东方证券股份有限公司经相关主管机关核准具备证券投资咨询业务资格，据此开展发布证券研究报告业务。 东方证券股份有限公司及其关联机构在法律许可的范围内正在或将要与本研究报告所分析的企业发展业务关系。因此，投资者应当考虑到本公司可能存在对报告的客观性产生影响的利益冲突，不应视本证券研究报告为作出投资决策的唯一因素。 有关分析师的申明，见本报告最后部分。其他重要信息披露见分析师申明之后部分，或请与您的投资代表联系。并请阅读本证券研究报告最后一页的免责申明。 深度报告 【行业 ·证券研究报告】 计算机行业 网络安全系列报告之一：态势感知 构建主动安全防御体系的智能大脑 核心观点 当前安全体系正处于被动防御向主动防御过度阶段，态势感知是主动安全防御体系的智能大脑， 类似于防火墙是被动防御体系中最重要的安全产品，态势感知将成为主动防御体系最核心的组成部分 。 当前传统的被动防御已无法应对 日益多样的 新型威胁攻击， 同时传统的安全管理也存在着安全数据缺乏分析、安全事件处置效率低下等诸多痛点， 集检测、预警、响应处置功能为一体 的态势感知成为了行业 现实需要 。态势感知 的工作原理是 对引起网络态势变化的安全要素信息进行获取、理解，评估 整体 网络安全的状况，预测其发展趋势，并以可视化的方式展现给用户，帮助用户实现相应的安全决策与行动，从而实现积极主动的动态安全防御。 多项网络安全政策将态势感知建设列为重点任务，态势感知整体市场规模快速增长。 网络安全法以及等保 2.0 标准中都提及态势感知相关的建设内容 ，政策驱动叠加行业的现实需求使得态 势感知保持快速增长。 安全牛的数据统计， 2017 年国内态势感知的市场规模为 20 亿元，预计 2020 年达到 50 亿元，CAGR 约为 35.7%，显著高于 2017-2019 年网络安全整体市场 22.3%的复合增速， 预计 整体安全市场的渗透率从 4.9%增长到 6.7%。 监管类行业态势感知已达到一定程度普及，能源、政府、教育等企业级市场 呈现 加速渗透 趋势。 态势感知目标市场包括两种类型的客户：一是监管类行业 客户 ，包括各级公安和各级网络安全和网信办等；二是关键信息基础设施保护类态势感知 。由于 监管类行业对于态势感知 相关 建设具有一定强制性 且启动较早，因此渗透率较高， 而企业级市场发展较监管类行业具有一定的滞后性，但由于市场基数大，实际需求高，建设热度正不断升高 。 截止目前， 2019 年涉及态势感知的公开订单总数达到 526 个，其中标明态势感知建设具体金额的订单数量为 312 个，总金额达到 4.6 亿元。从订单数量 分布 情况看，能源行业涉及态势感知建设的订单数量 最多， 达到 142 个，占统计总订单数的 27%，其次为政府 、 教育 、监管和医疗行业 ，订单数量分别达到 111 个 、 74 个 、 68个和 54 个 。 当前国内态势感知市场呈现“两超多强” 的竞争格局 ，行业特征利好优势企业拓展市场空间 。 安恒信息和奇安信态势感知产品和市场的优势明显，处于国内态势感知市场的第一梯队，其他优势企业还包括深信服、启明星辰、绿盟科技、天融信等。 技术和经验构成态势感知厂商的竞争壁垒 ，因此具有先发优势的 态势感知厂商有望 凭借不断积累的技术和经验 提升自身的市场份额和品牌影响力 投资建议与投资标的 我们认为在态势感知市场快速发展的背景下， 具有先发优势并能与其他产品线形成良好协同的安全厂商将最为受益 ，建议重点关注 安恒信息 (688023，未评级 )、深信服 (300454，增持 )、启明星辰 (002439，未评级 )、绿盟科技 (300369，未评级 )、南洋股份 (002212，未评级 )。 