計算機行業(yè)：態(tài)勢感知預(yù)見未來

1、 HYPERLINK / 請務(wù)必閱讀正文之后的免責(zé)條款部分目 錄 HYPERLINK l _bookmark0 態(tài)勢感知，從被動防御轉(zhuǎn)向主動防御3 HYPERLINK l _bookmark1 態(tài)勢感知是被引入信息安全領(lǐng)域的軍事概念3 HYPERLINK l _bookmark2 態(tài)勢感知改變了傳統(tǒng)被動防御的策略3 HYPERLINK l _bookmark3 傳統(tǒng)安全產(chǎn)品以單點防護為主3 HYPERLINK l _bookmark4 態(tài)勢感知的前提是對傳統(tǒng)單點安全產(chǎn)品進行管理4 HYPERLINK l _bookmark5 態(tài)勢感知的目的是提前發(fā)現(xiàn)和解決問題6 HYPERLINK l _bo

2、okmark6 滲透率視角：態(tài)勢感知監(jiān)管機構(gòu)滲透率已過拐點7 HYPERLINK l _bookmark7 2020 年態(tài)勢感知市場空間將達到 50 億7 HYPERLINK l _bookmark8 監(jiān)管機構(gòu)：對外網(wǎng)進行監(jiān)控7 HYPERLINK l _bookmark9 企業(yè)端：對內(nèi)網(wǎng)進行監(jiān)控9 HYPERLINK l _bookmark10 市占率視角：“老中青”三代廠商同臺競技10 HYPERLINK l _bookmark11 市場矩陣圖能說明什么問題10 HYPERLINK l _bookmark12 新興廠商大力投入研發(fā)態(tài)勢感知產(chǎn)品12 HYPERLINK l _bookmark

3、13 投資建議14 HYPERLINK l _bookmark14 風(fēng)險提示14 HYPERLINK / 請務(wù)必閱讀正文之后的免責(zé)條款部分態(tài)勢感知，從被動防御轉(zhuǎn)向主動防御態(tài)勢感知是被引入信息安全領(lǐng)域的軍事概念態(tài)勢感知本身是一個軍事概念，最早是美國空軍提出來用于分析空戰(zhàn)環(huán)境來對當前和未來形勢作出判斷的一種方法，于上世紀九十年代被引用到信息安全對抗領(lǐng)域。目前對態(tài)勢感知普遍采取的定義是系統(tǒng)工程學(xué)博士 Endsley 所給出的，即態(tài)勢感知是感知大量的時間和空間中的環(huán)境要素，理解它們的意義，并預(yù)測它們在不久將來的狀態(tài)。網(wǎng)絡(luò)安全態(tài)勢感 知本質(zhì)上是獲取大量的網(wǎng)絡(luò)安全數(shù)據(jù)，對其進行關(guān)聯(lián)分析以理解當前的 安全狀

4、態(tài)，并且對未來的安全狀態(tài)進行預(yù)測。把態(tài)勢感知引入到安全領(lǐng) 域的目的是可以讓防御一方能更好的知道現(xiàn)在的形勢，并且還能幫助防 御者對未來發(fā)展方向做一個預(yù)判，這樣防御方就能更好的制定防御策略。圖 1：態(tài)勢感知的三個子要素數(shù)據(jù)來源：網(wǎng)絡(luò)安全態(tài)勢感知研究綜述， 態(tài)勢感知改變了傳統(tǒng)被動防御的策略傳統(tǒng)安全產(chǎn)品以單點防護為主傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品核心理念是被動防御。以防火墻、防病毒軟件和入侵檢測/防御為代表，傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品的設(shè)計理念是被動防御和單點防護。防火墻。防火墻是基于內(nèi)外網(wǎng)隔離的理念進行防護的，也就是建一面“墻”圈出一個內(nèi)部網(wǎng)絡(luò)來，它的防御方法是假定內(nèi)部網(wǎng)絡(luò)可信外部網(wǎng)絡(luò)不可信，然后根據(jù)包過濾機制制定訪問控

