摘要

我国安全服务占比远低于世界平均水平,过去政企安全防护理念落后,安全服务投入过低,未来三年需要补齐安服短板,2021年安全服务占网络安全市场结构占比有望超过20%。根据IDC预计到2023年,预计全球网络安全支出规模将达到1512亿美元,保持9.4%的年复合增长率持续增长。从安全硬件、软件、服务的分类来看,在欧美市场安全服务化理念深入人心,2019年安全服务支出规模占比第一,占比达到64%。中国目前是除美国以外网络安全支出最多的国家,中国网络安全投入在整体IT投入中的占比也一直保持稳步提升,由于过去政企安全防护理念落后,安全服务投入过低,因此安全服务只占整个网络安全市场的13.8%,未来三年将是政企迅速补齐安服短板的三年。根据中国信通院预计,2021年安全服务市场规模将达到183.5亿元,未来三年复合增长率为39%,2021年安全服务占网络安全市场结构占比有望超过20%。

安全服务细分种类众多,安全运营、安全演练和数据分析成为发展热点。我国安全服务人才需求在2019年获得极高增长,人口缺口较大。目前网络安全服务主要分为六大类即:咨询规划、安全运营服务、专业技术服务、安全演练、安全数据分析以及考试与培训。由于安全运营可以协助企业了解自身安全情况、发现安全威胁、敌我态势、规范安全事件处置情况,逐步形成适合企业自身的安全运营体系,因此运营服务是过去几年安全服务增长最快的一个类目,因为增长快且能更加了解客户的网络安全状况并增强客户粘性,得到各大安全厂商的重视。而安全演练、数据分析也在国家关键基础设施保护和发现潜在威胁中发挥越来越重要作用,成为发展热点。我国目前网络安全运营人才需求较大,无论是企业还是政府对网络安全人才需求都呈现快速增长趋势。根据网易调查显示,2019年安全运营与服务类的岗位需求大幅增长,成为政企机构招聘最多的岗位类型,占比高达32.7%,首次超过研发测试岗位。而我国安全服务高级工程师和安全运营人员缺口较大,安全厂商对安服人才争夺也进入白热化。

政府、央企、公用事业等遭受网络攻击最多,潜在安全风险较大,对安全服务需求将保持高增长。根据奇安信发布的2019上半年网络安全应急响应分析报告可以看出,2019上半年针对政企机构、大中型企业的攻击从未间断过,3月份是攻击的高峰。2019年上半年攻击者的攻击对象主要分布于政府机构、事业单位以及国家重要基础性建设行业。其中医疗卫生行业上半年被攻击者攻击次数最多,其次为公检法、事业单位、政府机构、交通运输等重要行业。为了提升政府和关键基础设施所覆盖的行业对安全的重视,公安部也将“净网行动”“护网行动”两大行动成为常态化措施保卫国家关键信息基础设施安全。一方面未来央企、党政客户自身会加大在网络安全重视和投入,一方面由于网络安全人才缺乏、传统技术和产品脱节,央企和政府会更多依靠网络安全第三方厂商提供的服务,采用“人+系统”运营服务方法,更好的防御安全威胁。

安全服务高速发展将带动安全服务平台类、终端安全、检测类工具、威胁情报、应急响应工具等产品快速增长。安全服务过程中“工具+数据+人”缺一不可,因此安全服务市场高增长除了对网络安全人才需求高增长外,也将明显带动如安全运营和检测中要用到的各类产品增长包括:威胁情报产品、态势感知平台、流量威胁监测工具、终端安全、APT检测工具、勒索病毒检测和解密工具等快速增长。

