数字化转型内生需求与政策合规是推动工业互联网安全产业发展的主要驱动力。随着国家工业互联网战略的深入推进，不断加强产业政策和财政支持力度，天然促进工业互联网安全产业的内需增长。同时，政策端如网络安全等级保护2.0扩展了网络安全保护的范围，对工业控制系统提出了更高的安全扩展要求，以适用于工业控制的专有技术和应用场景特点。面对安全合规要求，工业企业须持续加强自身安全防护体系，进刺激内生需求将进一步扩大。

工业互联网安全需求促使信息技术（IT）安全与运营技术(OT) 安全不断深入融合。我国工业互联网安全技术体系可以分为外建安全（IT安全）和内嵌安全（OT安全）两大类。随着工业互联网的加速推进，来自工控系统、工业智能设备、工业平台、数据的安全问题不容忽视，对内嵌信息安全功能的产品和服务的市场需求激增。以IT安全为主的传统产品和服务已不能完全满足实际市场需求，应充分结合OT安全进行纵深发展。因此，未来工业互联网安全产业发展应统筹考虑IT安全和OT安全的市场需求，提升工业企业综合防护水平。在特殊性能需求方面，保障生产的连续性和可靠性是工业互联网的首要任务，网络时延或成本较高的IT安全方案将无法应用于OT网络，需要针对OT网络特点研究平衡安全风险和业务影响的技术方案。。

结合多领域、新技术的工业互联网安全解决方案不断涌现，安全产品及服务多样化。随着大数据、云计算、人工智能（AI）、5G、边缘计算等新一代信息技术在工业互联网领域的快速应用，IT和OT融合加速。融合了新技术的工业互联网安全环境将变得更加复杂多样，安全风险呈现多元化特征，安全隐患发现难度更高。技术和形势的变化对安全理念和技术提出了新的要求，将促使安全态势感知、安全可视化、威胁情报、大数据处理等新技术在工业互联网安全领域不断取得应用突破；促使定制化安全产品加速出现，安全服务将由现场服务为主、远程服务为辅转向远程化、云化、自动化、平台化发展。整体而言，围绕设备、控制、网络、应用、数据五大安全领域，结合多领域、新技术的工业互联网安全解决方案将不断出现，为工业企业部署安全防护措施提供可参考的模式。

监管政策加码与大数据加速应用驱动数据安全发展，有望成2022年网安最具爆发力方向。短期百亿市场以技术服务收入为主，长期SAAS运营收入有望达千亿。近期《数据安全法》、《关键信息基础设施安全保护条例》、《个人信息保护法》等法律法规密集发布并实施，仅从数据安全的组成部分隐私计算来看，据Gartner预测，2023年，全球80%以上的公司将面临至少一项以隐私为重点的数据保护法规，2024年隐私驱动的数据保护和合规技术支出将在全球突破150亿美元。随《数据安全法》等落地、数据交易市场快速发展，KPMG预计2023年国内数据安全技术服务有望达百亿,随IT架构走向云化，长期将撬动千亿级的数据安全SaaS运营收入。

风险提示：行业竞争加剧风险；政策力度不及预期风险；宏观经济风险；测算可能与实际存在误差。

我国正处于新一轮工业革命的历史机遇期，工业互联网作为新型基础设施建设的重要组成部分，是推动数字经济与实体经济深度融合的关键路径。为此，国家高度重视，提出深入实施工业互联网创新发展战略的要求。自2017年国务院发布《关于深化“互联网+先进制造业”发展工业互联网的指导意见》以来，一系列配套政策相继出台，工业互联网创新发展战略逐步实施并取得显著进展。目前，我国工业互联网发展迅速，已广泛应用于能源、交通、制造、国防等行业领域，对经济社会发展的带动效应日益显著。工业互联网在构建全新生产制造和服务体系，为高质量发展和供给侧改革提供支撑的同时，也打破了传统工业环境相对封闭可信的状态，增加了遭受网络攻击的可能性。各国工业领域的安全事件频发，危害日益严重，网络攻击成为制约工业互联网发展的关键因素。工业互联网安全作为国家安全的重要组成部分，事关经济发展和社会稳定；消除工控安全威胁与隐患，建立科学、系统的安全防护体系成为必然。

与发达国家相比，我国工业互联网安全产业中的软硬件产品自主研发能力有所不足，在核心技术、产业规模、推广应用等方面尚存差距；高端关键基础装备、控制系统、软件及平台市场长期被国外产品占据，如工业控制系统中的微控制单元（MCU）、数字信号处理器（DSP）、现场可编程门阵列（FPGA）等核心元器件技术与国外差距较大，数据采集与监视控制系统（SCADA）、可编程逻辑控制器（PLC）、分散控制系统（DCS）、过程控制系统（PCS）等较多依赖国外供应。为了加快构建工业互联网安全保障体系，提升工业互联网安全保障能力，我国需在推动工业互联网安全责任落实、构建互联网安全管理体系、提升企业互联网安全防护水平、强化互联网数据安全保护能力、完善国家工业互联网安全技术手段、加强工业互联网安全公共服务能力、推动工业互联网安全科技创新与产业发展7个方面持续发力：

工业互联网安全标准体系主要由基础共性类标准、安全防护类标准、安全服务类标准、垂直行业类标准组成。标准化对工业互联网安全保障体系建设至关重要。近年来，针对工业互联网标准的跨行业、跨专业、跨领域特点，我国加速开展相关标准的研制，陆续发布了《工业互联网平台安全防护要求》等标准规范，印发了《工业互联网综合标准化体系建设指南》等，初步形成了涵盖设备安全、控制安全、网络安全、数据安全、应用安全、平台安全、安全管理的工业互联网安全标准体系。后续，工业互联网安全相关标准将会进一步完善，产业发展将更趋规范：

