网络信息安全研究报告

（报告出品方/作者：中国信通院）前言安全运营是企业对于网络安全工作的有效管理和高效输出。随 着企业规模变大、面临的威胁环境更为复杂，如何通过有限的人员 对数量庞大的安全事件进行管理与快速响应，如何更精确的度量当 前的关键安全指标，如何将安全工作与业务有效结合更好地赋能业 务，这是安全运营不断发展、优化的意义所在。随着业界对安全运营活动的认知逐渐改变，用户行为分析、安 全编排自动化与响应、威胁情报等等，都被列入安全运营的核心需 求。总体来看，安全运营的发展过程是一个技术不断融合、内涵不 断丰富的过程，当下以及未来一段时期内的安全运营将会是以 SIEM 1/SOCF2为核心，结合大数据分析、机器学习、人工智能技术，融 合更多运营功能，形成新一代安全运营服务。如果将安全产品与技术作为企业安全工作的输入，那么良好的 安全事件运营则是企业安全能力的稳定输出。而现在，日益复杂的 安全事件与落后的安全运营能力成为了现阶段安全建设中的主要矛 盾。安全建设的输入和输出处于非常不对等的情况。对企业而言，安全管理及运营涉及方方面面，不仅仅从单点去 考虑，还需要从企业整体安全运维的角度，根据不同的安全侧重点， 体系化分类管理安全事件，做到事件管理标准化、关联信息详实化、 人员/工具定位精准化，这样才可以做到高效安全响应。为了更好地满足基础电信和互联网、金融、能源和医疗等行业 用户在 5G 网络、云计算、物联网等新型业务场景下的实际需要，为 其在网络安全产品能力选型中提供技术参考，中国信息通信研究院 （以下简称“中国信通院”）安全研究所联合 FreeBuf 咨询共同完 成了此次 SIEM/SOC 类产品调研和测试工作。本次测试主要是针对当前行业内主流企业的产品进行技术能力 测试，测试内容和角度覆盖全面且广泛，测试内容包括产品功能、 性能以及自身安全测试，覆盖数十种技术能力指标测试项。本次测 试是对各企业的 SIEM/SOC 类产品的“能力拔高测试”，以体现该产 品在某一个技术能力领域的硬核实力。测试方案内容不仅基于现有 相关标准，并且依据 Gartner 对 SIEM/SOC 的能力定义以及综合国内 各安全企业最佳实践。到报名截止日期 2020 年 10 月 23 日为止，共 有 20 款产品报名，符合测试要求的 14 款产品参与此次验证评估。本报告由中国信通院安全研究所对国内主流 SIEM/SOC类产品 进行基本面测试评估，并输出整体测试、分析结果与整体报告。由 FreeBuf 咨询通过现场走访、资料整合及问卷调查的形式，对国内 外近百家企业的使用情况进行对比分析，并深入总结国内 SIEM/SOC 类产品的基本现状，并尝试对其发展趋势进行评估和预测，为企业 安全建设提供有效参考，提升安全运营与响应能力。安全运营的演变与发展（一）安全运营的定义根据 2014 年美国 NISTF3发布的 Cybersecurity Framework，安 全运营可以拆解为 5 个版块：风险识别（Identify）、安全防御 （Protect）、安全检测（Detect）、安全响应（Response）和安全 恢复（Recovery）。而安全运营的核心即解决问题，通过提出安全 解决构想、验证效果、分析问题、诊断问题、协调资源解决问题并 持续迭代优化，推动整体安全目标的实现。随着企业规模变大、面临的威胁环境更为复杂，如何通过有限 的人员对数量庞大的安全事件进行管理与响应，如何将安全工作与 业务有效结合更好地赋能业务，是安全运营不断发展、优化的目的 所在。（二）安全运营的发展经过近 30 年的发展，国内的安全运营从粗放型逐渐转向业务与 技术双驱动的精细化运营。 （1）基础架构阶段八九十年代末，计算机应用迅速拓展，第一批计算机安全相关 政策、举措开始实施，重点行业、大型企业的安全需求开始显现。 这一时期，头部行业的企事业单位正视网络安全，将其作为系统建 设中的重要内容之一，并且建立专门的安全部门以开展信息安全工 作。网络安全厂商迎来初步发展期，将其主要研发精力投入于防火 墙、IDS、杀毒软件三大件上，奠定了传统的安全运营基础架构。（2）快速发展阶段九十年代末至 2010 年，国内网络安全行业基本结束野蛮生长阶 段。等级保护相关标准规范体系相继密集出台，中小型企业、传统 企业将补全安全能力作为主要安全建设工作，而安全运营的主要手 段依然以防火墙、IDS、防病毒为主，呈现快速发展、被动防御的特 点。（3）体系化阶段2010 年后，随着国内大部分企业完成信息安全建设进程，国家 和企业对于合规需求进一步升级，安全运营迎来体系化发展阶段。 安全管理中心、态势感知等安全运营理念在信息系统建设中同 步运用。企业将安全运营作为体系化工作开展，以基础安全设备为边界防护，内部建立完整的安全运营中心/体系，进行整体安全规划、 逐步开展自研并引入国内外多种安全运营理念。（4）技术驱动阶段2018 年后，AI、大数据、云计算飞速发展，新技术催生了新的 业务场景，也让企业面临传统安全边界消失、攻击面无处不在、业 务增长带来的数据量暴增等问题。为了实现快速、持续的响应，安 全人员不得不与复杂的操作流程以及匮乏的资源、技能和预算做斗 争。然而此起彼伏的安全事件让安全运营人员即便依托安全运营平 台，仍然疲于应付。企业开始寻求更高效、自动化的安全运营方式， 安全运营从被动式转变为主动式，注重从防御、检测、响应和预测 四个维度构建纵深的网络安全运营体系。（三）安全运营的技术实践本质上，安全运营是一个安全理念和运营体系，而在国内外落 地过程中，安全运营逐渐衍生出多种形态，如常见的 SIEM、SOC、态 势感知平台等。一般来说，不同国家、不同厂商对于某一安全运营 产品/解决方案的名称可能存在差异，通过目前市面上已有的安全运 营产品/服务/架构的了解，能够帮助企业更好地理解安全运营是如 何把技术、流程和人结合起来服务于安全的。在以上多个安全运营形态中，技术、流程和人都必不可缺，且 安全运营能力重点体现在数据收集、事件分析及响应等方面。近几年，安全运营的各种形态在不断集成、融合其他安全技术、 工具和策略，在优化发展过程中，不同的安全运营平台/产品相互之 间存在一定的功能交叉甚至重合。比如，SIEM 作为重要的检测响应 技术，被 SOC、SOAPA 等多个安全运营形态采用与融合，并且在安全 运营中扮演重要角色。因此，尽管 SIEM、SOC 等在能力侧重点、技 术等细节上存在差异，但在安全运营能力的整体提升方面的目标仍 然是一致的。二、安全信息实践管理技术发展现状（一）技术早期发展在 SIEM 萌芽阶段，收集 IT 网络资源产生的各种日志，进行存 储和查询的日志管理是行业主流。而建立在日志管理之上的 SIM 4和 SEM 5就在这一时期出现。初代 SIEM 的定义也由此开启，2005 年， Gartner 首次将 SIM 和 SEM 整合到一起，并提出了 SIEM 的概念，为 安全运营和管理揭开了新的篇章。此后，随着安全合规政策的出现，又衍生出了新一代日志管理 技术 LM 6。LM 与前者的区别在于，更加强调日志的广泛收集、海量存 储、原始日志保留及安全合规，并借鉴搜索引擎技术实现快速检索 分析能力。现代 SIEM 的定义实质上融合了 SIM、SEM、LM 三者，尽管各个 厂商产品间的重点技术能力略有区分，但以此为基础的大方向是一 致的：即基于大数据基础架构的集成式 SIEM，为来自企业和组织中 所有 IT 资源产生的安全信息（日志、告警等）进行统一实时监控、 历史分析，对来自外部的入侵和内部的违规、误操作行为进行监控、 审计分析、调查取证、出具报表报告，实现 IT 资源合规性管理的目 标。2010 年后，伴随着安全运营的热度 SIEM 同样迎来蓬勃发展期，在市场占领和技术成熟度上都有了突破。2013 年，SIEM 全球市场规 模达到 15 亿美元，相比 2012 年度增长 16%，预示着 SIEM 市场完全 成熟且竞争激烈。同时，在合规要求下，SIEM 的目标群体转向中小 型企业，为了解决小型企业无力购买整体 SIEM 解决方案/服务、缺乏管理 SIEM 的专业员工等问题，SIEM 开始在产品形态、功能，还有 商业模式上进行创新，推出 SaaS 软件即服务，进一步推动 SIEM 的 广泛部署。（二）基础核心能力SIEM/SOC 的核心功能包括了日志收集、跨源关联和分析事件能 力等，常见 SIEM 工作流程可参考下图：SIEM 在数据流水线的每个阶段都需要进行精细的管理、数据提 取、策略、查看警报和分析异常。其中，SIEM 的核心技术点包括：日志采集及处理SIEM 需要从企业相关组织系统中广泛收集日志和事件，每个设 备每次发生某事时都会生成一个事件，并将事件收集到平面日志文 件或数据库中。SIEM 的任务是从设备收集数据，对其进行标准化并 将其保存为能够进行分析的格式。在日志采集后，SIEM 还需要进行日志处理，即从多个来源获取 原始系统日志后，识别其结构或架构并将其转变为一致的标准化数 据源的技术。日志关联分析SIEM 需要汇总所有历史日志数据并进行实时分析警报，通常通 过分析数据建立关系，以帮助识别异常、漏洞和事件，这也是 SIEM 最关键的一项能力。传统 SIEM 产品使用关联规则和脆弱性和风险评 估技术从日志数据生成警报，但是这两种技术存在误报及新型威胁 难以抵御地风险，因此部分头部 SIEM 厂商积极应用实时关联分析引 擎，分析数据包括对安全事件、漏洞信息、监控列表、资产信息、 网络信息等信息，同时应用机器学习、用户行为分析等高级分析技 术，着力提高 SIEM 的智能分析能力。安全产出SIEM 处于安全运营的关键环节，其应用目的之一便是帮助安全 运营人员高效处理安全事件。因此清晰完善的安全产出尤为重要。 例如根据安全事件产出相关报告，如人员异常登录报告、恶意软件 活动报等，同时根据事件分析产生安全警报。SIEM 安全产出主要提 供警报和通知、仪表盘、数据探索及 API 和 WEB 服务等能力。尽管 SIEM 在事件分析和响应上已有成熟的体系，但近几年趋向 复杂化、高级化的网络攻击依然对于以 SIEM 为主要解决方案的安全 运营提出了挑战。一是 SIEM 采用关系数据库技术构建，但随着日志 数据源的数量增加，数据库的负载不断加重，限制了实时响应能力； 二是 SIEM 在运行中会产生大量告警事件，“告警过载”等于无告警； 三是 SIEM 采用模式匹配引擎技术（签名技术）进行上下文的匹配，容易产生大量误报；四是 SIEM 简单地将事件的严重程度划分为高、 中、低，缺乏细致的决策参考，对企业网络安全专业人才的技能提 出更高的要求。根据 CMS Distribution 公司对企业安全运营的技术调研发现， 传统的SIEM解决方案产生大量告警事件使得安全运营人员分身乏术， 同时专业安全技能人才的缺失，使得传统 SIEM 解决方案的平均寿命 已经缩短到 18-24 个月，无法有效应对云计算、大数据、物联网、 人工智能新时代的网络安全挑战。当 SIEM 的不足开始凸显，企业的 安全水位线难以被满足，也亟须 SIEM 有新的突破以应对更高级的威 胁。三、国内 SIEM/SOC 类产品应用现状（一）国内企业安全运营态势画像1.安全检测类产品部署现状大多数企业都依靠部署安全产品和解决方案管理安全和合规建 设。根据调研结果，有 33.5%的受访企业部署了 11 个以上的网络安 全检测类产品，部署数量在 6-10 之间的企业占比为 16.7%。直观地看，通过众多安全检测类产品的部署，企业具备相对成 熟的单点安全防护能力，安全团队能够解决大部分基础安全问题。 此外，企业对安全建设的投入和重视程度也可见一斑。2.安全警报数量现状随着安全检测产品部署数量的增加，势必会产生更多的安全警 报。对此，报告分别针对企业安全警报数量、安全警报变化状态和 产生原因进行了调研，详细调研结果如下：过去 1 年中，企业安全事件警报的数量如何变化？调研结果显示，38.5%的受访企业在过去一年间的安全事件警报 数量显著增加（增加 1 倍-2 倍），19.2%的企业在过去一年间的安全 警报数量呈现大幅增加（超过 2 倍 以上），仅有 7.7%的企业表示过 去一年的安全警报数量几乎没有变化。企业过去一年间大约处置了多少有效安全警报事件？调研结果显示，23.1%的受访企业在过去一年间处置了 100000+ 的安全警报，仅有 9.1%的企业在过去一年间处置了少于 100 的安全 警报。是什么问题导致安全警报事件增加？根据调研结果，共有 63.7%的受访企业认为【威胁数量日益增 加】、【部署的安全产品逐渐增多】、【内部用户及资产数量增加】 是企业安全警报数量激增的核心原因。3.企业安全运营&威胁发现能力现状针对企业安全运营&威胁发现能力现状，报告分别从企业威胁发 现能力自评、企业安全运营能力自评、企业安全运营问题三个方面 进行了调研。详细调研结果如下：企业目前威胁发现能力的评价为：根据调研结果，四成的受访企业认为自己【有完善的边界防御 体系，可及时发现入侵行为，但仍存在改进空间】，仅有 14.8%的受 访用户具备自信并表示自己【建立了全面和纵深防御体系，可快速 发现入侵者】。企业目前的安全运营能力评价为：根据调研结果，半数受访企业认为安全运营能力处于【有专职 的安全运营人员，可以实现高风险安全事件的响应，但人力资源会 搁置一般性风险事件】的阶段。值得关注的是，安全运营能力成熟 度最高级和最低级的企业比例相当，这也意味着目前国内企业安全 运营能力仍处于两极分化阶段，不乏已经在安全建设及运营阶段走 在前列的国内企业，但同时仍旧有部分企业处于初级救火队的阶段。企业面临着哪些安全运营问题？根据调研结果，【缺乏有效的自动化工具】、【安全运营可视 化能力弱】、【缺乏有效的威胁跟踪和管理平台】、【安全运营人 员经验不足】是大多数企业面临的运营问题。（二）国内安全信息和事件管理类产品应用现状1.安全信息和事件管理类产品国内部署现状企业是否选择部署安全信息和事件管理类产品？从调研结果来看，针对安全信息和事件管理类产品的部署选择， 有 46.9%的企业已经部署 SIEM/SOC 产品。同时报告也观察到，近九 成企业不会选择单独部署 SIEM/SOC 产品，同时还会配合 UEBA、SOAR、 漏洞管理等产品进行综合应用。企业部署商用安全信息和事件管理类产品的品牌选择：商用安全信息和事件管理类产品的厂商品牌较多，竞争也非常 激烈。根据调研结果，国内企业对安全信息和事件管理类产品的品 牌选择上，国外厂商并不占据压倒性优势地位，有 51.1%的企业选择 部署国内厂商的产品。