計(jì)算機(jī)行業(yè)：態(tài)勢(shì)感知預(yù)見未來(lái)

1、 HYPERLINK / 請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款部分目 錄 HYPERLINK l _bookmark0 態(tài)勢(shì)感知，從被動(dòng)防御轉(zhuǎn)向主動(dòng)防御3 HYPERLINK l _bookmark1 態(tài)勢(shì)感知是被引入信息安全領(lǐng)域的軍事概念3 HYPERLINK l _bookmark2 態(tài)勢(shì)感知改變了傳統(tǒng)被動(dòng)防御的策略3 HYPERLINK l _bookmark3 傳統(tǒng)安全產(chǎn)品以單點(diǎn)防護(hù)為主3 HYPERLINK l _bookmark4 態(tài)勢(shì)感知的前提是對(duì)傳統(tǒng)單點(diǎn)安全產(chǎn)品進(jìn)行管理4 HYPERLINK l _bookmark5 態(tài)勢(shì)感知的目的是提前發(fā)現(xiàn)和解決問(wèn)題6 HYPERLINK l _bo

2、okmark6 滲透率視角：態(tài)勢(shì)感知監(jiān)管機(jī)構(gòu)滲透率已過(guò)拐點(diǎn)7 HYPERLINK l _bookmark7 2020 年態(tài)勢(shì)感知市場(chǎng)空間將達(dá)到 50 億7 HYPERLINK l _bookmark8 監(jiān)管機(jī)構(gòu)：對(duì)外網(wǎng)進(jìn)行監(jiān)控7 HYPERLINK l _bookmark9 企業(yè)端：對(duì)內(nèi)網(wǎng)進(jìn)行監(jiān)控9 HYPERLINK l _bookmark10 市占率視角：“老中青”三代廠商同臺(tái)競(jìng)技10 HYPERLINK l _bookmark11 市場(chǎng)矩陣圖能說(shuō)明什么問(wèn)題10 HYPERLINK l _bookmark12 新興廠商大力投入研發(fā)態(tài)勢(shì)感知產(chǎn)品12 HYPERLINK l _bookmark

3、13 投資建議14 HYPERLINK l _bookmark14 風(fēng)險(xiǎn)提示14 HYPERLINK / 請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款部分態(tài)勢(shì)感知，從被動(dòng)防御轉(zhuǎn)向主動(dòng)防御態(tài)勢(shì)感知是被引入信息安全領(lǐng)域的軍事概念態(tài)勢(shì)感知本身是一個(gè)軍事概念，最早是美國(guó)空軍提出來(lái)用于分析空戰(zhàn)環(huán)境來(lái)對(duì)當(dāng)前和未來(lái)形勢(shì)作出判斷的一種方法，于上世紀(jì)九十年代被引用到信息安全對(duì)抗領(lǐng)域。目前對(duì)態(tài)勢(shì)感知普遍采取的定義是系統(tǒng)工程學(xué)博士 Endsley 所給出的，即態(tài)勢(shì)感知是感知大量的時(shí)間和空間中的環(huán)境要素，理解它們的意義，并預(yù)測(cè)它們?cè)诓痪脤?lái)的狀態(tài)。網(wǎng)絡(luò)安全態(tài)勢(shì)感 知本質(zhì)上是獲取大量的網(wǎng)絡(luò)安全數(shù)據(jù)，對(duì)其進(jìn)行關(guān)聯(lián)分析以理解當(dāng)前的 安全狀

4、態(tài)，并且對(duì)未來(lái)的安全狀態(tài)進(jìn)行預(yù)測(cè)。把態(tài)勢(shì)感知引入到安全領(lǐng) 域的目的是可以讓防御一方能更好的知道現(xiàn)在的形勢(shì)，并且還能幫助防 御者對(duì)未來(lái)發(fā)展方向做一個(gè)預(yù)判，這樣防御方就能更好的制定防御策略。圖 1：態(tài)勢(shì)感知的三個(gè)子要素?cái)?shù)據(jù)來(lái)源：網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究綜述， 態(tài)勢(shì)感知改變了傳統(tǒng)被動(dòng)防御的策略傳統(tǒng)安全產(chǎn)品以單點(diǎn)防護(hù)為主傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品核心理念是被動(dòng)防御。以防火墻、防病毒軟件和入侵檢測(cè)/防御為代表，傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品的設(shè)計(jì)理念是被動(dòng)防御和單點(diǎn)防護(hù)。防火墻。防火墻是基于內(nèi)外網(wǎng)隔離的理念進(jìn)行防護(hù)的，也就是建一面“墻”圈出一個(gè)內(nèi)部網(wǎng)絡(luò)來(lái)，它的防御方法是假定內(nèi)部網(wǎng)絡(luò)可信外部網(wǎng)絡(luò)不可信，然后根據(jù)包過(guò)濾機(jī)制制定訪問(wèn)控

