计算机行业：态势感知预见未来

1、 HYPERLINK / 请务必阅读正文之后的免责条款部分目 录 HYPERLINK l _bookmark0 态势感知，从被动防御转向主动防御3 HYPERLINK l _bookmark1 态势感知是被引入信息安全领域的军事概念3 HYPERLINK l _bookmark2 态势感知改变了传统被动防御的策略3 HYPERLINK l _bookmark3 传统安全产品以单点防护为主3 HYPERLINK l _bookmark4 态势感知的前提是对传统单点安全产品进行管理4 HYPERLINK l _bookmark5 态势感知的目的是提前发现和解决问题6 HYPERLINK l _bo

2、okmark6 渗透率视角：态势感知监管机构渗透率已过拐点7 HYPERLINK l _bookmark7 2020 年态势感知市场空间将达到 50 亿7 HYPERLINK l _bookmark8 监管机构：对外网进行监控7 HYPERLINK l _bookmark9 企业端：对内网进行监控9 HYPERLINK l _bookmark10 市占率视角：“老中青”三代厂商同台竞技10 HYPERLINK l _bookmark11 市场矩阵图能说明什么问题10 HYPERLINK l _bookmark12 新兴厂商大力投入研发态势感知产品12 HYPERLINK l _bookmark

3、13 投资建议14 HYPERLINK l _bookmark14 风险提示14 HYPERLINK / 请务必阅读正文之后的免责条款部分态势感知，从被动防御转向主动防御态势感知是被引入信息安全领域的军事概念态势感知本身是一个军事概念，最早是美国空军提出来用于分析空战环境来对当前和未来形势作出判断的一种方法，于上世纪九十年代被引用到信息安全对抗领域。目前对态势感知普遍采取的定义是系统工程学博士 Endsley 所给出的，即态势感知是感知大量的时间和空间中的环境要素，理解它们的意义，并预测它们在不久将来的状态。网络安全态势感 知本质上是获取大量的网络安全数据，对其进行关联分析以理解当前的 安全状

4、态，并且对未来的安全状态进行预测。把态势感知引入到安全领 域的目的是可以让防御一方能更好的知道现在的形势，并且还能帮助防 御者对未来发展方向做一个预判，这样防御方就能更好的制定防御策略。图 1：态势感知的三个子要素数据来源：网络安全态势感知研究综述， 态势感知改变了传统被动防御的策略传统安全产品以单点防护为主传统的网络安全产品核心理念是被动防御。以防火墙、防病毒软件和入侵检测/防御为代表，传统网络安全产品的设计理念是被动防御和单点防护。防火墙。防火墙是基于内外网隔离的理念进行防护的，也就是建一面“墙”圈出一个内部网络来，它的防御方法是假定内部网络可信外部网络不可信，然后根据包过滤机制制定访问控

5、制策略，只允许“合格”的数据进入内网，防火墙是根据数据包的起点和终点（IP 地址、端口号等信息）来把关内外网“大门”的；入侵检测。IDS/IPS 一定意义上可以看成防火墙的衍生品。它一般是要部署在在流量必经的链路上对网络流量进行监测，常见的一种比喻是：“如果把防火墙看做大楼的门锁，IDS 就是大楼的监控系统”，根据部署方式不同，IDS/IPS 可以分为基于网络的和基于主机的，根据监测方法和安全策略的不同，IDS/IPS 可以分为异常入侵监测和误用入侵检测。异常入侵检测误用入侵检测行为模型建立正常行为模型建立入侵行为模型安全策略告警不符合模型行为告警符合模型行为表 1：入侵检测有两种监测方法 H

