政策热风频吹,信息安全相关概念战略地位不断提纲,究竟什么是“信息安全”?作为“数字经济”的基石,如何看待“信息安全”中长期的投资机会?这个主题是否能成为2023年的热点主题?最近比较火热的主题人工智能AI,对“信息安全”有影响吗?中信保诚基金投资Π主理人丁璐对话指数部负责人韩依凌,信息安全风口已至,我们来告诉你如何抢占先“基”。
投资金句
1、“信息安全”分为网络安全和数据安全。网络安全指的是针对实时的攻击的防护;数据安全指的是保护储存数据不受外部侵害。
2、“再厉害的防火墙也有漏洞。”信息安全看似一个非常简单的任务,实际上里面的复杂程度远超大家想象。
3、按照安全概念,我们可以将信息安全分为网络安全和数据安全。网络安全指的是针对实时的攻击的防护;数据安全指的是保护储存数据不受外部侵害。
4、信创领域的发展是多因素耦合推动的结果,既有政策推动、也有需求拉动、也有技术进步和生态体系进步的整体推动。
5、信息安全是需求驱动市场,安全事件+政策+技术,刺激网络安全行业需求不断释放。
6、“信息安全”是“数字经济”的基石。
7、关注相关政策的落地节奏以及公司战略变化是否能与时俱进。
信息安全的定义和重要性
Q1:信息安全为何如此重要?信息安全的分类有哪些?
韩依凌:信息安全,顾名思义就是针对“信息”的保护业务。我们可以将“信息安全”分为网络安全和数据安全。网络安全指的是针对实时的攻击的防护;数据安全指的是保护储存数据不受外部侵害。前几天我正好看了一部2023年的新电影《断网》,是郭富城演的,虽然我最后没看完,但看了个大概。影片讲述的就是不法分子通过技术,潜入银行的系统洗钱犯罪的故事。电影中郭富城饰演的角色使用防火墙不断与犯罪分子对抗,一方入侵,另一方则防守。虽然剧情有科幻的成分,但我也注意到了他的一句台词:“再厉害的防火墙也有漏洞。”信息安全看似一个非常简单的任务,实际上里面的复杂程度远超大家想象。现实中我们也能看到许多信息安全的实际案例。比如前一阵波音公司暂停的白俄罗斯总统座机的系统,实际上就是波音公司的产品在交付使用时留下了所谓的“后门”。因此,安全问题是一个任重而道远的国家业务。
从投资板块的角度,我们可以大致将“信息安全”分为“硬件”、“软件”和“服务”三个部分。安全硬件就是那些我们可以看得见摸得着的计算机设备。比如防火墙盒子,这种设备是布置在我们要保护的网络服务器的出口的。它针对网络攻击起到直接的保护作用。这一部分的市场规模目前也是最大,大约占整个行业市值的50%左右。
安全软件简单的说就是一些计算机程序。当我们要深入保护网络内部的安全时,就需要将软件安装到网内的终端上。这些程序功能各异。比如身份认证功能、网络安全扫描功能等。这一部分根据统计大约占行业市值的20%左右。比较有代表性的上市公司是三六零、绿盟科技、安恒信息、奇安信等。这些公司中,三六零主要针对C端(个人客户),盈利模式以广告业务为主;其他的公司都是针对B端(机构客户如企业、政府等),盈利模式就会更加直接。这些公司通常也同时经营“服务”业务。
安全服务业务相对抽象一些。主要包括托管服务和咨询服务。也包括安全教育服务等。简单来说就是外包。企业可以将安全任务外包给这些公司来做。这一部分市场规模约占整体行业的30%左右。
“信创”产业的发展逻辑
Q2:“信创”产业的发展逻辑是什么?
