产品市场双周报（5月上刊）

一、重点关注

1、数世咨询：2022数字安全上市企业航线图 详情

2023年4月30日，国内数字安全领域31家沪深两大交易所上市公司2022年度财报全部发布。本报告延续去年财报中的十项重要指标，对数字安全产业2022年度的基本现状和发展变化进行分析和解读。概况：

• 2022年沪深两大交易所共有31家数字安全企业，安全业务总收入总计约为402.46亿元，与2021年相比近乎持平，增长率仅为0.8%
• 员工总人数约为7.17万，较去年增长4.068%。人均产值约56.13万元与上年度73.43万元相比，下降约-23.56%
• 净利润-17.58亿元（未含三六零），自数世咨询2014年开始产业统计工作以来，安全上市企业净利润总和历史上首次出现亏损
• 研发投入继续大幅度增长，约142亿元，与上年度相比增长率达到43.43%。

2、我国第一个关键信息基础设施安全保护标准正式施行！详情

2022年11月，国家市场监管总局批准发布了《信息安全技术关键信息基础设施安全保护要求》（GB/T 39204-2022）国家标准文件。该标准作为《关键信息基础设施安全保护条例》发布后首个正式发布的关键信息基础设施安全保护标准，为开展关键信息基础设施安全保护工作提供了具体的工作指引。此标准于2023年5月1日正式实施。

3、数说安全研究院发布《中国网络安全日志审计市场分析报告》详情

报告关键发现

• 从整体市场来看，日志审计已成为我国网安市场中的不可或缺的产品之一，2022年市场规模达到25.3亿，虽然市场历史首次出现负增长，同比下降3.9%，但未来市场至少存在一倍以上增量空间。
• 从需求端看，网络安全法、等保2.0是推动客户选购日志审计产品最直接的驱动力，但受3年新冠疫情的影响，客户采购节奏放缓，市场复苏仍需时间。
• 从供给端看，竞争格局表现为集中与分散两级分化态势。目前国内日志审计厂商数量达到近200家，TOP5厂商市场占比达到31.8%，市场集中度显著高于其它传统安全产品，市场竞争强度在持续加大。
• 在客户预算方面，日志审计产品价格呈现下降趋势，10-20万或将成为未来产品价格竞争的主要区间，如何找到增量客户，实现规模化销售成为供给端竞争的关键因素。
• 从已购客户比例、新客市场渗透难度、产品更新换代周期等多方面综合考虑，预计2023-2025年，日志审计市场年复合增长率将维持18%-21%左右。

二、技术动态

1、主动入侵检测的下一站：蜜标技术 详情

在不久前结束的RSAC 2023大会上，谷歌云Mandiant首席执行官Kevin Mandia给企业提出了7个改变的建议，而“建立先进的蜜罐防护体系”正是其中之一。新一代蜜标技术（honeytoken）理解成是蜜罐系统的一个子集，旨在看起来如同正规的凭据或密文。当攻击者触发蜜标时，会立即发起警报。这使得安全分析师可以根据一些所收集的攻击指标迅速采取行动，比如IP地址（区分内部源头和外部源头）、时间戳、用户代理、起源以及记录在蜜标和相邻系统上执行的所有操作的日志。简单性是蜜标技术应用的最大优点，企业不需要开发整套的诱骗系统，就可以轻松创建、部署和管理企业级蜜标，实现对大量的软件应用系统进行主动式保护。

2、早期识别云数据泄露的安全解决方案提供商Laminar将以2亿至2.5亿美元的价格被收购 详情

云安全初创Laminar开发了一种用于早期识别云数据泄露的安全解决方案，正在与数据领域的几家知名公司进行谈判，包括Datadog、Rubrik等。

3、基于浏览器的新加坡安全初创SquareX获红杉600万美元种子轮融资 详情

2023 年 5 月 10 日：由系列网络安全企业家Vivek Ramachandran领导的 SquareX正在开发基于浏览器的网络安全产品，以确保消费者在线安全。该公司宣布已在红杉资本东南亚领投的种子轮融资中筹集到 600 万美元。它将使用筹集的资金用于研发工程和上市。

随着浏览器成为新的“操作系统”，攻击者开始瞄准它们，引入一系列全新的威胁，例如网络钓鱼、身份盗窃、会话劫持和其他基于浏览器的攻击。 不幸的是，现有一代的网络安全产品不足以应对这些威胁，因为它们是在主要威胁是文件病毒、蠕虫和网络攻击的时代设计的。这些产品还经常通过阻止对实际上可能不是恶意的文件和资源的访问来阻碍生产力，导致用户禁用或卸载它们，并使它们更容易受到攻击。再加上广泛和非自愿的个人数据收集，普通互联网用户在网上根本感觉不到安全。