国内厂商布局安全信息和事件管理类产品也是近几年开始的动 作，在 Gartner 历年发布的 SIEM 产品魔力象限中，无论在市场还是 技术领域，无一例外都是国外厂商占据领导者地位。但随着近几年 国内安全信息和事件管理类产品市场的猛烈需求和发展，国内厂商 也在纷纷投入精力切入该市场，根据该调研结果也能看到国产厂商 在国内安全信息和事件管理类产品市场发展中所做的努力与成果。2.安全信息和事件管理类产品使用效果评价针对已部署 SIEM 地调研对象，54.8%的企业认为部署 SIEM 对企 业安全运营效率提升的效果一般，32.7%的企业认为部署 SIEM 可以 显著提升企业安全运营效率。根据调研，企业用户对现阶段 SIEM 产品不满意的问题主要集中 在以下六个方面：【价格高昂】、【产品操作复杂，对安全运营人 员的技术要求较高】、【日志关联分析能力弱】、【误报率过高】、 【占据大量安全资源，需要巨大的安全运营投入】、【与第三方安 全工具的集成性较差】。3.企业对 SIEM 集成安全能力的期望随着“Smart SIEM”理念的发展，企业对 SIEM 的期望不仅仅局 限于传统 SIEM 提供的安全事信息和事件管理能力。新一代 SIEM 解 决方案更加趋向于融合多项安全能力，将安全需求打通，并基于用 户的选择进行按需扩展，从而帮助企业更加高效统一地完成安全运 营工作。针对企业对 SIEM 集成安全能力的期望，报告进行了定向调研， 调研结果显示：威胁情报、端点安全（EDR）、漏洞管理、SOAR、UEBA、 NTA 是大部分企业期望集成至 SIEM 平台的安全能力。4.企业对 SIEM 产品期望改进的能力根据调研结果，54.7%的企业认为 SIEM 产品需要提升【威胁情 报能力】、【用户行为分析能力（UEBA）】、【安全编排及自动化 响应能力】这三项能力。四、SIEM/SOC 类产品测试情况综述（一）测试基本情况本次SIEM/SOC类先进网络安全能力验证评估工作在信通院安全 所网络安全实验室进行，开始于 2020 年 11 月 2 日，结束于 2020 年 12 月 8 日。各参测企业根据测试方案分别组合自身的产品模块和技 术能力，完成了 SIEM/SOC 能力验证评估。各参测企业受测的产品数量不同，如表 3 所示，每个参测企业 产品数量从一台至五台数量不等，但普遍为两台至三台，通常一台 设备作为采集探针，另外一台设备作为安全分析和展示系统，对于 采用两台以上设备的企业通常是将安全分析模块进行了能力拆分， 例如态势感知模块、威胁感知模块、运维审计类探针模块以及总体 分析和展示模块几个部分。参与测试的产品均采用了标准 1U 或 2U 服务器。（二）测试环境介绍本次测试主要采用IXIA PerfectStormONE流量发生器（IP地址： 172.16.5.111）模拟网络流量、攻击以及恶意程序等，采用 IXIA Vision E40 分流设备（IP 地址：172.16.5.112）进行多路模拟流量 生成。如图 16 所示测试环境网络拓扑情况，流量发生器与分流设备 相连接，并配置流量策略，分流设备将模拟的测试流量同时下发多份，受测产品的采集口（或通过交换机转发）与分流设备相连。管 理口交换机连接所有产品管理口进行统一管理。受测产品需配置 172.16.5.0 网段 IP 作为管理 IP，并接入到受 测网络中。为了保障整个测试过程的真实性与客观性，管理口 IP 以 及其他相关采集分析设备被分配的 IP 不可以私自改变，在测试结果 截图中应包含页面全屏，显示出管理 IP，以明确该测试截图内容是 通过现场测试得到的结果截图。（三）测试方法说明本次测试包括产品功能测试、性能测试和系统自身安全测试。 在功能测试方面，由 IXIA PerfectStormONE 流量发生器生成相关流 量，随后在产品找到采集或分析结果相应界面，对满足测试内容的 部分进行截图和说明，证明该产品对该测试项的满足程度。对于不 需要专门利用流量发生器的测试项，直接在产品界面截图中进行描 述说明。在性能测试方面，根据产品型号（千兆或万兆），由 IXIA PerfectStormONE 流量发生器生成最大混合流量，受测产品记录流量 采集峰值以及峰值期间 CPU 或内存资源的消耗情况。在自身安全测 试方面，由专业白帽子渗透测试工程师利用各类 Web 检测工具，结合手工验证对设备系统和应用层面进行全面渗透测试。（四）测试对象范围一般情况下，SIEM/SOC 类产品从基础架构上主要分为采集层、分析层、展现层。采集层通过对网络内的流量、日志进行基础性收 集并进行标准化处理；分析层是一个 SIEM/SOC 类产品的核心技术体 现，它通过多系统之间的关联、多数据/情报标准化之后的分析，进 而形成威胁预警信息、态势感知信息、数据治理手段等。 本次测试对象范围主要包含安全信息和事件管理系统（SIEM）、 SOC 安全运营中心、NGSOC 态势感知与安全运营平台、SRC 安全应急 响应中心等产品形态和类别。其中包含的功能模块包含但不限于日 志管理、威胁情报、漏洞扫描、态势感知、威胁预警、安全治理等 子系统。本次测试对象范围主要包含安全信息和事件管理系统（SIEM）、 SOC 安全运营中心、NGSOC 态势感知与安全运营平台、SRC 安全应急 响应中心等产品形态和类别。其中包含的功能模块包含但不限于日 志管理、威胁情报、漏洞扫描、态势感知、威胁预警、安全治理等 子系统。（五）测试内容简介本次测试内容范围覆盖从原始网络流量采集、还原，并进行网 络攻击、恶意程序、APT 等威胁识别，到安全分析和态势感知，到安 全运营和安全治理，并对风险进行处置和溯源等网络流量全生命周 期分析能力测试。如表 4 所示，测试内容包括产品功能测试、产品 性能测试和产品自身安全测试三个方向。其中产品功能测试包括网 络流量识别能力、安全分析能力、安全事件处置能力、安全事件溯 源能力、自身管理能力、自身日志审计能力六大产品能力，其中网 络流量识别能力和安全分析能力是本次测试的重点方向。产品性能 测试包括网络流量吞吐能力和系统资源使用情况测试。自身安全测 试包括针对系统的 Web 应用安全和业务逻辑安全测试。五、SIEM/SOC 类产品测试结果总体分析（一）日志采集告警与基础分析支持较好通过测试结果发现，绝大部分受测产品的日志采集与告警、威 胁情报采集与安全分析能力均表现良好。如图 20 所示，全部受测产 品的两个大项指标的符合率高达近 90%，侧面表明国内大部分 SIEM/SOC 类产品在日志与事件的收集、标准化和实时监控告警方面 的技术能力已经相当成熟。一方面，本次测试中主要验证受测产品对于收集各信息系统及 网络的流量、日志、运行状态、告警信息，包括 Syslog、SNMP、SNMP Trap、SSH、TELNET 和文件系统等方式接入日志类型数据；另一方面， 本次测试对于威胁情报的采集、利用、溯源和验证方面进行了相关的测试，根据测试结果综合情况来看，受测产品普遍在威胁情报的 采集和利用方面表现优异，但威胁情报的溯源和验证功能仍具有一 定的优化空间。如图 22 所示，相对于受测产品的基础能力外，多数产品也普遍 存在一定的功能短板，主要在自动编排能力和安全治理能力等方面。（二）自动化编排能力有待深化现在的安全运营场景中，往往需要整合大量的系统信息和事件， 运维工作的复杂度大大增加，因此必然需要产品提供丰富的事件响 应与处理编排能力，能够基于一系列预定义的预处理策略、关联分 析策略和合并策略自动化对告警严重性和处置优先级进行划分、自 动化地执行匹配的剧本和应用动作，同时应能够对外提供 API 调用 接口，供外部第三方应用系统调用，为它们提供编排、自动化与响 应服务。通过测试结果发现，大多数产品具备基本的告警功能，但自动化 编排响应能力有待完善。在所有受测产品中，仅有三家完全支持自 动化编排相应（SOAR），此项功能支持较好及以上的仅占全部受测 产品的 42%，完全不支持此项功能的占全部受测产品的 36%。根据测试用例要求，受测产品应具备自动化告警分诊、自动化 安全响应、自动化剧本执行、自动化案件处置以及自动化服务调用 等功能。不仅应实现实时有效告警，并且告警信息在系统中有详细 记录。具备供第三方应用调用的接口的配置，并且可以与企业其他 产品和其他企业或开源组件实现数据联动，以满足风险通知等其他 扩展功能。就本次测试情况综合评估，在安全编排自动化与响应能 力方面，多数受测产品未体现出相关能力优势，需要在实践中不断 完善和改进。（三）安全合规审计能力亟需加强本次测试在安全治理功能的测试方面，基于当前网络安全市场 的运营趋势提出了两点测试项：等级保护 2.0 合规审计以及安全治 理数据。等级保护 2.0 合规审计。网络安全等级保护 2.0 制度，是我国 网络空间安全领域的基本国策和基本制度。在等级保护 1.0 时代的 基础上，更加注重主动防御，建立全流程的安全可信、动态感知和 全面审计。SIEM/SOC 类产品作为企业安全运营的核心，承载着收集、 分析和情报处理的关键功能，如果能通过等级保护 2.0 进行赋能与 合规管理，将大大提高 SIEM/SOC 类产品应用的深度和广度。根据测试结果，有 10 款产品完全不支持等级保护 2.0 的合规审 计功能，占全部受测产品的 72%。没有一款受测产品能够完全支持本 次的测试用例。但值得期待的是，其中 1 款产品在后续版本将加入 等保审计功能，而另外部分产品可通过接入本次测试外的定制模块、 探针等方式进行等保合规审计和安全信息事件地集中管理。从总体 上看，本次受测产品在等级保护 2.0 合规审计功能上亟需加强。安全治理数据。本次测试中，增加了安全治理数据的功能检测， 旨在展示安全治理整体数据、态势和成效。通过受测产品内置安全 风险 KPI 指标，包括安全状况指标、运行能力指标、安全态势指标 以及合规指标。查看总体安全治理情况。 通过测试结果发现，虽距安全治理的要求还有一定距离，但多 数产品已经基本具备功能。大部分受测产品在功能上基本能够实现 查看全网安全威胁指数、查看安全域 KPI 的态势、不同安全域的指 标变化以及设置 KPI 的标准等。通过测试结果发现，虽距安全治理的要求还有一定距离，但多 数产品已经基本具备功能。大部分受测产品在功能上基本能够实现 查看全网安全威胁指数、查看安全域 KPI 的态势、不同安全域的指 标变化以及设置 KPI 的标准等。（四）系统自身安全管理功能完善通过测试结果发现，几乎全部受测产品在自身安全配置方面， 均具备包括不限于用户标识、数据安全、身份鉴别、安全审计等安 全配置功能。用户标识方面，具备管理角色标识、鉴别信息、隶属 组、权限等自定义用户安全属性，并具备用户属性初始化功能和用 户唯一性设置。数据安全方面，具备数据安全管控机制，涵盖数据 的创建、存储、使用、共享、归档、销毁数据全生命周期环节，涉 及通过网络协议、接口、维护终端等多种途径进行数据访问、传输， 保证在这些途径上的数据保密性、安全性和完整性。身份鉴别方面， 具备提供授权管理员鉴别数据的初始化、鉴别失败处理、鉴别授权 保护等功能。安全审计方面，具备对不同的安全行为进行审计记录 的生成，并能够限制审计记录的访问。如图 31 所示，绝大部分产品具有完善的自身安全管理能力。其 中 86%受测产品具备完善的自身管理能力，满足测试功能要求，14% 受测产品在本次测试用例中存在微弱的差距。（五）Web 和业务安全漏洞均有存在通过测试结果发现，全部受测产品均存在应用安全漏洞。本次 测试过程中，通过系统漏洞测试、应用安全测试、口令破解、数据 包分析等不同工具和方法，对受测产品的 Web 应用和业务安全进行 了测试，测试内容包括不限于对 Web 应用进行安全扫描监控，查看 Web 应用是否存在安全漏洞、利用业界知名安全扫描工具/开源扫描 工具扫描和人工渗透测试尝试发现 Web 应用是否存在的安全风险、 对系统业务逻辑进行分析和测试，查看业务逻辑是否存在漏洞（越 权、数据泄漏等）。在本次全部受测产品中，均存在 Web 和业务安 全漏洞。所有产品的高危漏洞占总漏洞数的 33%，中危漏洞占 55%， 低危漏洞占 12%。其中，有 8 款产品均存在不同危害程度的高危漏洞。 如图 32 所示各产品漏洞数量。六、SIEM/SOC 类产品威胁识别能力分析（一）各类网络攻击发现和分析的能力在本测试中，利用流量发生器构造了近 5000 条漏洞利用攻击， 包括但不限于远程代码执行、破壳漏洞利用、SQL 注入、HTTP PUT 方法任意写文件、暴力破解、端口扫描、非法权限获取、挖矿、木 马后门通信、中间件漏洞等，用于验证受测产品的网络攻击识别和 分析能力。通过测试结果发现，绝大部分受测产品可实现对网络攻击的基 本识别，需加强机器学习、数据图谱等高级关联分析和溯源展示能 力。在网络攻击识别方面，多数受测产品能识别出 Web 应用攻击、 弱口令、暴力破解、扫描与爬虫、数据库攻击、敏感信息泄露、恶 意通信流量、内网渗透、通用应用漏洞攻击、恶意软件、后门识别、异常协议等攻击行为。（二）多步骤攻击发现和关联分析的能力通过测试结果发现，绝大部分产品可以实现分析流量中的多步 骤攻击链条，包括基于攻击链模型的分析、攻击源追溯等功能。但 是在风险告警与攻击链构成防御策略方面仍需不断完善。随着各企 业在国家 APT 网络攻击对抗领域的不断深入研究与实践，应持续完 善产品能力，以在网络安全防御与应急响应工作中起到实际效果。ATT&CK28F7技术落地仍需完善。在本测试用例中，利用流量发生器 构造具有完整攻击链的 APT 攻击，查看受测产品是否具备提供攻击 链模型的安全事件监测的方法，是否能够直观呈现攻击者的抽象行 为并提供攻击路径追溯等功能。如图 36 所示，虽然绝大部门受测产品都可以识别出多步攻击链 条，但是其中仍有 3 款产品不支持通过以 ATT&CK 为例的全过程告警 功能，占全部测试产品的 22%。七、SIEM/SOC 类产品态势感知能力分析态势感知能力，不仅是SIEM/SOC类产品对于数据分析的展示层， 更代表一个系统对于网络中的资产、用户以及环境等各方面信息的 深度理解和分析，从而形成全局视角，以用于决策支撑、应急响应 和安全处置等。本次测试过程中分别对 SIEM/SOC 类产品的攻击和威 胁态势感知能力、资产和运行态势感知能力、用户实体和 UEBA 能力 等方面进行逐一测试，用来分析受测产品在态势感知方面的功能支 持情况。（一）攻击和威胁态势感知能力分析根据测试结果，大部分受测产品均具备一定的攻击和威胁态势 分析能力。其中，攻击态势感知能力主要能够实现显示攻击源国家 TOP n、显示不同时间段的攻击事件量、显示情报命中数、显示当前 攻击状态值、显示当前攻击趋势值等内容。