網絡安全行業，正迎來頂層規劃及法律法規的密集發布。

    7月份以來，《網絡安全產業高質量發展三年行動計劃（2021-2023年）（征求意見稿）》（以下簡稱《行動計劃》）發布，《網絡安全審查辦法（修訂草案征求意見稿）》（以下簡稱《審查辦法》）也在公開征求意見，《網絡產品安全漏洞管理規定》和《數據安全法》將于9月1日正式施行。

    工業和信息化部最新公布的統計顯示，今年上半年，網絡信息安全產品和服務共實現收入732億元，同比增長26.0%，增速較一季度提高1.2個百分點，更是超過《行動計劃》中提出的15%年均增速目標。

    政策推動之下，網絡安全產業的新一輪景氣周期正加速而至。

    網絡安全行業預期規模擴容

    按照《行動計劃》的目標，到2023年，網絡安全產業規模超過2500億元，年復合增長率超過15%。相比2019年的規劃，目標規模擴容了25%。

    這一增速目標，讓騰訊安全戰略發展中心行業安全專家組負責人陳顥明“眼前一亮”。

    “《行動計劃》提出，電信等重點行業網絡安全投入占信息化投入比例要達10%。此前，網絡安全在部分地方的安全發展規劃中有所提及，但這次征求意見稿，則是從全行業的角度進行了規劃，對整個行業將有極大的推動作用。”他說。

    和陳灝明一樣，接受記者采訪的多位業內人士表示，此次《行動計劃》是繼“等保2.0”（即“網絡安全等級保護制度2.0國家標準”）發布之后又一網絡安全領域的國家頂層政策，網絡安全的國家戰略地位得到進一步鞏固。

    2019年，工業和信息化部出臺《關于促進網絡安全產業發展的指導意見》提出，力爭到2025年，網絡安全產業規模將超過2000億元。

    最新的《行動計劃》則有新的目標：2023年，網絡安全產業的規劃目標將超過2500億元。對比而言，不僅時間提前了兩年，目標規模也擴容了25%。

    數據安全市場有望成為新藍海。9月1日，《數據安全法》將正式施行。對此，奇安信集團總裁吳云坤表示，《數據安全法》作為數據領域的“上位法”，確定了數據流轉過程中組織、個人的安全責任和義務，明確了監管要求。

    同時，《數據安全法》明確了政府、企業、社會相關管理者、運營者和經營者的數據安全保護責任，消除數據活動的“灰色地帶”，形成制約機制，及時遏制住與國計民生相關的數據隨意共享和流轉的不良勢頭。

    “這將確保城市的管理運營者、關鍵基礎設施的運營者、企業經營者等相關數據運營方，把數字化轉型過程的安全作為首要前提，在數據采集、共享、流轉和應用等環節中，加大對數據安全的投入，完善保護體系，提升數據安全能力和水平。”吳云坤表示。

    規劃不斷出臺，行動逐步落實。2019年至今，工業和信息化部已責令2000多家違規APP運營商進行整改。2021年以來，包括作業精靈、極速體育、高旅縱橫在內的約250款APP被下架處理。

    7月下旬，在前期APP專項整治的基礎上，工業和信息化部又啟動了為期半年的互聯網行業專項整治行動（下稱“專項行動”），其中，擾亂市場秩序、侵害用戶權益、威脅數據安全、違反資源和資質管理規定等是重點治理內容。

    安恒信息相關負責人向上海證券報記者表示，政策紅利為網絡安全產業打開了新的增長空間，頭部企業肩上的責任則在加碼。一系列監管制度的出臺，從政策層面強化了網絡安全管理，對相關企業的產品和服務、系統化建設等提出了更高要求，促使網絡安全企業持續提升科研實力。

    地方規劃重點建設加碼

    網絡安全也被地方政府納入“十四五”規劃的重點建設范疇。在5G安全、云安全、AI和數據安全方面，具有關鍵領域專項技術優勢的公司將大有可為。

    日前舉行的2021世界人工智能大會安全高端對話會上，上海市經信委軟件和信息服務業處處長裘薇透露，正和相關部委辦協商，在今年發布的網絡安全“十四五”規劃以及即將發布的網絡安全產業行動計劃中，進一步明確政府和公共企事業單位在網絡安全上的投入比例不低于10%。

    此外，安徽省正組織編制“十四五”網絡安全和信息化總體規劃及網絡內容建設、網絡安全、信息化等專項規劃；《浙江省數字經濟發展“十四五”規劃》提出，加強重點行業網絡安全防護，提升網絡安全態勢感知、主動防御、監測預警、安全防護能力等；《廣東省數據要素市場化配置改革行動方案》近日出爐，成為全國首份數據要素市場化配置改革行動方案，預計到2021年底，廣東省內初步構建起統一協調的公共數據運營管理體系等。

    華創證券發布研報稱，在下游需求釋放方面，政府和公共企事業單位為建設重點。產品需求上，結合我國正逐步邁入主動安全防御時代、“云大物移”蓬勃發展，對云安全、物聯網安全等新場景解決方案需求較大，對能夠融入大數據、人工智能技術提升主動防御能力的產品有迫切需求。

    相關網絡安全上市公司高管表示，作為新基建的重要支撐，網絡安全相關規劃在上海、廣東等地率先落地，將帶動全國范圍加大發展網絡安全產業的趨勢。“十四五”期間，網絡安全產業將作為地方的支撐產業獲得更多支持，產業聚集效應將更加顯著。