5、制策略，只允許“合格”的數(shù)據(jù)進(jìn)入內(nèi)網(wǎng)，防火墻是根據(jù)數(shù)據(jù)包的起點(diǎn)和終點(diǎn)（IP 地址、端口號(hào)等信息）來(lái)把關(guān)內(nèi)外網(wǎng)“大門”的；入侵檢測(cè)。IDS/IPS 一定意義上可以看成防火墻的衍生品。它一般是要部署在在流量必經(jīng)的鏈路上對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)測(cè)，常見的一種比喻是：“如果把防火墻看做大樓的門鎖，IDS 就是大樓的監(jiān)控系統(tǒng)”，根據(jù)部署方式不同，IDS/IPS 可以分為基于網(wǎng)絡(luò)的和基于主機(jī)的，根據(jù)監(jiān)測(cè)方法和安全策略的不同，IDS/IPS 可以分為異常入侵監(jiān)測(cè)和誤用入侵檢測(cè)。異常入侵檢測(cè)誤用入侵檢測(cè)行為模型建立正常行為模型建立入侵行為模型安全策略告警不符合模型行為告警符合模型行為表 1：入侵檢測(cè)有兩種監(jiān)測(cè)方法 H

6、YPERLINK / 請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款部分優(yōu)點(diǎn)可檢測(cè)未知攻擊具有自適應(yīng)、自學(xué)習(xí)能力準(zhǔn)確率高算法簡(jiǎn)單關(guān)鍵問(wèn)題要選擇“正確”的行為特征要選擇合適的統(tǒng)計(jì)算法、統(tǒng)計(jì)點(diǎn)要建立完整的攻擊特征庫(kù)特征庫(kù)要不斷更新未知攻擊無(wú)法識(shí)別數(shù)據(jù)來(lái)源：CSDN， 防病毒軟件。防病毒軟件是一種通過(guò)實(shí)時(shí)監(jiān)控和磁盤掃描的方式把 文件和自身的病毒特征庫(kù)進(jìn)行對(duì)比，來(lái)發(fā)現(xiàn)和消除惡意程序。因?yàn)?病毒一般都是通過(guò)個(gè)人終端進(jìn)行傳播的，為了避免病毒通過(guò)辦公區(qū) 域的終端繞進(jìn)內(nèi)網(wǎng)，一般都會(huì)在辦公區(qū)域的終端側(cè)部署防病毒軟件。態(tài)勢(shì)感知的前提是對(duì)傳統(tǒng)單點(diǎn)安全產(chǎn)品進(jìn)行管理SOC/SIEM 是基礎(chǔ)安全產(chǎn)品的管理工具。當(dāng)企業(yè)分了不同的區(qū)域進(jìn)行防護(hù)

7、，裝上了各種各樣的設(shè)備，復(fù)雜性的提升就帶來(lái)了體系化管理的需求， 目前我國(guó)有安全管理建設(shè)需求的單位通常都是 IT 應(yīng)用成熟度較高的大型企業(yè)，它們通常是建設(shè)一個(gè) SOC/SIEM 來(lái)作為安全管理的基礎(chǔ)設(shè)施， 通過(guò)這種產(chǎn)品可以實(shí)現(xiàn)諸如日志集中管理、統(tǒng)一配置、進(jìn)行初步的不同產(chǎn)品和系統(tǒng)的協(xié)同、設(shè)備自動(dòng)發(fā)現(xiàn)等功能。人力現(xiàn)在成了提高安全效率的最大約束。安全管理產(chǎn)品只是進(jìn)行安全設(shè)備和安全事件的管理，而不直接解決特定的安全問(wèn)題。解決問(wèn)題的人力成了提升安全能力的最大約束，往往甲方公司在使用了 SOC/SIEM 以后， 大量實(shí)時(shí)的告警被集成到平臺(tái)上來(lái)，一天的告警數(shù)量從幾千條到數(shù)百萬(wàn)條的都有，安全運(yùn)維人員處理一條告警

8、就要幾天的時(shí)間，一條一條去手動(dòng)處理 SOC/SIEM 里的告警不現(xiàn)實(shí)。而且現(xiàn)在組織機(jī)構(gòu)的運(yùn)維人員本身數(shù)量就較為稀缺，根據(jù)我們的產(chǎn)業(yè)調(diào)研，大型公募銀華基金 IT 運(yùn)維人員僅有三人。一家海外的安全事件編排廠商 Demisto 通過(guò)調(diào)研發(fā)現(xiàn)，大約有 80%的公司沒(méi)有充足的運(yùn)維人員去運(yùn)營(yíng) SOC，培訓(xùn)一個(gè)合格的 SOC 運(yùn)維人員要 8 個(gè)月，但是平均兩年內(nèi) 25%的 SOC 運(yùn)維人員會(huì)轉(zhuǎn)崗，結(jié)果就是甲方公司平均每手動(dòng)處理一個(gè)告警就需要 4.35 天， 所以SOC/SIEM 產(chǎn)品對(duì)國(guó)內(nèi)甲方的實(shí)際安全防護(hù)水平的提升是非常有限的， 核心的限制因素是企業(yè)的安全人員數(shù)量不夠以及企業(yè)內(nèi)缺乏必要的安全管理流程制度。