5、制策略，只允許“合格”的數(shù)據(jù)進入內(nèi)網(wǎng)，防火墻是根據(jù)數(shù)據(jù)包的起點和終點（IP 地址、端口號等信息）來把關(guān)內(nèi)外網(wǎng)“大門”的；入侵檢測。IDS/IPS 一定意義上可以看成防火墻的衍生品。它一般是要部署在在流量必經(jīng)的鏈路上對網(wǎng)絡(luò)流量進行監(jiān)測，常見的一種比喻是：“如果把防火墻看做大樓的門鎖，IDS 就是大樓的監(jiān)控系統(tǒng)”，根據(jù)部署方式不同，IDS/IPS 可以分為基于網(wǎng)絡(luò)的和基于主機的，根據(jù)監(jiān)測方法和安全策略的不同，IDS/IPS 可以分為異常入侵監(jiān)測和誤用入侵檢測。異常入侵檢測誤用入侵檢測行為模型建立正常行為模型建立入侵行為模型安全策略告警不符合模型行為告警符合模型行為表 1：入侵檢測有兩種監(jiān)測方法 H

6、YPERLINK / 請務(wù)必閱讀正文之后的免責(zé)條款部分優(yōu)點可檢測未知攻擊具有自適應(yīng)、自學(xué)習(xí)能力準確率高算法簡單關(guān)鍵問題要選擇“正確”的行為特征要選擇合適的統(tǒng)計算法、統(tǒng)計點要建立完整的攻擊特征庫特征庫要不斷更新未知攻擊無法識別數(shù)據(jù)來源：CSDN， 防病毒軟件。防病毒軟件是一種通過實時監(jiān)控和磁盤掃描的方式把 文件和自身的病毒特征庫進行對比，來發(fā)現(xiàn)和消除惡意程序。因為 病毒一般都是通過個人終端進行傳播的，為了避免病毒通過辦公區(qū) 域的終端繞進內(nèi)網(wǎng)，一般都會在辦公區(qū)域的終端側(cè)部署防病毒軟件。態(tài)勢感知的前提是對傳統(tǒng)單點安全產(chǎn)品進行管理SOC/SIEM 是基礎(chǔ)安全產(chǎn)品的管理工具。當企業(yè)分了不同的區(qū)域進行防護

7、，裝上了各種各樣的設(shè)備，復(fù)雜性的提升就帶來了體系化管理的需求， 目前我國有安全管理建設(shè)需求的單位通常都是 IT 應(yīng)用成熟度較高的大型企業(yè)，它們通常是建設(shè)一個 SOC/SIEM 來作為安全管理的基礎(chǔ)設(shè)施， 通過這種產(chǎn)品可以實現(xiàn)諸如日志集中管理、統(tǒng)一配置、進行初步的不同產(chǎn)品和系統(tǒng)的協(xié)同、設(shè)備自動發(fā)現(xiàn)等功能。人力現(xiàn)在成了提高安全效率的最大約束。安全管理產(chǎn)品只是進行安全設(shè)備和安全事件的管理，而不直接解決特定的安全問題。解決問題的人力成了提升安全能力的最大約束，往往甲方公司在使用了 SOC/SIEM 以后， 大量實時的告警被集成到平臺上來，一天的告警數(shù)量從幾千條到數(shù)百萬條的都有，安全運維人員處理一條告警

8、就要幾天的時間，一條一條去手動處理 SOC/SIEM 里的告警不現(xiàn)實。而且現(xiàn)在組織機構(gòu)的運維人員本身數(shù)量就較為稀缺，根據(jù)我們的產(chǎn)業(yè)調(diào)研，大型公募銀華基金 IT 運維人員僅有三人。一家海外的安全事件編排廠商 Demisto 通過調(diào)研發(fā)現(xiàn)，大約有 80%的公司沒有充足的運維人員去運營 SOC，培訓(xùn)一個合格的 SOC 運維人員要 8 個月，但是平均兩年內(nèi) 25%的 SOC 運維人員會轉(zhuǎn)崗，結(jié)果就是甲方公司平均每手動處理一個告警就需要 4.35 天， 所以SOC/SIEM 產(chǎn)品對國內(nèi)甲方的實際安全防護水平的提升是非常有限的， 核心的限制因素是企業(yè)的安全人員數(shù)量不夠以及企業(yè)內(nèi)缺乏必要的安全管理流程制度。

