中国信息安全行业扶持政策及市场风险解读
一、信息安全行业扶持政策分析
◆《工业和信息化部关于加强电信和互联网行业网络安全工作指导意见》
2014年 8月 28日,工信部发布《工业和信息化部关于加强电信和互联网行业网络安全工作指导意见》,提出以完善网络安全保障体系为目标,着力提高网络基础设施和业务系统安全防护水平,增强网络安全技术能力,强化网络数据和用户信息保护,推进安全可控关键软硬件应用,为维护国家安全、促进经济发展、保护人民群众利益和建设网络强国发挥积极作用。
◆《网络安全法(草案)》
2015年6月24日人大常委审议的《网络安全法》草案是作为《国家安全法》增加网络安全内容规定后专门针对信息安全做出的专门立法。《网络安全法》草案从保障网络产品和服务安全,保障网络运行安全,保障网络数据安全,保障网络信息安全等方面进行了具体的制度设计。
草案涉及 14个国家关键信息基础设施,包括公共通信、广电、能源、交通、水利、金融、供电、供水、供气、医疗卫生、社会保障、军事网络、国家机关等领域,并规定了对关键信息基础设施的安全供应商进行安全审查的条件;要求网络运营者应当建立健全用户信息保护制度,加强对用户个人信息、隐私和商业秘密的保护;明确了相关责任主体的法律责任,覆盖网络运营商、关键信息基础设施运营者、网络产品、服务的提供者等责任主体,以及明确的相应处罚条例。
草案将成为具有真正指导意义的行业法规,有利于政府部门及其他相关单位在信息安全投入上更加常态化,是信息安全行业的最大利好。
国内从事信息安全行业的企业大致可以分为两大类:一大类是面向个人客户,另一大类是面向企业客户,由于客户类型的不同,各企业的商业模式也有所区别。
二、信息安全行业两大商业模式
图表1:中国信息安全行业主要商业模式简图
资料来源:前瞻产业研究院整理
三、信息安全行业市场风险分析
1、政策风险
由于信息安全关系到国家利益,计算机信息安全领域属于国家强制性保护行业,一方面国外产品很难直接进入市场,另一方面对国内企业来说,进入该行业必须通过相关主管部门的资质认证。从目前情况看,信息安全行业并不存在不利的政策性限制。但是,我国目前存在对信息安全服务多部门分头审查和管理的现象,因此,不能排除国家调整资质审查管理政策,从而影响企业业务正常开展的可能性。
2、技术风险
当今网络信息安全形势严峻,病毒危害正在不断加剧,隐私和机密数据成为网络攻击的主要对象,攻击者的隐藏和逃避技术更加高级。网络攻击者由好玩心重的年青黑客业余爱好者向更具犯罪思想的专业人员过渡,利益驱使的网络经济犯罪凸现,网络攻击的组织性、趋利性、专业性和定向性继续加强。不法分子攻击手段的提高一方面促使用户安全意识加强,对信息安全投入加大;另一方面也对企业安全技术升级提出更高的要求。
另外,信息安全行业是一个高科技、知识密集型的行业,产品科技含量较高,对核心关键技术研发能力、创新能力要求较高,保持技术竞争上的优势与技术人员、市场对技术需求程度、技术可行性等要求较高,这些因素都给企业带来了一定的管理难度,存在技术适应性不足、技术外泄或者核心技术人员外流等多种风险。
3、供求风险
信息安全行业发展前景看好,市场环境逐步成熟,市场规模迅速扩大,吸引了国内越来越多的企业,大量的新竞争者将随之出现,这些竞争者可能包括设备商背景的公司、研究机构背景的公司,竞争者的增加会带来价格下滑、服务质量要求提高、市场份额难以保持的风险。
另外,信息安全行业部分产品和服务业务开放程度的扩大,将吸引越来越多的境外资本、境外公司加入到行业的竞争中来。目前,国外信息安全技术服务市场已经比较成熟,存在诸多的技术服务提供商,如果这些服务提供商进入中国,则会对国内企业的技术服务业务造成一定冲击。
除了产品供求市场以外,信息安全很重要的一方面就是后续服务。企业销售范围的扩大以及用户对产品安全性和快速响应方面的要求,决定了快速及时的售后服务是业务运营的重要环节。售后服务一直以来是国内企业发展的弊端,信息安全还存在服务不到位的风险。
4、宏观经济波动风险
金融危机之后,虽然中国政府启动了四万亿投资和十大产业振兴计划,从短期来看,大量投资投向了基础设施建设,大规模IT建设存在1-2年的滞后期,信息安全产业的发展受该滞后期影响,业内企业也受到了较大的冲击。未来,世界经济依然存在不确定因素,受此影响,信息安全产业的发展并非坦途。
另外,在经济低迷时,各行业面临的信息安全风险可能更为严峻,如企业大量裁员引发员工情绪不稳可能导致IT安全隐患,涉及信息安全的违法活动可能会增加,政府和企业的高价值数据外泄危机可能加剧等。用户需要更为有效的措施来保障信息安全,从而更加关注信息安全产品和服务的价值。但企业经费的削减有可能造成信息安全计划与信息安全企业服务与价格体系相左,甚至造成信息安全计划的搁置,这将影响信息安全企业的正常运作。
5、关联产业风险
信息安全企业在生产中所需的硬件产品(如电脑、工控机、服务器等)、原材料等主要通过由供应商代工生产或市场招标采购等方式获得。目前,从事电脑、工控机和服务器生产制造的IT设备厂商较多,规模也较大,基本属于充分竞争的成熟市场,一般不存在产品供应瓶颈,但电子元器件和IT设备类产品的价格随着国家经济发展以及国际环境的发展会出现波动,当价格上升时会提高信息安全企业的采购成本,加大企业成本管理的风险。
6、其他风险
信息安全行业的客户包括政府机构、国有大型企业、银行等,这些客户大宗设备采购采取集中采购制度和预算管理制度,下半年制订次年年度预算和固定资产投资计划,其审批一般集中在次年上半年,设备采购招标一般安排在次年年中或下半年。这些大型的客户对信息安全企业发展有着较大的影响,一般业内企业上半年是销售淡季,下半年是销售旺季。这一特点使得行业的销售具有较强的季节性变化特征,存在季节性波动的风险。