SquareX 正在通过从头开始设计网络安全产品来解决这个问题，该产品专门用于应对当前这一代的威胁。它作为扩展与浏览器集成，并在用户进行在线活动时监控和保护用户。SquareX 通过利用其云服务来做到这一点，并使用户能够在一次性浏览器中打开链接和文件，从而保护用户免受任何类型的潜在威胁。这些由云提供支持的临时容器沙箱是代表用户在数据中心运行的无头浏览器，因此所有 Web 威胁都会被消除并且永远不会到达用户的计算机。SquareX 还使用户能够保护他们的身份安全和私密。

6、谷歌发布安全隐私新特征 详情

近日，谷歌在年度开发者大会—— Google I/O 上发布了一系列安全和隐私新特征，旨在保护用户免受网络威胁，比如钓鱼攻击和恶意网站，以及未用户个人数据提供更多的控制和透明性。发布的新特征包括：

• 增强数据控制和透明性；
• Gmail 暗网扫描报告；
• 删除地图搜索历史；
• 基于 AI 的安全浏览；
• 内容安全 API 扩展；
• 关于图片；
• Google Drive 垃圾邮件预览

三、市场与政策动态

1、国家互联网信息办公室有关负责人就《关于调整网络安全专用产品安全管理有关事项的公告》答记者问 详情

2、《证券期货业网络和信息安全管理办法》原文

中国证券监督管理委员会制定并发布了《证券期货业网络和信息安全管理办法》。《办法》共有八个章节七十五条，从组织架构、网络和信息安全、个人信息保护、关键信息基础设施安全保护以及监督管理与法律责任等多个方面，针对证券期货业的人才建设、系统建设、数据安全以及重大事件处理等网络和信息安全要点，对照国家和行业相关法律法规，提出了具体的、操作性较强的管理要求。

3.《公路水路关键信息基础设施安全保护管理办法》公布，今年6月1日起施行 详情

近日，交通运输部公布了《公路水路关键信息基础设施安全保护管理办法》（简称《管理办法》），共6章33条，自今年6月1日起施行，切实保障公路水路关键信息基础设施安全，维护网络安全。

4、《工业互联网安全深度行活动典型案例和成效突出地区名单》公布 详情

5、北京市经济和信息化局关于印发《北京市关于加快打造信息技术应用创新产业高地的若干政策措施》的通知 详情

6、对标KnowBe4!承制Mind4All旗下安全意识内容系统Mental Gear上线 详情

作为承制科技旗下的安全意识独立品牌，Mind4All一直致力于提供符合国际水准的高水平安全意识教育和培训，因此，在开展平台建设和内容开发时，Mind4All选择以国际顶级安全意识培训和模拟钓鱼平台提供商KnowBe4为标杆。近日，Mind4All推出了一款网络安全意识内容系统——Mental Gear，对标的正是KnowBe4旗下的ModStore。相较于传统的网络安全培训方式，具有以下优势：

• 内容多样化
• 情景定制化
• 体验互动化
• 管理可视化
• 学习灵活化
• 更新持续化

7、攻击面管理谁家强？数说安全《攻击面管理产品市场分析报告》发布 报告详情

数说安全分别做了供给侧、需求侧调研，试图搞清楚大家口中的攻击面管理到底是什么，在用户安全防线中定位是什么，其核心技术与能力是什么，各厂商的技术差别与产品定位是什么，各甲方单位的攻击面管理工作的痛点是什么，建设进度如何，以及通过数说安全商业分析平台对攻击面管理相关项目情况进行了分析，给出了攻击面管理市场的总结与展望。最后，对从事攻击面管理的26家国外厂商及21家国内厂商做了分析和总结，并展示了其中9家国内厂商的解决方案与案例。

8、价格飙升，网络安全保险仍保持强劲增长 详情

市场分析机构Markets and Markets和Polaris Market Research的数据显示，从2021年到2022年，全球网络保险市场从101亿美元增长到了119亿美元，且预计到2027年将会增长至290亿美元。

9. 《汽车整车信息安全技术要求》（征求意见稿）近期发布 要求原文

5月5日，工信部组织全国汽车标准化技术委员会开展了《汽车整车信息安全技术要求》和《智能网联汽车自动驾驶数据记录系统》等四项强制性国家标准的制修订，其中提出，车辆制造商建立车辆生命周期的信息安全管理体系。