9、 HYPERLINK / 請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款部分圖 2：一般大中型企業(yè)的安全架構(gòu)已經(jīng)較為復(fù)雜數(shù)據(jù)來(lái)源：CSDN， 現(xiàn)在市場(chǎng)上的態(tài)勢(shì)感知產(chǎn)品一般是由三部分組成,實(shí)現(xiàn)數(shù)據(jù)采集-數(shù)據(jù)分析-可視化展現(xiàn)三大功能。日志審計(jì)（日志探針和關(guān)聯(lián)規(guī)則引擎）：通過(guò)日志探針把網(wǎng)絡(luò)里所有的系統(tǒng)和設(shè)備的日志收集上來(lái)，然后進(jìn)行預(yù)處理，再通過(guò)關(guān)聯(lián)規(guī)則引擎進(jìn)行實(shí)時(shí)的流分析，跟內(nèi)置的規(guī)則庫(kù)進(jìn)行匹配，發(fā)現(xiàn)問(wèn)題并進(jìn)行報(bào)警；DPI（流量探針）：一般是部署在網(wǎng)絡(luò)交換機(jī)附近或者需要監(jiān)控的節(jié)點(diǎn)附近，作用是把流經(jīng)這個(gè)節(jié)點(diǎn)的所有流量轉(zhuǎn)寫成結(jié)構(gòu)化的流量日志，然后傳輸?shù)椒治銎脚_(tái)上，有些DPI 里還會(huì)有一些檢測(cè)規(guī)則引擎， 來(lái)進(jìn)行實(shí)時(shí)的攻擊特

10、征流量檢測(cè)，DPI 的采購(gòu)量跟監(jiān)測(cè)節(jié)點(diǎn)的最大流量有關(guān)；分析平臺(tái)：態(tài)勢(shì)感知的本質(zhì)就是一個(gè)大數(shù)據(jù)平臺(tái)產(chǎn)品，給分析海量的設(shè)備日志、系統(tǒng)日志、流量日志等數(shù)據(jù)提供分布式的計(jì)算和存儲(chǔ)能力，并且還給客戶提供安全態(tài)勢(shì)的可視化能力。圖 3：部署態(tài)勢(shì)感知的示意圖數(shù)據(jù)來(lái)源： HYPERLINK / 請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款部分用戶還可以自選其他設(shè)備來(lái)豐富數(shù)據(jù)采集的廣度和深度。除了日志審計(jì)和流量探針是必須要購(gòu)買的數(shù)據(jù)采集器以外，用戶還可以選采其他的數(shù)據(jù)采集器，比如沙箱、EDR、云端威脅情報(bào)、郵件審計(jì)、APT 監(jiān)測(cè)設(shè)備等等。一般來(lái)講數(shù)據(jù)的采集范圍越廣、深度越深，態(tài)勢(shì)感知產(chǎn)品越有價(jià)值。圖 4：安恒信息的 AiPHA

11、大數(shù)據(jù)平臺(tái)的 APT 可視化大屏數(shù)據(jù)來(lái)源：安恒信息態(tài)勢(shì)感知的目的是提前發(fā)現(xiàn)和解決問(wèn)題走通了商業(yè)模式的黑客們?cè)絹?lái)越組織化、國(guó)家化。在防御方陷入了整體安全防護(hù)水平提升的瓶頸的同時(shí)，攻擊方的攻擊水平卻一直在提升。以前黑客進(jìn)行攻擊主要是出于炫技的動(dòng)機(jī)，所造成經(jīng)濟(jì)損失和安全危害都比較小，但是現(xiàn)在隨著黑客“商業(yè)模式”的清晰（售賣敏感信息變現(xiàn)、DDoS 攻擊實(shí)現(xiàn)敲詐勒索和商業(yè)攻擊、通過(guò)信息篡改更改資產(chǎn)所有權(quán)），在終端的經(jīng)濟(jì)利益爆發(fā)式增加的情況下，網(wǎng)絡(luò)攻擊逐步走向了產(chǎn)業(yè)化和專業(yè)化的趨勢(shì)，提高了攻擊一方的入侵動(dòng)機(jī)和技術(shù)能力。圖 5：黑客呈現(xiàn)高度的產(chǎn)業(yè)化和專業(yè)化趨勢(shì)數(shù)據(jù)來(lái)源：威脅情報(bào)生態(tài)大會(huì)， HYPERLINK

12、 / 請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款部分APT（高級(jí)持續(xù)性威脅）攻擊是現(xiàn)在政府部門、金融、能源、工業(yè)大型企業(yè)的頭號(hào)敵人，態(tài)勢(shì)感知能夠提前進(jìn)行防御。APT 其實(shí)不是一個(gè)特定的攻擊手段，而是一種攻擊戰(zhàn)術(shù)，就是通過(guò)一種流程化、長(zhǎng)期的計(jì)劃和組織來(lái)針對(duì)一個(gè)特定目標(biāo)實(shí)施持續(xù)性的攻擊，來(lái)完成自己的商業(yè)或者政治訴求。APT 攻擊的另一個(gè)特性就是一旦攻擊者得手，被攻擊者的損失就是巨大的，比如說(shuō)大規(guī)模的數(shù)據(jù)泄露、大面積 IoT 設(shè)備停工、勒索病毒爆發(fā)等。所以必須要把工作做到事前，在 APT 攻擊還沒(méi)得手的時(shí)候解決問(wèn)題。簡(jiǎn)單點(diǎn)來(lái)說(shuō)，以前關(guān)注的是安全事件（打個(gè)比方就是“有人闖進(jìn)大樓了/有東西丟了”），現(xiàn)在要關(guān)注于安全態(tài)