9、 HYPERLINK / 請務(wù)必閱讀正文之后的免責(zé)條款部分圖 2：一般大中型企業(yè)的安全架構(gòu)已經(jīng)較為復(fù)雜數(shù)據(jù)來源：CSDN， 現(xiàn)在市場上的態(tài)勢感知產(chǎn)品一般是由三部分組成,實現(xiàn)數(shù)據(jù)采集-數(shù)據(jù)分析-可視化展現(xiàn)三大功能。日志審計（日志探針和關(guān)聯(lián)規(guī)則引擎）：通過日志探針把網(wǎng)絡(luò)里所有的系統(tǒng)和設(shè)備的日志收集上來，然后進行預(yù)處理，再通過關(guān)聯(lián)規(guī)則引擎進行實時的流分析，跟內(nèi)置的規(guī)則庫進行匹配，發(fā)現(xiàn)問題并進行報警；DPI（流量探針）：一般是部署在網(wǎng)絡(luò)交換機附近或者需要監(jiān)控的節(jié)點附近，作用是把流經(jīng)這個節(jié)點的所有流量轉(zhuǎn)寫成結(jié)構(gòu)化的流量日志，然后傳輸?shù)椒治銎脚_上，有些DPI 里還會有一些檢測規(guī)則引擎， 來進行實時的攻擊特

10、征流量檢測，DPI 的采購量跟監(jiān)測節(jié)點的最大流量有關(guān)；分析平臺：態(tài)勢感知的本質(zhì)就是一個大數(shù)據(jù)平臺產(chǎn)品，給分析海量的設(shè)備日志、系統(tǒng)日志、流量日志等數(shù)據(jù)提供分布式的計算和存儲能力，并且還給客戶提供安全態(tài)勢的可視化能力。圖 3：部署態(tài)勢感知的示意圖數(shù)據(jù)來源： HYPERLINK / 請務(wù)必閱讀正文之后的免責(zé)條款部分用戶還可以自選其他設(shè)備來豐富數(shù)據(jù)采集的廣度和深度。除了日志審計和流量探針是必須要購買的數(shù)據(jù)采集器以外，用戶還可以選采其他的數(shù)據(jù)采集器，比如沙箱、EDR、云端威脅情報、郵件審計、APT 監(jiān)測設(shè)備等等。一般來講數(shù)據(jù)的采集范圍越廣、深度越深，態(tài)勢感知產(chǎn)品越有價值。圖 4：安恒信息的 AiPHA

11、大數(shù)據(jù)平臺的 APT 可視化大屏數(shù)據(jù)來源：安恒信息態(tài)勢感知的目的是提前發(fā)現(xiàn)和解決問題走通了商業(yè)模式的黑客們越來越組織化、國家化。在防御方陷入了整體安全防護水平提升的瓶頸的同時，攻擊方的攻擊水平卻一直在提升。以前黑客進行攻擊主要是出于炫技的動機，所造成經(jīng)濟損失和安全危害都比較小，但是現(xiàn)在隨著黑客“商業(yè)模式”的清晰（售賣敏感信息變現(xiàn)、DDoS 攻擊實現(xiàn)敲詐勒索和商業(yè)攻擊、通過信息篡改更改資產(chǎn)所有權(quán)），在終端的經(jīng)濟利益爆發(fā)式增加的情況下，網(wǎng)絡(luò)攻擊逐步走向了產(chǎn)業(yè)化和專業(yè)化的趨勢，提高了攻擊一方的入侵動機和技術(shù)能力。圖 5：黑客呈現(xiàn)高度的產(chǎn)業(yè)化和專業(yè)化趨勢數(shù)據(jù)來源：威脅情報生態(tài)大會， HYPERLINK

12、 / 請務(wù)必閱讀正文之后的免責(zé)條款部分APT（高級持續(xù)性威脅）攻擊是現(xiàn)在政府部門、金融、能源、工業(yè)大型企業(yè)的頭號敵人，態(tài)勢感知能夠提前進行防御。APT 其實不是一個特定的攻擊手段，而是一種攻擊戰(zhàn)術(shù)，就是通過一種流程化、長期的計劃和組織來針對一個特定目標實施持續(xù)性的攻擊，來完成自己的商業(yè)或者政治訴求。APT 攻擊的另一個特性就是一旦攻擊者得手，被攻擊者的損失就是巨大的，比如說大規(guī)模的數(shù)據(jù)泄露、大面積 IoT 設(shè)備停工、勒索病毒爆發(fā)等。所以必須要把工作做到事前，在 APT 攻擊還沒得手的時候解決問題。簡單點來說，以前關(guān)注的是安全事件（打個比方就是“有人闖進大樓了/有東西丟了”），現(xiàn)在要關(guān)注于安全態(tài)