6、YPERLINK / 请务必阅读正文之后的免责条款部分优点可检测未知攻击具有自适应、自学习能力准确率高算法简单关键问题要选择“正确”的行为特征要选择合适的统计算法、统计点要建立完整的攻击特征库特征库要不断更新未知攻击无法识别数据来源：CSDN， 防病毒软件。防病毒软件是一种通过实时监控和磁盘扫描的方式把 文件和自身的病毒特征库进行对比，来发现和消除恶意程序。因为 病毒一般都是通过个人终端进行传播的，为了避免病毒通过办公区 域的终端绕进内网，一般都会在办公区域的终端侧部署防病毒软件。态势感知的前提是对传统单点安全产品进行管理SOC/SIEM 是基础安全产品的管理工具。当企业分了不同的区域进行防护

7、，装上了各种各样的设备，复杂性的提升就带来了体系化管理的需求， 目前我国有安全管理建设需求的单位通常都是 IT 应用成熟度较高的大型企业，它们通常是建设一个 SOC/SIEM 来作为安全管理的基础设施， 通过这种产品可以实现诸如日志集中管理、统一配置、进行初步的不同产品和系统的协同、设备自动发现等功能。人力现在成了提高安全效率的最大约束。安全管理产品只是进行安全设备和安全事件的管理，而不直接解决特定的安全问题。解决问题的人力成了提升安全能力的最大约束，往往甲方公司在使用了 SOC/SIEM 以后， 大量实时的告警被集成到平台上来，一天的告警数量从几千条到数百万条的都有，安全运维人员处理一条告警

8、就要几天的时间，一条一条去手动处理 SOC/SIEM 里的告警不现实。而且现在组织机构的运维人员本身数量就较为稀缺，根据我们的产业调研，大型公募银华基金 IT 运维人员仅有三人。一家海外的安全事件编排厂商 Demisto 通过调研发现，大约有 80%的公司没有充足的运维人员去运营 SOC，培训一个合格的 SOC 运维人员要 8 个月，但是平均两年内 25%的 SOC 运维人员会转岗，结果就是甲方公司平均每手动处理一个告警就需要 4.35 天， 所以SOC/SIEM 产品对国内甲方的实际安全防护水平的提升是非常有限的， 核心的限制因素是企业的安全人员数量不够以及企业内缺乏必要的安全管理流程制度。

9、 HYPERLINK / 请务必阅读正文之后的免责条款部分图 2：一般大中型企业的安全架构已经较为复杂数据来源：CSDN， 现在市场上的态势感知产品一般是由三部分组成,实现数据采集-数据分析-可视化展现三大功能。日志审计（日志探针和关联规则引擎）：通过日志探针把网络里所有的系统和设备的日志收集上来，然后进行预处理，再通过关联规则引擎进行实时的流分析，跟内置的规则库进行匹配，发现问题并进行报警；DPI（流量探针）：一般是部署在网络交换机附近或者需要监控的节点附近，作用是把流经这个节点的所有流量转写成结构化的流量日志，然后传输到分析平台上，有些DPI 里还会有一些检测规则引擎， 来进行实时的攻击特

10、征流量检测，DPI 的采购量跟监测节点的最大流量有关；分析平台：态势感知的本质就是一个大数据平台产品，给分析海量的设备日志、系统日志、流量日志等数据提供分布式的计算和存储能力，并且还给客户提供安全态势的可视化能力。图 3：部署态势感知的示意图数据来源： HYPERLINK / 请务必阅读正文之后的免责条款部分用户还可以自选其他设备来丰富数据采集的广度和深度。除了日志审计和流量探针是必须要购买的数据采集器以外，用户还可以选采其他的数据采集器，比如沙箱、EDR、云端威胁情报、邮件审计、APT 监测设备等等。一般来讲数据的采集范围越广、深度越深，态势感知产品越有价值。图 4：安恒信息的 AiPHA

11、大数据平台的 APT 可视化大屏数据来源：安恒信息态势感知的目的是提前发现和解决问题走通了商业模式的黑客们越来越组织化、国家化。在防御方陷入了整体安全防护水平提升的瓶颈的同时，攻击方的攻击水平却一直在提升。以前黑客进行攻击主要是出于炫技的动机，所造成经济损失和安全危害都比较小，但是现在随着黑客“商业模式”的清晰（售卖敏感信息变现、DDoS 攻击实现敲诈勒索和商业攻击、通过信息篡改更改资产所有权），在终端的经济利益爆发式增加的情况下，网络攻击逐步走向了产业化和专业化的趋势，提高了攻击一方的入侵动机和技术能力。图 5：黑客呈现高度的产业化和专业化趋势数据来源：威胁情报生态大会， HYPERLINK

