市场洞察报告：民营第三方网络安全服务

《民营第三方网络安全服务》 前言 近年来，在“安全合规”与“实战化需求”两大驱动力的共同助力下，数字安全行业迎来快速发展期。安全设备、安全工具、安全平台等各类安全产品在不同行业、不同规模的机构用户中得到广泛部署。 然而，数字安全的碎片化、动态化等本质决定着，“服务化”成为贯穿于机构用户安全咨询、安全建设、安全运营全流程的刚需，加之国内不同行业间安全发展不均衡、安全团队水平参差不齐、安全人才紧缺等因素，导致本应与安全产品相配套的安全服务明显滞后，机构用户中仍存在着大量的安全服务需求。 需求方既包括安全建设水平相对高一些的大型关基行业用户（实战化需求），也包括处在安全建设相对初期的行业用户（合规需求）。前者的需求大部分由提供安全产品的安全企业配套提供，后者则由区域型或行业性的专业安全服务提供商来满足。提供的安全服务有信息系统等级保护、商用密码应用安全评估、信息系统安全评估，以及安全咨询、安全运维、安全监理等，分别满足不同用户的实战化安全需求与安全合规需求。 伴随信息安全测评与认证、信息安全运营等服务需求近年来的快速增长，2022年发布的新版的国家标准《GB/T 30283-2022信息安全技术信息安全服务分类与代码》在传统分类信息安全咨询服务、信息安全培训服务等基础上，扩展增加了信息安全测评与认证、信息 安全运营等服务分类，这无疑会更好的规范和引导信息安全服务市场。 在上述背景下，经过多年发展，行业中已经涌现出一批优秀的第三方网络安全服务提供商，形成了一个“既传统又创新”的细分市场——第三方网络安全服务。本报告将针对这一细分市场进行调研，尝试梳理其市场现状，洞察其市场趋势。 市场现状 目前，国内提供服务的安全企业众多。大致分为三类：第一类是国家各职能部门、科研院所或大型央国企下辖的安全服务机构，即业内俗称的“国家队”；第二类是头部综合型安全企业，此类企业大部分已经上市，在各地组建有安全服务团队，为各地机构用户提供服务支撑，其服务的特点是，大部分服务是与该厂商自研的安全产品配套提供的；第三类是以第三方网络安全服务为主营业务的民营企业，此类服务商以网络安全认证、检测和风险评估为主营业务，辅以配套的安全测试、安全运营和安全咨询等服务，一般具有明显的地域特征，在当地有更加稳定的安全服务团队，但也有极少数企业在全国范围内开展业务。 本报告主要针对第三类民营企业进行市场调研与统计。此类企业不同于前两者。首先其身份属于民营企业；其次其交付的服务不与某一家、两家安全企业的安全产品绑定；最后，其服务内容以等保、密评、安全评估与测试等为主，满足的是大部分机构用户的合规类需求， 目标是提升国内整体安全行业的“底线”。 服务内容 本报告所描述的民营第三方网络安全服务包括信息安全咨询、信息安全工程监理、信息安全测试、信息安全风险评估、信息安全运营以及等级保护测评、密码测评服务，不包括安全集成、安全培训、安全意识教育等服务。 基于2022年发布的新版的国家标准《GB/T 30283-2022信息安全技术信息安全服务分类与代码》，各项服务定义如下。 市场规模 根据《中国数字安全产业年度报告（2023）》中统计的数字，2022年度国内数字安全市场规模为981.2亿元，其中安全服务收入约占总收入的12%。 据数世咨询不完全统计，2022年度民营第三方网络安全服务的市场规模约为50亿元，约占国内安全服务收入的42%，其中北方实验室市场占比位居第一。 其中主要头部企业（按照营收1亿元以上计），收入在1亿至2亿左右规模不等，差距并不明显，且主要头部企业营收之和占比仅占整个民营第三方网络安全服务市场规模的20%，市场格局总体较为分散。 注：需要再次说明的是，本章节及图表中“第三方网络安全服务商”指以等保、密评、安全测试与评估等安全服务为主营业务的民营企业。相关市场规模统计，也仅以上述服务提供商为主要统计对象。“国家队”、以安全产品为主营业务的安全企业均不在本统计范围内。 洞察 第三方安全服务市场具有明显的区域性特点 在调研中我们发现，民营第三方网络安全服务市场具有明显的区域性特点，即某个区域的第三方网络安全服务大多集中在两到三家规 模较大的服务提供商手中，同时这两到三家服务提供商的大部分业务也都集中在该区域。不同区域间的第三方安全服务供需间很少有合作交集。 第三方安全服务的核心基础在于资质的更新与维护 等级保护、商用密码应用评估以及新近出现的数据安全相关安全服务，需要服务商具备相应的安服资质。资质对应的是服务商对法律法规政策合规的解读能力，以及与之对应的安全技术服务能力。也就是说，需要服务商第一时间“吃透”相关政策所对应的技术落地执行点，例如数据出境等新形势新要求。资质的更新与维护，背后是服务商优质的安全能力，两者是一脉相承的。 第三方安全服务的核心竞争力是专业化、技术驱动 就目前行业现状来看，虽然有等保工具箱等标准化检测产品，但第三方安全服务仍然需要依靠大量的专业技术人工参与，特别是有丰富经验的安全工程师参与项目后会显著提升安全服务效果的上限。通过持续技术创新不断提升行业竞争力，如采用自动化、智能化的服务工具对于提升安全服务效果、降低服务成本效果显著。不局限特定某类业务，不断扩展信息安全服务业务线，甚至打造全过程第三方服务能力，在碎片化的服务市场中更加具有竞争力。因此，未来一段时间内，如何加强企业管理、培育良好的企业文化吸引和培养专业人才、持续进行核心技术研发创新、打造全过程第三方服务能力，从而留住已有高端人才，培养更多高端人才，是第三方安全服务提供商核心要 关注的问题，也是其核心竞争力的所在。 传统的安全合规需求将向“持续合规需求”发展 近几年，《网络安全法》、《密码法》、《个人信息保护法》、《数据安全法》、《关键信息基础设施安全保护条例》、《商用密码管理条例》等一系列法规陆续颁布实施。大数据、人工智能为代表的信息技术日新月异，与此同时，网络攻击、网络窃密、网络诈骗呈现高发态势，网络安全的风险正在被技术不断放大。实战化、体系化、常态化，不仅限于关基行业，千行百业的安全合规需求，也需要向三化六防靠拢，因此传统的安全合规需求将逐步向“持续合规需求”发展。同时，随着国际形势的变化，信息技术应用创新产业作为实现助力数字技术领域科技自立、保障国家安全的必由之路，已成为国家战略。新的需求需要新的服务交付能力，创新的方向就在于，服务提供商如何将一年几次的安全测试、评估、适配验证等人工服务交付方式，转变为持续满足合规要求的平台化安全服务能力交付。人的参与度降低，避免人为因素的服务不一致性；自动化、工程化的程度增加，合规的持续性与服务质量的一致性都能得到保证。 （End） 主笔分析师：刘宸宇勘误与沟通：liuchenyu@dwcon.cn 北京数字世界咨询有限公司