13、勢（“我們門口有人鬼鬼祟祟的，要小心點”）。我們可以簡單的把旨在實現(xiàn)“發(fā)現(xiàn)鬼鬼祟祟的人”的這個功能的產(chǎn)品定義為安全態(tài)勢感知產(chǎn)品。圖 6：最好是在滲透階段就阻止攻擊者數(shù)據(jù)來源： 滲透率視角：態(tài)勢感知監(jiān)管機構(gòu)滲透率已過拐點2020 年態(tài)勢感知市場空間將達到 50 億安全牛統(tǒng)計 2017 年我國態(tài)勢感知產(chǎn)品市場規(guī)模達 20 億。國內(nèi)信息安全專業(yè)咨詢媒體將態(tài)勢感知產(chǎn)品定義為：“圍繞安全運營中心(SOC)，并基于日志管理(SIEM)、大數(shù)據(jù)平臺、威脅情報、關(guān)聯(lián)分析、沙箱等等關(guān)鍵技術(shù)和多維度數(shù)據(jù)，為用戶提供預(yù)測、保護、檢測和響應(yīng)閉環(huán)能力的安全系統(tǒng)”，然后根據(jù)這個定義進行統(tǒng)計得出結(jié)論，2017 年我國態(tài)勢感

14、知產(chǎn)品市場規(guī)模大約為 20 億，占整體市場規(guī)模的 5%（對應(yīng) 2017 年信息安全整體市場規(guī)模 400 億，跟 CCID 的統(tǒng)計一致，高于 IDC 統(tǒng)計）。并且安全牛在 2017 年預(yù)計，2020 年我國態(tài)勢感知產(chǎn)品市場規(guī)模將會達到50 億元，三年復(fù)合增長率為 35.72%，非常看好中短期內(nèi)態(tài)勢感知產(chǎn)品在國內(nèi)的市場表現(xiàn)。監(jiān)管機構(gòu)：對外網(wǎng)進行監(jiān)控態(tài)勢感知下游客戶分為監(jiān)管機構(gòu)和企業(yè)，分別要對外網(wǎng)和內(nèi)網(wǎng)進行監(jiān)控。態(tài)勢感知這個名字一般專用于監(jiān)管機構(gòu)，對于企業(yè)而言，態(tài)勢感知產(chǎn)品常以大數(shù)據(jù)分析平臺的名字出現(xiàn)。國家法律明文規(guī)定監(jiān)管機構(gòu)需要建立監(jiān)測預(yù)警平臺。目前對于 G 端用戶 HYPERLINK / 請務(wù)必

15、閱讀正文之后的免責(zé)條款部分來說，對于態(tài)勢感知的需求更顯剛性。這主要是網(wǎng)絡(luò)安全法的落地實施所驅(qū)動的。網(wǎng)絡(luò)安全法第五章監(jiān)測預(yù)警與應(yīng)急處置中提到政府部門中有兩類主體有建設(shè)監(jiān)測預(yù)警平臺的義務(wù)：國家網(wǎng)信部門：“國家網(wǎng)信部門應(yīng)當統(tǒng)籌協(xié)調(diào)有關(guān)部門加強網(wǎng)絡(luò)安全信息收集、分析和通報工作，按照規(guī)定統(tǒng)一發(fā)布網(wǎng)絡(luò)安全監(jiān)測預(yù)警信息?！必撠?zé)關(guān)鍵信息基礎(chǔ)設(shè)施保護的部門：“負責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的部門，應(yīng)當建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度，并按照規(guī)定報送網(wǎng)絡(luò)安全監(jiān)測預(yù)警信息?！毙枨笾黧w數(shù)量測算：網(wǎng)信部門：假設(shè)地市級以上網(wǎng)信部門都需要構(gòu)建當?shù)氐木W(wǎng)絡(luò)安全監(jiān)測預(yù)警平臺，則對應(yīng)國家網(wǎng)信辦 1 個，省級

16、網(wǎng)信部門 34 個，地市級網(wǎng)信部門 293 個。關(guān)鍵信息基礎(chǔ)設(shè)施保護責(zé)任部門：關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條 例（征求意見稿）分五部門劃分了關(guān)鍵信息基礎(chǔ)設(shè)施保護責(zé)任部門：政府機關(guān)和能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護、公用事業(yè)等行業(yè)領(lǐng)域的單位。電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)，以及提供云計算、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡(luò)服務(wù)的單位。國防科工、大型裝備、化工、食品藥品等行業(yè)領(lǐng)域科研生產(chǎn)單位。廣播電臺、電視臺、通訊社等新聞單位。其他重點單位。除去各當?shù)卣畽C關(guān)領(lǐng)域的網(wǎng)絡(luò)安全監(jiān)測預(yù)警平臺可以跟當?shù)氐木W(wǎng)信部門共建以外，其他包括能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護、公