12、 / 请务必阅读正文之后的免责条款部分APT（高级持续性威胁）攻击是现在政府部门、金融、能源、工业大型企业的头号敌人，态势感知能够提前进行防御。APT 其实不是一个特定的攻击手段，而是一种攻击战术，就是通过一种流程化、长期的计划和组织来针对一个特定目标实施持续性的攻击，来完成自己的商业或者政治诉求。APT 攻击的另一个特性就是一旦攻击者得手，被攻击者的损失就是巨大的，比如说大规模的数据泄露、大面积 IoT 设备停工、勒索病毒爆发等。所以必须要把工作做到事前，在 APT 攻击还没得手的时候解决问题。简单点来说，以前关注的是安全事件（打个比方就是“有人闯进大楼了/有东西丢了”），现在要关注于安全态

13、势（“我们门口有人鬼鬼祟祟的，要小心点”）。我们可以简单的把旨在实现“发现鬼鬼祟祟的人”的这个功能的产品定义为安全态势感知产品。图 6：最好是在渗透阶段就阻止攻击者数据来源： 渗透率视角：态势感知监管机构渗透率已过拐点2020 年态势感知市场空间将达到 50 亿安全牛统计 2017 年我国态势感知产品市场规模达 20 亿。国内信息安全专业咨询媒体将态势感知产品定义为：“围绕安全运营中心(SOC)，并基于日志管理(SIEM)、大数据平台、威胁情报、关联分析、沙箱等等关键技术和多维度数据，为用户提供预测、保护、检测和响应闭环能力的安全系统”，然后根据这个定义进行统计得出结论，2017 年我国态势感

14、知产品市场规模大约为 20 亿，占整体市场规模的 5%（对应 2017 年信息安全整体市场规模 400 亿，跟 CCID 的统计一致，高于 IDC 统计）。并且安全牛在 2017 年预计，2020 年我国态势感知产品市场规模将会达到50 亿元，三年复合增长率为 35.72%，非常看好中短期内态势感知产品在国内的市场表现。监管机构：对外网进行监控态势感知下游客户分为监管机构和企业，分别要对外网和内网进行监控。态势感知这个名字一般专用于监管机构，对于企业而言，态势感知产品常以大数据分析平台的名字出现。国家法律明文规定监管机构需要建立监测预警平台。目前对于 G 端用户 HYPERLINK / 请务必

15、阅读正文之后的免责条款部分来说，对于态势感知的需求更显刚性。这主要是网络安全法的落地实施所驱动的。网络安全法第五章监测预警与应急处置中提到政府部门中有两类主体有建设监测预警平台的义务：国家网信部门：“国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。”负责关键信息基础设施保护的部门：“负责关键信息基础设施安全保护工作的部门，应当建立健全本行业、本领域的网络安全监测预警和信息通报制度，并按照规定报送网络安全监测预警信息。”需求主体数量测算：网信部门：假设地市级以上网信部门都需要构建当地的网络安全监测预警平台，则对应国家网信办 1 个，省级

16、网信部门 34 个，地市级网信部门 293 个。关键信息基础设施保护责任部门：关键信息基础设施安全保护条 例（征求意见稿）分五部门划分了关键信息基础设施保护责任部门：政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位。电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单位。国防科工、大型装备、化工、食品药品等行业领域科研生产单位。广播电台、电视台、通讯社等新闻单位。其他重点单位。除去各当地政府机关领域的网络安全监测预警平台可以跟当地的网信部门共建以外，其他包括能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公

