2018年网络安全行业深度分析报告

２０１８年网络安全行业深度分析报告
报告摘要
网络安全重要性不断凸显，包含云安全的行业规模有望达数千亿
•数量不断增长的数据中蕴含丰富信息，一旦泄露将造成严重后果。

而目前我国网络安全形势较为严峻，亟需优秀的网络安全产品保障信息安全。

•随着云计算从概念推广的萌芽期转变为行业发展期，市场规模快速增长，网络安全的范围逐渐扩大，云计算安全已成为广义网络安全的重要组成部分。

云计算安全是指基于云计算，保护云基础设施、架构于云端之上的数据与应用的安全措施。

•未来三我年国网络安全市场规模将不断扩大，2016年市场规模有望突破100亿元，2018年预计将超过170亿元，2015至2018年的复合增长率为
25.8%。

传统安全厂商纷纷转型云计算安全；云计算安全厂商占据越来越重要的地位•目前有很多传统安全厂商开始逐渐向包括云计算安全在内的广义网络安全服务转型，开始将相关产品与服务纳入自己原有的业务体系。

此外，以云计算安全作为业务主要切入点的厂商也开始在整个网络安全厂商中占据越来越多的席位。

这其中既包含了云计算提供商旗下的云安全产品，又包含了其他云安全初创厂商。

•在网络安全领域，每出现一种新的病毒或是攻击手段，必然会产生与之相对应的安全防护技术或措施。

因此，最先掌握这些新技术的厂商有机会引领安全领域的新潮流，这就为一些拥有优秀人才的中小型或是初创型安全厂商提供了弯道超车的机会。

•人才是网络安全厂商的核心竞争力，技术是网络安全领域的重要推动力；
安全厂商的可信任度是企业客户选择安全厂商时的重点考虑因素。

目录C ontents
•网络安全概述
•网络安全行业发展背景
•行业资本热度&市场规模
•网络安全厂商概述
•传统网络安全厂商的转型
•云计算安全厂商成为重要组成部分•网络安全厂商价值判断
•网络安全技术概述
•已被商业化的技术举例
•未被商业化的新技术举例
•行业概述&未来发展趋势
•网络安全厂商概述&价值判断
CHAPTER I
网络安全行业发展现状•网络安全概述
•网络安全行业发展背景
•行业资本热度&市场规模
•广义的信息安全是指保护信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性。

进入计算机
时代后，用于保护存储于计算机的数据安全即为计算
机安全。

•随着互联网的不断普及云计算从概念推广的萌芽期转变为行业发展期，网络信息的安全保障逐渐成为网络
活动中不可或缺的以及一部分，信息安全逐步进入包
含云安全在内的网络安全时代。

行业概述
互联网与云计算推动信息安全进入包含云的网络安全时代
•无论是传统的终端安全，还是广义的网络安全，信息
安全主要需要保护信息的三个特性，即信息的机密性、完整性与可用性。

•网络安全是指网络系统的硬件、软件及其系统中的数
据受到保护，不因偶然的或者恶意的原因而遭到破坏、
更改或泄露。

•狭义的网络安全仅指传统网络安全，而广义的网络安
全则包括了云安全在内的网络信息安全保障。

本报告
主要研究的对象即为包含云安全的广义网络安全。

•随着云计算从概念推广的萌芽期转变为行业发展期，
市场规模快速增长，网络安全的范围逐渐扩大，云计
算安全已成为广义网络安全的重要组成部分。

•云安全是指基于云计算，保护云基础设施、架构于云
端之上的数据与应用的安全措施。

与传统网络安全厂
商不同的是，云安全厂商需在云计算的环境下解决虚
拟化安全、多租户复杂环境、用户隐私保护等问题。

在亚马逊提出的AWS 云上安全责任共担模型中，云计
算厂商的安全团队负责云“的”安全，而客户需通过
其他云安全厂商的虚拟化安全产品与服务以保障其云
“中”数据的安全。

行业概述
广义网络安全包括云安全，保护企业网上与云上的信息安全
图：亚马逊AWS 云上安全责任共担模型
•近年来，我国互联网普及率也在不断上升。

2015年我
国互联网普及率为50.3%，比上年增长2个百分点。

与
此同时，物联网技术也在不断发展，智能汽车、智能
穿戴设备、智能家居等产品逐渐普及。

•理论上任何一个联网的个体都会产生大量的数据，个
人使用联网终端、智能设备将会产生用户数据，企业
使用互联网进行生产经营活动也会产生相应的企业数
据。

据IDC 预测，至2020年全球所产生的数据量将达
到近4万艾字节（1EB=1024*1024TB ）。

•这些数据中所蕴含的用户信息与企业信息数量庞大，
一旦泄露将造成不可估计的损失。

行业背景分析
数量不断增长的数据中蕴含丰富信息，一旦泄露将造成严重后果
•此外，随着云计算与大数据等新技术、新业务的应用
与发展，越来越多的企业开始将系统部署到云平台或
者使用云计算服务，这些云平台一旦被成功入侵，将
会导致大规模的信息泄露。