17、用事業(yè)、公共信息網(wǎng)絡(luò)服務(wù)、國防科工、大型裝備、化工、食品藥品、新聞十五個大行業(yè)，也就是至少十五個行業(yè)監(jiān)管部門需要建設(shè)本行業(yè)的關(guān)鍵信息基礎(chǔ)設(shè)施安全監(jiān)測預(yù)警平臺。監(jiān)管機構(gòu)的需求更加側(cè)重于監(jiān)控，對威脅情報能力要求更高。監(jiān)管機構(gòu)的需求更側(cè)重于對本區(qū)域或本行業(yè)內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施的監(jiān)控（企業(yè)是為了保護內(nèi)網(wǎng)，所以要把“戰(zhàn)場前移”），能夠?qū)崿F(xiàn)多維度安全數(shù)據(jù)的搜集和歸一化，然后進行監(jiān)測和可視化處理，并且定期生成報表，一旦發(fā)現(xiàn)威脅通知協(xié)調(diào)本區(qū)域或本行業(yè)的公司進行檢查、防護和處理，同時還會使用監(jiān)控的結(jié)果來進行績效考核。監(jiān)管機構(gòu)監(jiān)控范圍更廣，因此對于外部威脅情報能力要求更高。根據(jù)我們的產(chǎn)業(yè)調(diào)研，監(jiān)管機構(gòu)的態(tài)勢感知市場

18、已經(jīng)過了滲透率拐點， 市場格局較為穩(wěn)定。態(tài)勢感知平臺最早是公安網(wǎng)安整個行業(yè)在做（主要是安恒信息和奇安信兩家），從 2017 年開始，通過 2017、2018 年基本上全國已經(jīng)做了 150 個省和地市項目，2019 年預(yù)計再做 100 多家，還有原來的 150 多家做二期和三期，未來將向網(wǎng)信辦和央企部委滲透。如果把 HYPERLINK / 請務(wù)必閱讀正文之后的免責(zé)條款部分滲透率拐點定義為 5-10，那么態(tài)勢感知市場已經(jīng)過了滲透率拐點。企業(yè)端：對內(nèi)網(wǎng)進行監(jiān)控企業(yè)需求更看重內(nèi)網(wǎng)監(jiān)控能力。企業(yè)購買態(tài)勢感知產(chǎn)品是想強化自身的安全防護能力，對內(nèi)網(wǎng)監(jiān)控。尤其是現(xiàn)在一些容易被攻擊的大企業(yè)，它們對態(tài)勢感知產(chǎn)品的

19、需求強調(diào)的是實質(zhì)性的效果。而且一般這些企業(yè)之前都有自建的 SOC，但是因為 SOC 產(chǎn)品不具備大數(shù)據(jù)分析能力，功能主要是搜集安全產(chǎn)品的日志，現(xiàn)在它們往往是把態(tài)勢感知作為一個技術(shù)模塊加入到 SOC 里去，強化 SOC 的安全能力。能源企業(yè)是目前態(tài)勢感知產(chǎn)品最大的買主。我們統(tǒng)計了 2019 年至今的安全態(tài)勢感知項目的公開中標通知，在過去的三個月里總共有 27 個項目，項目金額在幾十萬到幾百萬不等。發(fā)標方所處行業(yè)包括能源、電信、政務(wù)、公安、教育、醫(yī)療、新聞和工業(yè)，其中來自能源行業(yè)的項目最多， 有 8 個。而且能源行業(yè)的單項目金額比較高，項目金額最低的一個也有近三百萬（僅包括寫明項目金額的）。我們產(chǎn)業(yè)

20、調(diào)研得到的信息也是目前對態(tài)勢感知產(chǎn)品購買欲望最強的就是能源行業(yè)企業(yè)，主要原因是能源成了國家級網(wǎng)絡(luò)對抗的主要針對目標，而且海外能源企業(yè)“大案”頻發(fā)， 致使國內(nèi)能源企業(yè)危機感比一般企業(yè)要強。而且我國能源企業(yè)一般都是大型的央企國企，所以能源企業(yè)更樂意投資于安全產(chǎn)品，甚至?xí)^度投資。項目名稱金額所屬行業(yè)廣東省能源集團有限公司網(wǎng)絡(luò)安全態(tài)勢感知和監(jiān)測預(yù)警系統(tǒng)建設(shè)項目389 萬能源中國移動山西公司 2019 年省公司網(wǎng)絡(luò)管理中心網(wǎng)絡(luò)與信息安全態(tài)勢感知防護軟件采購80 萬電信港閘區(qū)法院安全態(tài)勢感知系統(tǒng)48.99 萬政務(wù)平湖市公安局公安網(wǎng)邊界準入及態(tài)勢感知項目66.5 萬公安廣西財政廳網(wǎng)絡(luò)安全態(tài)勢感知平臺系統(tǒng)采