行业龙头加大安全服务投入,安全服务市场高增长助力龙头长期发展。过去3年国内网络安全龙头厂商都在加大安全服务投入,尤其是2019年,由于在安全演练中发现了较多问题,政府和央企对安服需求进一步提升,因此2019年下半年龙头厂商对安服投入力度进一步加大。目前国内龙头厂商在安服领域都有自己的特色:(1)启明星辰:作为国内网络安全领军企业,公司走在智慧城市安全建设队伍的前沿,2016年开始在全国范围布局智慧城市的独立安全运营中心建设,首次提出了以“第三方独立安全运营”作为保障网络安全的重要手段,作为集团公司的战略新业务,2018年公司实现安全运营中心业务订单1.5亿,预计2019~2020年仍然将保持高增长。目前公司在全国运营体系已基本形成北京、成都、广州、杭州四个运营业务支撑中心及二十余个城市级运营中心,并已形成成熟的标准化运营体系,未来运营中心业务将向其他二三级城市拓展,目标35个运营中心。(2)奇安信:根据赛迪咨询,公司目前安服人员人数和安服收入排名全国第一,且安服产品种类最齐全。公司的攻防安全能力和攻防渗透人员规模目前均处于国内第一,公司目前约有1000人从事攻防渗透工作,约有300人从事情报分析和情报检测,全球第一,约有200人专门从事APT防护国内第一。公司目前拥有国内最大的漏洞响应平台“补天”,服务的监管体系覆盖了9000多家网络安全重点保障单位,预计未来安全服务人员规模仍然将保持快速扩张。(3)深信服:安全服务上升到战略高度,2019年发力安全服务市场,人员扩张较快且主打“人机共智”安全理念。2018Q3公司发布“人机共智”的安全运营服务,依靠AI和大数据技术不断完善人+自动化运营服务。且过去两年公司加大安全运营中心建设,已经积累了超过20个智慧城市安全运营平台建设经验,并在最近河北新龙科技集团合作在河北11个地市建设安全运营中心,安全服务有助于公司深入服务政府、央企和大型企业,进一步拓展高端客户群。(4)安恒信息:在政府、公安等重大活动保障方面一直是领导企业,顶级安全服务能力多次受到国家部委和机关认可,2018年公司网络安全服务业务实现收入1.63亿元,同比增长77.1%,近两年复合增长率为55.3%,保持快速增长。同时公司重视新一代网络安全产品的研发和技术投入,云安全、大数据安全、态势感知和服务产品具有领先优势。

投资建议:目前我国安全服务占比远低于世界平均水平,过去政企安全防护理念落后,安全服务投入过低,未来三年需要补齐安服短板,预计 2021年安全服务市场规模将达到183.5亿元,未来三年复合增长率为39%。政府、央企、公用事业等遭受网络攻击最多,潜在安全风险较大,对安全服务需求将保持高增长,因此在安服领域领先的综合解决方案提供商更有可能在党政军、央企和大企业市场获得长期领先优势,因此2019年安全龙头公司都进一步加大了安全服务投入,且未来也将持续高速扩张。我们持续看好未来三年网络安全市场的高增长,并持续重点推荐在安全服务领域有超前布局的龙头安全公司:启明星辰、奇安信、深信服和安恒信息。

一、中国网络安全服务市场增长迅速,细分领域众多且需求旺盛

1.1 中国网络安全市场中安全服务目前占比较低,相比全球平均水平,未来增长潜力巨大

全球网络安全保持9.4%的年复合增速,网络安全服务支出占比第一。IDC《全球半年度网络安全支出指南2018H2》显示,2019年全球网络安全支出将达到1066.3亿美元,同比增长10.7%,到2023年,预计全球网络安全支出规模将达到1512亿美元,保持9.4%的年复合增长率持续增长。从安全硬件、软件、服务的分类来看,在欧美市场安全服务化理念深入人心,2019年安全服务支出规模占比第一,占比达到64%。网络安全服务市场由咨询服务、集成服务、IT教育与培训以及托管安全服务(MSS)四个子市场构成。其中托管安全服务(MSS)作为安全服务的子市场将以210亿美元的投资规模成为2019年网络安全产品与服务市场中的最大子市场。

我国安全服务市场近年保持高速增长,市场占比将逐步提升,2021年安全服务占网络安全市场结构占比有望达到20%中国目前是除美国以外网络安全支出最多的国家,中国网络安全投入在整体IT投入中的占比也一直保持稳步提升,随着网络安全法、等级保护2.0、《国家关键信息基础设施安全保护条例》等相关法律法规监管和审查趋严,中国网络安全相关硬件、软件和服务市场保持高增长。根据IDC预测,2019年中国网络安全市场总体支出将达到73.5亿美元,2019-2023年CAGR为25.1%,增速领跑全球市场。相比欧美市场,目前中国信息安全市场仍是以硬件为主,2018年国内信息安全硬件市场占比达到48.1%,安全服务只占整个网络安全市场的13.8%。随着中国信息产业和网络技术的发展,传统的信息安全产品难以满足日益变化的复杂的网络空间,中国的信息安全行业必将向国际看齐,未来中国安全市场将由硬件为主转换为服务为主。目前国内信息安全领域的重要企业,均在开展行业解决方案策划和推广工作,从产品导向型企业向服务导向型企业转变,以适应未来用户定制化服务和细分市场等发展趋势。未来三年,随着云计算、大数据与智慧城市的快速发展,更多的大型企业趋向于定制化安全服务,安全服务市场将持续增长,基于软件及服务的安全产品市场将是下一个爆发点。根据中国信通院预估,2021年安全服务市场规模将达到183.5亿元,未来三年复合增长率为39%,安全服务市场占比也将达到20%。