因此这些云平台也需要强
有力的云安全产品与服务以保障云端信息的安全。

数据来源：中国互联网络信息中心，36氪研究院数据来源：IDC ，36氪研究院
•不论是狭义网络还是包含了云计算的广义网络，都存在诸多风险，如网络窃听、信息窃取与篡改、滥用云计算、不安全的API 及云端所面临的其他未知风险。

•但与此同时，网络安全与云安全并不是完全割裂的，存在于狭义网络安全中的信息窃取、篡改、伪造等风险同样存在于云安全中。

行业背景分析
不同的攻击手段使得网络安全面临信息泄露、篡改等多种威胁
•与网络信息与云端信息所面临的种种风险相对应的，便是不同种类的安全攻击，常见的攻击手段主要有DDoS 攻击与Web 攻击等。

•DDoS 攻击，即分布式拒绝服务（Distributed Denial of Service ），是指将多个计算机联合起来作为攻击平台，通过大量合法请求占用网络资源，以达到瘫痪网络的目的。

2015年我国DDoS 攻击流量峰值最高达到140Gbps ，四个季度的峰值平均为129Gbps 。

•Web 攻击是指利用Web 服务器或网页自身的漏洞进行攻击，以盗取合法用户的账号，获取敏感信息。

2015年我国遭受的各类Web 攻击共计990.38百万次，比2014年同比增长36.5%。

行业背景分析
网络安全事件造成数百亿美元经济损失，亟需优秀产品保障安全
•来自Grant Thornton 的网络安全事件调查的数据显
示，2015年网络安全事件造成全球经济损失约3150亿美元，其中包括中国在内的亚太地区经济损失为810亿美元，占比超过25%。

•我国目前的网络安全形势较为严峻，市场亟需优秀的
网络安全产品以保护企业的信息安全。

•尽管我国不断完善网络安全保障措施，提升网络安全防护水平，但基础网络和关键基础设施仍面临较大安全风险，拒绝服务攻击、网络安全漏洞、网页仿冒与篡改等网络安全事件时有发生。

行业背景分析
网络安全事件频发，网络安全上升至国家战略高度
•面对层出不穷的网络安全问题，国家出台了包括《网络安全法（草案）》、新《国家安全法》等多项法律法规，明确提出建设网络与信息安全保障体系，将网络安全上升至国家战略高度。

•随着网络安全逐渐被重视，提供网络安全服务的企业
也在开始在资本市场受到青睐。

2015年的融资数量比2014年翻了一倍，而2016年前7个月的融资数量已经达到了2015年全年的七成。

在近六年的融资案例中，七成融资金额逾千万元。

行业资本热度
网络安全企业逐渐受到资本市场青睐，一二级市场均表现良好
•二级市场对网络安全企业的投资热情同样很高。

从2015年开始，A 股上市的网络安全企业股价上涨迅速，优于大盘的综合表现。

•该指数以2012年12月31日为基日，以该日收盘后所
有样本股的调整市值为基期，以1000点为基点，以A 股上市的网络安全企业为样本。

数据来源：36氪研究院
数据来源：IT 桔子，36氪研究院
•随着网络安全形式的日趋严峻，企业安全意识不断提
高，网络安全行业也逐渐迎来新的发展高峰，各细分领域的龙头企业为快速提升市场占有率，开始进行大量的并购、收购，实现技术互补与市场资源整合。

行业市场规模各领域巨头布局网络安全领域，行业市场规模有望于今年破百亿•综合考虑以上因素，特别是云安全在整个行业中比重
将不断增加，我们认为未来三年我国网络安全市场规模将不断扩大，2016年市场规模有望突破100亿元，2018年预计将超过170亿元，2015至2018年的复合增长率为25.8%。

来源：网络公开信息，36氪研究院
来源：36氪研究院
CHAPTER II
网络安全厂商分析
•网络安全厂商概述
•传统网络安全厂商的转型•云安全厂商成为重要组成部分•网络安全厂商价值判断
•网络安全厂商是指网络安全产品与服务的提供商。

