2020网络安全行业市场发展趋势分析：防护对象的大幅扩充带来网络安全市场规

我国网络安全行业正在从充分竞争性市场向低集中寡占型市场转变。参考赛迪顾问数据，截至2018年底，我国共拥有网络安全企业2784家。自2017年以来，企业整体数量的增速已较此前有所放缓。但与此同时，市场的竞争格局却发生了较为明显的变化。参考中国网络安全产业联盟的数据，行业前4名与前8名的市场份额的集中度在近三年以来逐年上升，整个市场正在从早前的充分竞争性市场向低集中寡占型市场转变。

头部安全企业年收入陆续迈过20亿元大关，规模化效应已经开始显现。自2013年开始，市场出现一批年收入规模超过10亿元的头部安全企业，这些企业的合计营收占比也明显提升。2015年之后，部分头部安全企业的收入又开始迈过20亿元大关，同时合计营收占比也快速增长。2018年收入超过10亿元的安全企业合计收入占比已接近40%，行业的规模化效应已明显呈现。

1、大型央企集团等巨头参与行业整合

大型央企集团等巨头参与行业整合，主动加快市场集中度提升的进程。2015年以来，大型央企强势进入网络安全领域。尤其自2019年，网络安全行业发生了几件重磅事件，包括360集团正式剥离奇安信并由中国电子（CEC）接手，以及中国电科（CETC）接手绿盟科技和南洋天融信部分股权，将对整个行业产生深远的影响。我们梳理了近年来网安行业的大型央企集团等巨头在股权层面的重要运作：

2015年，中国电子科技集团（CETC）集合旗下三十所、三十三所、中电科技公司等单位成立中国电子科技网络信息安全有限公司，简称“中国网安”；

2019年，中国电子科技集团通过旗下投资基金通过承接协议转让+二级市场增持的方式，合计获得绿盟科技13.87%的股份，并成为其第一大股东；

2019年5月，中国电子信息产业集团（CEC）战略入股奇安信，以人民币37.31亿元的对价获得奇安信22.59%股份，成为奇安信第二大股东。双方将共同推进央企网络安全响应中心、现代数字城市网络安全响应中心和“一带一路”网络安全响应中心建设；

2019年，360集团在将奇安信股份出售后，宣布正式进军政企安全市场，构建安全大生态。积极寻求在政企安全市场的快速扩张，组建专业团队和集团组织架构，不排除通过合作开发、战略合作、投资、并购等方式迅速加强公司在政企安全市场的行业地位。

2019年12月，中国电子科技集团（CETC）通过电科网信，以协议转让的方式入股南洋股份5.01%，将天融信纳入其大安全战略版图，大安全布局更加完善，并成为上市公司的第三大股东。

从战略布局的驱动因素看，大型央企集团等巨头进军网络安全行业的原因主要包括：1）网络安全上升为国家战略，产业发展前景向好，符合其业绩增长需求；2）补齐产业链条，提供覆盖全流程全方位的整体安全能力；3）推进混合所有制改革，放大国有资本功能。通过战略布局，能够实现技术互补与资源共享，促进网络安全在信息产业全链条的渗透融合，带动产业技术创新，加速集群式发展。大型央企等巨头在成为国家网络安全产业的中流砥柱的同时，也将深刻改变产业竞争格局，主动加快市场集中度提升的进程。

大型央企等巨头进军网络安全参与行业整合的主要目的

资料来源：公开资料整理

2、政策：法律条例密集出台催化不断，产业规划驱动企业聚集式发展

基于《网络安全法》框架，后续细化的法规条例密集出台，催化事件层出不穷。自2017年6月《中华人民共和国网络安全法》正式颁布之后，行业真正有了框架性的法律纲领作为指引，后续包括《网络安全等保2.0》、《中华人民共和国密码法》、《关键信息基础设施安全保护条例（征求意见稿）》、《数据安全管理办法（征求意见稿）》、《网络安全审查办法（征求意见稿）》、《信息安全技术个人信息安全规范》等一系列细化性质的法律法规层出不穷，对行业构成了持续的催化。

图：网络安全法规政策加速落地构成持续催化

3、近年来网络安全行业主要法律法规及扶持政策

2013.07，工信部，《电信和互联网用户个人信息保护规定》，进一步完善电信和互联网行业个人信息保护制度，确电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的规则和信息安全保障措施。

2014.07，国家能源安全局，《电力行业网络与信息安全管理办法》，进一步加强电力行业网络与信息安全监督管理，规范电力行业网络与信息安全工作，明确电力行业网络与信息安全工作的目标是建立健全网络与信息安全保障体系和工作责任体系。

2016.12，国家网信办，《国家网络空间安全战略》，阐明中国关于网络空间发展和安全的重大立场，指导中国网络安全工作，维护国家在网络空间的主权、安全、发展利益。

2017.05，国家网信办，《网络产品和服务安全审查办法（试行）》，提高网络产品和服务安全可控水平，防范网络安全风险，维护国家安全

2017.06，全国人大常委会，《中华人民共和国网络安全法》，网路安全纲领性法律框架，保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益

2017.07，国家网信办，《关键信息基础设施安全保护条例（征求意见稿）》，详细阐明了关键信息基础设施的范围、运营者应履行的职责以及对产品和服务的要求，对政府机关，国家行业主管或监管部门，能源、电信、交通等行业，公安机关以及个人进行要求，明确关键信息基础设施范围，规定运营者安全保护的权利和义务及其负责人的职责