1.2北美网络安全服务市场在2011~2015年迅速扩大,带动了以Fireeye为代表的网络安全公司高增长

回顾北美网络安全服务市场在2010~2015年迎来高峰,网络安全服务市场增速高于网络安全行业整体增速。2015年美国网络安全市场规模约370亿美元,2011-2015年复合增长率为9%,而安全服务中典型代表——托管安全服务市场同期复合增速则达到17.6%,增速远高于网络安全市场整体增速。根据Statista分析当网络攻击行为变得复杂的情况下,传统网络安全设备如防火墙、IDS并不能完全阻挡网络攻击,构建全面的安全防护体系和安全管理策略更适应网络安全发展,同时,用户自身安全知识有限,也需要专业人员协助维护,这些都使得北美安全服务市场增速高于行业整体增速。

Fireeye是成立于2004年的安全服务厂商,成立之初专注提供APT检测和攻击产品和服务。Fireeye于2004年成立,2013年在美国纳斯达克上市,Fireeye核心技术为MVX技术,能把APT等威胁放在虚拟环境中并加速时间,从而在较短的时间内安全观察到攻击行为。当时Fireeye包括产品、订阅和服务两大业务,产品包括网络安全NX、邮件安全EX、端点安全HX、文件安全FX、移动安全MX等安全设备,以及由上述设备构建的中央管理系统CMS的APT检测与防御网络。产品类还包括安全分析、安全取证产品,包括威胁分析平台TAP、恶意软件分析系统AX、网络取证平台(PX Series)和调查分析系统(AI Series)等等。订阅和服务主要分为订阅产品以及客户咨询服务,其中订阅产品主要为火眼即服务FaaS以及威胁情报等服务,其中,威胁情报订阅产品包括动态威胁情报云(DTI)、高级威胁情报(ATI)以及邮件防护的相关订阅服务。

2011-2015年Fireeye安全服务营收快速增长,2011-2013年高速增长主要为基于云的动态威胁情报和电子邮件附件威胁防护两款产品推动增长。2013年Fireeye收购Mandiant之前,订阅和服务收入一直呈现快速增长的态势,2010年-2013年营收复合增长率达到208.6%,在总收入中的占比也从2010年的21%提升到45%。其中,订阅和服务收入快速增长主要来自于两款订阅产品,一是基于云的动态威胁情报服务(DTI),DTI将部署在客户、技术合作伙伴和服务提供商中的FireEye设备互连,以收集和共享实时威胁情报,购买设备时必须订阅DTI,周期可以为一年或三年,价格为设备成本的20%。另一款订阅产品是基于云的电子邮件附件威胁防护/URL引擎,它使用FireEye的无签名MVX引擎来扫描电子邮件附件,检测威胁并阻止APT攻击。购买电子邮件威胁防护设备的客户需要购买为期一年或三年的电子邮件威胁防护附件/URL引擎订阅,如果没有与该订阅相关的功能,该设备将无法运行。

客户规模快速增长以及高续订率,使得订阅产品服务长期保持高增速。2011-2015年,FireEye的客户规模从 450家快速增长到4400家(2013年底为1900家),年复合增长率高达76.83%,由于公司云订阅产品与设备深度绑定,其续订率长期保持在90%以上。因此随着公司客户规模快速增长,上述两款订阅产品保持了较快增速。在收入高速增长的推动下,Fireeye股价也迎来一波快速增长,股价自2014年初的40美元左右涨至最高95.6美元。