在工业互联网安全产品方面，防护类产品中的边界、终端安全防护是当前的主要分布形态，发展相对成熟，市场占有率较大。随着网络安全等级保护2.0的正式实施，防护类产品将成为工业互联网安全整体解决方案中必备的基础安全措施，市场规模将继续稳定增长。此外，防护类产品中的网络检测、工业安全审计类产品的市场规模虽然较小，但发展速度较快。管理类产品中的态势感知、安全合规管理、安全运维等产品是安全厂商的重要布局方向。在国家和行业政策的双重推动下，我国工业企业用户对合规安全和内生安全的需求加快，未来该类产品的市场规模也将稳定增长。

在工业互联网安全服务方面，由于近年来工业网络威胁朝着多样化、复杂化方向演化，传统的单一安全产品模式已难以满足用户的安全防护需求；以风险评估、安全管理咨询、安全应急响应、安全托管服务等为主的安全服务获得更多关注，针对工业互联网安全评估和安全培训的需求日趋旺盛。此外，科研院所、高校对工业信息安全人才培养的重视程度显著提高，促进了安全培训服务市场快速增长，进一步优化了产业结构。

2020年9月8日，中国提出《全球数据安全倡议》，《数据安全法》、《个人信息保护法》分别于9月、11月正式落地实施。作为数字技术的关键要素，全球数据爆发增长，海量集聚，成为实现创新发展、重塑人们生活的重要力量，事关各国安全与经济社会发展。在全球分工合作日益密切的背景下，确保信息技术产品和服务的供应链安全对于提升用户信心、保护数据安全、促进数字经济发展至关重要。

数据是国家基础性战略资源，数据安全是国家安全的基础。6月10日，《中华人民共和国数据安全法》由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议审议通过，自2021年9 月1日起施行。确立了数据分类分级管理，数据安全审查，数据安全风险评估、监测预警和应急处置等基本制度。

根据中国信息通信研究院发布的《大数据安全白皮书（2018年））》，国内外的大数据安全技术虽然已经取得了一定进步，但是面对层出不穷的新式大数据攻击，防护措施仍然显得不够充分。其原因是传统的安全防护观念以及技术无法满足大数据安全防护的需求。其中密文计算技术、数据泄露追踪技术的发展仍无法满足实际的应用需求，难以解决数据处理过程的机密性保障问题和数据流动路径追踪溯源问题。

根据赛迪咨询的数据，大数据安全市场将会随着大数据运用规模的拓展而高速成长，预计到2021年，大数据安全市场的规模将达到69.7亿元。

数据安全市场空间短期2023年有望达百亿，长期潜在空间有望达千亿。数据安全计算模块常见于大数据服务场景，添加至AI计算平台，并且与AI应用同样以数据为基础，进行安全、存储以及计算等服务，故以AI平台收入为隐私计算产值上限，根据IDC预测2020年我国大数据市场约104.2亿美元，其中软件市场规模为26.5亿美元，AI平台收入约4亿美元，IDC预测2018至2024年AI产业年均复合+39%，则AI平台收入2024年有望达15亿美元，则数据安全方案上限近百亿人民币。

随IT架构上云，长期数据安全SaaS运营收入有望达千亿，商业模式改善带来估值提升机遇。以消费贷款场景为例，假设2030年金融机构信用风险建模使用联邦学习渗透率达60%，服务费率为1%，国内短期消费信贷市场2019年已达9.92万亿元，假设直到2030年年化复合增速为8%，则2030年市场有望达21.42万亿元，数据安全收入有望达1285千亿元，考虑互联网、医疗及政务大数据等场景，空间巨大。

除互联网需求迫切外，金融、医疗、汽车、能源等数据安全潜在市场巨大。数据已成为互联网企业最为重要生产资料。用户会在网站、应用等场景发生一些行为，如浏览商品、收藏内容、完成关卡等。接入行为数据可以帮助广告主了解用户在其网站或应用采取的操作，继而利用这些数据进行广告营销活动。行为数据接入到DMP后，可以用于人群提取、转化统计、程序化创意、oCPA等。

百度推出“史宾格”安全和隐私合规平台，基于AI检测技术，比照《App违法违规收集使用个人信息行为认定方法》《工业和信息化部关于开展App侵害用户权益专项整治工作的通知》《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》《信息安全技术个人信息安全规范》等规范性文件、国家标准，提供隐私风险项检测、隐私专项检测、场景检测、权限过度收集与使用情况检测等产品服务，助力监管机构、应用市场、大型企业、App开发者等完成App隐私合规自查，发现隐私违规风险。

金融机构在客户所掌握的“个人信息”，依据其获取途径和发挥作用的不同，在《信息保护法》之下可归于不同的类型，相应地由金融机构进行不同程度的保护。

随着实体医院将诊疗活动延伸至互联网端，数据共享和流通成为刚性业务需求，静态的隔离保护措施难以控制数据在流动中的风险，关乎患者隐私、种类繁多的医疗数据也迎来愈加严峻的安全挑战，互联网医院需要通过动态变化的视角分析和判断数据安全风险。

《规定》明确，汽车数据处理者应当履行个人信息保护责任，充分保护个人信息安全和合法权益。开展个人信息处理活动，汽车数据处理者应当通过显著方式告知个人相关信息，取得个人同意或者符合法律、行政法规规定的其他情形。处理敏感个人信息，汽车数据处理者还应当取得个人单独同意，满足限定处理目的、提示收集状态、终止收集等具体要求或者符合法律、行政法规和强制性国家标准等其他要求。汽车数据处理者具有增强行车安全的目的和充分的必要性，方可收集指纹、声纹、人脸、心律等生物识别特征信息。