的方向。同时，软件服务将逐步替代以往主流的硬件信息安全产品，成为更加系统化、标准化的新系列，为政府、企业和个人提供更加贴身的定制化功能。

　　（二）云安全、工控安全等新需求将不断增加

　　随着企业信息化发展不断提速，产业数字化、数字产业化已经成为业界共识，尤其在工业和制造业领域，智能制造、工业互联网、工业机器人等多种多样的产品正在加速朝着更加智能化、更加数字化和标准化的方向发展。未来，在云计算、大数据和工业互联网的成熟模式下，智慧工厂、智慧车间、智慧城市等多种场景应运而生，带来更加庞大的数据产出、数据传输，相关领域的信息安全需求进一步得到释放，为产业提供新的发展机会。

　　（三）政府信息安全采购力度有望不断加大

　　政府作为国家行政机关，其信息系统安全与国家安全紧密结合在一起，信息安全的可用性、可控性尤为重要。目前，随着电子政务不断发展，政府上网已逐步进入加速阶段，政务公开、资源贡献、网上公文等是政府信息化的必然趋势，因而将涉及到更多信息安全的问题，也为信息安全产品提供商和系统服务提供商打开了新的市场空间。从政府层面来看，为了避免敏感信息的泄露，将通过招投标、政企共建等方式进行新一轮的信息安全产品/服务采购工作，推动信息安全市场和产业规模进一步扩大。

　　四、对信息安全产业发展的几点建议

　　（一）政府：加强保障措施建设，有利于支撑信息安全产业发展

　　目前，我国信息安全产业发展在全球范围内仍处于跟跑态势，每年信息安全投入占IT总投入比重与全球产业成熟的国家相比，仍存在较大的差距。而政策是产业发展的根本保障，产业因政策的加持则会更加快速稳健发展。从政府层面来看，已经将信息安全作为重点工作，因此要借助目前电子政务、工业互联网、物联网等多场景落地应用的机会，不断出台信息安全产业的相关财政保障、人才吸引、技术研发等“产、学、研、用”方面政策措施，支撑信息安全产业稳定发展，给予中小微信息安全企业更多的关注和扶持，实现对领先国家的追赶超越。

　　（二）企业：加快信用体系建设，适应新经济时代信息安全新要求

　　随着信息化的不断发展，政府对信息资源的依赖程度逐步提高，保护信息安全也成为企业的重要工作之一。而信用体系的构建是企业发展信息安全的重要基础工作。在网络和新兴技术不断发展的情况下，信用体系不再是简单的目标构建、组织体系构建以及管理运行等环节，更要适应新时代新经济形态下的信息安全体系构建，包括技术的更新和模式的探索，达到规避信息漏斗风险的目的。

　　（三）投资机构：借力科创板，积极寻找潜力标的进行理性投资

　　信息安全上升为国家战略，催生出一批企业如雨后春笋般产生。在大型企业方面，中国电子、中电科分别入局信息安全领域，力争占据早期市场。同时，科创板鸣锣开市，为中小企业提供了注入资本的良好机会。未来，我国信息安全市场较为广阔，发展空间相对较大，因此投资机构可根据自身情况对赛道潜力企业进行布局，筛选标的并理性注资。

　　北大科技园创新研究院依托北京大学强大的科学研究实力，融合北大科技园丰富的科技服务运营经验与高端专业人才优势，专注于科技园区运营、区域经济发展及前沿科技领域产业研究，面向政府与企业级客户提供宏观创新发展研究、行业标准制定、创新战略咨询及科技产业发展跟踪等具有前瞻性的研究咨询服务。

来源：《中国高新技术产业导报》