13、勢(shì)（“我們門口有人鬼鬼祟祟的，要小心點(diǎn)”）。我們可以簡(jiǎn)單的把旨在實(shí)現(xiàn)“發(fā)現(xiàn)鬼鬼祟祟的人”的這個(gè)功能的產(chǎn)品定義為安全態(tài)勢(shì)感知產(chǎn)品。圖 6：最好是在滲透階段就阻止攻擊者數(shù)據(jù)來(lái)源： 滲透率視角：態(tài)勢(shì)感知監(jiān)管機(jī)構(gòu)滲透率已過(guò)拐點(diǎn)2020 年態(tài)勢(shì)感知市場(chǎng)空間將達(dá)到 50 億安全牛統(tǒng)計(jì) 2017 年我國(guó)態(tài)勢(shì)感知產(chǎn)品市場(chǎng)規(guī)模達(dá) 20 億。國(guó)內(nèi)信息安全專業(yè)咨詢媒體將態(tài)勢(shì)感知產(chǎn)品定義為：“圍繞安全運(yùn)營(yíng)中心(SOC)，并基于日志管理(SIEM)、大數(shù)據(jù)平臺(tái)、威脅情報(bào)、關(guān)聯(lián)分析、沙箱等等關(guān)鍵技術(shù)和多維度數(shù)據(jù)，為用戶提供預(yù)測(cè)、保護(hù)、檢測(cè)和響應(yīng)閉環(huán)能力的安全系統(tǒng)”，然后根據(jù)這個(gè)定義進(jìn)行統(tǒng)計(jì)得出結(jié)論，2017 年我國(guó)態(tài)勢(shì)感

14、知產(chǎn)品市場(chǎng)規(guī)模大約為 20 億，占整體市場(chǎng)規(guī)模的 5%（對(duì)應(yīng) 2017 年信息安全整體市場(chǎng)規(guī)模 400 億，跟 CCID 的統(tǒng)計(jì)一致，高于 IDC 統(tǒng)計(jì)）。并且安全牛在 2017 年預(yù)計(jì)，2020 年我國(guó)態(tài)勢(shì)感知產(chǎn)品市場(chǎng)規(guī)模將會(huì)達(dá)到50 億元，三年復(fù)合增長(zhǎng)率為 35.72%，非?？春弥卸唐趦?nèi)態(tài)勢(shì)感知產(chǎn)品在國(guó)內(nèi)的市場(chǎng)表現(xiàn)。監(jiān)管機(jī)構(gòu)：對(duì)外網(wǎng)進(jìn)行監(jiān)控態(tài)勢(shì)感知下游客戶分為監(jiān)管機(jī)構(gòu)和企業(yè)，分別要對(duì)外網(wǎng)和內(nèi)網(wǎng)進(jìn)行監(jiān)控。態(tài)勢(shì)感知這個(gè)名字一般專用于監(jiān)管機(jī)構(gòu)，對(duì)于企業(yè)而言，態(tài)勢(shì)感知產(chǎn)品常以大數(shù)據(jù)分析平臺(tái)的名字出現(xiàn)。國(guó)家法律明文規(guī)定監(jiān)管機(jī)構(gòu)需要建立監(jiān)測(cè)預(yù)警平臺(tái)。目前對(duì)于 G 端用戶 HYPERLINK / 請(qǐng)務(wù)必

15、閱讀正文之后的免責(zé)條款部分來(lái)說(shuō)，對(duì)于態(tài)勢(shì)感知的需求更顯剛性。這主要是網(wǎng)絡(luò)安全法的落地實(shí)施所驅(qū)動(dòng)的。網(wǎng)絡(luò)安全法第五章監(jiān)測(cè)預(yù)警與應(yīng)急處置中提到政府部門中有兩類主體有建設(shè)監(jiān)測(cè)預(yù)警平臺(tái)的義務(wù)：國(guó)家網(wǎng)信部門：“國(guó)家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門加強(qiáng)網(wǎng)絡(luò)安全信息收集、分析和通報(bào)工作，按照規(guī)定統(tǒng)一發(fā)布網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警信息。”負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的部門：“負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門，應(yīng)當(dāng)建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度，并按照規(guī)定報(bào)送網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警信息?！毙枨笾黧w數(shù)量測(cè)算：網(wǎng)信部門：假設(shè)地市級(jí)以上網(wǎng)信部門都需要構(gòu)建當(dāng)?shù)氐木W(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警平臺(tái)，則對(duì)應(yīng)國(guó)家網(wǎng)信辦 1 個(gè)，省級(jí)

16、網(wǎng)信部門 34 個(gè)，地市級(jí)網(wǎng)信部門 293 個(gè)。關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)責(zé)任部門：關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條 例（征求意見稿）分五部門劃分了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)責(zé)任部門：政府機(jī)關(guān)和能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護(hù)、公用事業(yè)等行業(yè)領(lǐng)域的單位。電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)，以及提供云計(jì)算、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡(luò)服務(wù)的單位。國(guó)防科工、大型裝備、化工、食品藥品等行業(yè)領(lǐng)域科研生產(chǎn)單位。廣播電臺(tái)、電視臺(tái)、通訊社等新聞單位。其他重點(diǎn)單位。除去各當(dāng)?shù)卣畽C(jī)關(guān)領(lǐng)域的網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警平臺(tái)可以跟當(dāng)?shù)氐木W(wǎng)信部門共建以外，其他包括能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護(hù)、公