其中较为传统的纯网络安全厂商主要提供硬件安全产品与服务，产品通常包括漏洞扫描机、入侵检测与防护、防火墙等。

•随着云计算的不断发展，目前有很多传统网络安全厂商开始逐渐向包括云安全在内的广义网络安全服务转型，开始将云安全相关产品与服务纳入自己原有的业务体系中。

这其中比较具有代表性的厂商有启明星辰与绿盟科技等。

•除了这些传统网络安全厂商，以云安全作为业务主要切入点的厂商也开始在整个网络安全厂商中占据越来越多的席位。

这其中既包含了云计算服务提供商自有安全产品和服务，如阿里云云盾，又包含了云安全初创厂商，如青藤云安全、知道创宇、安全狗等。

网络安全厂商概述
行业存在传统的纯网络安全厂商、转型中厂商及云计算安全厂商
传统网络安全厂商的转型•随着越来越多的客户把业务迁移到云端，云环境下的信息安全已逐渐成为一个极为严峻的挑战，传统的网络安全服务已经无法满足用户日益增长的云安全需求。

因此，因此包括绿盟科技、启明星辰等在内的传统网络安全厂商纷纷转型，将自己的业务线扩展至云安全。

•绿盟科技成立于2000年，在检测防御类、安全评估类、安全监管类等领域为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web 安全防护等产品与服务，主要客户来自政府、金融、能源、教育以及医疗等行业。

•启明星辰成立于1996年，拥有包括防火墙/UTM 、入侵检测管理、网络审计、终端管理、加密认证等在内的安全产品，主要客户为政府、电信、金融、能源、交通、军工、制造等行业。

由传统硬件安全向云安全服务转变，提升基于云的综合防护体系
•绿盟科技目前拥有五类安全产品，涵盖检测防御、
安全评估、安全监管、信息安全实训及大数据安全分析等功能，其中安全评估类产品即以硬件为主。

医疗—卫宁健康绿盟科技提出智慧安全防护体系，提升基于云的综合防护
传统网络安全厂商的转型-绿盟科技
•为了适应互联网安全形式的变化，满足客户云安全
防护需要，绿盟科技提出了“云”（线上环境或云
端）、“地”（线下环境或客户侧）、“人”（专家团队）、“机”（安全防护设备）的协同防护体系，信息安全服务的模式也将逐渐从以硬件为主的模式向“云地人机”协同防护模式转变。

•启明星辰拥有较为完善的网络安全产业链，业务涵
盖安全产品、安全服务和安全产品。

其中，安全产品横跨防火墙/UTM 、入侵检测管理、网络审计、终端管理、加密认证等技术领域。

医疗—卫宁健康
整合多方资源，深入云安全领域，布局网络安全全产业链
•2015年，启明星辰与腾讯达成战略合作，面向企业
市场推出云子可信网络防病毒系统，该系统为用户提供包括终端安全、传统网络安全与云安全在内的信息安全解决方案，能够主动发起威胁检测并自主构建有效抵御多种攻击。

其中云服务器主要用于更新病毒库，主防以及补丁库。

传统网络安全厂商的转型-启明星辰
•绿盟科技和启明星辰是传统安全行业向云安全转型
的典型企业。

两者均在千禧年前后成立，并同时在2002年，获国家首批信息安全服务资质。

近年来，为了适应互联网安全形式的变化，满足客户安全防护需要，两者又相继开始向云安全转型。

网络安全产业链较为完整，整合
业内资源布局终端杀毒领域•近年来，绿盟科技和启明星辰的营业总收入均保持
增长趋势。

值得关注的是，自2015年绿盟科技启动大数据和云平台布局后，营收得到了较大幅度的增长；启明星辰的营收在开启云化后同样出现加速增长趋势。

可见，网络安全走向云化是大趋势。

传统网络安全厂商的转型
数据来源：绿盟科技，36氪研究院数据来源：启明星辰，36氪研究院
云计算安全厂商成为重要组成部分
•广义的网络安全包括了云计算安全在内的网络信息
安全保障。

随着云计算及相关技术的不断成熟，其市场规模快速增长，云计算安全已成为广义网络安全的重要组成部分。

•根据云安全联盟（Cloud Security Alliance ）的定
义，在云计算的环境下，云计算安全厂商“通过云提供安全应用以及服务，它既可以为云基础设施以及软件提供服务，也可以为从云端到消费者的预置系统之间提供服务*”。