风险提示 政策落地不及预期的风险 市 场竞争加剧的风险 Table_BaseInfo 行业评级 看好 中性 看淡 (维持 ) 国家 /地区 中国 行业 计算机行业 报告发布日期 2019年 12 月 12 日 行业表现 资料来源： WIND、东方证券研究所 证券分析师 浦俊懿 021-63325888*6106 pujunyiorientsec 执业证书编号： S0860514050004 证券分析师 游涓洋 010-66210783 youjuanyangorientsec 执业证书编号： S0860515080001 联系人 陈超 021-63325888-3144 chenchao3orientsec 联系人 徐宝龙 021-63325888-7900 xubaolongorientsec 有关分析师的申明，见本报告最后部分。其他重要信息披露见分析师申明之后部分，或请与您的投资代表联系。并请阅读本证券研究报告最后一页的免责申明。 HeaderTable_TypeTitle 计算机行业深度报告 网络安全系列报告之一：态势感知 构建主动安全防御体系的智能大脑 2 目 录 一、态势感知是网络安全现实之所需、发展之所向 . 5 1.1 态势感知是主动防御时代最核心的网络安全平台 . 5 1.2 态势感知 可有效应对新型的攻击威胁 . 7 1.3 态势感知是 SOC/SIEM 能力的升级和进化 . 10 二、政策扶持加码，态势感知市场前景广阔 . 12 2.1 政策密集出台，行业进入快速成长期 . 12 2.2 监管类行业已达到 一定程度普及，能源、政府、教育等企业级市场加速渗透 . 14 三 、 竞争格局呈现 “两超多强 ”， 行业特征利好优势企业 . 16 3.1 安恒信息和奇安信处于态势感知市场的第一梯队 . 16 3.2 态势感知市场特征利于优势企业拓展市场空间 . 18 四、投资建议 . 19 4.1 安恒信息：国内态势感知市场龙头，新兴安全业务 增长迅速 . 19 4.2 深信服：领先的信息安全企业，超融合市占率不断提升 . 21 4.3 启明星辰：信息安全行业龙头，态势感知为安全运营赋能 . 22 4.4 绿盟科技： P2SO 战略逐见成效，态势感知助力等保 2.0 . 23 4.5 南洋股份：电信网科入股，持续拓展网络安全市场 . 24 风险提示 . 25 有关分析师的申明，见本报告最后部分。其他重要信息披露见分析师申明之后部分，或请与您的投资代表联系。并请阅读本证券研究报告最后一页的免责申明。 HeaderTable_TypeTitle 计算机行业深度报告 网络安全系列报告之一：态势感知 构建主动安全防御体系的智能大脑 3 图表目录 图 1：网络安全态势感知体系架构示例 . 5 图 2：网络安全态势感知的周期 . 6 图 3：态势感知采集的主要数据类型 . 6 图 4：态势理解中态势评估框架举例 . 7 图 5：黑客攻击逐渐向专业化和商业化转变 . 7 图 6：云计算面临新的安全风险 . 8 图 7：黑客攻击逐渐向专业化和商业化转变 . 8 图 8：大数据及 AI 赋能态势感知 . 10 图 9： SIEM（安全信息和事件管理）的功能 . 10 图 10：当前安全管理存在诸多痛点 . 11 图 11：网络安全管理的发展方向 . 12 图 12：我国网络安全市场规模及同比增速（亿元， %） . 14 图 13：我国态势感知市场规模及渗透率（亿元， %） . 14 图 14：态势感知下游客户分类 . 14 图 15：某单位态势感知平台部署拓扑图 . 15 图 16： 2019 年至今各行业态势感知订单数量分布情况 . 15 图 17： 2019 年至今各行业态势感知订单数量占比情况 . 15 图 18： 2018 年安全牛发布的态势感知矩阵 . 16 图 19：中国态势感知解决方案市场 MarketScape 象限图 . 17 图 20：态势感知产品的核心竞争力 . 18 图 21：安恒信息产品体系全线概念图 . 19 图 22：安恒信息网络安全态势感知预警平台 . 20 图 23：安恒信息大数据安全产品营收及同比增速（百万， %） . 20 图 24： 深信服主营业务 . 21 图 25：深信服态势感知平台架构 . 22 图 26：启明星辰泰合网络安全态势感知平台 . 22 图 27：绿盟科技安全运营架构 . 