17、用事業(yè)、公共信息網(wǎng)絡(luò)服務(wù)、國(guó)防科工、大型裝備、化工、食品藥品、新聞十五個(gè)大行業(yè)，也就是至少十五個(gè)行業(yè)監(jiān)管部門需要建設(shè)本行業(yè)的關(guān)鍵信息基礎(chǔ)設(shè)施安全監(jiān)測(cè)預(yù)警平臺(tái)。監(jiān)管機(jī)構(gòu)的需求更加側(cè)重于監(jiān)控，對(duì)威脅情報(bào)能力要求更高。監(jiān)管機(jī)構(gòu)的需求更側(cè)重于對(duì)本區(qū)域或本行業(yè)內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施的監(jiān)控（企業(yè)是為了保護(hù)內(nèi)網(wǎng)，所以要把“戰(zhàn)場(chǎng)前移”），能夠?qū)崿F(xiàn)多維度安全數(shù)據(jù)的搜集和歸一化，然后進(jìn)行監(jiān)測(cè)和可視化處理，并且定期生成報(bào)表，一旦發(fā)現(xiàn)威脅通知協(xié)調(diào)本區(qū)域或本行業(yè)的公司進(jìn)行檢查、防護(hù)和處理，同時(shí)還會(huì)使用監(jiān)控的結(jié)果來(lái)進(jìn)行績(jī)效考核。監(jiān)管機(jī)構(gòu)監(jiān)控范圍更廣，因此對(duì)于外部威脅情報(bào)能力要求更高。根據(jù)我們的產(chǎn)業(yè)調(diào)研，監(jiān)管機(jī)構(gòu)的態(tài)勢(shì)感知市場(chǎng)

18、已經(jīng)過(guò)了滲透率拐點(diǎn)， 市場(chǎng)格局較為穩(wěn)定。態(tài)勢(shì)感知平臺(tái)最早是公安網(wǎng)安整個(gè)行業(yè)在做（主要是安恒信息和奇安信兩家），從 2017 年開始，通過(guò) 2017、2018 年基本上全國(guó)已經(jīng)做了 150 個(gè)省和地市項(xiàng)目，2019 年預(yù)計(jì)再做 100 多家，還有原來(lái)的 150 多家做二期和三期，未來(lái)將向網(wǎng)信辦和央企部委滲透。如果把 HYPERLINK / 請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款部分滲透率拐點(diǎn)定義為 5-10，那么態(tài)勢(shì)感知市場(chǎng)已經(jīng)過(guò)了滲透率拐點(diǎn)。企業(yè)端：對(duì)內(nèi)網(wǎng)進(jìn)行監(jiān)控企業(yè)需求更看重內(nèi)網(wǎng)監(jiān)控能力。企業(yè)購(gòu)買態(tài)勢(shì)感知產(chǎn)品是想強(qiáng)化自身的安全防護(hù)能力，對(duì)內(nèi)網(wǎng)監(jiān)控。尤其是現(xiàn)在一些容易被攻擊的大企業(yè)，它們對(duì)態(tài)勢(shì)感知產(chǎn)品的

19、需求強(qiáng)調(diào)的是實(shí)質(zhì)性的效果。而且一般這些企業(yè)之前都有自建的 SOC，但是因?yàn)?SOC 產(chǎn)品不具備大數(shù)據(jù)分析能力，功能主要是搜集安全產(chǎn)品的日志，現(xiàn)在它們往往是把態(tài)勢(shì)感知作為一個(gè)技術(shù)模塊加入到 SOC 里去，強(qiáng)化 SOC 的安全能力。能源企業(yè)是目前態(tài)勢(shì)感知產(chǎn)品最大的買主。我們統(tǒng)計(jì)了 2019 年至今的安全態(tài)勢(shì)感知項(xiàng)目的公開中標(biāo)通知，在過(guò)去的三個(gè)月里總共有 27 個(gè)項(xiàng)目，項(xiàng)目金額在幾十萬(wàn)到幾百萬(wàn)不等。發(fā)標(biāo)方所處行業(yè)包括能源、電信、政務(wù)、公安、教育、醫(yī)療、新聞和工業(yè)，其中來(lái)自能源行業(yè)的項(xiàng)目最多， 有 8 個(gè)。而且能源行業(yè)的單項(xiàng)目金額比較高，項(xiàng)目金額最低的一個(gè)也有近三百萬(wàn)（僅包括寫明項(xiàng)目金額的）。我們產(chǎn)業(yè)

20、調(diào)研得到的信息也是目前對(duì)態(tài)勢(shì)感知產(chǎn)品購(gòu)買欲望最強(qiáng)的就是能源行業(yè)企業(yè)，主要原因是能源成了國(guó)家級(jí)網(wǎng)絡(luò)對(duì)抗的主要針對(duì)目標(biāo)，而且海外能源企業(yè)“大案”頻發(fā)， 致使國(guó)內(nèi)能源企業(yè)危機(jī)感比一般企業(yè)要強(qiáng)。而且我國(guó)能源企業(yè)一般都是大型的央企國(guó)企，所以能源企業(yè)更樂(lè)意投資于安全產(chǎn)品，甚至?xí)^(guò)度投資。項(xiàng)目名稱金額所屬行業(yè)廣東省能源集團(tuán)有限公司網(wǎng)絡(luò)安全態(tài)勢(shì)感知和監(jiān)測(cè)預(yù)警系統(tǒng)建設(shè)項(xiàng)目389 萬(wàn)能源中國(guó)移動(dòng)山西公司 2019 年省公司網(wǎng)絡(luò)管理中心網(wǎng)絡(luò)與信息安全態(tài)勢(shì)感知防護(hù)軟件采購(gòu)80 萬(wàn)電信港閘區(qū)法院安全態(tài)勢(shì)感知系統(tǒng)48.99 萬(wàn)政務(wù)平湖市公安局公安網(wǎng)邊界準(zhǔn)入及態(tài)勢(shì)感知項(xiàng)目66.5 萬(wàn)公安廣西財(cái)政廳網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)系統(tǒng)采