2013年并购专业安全服务商Mandiant,2014-2015继续高增长,并购之后协同效应较好。2013年底公司以10亿美元收购了端点安全产品和安全应急响应管理解决方案提供商Mandiant,Mandiant被收购之前2012年收入约为8231万美元,其中7156万为服务收入,1075万为产品收入。公司2014年订阅和服务收入增长至2.47亿美元,同比增长1.74亿美元,其中订阅收入同比增加7890万,专业服务收入同比增加6870万,支持和维护收入同比增加2650万。专业服务收入增长主要来源于并购的Mandiant,订阅、支持和维护收入大幅增长(同比+151%)一方面来自于Mandiant并购,另一方面FireEye的全流量检测产品和Mandiant的安全服务产生了良好的协同效应,增速进一步提高。

1.3 我国网络安全应急响应法律法规陆续出台,并在逐步建立自上而下的网络安全应急响应协调与通报机构

2017年颁布的《网络安全法》对政府和企业网络安全预警监测和应急响应做了明确规定。网络安全法》第五章共八条的篇幅规定国家网信部门及其他政府相关部门“监测预警与应急处置”的制度及措施。第二十五条、第二十九条、第三十四条规定网络运营者关键信息基础设施的运营者针对网络安全事件应急处置的安全保护义务(对不同对象的规定)。负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。同时应当制定本行业、本领域的网络安全事件应急预案,并定期组织演练。而省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施,进行整改,消除隐患。

2017年6月《国家网络安全事件应急预案》推出,初步形成国家网络安全应急响应自上而下统筹协调和统一指挥体系。网络安全事件和公共安全事件不同,一旦发生扩散速度快,影响范围大。级联效应明显,国民经济各行业之间有很强的相互依懒性,尤其依赖电力、通信为甚,必须跨部门、跨行业协同处置。且网络安全事件战时与平时没有清晰界限,有可能一些事件是他国网络战部队发起的攻击,这类攻击常见于电网、通信等民用设施,因此必须国家统筹协调和统一指挥。因此国家目前形成的网络安全应急响应协调和通报体系为中央统一领导指挥,国家地方部门分级负责,网络运营者、专业队伍和社会力量共同参与,原则是:“统一指挥、分级负责、密切协同、快速反应”。在中央网络安全和信息化领导小组的领导下,中国网络安全和信息化领导小组办公室统筹协调组织国家网络安全事件应对工作,建立健全跨部门联动处置机制,工业和信息化部、公安部、国家保密局等相关部门按照职责分工负责相关网络安全事件应对工作。国家网络安全应急办公室设在中央网信办,具体工作由中央网信办网络安全协调局承担。中央和国家机关各部门按照职责和权限,负责本部门、本行业网络和信息系统网络安全事件的预防、监测、报告和应急处置工作。各省(区、市)网信部门在本地区党委网络安全和信息化领导小组统一领导下,统筹协调组织本地区网络和信息系统网络安全事件的预防、监测、报告和应急处置工作。

二、网络安全服务种类众多,人、数据、工具、流程形成完整解决方案,目前安全服务人才缺口较大

目前网络安全服务主要分为六大类即:咨询规划、安全运营服务、专业技术服务、安全演练、安全数据分析以及考试与培训。

1.咨询规划,从满足合规到“关口前移”,让安全成为真正的信息系统内生安全:咨询规划是安全服务最基本内容,过去大部分安全厂商等级保护咨询服务遵循国家等级保护各级要求,帮助客户进行信息系统达标建设,确保用户严格按照等级保护的过程规划并建设自己的安全保障体系,导致网络安全厂商形成以合规思路设计产品和客户网络安全方案的惰性思维,也造成了过去行业多年的同质化竞争、低价竞标。习总书记在2018年4月的全国网络安全和信息化工作会议上提出,要“加强网络安全事件应急指挥能力建设,积极发展网络安全产业,做到关口前移,防患于未然”,因此网络安全要和信息化系统建设同步,真正让安全成为“内生”。安全企业也需要与集成商、研究院和设计院一起,基于动态综合防御体系进行规划,实现信息化和安全同步规划、同步建设和同步运营。

咨询规划又可以分为三类:安全规划、合规咨询、专项咨询。其中安全规划又可以分为安全规划和行业咨询;在合规咨询中又包括等级保护和分级保护的咨询、RT001、内服外省、热点事件的合规咨询等;专项咨询又包括:业务应用的安全咨询、数据安全的咨询服务、工业安全、安全研究报告等。