21、購項目192.83 萬政務(wù)上海航空工業(yè)集團信息安全風(fēng)險監(jiān)測與態(tài)勢感知平臺項目（一期）221.8 萬工業(yè)深圳供電局有限公司電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知及管理平臺472 萬能源中國電信安徽公司安全態(tài)勢感知系統(tǒng)建設(shè)項目102.22 萬電信華能瀾滄江水電股份有限公司電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)建設(shè)項目292.01 萬能源中國華電集團有限公司相關(guān)項目網(wǎng)絡(luò)安全統(tǒng)一管控基于威脅情報大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢感知平臺項目481 萬能源2018 年中國聯(lián)通河南網(wǎng)絡(luò)與信息安全風(fēng)險管理及態(tài)勢感知平臺新建工程項目未寫明電信廣西科聯(lián)招標中心廣西教育信息化終端應(yīng)用管理和安全態(tài)勢感知管理信息系統(tǒng)298.96 萬教育廣西教育網(wǎng)

22、絡(luò)安全態(tài)勢感知和安全預(yù)警信息系統(tǒng)224.72 萬教育貴陽日報傳媒集團日志審計系統(tǒng)及態(tài)勢感知系統(tǒng)采購項目76.95 萬新聞龍灘電廠電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)建設(shè)項目未寫明能源巖灘電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)建設(shè)項目未寫明能源合山公司電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知廠站裝置項目未寫明能源中國電信紹興分公司紹興市電子政務(wù)云網(wǎng)絡(luò)與數(shù)據(jù)安全服務(wù)項目態(tài)勢感知管理平臺及相關(guān)軟件系統(tǒng)項目172.41 萬政務(wù)中國移動遼寧公司 2018 年安全態(tài)勢感知平臺擴容工程(包 2：APP 攻防感知系統(tǒng))未寫明電信內(nèi)蒙古電力（集團）有限責(zé)任公司網(wǎng)絡(luò)安全態(tài)勢感知平臺建設(shè)未寫明能源表 2：2019 年可查的所有態(tài)勢感知項

23、目的中標公告 HYPERLINK / 請務(wù)必閱讀正文之后的免責(zé)條款部分潮州市公安局網(wǎng)絡(luò)安全態(tài)勢感知體系二期建設(shè)174.67 萬公安中國移動新疆分公司基于應(yīng)用日志大數(shù)據(jù)和 ELK 系統(tǒng)實現(xiàn)可視化運維和態(tài)勢感知項目未寫明電信瑞安市衛(wèi)計局下屬 7 家醫(yī)院安全態(tài)勢感知平臺服務(wù)采購項目97.4 萬醫(yī)療四川省瀘州市不動產(chǎn)登記中心安全態(tài)勢感知平臺60 萬政務(wù)山西大學(xué)網(wǎng)絡(luò)態(tài)勢感知項目342.8 萬教育惠州市中心人民醫(yī)院全網(wǎng)安全態(tài)勢感知平臺建設(shè)項目45 萬醫(yī)療數(shù)據(jù)來源：劍魚， 市占率視角：“老中青”三代廠商同臺競技市場矩陣圖能說明什么問題透過安全牛的態(tài)勢感知市場矩陣圖看市場格局。目前對國內(nèi)態(tài)勢感知產(chǎn)品市場競爭格

24、局進行調(diào)查研究的第三方機構(gòu)只有安全牛，它從三個維度對目前市場上主流的態(tài)勢感知廠商做了考核：影響力：它是根據(jù)品牌知名度、行業(yè)口碑、市場地位等指標來確定的。從這個維度上看，安恒信息是目前市場上影響力最大的廠商， 其次是奇安信（360 企業(yè)安全）、華為、綠盟等廠商。影響力高的企業(yè)基本都是信息安全全線產(chǎn)品廠商，而且本身集團在業(yè)界就有很好的知名度和口碑；規(guī)模：主要包括營業(yè)收入、人員數(shù)量和利潤等。綜合這些因素后， 奇安信（360 企業(yè)安全）的規(guī)模略大于安恒信息，處于市場第一的位置，其次是老牌殺毒引擎廠商安天；技術(shù)與創(chuàng)新：主要指研發(fā)投入、產(chǎn)品化能力、技術(shù)定位等。據(jù)此，安全牛認為態(tài)勢感知市場中技術(shù)創(chuàng)新能力最強