21、購(gòu)項(xiàng)目192.83 萬(wàn)政務(wù)上海航空工業(yè)集團(tuán)信息安全風(fēng)險(xiǎn)監(jiān)測(cè)與態(tài)勢(shì)感知平臺(tái)項(xiàng)目（一期）221.8 萬(wàn)工業(yè)深圳供電局有限公司電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知及管理平臺(tái)472 萬(wàn)能源中國(guó)電信安徽公司安全態(tài)勢(shì)感知系統(tǒng)建設(shè)項(xiàng)目102.22 萬(wàn)電信華能瀾滄江水電股份有限公司電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)建設(shè)項(xiàng)目292.01 萬(wàn)能源中國(guó)華電集團(tuán)有限公司相關(guān)項(xiàng)目網(wǎng)絡(luò)安全統(tǒng)一管控基于威脅情報(bào)大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)項(xiàng)目481 萬(wàn)能源2018 年中國(guó)聯(lián)通河南網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)管理及態(tài)勢(shì)感知平臺(tái)新建工程項(xiàng)目未寫明電信廣西科聯(lián)招標(biāo)中心廣西教育信息化終端應(yīng)用管理和安全態(tài)勢(shì)感知管理信息系統(tǒng)298.96 萬(wàn)教育廣西教育網(wǎng)

22、絡(luò)安全態(tài)勢(shì)感知和安全預(yù)警信息系統(tǒng)224.72 萬(wàn)教育貴陽(yáng)日?qǐng)?bào)傳媒集團(tuán)日志審計(jì)系統(tǒng)及態(tài)勢(shì)感知系統(tǒng)采購(gòu)項(xiàng)目76.95 萬(wàn)新聞龍灘電廠電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)建設(shè)項(xiàng)目未寫明能源巖灘電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)建設(shè)項(xiàng)目未寫明能源合山公司電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知廠站裝置項(xiàng)目未寫明能源中國(guó)電信紹興分公司紹興市電子政務(wù)云網(wǎng)絡(luò)與數(shù)據(jù)安全服務(wù)項(xiàng)目態(tài)勢(shì)感知管理平臺(tái)及相關(guān)軟件系統(tǒng)項(xiàng)目172.41 萬(wàn)政務(wù)中國(guó)移動(dòng)遼寧公司 2018 年安全態(tài)勢(shì)感知平臺(tái)擴(kuò)容工程(包 2：APP 攻防感知系統(tǒng))未寫明電信內(nèi)蒙古電力（集團(tuán)）有限責(zé)任公司網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)建設(shè)未寫明能源表 2：2019 年可查的所有態(tài)勢(shì)感知項(xiàng)

23、目的中標(biāo)公告 HYPERLINK / 請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款部分潮州市公安局網(wǎng)絡(luò)安全態(tài)勢(shì)感知體系二期建設(shè)174.67 萬(wàn)公安中國(guó)移動(dòng)新疆分公司基于應(yīng)用日志大數(shù)據(jù)和 ELK 系統(tǒng)實(shí)現(xiàn)可視化運(yùn)維和態(tài)勢(shì)感知項(xiàng)目未寫明電信瑞安市衛(wèi)計(jì)局下屬 7 家醫(yī)院安全態(tài)勢(shì)感知平臺(tái)服務(wù)采購(gòu)項(xiàng)目97.4 萬(wàn)醫(yī)療四川省瀘州市不動(dòng)產(chǎn)登記中心安全態(tài)勢(shì)感知平臺(tái)60 萬(wàn)政務(wù)山西大學(xué)網(wǎng)絡(luò)態(tài)勢(shì)感知項(xiàng)目342.8 萬(wàn)教育惠州市中心人民醫(yī)院全網(wǎng)安全態(tài)勢(shì)感知平臺(tái)建設(shè)項(xiàng)目45 萬(wàn)醫(yī)療數(shù)據(jù)來(lái)源：劍魚， 市占率視角：“老中青”三代廠商同臺(tái)競(jìng)技市場(chǎng)矩陣圖能說(shuō)明什么問(wèn)題透過(guò)安全牛的態(tài)勢(shì)感知市場(chǎng)矩陣圖看市場(chǎng)格局。目前對(duì)國(guó)內(nèi)態(tài)勢(shì)感知產(chǎn)品市場(chǎng)競(jìng)爭(zhēng)格

24、局進(jìn)行調(diào)查研究的第三方機(jī)構(gòu)只有安全牛，它從三個(gè)維度對(duì)目前市場(chǎng)上主流的態(tài)勢(shì)感知廠商做了考核：影響力：它是根據(jù)品牌知名度、行業(yè)口碑、市場(chǎng)地位等指標(biāo)來(lái)確定的。從這個(gè)維度上看，安恒信息是目前市場(chǎng)上影響力最大的廠商， 其次是奇安信（360 企業(yè)安全）、華為、綠盟等廠商。影響力高的企業(yè)基本都是信息安全全線產(chǎn)品廠商，而且本身集團(tuán)在業(yè)界就有很好的知名度和口碑；規(guī)模：主要包括營(yíng)業(yè)收入、人員數(shù)量和利潤(rùn)等。綜合這些因素后， 奇安信（360 企業(yè)安全）的規(guī)模略大于安恒信息，處于市場(chǎng)第一的位置，其次是老牌殺毒引擎廠商安天；技術(shù)與創(chuàng)新：主要指研發(fā)投入、產(chǎn)品化能力、技術(shù)定位等。據(jù)此，安全牛認(rèn)為態(tài)勢(shì)感知市場(chǎng)中技術(shù)創(chuàng)新能力最強(qiáng)