2. 运营服务,人、数据、工具、流程,共同构成了安全运营的基本元素,以威胁发现为基础,以分析处置为核心,以发现隐患为关键,以推动提升为目标通常是现阶段企业的安全运营的主旨。不管是基于流量、日志、资产的关联分析,还是部署各类安全设备,安全运营最终目标是了解企业自身安全情况、发现安全威胁、敌我态势、规范安全事件处置情况,提升安全团队整体能力,逐步形成适合企业自身的安全运营体系,并通过成熟的运营体系驱动安全管理工作质量、效率的提高。运营服务是过去几年安全服务增长最快的一个类目,因为增长快且能更加了解客户的网络安全状况并增强客户粘性,得到各大安全厂商的重视。运营服务内容又分三大类:基础运维服务、安全监察服务、巡查服务。目前全国多地在智慧城市中会设立一些安全运营中心,其中的核心服务就是安全运营服务。企业信息安全建设初期,在网络层、系统层、应用层、数据层等部署了一系列安全设备和管控措施进行日常运维,并确保其稳定运行。

安全运营的核心是安全运维框架,承载安全运维框架的是SIEM平台或SOC平台。传统SOC平台缺乏安全攻防对抗能力,因为以安全日志和时间采集为基础对事件被动进行分析和响应;缺乏大量数据处理能力,因为传统SOC以关系型数据库为底层数据架构,处理能力相当有限,在海量数据、异构数据、多维数据的情况下,采集、分析和处理、存储数据都遇到很大困难。同时传统SOC平台缺乏安全智能分析能力、缺乏有效协同能力,因此安全龙头企业都纷纷推出了新一代威胁感知系统,再结合专家级的安全分析服务,为政企客户提供优质体验的安全运营服务。

3.专业技术服务,通常包括攻防渗透、评估加固、应急响应。以奇安信对运营商提供的专业安全服务解决方案为例,对运营商指定业务系统提供渗透测试、代码审计、新系统上线安全评估、移动APP加固等服务等安全服务,并提供应急响应服务。Web应用系统的渗透测试主要对操作系统及服务漏洞、应用系统漏洞、安全配置缺陷、功能逻辑缺陷等方面进行全面测试,APP应用系统还需要对APP客户端漏洞进行针对性测试。源代码审计服务的目的在于充分挖掘当前源代码中存在的安全缺陷以及规范性缺陷,从而让开发人员了解其开发的应用系统可能会面临的威胁,并指导开发人员正确修复程序缺陷,通过对系统开发框架、应用程序、客户端程序(包含APP应用程序、C/S客户端等)、接口及第三方组件和应用配置这五个方面进行深入的安全分析,从而发现系统源代码存在的安全缺陷,并采用安全测试等技术手段进行漏洞验证。同时新系统上线前进行渗透测试及源代码审计等安全服务,从黑盒测试和白盒评估两个层面发现系统可能存在的安全风险,最大限度的解决安全问题,减小了系统投产后的安全风险。而应急响应服务一般是机构、企业的网站、办公区终端、核心重要业务服务器或邮件服务器遭到了攻击,影响了系统运行和服务质量,因此需要安全供应商在发生攻击事件时提供应急人力保障、技术手段保障、技术支撑保障。

重保活动的网络安全保障:近年来我国重要活动或者会议的组织方和网络安全监管机构都要求在活动或者会议期间开展网络安全重保工作,以确保重要活动或者会议的圆满顺利完成。重保对象一般是主办方的信息系统和举办场地有关的网络环境、互联网各类宣传通道;监管机构的内部信息系统和其他可能涉及的党政机关、金融、媒体、交通、能源、水利、教育等行业的重要信息系统。重保除了需要专业的技术专家团队,还需要工具和技术平台配合,包括互联网资产发现与扫描平台、高级威胁监测平台、攻防演练平台、网站安全监测平台、网站安全云防护平台和安全态势感知平台等。