    “政策紅利為網絡安全產業打開了新的增長空間，地方性規劃的陸續推出，將進一步激活網絡安全產業的發展。”安恒信息相關人士分析稱，近年來，我國云計算、大數據、物聯網等新技術的快速發展，在推動新興技術市場不斷增長的同時，也催生了新的安全需求和新的應用場景。新技術、新場景下，防護對象改變，企業網絡邊界逐漸消失，政府和企業網絡信息安全防護理念發生較大變化，網絡信息安全不再是被動的修補模式，而是與信息系統建設同步規劃。尤其是多云共存、混合云為主的場景，使云安全等領域獲得更多關注。

    未來，網絡安全產業的機會將主要集中在哪些方面？陳顥明向記者分析稱，目前，不少地市將網絡安全作為“十四五”規劃的重點內容，持續扶持網絡安全行業，具有生態引領能力的領航企業將獲得鼓勵，有專精特新技術優勢的創新企業將獲得支持。

    7月19日，工業和信息化部網站公示第三批專精特新“小巨人”企業名單，永信至誠等多家網絡安全服務“小巨人”企業上榜。陳顥明表示，在5G安全、云安全、AI和數據安全方向，面向新設施、新要素的安全設施和產品服務，將擁有廣闊的市場空間，具有關鍵領域專項技術優勢的創業公司將大有可為。

    龍頭公司發展勢頭高漲

    從已發布的業績預告看，大多數網絡安全板塊的上市公司上半年營收增速超過20%，顯示了行業需求旺盛的趨勢。網絡安全龍頭企業更是增勢強勁。

    記者梳理相關公司公告顯示，今年上半年，啟明星辰營業收入同比預增約60%，較2019年同期增長約37%；衛士通新簽合同、銷售收入及回款等指標均大幅上升，預計收入同比增長約95%；美亞柏科營收預增20%至35%，同期凈利潤預增100.35%至127.07%，公司軍工、刑偵、企事業等細分行業新簽訂單均較去年同期增長；中孚信息實現營業收入約3.64億元，同比增長約107%，在主機與網絡安全產品、檢查檢測產品快速增長的基礎上，數據安全產品高速增長，公司上半年預計將扭虧為盈；數字認證同樣預計扭虧為盈，公司預計上半年實現營業收入2.9億元至3.1億元。

    此外，數據安全市場的增長潛力也引發了不少公司的前瞻性布局。

    中孚信息布局了數據分類分級、標識、防護、監管等產品，形成了數據全生命周期管控解決方案；北信源與華為在大數據與人工智能、互聯網通信、移動辦公、數據安全、云計算等領域深入合作；安恒信息日前發布數據安全整體解決方案，包含CAPE數據全生命周期防護體系、數據安全咨詢服務體系、AiLand數據安全島、AiTrust零信任解決方案、AiDSC數據安全管控平臺、EDR與數據勒索防護等六大產品服務。

    新變化構建行業新格局

    在數字化轉型過程中，企業希望云服務的供應商能夠同時提供云安全的服務。因事關網絡安全，相關公司赴海外IPO的政策也有了新規定。

    “新的監管政策下，不僅企業安全服務的采購邏輯將發生改變，企業的品牌口碑、行業影響力，乃至一些企業的組織結構也都將會產生調整。首席數據安全官、首席風險官等職務，將不斷產生，并將發揮關鍵職能。”陳顥明預測道。

    據了解，在與客戶溝通時，多家網絡安全公司負責人已經明顯感受到企業對數據安全的關注度在大幅提升。

    陳顥明分析稱，不少企業正在找騰訊及其安全生態合作伙伴進行數據安全的規劃和評估，涉及企業生產、供應鏈和軟硬件產品的安全管理和系統開發的全過程安全，金融、電信、能源、交通類企業更為明顯。

    “在數字化轉型過程中，企業希望云服務的供應商能夠同時提供云安全的服務。數據安全領域的檢查要求不斷提升，加密算法的更新改造，以及敏感數據的分類分級保護等服務需求也在明顯提升。”陳顥明說。

    此外，因事關網絡安全，相關公司赴海外IPO的政策也有了新規定。《審查辦法》對赴境外上市的公司作出了特殊規定，要求掌握超過100萬用戶個人信息的運營者赴國外上市，必須向網絡安全審查辦公室申報網絡安全審查，且在申報材料中應提供擬提交的IPO材料。

    在審查關注的國家安全風險方面，針對赴國外上市行為新增了兩條：一是核心數據、重要數據或大量個人信息被竊取、泄露、毀損以及非法利用或出境的風險；二是國外上市后核心數據、重要數據或大量個人信息被國外政府影響、控制、惡意利用的風險。

    中國信息安全研究院副院長左曉棟，長期參與我國網絡安全重大政策法規研究起草工作。在他看來，即使沒有網絡安全審查制度，相關企業也應該重視這項工作。因為《數據安全法》第三十條已經對重要數據處理者規定了“定期開展風險評估”的義務。《個人信息保護法（二審稿）》第五十四條也規定了“合規審計”的義務，第五十五條規定了“事前進行風險評估”的義務。

    因此，可以明確的是，從現在起，所有的數據處理者，特別是掌握了批量個人信息或重要數據的大型互聯網企業、公共服務機構，以及已經在國外上市的互聯網企業，要自行組織或者委托專業機構對本企業數據處理的合規性，特別是其數據處理是否可能影響國家安全，抓緊開展自查。