2018.03，中央网信办、工信部，《关于推动资本市场服务网络强国建设的指导意见》，推动网信事业和资本市场协同发展，保障国家网络安全和金融安全，促进网信和证券监管工作联动。

2018.04，全国信息安全标准化技术委员会，《大数据安全标准化白皮书（2018版）》，提出在新形势下我国鉴别与授权标准体系的发展设想，并对推动电子认证2.0发展，带动我国可信身份生态体系建设，对我国身份服务产业发展提出了建议。

2018.05，全国信息安全标准化技术委员会，《信息安全技术个人信息安全规范》，针对个人信息面临的安全问题，规范个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为，遏制个人信息非法收集、滥用、泄漏等乱象。

2018.09，公安部，《公安机关互联网安全监督检查规定》，明确了公安机关应当根据网络安全防范需要和网络安全风险隐患的具体情况，对互联网服务提供者和联网使用单位开展监督检查，以保障互联网服务提供者和个人合法权益。

2018.09，国家能源局，《关于加强电力行业网络安全工作的指导意见》，加强全方位网络安全管理，强化关键信息基础设施安全保护，加强行业网络安全基础设施建设，加强电力企业数据安全保护，提高网络安全态势感知、预警及应急处臵能力

2018.10，市场监管总局、国标委，《信息安全技术网络安全威胁信息格式规范》，对网络安全威胁信息进行结构化、标准化描述，以便实现各组织间网络安全威胁信息的共享和利用，并支持网络安全威胁管理和应用的自动化

2018.11，公安部网络安全保卫局，《互联网个人信息安全保护指引（征求意见稿）》，主要针对互联网企业，旨在指导其建立健全公民个人信息安全保护管理制度和技术措施

2018.12，网信办，《金融信息服务管理规定》，要求金融信息服务提供者应当履行主体责任，配备与服务规模相适应的管理人员，建立信息内容审核、信息数据保存、信息安全保障、个人信息保护、知识产权保护等服务规范。

2019.03，国务院，《中央企业负责人经营业绩考核办法》，对业绩考核的基本问题作出原则性、框架性政策规定，新增了对网安事件的考核要求。

2019.03，市场监管总局、中央网信办，《关于开展APP安全认证工作的公告》，规范了移动互联网应用程序收集、使用用户信息特别是个人信息的行为，加强了对个人信息安全的保护。

2019.05，工信部，《关于加强工业互联网安全工作的指导意见（征求意见稿）》，提出了工业互联网安全工作的总体目标，明确了工业互联网安全工作的七个主要任务，制定了工业互联网安全工作的两个专项行动。

2019.05，工信部，《网络安全漏洞管理规定（征求意见稿）》，规定第三方组织或个人通过各种方式向社会发布漏洞信息,应当遵循必要、真实、客观、有利于防范和应对网络安全风险的原则，不能夸大漏洞的危害和风险等。

2019.05，公安部、市场监管总局、国标委，《信息安全技术网络安全等级保护基本要求》2.0版本，将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处臵、自主可控、供应链安全、效果评价、综治考核等重点措施纳入等级保护制度并实施；将网络基础设施、重要信息系统、网站、大数据中心、云计算平台、物联网、工控系统、公众服务平台、互联网企业等全部纳入等级保护监管。

2019.05，国家网信办等多部委，《网络安全审查办法（征求意见稿）》，对关键信息基础设施运营者采购网络产品和服务方面提出具体要求。当发生严重危害关键信息基础设施安全的风险隐患时，应当向网络安全审查办公室申报网络安全审查

2019.05，国家网信办，《数据安全管理办法（征求意见稿）》，着重规范网络运营者对于个人信息和重要数据的安全管理义务。除境内数据监管外，对于来源于境外的数据安全风险和威胁，国家将采取一定监测、防御、处臵措施。

2019.06，工信部、北京市人民政府，《国家网络安全产业发展规划》，以园区带动产业发展，2020年带动一千亿产业规模，远期打造我国网络安全产业五大基地，确立了以北京作为国家安全战略支撑中心和基地，达到国际领先水平

2019.09，工信部，《关于促进网络安全产业发展的指导意见（征求意见稿）》，落实《中华人民共和国网络安全法》，到2025年培育形成一批年营收超过20亿的安全企业，网络安全产业规模超过2000亿

2019.09，中央网信办，《网络生态治理规定（征求意见稿）》，清晰定义了“网络生态治理”的涵义。高标准严要求，进一步细化落实网络安全法。 ️重点针对网络信息内容生产者、内容服务平台、内容服务使用者以及网络行业组织等网络生态群体，并对违规情形的处罚结果进行了细化。

2019.10，全国人大，《中华人民共和国密码法》，加强密码工作，国密、普密与商密分级管理。规范应用和管理，强化法律责任。保障保护公民、法人和其他组织的合法权益，维护社会公共利益。

政策多维度加码，防护对象的大幅扩充带来网络安全市场规模的显著扩容。以等保2.0为例，相较早前颁布的等保条例，定级备案的对象从信息系统增加到关键信息基础设施这一网络空间的层面，新纳入云计算平台、工业控制系统、大数据中心、大型互联网企业、移动互联网和物联网系统等对象。并从被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变。等级保护2.0基于《网络安全法》的顶层设计，结合“大物移云智”等新兴技术带来的IT架构的变化，在保护的思路上化被动为主动，更多向内容安全与数据安全方面倾斜，在工作内容、防护对象等方面明显扩容，有望对网络安全市场规模构成显著拉动。