4.安全演练,2016年开始国家监管机构每年组织开展针对不同行业、地域的网络实战攻防演练,且涉及的行业范围越来越广,尤其是关键信息基础设施的运营者会积极国内网络攻防实力较强的网络安全企业对其所负责的关键信息基础设施开展真实环境下的网络攻防演练。实战攻防演练以实战化、可视化、专业化为原则,对实际目标系统以不进行破坏攻击为底线,进行实战攻防对抗,攻击模式不限于单个系统,不限于内网渗透,不限于通过周边系统迂回,一般希望达到以下目的:a)拿到目标业务系统的控制权限;b)深入挖掘机构、企业信息系统可能存在的安全风险;c)全面检验机构、企业网络安全防御体系的有效性;d)检验机构、企业人员的应急响应能力和协作配合能力;e)促进机构、企业增强网络安全意识、认清所面临的网络安全风险、完善网络安全保障体系。通过对攻击者主要攻击思路和攻击手法的了解,机构、企业可以有针对性地在攻击实施的各阶段做好安全检测、分析、处置和防御等工作,发现存在的薄弱环节和漏洞,并在演练后的总结复盘过程中,根据详尽的安全整改建议,提高网络安全防御能力。现实场景中通过红、蓝、紫三方的真实对抗,红方为企业、机构内部安全人员,负责内部防护;蓝方为机构、企业外部人员(白帽子),负责外部攻击;紫方为机构、企业外部教练(一般为安全厂商),负责提供安全演练导调、监控进程、全程指导、应急处置、活动总结等咨询工作。

5.数据分析,要做到主动安全和监测需要数据分析支撑,数据分析主要分两大类:威胁情报、安全数据分析,安全服务中数据分析不仅需要对监测到的安全数据进行报告和处置,进行进一步的安全数据分析、溯源和研判;还需要对安全数据进行整理形成通报结果,与客户的网络安全工作职能相对接,开展信息安全风险报告和信息通报等工作。以奇安信为例,利用云端威胁情报,为客户提供来自外部的攻击态势,对攻击者进行精准的多维属性分析,形成外部攻击者画像;分析客户资产的暴露面,发现未知资产;结合内部流量数据,为客户提供数据分析服务,进行外部攻击分析、主机失陷分析、内部安全分析,协助客户建设全天候、全方位的网络安全态势感知能力。态势感知安全服务帮助企业做好内网检测和防御,具备全方位的感知能力,感知是依托于大量数据的反馈,因此需要统一的日志收集和分析平台,平台要具备持续的威胁检测,通过各种检测规则和机器学习模型来对所有收集到的日志进行匹配检查以保证之前的已知威胁不会被忽略。现阶段基于威胁情报的IOC检测平台也不可或缺,用来对外部情报信息或者内部自产的情报信息进行实时匹配和报警以确保当前所有的已知威胁能被检出。还需要流程管理平台配合,其主要作用是用于流程化和规范化地记录和总结所有以往发生的入侵事件的调查过程和分析结果,以便于日后查询和关联分析,同时可以用于追踪考核。

威胁情报是对企业产生潜在与非潜在危害的信息集合,帮助企业判断当前发展现状与趋势,并可得出所面对的机遇和威胁,再提供相应的决策服务。国内外都有专门提供威胁情报的公司,如微步在线、天际友盟、安天科技和默安科技。

6.考试与培训,又可以细分为:认证培训、联合培养等等。认证培训里面又可分为证书的认证培训,包括考试与培训工具。安全培训也有安全能力建设,包括攻防技术、产品认证、安全运营培训等。另外一个就是联合人才培养。我国目前网络安全运营人才需求较大,无论是企业还是政府对网络安全人才需求都呈现快速增长趋势。根据网易调查显示,2019年安全运营与服务类的岗位需求大幅增长,成为政企机构招聘最多的岗位类型,占比高达32.7%,首次超过研发测试岗位。2019年上半年,网络安全人才需求规模指数为117.2,较2018年下半年环比增长104.9%,较2018年上半年同比增长173.2%。其中安全运营与服务类岗位是政企需求量最多的岗位,占32.7%,其次是研发与测试类岗位25.0%,销售类占11.7%。2018年-2019年度包括中央网信办、工业和信息化部、公安部等在内的监管部门发布一系列法规或规章中,很多措施明确要求设置网络安全专员。2019年上半年正式发布国家标准《信息安全技术网络安全等级保护基本要求GB/T 22239-2019》也将网络安全机构设置和管理制度纳入国家统一标准里,机构建立和机制完善很可能持续带动安全人才需求的爆发式增长。同时很多大中型或大型企业,已经开始着手逐步建立自己的专业安全团队,以应对企业面临的网络安全日常威胁与突发事件,因此对安全专家、安全顾问,及高级网络安全管理人员的需求也大幅增加。网络安全领域考试众多,根据智联招聘调查,超半数的新晋网络安全人才听说过CISP、NISP,40%以上的网络安全人才听说过CISP-PTE以及CISSP。