17、用事业、公共信息网络服务、国防科工、大型装备、化工、食品药品、新闻十五个大行业，也就是至少十五个行业监管部门需要建设本行业的关键信息基础设施安全监测预警平台。监管机构的需求更加侧重于监控，对威胁情报能力要求更高。监管机构的需求更侧重于对本区域或本行业内关键信息基础设施的监控（企业是为了保护内网，所以要把“战场前移”），能够实现多维度安全数据的搜集和归一化，然后进行监测和可视化处理，并且定期生成报表，一旦发现威胁通知协调本区域或本行业的公司进行检查、防护和处理，同时还会使用监控的结果来进行绩效考核。监管机构监控范围更广，因此对于外部威胁情报能力要求更高。根据我们的产业调研，监管机构的态势感知市场

18、已经过了渗透率拐点， 市场格局较为稳定。态势感知平台最早是公安网安整个行业在做（主要是安恒信息和奇安信两家），从 2017 年开始，通过 2017、2018 年基本上全国已经做了 150 个省和地市项目，2019 年预计再做 100 多家，还有原来的 150 多家做二期和三期，未来将向网信办和央企部委渗透。如果把 HYPERLINK / 请务必阅读正文之后的免责条款部分渗透率拐点定义为 5-10，那么态势感知市场已经过了渗透率拐点。企业端：对内网进行监控企业需求更看重内网监控能力。企业购买态势感知产品是想强化自身的安全防护能力，对内网监控。尤其是现在一些容易被攻击的大企业，它们对态势感知产品的

19、需求强调的是实质性的效果。而且一般这些企业之前都有自建的 SOC，但是因为 SOC 产品不具备大数据分析能力，功能主要是搜集安全产品的日志，现在它们往往是把态势感知作为一个技术模块加入到 SOC 里去，强化 SOC 的安全能力。能源企业是目前态势感知产品最大的买主。我们统计了 2019 年至今的安全态势感知项目的公开中标通知，在过去的三个月里总共有 27 个项目，项目金额在几十万到几百万不等。发标方所处行业包括能源、电信、政务、公安、教育、医疗、新闻和工业，其中来自能源行业的项目最多， 有 8 个。而且能源行业的单项目金额比较高，项目金额最低的一个也有近三百万（仅包括写明项目金额的）。我们产业

20、调研得到的信息也是目前对态势感知产品购买欲望最强的就是能源行业企业，主要原因是能源成了国家级网络对抗的主要针对目标，而且海外能源企业“大案”频发， 致使国内能源企业危机感比一般企业要强。而且我国能源企业一般都是大型的央企国企，所以能源企业更乐意投资于安全产品，甚至会过度投资。项目名称金额所属行业广东省能源集团有限公司网络安全态势感知和监测预警系统建设项目389 万能源中国移动山西公司 2019 年省公司网络管理中心网络与信息安全态势感知防护软件采购80 万电信港闸区法院安全态势感知系统48.99 万政务平湖市公安局公安网边界准入及态势感知项目66.5 万公安广西财政厅网络安全态势感知平台系统采

21、购项目192.83 万政务上海航空工业集团信息安全风险监测与态势感知平台项目（一期）221.8 万工业深圳供电局有限公司电力监控系统网络安全态势感知及管理平台472 万能源中国电信安徽公司安全态势感知系统建设项目102.22 万电信华能澜沧江水电股份有限公司电力监控系统网络安全态势感知系统建设项目292.01 万能源中国华电集团有限公司相关项目网络安全统一管控基于威胁情报大数据的网络安全态势感知平台项目481 万能源2018 年中国联通河南网络与信息安全风险管理及态势感知平台新建工程项目未写明电信广西科联招标中心广西教育信息化终端应用管理和安全态势感知管理信息系统298.96 万教育广西教育网

22、络安全态势感知和安全预警信息系统224.72 万教育贵阳日报传媒集团日志审计系统及态势感知系统采购项目76.95 万新闻龙滩电厂电力监控系统网络安全态势感知系统建设项目未写明能源岩滩电力监控系统网络安全态势感知系统建设项目未写明能源合山公司电力监控系统网络安全态势感知厂站装置项目未写明能源中国电信绍兴分公司绍兴市电子政务云网络与数据安全服务项目态势感知管理平台及相关软件系统项目172.41 万政务中国移动辽宁公司 2018 年安全态势感知平台扩容工程(包 2：APP 攻防感知系统)未写明电信内蒙古电力（集团）有限责任公司网络安全态势感知平台建设未写明能源表 2：2019 年可查的所有态势感知项