•目前业务涉及云计算安全的厂商中存在诸多如青藤
云安全、安全狗等初创型安全厂商，同时，BAT 也在云计算安全领域有所布局。

其中阿里云在2015年1月推出了自己的安全商业化产品和服务——云盾，腾讯以6亿人民币投资了知道创宇，安全宝于2015年被百度收购。

云安全重要性凸显，互联网巨头与初创型厂商纷纷涉足该领域*来自《CSA Security as a Service (SecaaS) Working Group Completes Implementation Guidance 》
•阿里云云盾是阿里云的安全产品和服务，它基于十
多年为阿里巴巴提供安全保障的实战经验，以及阿里云的计算能力，在技术、产品服务体系与团队上具备较大的竞争优势。

•阿里云云盾目前提供包括防DDoS 高防，WAF ，态
势感知（大数据安全分析平台），先知（众测服务）等11款产品和服务。

•此外，阿里云云盾亦提供较为全面的安全解决方
案，涵盖防入侵、数据安全、业务风控、移动安全等六大方面，应对数据泄露，内容违规和监管风险等场景。

医疗—卫宁健康依托阿里云的计算能力，建立完整的云上云下信息安全保护体系云计算安全厂商
–阿里云云盾图：阿里云云盾产品架构
•阿里云云盾的四大核心能力是基于阿里云的计算能
力、算法能力、威胁情报以及白帽子团队。

在此基
础上，云盾协助护航2016年G20峰会、2015年世界
互联网大会等多项大型活动期间，积累了丰富的技
术和实战经验。

医疗—卫宁健康拥有从感知、响应到防御的全链路安全防护，防御逾百亿次攻击云计算安全厂商–阿里云云盾•2016年上半年，云盾帮助用户修复0day 漏洞47万
个，防御攻击505亿次，其中DDoS 攻击防御64万
次。

平均每天，云盾会防御2亿次的暴力破解以及
2000万次的WEB 攻击。

2014年，阿里云云盾防御
的DDoS 攻击最高流量记录为453.8G 。

图：阿里云云盾技术架构
修复0Day 漏洞
47万个防御攻击505亿次防御DDoS 攻击
64万次
防御暴力破解2亿次/天防御Web 攻击2000万次/天
2014年防御DDoS 攻击流量最高记录453.8G
数据来源：阿里云云盾
•知道创宇拥有加速乐云安全加速平台、SCAN 云安全
监测平台与ZoomEye 网络空间搜索引擎等产品，为用户提供包括恶意流量清洗、CDN 网页访问加速及Web 业务系统防入侵服务等在内的，基于云技术支撑的Web 安全解决方案。

医疗—卫宁健康基于云技术提供覆盖安全加速与监测的网络安全解决方案
云计算安全厂商
–知道创宇•除了以上三种基于云技术支撑的网络安全产品之
外，知道创宇还为企业级用户专门提供了以下三种网站安全保障系统，即
WebSOC
网站立体监控系统、KS-WAF 网站统一防护系统以及Websaber 网站应用安全评估系统，保护企业网站的信息安全。

•安全狗拥有基于数据驱动的云安全管理平台，其中
包括威胁分析、安全策略、云管理、云监控、风险管理等部分，能够准确识别高危漏洞风险，快速发现安全威胁，批量安全策略管理确保做出快速的应对和防护调整。

医疗—卫宁健康端+网络+云的一体化安全服务，全方位保证用户信息安全
云计算安全厂商
–安全狗•除了云安全管理平台，安全狗还拥有一套纵深安全
防御体系，由服务器安全狗、网站安全狗两种产品共同构建，借助云端大数据处理能力，在网络层、应用层、系统层构建全方位、多层次、一体化的安全防护体系，实现对黑客攻击的有效预判、及时反应、实时拦截等功能，保护用户信息安全。

图：安全狗云安全管理平台架构
•青藤云安全旗下的主要产品是青藤自适应安全平台
( Adaptive Security Platform)，它是一种三维探针+插件式安全能力的统一管理平台，其内部分析模块、面向网络的构建模块、与第三方的监控模块共同构成了集防御、检测、回溯及预测能力于一体的自适应安全平台。

医疗—卫宁健康动态的自适应安全平台能够及时发现黑客入侵并快速响应攻击云计算安全厂商
–青藤云安全•青藤自适应安全平台主要包括三个部分，分别是
Analyzer 、Builder 和Monitor 。

其中Analyzer 能够实时清点资产，主动防御外部攻击；Builder 能够帮助企业按需定制安全策略；Monitor 能够利用特征锚点等方法快速发现黑客入侵，及时通知响应。