威胁态势感知能力能够 实现潜伏威胁感知、外部威胁感知、威胁情报态势感知等方面的内 容。如图 39 所示，本次受测产品中，有 4 款产品在攻击和威胁态势 感知的功能上完全满足测试要求，占全部受测产品的 29%；有 1 款产 品完全支持攻击态势感知能力但威胁感知能力还需加强。其他产品 均为基本支持或者较好的支持本次的测试用例，测试中未发现不支 持此功能的产品。（二）资产和运行态势感知能力分析根据测试结果，大部分受测产品均具备一定的资产和运行态势 分析能力。其中，资产态势感知能力主要能够展示资产安全概览、 展示业务系统和安全域 TOP n、资产价值分布、资产发现示意图、展 示互联网资产暴露、展示操作系统版本、展示资产端口类型、展示 资产来源、正常展示网段分布、展示资产分类统计信息和资产发现 的来源等。运行态势感知能力主要能够显示全网安全状况及风险分 布地图、安全域风险等级 TOP n、不同时间维度脆弱性、威胁和风险 TOP n、安全域价值等级分布、攻击关系图、威胁分布状况等等。根据测试结果，本次受测产品中，有 6 款产品在攻击和威胁态 势感知的功能上完全满足测试要求，占全部受测产品的 43%；有 2 款产品完全支持其中一项态势感知功能。仅有 1 款产品不支持此项 态势感知功能。其他产品均为基本支持或者较好的支持本次的测试 用例。（三）用户实体画像和 UEBA 能力分析UEBA 是 SIEM/SOC 的关键功能，Gartner 曾预测，到 2020 年，80%的 SIEM 产品都将具备 UEBA 功能。根据本次测试结果，大部分受 测产品均具备用户实体画像分析能力和 UEBA 分析能力，但在机器学 习和深度分析上仍存在很大空间。其中，用户实体画像分析能力主 要能够添加设备的详细画像、能够在场景画像查看由于 UEBA 场景所 触发的实体画像、能够在猎物画像看到威胁狩猎所触发的实体画像 等。UEBA 分析能力主要是围绕用户和资产提供细粒度的行为分析场 景，找出潜在的内部威胁与安全风险，并且可以查看异常行为场景 的详细信息，进行深度分析操作，例如生成画像，进行威胁狩猎， 产生告警，误报忽略等操作，同时对场景进行配置管理，包括场景 的开启和关闭以及特征配置的调整。根据测试结果，本次受测产品中，有 3 款产品在用户实体画像 分析功能和 UEBA 分析功能上完全满足测试要求，占全部受测产品的 21%；有 3 款产品完全支持其中一项功能。有 2 款产品不支持此项功能。支持较好及以上的受测产品在用户实体画像分析功能和 UEBA 分 析功能占比分别为 58%和 72%。八、SIEM/SOC 类产品趋势展望根据 Gartner 的定义，安全信息和事件管理（SIEM）技术通过 对来自各种事件和上下文数据源的安全事件的实时收集和历史分析 来支持威胁检测和安全事件响应。在安全运营的发展历程中，SIEM 作为一种非常有效的技术解决方案，一直以来都是安全运营的关键 输入，尤其是在安全响应（Response）版块发挥关键作用。而随着安全数据、应用、场景量的激增，SIEM 的技术能力也在不断优化。回顾 SIEM/SOC 发展演变的历程，我们可以看到其发展与安全运 营的变化相契合，并不断优化以满足安全运营的需求。回顾 SIEM/SOC 发展演变的历程，我们可以看到其发展与安全运 营的变化相契合，并不断优化以满足安全运营的需求。（一）“智能 SIEM”将引领新一代 SIEM 能力发展新一代 SIEM 从解决传统 SIEM 的告警爆炸、企业网络安全专业 技能人才的匮乏等问题出发，能力集中在日志和事件融合分析、人 工智能技术集成、关联分析、用户行为分析、安全编排自动化与响 应、威胁狩猎等方面。我们将新一代 SIEM 定义为“智能 SIEM（Smart SIEM）”。对比传统 SIEM 产品的技术能力，Smart SIEM 的能力发展趋势 更多集中在智能化、主动化、集成化。1.智能化：AI+自动化驱动随着事件数量的增加，使用旧 SIEM 解决方案的企业能够拥有大 量的日志和事件数据，但无法智能地了解数据背后的原因。企业需要更智能的 SIEM，通过机器学习技术或自动化手段消除一些普通重 复的任务，以确保有限的企业资源不会因警报疲劳而陷入困境。在 此过程中，Smart SIEM 更强调应用用户行为分析（UEBA）和安全编 排自动化和响应（SOAR）等能力。基于机器学习的 UEBA 技术。用户和实体行为分析（UEBA）这项 技术通常利用数百种机器学习模型来分析大量事件，并为每个实体（用户/机器/打印机/IP 地址等）识别“正常”行为。对于每个实体， 通过将其基线与新行为及其对等实体的基线进行比较，并将数百条 线索之间的点连接起来，以评估是否产生风险分数异常行为预示着 真正的安全风险。这样，数十亿个数据点就变成了少数优先的威胁 线索，从而减少了警报，并使安全运营人员可以专注于调查对企业 构成真正风险的威胁。UEBA 的机器学习类型通常分为两类：监督机 器学习和无监督机器学习。监督机器学习依赖于大型标签数据集来训练模型，它非常适合 识别具有已知攻击模式或危害指标（IOC）的已知网络安全威胁。例 如，恶意软件检测是此类机器学习的用例之一，因为该行业具备数 十年的恶意软件数据，可以提供用作训练模型的数据依据。无监督机器学习通过查找数据集中的模式进行学习，因此非常适合异常检测，在异常检测中它可以自动比较并查明异常行为，适 应企业的数据并发现新的模式，无须人工指导机器寻找。将 UEBA 与 SIEM 有效结合使用，可以提供一种分层的安全分析 方法，快速、有效地找到已知威胁， 并帮助运营人员提高检测与响 应效率。安全编排自动化和响应（SOAR）技术SOAR 的概念最早由 Gartner 在 2015 年提出，SOAR 的三大核 心技术能力分别安全编排与自动化 （SOA，Security Orchestration and Automation）、安全事件响应平台 （SIRP, Security Incident Response Platform） 和威胁情报平台 （TIP, Threat Intelligence Platform）。SOAR 可以根据事先的预案（Playbook）进行编排和自动化，能 国内网络安全信息与事件管理类产品研究与测试报告（2021 年） 53 够有效地简化安全运营人员的手工作业，减少了单调繁重的威胁分 析过程。一是 SOAR 帮助安全分析人员更快地响应和调查攻击，使他 们能够更快地开始缓解。自动化功能使他们能够采取措施将攻击风 险降到最低，而无须人工干预。二是SOAR自动化技术与机器学习（ML） 和人工智能（AI）相结合，它们提供了更快的方法来识别新的攻击， 并使预测分析能够得出统计推断，从而以更少的资源缓解威胁。三 是利用 SOAR 的编排和自动化技术，安全运营人员可以在多个安全工 具之间快速进行协调、从多个来源快速获取威胁源，并使工作流自 动化以主动扫描整个环境中的潜在漏洞。四是安全运营人员通常需 要花费大量时间来管理案例，创建报告并记录事件响应程序。SOAR 通过自动化操作手册、创建知识库沉淀，帮助企业保留安全运营经 验并持续迭代学习。将 SIEM 和 SOAR 结合后，能够大大缩短 MTTD（平均检测时间） 和 MTTR（平均修复时间），解决安全运营人员短缺的问题，并降低 SIEM/SOC 中常见的告警爆炸问题，并通过自动化实现运营成本有效 降低。2.主动化：威胁感知与主动防御企业需要寻找通过预测和预期对手的下一步行动来具备主动竞 争的能力，在此过程中，新一代 SIEM/SOC 需要具备威胁感知和主动 防御的能力。将 SIEM/SOC 与威胁情报匹配，企业能够以敏捷和快速 反应的方式应对不断发展的、大批量、高优先级的威胁。通过威胁情报平台，企业可以汇总和合理化威胁数据，自动筛 选出攻陷指标（IOC）作为可机读威胁情报（MRTI），并且使用现存 的日志对比匹配以便轻松发现不常见的趋势或线索，并对其有效执 行操作。通过将团队、流程和工具结合在一起，威胁情报平台指导 安全响应并进行阻断，节省了追踪传统 SIEM/SOC 产生误报所花的大 量时间。如果将 SIEM/SOC 与威胁情报平台相结合，企业可以将所有人、 过程和技术统一在智能驱动的防御背后，获得强大的安全运营增益 效果。一是日志、事件和数据的进一步分析。将来自威胁情报平台 的攻陷指标将自动发送到 SIEM/SOC 中进行警报，并将来自 SIEM/SOC 的特定事件发送回威胁情报平台来进行关联分析、数据挖掘和优先 性排序，分析人员可以锁定恶意行为的所在位置。二是建立企业自 身威胁知识库。综合性威胁情报平台可以作为企业的中央威胁信息库。帮助企业了解网络犯罪分子的工具、流程、受害者和预期目标。 三是根据企业网络环境生成和优化情报。威胁情报平台增加了上下 文信息和关系丰富的指标，从而使企业能够更好地了解威胁的性质、 对企业风险更有效地做出全面的反应。四是主动防御。威胁情报平 台支持安全响应团队寻找线索和联系，这可以显示攻击企业的威胁 与可能存在的威胁之间的关系，并发现新的相关的情报。使用这些 信息，帮助安全团队变被动防御转为主动防御。3.集成化：多元安全能力高效联动随着 SIEM/SOC 的发展，Smart SIEM 的定义中逐渐集合了多种 安全能力，例如前文提到的用户和实体行为分析（UEBA）、安全编 排自动化和响应（SOAR）、威胁情报等多种能力。这些能力可以是 单独的产品，但是对企业而言，集成化将是更好的选择。事实上，在原有的企业安全建设中，常常面临的问题就是不同 品牌、不同功能的产品并行在企业网络中。数量众多、品牌各异、 功能不同的安全产品大大提高了安全运营工作的复杂度，对安全运 营人员的要求也将更高。同时，不同安全产品产生的各类数据及事 件繁杂且细密，致使安全运营人员深陷于事件风暴中，无法有效寻 找梳理有效信息和及时处理安全警报。在此背景下，新一代 SIEM/SOC 的需求逐渐被引导为各类安全能 力的迁移和集成。例如，用于定义剧本和流程的编排和自动化工具 或充当中央存储库的威胁情报平台、可以使用上下文的外部全局威胁情报来聚合和丰富大量内部威胁和事件数据，方便企业可以了解 并确定优先级采取行动。此外，集成化的体现还包括 SIEM/SOC 对各安全品牌产品的兼容 与多元化。企业战略集团（ESG）曾做过一项调研，数据表示，62% 的受访者更愿意考虑从单个企业级网络安全供应商处购买公司所需 的绝大部分安全技术。对于企业运营人员来讲，管理不同品牌的安全产品更像是多维 度的角力。不同品牌产品具备相异的技术架构、操作界面，甚至操 作语言也会有所区分。这就对企业安全运营投入与技术能力提出了 很高的要求，因此这也是大多数企业更愿意选择单一供应商的原因。 换个角度，近几年各大安全厂商纷纷推出全行业全能力覆盖级解决 方案未尝不是该需求的推动因素导致。安全运营集成化更是“All-In-One”思维地接续传递，这种集 成能力将安全团队、流程和技术整合到一个安全体系结构中，最大 化提高效率和有效性，消除重复性任务，使得安全运营人员可以自 由地专注于更高优先级的活动，不断赋能企业安全运营能力的提升。4.MITRE ATT&CK 框架助推安全运营能力提升MITER ATT＆CK 矩阵的出现为企业安全运营提供了强大助推力， 将 SIEM/SOC 的技术工具能力与其有效结合，将是企业应对安全风险 的利器之一。MITRE ATT&CK 将已知攻击者行为转换为结构化列表，将这些已知的行为汇总成战术和技术。该列表相当全面地呈现了攻击者在攻 击网络时所采用的行为，因此对于各种进攻性和防御性度量、表示 和其他机制都非常有用。MITRE ATT&CK 的目标是创建网络攻击中使用的已知对抗战术和 技术的详尽列表。简单来说，ATT&CK 是 MITRE 提供的“对抗战术、 技术和常识”框架，是由攻击者在攻击企业时会利用的 12 种战术和 244 种企业技术组成的精选知识库。在网络安全事件分析中使用 ATT＆CK 框架可以在不同的策略和 技术之间建立联系。这有助于安全团队在完成攻击之前就识别出正 在进行的攻击，并让安全团队很好地了解对手已经做了什么以及下 一步可能会做什么。此外，ATT＆CK 框架对于检测攻击特别有用，因 为它是基于行为的模型，而不是基于签名的模型。因此 ATT＆CK 可 以预测常见的行为，避免被检测者破坏或基于签名的系统的其他弱 点所欺骗。总的来讲，MITRE ATT＆CK 基于对网络杀伤链概念的扩展，从 而将安全事件分解为阶段性的概念及应对措施，并可以与基于行为 的检测方式相结合。无论是内置在企业检测和响应工具中，还是仅 作为建设企业安全防护手段的标准方法论，MITER ATT＆CK 矩阵都应 该在企业的安全运营中占据一席之地。对国内企业而言，安全重视程度和技术应用手段也在逐步提升。 与之相对应地，忽视安全的代价也越来越高，例如客户流失、企业 商誉受损、企业收入受影响等。大部分企业的安全建设取得了较大 的进步，基本的网络安全防护已经不再是问题，而新的问题在于如 何获悉安全事件的详细过程、如何全面掌握整网安全态势现状、如何从纷乱繁杂的安全事件中抽丝剥茧命中高危安全行为。SIEM/SOC 作为新一代安全信息和事件管理的技术，帮助安全运 营人员从整个 IT 基础架构堆栈的各种系统中收集、关联和分析日志 等数据，从而识别并报告安全威胁及可疑活动。（二）多元安全能力组合成新趋势SIEM/SOC 需要从海量冗杂的设备日志数据中有效梳理分析，通 过融合更多有效的安全产品，形成采集、分析一体化平台，减少基 础数据筛选和分析工作。在此背景下，安全运营需要智能化、主动 化及高准确性的体系化建设，以达成内外部高级威胁检测和响应， 而单一产品之间整合度较低、联动性较弱，无法高效处理安全事件， 远无法满足用户需求，受此影响，安全运营从单一产品到组合型产 品的转变趋势愈加明显。无论厂商侧还是用户端，均从产品技术导 向和市场需求方面共同引导。从厂商侧来看，安全大厂纷纷布局该 能力，主要采用收购单一产品能力厂商或整合新技术的方式，扩展 安全运营产品生态，典型案例如综合安全厂商 360 收购 SIEM 能力厂 商瀚思。从产品技术能力看，通过引入新的技术改进检测、调查、 响应等功能不断优化 SIEM/SOC 的安全状态，例如 NTA/NDR 提升全网 流量监控及威胁发现能力，UEBA 帮助运营人员深入了解安全威胁， SOAR 则大大提升了安全事件的补救效率，多元安全能力组合的转变 越来越明显。（三）AI&自动化驱动智能化转型随着安全事件数量的增加，企业往往面临着大量日志和事件数 据暴增却无力快速高效处理的状况。