23 图 28：绿盟科技依托态势感知平台构建等保 2.0 防御体系 . 24 图 29：天融信以下一代防火墙（ NGFW）为基础的安全防御体系 . 24 图 30：天融信网络安全态势感知系统 . 25 有关分析师的申明，见本报告最后部分。其他重要信息披露见分析师申明之后部分，或请与您的投资代表联系。并请阅读本证券研究报告最后一页的免责申明。 HeaderTable_TypeTitle 计算机行业深度报告 网络安全系列报告之一：态势感知 构建主动安全防御体系的智能大脑 4 表 1：面对新一代安全威胁时传统单点防御的不足 . 9 表 2：态势感知相关的政策、会议及标准 . 12 表 3：安恒信息基础安全产品 市占率情况 . 20 有关分析师的申明，见本报告最后部分。其他重要信息披露见分析师申明之后部分，或请与您的投资代表联系。并请阅读本证券研究报告最后一页的免责申明。 HeaderTable_TypeTitle 计算机行业深度报告 网络安全系列报告之一：态势感知 构建主动安全防御体系的智能大脑 5 一 、 态势感知是网络安全现实之所需、发展之所向 1.1 态势感知是主动防御时代 最核心 的 网络 安全平台 态势感知 集 检测、预警、响应处置 功能为一体 ，是主动防御体系中的安全大脑 。 态势感知的概念最早由美国空军在 20 世纪 80 年代时提出 ，其最为广泛的定义是指“在一定的时空范围内认知和理解环境因素，并对未来的发展趋势进行预测”。 随着互联网的迅猛发展，网络 安全态势感知应运而生， 其工作原理 是 对网络环境中引起网络态势发生变化的安全要素信息进行获取、理解 ，评估网络安全的状况， 预测其发展趋势， 并以可视化的方式展现给用户， 帮助用户实现相应的安全决策与行动 ， 从而 实现积极主动的 动态 安全 防御 。 目前主流的态势感知产品支撑技术都是相近的，主要以全流量分析为核心，结合威胁情报、 UEBA（用户实体行为分析）、机器学习、大数据关联分析等。被动防御时代以边界防护为主，防火墙是最重要的产品，主动防御 时代 安全大脑是 防御体系中 最核心的组成部分， 而 态势感知 充当的就是 安全大脑 的角色 。 图 1： 网络安全 态势感知 体系架构示例 数据来源： 绿盟科技 ，东方证券研究所 态势要素的认知、理解和预测是网络安全态势感知的三个核心 环节 。 网络安全态势感知的最终目标是对情境态势进行有效管理，不断针对网络攻击作出动态、积极的安全防御，以保障用户业务的正常运行。 而实现态势感知，需要以安全大数据为基础，从全局视角来提升对各类安全威胁的发现识别、分析理解和响应处置， 通常还以 可视化的方式展现给用户 。总体来说，态势感知 主要包括态势认知、态势理解和态势预测三个 环节 。 有关分析师的申明，见本报告最后部分。其他重要信息披露见分析师申明之后部分，或请与您的投资代表联系。并请阅读本证券研究报告最后一页的免责申明。 HeaderTable_TypeTitle 计算机行业深度报告 网络安全系列报告之一：态势感知 构建主动安全防御体系的智能大脑 6 图 2： 网络安全态势感知的周期 数据来源： 网络安全态势感知提取、理解和预测 ，东方证券研究所 1） 态势认知 态势认知 是态势感知的前提 ，态势感知是 通 过各类检测工具， 检测 收集 多层次多维度 的 影响系统安全性的 数据 。 ， 从时间维度上看，不仅需要已有实时或准实时的 数据 ，还需要通过更长时间的数据来分析一些异常行为，以发现一些多阶段的新型攻击方式，而从数据维度看， 主要包含网络安全防护系统数据（如防火墙、 WAF、 IDS/IPS 等安全设备日志或告警等）、重要服务器及主机的数据（如服务器安全日志、进程调用和文件访问等）、网络骨干节点数据 、协同合作数据（如第三方的威胁情报数据）、威胁感知数据以及资产脆弱性数据等。 图 3： 态势感知采集的主要数据类型 数据来源： 腾讯云 +社区 ，东方证券研究所 2） 态势理解 态势理解是态势感知的核心，是在获取大量网络安全数据信息的基础上，通过解析信息之间的关联性，对其融合以获取 当前 的网络安全态势 ， 通过评估定性或定量分析网络当前的安全状况和薄弱环节， 并 给出相应的应对措施。 