23、目的中标公告 HYPERLINK / 请务必阅读正文之后的免责条款部分潮州市公安局网络安全态势感知体系二期建设174.67 万公安中国移动新疆分公司基于应用日志大数据和 ELK 系统实现可视化运维和态势感知项目未写明电信瑞安市卫计局下属 7 家医院安全态势感知平台服务采购项目97.4 万医疗四川省泸州市不动产登记中心安全态势感知平台60 万政务山西大学网络态势感知项目342.8 万教育惠州市中心人民医院全网安全态势感知平台建设项目45 万医疗数据来源：剑鱼， 市占率视角：“老中青”三代厂商同台竞技市场矩阵图能说明什么问题透过安全牛的态势感知市场矩阵图看市场格局。目前对国内态势感知产品市场竞争格

24、局进行调查研究的第三方机构只有安全牛，它从三个维度对目前市场上主流的态势感知厂商做了考核：影响力：它是根据品牌知名度、行业口碑、市场地位等指标来确定的。从这个维度上看，安恒信息是目前市场上影响力最大的厂商， 其次是奇安信（360 企业安全）、华为、绿盟等厂商。影响力高的企业基本都是信息安全全线产品厂商，而且本身集团在业界就有很好的知名度和口碑；规模：主要包括营业收入、人员数量和利润等。综合这些因素后， 奇安信（360 企业安全）的规模略大于安恒信息，处于市场第一的位置，其次是老牌杀毒引擎厂商安天；技术与创新：主要指研发投入、产品化能力、技术定位等。据此，安全牛认为态势感知市场中技术创新能力最强

25、的三家厂商分别是安恒信息、奇安信（360 企业安全）和瀚思科技，其中瀚思科技是2014 年新成立的专注于用大数据解决安全问题的一家公司。图 7：安全牛的态势感知产品矩阵（SAM）数据来源：安全牛 HYPERLINK / 请务必阅读正文之后的免责条款部分我们仔细看这个矩阵图可以发现：影响力和规模有明显的正相关关系，新厂商想进入可能会面临品牌壁垒。如果一家新企业想要进入态势感知领域，必须要面对其他头部安全厂商通过多年积累形成的品牌和渠道优势，综合表现出来就是所谓的影响力；“中生代”企业领军态势感知细分领域。从态势感知矩阵来看，安恒信息和奇安信（360 企业安全）已经有了明显的市场优势。安恒信息是在

26、 2007 年成立的，最初专注于做 WAF，奇安信（360 企业安全）最早可以追溯到 2006 年，最初主打的是安管平台（SOC）。它们比传统的安全大厂（启明星辰、天融信、绿盟）晚成立近十年， 从当时比较新颖热门的产品入手切入企业信息安全市场，然后逐步发展成了全线产品厂商，但是全线产品厂商一般都有几个拳头产品， 所以安恒信息和奇安信（360 企业安全）都选择了态势感知作为自己的下一个拳头产品，也在态势感知上投入了大量的研发和市场资 源。此外，产品型公司深信服在态势感知领域也有布局；“新生代”企业专注于态势感知，想通过这个产品在安全领域站稳脚跟。2014 年成立的瀚思科技（核心成员来自 IBM、

27、趋势科技等海外安全厂商）推出的核心产品叫做全场景大数据安全平台，这个产品获得了 2018 年 Gartner SIEM 魔力象限提名（但是没有入选，国内唯一入选该象限的产品是启明星辰 TSOC），2016 年成立的兰云科技（核心成员来自启明星辰、华为、绿盟等国内大厂）推出的核心产品是兰天智能安全平台（是一款 SOAPA 产品，国际上认为这是下一代 SOC 的发展方向）。这些“新生代”厂商则是专注于态势感知类产品，希望通过这种产品能够在安全市场上站稳脚跟，所以他们也可以在研发和市场上有不输大厂的投入。图 8：瀚思科技大数据分析平台包含了态势感知能力数据来源：瀚思科技 HYPERLINK / 请务