企业需要更智能的 SIEM/SOC 产 品，以确保有限的企业资源不会因警报疲劳而陷入困境。 通过 AI 和机器学习技术驱动产品智能化转型成为 SIEM/SOC 的 主流趋势。AI 技术可以帮助企业从海量的输入数据流信息中发掘威 胁事件，并自动使用 AI 技术对不同业务、不同维度的数据进行智能 关联，建立内在联系，并实现自动化威胁事件处置。目前部分新型 SIEM/SOC 已经集成了常用的 AI 算法，比如异常检测、线性预测等， 这些算法以插件的方式集成进平台，企业可以选择基于算法分析自 身庞杂的数据。（四）云端部署能力持续扩展随着云应用越来越普遍，企业必须确保包括云在内的整个 IT 基 础设施的安全能力保障，云安全成为必争之地。因此，SIEM/SOC 需 提供多种应用场景能力适配，除了硬件、软件等本地场景部署外， 还需提供虚拟化或基于云服务的部署选项。 得益于企业对希望减少日志管理及安全事件监控成本的需求， “安全信息和事件管理即服务”模式逐渐增加。但是，有很多企业 仍旧不放心把敏感日志信息发送到云端，而这也是 SaaS 服务商们需 要解决的一个重要问题。（五）需求落地向业务导向型转变在以往 SIEM/SOC 的实际落地过程中，很多企业由于无法准确认 知到真实的业务需求，往往盲目遵循“技术为先”或“架构为先” 的惯性思维，便会出现产品部署后无法与业务架构密切融合甚至闲 置为“花瓶”的状态。企业对于技术的追逐，虽然可以促进安全运 营业务的发展，但是过于依赖技术，以为花大价钱购买了先进的技 术就诸事大吉，其实更是一种误区。随着企业安全业务的发展，对于 SIEM/SOC 的选择逐渐转变为业 务导向型。即从业务架构角度出发，精准挖掘企业安全数据、安全 应用等关联需求，匹配人员、技术和流程三大基本要素，只有训练 有素的技术员工、核心技术平台 SIEM/SOC 与恰到好处的工作流，才 能让安全运营这件事落到实处。（六）多行业标准化交付能力待提升由于 SIEM/SOC 涉及专业领域较宽，对使用者的安全能力要求相 对较高，而大多数企业存在专业安全技能人才缺失、安全运营人员 能力有限等普遍性问题，便会出现企业安全运营人员技术能力无法 匹配产品运维的问题。因此，随着 SIEM/SOC 的市场需求逐渐在各行业普及开来，安全 厂商需要实现各行业标准化交付能力，简化产品运维，帮助提升 SIEM/SOC 产品的使用效率。此外，企业也需要注重培养安全运营人 才，产品可以提升安全运营效率，但永远无法完全替代人的作用。在此过程，从厂商及用户端共同促使 SIEM/SOC 有效落地。九、SIEM/SOC 类产品能力分组本次测试主要是针对当前行业内主流企业的产品进行技术能力 测试，测试内容和角度覆盖全面且广泛，测试内容包括产品功能、 性能以及自身安全测试，覆盖数十种技术能力指标测试项。基于测试结果，《2021 中国安全信息和事件管理类产品 （SIEM/SOC）研究报告》对参与测评的产品进行产品专业能力划分， 并输出九大能力组，以满足不同行业用户的需求，为其在网络安全 产品选型过程中提供技术能力参考。详见报告原文。（本文仅供参考，不代表我们的任何投资建议。如需使用相关信息，请参阅报告原文。）精选报告来源：【未来智库官网】。

（报告出品方/作者：渤海证券，徐中华）1.网络安全行业持续增长，安全威胁犹存1.1 网络安全细分行业多，市场规模不断扩大根据中国信通院的定义，网络安全市场按照主要功能及形态可分为安全产品市场 和安全服务市场。其中安全产品领域又可细分为安全防护、安全管理、安全合规、 其他安全产品四个类别。安全服务领域则主要包括安全集成、安全运维、安全评 估和安全咨询四大类。随着信息技术的快速发展，新技术与新产品层出不穷，网络安全行业也越来越呈 现碎片化、复杂多样化的特征。根据安全牛发布了最新的中国网络安全行业全景 图，从安全防护技术的不同应用领域的角度对当前我国网络安全行业进行了划分， 物联网安全、云安全和安全智能领域逐步成为安全厂商重点关注的新兴领域，区 块链应用等安全新技术产品、密码产品和设备等信息安全产品纳入考量范围，同 时云服务企业、电信运营商、车联网企业等主体的网络安全业务也被纳入新的安 全范围。近年来，随着以大数据、云计算、人工智能为代表的新一代信息技术的兴起，网 络安全事故也随着网络空间的延伸和复杂化变得愈发多样化，并由此带动了网络 安全行业的飞速发展。根据咨询机构 IDC 的统计数据，2020 年全球网络安全产 业规模达到 1252 亿美元，较 2019 年增长 5.95%，预计到 2024 年全球网络安全 市场规模可增长至 1747 亿美元，其中美国网络安全规模预计达到 743 亿美元。根据 IDC 数据，从全球来看，2019 年网络安全支出中，服务占最大比重，达到 了 47%，而软件和硬件的占比分别为 36%和 17%。与全球网络安全市场相比，中国的网络安全行业起步较晚，市场规模较小，但发 展速度较快。根据赛迪顾问的测算，2019 年中国网络安全市场规模同比增长 22.8%，达到 608.1 亿元，远高于全球市场的平均增速。同时，随着 2019 年国 内网络安全政策法规持续完善优化，“等级保护 2.0”出台并开始实施，网络安 全市场规范性逐步提升，政企客户在网络安全产品和服务上的投入稳步增长，云 安全、威胁情报等新兴安全产品和服务逐步落地，自适应安全、情境化智能安全 等新的安全防护理念接连出现，为我国网络安全技术发展不断注入创新活力。随着近年来的发展，我国安全市场的结构逐渐发生变化，安全硬件占比逐步降低， 而安全服务的占比稳步提升。据 CCIA 统计，2020 年上半年我国共有 3000 多家公司开展网络安全业务，相 比上一年增长了 17.3%。其中，生产销售网络安全产品的企业有 1185 家，同比 减少了 12%；提供网络安全服务的企业有 2671 家，同比增加了 39.4%；提供 网络安全产品和服务的综合型网络安全公司有 267 家，同比增加了 36.2%。网络安全行业面临着从产品到综合服务的变革中。尽管 2020 年，由于新冠疫情的影响，对下游的需求造成了一定的影响，随着疫 情得到控制，叠加下游行业景气度复苏，预计未来几年网络安全行业整体有望将 维持较高的增速。1.2 威胁和机遇并存，网络安全行业持续发展近几年，随着新一代信息技术的快速发展，围绕网络和数据的服务与应用呈爆发 式增长，但与之相关的各种网络风险和问题也迅速增多，从传统网络病毒到各种 新型攻击模式，各种恶意攻击层出不穷。根据 CNCERT 数据，截至 2019 年 12 月，CNCERT 监测发现我国境内被篡改网站 185573 个，较 2018 年底有较大增 长，其中被篡改的政府网站有 515 个。在 2019 年，CNCERT/CC 共处理网络安 全事件共 10.78 万余起，较 2018 年增长 1.0%，网络安全整体形势依旧严峻。2019 年 CRCERT 通过自主捕获和厂商交换获得互联网恶意程序 279 万余个，同 比下降 1.4%，尽管如此，互联网恶意程序仍保持在高位。移动网络依然面临严 峻的安全威胁。根据 CNCERT 数据，2019 年国家信息安全漏洞共享平台（CNVD）收录安全漏 洞数量同比增长了 14.0%，共计 16193 个，2013 年以来每年平均增长率为 12.7%。根据 CNCERT 数据，我国 DDoS 攻击依然呈现高发频发态势，仍有大量物联网 设备被入侵控制后用于发动 DDoS 攻击。在 2019 年，我国发生攻击流量峰值超 过 10Gbit/s 的大流量攻击事件日均约 220 起，同比增加 40.0%。在 2020年第2 季度 CNCERT 监测发现，利用肉鸡发起 DDoS 攻击的活跃控制端有 1248 个， 其中境外控制端占比 96.4%、云平台控制端占比 79.8%。境外控制端排名前三位 的分别为美国（36.5%）、荷兰（18.3%）和德国（10.1%）。根据 2020 年第 2 季度 CNCERT 数据，参与真实地址攻击的肉鸡共有 484550 个， 其中境内肉鸡占比 87.9%、云平台肉鸡占比 3.7%，位于境内的肉鸡按省份统计，排名前三位的分别为江苏省(11.5%)、广东省(10.4%)和浙江省(9.0%)。而且，各种勒索病毒、DDOS 攻击等事故频发，我国网络安全依然面临复杂严峻 的形势，仍需加强各种安全措施予以应对。1.3 相关政策法规密集出台支持行业发展2013 年棱镜门事件后，我国对网络安全的重视程度迅速提升。2016 年，我国颁 布《网络安全法》，将其作为网络安全领域基础性、全局性的法律。它的实施正 式将网络安全上升到国家安全的战略高度，使网络安全成为国家安全观的重要组 成部分。而伴随着《网络安全法》的实施，我国新一代的等级保护制度也正在逐 步完善，2016 年 10 月公安部网络安全保卫局组织对原有的信息安全等级保护制 度进行了修订，等保 2.0 体系开始建立；2019 年，等保 2.0 体系的正式实施，为 我国在云时代下的网络安全指明了发展方向《网络安全法》作为我国网络安全领域地位最高、最重要的基础性法律，对我国 网络安全行业的健康有序发展具有重要促进作用。随着 2017 年《网络安全法》 的正式实施，相关的网络安全配套政策和安全标准也开始陆续发布，其中最重要 的便是《关键信息基础设施安全保护条例(征求意见稿)》和《网络安全等级保护 条例(征求意见稿)》。2019 年，等保 2.0 开始正式实施。在等保对象上，随着网络环境更加复杂，等保 1.0 标准中提出的以基础信息网络 和传统信息网络作为保护对象已经不能涵盖所有的重要网络系统。基于此，等保 2.0 中的等保对象范围得到全方位提升，除了传统的信息系统，还包括了大数据 中心、云计算平台、物联网系统、移动互联网、工业控制系统、公众服务平台等 内容。从产业链来看，网络安全行业的上游主要为工控机、服务器、存储器、芯片及操 作系统、数据库等软硬件厂商，上游产业竞争较为充分。中游为提供安全产品、 安全服务、安全集成的网络安全厂商，下游则是政府、金融、电信、能源、教育 等各行业用户，用户的分布广泛。随着等保 2.0 的实施和政策的发力，以及网络 安全威胁持续增加，下游客户对网络安全的重视程度及需求在持续增长，推动着 网络安全行业持续稳健发展。2.细分行业快速发展，安全需求持续增长2.1 云计算蓬勃发展，云安全方兴未艾云计算是支撑数字经济发展的重要信息基础设施。中国信通院测算，2019 年我 国云计算整体市场规模 1335 亿元，同比增速为 38.6%。其中，公有云市场规模 达到 689 亿元，较 2018 年增长 65.2%；私有云市场规模达 645 亿元，较 2018 年增长 22.8%，预计未来几年，云计算市场将保持稳定增长。随着云计算的普及，越来越多的企业组织选择将业务上云，云端上的数据资产的 价值越来越大，云上数据泄露事件造成的成本损失也更加严重。因此，云安全问题已成为云计算行业发展急需解决的问题。云安全行业具体来看包括了三大部分，即云计算软件安全、云计算基础架构安全 和云计算服务平台安全，涉及数据、应用、系统、网络和传输等云计算平台各个 方面。云安全市场的服务提供者主要是两类，第一类是云服务厂商，在为企业提 供公有云服务的过程中同时提供云安全服务，另一类则为安全厂商，在私有云和 混合云领域提供一揽子安全解决方案。在云计算产业的带动下，云安全市场飞速发展。根据中国信息通信研究院 2020 年的云计算发展调查报告显示，42.4%的企业在选择公有云服务商时会考虑服务 安全性，是影响企业选择的重要因素；43%的企业在私有云安全上的投入占 IT 总投入的 10%以上，较上一年度提升了 4.8%。我国云安全市场成长迅速，据赛 迪顾问发布的数据，2019 年我国云安全市场规模约为 55.1 亿元，相比 2017 年 增长 45.8%，预计到 2021 年我国云安全市场规模达到 115.7 亿元。我国云服务巨头，阿里、华为、腾讯等均建立了比较完备的云安全能力体系，比 如在主机安全方面，阿里云推出“安骑士”产品，华为云推出“HSS”，腾讯云 推出“云镜”，基本都包含安全配置核查、漏洞管理、入侵防护、基线检查等功 能。专业型安全厂商主要面向私有云和混合云，围绕云安全监测、防护、管理等需求， 提供一揽子安全解决方案。随着等保 2.0 将云安全平台作为重点等保对象，我国云安全的合规需求会推动云 安全市场进一步加速发展。在合规需求与云端数据泄露压力双重推动下，云安全 市场发展空间巨大。2.2 工业互联网市场开启，工控安全前景广根据我国工业互联网产业联盟的定义，其本质是“以机器、原材料、控制系统、 信息系统、产品以及人之间的网络互联为基础，通过对工业数据的全面深度感知、 实时传输交换、快速计算处理和高级建模分析，实现智能控制、运营优化和生产 组织方式变革。”网络、数据和安全是工业互联网的三个重要维度。根据中国信通院的报告，工业互联网产业经济核算包括核心产业和融合带动的经 济影响两部分，信通院的测算结果表明，2018 年、2019 年我国工业互联网产业 经济增加值规模分别为 1.42 万亿元、2.13 万亿元，同比实际增长为 55.7%、 47.3%，占 GDP 比重为 1.5%、2.2%，其中，工业互联网核心产业稳步增长， 2018 年、2019 年核心产业增加值规模为 4386 亿元、5361 亿元；工业互联网 融合带动的经济影响快速扩张，2018 年、2019 年增加值规模为 9808 亿元、 1.60 万亿元。随着工业互联网的快速发展，工控安全越来越得到重视。根据《工业信息安全态 势报告》的资料，全球工业信息安全呈现技术应用化发展、事件爆发式增长、政 策多维度深化、风险弥漫性扩散等特征,新型冠状病毒全球大流行致使利用疫情实 施的网络攻击层出不穷，针对工业领域的勒索攻击频发。2020 年，国家工业信息 安全发展研究中心共跟踪公开发布的工业信息安全事件 274 件，其中勒索软件攻击共 92 件，占比 33.6%，涉及 20 余个国家的多个重点行业。物联网设备、智能联网设备因其低成本、低安全等特征，逐步取代 IT 设备成为攻击者的重要攻 击武器。低防护联网设备是指暴露于公共互联网，自身防护水平差，可被识别、监测，存 在极大被远程入侵风险的设备。国家工业信息安全发展研究中心自 2014 年起开 展针对低防护联网工业控制系统的在线监测工作，目前可识别种类已从工业控制 系统扩展至物联网终端、工业信息系统及工业互联网设备等，共计 500 余种。经 对比分析多轮次在线监测数据，各类低防护联网设备数量相比去年均有较大幅度增长。