认证培训:一些有实力的网络安全企业牵头建立人才培养基地,联合或者在属地的大中专院校的支持下,通过招收即将毕业,以及准备求职网络安全岗位的学员/求职者,通过2-3个月的实践培训,使其顺利找到合适的企业入职,并负责相关的网络安全职位,最终批量输出满足用人单位需求的一线安全人才,打通人才供应的最后一公里。以奇安信集团建立的绵阳网安人才基地为例,目前拥有资深讲师70余人,他们用来自一线战场的技术和经验,为安全行业锻造实战型新生力量。截止2019年中,累计培养网络安全运营服务工程师1300余人。为全国50多个城市,以及电信、能源、交通、水利、金融、公共服务、电子政务等众多行业领域的安全运营工作输送了急需的人力资源。

联合培养:目前我国的高等院校网络安全专业,每年为社会培养输出的毕业生在2万人左右。很多高校与安全企业不断探索,采取了创新的方式方法,和企业建立人才共同培养机制。比如,中央直属某重点高校计划与所有的上市网络安全公司合作,建立人才共同培养的机制,同时创新性提出“在实践能力培养方面,与企业共同联合编制优秀教程。”

三、党政军、央企对安全服务和运营需求增长迅速,同时催生出对新一代安全工具和平台产品需求

政府、央企、公用事业等遭受网络攻击最多,潜在安全风险较大,对安全服务需求将保持高增长。根据奇安信发布的2019上半年网络安全应急响应分析报告可以看出,2019上半年针对政企机构、大中型企业的攻击从未间断过,3月份是攻击的高峰。2019年上半年攻击者的攻击对象主要分布于政府机构、事业单位以及国家重要基础性建设行业。其中医疗卫生行业上半年被攻击者攻击次数最多,其次为公检法、事业单位、政府机构、交通运输等重要行业。而被攻击的行业和单位中,影响范围主要集中在内部服务器和数据库,占比26.43%;外部网站和内部网站,占比为22.68%,其次为办公专网,15.66%。政府机构、大中型企业的互联网门户网站、内部网站、内部业务系统服务器以及数据库仍为攻击者的主要攻击对象。

由中央网信办和公安部双牵头的《国家关键信息基础设施安全保护条例》有望未来一年内发布,将进一步促进央企、政府对第三方安全服务需求。《条例》详细阐明了关键信息基础设施的范围、运营者应履行的职责以及对产品和服务的要求,对政府机关,国家行业主管或监管部门,能源、电信、交通等行业,公安机关以及个人进行要求,明确关键信息基础设施范围,规定运营者安全保护的权利和义务及其负责人的职责,要求建立关键信息基础设施网络安全监测预警体系和信息通报制度,违反本条例将会受到行政处罚、判处罚金甚至要承担刑事责任。关键基础设施定义涵盖范围未来更加广泛,包括(1)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;(2)电信网、广播电视网、互联网等信息网络,以及提供、和其他大型公共信息网络服务的单位;(3)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;(4)广播电台、电视台、通讯社等新闻单位;(5)其他重点单位。为了提升政府和关键基础设施所覆盖的行业对安全的重视,公安部也将“净网行动”“护网行动”两大行动成为常态化措施保卫国家关键信息基础设施安全。一方面未来央企、党政客户自身会加大在网络安全重视和投入,一方面由于网络安全人才缺乏、传统技术和产品脱节,央企和政府会更多依靠网络安全第三方厂商提供的服务,采用“人+系统”运营服务方法,更好的防御安全威胁。