网络安全态势 理解 是从宏观的角度分析网络整体的安全状态， 从而得到综合的安全评估，达到辅助决策的目的。 有关分析师的申明，见本报告最后部分。其他重要信息披露见分析师申明之后部分，或请与您的投资代表联系。并请阅读本证券研究报告最后一页的免责申明。 HeaderTable_TypeTitle 计算机行业深度报告 网络安全系列报告之一：态势感知 构建主动安全防御体系的智能大脑 7 图 4： 态势理解中态势评估框架举例 数据来源： 腾讯云 +社区 ，东方证券研究所 3） 态势预测 态势预测是 根据网络安全态势的历史信息和当前状态，对网络未来安全状况的发展趋势进行预测 ，它是态势感知的基本目标 。 实现真正的主动防御 需要安全预警技术，即通过已检测或分析 到 的报警信息来预测未来要发生的攻击行为，为组织的网络安全提供实时、动态、快速响应且主动的安全屏障。 由于网络攻击的随机性和不确定性， 使得网络安全态势变化是一个复杂的非线性过程， 传统的预测模型方法已不适用，当前的研究主要朝智能预测方法发展。 图 5： 黑客攻击逐渐向专业化和商业化转变 数据来源： 腾讯云 +社区 ，东方证券研究所 1.2 态势感知可 有效 应对新型 的 攻击威胁 新兴技术的落地应用使得传统网络安全边界消失，并带来新的安全风险。 云计算、大数据、物联网等产业的快速发展催生出云安全、大数据安全等新兴安全领域，防护对象已由传统的 PC、服务器拓展至云平台、大数据和泛终端 。以 云计算 为例 ， 云计算使得 IT 基础架构发生根本性变化， 企业有关分析师的申明，见本报告最后部分。其他重要信息披露见分析师申明之后部分，或请与您的投资代表联系。并请阅读本证券研究报告最后一页的免责申明。 HeaderTable_TypeTitle 计算机行业深度报告 网络安全系列报告之一：态势感知 构建主动安全防御体系的智能大脑 8 将其业务迁移到云端，租户传统网络边界消失， IT 基础资源集中在云端 ， 因此遭受攻击后的影响和破坏性更大。相较于传统的 IT 架构，云计算还面临虚拟化安全、数据集中 等新的 安全问题。 图 6： 云计算面临新的安全风险 数据来源： CSDN，东方证券研究所 黑客攻击逐渐向专业化和商业化转变。 DT 时代企业的核心业务越发依托信息系统，数据已成为企业的核心资产 ，引来黑客等恶意攻击者的觊觎，导致近年来数据泄露、敲诈勒索病毒等安全事件层出不穷。早期以极客为核心的黑客逐渐向组织化及专业化发展，攻击技术和手段更加高明， 形成了以利益驱动的庞大黑客产业 。黑客的“盈利方式”也变得多样，如售卖敏感信息直接变现、通过DDos 攻击实现敲诈勒索或通过篡改信息改变资产所有权等， 甚至提供 HaaS（攻击即服务）形式的服务， 攻击者只需在线提交需求和付款，就能获得相应的云端攻击服务。 这使得攻击者采取更加隐蔽的手段收集、窃取或者篡改信息 ， 这要求企业 或组织 在发展新技术的同时 需要 快速辨别不利于自身 安全 的潜在威胁，保护自身免受网络攻击的危害。 图 7： 黑客 攻击逐渐向专业化和商业化转变 数据来源： 安全牛 ，东方证券研究所 面对日益复杂的网络安全环境以及新一代安全威胁，传统单点防御逐渐失效 ，亟待构建新型防御体系 。 IDC 认为，未来 2 年 95%的大型企业计划增加使用云技术， 这将使得基于边界的安全防御方法无法满足现有的安全防御要求。另一方面，由于传统被动的防御措施通常是将每个攻击方式作为单独的路径，每个阶段作为独立的时间来检查，而不是将这些阶段和方式作为一系列的网络事件来查看和分析， 产生了众多的信息孤岛， 因此零日攻击、高级持续性威胁（ APT）等新一代安全威有关分析师的申明，见本报告最后部分。其他重要信息披露见分析师申明之后部分，或请与您的投资代表联系。并请阅读本证券研究报告最后一页的免责申明。 HeaderTable_TypeTitle 计算机行业深度报告 网络安全系列报告之一：态势感知 构建主动安全防御体系的智能大脑 9 胁能够绕过传统的安全检测和防御体系。