2020 年 12 月最新监测数据显示，我国各类低防护联网设备数量总计超过 500 万，其中，摄像头、车载模块、打印机等终端设备占比超过 80%。可编程逻 辑控制器（PLC）、数据采集与监视控制系统（SCADA）、数据传输单元（DTU） 等工业控制系统数量已超过 2.5 万，相比 2019 年增加近 4 倍。显示了当前工业 互联网面临着严重的威胁局面。依托国家工业信息安全监测预警网络，对 S7Comm、 Modbus、0mronFINS、DNP3 等 10 余种工业专属协议进行高交互 仿真，研发并实施了工控蜜罐网络一期部署，2020 年捕获来自境外的恶意网络攻 击累计 200 余万次，平均每个蜜罐每日捕获攻击 50 余次。据市场研究公司 Verified Market Research 分析，2019 年全球工业信息安全市场 规模达 164.01 亿美元，预计到 2026 年增长至 297.6 亿美元，年复合增长率为 8.83%。其中，运营技术（OT）安全仍然是增速最快的细分市场。据 Gartner 预测，2019 年全球 运营技术安全支出达 3.8 亿美元，年增长率达 52%.根据赛迪顾问资料，2018 年，我国工业互联网安全市场规模约为 125 亿元，相 比 2018 年增长 32.2%，高于我国网络安全市场平均增速。预计到 2021 年市场 规模达到 228 亿元，市场成长性较高。同时政府对工业互联网安全的关注不断提升，围绕《网络安全法》《中国制造 2025》，密集出台多项政策、指南以推进工业互联网安全产业的发展。2020 年 5 月，由国家工业信息安全发展研究中心牵头起草的《工业互联网数据 安全防护指南》在全国信息安全标准化技术委员会大数据特别工作组作为国家标 准研究项目立项，该指南以"技管结合、动静相宜、分类施策、分级定措"作为工 业互联网数据安全防护的总体思路，从通用防护、分类防护、分级防护三个维度 提出工业互联网数据安全防护框架。随着我国高度重视发展工业互联网数据发展，在 2020 年《政府工作报告》中首 次将工业互联网作为国家七大"新基建"领域之一，工业互联网产业迎来了快速发 展时期，工控安全也随着迎来了新的发展机遇，未来几年有望持续快速发展。详见报告原文。（本文仅供参考，不代表我们的任何投资建议。如需使用相关信息，请参阅报告原文。）精选报告来源：【未来智库官网】。

当下，5G、大数据、云计算发展迅速，数据资产价值逐渐彰显。随着互联网信息化程度加深，人们对于数据泄露风险的担忧与日俱增，网络安全成为舆论热议的话题。目前，国内网络安全行业，已逐步从单点被动防御、智能主动防御阶段，进入安全即服务阶段。在此背景下，每日经济新闻联合网络信息安全领域上市公司安恒信息（688023，SH），采用国家互联网安全应急中心权威数据，结合最新的安全形势，收集剖析国内外网络安全信息数据，每月发布网络信息安全月报。这是业内第一份涵盖所有A股上市公司的网络信息安全报告，旨在借助专业解析，让企业、民众进一步认识网络攻击行为，更好地保护自身隐私和数据资产。此份网络信息安全月报主要包括行业重点资讯、行业安全数据概览以及上市公司安全动态。重点关注勒索病毒对企业、个人的安全威胁，并提供应对之法。如何应对勒索病毒威胁？受疫情影响，在线办公的用户比例迅速提高。与此同时，网络攻击事件也随之增加，特别是令人“心惊胆寒”的勒索病毒。近日，计算机巨头宏碁遭到勒索软件攻击，勒索软件团伙REvil成功入侵宏碁的系统，并公布了部分宏碁的财务电子表格、银行对账单，索要的赎金达到5000万美元（约合3.25亿元人民币）。另外，微软的Exchange服务器也遭黑客攻击。据了解，黑客在入侵微软Exchange服务器后，正在利用受损服务器部署一款命名为“DEARCRY”的新勒索软件。DEARCRY的部署时间据称是从3月9日开始的，研究人员已在美国、卢森堡、印度尼西亚、爱尔兰、印度和德国发现感染DEARCRY的受害者。实际上，自2015年起，勒索病毒开始有存在感。发展至今，勒索产业链已极其完善，勒索病毒传播快、范围广，成为网络安全头号威胁。对于这种勒索病毒威胁，我们应该如何安全有效地应对病毒攻击？EDR（Endpoint Detection and Response端点检测和响应）正是一种积极主动消除攻击的解决方案。不同于端点被动防御，EDR通过云端威胁情报、异常行为分析、攻击行为监测等方式，主动发现来自外部或内部的安全威胁，并进行精准的阻断、补救和溯源等，从而有效对端点进行防护。比如安恒EDR，可以做到事前能防御、事中能控制、事后能补救，从而解决客户的后顾之忧。针对勒索病毒的威胁，安恒EDR为用户提供“防勒索口罩”“防病毒疫苗”等防治手段。其中，“防勒索口罩”通过端口扫描防护、病毒防护、违规外联防护，登录防护等技术构建关键数据护城河；而“防勒索疫苗”则把关键数据放到文件保险柜里面，为企业构建一套“免疫体系”。保护数据安全，谨防网络欺诈除了勒索病毒外，用户信息泄露以及网络欺诈等也值得关注。据媒体近日报道，Facebook有超过5亿用户信息遭泄露，这些用户涉及106个国家和地区，其中不乏一些知名人士的个人信息数据。而1月中旬，Fastway Couriers快递公司也发现约45万名用户的姓名、邮政地址、电子邮件地址/电话号码遭“恶意入侵”。据悉，该快递公司有7000多家客户，其中包括20家主要的在线零售商，其余为中型和小型零售商。事实上，由于黑客恶意入侵导致的数据泄露在全球频繁发生，数据泄露给受害者造成了非常大的精神伤害和金钱损失，这种伤害无法估量并且影响深远。比如Fastway Couriers快递公司的数据泄露中，包含了受害者的具体个人信息和居住地址，安全隐患非常大，这种安全事件一再给我们敲响警钟。网络欺诈方面，2021年4月14日，北京大兴区一家企业的负责人被号称“区领导”的骗子加了微信后，被骗近50万元。据调查，这位陌生“区领导”体察民情之余还不忘防疫工作，称最近会带队调研走访，并能提供扶持政策，博得好感。而后便以先转账企业负责人，请其转给自己亲戚为由，用假冒转账成功截图，骗企业负责人进行转账，多次行骗，直到受害者醒悟后，才拉黑受害者。受害企业负责人已经报警。提醒各位企业负责人、高管，一定要识别陌生人身份，不要轻易相信各类陌生人加好友，请先明确、核实身份，再进行操作。每日经济新闻

国家工业信息安全发展研究中心2月5日发布《2020年工业信息安全态势报告》。报告指出，2020年，全球工业信息安全呈现技术应用化发展、事件爆发式增长、政策多维度深化、风险弥漫性扩散等特征，总体来看，危机中孕育希望，机遇与挑战并存。记者了解到，该报告以国家工业信息安全监测预警网络、国家工业信息安全漏洞库（CICSVD）数据为基础，深入分析了2020年工业信息安全技术趋势、重大事件、政策动态等，披露了最新威胁监测与漏洞情况，全面、科学、多维度的展示了2020年工业信息安全整体态势。展望2021，报告建议，秉持监测、防护、应急“三位一体”理念，紧密围绕建设国家工业信息安全监测预警网络、建立完善防护应急体系、保护工业数据安全、打造专业技术队伍，推进实施“四个一”安全保障措施，切实维护国家工业信息安全。下一步，国家工业信息安全发展研究中心将开展威胁监测分析，汇集威胁情报，探索开展风险预警通报工作，提升风险防范能力。

（报告出品方/作者：开源证券，陈宝健、刘逍遥）1、 云安全市场正处于发展黄金时期1.1、 云基础设施的投资以及网络攻击的不断增长，推动云安全市场快速发展关于云安全的定义，目前有两种观点：一种是云计算安全，主要是对云自身的安全保护，包括云计算应用系统安全、云计算应用服务安全、云计算用户信息安全等； 另一种安全云计算，通过使用云的形式提供和交付安全，即通过采用云计算技术来提升安全系统的服务性能，如基于云计算的防病毒技术、挂马检测技术等。我们认为 随着云计算的普及，两个概念将实现融合发展的趋势，即以利用云计算的方式为云计算业务提供安全保护。Gartner 在《secure-access-service-edge》报告中论述了类似的观点，即未来云安全将会变成单纯的安全。一方面，云化的基础设施和平台需要安全防护，用传统安全手段赋能云计算；另一方面，云计算的各种新技术、新理念（如软件定义、虚拟化、容器、编排和微服务等），也在深刻变革着当前的安全技术发展路线，因而，未来的云安全，一定会将“云”这个定语去除，等价于安全本身，即安全技术必然覆盖云计算场景，安全技术必然利用云计算技术。考虑到云安全目前所处的发展阶段，本篇报告中我们主要围绕云计算安全（第一种定义）进行讨论。云安全几乎是伴随着云计算市场而发展起来的，云基础设施投资的快速增长， 无疑为云安全发展提供土壤。根据 Gartner 的预测，2021 年全球最终用户在公有云服务上的支出将增长 18.4%，达到 3049 亿美元，高于 2020 年的 2575 亿美元。特别是 在 COVID-19 危机之后，转移到云的 IT 支出比例将加速增长。Gartner 预计，到 2024 年，云服务将占全球企业 IT 总支出的 14.2%，远高于 2020 年的 9.1%。在云计算发展面临的挑战中，安全和隐私排在了首位。在全球数字化转型的浪潮席卷下，越来越多的企业开始应用云计算技术。资源集中使云平台更容易成为黑客攻击的目标，云上安全问题也更加突出。IDC 调研显示，云计算所面临的挑战中， 安全问题排在首位。且 2019 年 RSA 大会上，云安全已跃居热词榜首。与传统 IT 体系相比，云计算面临着更多的风险点。一是传统安全边界的消失：传统安全以边界为核心，而虚拟化技术使得传统安全边界消失，基于物理安全边界的方式难以在云计算环境下得以应用；二是用户具有动态性：云计算环境下，用户的数量和分类变化频率高，具有动态性和移动性强的特点，静态的安全防护手段作用被削弱，安全防护措施需要进行动态调整。三是更高的数据安全保护要求：云计算将资源和数据的所有权、管理权和使用权进行了分离，资源和数据不在本地存储，用户失去了对资源和数据的直接控制，再也不能像传统信息系统那样通过物理控制、逻辑控制、人员控制等手段对数据的访问进行控制。面对用户数据安全保护的迫切诉求和庞大的数据规模，云计算企业需要具有更高的数据安全保护水平和更先进的数据保护手段，以避免数据不可用、数据泄露等风险。四是多种外部风险：云计算企业搭建云平台时，可能会涉及购买第三方厂商的基础设施、运营商的网络服务等情况。基础设施、网络等都是决定云平台稳定运行的 关键因素。因此，第三方厂商和运营商的风险管理能力将影响云计算企业风险事故的发生情况。同时，云计算企业在运营时，可能将数据处理与分析等工作分包给第三 方合作企业，分包环节可能存在数据跨境处理、多方责任难界定等风险。云原生技术逐渐成为云计算市场新趋势，所带来的安全问题更为复杂。以容器、 服务网格、微服务等为代表的云原生技术，正在影响各行各业的 IT 基础设施、平台 和应用系统，也在渗透到如 IT/OT 融合的工业互联网、IT/CT 融合的 5G、边缘计算 等新型基础设施中。随着云原生越来越多的落地应用，其相关的安全风险与威胁也不断的显现出来。Docker/Kubernetes 等服务暴露问题、特斯拉 Kubernetes 集群挖矿事件、Docker Hub 中的容器镜像被“投毒”注入挖矿程序、微软 Azure 安全中心检 测到大规模 Kubernetes 挖矿事件、Graboid 蠕虫挖矿传播事件等一系列针对云原生的 安全攻击事件层出不穷。CSA 云安全联盟对行业专家进行了一次调查，根据调查问卷结果从 20 个 concerns 中选出最严重的 12 个，包括:数据泄露；身份、凭证和访问管理不足；不安 全的接口和应用程序编程接口（API）；系统漏洞；账户劫持；恶意的内部人员；高级 持续性威胁（APT）；数据丢失；尽职调查不足；滥用和恶意使用云服务；拒绝服务 （DoS）；共享的技术漏洞。云安全责任共担模式在业界已经达成共识。在海外，亚马逊 AWS、微软 Azure 均采用了与用户共担风险的安全策略。对 IaaS 服务来说，云服务提供商（CSP）需 保障物理、网络和虚拟化层面的安全，而用户需要保障操作系统、应用程序和数据的安全；对 PaaS 服务来说，操作系统安全也归 CSP 负责，用户只需要负责应用程序和 数据安全；对 SaaS 服务来说， 用户要负责的就是数据安全，而其他所有的部分都 是 CSP 的保障范围。近年来云服务提供商(CSP)均在努力提升其安全能力，保护其基 础设施和产品安全。依据责任共担模型，云安全市场的参与者主要分为两类，一类是云服务提供商 （CSP）。亚马逊 AWS、微软 Azure、阿里云等云厂商对云基础设施安全的重视程度 逐渐提升。以 AWS 为例，AWS 从四个方面对云安全提供了相应的解决方案，包含了 ID 访 问控制，检测式控制，基础设置保护和数据保护，为用户提供云上安全。另一类是专业的安全厂商，主要负责保护用户侧云安全。McAfee、Palo Alto 等 老牌的安全厂商不断通过自研+兼并收购完善云安全技术和产品布局；Zscalar、 Crowstrike 等新兴安全云厂商迅速发展。1.2、 CASB、CSPM、SASE 等新技术不断涌现，推动云安全市场创新发展从责任共担模型和云原生两个维度出发，云安全产品可以大体分成三大类：一 是传统安全设备的云化。在传统的数据中心中，安全防护通常是通过在安全域入口 部署专用的安全设备来实现的，比如防火墙、IDS、IPS 等。在虚拟化的云环境下， 传统的安全防护设备不再发挥作用，因此出现了相对应的虚拟防火墙，虚拟 IDS、 IPS。第二类是云服务提供商（CSP）为配套云服务而提供的安全产品，常见的有威胁检测、云数据库安全、API 安全、容器和工作负载安全、用户行为监控、合规与风险 管理等。第三类则是基于云原生应运而生的“新安全”产品和服务，包括 CASB（云访问安全代理），CSPM（云安全配置管理），CWPP（云工作负载安全防护平台），SASE （安全访问服务边缘模型）等。其中，CASB 作为部署在客户和云服务商之间的安全 策略控制点，是在访问基于云的资源时企业实施的安全策略。而 CSPM 产品通常使用自动化方式来解决云配置和合规性问题。CWPP 作为一项以主机为中心的解决方案，主要是满足这些数据中心的工作负载保护需求，因此，主要适用于 IaaS 层。根据 Gartner 最新发布的《2020 年云安全技术成熟度曲线》，与 2019 年对比， CASB（云访问安全代理），CSPM（云安全配置管理），CWPP（云工作负载安全防护平台），SASE（安全访问服务边缘模型）等新兴技术均实现了快速发展。