25、的三家廠商分別是安恒信息、奇安信（360 企業(yè)安全）和瀚思科技，其中瀚思科技是2014 年新成立的專注于用大數(shù)據(jù)解決安全問題的一家公司。圖 7：安全牛的態(tài)勢感知產(chǎn)品矩陣（SAM）數(shù)據(jù)來源：安全牛 HYPERLINK / 請務(wù)必閱讀正文之后的免責(zé)條款部分我們仔細看這個矩陣圖可以發(fā)現(xiàn)：影響力和規(guī)模有明顯的正相關(guān)關(guān)系，新廠商想進入可能會面臨品牌壁壘。如果一家新企業(yè)想要進入態(tài)勢感知領(lǐng)域，必須要面對其他頭部安全廠商通過多年積累形成的品牌和渠道優(yōu)勢，綜合表現(xiàn)出來就是所謂的影響力；“中生代”企業(yè)領(lǐng)軍態(tài)勢感知細分領(lǐng)域。從態(tài)勢感知矩陣來看，安恒信息和奇安信（360 企業(yè)安全）已經(jīng)有了明顯的市場優(yōu)勢。安恒信息是在

26、 2007 年成立的，最初專注于做 WAF，奇安信（360 企業(yè)安全）最早可以追溯到 2006 年，最初主打的是安管平臺（SOC）。它們比傳統(tǒng)的安全大廠（啟明星辰、天融信、綠盟）晚成立近十年， 從當時比較新穎熱門的產(chǎn)品入手切入企業(yè)信息安全市場，然后逐步發(fā)展成了全線產(chǎn)品廠商，但是全線產(chǎn)品廠商一般都有幾個拳頭產(chǎn)品， 所以安恒信息和奇安信（360 企業(yè)安全）都選擇了態(tài)勢感知作為自己的下一個拳頭產(chǎn)品，也在態(tài)勢感知上投入了大量的研發(fā)和市場資 源。此外，產(chǎn)品型公司深信服在態(tài)勢感知領(lǐng)域也有布局；“新生代”企業(yè)專注于態(tài)勢感知，想通過這個產(chǎn)品在安全領(lǐng)域站穩(wěn)腳跟。2014 年成立的瀚思科技（核心成員來自 IBM、

27、趨勢科技等海外安全廠商）推出的核心產(chǎn)品叫做全場景大數(shù)據(jù)安全平臺，這個產(chǎn)品獲得了 2018 年 Gartner SIEM 魔力象限提名（但是沒有入選，國內(nèi)唯一入選該象限的產(chǎn)品是啟明星辰 TSOC），2016 年成立的蘭云科技（核心成員來自啟明星辰、華為、綠盟等國內(nèi)大廠）推出的核心產(chǎn)品是蘭天智能安全平臺（是一款 SOAPA 產(chǎn)品，國際上認為這是下一代 SOC 的發(fā)展方向）。這些“新生代”廠商則是專注于態(tài)勢感知類產(chǎn)品，希望通過這種產(chǎn)品能夠在安全市場上站穩(wěn)腳跟，所以他們也可以在研發(fā)和市場上有不輸大廠的投入。圖 8：瀚思科技大數(shù)據(jù)分析平臺包含了態(tài)勢感知能力數(shù)據(jù)來源：瀚思科技 HYPERLINK / 請務(wù)

28、必閱讀正文之后的免責(zé)條款部分圖 9：深信服安全產(chǎn)品線較短，但也有態(tài)勢感知產(chǎn)品數(shù)據(jù)來源：深信服新興廠商大力投入研發(fā)態(tài)勢感知產(chǎn)品老牌廠商產(chǎn)品線過長，研發(fā)資源平攤后在態(tài)勢感知產(chǎn)品上投入較為有限。我們看到在態(tài)勢感知矩陣里，頭部安全廠商只有綠盟尚保持前列，這主要是因為老牌廠商為了維持自己現(xiàn)有產(chǎn)品線的優(yōu)勢地位，很難在態(tài)勢感知單個產(chǎn)品上投入過多的研發(fā)和市場資源，它們必須要作出權(quán)衡。根據(jù)綠盟的年報里的開發(fā)支出項目，跟態(tài)勢感知有關(guān)的兩個項目的開發(fā)投入加起來 1100 萬左右。啟明星辰一直基于 SOC/SIEM 產(chǎn)品進行迭代，在它的泰和 TSOC（TSOC 是側(cè)重威脅量化評估的 SOC）里加入了大數(shù)據(jù)架構(gòu)和態(tài)勢感