25、的三家廠商分別是安恒信息、奇安信（360 企業(yè)安全）和瀚思科技，其中瀚思科技是2014 年新成立的專注于用大數(shù)據(jù)解決安全問(wèn)題的一家公司。圖 7：安全牛的態(tài)勢(shì)感知產(chǎn)品矩陣（SAM）數(shù)據(jù)來(lái)源：安全牛 HYPERLINK / 請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款部分我們仔細(xì)看這個(gè)矩陣圖可以發(fā)現(xiàn)：影響力和規(guī)模有明顯的正相關(guān)關(guān)系，新廠商想進(jìn)入可能會(huì)面臨品牌壁壘。如果一家新企業(yè)想要進(jìn)入態(tài)勢(shì)感知領(lǐng)域，必須要面對(duì)其他頭部安全廠商通過(guò)多年積累形成的品牌和渠道優(yōu)勢(shì)，綜合表現(xiàn)出來(lái)就是所謂的影響力；“中生代”企業(yè)領(lǐng)軍態(tài)勢(shì)感知細(xì)分領(lǐng)域。從態(tài)勢(shì)感知矩陣來(lái)看，安恒信息和奇安信（360 企業(yè)安全）已經(jīng)有了明顯的市場(chǎng)優(yōu)勢(shì)。安恒信息是在

26、 2007 年成立的，最初專注于做 WAF，奇安信（360 企業(yè)安全）最早可以追溯到 2006 年，最初主打的是安管平臺(tái)（SOC）。它們比傳統(tǒng)的安全大廠（啟明星辰、天融信、綠盟）晚成立近十年， 從當(dāng)時(shí)比較新穎熱門的產(chǎn)品入手切入企業(yè)信息安全市場(chǎng)，然后逐步發(fā)展成了全線產(chǎn)品廠商，但是全線產(chǎn)品廠商一般都有幾個(gè)拳頭產(chǎn)品， 所以安恒信息和奇安信（360 企業(yè)安全）都選擇了態(tài)勢(shì)感知作為自己的下一個(gè)拳頭產(chǎn)品，也在態(tài)勢(shì)感知上投入了大量的研發(fā)和市場(chǎng)資 源。此外，產(chǎn)品型公司深信服在態(tài)勢(shì)感知領(lǐng)域也有布局；“新生代”企業(yè)專注于態(tài)勢(shì)感知，想通過(guò)這個(gè)產(chǎn)品在安全領(lǐng)域站穩(wěn)腳跟。2014 年成立的瀚思科技（核心成員來(lái)自 IBM、

27、趨勢(shì)科技等海外安全廠商）推出的核心產(chǎn)品叫做全場(chǎng)景大數(shù)據(jù)安全平臺(tái)，這個(gè)產(chǎn)品獲得了 2018 年 Gartner SIEM 魔力象限提名（但是沒(méi)有入選，國(guó)內(nèi)唯一入選該象限的產(chǎn)品是啟明星辰 TSOC），2016 年成立的蘭云科技（核心成員來(lái)自啟明星辰、華為、綠盟等國(guó)內(nèi)大廠）推出的核心產(chǎn)品是蘭天智能安全平臺(tái)（是一款 SOAPA 產(chǎn)品，國(guó)際上認(rèn)為這是下一代 SOC 的發(fā)展方向）。這些“新生代”廠商則是專注于態(tài)勢(shì)感知類產(chǎn)品，希望通過(guò)這種產(chǎn)品能夠在安全市場(chǎng)上站穩(wěn)腳跟，所以他們也可以在研發(fā)和市場(chǎng)上有不輸大廠的投入。圖 8：瀚思科技大數(shù)據(jù)分析平臺(tái)包含了態(tài)勢(shì)感知能力數(shù)據(jù)來(lái)源：瀚思科技 HYPERLINK / 請(qǐng)務(wù)

28、必閱讀正文之后的免責(zé)條款部分圖 9：深信服安全產(chǎn)品線較短，但也有態(tài)勢(shì)感知產(chǎn)品數(shù)據(jù)來(lái)源：深信服新興廠商大力投入研發(fā)態(tài)勢(shì)感知產(chǎn)品老牌廠商產(chǎn)品線過(guò)長(zhǎng)，研發(fā)資源平攤后在態(tài)勢(shì)感知產(chǎn)品上投入較為有限。我們看到在態(tài)勢(shì)感知矩陣?yán)铮^部安全廠商只有綠盟尚保持前列，這主要是因?yàn)槔吓茝S商為了維持自己現(xiàn)有產(chǎn)品線的優(yōu)勢(shì)地位，很難在態(tài)勢(shì)感知單個(gè)產(chǎn)品上投入過(guò)多的研發(fā)和市場(chǎng)資源，它們必須要作出權(quán)衡。根據(jù)綠盟的年報(bào)里的開發(fā)支出項(xiàng)目，跟態(tài)勢(shì)感知有關(guān)的兩個(gè)項(xiàng)目的開發(fā)投入加起來(lái) 1100 萬(wàn)左右。啟明星辰一直基于 SOC/SIEM 產(chǎn)品進(jìn)行迭代，在它的泰和 TSOC（TSOC 是側(cè)重威脅量化評(píng)估的 SOC）里加入了大數(shù)據(jù)架構(gòu)和態(tài)勢(shì)感