CASB（云访问安全代理）Gartner 将云访问安全代理市场定义为解决云服务使用过程安全漏洞问题的产品和服务。CASB 为多云管理提供了一个中心位置，提升对用户活动和敏感数据的细 粒度可见性和控制。CASB 相当于一个超级网关，融合了多种类型的安全策略执行 点。在这个超级网关上，能够进行认证、单点登录、授权、凭据映射、设备建模、数 据安全（内容检测、加密、混淆）、日志管理、告警，甚至恶意代码检测和防护。根据 McAfee 官网资料，CASB 核心价值是解决深度可视化、数据安全、威胁防护、合规性这四类问题：(1) 深度可视化—CASB 提供了影子 IT 发现、组织机构云服务格局的统一视图以及从任何设备或位置访问云服务中数据的用户的详细信息。(2) 数据安全性—CASB 能够实施以数据为中心的安全策略，以防止基于数据分类、数据发现以及因监控敏感数据访问或提升权限等用户活动而进行有害活动。通 常是通过审计、警报、阻止、隔离、删除和只读等控制措施来实施策略。DLP（数据 丢失防护）功能很普遍，并且是仅次于可视化的最常用的一项控制措施。(3) 威胁防护—CASB 通过提供 AAC 来防止有害设备、用户和应用程序版本来 访问云服务。可以根据登录期间和登录之后观察到的信号来更改云应用程序功能。 CASB 此类功能的其他示例包括通过嵌入式 UEBA 识别异常行为、威胁情报、网络 沙箱以及恶意软件识别和缓解。(4) 合规性—CASB 可帮助组织机构证明，是组织机构在管理云服务的使用情况。 CASB 提供了信息来确定云风险偏好并确定云风险承受能力。通过各种可视化、控制和报告功能，CASB 有助于满足数据驻留和法律合规性要求。CASB 市场正处于高速发展阶段。根据 Gartner 预测，到 2022 年，60%的大型企业将使用 CASB，是 2018 年年底使用 CASB 的数量的三倍。而根据 Apps Run The World 预测，全球 CASB 市场规模将从 2018 年 21 亿美元增至 2023 年的 157 亿美 元，年复合增长率将达 49.0%。目前，CASB 在云安全市场已经成为一项较为普及的技术，包括 McAfee、 Netskope、Symantec、Microsoft、Oracle、Forcepoint、Cisco 在内的知名安全厂商均 在 CASB 领域布局。根据 Gartner 发布的 2020 年云访问安全代理（CASB）魔力象 限，CASB 市场的主要领导者为 McAfee、Netskope、Microsoft 和 Bitglass。CSPM（云安全配置管理）在谈及云工作负载的安全防护的时候，一般分为三个部分去考虑，分属于两个平面。一个是数据平面，一个是控制平面。在数据平面，主要包括针对云工作负载本 身进行防护的 CWPP（Cloud Workload Protection Platforms），以及云工作负载之上的 CWSS（云工作负载安全服务）。CWSS 是在云工作负载之上对负载进行安全防护。 在控制平面，则都是在负载之上对负载进行防护的措施，就包括了 CSPM，以及前面 的 CWSS。CSPM 能够对 IaaS，以及 PaaS，甚至 SaaS 的控制平面中的基础设施安全配置进行分析与管理。这些安全配置包括账号特权、网络和存储配置、以及安全配置（如加密设置）。理想情况下，如果发现配置不合规，CSPM 会采取行动进行纠偏。云安全态势管理(CSPM)四大核心功能：一是可见性。提升云基础架构资产和安 全配置的可见性，用户可以跨多云环境和帐户访问单一的来源。配置错误、元数据、 网络、安全和更改活动等信息在部署时就会被发现。跨帐户、区域、项目和虚拟网络 的安全组策略可以通过单个控制台进行管理。二是配置分析和管理。CSPM 通过将云应用程序配置与行业和组织基准进行比较，从而消除安全风险并加快交付流程，以便实时识别和纠正违规行为。配置错误、 开放 IP 端口、未经授权的修改以及使云资源暴露的其他问题可以通过引导式补救来修复，并提供护栏来帮助开发人员避免错误。存储受到监视，因此始终具有适当的权限，并且数据永远不会意外地向公众开放。此外，还监视数据库实例，以确保启用高可用性、备份和加密。三是持续威胁检测。CSPM 通过有针对性的威胁识别和管理方法消除多云环境安全警报的噪音，主动检测整个应用程序开发生命周期中的威胁。由于 CSPM 侧重于对手最有可能利用的区域，漏洞根据环境确定优先级，并且无法将易受攻击的代码用于生产，因此警报数量减少。CSPM 还将持续监视环境，通过实时威胁检测来监 视环境中的恶意活动、未经授权的活动和对云资源的未经授权的访问。四是 DevSecOps 集成。CSPM 可减少开销，并消除多云提供商和帐户之间的摩 擦和复杂性。云原生、无代理状态管理提供对所有云资源的集中可见性和控制。安全 操作和 DevOps 团队获得单一的真相来源，安全团队可以阻止受损资产在应用程序生 命周期中取得进展。 根据 Gartner 预测，2019 年，全球 CWPP 市场规模为 12.5 亿美元。预计到 2023 年，这一领域将达到 25 亿美元。云工作负载保护平台（CWPP）Gartner 将云工作负载保护平台（CWPP）定义为以工作负载为中心的安全产品， 针对现代混合、多云数据中心架构中工作负载的独特保护要求。2016 年，Gartner 首 次推出 CWPP 市场指南，旨在为企业用户推荐全球具有代表性的 CWPP 产品提供商。 在 2020 年的最新指南中，Gartner 已经将 CWPP 产品扩展为多能力&多平台、脆弱性扫描&配置与合规、基于身份的隔离&可视和控制能力产品等七大类别，代表厂商也 涵盖了全球主流安全厂商。IT 系统最初的工作负载形式就是物理服务器。随着 IDC 走向虚拟化，工作负载 演进为虚拟机形式。云服务中容器成为工作负载的主流，而正在出现和发展的工作 负载新形式 Serverless，直接对应用 run-time 虚拟化，改变了传统意义上的服务进程 监听-运行模式，是更加精细粒度的瞬态工作负载。随着云计算和云原生需求的发展， 云工作负载的形式越来越抽象灵活，同时其部署和运行的生命周期也可越来越短。 多种形式和生命周期的云工作负载会长期共存，目前并没出现彼此淘汰的情况，同 时这些演进和共存，也使得抽象化定义很有必要。CWPP 对云上的工作负载，提供多个维度、全方位的保护能力。Gartner 把这种 能力分成了 8 大类别（从上到下，重要程度逐层递增），包括：反恶意软件扫描；具 有漏洞屏蔽功能的 HIPS；服务器工作负载 EDR 行为监测与威胁检测/响应；漏洞利 用预防/内存保护；应用控制/白名单；系统信任保证；网络防火墙、可视性及微隔离； 受限的物理及逻辑访问边界。安全服务访问边缘（SASE）根据 Gartner 的定义，SASE 是一种基于实体的特性、实时环境、企业安全/合规策略，以及在整个会话中持续评估风险/信任的服务。实体的标识可与人员、人员 组（分支办公室）、设备、应用、服务、物联网系统或边缘计算场地相关联。SASE 汇 聚网络(例如，SD-WAN)和网络安全服务(例如 SWG、CASB 和 FWaaS)的功能，主要 以云服务的方式进行交付。根据 Gartner 的定义，SASE 有四个主要特征：（1）身份驱动不仅仅是 IP 地址，用户和资源身份决定网络互连体验和访问权限级别。服务质量、路由选择、应用的风险安全控制——所有这些都由与每个网络连接相关联的身份所驱动。采用该方法，公司企业为用户开发一套网络和安全策略，无需考虑设备或地理位置，从而降低运营开销。（2）云原生架构SASE 架构利用云的几个主要功能，包括弹性、自适应性、自恢复能力和自维护功能，提供一个可以分摊客户开销以提供最大效率的平台，可很方便地适应新兴业务需求，而且随处可用。（3）支持所有边缘SASE 为所有公司资源创建了一个网络——数据中心、分公司、云资源和移动用户。软件定义广域网 (SD-WAN) 设备支持物理边缘，而移动客户端和无客户端浏览 器访问连接四处游走的用户。（4）全球分布为确保所有网络和安全功能随处可用，并向全部边缘交付尽可能好的体验， SASE 云必须全球分布。因此，Gartner 指出，必须扩展自身覆盖面，向企业边缘交付低延迟服务。根据 Gartner 预测，到 2024 年，SASE 市场规模将从 2019 年的 19 亿美元攀升至 110 亿美元。同时，到 2024 年，至少 40%的企业将有明确的战略采用 SASE，而在 2018 年年底这一比例不到 1%。SASE 市场已迎来传统 IT 厂商、云计算厂商、安全 厂商、CDN 厂商等多方势力的角逐，包括思科、VMware、Palo Alto Networks、Cato Networks、Akamai 和网宿科技等。1.3、 长期来看，全球云安全市场规模有望达数百亿美元目前云安全支出占云 IT 支出比例尚处于较低水平。根据 IDC 数据，2020 年全 球云安全支出占云 IT 支出比例仅为 1.1%，充分说明目前云安全支出远远不够，假设 这一比例提升至 5%，那么 2020 年全球云安全市场空间可达 53.2 亿美元，2023 年可 达 108.9 亿美元。云基础设施的投资以及网络攻击的不断增长，将持续推动云安全市场的增长。根据 Million Insights 的最新报告，从 2020 年到 2027 年，全球云安全市场预计将以 14.6％的复合年增长率增长，预计 2027 年全球云安全市场规模将达到 209 亿美元。2、 海外云安全市场：技术创新与兼并整合活跃整体来看，海外云安全市场正处于快速发展阶段，技术创新活跃，兼并整合频繁。一方面，云安全技术创新活跃，并呈现融合发展趋势。例如，综合型安全公司 Palo Alto 的 Prisma 产品线将 CWPP、CSPM 和 CASB 三个云安全技术产品统一融合， 提供综合解决方案及 SASE、容器安全、微隔离等一系列云上安全能力。云安全创业公司 Cloud Passage 的云安全解决方案也综合了 CWPP、CSPM 和 CASB 技术，并且 结合容器安全防护能力，提供统一云安全防护平台。另一方面，新兴的云安全企业快 速发展，同时，传统安全供应商也通过自研+兼并的方式加强云安全布局。例如，Palo Alto Networks 相继收购 Evident.io、RedLock、PureSec 和 Twistlock；Check Point 并 购 Dome9；McAfee 收购了 Skyhigh。2.1、 新兴云安全厂商高速成长，并获得资本市场的高度认可以 Zscaler、Crowstrike、Okta 为代表的新兴云安全厂商不断涌现、高速成长，并 且获得资本市场的高速认可。Zscalar：云安全独角兽Zscaler 是一家提供云安全服务的美国网络安全公司，成立于 2008 年，共拥有超过 4500 家客户，涵盖 185 个国家，包括福布斯 2000 强中的 450 家企业，客户覆盖金融服务、医疗、制造、航空、运输、消费零售、教育等各个行业。 公司四大支柱产品线为：Zscaler Internet Access（ZIA）、Zscaler Private Access （ZPA）、Zscaler Digital Experience（ZDX）和 Workload Segmentation。Zscaler 的旗舰产品是 Zscaler Internet Access（ZIA）和 Zscaler Private Access （ZPA）。Zscaler Internet Access 作为用户和提供商之间的中间层，供用户安全连接 外部托管的应用。Zscaler Private Access，可供安全访问未托管在第三方云的内部应 用。订阅模式下，2017-2020财年Zscaler的收入复合增长率超过50%。截止FY21Q1， 用户续费率达 122%。Crowstrike：云交付的下一代终端安全厂商CrowdStrike 成立于 2011 年，公司构建了 CrowdStrike Falcon 平台来检测威胁并阻止漏洞。依靠 Falcon 平台，公司创建了第一个多租户云原生的智能安全解决方案， 能够保护运行在多个终端的设备。Falcon 平台通过基于 SaaS 订阅模型集成了 11 个 云模块，该模型跨越多个安全市场，包括端点安全、安全和 IT 运维（包括漏洞管理） 以及威胁情报，以提供全面的漏洞保护。公司用户数量高速增长，同时用户粘性强。从用户数量来看，2017-2020 财年， 公司每年的用户数量增长均超过 100%，截止 2021 财年 Q3，公司用户数达到 8416 个，其中覆盖了财富 100 强企业中的 49 家。同时，用户粘性较高，2019 财年至今公 司用户续费率基本维持在 120%以上。2018-2020 财年，公司收入的复合增长率超过 100%。公司收入的高速增长，一 方面得益于公司所处赛道正在高速增长，客户需求旺盛；另一方面则得益于公司产 品的强竞争力。自上市以后，Zscaler 与 CrowdStrike 获得资本市场的高速认可，PS 估值一直处于较高水平。我们认为主要原因有几个方面：（1）赛道。正如前面所述，云安全尚 处于高速发展的赛道，随着产品和技术的成熟，市场空间逐渐打开。（2）竞争力。 Zscaler 与 CrowdStrike 产品获得用户认可，客户粘性高，客户量与单客户 ARUP 值 也在不断提升。因此，过去几年的收入增速保持在较高水平。（3）商业模式。与传统 的安全厂商不同，Zscaler 与 CrowdStrike 以云的方式为企业提供安全服务，商业模 式也从传统的产品销售模式转变为订阅模式。2.2、 传统安全厂商通过自研+兼并，加速布局云安全赛道以 PaloAlto、McAfee 为代表的传统安全厂商在云安全领域纷纷加速布局，动作不断。Palo Alto：下一代防火墙领导者，加速布局云安全Palo Alto 成立于 2005 年，是全球下一代防火墙领导厂商。Palo Alto 下一代防火 墙采用 App-ID、User-ID 和 Content-ID 这三种独特的识别技术，针对应用程序、用 户和内容实现可视化和控制能力。近年来 Palo Alto 在云安全领域一直保持高举高打的态势。2018-2020 年，公司 相继收购了 Evident.io、Red Lock、PureSec、Twistlock 和 CloudGenix 等一系列公司， 加强在云安全领域的产品和技术布局。