28、必阅读正文之后的免责条款部分图 9：深信服安全产品线较短，但也有态势感知产品数据来源：深信服新兴厂商大力投入研发态势感知产品老牌厂商产品线过长，研发资源平摊后在态势感知产品上投入较为有限。我们看到在态势感知矩阵里，头部安全厂商只有绿盟尚保持前列，这主要是因为老牌厂商为了维持自己现有产品线的优势地位，很难在态势感知单个产品上投入过多的研发和市场资源，它们必须要作出权衡。根据绿盟的年报里的开发支出项目，跟态势感知有关的两个项目的开发投入加起来 1100 万左右。启明星辰一直基于 SOC/SIEM 产品进行迭代，在它的泰和 TSOC（TSOC 是侧重威胁量化评估的 SOC）里加入了大数据架构和态势感

29、知能力。表 3：绿盟在态势感知类产品上的开发支出总共仅有一千多万项目时间项目投入（万）当年总研发支出（万）占比绿盟安全态势感知平台 V2.0.0-TSA2017 年701.158,313.028.43%绿盟大数据安全分析平台-V2.0.02015 年433.233,232.7513.40%数据来源：绿盟科技年报， HYPERLINK / 请务必阅读正文之后的免责条款部分图 10：启明星辰不断在泰和 TSOC 上迭代数据来源：启明星辰年报， 中生代网络安全公司安恒信息大手笔“押注”态势感知。根据安恒信息最新披露的招股说明书里面的拟募投项目和在研项目，我们看到仅AiLPHA 大数据智能安全管控平台

30、这一个项目的经费投入就预计 7000万，明鉴网络安全态势感知通报预警平台的经费投入也有 2900 万。而它这次 IPO 的募投项目里也有大数据态势感知平台升级项目，准备投入金额达到了 1.13 亿元，占了这次拟募集金额的 14.82%。从投入上我们可以看到，安恒信息是要把态势感知做成自己的拳头产品。表 4：安恒信息大手笔“押注”态势感知项目状态金额大数据态势感知平台升级项目本次募投项目11268.7 万元明鉴网络安全态势感知通报预警平台稳定优化整体投入预计 2900 万工业互联网安全监测与态势感知技术手段建设稳定优化整体投入预计 1500 万物联网安全态势感知技术研究与应用稳定优化整体投入预计

31、 5000 万AiLPHA 大数据智能安全管控平台稳定优化整体投入预计 7000 万备注：整体投入和开发支出统计口径不一致，所以安恒的态势感知整体投入和绿盟的态势感知开发支出不可比数据来源：安恒信息招股说明书， 初创公司大额融资不断，研发投入并不低。从新闻里统计跟态势感知相关的企业的融资情况，我们看到专做态势感知产品的瀚思科技，它在2017 年B 轮融资 1 个亿，同样做大数据+安全的观安信息则是在 2018 年B 轮融资 1.3 亿。大额的融资给这些专注在态势感知产品品类上的初创企业带来不输大厂的研发和市场宣传能力。时间未上市安全企业融资情况最新融资额主要业务2019 年 3 月长扬科技A+轮数千万工控安全设备体系（包括防护类、监测类、管理类等多款设备)、安全态势感知平台2019 年 3 月斗象科技B+轮亿元级别旗下品牌包括互联网安全新媒体社区“FreeBuf”，互联网安全测试服务平台“漏洞盒子”，以及智能安全监测与调查分析系统“网藤风险感知”表 5：相关业务的上市公司近期 A/B 轮融资额都是千万/亿级 HYPERLINK / 请务必阅读正文之后的免责条款部分2019 年 1 月奇安信（3