29、知能力。表 3：綠盟在態(tài)勢感知類產(chǎn)品上的開發(fā)支出總共僅有一千多萬項目時間項目投入（萬）當年總研發(fā)支出（萬）占比綠盟安全態(tài)勢感知平臺 V2.0.0-TSA2017 年701.158,313.028.43%綠盟大數(shù)據(jù)安全分析平臺-V2.0.02015 年433.233,232.7513.40%數(shù)據(jù)來源：綠盟科技年報， HYPERLINK / 請務(wù)必閱讀正文之后的免責(zé)條款部分圖 10：啟明星辰不斷在泰和 TSOC 上迭代數(shù)據(jù)來源：啟明星辰年報， 中生代網(wǎng)絡(luò)安全公司安恒信息大手筆“押注”態(tài)勢感知。根據(jù)安恒信息最新披露的招股說明書里面的擬募投項目和在研項目，我們看到僅AiLPHA 大數(shù)據(jù)智能安全管控平臺

30、這一個項目的經(jīng)費投入就預(yù)計 7000萬，明鑒網(wǎng)絡(luò)安全態(tài)勢感知通報預(yù)警平臺的經(jīng)費投入也有 2900 萬。而它這次 IPO 的募投項目里也有大數(shù)據(jù)態(tài)勢感知平臺升級項目，準備投入金額達到了 1.13 億元，占了這次擬募集金額的 14.82%。從投入上我們可以看到，安恒信息是要把態(tài)勢感知做成自己的拳頭產(chǎn)品。表 4：安恒信息大手筆“押注”態(tài)勢感知項目狀態(tài)金額大數(shù)據(jù)態(tài)勢感知平臺升級項目本次募投項目11268.7 萬元明鑒網(wǎng)絡(luò)安全態(tài)勢感知通報預(yù)警平臺穩(wěn)定優(yōu)化整體投入預(yù)計 2900 萬工業(yè)互聯(lián)網(wǎng)安全監(jiān)測與態(tài)勢感知技術(shù)手段建設(shè)穩(wěn)定優(yōu)化整體投入預(yù)計 1500 萬物聯(lián)網(wǎng)安全態(tài)勢感知技術(shù)研究與應(yīng)用穩(wěn)定優(yōu)化整體投入預(yù)計

31、 5000 萬AiLPHA 大數(shù)據(jù)智能安全管控平臺穩(wěn)定優(yōu)化整體投入預(yù)計 7000 萬備注：整體投入和開發(fā)支出統(tǒng)計口徑不一致，所以安恒的態(tài)勢感知整體投入和綠盟的態(tài)勢感知開發(fā)支出不可比數(shù)據(jù)來源：安恒信息招股說明書， 初創(chuàng)公司大額融資不斷，研發(fā)投入并不低。從新聞里統(tǒng)計跟態(tài)勢感知相關(guān)的企業(yè)的融資情況，我們看到專做態(tài)勢感知產(chǎn)品的瀚思科技，它在2017 年B 輪融資 1 個億，同樣做大數(shù)據(jù)+安全的觀安信息則是在 2018 年B 輪融資 1.3 億。大額的融資給這些專注在態(tài)勢感知產(chǎn)品品類上的初創(chuàng)企業(yè)帶來不輸大廠的研發(fā)和市場宣傳能力。時間未上市安全企業(yè)融資情況最新融資額主要業(yè)務(wù)2019 年 3 月長揚科技A+輪數(shù)千萬工控安全設(shè)備體系（包括防護類、監(jiān)測類、管理類等多款設(shè)備)、安全態(tài)勢感知平臺2019 年 3 月斗象科技B+輪億元級別旗下品牌包括互聯(lián)網(wǎng)安全新媒體社區(qū)“FreeBuf”，互聯(lián)網(wǎng)安全測試服務(wù)平臺“漏洞盒子”，以及智能安全監(jiān)測與調(diào)查分析系統(tǒng)“網(wǎng)藤風(fēng)險感知”表 5：相關(guān)業(yè)務(wù)的上市公司近期 A/B 輪融資額都是千萬/億級 HYPERLINK / 請務(wù)必閱讀正文之后的免責(zé)條款部分2019 年 1 月奇安信（3