在一系列的收购与整合之后，2019年 6月，公司正式推出云安全解决方案 Prisma。 Prisma 是唯一在单一平台上以 SaaS 解决方案形式同时提供云安全态势管理和云工作负载保护功能的供应商。Prisma 共包括四大组件：（1）Prisma Access 是安全访问服 务边缘（SASE），可以保证企业分支机构和移动用户，无论处于世界任何角落都能在接入云时受到安全保护。（2）Prisma Cloud 是统一的云原生安全平台，在混合及多云环境中，为整个云 原生技术堆栈、应用和数据提供业界最广泛的安全性和合规性覆盖。2020 年 10 月， Palo Alto 宣布推出包括四个全新云安全模块的 Prisma Cloud 2.0，巩固了其作为业界 最全面云原生安全平台（CNSP）的地位。全新的 Palo Alto Networks Prisma Cloud 模 块包括：数据安全模块、Web 应用与API 安全模块、基于身份的微分段模块、身份和访问管理（IAM）安全模块。（3）Prisma SaaS 为云接入安全代理（CASB），可以实现 SaaS 应用的安全启动。（4）VM-Series 为 Palo Alto Networks 新一代防火墙，虚拟机箱，可部署于私有及云计算环境中。下一代安全产品收入高速增长，在总收入中占比快速提升。Palo Alto 认为下一 代安全产品收入是一个关键的财务指标和运营指标，将其定义为 Prisma 和 Cortex 产 品及服务收入（含 VM 系列和相关服务在内）。2018 财年，公司下一代安全产品收入 占总收入比例仅为 8%，2020 财年这一比例提升至 20%。McAfee：云安全能力不断完善McAfee MVISION Cloud 已经具备较完整的云安全能力。公司于 2017 年收购了CASB 厂商 Skyhigh，重新整合成 MVISION Cloud。目前 MVISION Cloud 已扩展到多个类别，包括 CASB，CSPM，CWPP，容器安全性，SSPM 和 SWG。目前 McAfee成为唯一获得 CASB 2020 Gartner Peer Insights Customer’Choice 荣誉称号的供应商。3、 国内云安全市场：市场空间广阔，尚处于技术追随阶段中国云安全市场空间广阔。根据中国信通院数据，2019 年我国云计算整体市场规模达 1334.5 亿元，增速 38.6%。预计 2020-2022 年仍将处于快速增长阶段，到 2023年市场规模将超过 3754.2 亿元。中性假设下，安全投入占云计算市场规模的 3%-5%，那么 2023 年中国云安全市场规模有望达到 112.6 亿-187.7 亿元。中国云安全市场尚处于创新发展期。根据 Gartner 发布的《2020 年中国 ICT 技术成熟度曲线》，其中，云安全在报告中被列入新兴技术范畴。安恒信息、绿盟科技、 奇安信、深信服、天融信、启明星辰被列为标杆供应商。中国云安全与海外云安全存在较大的差异。因此，Gartner 特意使用了“中国的 云安全”，而非简单的云安全。我们这认为主要由于中国在云计算的发展阶段和云原 生技术的程度上与海外市场还有一定差距。（1）中国私有云市场比公有云市场发展更为领先，对安全资源池等安全机制需求较大。根据绿盟科技的分析，中国的云计 算发展是从虚拟化起步，从私有云到公有行业云，走出了具有中国特色的发展路线。 里程碑是开源的 IaaS 项目 Openstack 在国内兴起，国内厂商，如华为、华三、EasyStack 等企业基于 Openstack 研发了各自的云平台，此时国内的云计算需求主要是将硬件服 务器虚拟化，再加入多租户管理、网络隔离等需求。通常商用私有云系统是封闭的， 缺乏对网络流量按需控制的应用接口，因而，针对这类私有云的安全机制多为安全 资源池，通过路由、VLAN 或开放网络接口将流量牵引到资源池进行处理。（2）从技术应用上来说，中国厂商尚处于追随阶段。Gartner 指出，大多数中国 的安全厂商都聚焦在 CWPP 以保护客户云安全。对于一些新兴的云安全技术，CASB 因为国内缺乏重量级的企业级 SaaS 而导致市场较小；CSPM 则因为国内的公有云相 比私有云、行业云还是较少，尚未得到重视。但随着国内公有云市场的加速发展，云 原生技术的应用越来越广泛，我们认为 CASB、SCPM、SASE 等新兴技术在国内的 应用也将越来越广泛。国内应用较为广泛的云产品为以安全资源池为核心的云安全管理平台。云安全 资源池提供虚拟化的安全能力，如防火墙、WAF、IDS、IPS、堡垒机、数据库审计 等，并通过统一安全管理平台对各类安全能力进行组织和编排，形成整体安全方案。 在这样的架构下，云上流量不需要集中引至同一区域进行集中处理，通过边缘就近 防御的方式降低安全业务带来的网络时延。同时，运营商通常具有多供应商云平台， 对不同云平台的适配和对接也逐渐成为行业标配。根据 IDC 报告，2019 年中国安全 资源池市场的规模达到 7960 万美元，同比增长 78.3%，市场正以强劲的发展趋势快 速扩张，占领部分安全解决方案市场，奇安信、深信服、安恒信息、天融信、绿盟科 技市场份额领先。在新兴云安全技术中，CWPP 在国内的应用相对比较成熟。在国际权威咨询机 构 Gartner 发布的《云工作负载保护平台市场指南》中，腾讯云主机安全、阿里云云 安全中心、山石云·格（CloudHive）入选 Gartner CWPP 全球市场指南。Gartner 从 企业用户视角，对云上负载平台的保障需求进行了全面的市场风险分析和处置建议，并以多能力&多平台能力、脆弱性扫描&配置与合规能力、基于身份的分段&可视化 与控制能力、应用控制/预期状态执行能力、服务器 EDR&负载行为监控与威胁监测 /响应能力、容器与 K8S 保障能力、无服务器保障能力七大能力矩阵为企业用户推荐 全球具有代表性的 CWPP 服务提供商。阿里云和腾讯云入围“全功能、多系统”的 全球供应商，山石网科的微隔离可视化云安全产品——山石云·格（CloudHive）成 功入选指南中“基于身份的分段&可视化与控制能力”分类。SASE 在国内市场均处于新风口。2020 年 9 月 10 日，深信服基于多年的云安全 研究技术及安全产品研发能力重磅发布 SASE 安全产品“云安全访问服务 Sangfor Access”，标志着深信服将全面进入安全能力的云化交付时代。云安全访问服务的主 要三大服务为 SIA、SPA 和 SAP，这三大服务集结多个安全模块，为用户提供从上 网安全管理、业务安全接入到大数据威胁分析的全方位安全保障。服务一：Sangfor Internet Access（SIA）聚焦上网安全服务，可解决上网侧，包括对终端、SaaS 应用进行访问的安全问 题。通过 SD-WAN 接入服务引流实现流量上云，搭配身份认证、恶意 URL 过滤与流 量管理、数据泄密管控、终端安全、安全智能防火墙等安全模块对流量进行管理，从 而在用户终端与互联网/应用服务之间隔离出一块安全缓冲区，建立企业安全建设的 新防线。服务二：Sangfor Private Access（SPA）聚焦内网接入安全服务，可解决私有数据中心访问的安全问题。提供基于 SDP 的云 VPN 接入，基于身份的权限控制、认证等模块，确保企业员工、合作伙伴在任 何地方任何时间通过全球各地 POP 点网络访问业务时更安全、更隐私、更稳定的访 问体验。服务三：Sangfor Analytics Platform（SAP）聚焦安全智能分析服务，可解决端到端访问的安全风险分析问题。通过大数据、 人工智能、UEBA 等技术手段或模型分析安全风险，并启动威胁预警，帮助企业建立云端大数据分析平台，实现端到端访问时企业数据资产、安全威胁可视可预警。（详见报告原文）（本文仅供参考，不代表我们的任何投资建议。如需使用相关信息，请参阅报告原文。）精选报告来源：【未来智库官网】。

当下，5G、大数据、云计算的快速发展，数据资产价值逐渐彰显。随着互联网信息化程度加深，人们对于数据泄露风险的担忧与日俱增，网络安全成为舆论热议的话题。目前，国内网络安全行业，已逐步从单点被动防御、智能主动防御阶段，进入安全即服务阶段。在此背景下，每日经济新闻联合网络信息安全领域上市公司安恒信息（688023，SH），采用国家互联网应急中心（CNCERT）权威数据权威数据，结合最新的安全形势，收集剖析国内外网络安全信息数据，每月发布网络信息安全月报。这是业内第一份涵盖所有A股上市公司的网络信息安全报告，旨在借助专业解析，让企业、民众进一步认识网络攻击行为，更好地保护自身隐私和数据资产。行业重点资讯勒索病毒威胁事件一：计算机巨头宏碁近日遭到了勒索软件攻击，勒索软件团伙REvil成功入侵宏碁的系统，并公布了部分宏碁的财务电子表格、银行对账单，索要的赎金达到5000万美元（约合3.25亿元人民币）。 事件二：3月20日，物联网巨头Sierra Wireless无线设备制造公司遭勒索软件攻击，攻击迫使其停止了所有工厂的正常生产工作。据悉，勒索软件对Sierra Wireless的内部IT网络进行了加密，阻止员工访问与制造、计划相关的内部文档以及系统。 资料显示，Sierra Wireless的总部位于加拿大不列颠哥伦比亚省里士满，在全球拥有1300多名员工，在北美、欧洲和亚洲设有研发中心，主营通信设备的开发与销售，相关产品在汽车、运输、能源、医疗保健、工业和基础设施、网络安全等行业中都有应用。 事件三：微软Exchange服务器遭黑客攻击。据了解，黑客在入侵微软Exchange服务器后，正在利用受损服务器部署一款命名为“DEARCRY”的新勒索软件。DEARCRY的部署时间据称是从3月9日开始的，研究人员已在美国、卢森堡、印度尼西亚、爱尔兰、印度和德国发现感染DEARCRY的受害者。 事件四：2020年12月，富士康在墨西哥的一家工厂遭遇勒索软件攻击，攻击者秘密获取了未加密的富士康文件，之后对相关设备进行了加密。黑客之后发出了勒索文件，索要1804.0955 BTC赎金，按当日的比特币价格计算，约为3468.60万美元（约合2亿元人民币）。 每经点评：勒索病毒的危害极大，企业的文件数据一旦被加密，可能会遭受经济、名誉、监管等方面的多重打击。黑客通常利用勒索病毒攻击企业机构，通过加密或泄露数据，以达到勒索的目的。 自2015年起，勒索病毒开始有存在感。发展至今，勒索产业链已极其完善，勒索病毒传播快、范围广，成为网络安全头号威胁。受疫情影响，2020年勒索攻击事件更是增长100%，面向组织的攻击占比超过75%，且更有目的、攻击更精准。而医疗、对外贸易、工业企业、互联网行业更是成为勒索病毒的重灾区，勒索方式更是多种多样。 图片来源：视觉中国对于这种勒索病毒威胁，我们应该如何安全有效地应对病毒攻击？EDR（Endpoint Detection and Response端点检测和响应）正是一种积极主动消除攻击的解决方案。不同于端点被动防御，EDR通过云端威胁情报、异常行为分析、攻击行为监测等方式，主动发现来自外部或内部的安全威胁，并进行精准的阻断、补救和溯源等，从而有效对端点进行防护。 比如安恒EDR，可以做到事前能防御、事中能控制、事后能补救，从而解决客户的后顾之忧。针对勒索病毒的威胁，安恒EDR为用户提供“防勒索口罩”、“防病毒疫苗”等防治手段。其中，“防勒索口罩”通过端口扫描防护、病毒防护、违规外联防护，登录防护等技术构建关键数据护城河；而“防勒索疫苗”，则把关键数据放到文件保险柜里面，为企业构建一套“免疫体系”。 数据安全事件一：据媒体近日报道，Facebook有超过5亿用户信息遭泄露，这些用户涉及106个国家和地区，其中不乏一些知名人士的个人信息数据。 事件二：Fastway Couriers快递公司泄露45万名用户联系方式。1月中旬，Fastway Couriers快递公司发现约45万名用户的姓名、邮政地址、电子邮件地址/电话号码遭到了“恶意入侵”。据悉，该快递公司有7000多家客户，其中包括20家主要的在线零售商，其余为中型和小型零售商。 事件三：关于脱口秀演员池子（本名王越池）账户交易信息被中信银行泄露一事，经银保监会历时十个月的调查，终于有了处罚结果。2021年3月19日，银保监会网站公布对中信银行的处罚决定，因客户信息保护体制机制不健全等案由，中信银行被银保监会罚款450万元。 每经点评：由于黑客恶意入侵导致的数据泄露在全球频繁发生，数据泄露给受害者造成了非常大的精神伤害和金钱损失，这种伤害无法估量并且影响深远。比如Fastway Couriers快递公司的数据泄露中，包含了受害者的具体个人信息和居住地址，安全隐患非常大，这种安全事件一再给我们敲响警钟。 面对数据泄露事件，用户必须保护好个人信息，对每一个要提交的信息再三确认安全性，尽量不要填写详细住址等敏感信息；安全厂商方面，需要与黑客持续对抗，持续研究安全产品。传统的兵来将挡已经不适用于今天的网络环境，必须学会利用威胁情报，提前预知黑客动向，重视威胁情报的赋能作用，利用威胁情报反守为攻。 网络欺诈事件一：4月14日，北京大兴区一家企业的负责人被号称“区领导”的骗子加了微信后，被骗近50万元。据调查，这位陌生“区领导”体察民情之余还不忘防疫工作，称最近会带队调研走访，并能提供扶持政策，博得好感。而后便以先转账企业负责人，请其转给自己亲戚为由，用假冒转账成功截图，骗企业负责人进行转账，多次行骗，直到受害者醒悟后，才拉黑受害者。受害企业负责人已经报警。 每经点评：冒充熟人诈骗是一种常见的诈骗手法，从“猜猜我是谁”，到现在的高端身份冒充，骗子的手段及话术更新迭代速度极快。北京这位企业负责人遇到的，便是类似“冒充退役军官”“冒充高官子女”等进化而来的“冒充区领导”版本。这类诈骗从骗普通人上升到骗企业负责人、高级白领等，抓住的是企业挣扎生存的弱点，让企业负责人毫无防备之心。其手段第一步为嘘寒问暖，政策扶持，体现“领导”的关心；第二步为用转账假图骗人进行转账；第三步是如果起疑，就称是银行卡设置的大额转账延时到账，催促受害者转账；第四步是持续行骗，以不同借口要求受害者持续转账。最后如果骗子觉得对方已起疑，会立刻拉黑对方。 提醒各位企业负责人、高管，一定要识别陌生人身份，不要轻易相信各类陌生人加好友，也不要相信贸然联系的“领导”“总裁”等；在互联网上尽量少暴露自己的相关信息，尤其是企业高管、负责人、财务等相关人员的基本信息，容易被诈骗分子利用；任何转账、贷款等涉及到财务相关的事情，请先明确、核实身份，再进行操作。 