韩依凌:我国在“信创”这个领域的发展进程还是比较复杂的。既有政策推动、也有需求拉动、也有技术进步和生态体系进步的整体推动。这些因素一起,构成了现在“信创”发展的大框架。
首先我们认为,国家政策是引导信息安全板块发展的原动力。中国的信创产业总体上在技术、融资、市场培育等环节都面临诸多障碍。信息安全是一个风险业务。也就是说如果风险不爆发,那么在信息安全上的投入就是纯支出,不但对一个公司的主营业务没有直接的促进,还占用了很多成本。所以如果没有政策的强制要求,许多公司在信息安全上的投入可能将主观地下降两三个档次。因此我们说,信息安全是政府政策高度依赖的。
其次是需求。2018年以来,随着美国对中国的限制和制裁力度逐步提升,我们越来越能感受到“卡脖子”对我们的核心科技产业的影响。比如操作系统、EDA(电子设计自动化软件)等。因此建立可靠、独立、不受外界把控的信息技术的底层构架是非常重要的。在需求的驱动下,中国也出现了像华为这样的自主研发系统的大型企业。目的也是为了能摆脱西方一些科技先进的国家对我国科技发展的限制。另一方面,在信息化高速发展的时代里,刚才提到的“风险”已被大多数公司所认知。对于信息安全的投入逐步变成了企业自发性的需求,而不是全部都由政府强制主导。对比美国信息安全的数据,美国政府在IT业务上每投入10美元,就有2美元的钱花在信息安全上。2021财政年美国政府的网络安全预算占IT总预算的20.4%。相比中国目前政企机构的网安投资占信息化比例不到3%。
第三是技术和生态的推动。首先中国今年来在IT产业上的创新能力大幅提升,核心技术都取得了实质性的进展。整体产业也在从“大”向“强”转变。中国自主IT的底层架构和标准都在逐步建立。这些技术的提升,在根本上支持着信创产业的发展。其次就是生态。当生态的构架和标准逐步建立起来之后,企业信息安全框架也必须被动跟上步伐。
所以我们认为,信创产业的发展逻辑是多因素耦合推动。这种推动产业发展的力量是比较稳定的,在中长期都会持续下去。
Q3:如何看待近期行业的爆发?行情是否具有可持续性?
韩依凌:我们在日常生活中都能感受到,数字经济对我们的生活、工作都带来了巨大的便利。因此我们判断未来数字经济的发展还是将持续下去,更多地成为我们生活的一部分。进入数字时代后,驱动社会进步的要素必然要增加“数据”这一项。这就带来了“信创”产业的需求。不难预见,数据产业将成为未来各个国家发展的着力点。数据的价值在于赋能传统行业,当它叠加到土地、劳动力、资本、技术等其他生产要素中时,可以大大提高其他要素本身的价值,实现倍乘效应。因此,在数字化转型成为必然趋势的背景下,数据与传统行业的结合是一个不可违抗的长期过程,也是未来实现中国经济健康高速发展的必然要求。如何释放数据价值、赋能各行各业将成为需要长期探索的课题,成为未来经济发展中的重中之重。
而想要预测数据产业行情,也要结合数据的生产要素属性。从经济学的角度来说,在当前生产中,数据要素投入较少,具有非常高的边际效益,因此在数据到达庞大体量之前,都可以为经济发展提供高效健康的推动力。在较长时期内,数据要素都将对经济发展至关重要,利好政策也将继续向细化领域继续落地发展。
与很多其他国家相比,我国的互联网发展拥有扎实的根基。首先,我国互联网产业发达、用户数量庞大,因而产生了海量数据。同时,我国拥有全球最多的工业互联网平台,累积了大量的产业数据。据工信安全预测,到2023年,中国数据要素的市场规模将超过1100亿元。到2025年,就会超过1700亿元。不仅有海量数据积累,我国为数据要素发展提供坚实的储存和计算基础。我国拥有5G基站数量达到80多万个,位列全球首位。同时,我国统筹布局八大算力枢纽节点,积极落实“东数西算”工程。随着数字经济展现出蓬勃活力,国家越来越重视数据要素发展,从理论到实践做了一系列探索,接连发布一系列相关政策,为数据要素市场发展举旗定向,积极建设数据要素基础制度,数据要素的“要素”地位日益凸显,有望迎来蓬勃发展。
我国是全球范围内最先明确发展算力网络与数据要素的国家。因此制定出具有中国特色的现代数据要素制度体系将有望在新时代浪潮中夺得先机。所以我们认为,近期数据政策的不断落地,均是期望通过政策,对数据要素化进程起推进作用。本轮和前几轮行情的爆发都一步步预示着数字经济时代正在逐步被投资者接受。因此我们认为利好政策将有较强的持续性。
数字经济与信息安全
Q4:如何看待信息安全对数字经济的作用?
韩依凌:“信息安全”可以说是“数字经济”的基石。发展与安全是并举的。数字经济的发展离不开信息安全的支撑和保障。
Q5:如何看待“信息安全”中长期的投资机会?这个主题是否能成为2023年的热点主题?