29、知能力。表 3：綠盟在態(tài)勢(shì)感知類產(chǎn)品上的開發(fā)支出總共僅有一千多萬(wàn)項(xiàng)目時(shí)間項(xiàng)目投入（萬(wàn)）當(dāng)年總研發(fā)支出（萬(wàn)）占比綠盟安全態(tài)勢(shì)感知平臺(tái) V2.0.0-TSA2017 年701.158,313.028.43%綠盟大數(shù)據(jù)安全分析平臺(tái)-V2.0.02015 年433.233,232.7513.40%數(shù)據(jù)來(lái)源：綠盟科技年報(bào)， HYPERLINK / 請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款部分圖 10：?jiǎn)⒚餍浅讲粩嘣谔┖?TSOC 上迭代數(shù)據(jù)來(lái)源：?jiǎn)⒚餍浅侥陥?bào)， 中生代網(wǎng)絡(luò)安全公司安恒信息大手筆“押注”態(tài)勢(shì)感知。根據(jù)安恒信息最新披露的招股說(shuō)明書里面的擬募投項(xiàng)目和在研項(xiàng)目，我們看到僅AiLPHA 大數(shù)據(jù)智能安全管控平臺(tái)

30、這一個(gè)項(xiàng)目的經(jīng)費(fèi)投入就預(yù)計(jì) 7000萬(wàn)，明鑒網(wǎng)絡(luò)安全態(tài)勢(shì)感知通報(bào)預(yù)警平臺(tái)的經(jīng)費(fèi)投入也有 2900 萬(wàn)。而它這次 IPO 的募投項(xiàng)目里也有大數(shù)據(jù)態(tài)勢(shì)感知平臺(tái)升級(jí)項(xiàng)目，準(zhǔn)備投入金額達(dá)到了 1.13 億元，占了這次擬募集金額的 14.82%。從投入上我們可以看到，安恒信息是要把態(tài)勢(shì)感知做成自己的拳頭產(chǎn)品。表 4：安恒信息大手筆“押注”態(tài)勢(shì)感知項(xiàng)目狀態(tài)金額大數(shù)據(jù)態(tài)勢(shì)感知平臺(tái)升級(jí)項(xiàng)目本次募投項(xiàng)目11268.7 萬(wàn)元明鑒網(wǎng)絡(luò)安全態(tài)勢(shì)感知通報(bào)預(yù)警平臺(tái)穩(wěn)定優(yōu)化整體投入預(yù)計(jì) 2900 萬(wàn)工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)與態(tài)勢(shì)感知技術(shù)手段建設(shè)穩(wěn)定優(yōu)化整體投入預(yù)計(jì) 1500 萬(wàn)物聯(lián)網(wǎng)安全態(tài)勢(shì)感知技術(shù)研究與應(yīng)用穩(wěn)定優(yōu)化整體投入預(yù)計(jì)

31、 5000 萬(wàn)AiLPHA 大數(shù)據(jù)智能安全管控平臺(tái)穩(wěn)定優(yōu)化整體投入預(yù)計(jì) 7000 萬(wàn)備注：整體投入和開發(fā)支出統(tǒng)計(jì)口徑不一致，所以安恒的態(tài)勢(shì)感知整體投入和綠盟的態(tài)勢(shì)感知開發(fā)支出不可比數(shù)據(jù)來(lái)源：安恒信息招股說(shuō)明書， 初創(chuàng)公司大額融資不斷，研發(fā)投入并不低。從新聞里統(tǒng)計(jì)跟態(tài)勢(shì)感知相關(guān)的企業(yè)的融資情況，我們看到專做態(tài)勢(shì)感知產(chǎn)品的瀚思科技，它在2017 年B 輪融資 1 個(gè)億，同樣做大數(shù)據(jù)+安全的觀安信息則是在 2018 年B 輪融資 1.3 億。大額的融資給這些專注在態(tài)勢(shì)感知產(chǎn)品品類上的初創(chuàng)企業(yè)帶來(lái)不輸大廠的研發(fā)和市場(chǎng)宣傳能力。時(shí)間未上市安全企業(yè)融資情況最新融資額主要業(yè)務(wù)2019 年 3 月長(zhǎng)揚(yáng)科技A+輪數(shù)千萬(wàn)工控安全設(shè)備體系（包括防護(hù)類、監(jiān)測(cè)類、管理類等多款設(shè)備)、安全態(tài)勢(shì)感知平臺(tái)2019 年 3 月斗象科技B+輪億元級(jí)別旗下品牌包括互聯(lián)網(wǎng)安全新媒體社區(qū)“FreeBuf”，互聯(lián)網(wǎng)安全測(cè)試服務(wù)平臺(tái)“漏洞盒子”，以及智能安全監(jiān)測(cè)與調(diào)查分析系統(tǒng)“網(wǎng)藤風(fēng)險(xiǎn)感知”表 5：相關(guān)業(yè)務(wù)的上市公司近期 A/B 輪融資額都是千萬(wàn)/億級(jí) HYPERLINK / 請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款部分2019 年 1 月奇安信（3