车联网安全事件一：近日，特斯拉车内摄像头一事引起了广大网友的激烈讨论，有用户在推特上向马斯克询问，特斯拉的车内摄像头是否可以监测车主，马斯克直接回复：是的。该消息一出，立即引发争议。尽管特斯拉称车内的摄像头并没有启用，但还是有不少车主担心自己在被监视。 图片来源：视觉中国 每经点评：车内摄像头作为智能网联汽车车内重要组成部分，黑客可利用摄像头设备本身存在的漏洞控制摄像头，非法获取车辆隐私信息，也可对用户进行实时监控，使车主面临生命财产及信息隐私安全隐患。 智能汽车的发展速度已超出我们的想象，在汽车智能化，网联化与隐私这个充满争议的话题下，汽车网络安全防护方案应该成为智能网联汽车的标配，与网联汽车的智能化和网联化融为一体，如何为用户提供真正有效、可靠的智能网络汽车安全防护。安恒信息车联网安全解决方案通过“云、管、端，芯”一体化结合的网络安全防护技术，构建整车综合立体防御体系，为汽车提供全方位的网络信息安全保障。同时可为车内传感器和智能座舱平台提供全方面的安全检测防护能力，从外部入侵异常行为、攻击链路分析角度构建整车级别信息安全防护体系。从而解决黑客入侵车辆、窃取车主用户隐私等安全问题。 法律·政策·规范3月11日，十三届全国人大四次会议表决通过关于“十四五”规划和2035年远景目标纲要（以下简称《纲要》）的决议。 营造良好数字生态方面，《纲要》提出，建立健全数据要素市场规则，营造规范有序的政策环境，加强网络安全保护，推动构建网络空间命运共同体。具体而言，加强涉及国家利益、商业秘密、个人隐私的数据保护，加快推进数据安全、个人信息保护等领域基础性立法，强化数据资源全生命周期安全保护。完善适用于大数据环境下的数据分类分级保护制度。加强数据安全评估，推动数据跨境安全有序流动。 图片来源：摄图网《纲要》要求，健全国家网络安全法律法规和制度标准，加强重要领域数据资源、重要网络和信息系统安全保障。建立健全关键信息基础设施保护体系，提升安全防护和维护政治安全能力。加强网络安全风险评估和审查。加强网络安全基础设施建设，强化跨领域网络安全信息共享和工作协同，提升网络安全威胁发现、监测预警、应急指挥、攻击溯源能力。加强网络安全关键技术研发，加快人工智能安全技术创新，提升网络安全产业综合竞争力。加强网络安全宣传教育和人才培养。 《纲要》要求，积极参与数据安全、数字货币、数字税等国际规则和数字技术标准制定。推动全球网络安全保障合作机制建设，构建保护数据要素、处置网络安全事件、打击网络犯罪的国际协调合作机制。 加强国家安全体系和能力建设方面，《纲要》要求，坚定维护国家政权安全、制度安全、意识形态安全，全面加强网络安全保障体系和能力建设，切实维护新型领域安全，严密防范和严厉打击敌对势力渗透、破坏、颠覆、分裂活动。 每经点评：《纲要》中与网络安全相关的内容主要集中在数字产业、法律法规、国家安全与国际合作等方向。 在数字产业化方向，强调网络安全对于经济发展、社会稳定的重要性，主要集中体现在数据安全、商业机密和个人隐私等内容上。数字经济时代，网络安全已经成为发展数字经济的基础底座，支撑并保障着整个国民经济的稳定运行。 在法律法规方向，强调完善立法，注重对关键信息基础设施的网络安全建设工作，关注智慧城市、智慧交通、电力能源等关系国计民生的基础设施的网络安全保障，从管理优化、体系健全和技术创新等层面提高安全防护能力，进而保障国家政治安全。 在国家安全和国际合作方向，数字产业化、经济全球化趋势使得网络安全不仅是某个区域或国家独自面临的问题，也是一个全球性问题。打击网络犯罪，必然涉及到区域合作或国际合作。因此，积极参与国际规则和技术标准的制定，推动全球网络安全保障合作机制建设，推动更加公平透明的国际网络安全体系建设，是构建人类网络空间命运共同体的必然选择。 行业安全数据概览每月网络安全态势数据来源：国家互联网应急中心 每月Android部分勒索类病毒检测数据来源：国家互联网应急中心、网络安全威胁信息共享平台每经点评：表格中的这些勒索病毒来源于互联网大数据收集及威胁情报用户主动上传分析，通过安全沙箱及自动化分析，这类APK（Android application package，Android应用程序包）在运行之后，一般会优先请求通讯录、文件读写、电话状态获取等等完整权限，而后通过本地重要文件上传、重要文件加密等方式，勒索安装APK的用户。当然这些APK一部分会提供正常功能，但肯定伴随着大量广告、木马链接等附加骚扰信息。 这类勒索病毒抓住人性的灰色地带，用各种违规直播、游戏破解、红包外挂、流量翻墙等由头，吸引受害者关注并安装，以达到窃取个人隐私或病毒勒索等目的。 因此我们提醒安卓用户，不要贪图这些软件能达到的某些灰色功能，正规APK上架是需要比较严格的审核的，而在一些小众下载平台下载的APK、私聊单发的APK，大多包含违规获取隐私数据，甚至种植木马等行为。一旦中招，便会遭受由于信息泄露导致的骚扰、勒索，甚至财产危险。 上市公司安全动态CVE的英文全称是“Common Vulnerabilities&Exposures”，译为通用漏洞披露，类似一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称，为每个漏洞和暴露确定了唯一的名称和一个标准化的描述，任何完全迥异的漏洞库都可以用同一个语言表述，帮助用户在各自独立的漏洞数据库中和漏洞评估工具中共享数据，是安全信息共享的“关键字”。 安恒信息对4106家A股上市公司进行了2020年度CVE安全漏洞影响分析，结果显示，2020年有三大安全漏洞对A股上市公司影响最深，分别为CVE-2020-14697、CVE-2020-13935和CVE-2020-8022，这三大安全漏洞分别影响了298家、12家和9家A股上市公司。可以看出，CVE-2020-14697安全漏洞对上市公司影响最深。 2016年～2020年期间，从行业影响度上看，制造业、信息技术、可选消费、材料、医疗保健这五大行业受CVE的影响较大。 以时间线维度，我们对比2016年～2020年的CVE影响趋势可以看出，2020年各行业的网络安全风险均为上升趋势，特别是材料、医疗保健和制造业这三大行业。 首先是材料行业，A股上市企业中的材料行业主要包括能源、化工、有色金属等，这些企业在2020年中一定程度上受到了新冠肺炎疫情的影响，正在积极发展在线业务，从而导致其在2020年度的CVE影响数是2019年的2.6倍。 其次，医疗保健行业在2020年度受到的CVE漏洞影响是2019年的2倍左右，这与2020年该行业的信息化发展程度相关，2020年的新冠肺炎疫情给社会带来了深刻的医疗卫生思考，而医疗保健行业顺势而为，迅速拓展在线服务，导致2020年度受到CVE漏洞影响的风险增加。 同时，根据2020年的各大国家政策以及社会信息技术的发展趋势，我们可以看出，制造业正在积极实现信息化和数字化转型，特别是2020年国家政策对工业互联网的大力支持，制造业在实现信息化转型的同时，也需要注意到工业互联网及工控系统中的网络安全风险。 记者|朱成祥 编辑|梁枭 程鹏 截至4月19日5:57，全球新冠肺炎确诊141015440例，死亡3014805例。关注全球新冠肺炎疫情动态，请点击↓↓每日经济新闻

当下，5G、大数据、云计算发展迅速，数据资产价值逐渐彰显。随着互联网信息化程度加深，人们对于数据泄露风险的担忧与日俱增，网络安全成为舆论热议的话题。目前，国内网络安全行业，已逐步从单点被动防御、智能主动防御阶段，进入安全即服务阶段。在此背景下，每日经济新闻联合网络信息安全领域上市公司安恒信息（688023，SH），采用国家互联网应急中心（CNCERT）权威数据，结合最新的安全形势，收集剖析国内外网络安全信息数据，每月发布网络信息安全月报。这是业内第一份涵盖所有A股上市公司的网络信息安全报告，旨在借助专业解析，让企业、民众进一步认识网络攻击行为，更好地保护自身隐私和数据资产。此份网络信息安全月报主要包括行业重点资讯、行业安全数据概览以及上市公司安全动态。重点关注勒索病毒对企业、个人的安全威胁，并提供应对之法。如何应对勒索病毒威胁？受疫情影响，在线办公的用户比例迅速提高。与此同时，网络攻击事件也随之增加，特别是令人“心惊胆寒”的勒索病毒。近日，计算机巨头宏碁遭到勒索软件攻击，勒索软件团伙REvil成功入侵宏碁的系统，并公布了部分宏碁的财务电子表格、银行对账单，索要的赎金达到5000万美元（约合3.25亿元人民币）。另外，微软的Exchange服务器也遭黑客攻击。据了解，黑客在入侵微软Exchange服务器后，正在利用受损服务器部署一款命名为“DEARCRY”的新勒索软件。DEARCRY的部署时间据称是从3月9日开始的，研究人员已在美国、卢森堡、印度尼西亚、爱尔兰、印度和德国发现感染DEARCRY的受害者。实际上，自2015年起，勒索病毒开始有存在感。发展至今，勒索产业链已极其完善，勒索病毒传播快、范围广，成为网络安全头号威胁。对于这种勒索病毒威胁，我们应该如何安全有效地应对病毒攻击？EDR（Endpoint Detection and Response端点检测和响应）正是一种积极主动消除攻击的解决方案。不同于端点被动防御，EDR通过云端威胁情报、异常行为分析、攻击行为监测等方式，主动发现来自外部或内部的安全威胁，并进行精准的阻断、补救和溯源等，从而有效对端点进行防护。比如安恒EDR，可以做到事前能防御、事中能控制、事后能补救，从而解决客户的后顾之忧。针对勒索病毒的威胁，安恒EDR为用户提供“防勒索口罩”“防病毒疫苗”等防治手段。其中，“防勒索口罩”通过端口扫描防护、病毒防护、违规外联防护，登录防护等技术构建关键数据护城河；而“防勒索疫苗”则把关键数据放到文件保险柜里面，为企业构建一套“免疫体系”。保护数据安全，谨防网络欺诈除了勒索病毒外，用户信息泄露以及网络欺诈等也值得关注。据媒体近日报道，Facebook有超过5亿用户信息遭泄露，这些用户涉及106个国家和地区，其中不乏一些知名人士的个人信息数据。而1月中旬，Fastway Couriers快递公司也发现约45万名用户的姓名、邮政地址、电子邮件地址/电话号码遭“恶意入侵”。据悉，该快递公司有7000多家客户，其中包括20家主要的在线零售商，其余为中型和小型零售商。事实上，由于黑客恶意入侵导致的数据泄露在全球频繁发生，数据泄露给受害者造成了非常大的精神伤害和金钱损失，这种伤害无法估量并且影响深远。比如Fastway Couriers快递公司的数据泄露中，包含了受害者的具体个人信息和居住地址，安全隐患非常大，这种安全事件一再给我们敲响警钟。网络欺诈方面，2021年4月14日，北京大兴区一家企业的负责人被号称“区领导”的骗子加了微信后，被骗近50万元。据调查，这位陌生“区领导”体察民情之余还不忘防疫工作，称最近会带队调研走访，并能提供扶持政策，博得好感。而后便以先转账企业负责人，请其转给自己亲戚为由，用假冒转账成功截图，骗企业负责人进行转账，多次行骗，直到受害者醒悟后，才拉黑受害者。受害企业负责人已经报警。提醒各位企业负责人、高管，一定要识别陌生人身份，不要轻易相信各类陌生人加好友，请先明确、核实身份，再进行操作。每日经济新闻

兰州市把握工业互联网发展机遇 加快传统产业转型升级近年来，兰州市深刻把握工业互联网发展机遇，以振兴兰州制造、推进“三化”改造为抓手，加快推进互联网与制造业深度融合，推动新旧动能转换，实现新一代信息技术在企业研发、生产、服务等全流程和产业链各环节的深入应用。一是加强政策规划的制度保障。研究出台《兰州市工业互联网发展行动计划（2018-2020年）》《兰州市5G建设及应用专项实施方案》，从夯实工业互联网发展基础，建设工业互联网平台，开展工业互联网集成创新，强化工业互联网安全保障等方面入手，明确工业互联网发展具体目标措施，为企业发展工业互联网提供政策保障。二是开展企业现场调研指导。组织电信运营企业、工业互联网企业相关专家组成“5G+工业互联网”技术指导小组，赴长风科技等重点工业企业开展5G+工业互联网建设现场指导调研，专家组对企业5G、工业互联网建设情况进行评估诊断，提出切实可行的意见建议，加快推动企业工业互联网项目谋划实施。 三是举办工业互联网培训会。邀请北京鹏博士、青岛海尔智能研究院等工业互联网企业专家，对我市重点工业企业进行工业互联网业务培训，专家围绕工业互联网概念、企业进行工业互联网转型的必要性、企业如何进行工业互联网转型等方面进行全面深入解读，进一步强化企业工业互联网建设思想认识，加快推动工业互联网建设。四是加强工业互联网平台培育。强化平台培育建设，为传统产业转型升级提供平台支撑，建设运行兰州市工业互联网平台，向中小企业提供云排产、云生产、云检测、软件超市、解决方案、供需对接等云应用软件和云服务。兰石集团依托兰石特色智能制造模式开展“兰石云”工业互联网平台建设，完成全自主知识产权的工业网关、数据层、应用层等功能建设，经营管理、生产控制等主要业务已实现平台运行。 【来源：兰州市工信局】声明：转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益，请作者持权属证明与本网联系，我们将及时更正、删除，谢谢。 邮箱地址：newmedia@xxcb.cn

网络安全类本科专业集中在：信息安全、网络空间安全、网络安全与执法等，如果单看课程和CS差异不是很大，如果基础学得好，转入难度不是很大。实操强，入行容易，资深出彩很难！看下某知名机构的介绍：先打脸行业增速：后打脸从业人员数量：都缺口那么大了，为啥整个网络安全没有崩溃啊！！这个纯粹误导了，程叔发的都是原创，查了较多的资料。2020年11月30日举行的2020年中国网络安全产业高峰论坛上，工信部副部长刘烈宏表示，我国网络安全产业取得积极进展，2020年产业规模将超过1700亿元。应该是广义的行业产值（硬件、软件、服务）。以下分析来自以下报告：百强企业：2019 年，我国有 13家企业网络安全业务年收入超过 10亿元，占网络安全业务总收入的 48.82%，平均收入为 22.31亿元；收入 1 亿元以上的共 94 家，占比 40.52%，平均收入为 2.56 亿元；收入 1 亿元以下的近 400 家，占比 10.66%。小企业偏多，也是正常的。主要的热点职业：考哪个院校呢？薪资情况：获得高薪都不容易，名校专业，还要懂技术。看看短缺的职位：程叔志愿职业规划，N(≥10)名专业人士服务1名考生，直击核心，从就业需求端入手，收集大量信息，分析研究行业发展，提供定制化个性化服务（依托数百位行业职场人士）。为保证质量，需提前预定，填写并提供相关信息。