韩依凌:信息安全是需求驱动市场,安全事件+政策+技术,刺激网络安全行业需求不断释放。近年来,网络病毒、数据泄露等网络安全事件层出不穷。由于企业的核心业务越发依托信息系统,面对日益严峻的安全态势,企业就会主动加大对网络安全的投入力度。同时《网络安全法》、《数据安全法》、《密码法》等一系列政策文件相继出台,为我国网络安全行业的有序发展提供了良好的政策保障和法律依托,进一步刺激网络安全市场需求。另外,随着网络技术的日新月异,应用带来新的安全风险和攻击方式,安全防护对象由传统的PC、服务器拓展至云平台、大数据和泛终端,使得安全整体规模不断拓展,安全防御体系也在从被动防御向智能化的主动防御过渡。从存量的角度看,我国目前信息安全建设还在初级阶段,安全占整体IT支出的占比低于全球水平,安全投入仍需不断加大,从而需要建设更加完善的安全体系,政策的不断出台将加速需求释放,从增量的角度看,随着新技术、新应用场景的不断出现,安全的边界将不断扩充,信息安全行业规模也会不断增大。
目前,“统筹发展和安全”也已列为“十四五”时期经济社会发展指导思想之一,信息安全是国家安全的重要内容。当前信息安全形势日益严峻,严重危及个人、集体、乃至国家安全。2020年,中国网络安全企业360公司发布报告,曝光网络攻击组织APT-C-39曾对我国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等关键领域进行了长达11年的网络渗透攻击,严重损害了我国国家安全、经济安全、关键信息基础设施安全和广大民众的个人信息安全。总书记曾多次强调信息安全的重要性,提出“没有网络安全就没有国家安全,没有信息化就没有现代化”。当下国际形势复杂多变,国家安全更加是民族复兴的根基。二十大上,总书记强调推进国家安全体系建设。网络安全、数据安全更是从国家战略出发,是未来发展的关键领域。近年来也可以看到《网络安全法》、《密码法》、《个人信息保护法》、《数据安全法》等多部里程碑式重要法律出台,信息安全也是数字经济和数字中国建设的重要支撑和保障。因此我们认为,信息安全将会迎来持续发展。
中长期来看,根据三方咨询机构的统计,中国2021年信息安全市场总规模约100亿美元。预计年化复合增长率在15-20%左右。我们预计到2024年,信息安全市场的规模可能超过千亿元人民币。考虑到一些可能的政策影响行业爆发,估计2025至2026年的市场规模可能超过1500亿元。其中龙头企业的增速将更快。
AI对于信息安全的影响
Q6:最近比较火热的主题人工智能AI,对“信息安全”有影响吗?
韩依凌:一方面,人工智能技术的普及大大提升了人们生活的便利,但是,也带来了非常严重的隐私保护问题。人工智能技术本身算法的准确率高度依赖于海量用户数据的训练分析,尤其当人工智能需要提供个性化、定制化服务时,就需要获取大量用户个人信息。这些都会导致用户个人信息泄露。以ChatGPT为例,它会收集大量的个人隐私数据,而这些数据在传输、处理、储存过程中就有可能遭到泄露。在上月中旬,ChatGPT平台出现了用户对话数据和付款服务支付信息丢失情况。该平台没有就收集处理用户信息进行告知,缺乏大量收集和存储个人信息的法律依据。目前,意大利等国已禁止使用ChatGPT,并限制其开发公司OpenAI处理个人用户信息。
从这个案例可以看出,人工智能技术的普及在为人们生活带来便利的同时,存在非常严重的隐私保护问题。实际上,获得生活便利和保护个人隐私,目前已经成为一个两难选择。交出个人隐私和数据,获得个性化、人性化的全方位技术服务,这是人工智能时代的基本模式。不管是无人驾驶、智能管家、数字助理还是机器人保姆,这些人工智能技术和产品能更好为你服务的前提都是全面收集处理你的各种行为数据。小到兴趣、爱好、行为习惯,大到道德、宗教、政治倾向、人生观价值观,人工智能可能比你自己还要了解你自己。技术上为了保护用户的隐私,在采集数据的时候可以对数据集进行模糊处理,使得收集到的海量数据无法和具体的个体用户相对应。这种信息模糊技术从上个世纪就存在,但是这种模糊的加密方式的发展速度远远落后于人工智能技术的发展。目前,我们的隐私和个人数据,在大数据处理和人工智能分析技术面前,基本上处于零防御状态。