这些威胁往往行动水平低而缓慢，通过若干个阶段和渠道躲避传统的被动防御手段，寻找到有漏洞的系统和敏感数据。 表 1： 面对新一代安全威胁时 传统单点防御的不足 传统防御产品 面对新一代安全威胁的 不足 防火墙 （ FW） 防火墙通过过滤机制制定访问控制策略，允许通用的 httpWeb 流量，它可以拦截低层攻击行为，但对应用层的深层攻击行为无能为力 下一代防火墙（ NGFW） 下一代防火墙（ NGFW）增加了基于用户和应用的策略规则，但没有增加可以检测新一代安全威胁的内容或行为的动态保护 入侵检测 /防御（ IDS/IPS） 基于特征 /签名检测机制无法检测出一个零日漏洞利用的任何异常，尤其是当恶意代码严重伪装或者分段投送时 防病毒 （ AV） 由于新一代威胁中的恶意软件及其利用的漏洞是未知的，若访问的网站声誉“清白”，传统的防病毒网关和 Web 过滤器会允许通过 反垃圾邮件 伪造的钓鱼网站使用不断变化的域名和网址，所以黑名单要滞后于攻击活动，而关闭一个钓鱼网站的平均时间超过 26 小时 Web 过滤 多数出站过滤器阻止含有不良信息的网站，仅不到四分之一的企业限制社交网站，另外，动态 URL、被黑的合法网站以及短期活跃的地址等会使静态 URL 黑名单失效 数据防泄漏 （ DLP） DLP 工具主要针对身份证等个人信息，对于检测凭证或者知识产权的外泄来说过于粗略和繁琐。而回连通道的加密将使得数据泄露无法发现，其静态的方法与新一代威胁的动态属性不相匹配。 数据来源： 知道创宇 ，东方证券研究所 主动防御体系成为发展趋势， 态势感知可以有效防御新型攻击威胁 。 传统通过 购买更多安全设备的被动防御 策略已无法适应当前的网络安全形势 ， 需要进一步提升安全运营水平的同时积极开展主动防御的建设。 随着大数据分析、人工智能 、 安全情报收集 等技术的逐渐成熟和发展， 安全检测技术对安全态势的分析、预警和预测将越来越准确， 网络安全防御体系逐渐向自动响应、追查、威胁诱捕等方向的主动防御体系转变。 作为主动防御体系的安全大脑，大数据分析、人工智能等新兴技术赋予 态势感知 基于非特征检测技术的能力，通过 各类安全设备的联动，以及 持续监测、事件响应、深度分析以及预示预警，最终达到有效检测和防御新型安全威胁的目的。 有关分析师的申明，见本报告最后部分。其他重要信息披露见分析师申明之后部分，或请与您的投资代表联系。并请阅读本证券研究报告最后一页的免责申明。 HeaderTable_TypeTitle 计算机行业深度报告 网络安全系列报告之一：态势感知 构建主动安全防御体系的智能大脑 10 图 8： 大数据及 AI 赋能态势感知 数据来源： 华为 ，东方证券研究所 1.3 态势感知 是 SOC/SIEM 能力的 升级和 进化 SOC/SIEM 等安全管理工具 为 态势感知 提供基础支撑 ，涉及态势感知的认知和理解环节 。 SIEM（安全信息和事件管理） 收集和聚合从主机系统到网络和安全设备生成的日志数据，识别、分类和分析产生的事件，提供安全事件的报告并并对潜在的安全问题作出警报 ，它解决了基于安全日志和系统运行日志的源头分散、难以统一分析的问题 。 SOC（安全运营中心） 则是以 SIEM 为核心， 是 协助管理员进行事件及风险分析 、 预警管理 及 应急响应的集中式安全管理系统 。 通过 SIEM/SOC 对各安全环节的日志及系统相关的日志实现汇聚分析，并形成对安全环节的统一管理能力，这是态势感知必备的基础能力。 图 9： SIEM（安全信息和事件管理）的功能 数据来源： 青藤云安全资讯 ，东方证券研究所 当前 安全管理的过程存在诸多痛点。 SOC/SIEM 作为一个复杂的实时响应系统，除了自身的技术能力，真正发挥作用还需要安全人员和运营流程 的配合 。 然而 当前 安全 人员 严重 匮乏 ， 2018 年网络安全人力资源研究（ ISC）的数据显示，全球网络安全人才缺口扩大至近 300 万，其中亚洲地区