图：青藤自适应安全平台体系
•作为创立于传统网络安全时代的厂商，知道创宇和
安全狗均拥有纯网络安全产品。

随着云计算技术的不断成熟以及云计算服务的不断扩展，两家厂商纷纷发力云安全领域，于2014年左右分别推出了自己的云安全产品。

在此前后，两家厂商均获得了金额可观的最新一轮融资。

医疗—卫宁健康云安全产品成为业务布局重要组成部分，助力厂商更全面地发展云计算安全厂商成为重要组成部分
•相比成立较早，从传统网络安全起家的知道创宇和
安全狗，青藤韵安全成立于云计算技术已相对成熟的2014年，直接以云安全作为业务的起点。

目前青藤已经获得了两轮共6650
万人民币的投资，且成为阿里云的首批安全SaaS 合作伙伴之一。

图：青藤云安全发展历程
图：知道创宇发展历程
图：安全狗发展历程
•在网络安全领域，每出现一种新的病毒或是新的攻
击手段，必然会产生与之相对应的安全防护技术或措施。

而最先掌握这些新技术的厂商则有机会引领安全领域的新潮流，这就为一些拥有优秀人才的中小型或是初创型安全厂商提供了弯道超车的机会。

因此，在网络安全领域中，业务布局全面且客户数量庞大的厂商和规模较小但在某一方面独具特色的厂商均有机会在行业内占据一席之地。

•也正因如此，无论是提供传统网络安全服务还是云
安全服务，人才和技术都是网络安全厂商的核心竞争力，其重要性不言而喻。

•此外，从用户感知的层面上看，安全厂商的可信任
度则是企业客户选择某一家厂商的重点考虑因素。

而安全厂商的可信任度则是由漏洞数、安全事件数、服务响应时间等量化指标，以及是否严谨地制定风险应对策略、是否营造出注重安全的企业文化、能否透明地应对安全漏洞等软性因素构成。

这些都是影响网络安全厂商的口碑、客户签约率及留存率的重要因素。

医疗—卫宁健康人才和技术是核心竞争力，可信任度影响客户满意度与留存率网络安全厂商价值判断
CHAPTER III
网络安全技术概述•网络安全技术概述
•已被商业化的技术举例•未被商业化的新技术举例
•正如前文所述，网络安全行业是一个由技术驱动的行业。

每当出现一种新的病毒或者新的攻击方式，就会出现相对应的防护技术与措施，谁掌握了这种新的技术，谁就会在当前的市场中占有一席之地。

因此，技术对于网络安全领域的推动作用不言而喻。

•在目前行业中已经被商业化的技术中，一种名为“用户与实体行为分析”（User and Entity Behavior Analytics ）的高级网络威胁检测手段被认为是检测异常行为的有效措施。

它由Gartner 提出，通过收集网络多个节点产生的信息，创建一条基线以检测基线之外的异常行为。

同时，在UEBA 中作为技术支撑的大数据和机器学习同样是网络安全领域中的重要技术之一。

此外，除了以上这些已经被厂商应用的安全技术之外，目前仍有一些新出现的网络安全技术暂时未被商业化。

如由美国国土安全部近日公开的包括
REnigma 、Socrates 、REDUCE 、FLOWER 等在内的网络安全新技术。

网络安全技术概述
除了UEBA 、大数据等，仍有尚未商业化的新技术等待厂商挖掘
•UEBA ，即“用户与实体行为分析”（User and
Entity Behavior Analytics ），是一种高级网络威胁检测手段，最早由Gartner 提出，利用大数据和机器学习等技术为支撑，通过收集包括网络设备、系统、应用、数据库和用户处等多个网络节点产生的信息，创建一条基线以规定正常行为、区分异常行为，是一种检测异常行为的有效措施。

•UEBA 解决方案的体系架构中包括威胁分析
（Analyze ）、优先处理（Prioritize ）以及响应
（Respond ）三个部分，动态地分析网络异常行为，帮助用户一体化地解决终端、网络及应用等信息安全。

UEBA 通过搜集网络节点数据动态地检测异常行为
已被商业化的技术-UEBA
图：UEBA 解决方案体系架构
•UEBA 解决方案所包含的三个部分分别是Analyze 、
Prioritize 以及Respond 。

其中Analyze 是指通过监测与分析过往安全威胁，检测异常行为；Prioritize 是指对用户需要采取的安全威胁响应行为进行优先级排序；Respond 则是指通过连接相关行为数据，简化报警和事故调查流程。

大数据帮助UEBA 分析过往安全威胁，视重要程度优先响应
已被商业化的技术-UEBA
•在UEBA 所需的技术中，大部分与数据相关，主要包括
数据分析、数据整合、数据可视化展示等，侧面印证大数据作为技术支撑对UEBA 的重要性。

此外，UEBA 还需要源系统与应用程序混合以及服务交付等技术。