另外一方面,AI+安全的模式下,AI赋能安全,如果能够合理将AI技术运用在安全行业,能提升信息安全的管理效率和质量。人工智能在安全行业应用的场景很多,这里举几个例子:
(1) 人工智能可以大幅提升网络钓鱼和垃圾邮件检测效率。深度学习使用大量数据来训练深度神经网络,随后随着时间的推移学习如何对图像进行分类或完成其他任务。即使对于特征不明显的攻击操作,深度学习模型也能获得良好的准确率。Google利用深度学习来检测难以检测的基于图像的电子邮件、含有隐藏内容的电子邮件,这有对于现在复杂的网络钓鱼攻击等攻击模式都具有较好的识别和防御的作用。
(2) 人工智能大幅提高了检测响应速度。如何保护企业网络安全?第一步是检测威胁。如果能快速检测出不可靠的数据,就能大大提高网络在攻击下的生还概率,减少攻击对网络的破坏,保护网络不受永久性损坏。从目前的技术来看,人工智能与网络安全相结合是实时检测和应对威胁的一种方式。人工智能会检查整个系统是否存在风险。与人类智能不同的是,网络领域的人工智能能对威胁的相应速度极快,从而能更快、更准确的安全警报,使网络安全专家的工作更有效率在国外做的比较领先的微软,上个月发布Microsoft Secure Copilot,就是一款AI+安全的产品。该产品使用LLM(大语言模型)模型去理解微软海量网络安全模型资源,可以做到受到攻击时实时分析出进攻路线并附上讲解图与多种解决方案,只需网安技术人员通过简单的标注、点击就可完成安全事件调查及反应。将过去需要几个甚至几十个小时才可以解决的勒索病毒事件分析相应缩短至几秒内。
总的来看,AI技术对信息安全来说,既是机遇、也是挑战。给安全行业带来更多挑战的同时也可赋能于安全行业。无论从哪个方面来说,AI的发展都会刺激信息安全的发展,未来各大安全公司也将布局AI,提升产品能力,相关软硬件需求将持续增长。
备注:中信保诚中证信息安全指数型证券投资基金(LOF) 风险等级为R4,适合C4及以上投资者,中信保诚中证信息安全指数(LOF)A(165523)成立于2015年6月26日, 于2020年12月31日由信诚中证信息安全指数分级证券投资基金终止分级运作变更而来,业绩比较基准为中证信息安全主题指数收益率*95%+金融同业存款利率*5%,2021年基金净值增长率分别为:A:-1.08%/C: 0.42%;业绩比较基准增长率分别为A:0.42%/C: -0.59%;2022年基金净值增长率分别为:A:-27.28%/C:-27.57% ; 业绩比较基准增长率分别为A:-27.00%、C:-27.00% 。基金管理人对提及的板块/行业/个股不做任何推介,不代表任何投资建议或推介,不代表基金持仓信息或交易方向。
风险提示:以上内容仅限于基金管理人与合作平台开展宣传推广之目的,禁止第三方机构单独摘引、截取或以其他不恰当方式转播。本场直播内容仅供参考,直播中主持人或嘉宾谈及的内容仅代表当前观点,不代表基金管理人对未来的预测,不构成对任何证券或产品的操作建议或推荐,也不构成未来基金管理人旗下基金进行投资决策之必然依据。如因为发布日后的各种因素变化而不再准确或失效,中信保诚基金不承担更新义务。投资人自行承担任何投资行为的风险与后果。基金过往业绩不代表未来,其他基金业绩不构成本基金业绩表现的保证。基金管理人承诺以诚实信用、勤勉尽职的原则管理和运用基金资产,但不保证基金一定盈利,也不保证最低收益和本金安全,投资前请认真阅读基金招募说明书、基金产品资料概要和基金合同等法律文件。销售机构根据相关法律法规对基金进行风险等级评价与基金法律文件中风险收益特征的表述可能存在不同,投资者在购买基金前需按照销售机构的要求完成风险匹配检验,并在了解基金产品情况的基础上,根据自身的风险承受能力、投资期限和投资目标,对基金投资做出独立决策,选择合适的产品。基金有风险,投资需谨慎。