智慧城市”和政务云建设持续落地带来更多专业城市安全运营服务需求。2018年我国智慧城市IT投资规模达到4800亿元,市场规模已接近8万亿元,未来5年将保持年均33.38%的复合增长。据易观数据显示,预计2018年中国智慧城市市场规模将达到7.9万亿元,到2021年将形成18.7万亿元的市场规模。智慧城市伴随信息化浪潮蓬勃兴起,网络信息化作为智慧城市建设的核心载体,为其提供技术保障,智研咨询数据显示,2017年我国智慧城市IT投资规模为3752亿元,预计2017-2021年年均复合增长率将超过30%,2021年将达到12341亿元。智慧城市中存储了海量城市数据信息,涉及政务、医疗、社保、交通等行业,而智慧城市的核心之一便是数据的共享与融合,确保海量数据在融合与使用过程中居民个人隐私信息、企业和政府敏感数据不被入侵篡改和肆意泄露。因此需要有面向智慧城市的专业城市安全运营服务来确保智慧城市的运行安全。城市安全运营服务业务将开启新的安全服务市场,为相关企业带来新的利润增长点。

安全服务高速发展将带动安全服务平台类、终端安全、检测类工具、威胁情报、应急响应工具等产品快速增长。安全服务过程中“工具+数据+人”缺一不可,因此安全服务市场高增长除了对网络安全人才需求高增长外,也将明显带动如安全运营和检测中要用到的各类产品增长包括:威胁情报产品、态势感知平台、流量威胁监测工具、终端安全、APT检测工具、勒索病毒检测和解密工具等快速增长。

1)态势感知平台分为政府部门使用的监管平台和企业使用的实施监测预警平台,目前在公安部、网信办、金融、电信、能源等行业增长迅速。态势感知平台(传统是SOC/SIEM平台)作为安全运营核心,监管机构和被监管机构目前都需要部署态势感知平台做好网络安全风险“预知”功能。态势感知通报预警平台核心功能包括:等级保护、实时监测、威胁感知、通报预警、快速处置、侦查调查、追踪溯源、情报信息、指挥调度,可以帮助用户实时掌握全局网络安全态势,实时开展预警通报、快速处置和网络安全综合管理工作。因此态势感知平台也是安全服务带动下增长最快的产品之一,据安全牛统计,预计2020年态势感知整体市场规模将超过50亿。

监管侧态势感知平台:在没有态势感知平台的时候,公安部和网信办缺乏漏洞发现、安全事件通告、安全事件应急处理和预警的能力,出于监管需求,从公安部、网信办到各省厅、地市公安局、网信办都在快速部署态势感知平台。网络安全态势感知与预警通报平台通常部署在地市公安局的核心网络机房,拥有需要部署硬件系统如服务器、探针,还需要安全监测、管理软件,配合大屏幕进行态势监测数据分析和展示,并使用专线对重点单位站点及业务进行监测。公安部和网信办都拥有统一的数据接口规范,将逐步构建部、省、市三级网络安全威胁数据共享与交换机制,形成覆盖全国的网络安全态势感知与预警监测通报体系。

企业级态势感知平台:企业级态势感知平台基本是基于大数据架构构建的一套安全管理系统,对各种网络安全数据(来自内网和外网)进行分析处理,为安全管理者提供资产、威胁、脆弱性的相关管理,并能提供对威胁的事前预警、事中发现、事后回溯功能,贯穿威胁的整个生命周期管理。目前企业级态势感知平台在信息化程度较高的金融行业、电信行业部署较快。

2)伴随态势感知平台发展,威胁情报作为态势感知平台有效输入,获得进一步快速增长,威胁情报作为安全服务重要信息和数据,可以对企业持续收费。威胁情报由第三方专业机构提供的网络安全威胁数据,可进行传输交换、关联分析、挖掘应用,以反映组织存在的网络威胁和安全影响,包括但不限于设备日志、报警或描述威胁事件等情报消息。威胁情报大致分为两类:1)人读情报,即提供给安全人员使用,主要描述行业综合网络态势的战略情报和描述某次攻击或者某一类攻击战术的TTP情报;2)面向机器的可机读情报,可机读情报更多为安全产品赋能,例如态势感知平台,使安全产品可以检测出更多的关键性威胁,从而提高设备检测和响应能力。当前国内威胁情报应用主要集中在IT 成熟度比较高和安全需求较高的行业,如金融、政府、能源等大型企业。大部分威胁情报业务主要为“大数据安全分析平台”或态势感知平台作支撑,和内部数据进行关联分析,实现对网络威胁的全面感知根据2017年威胁情报的各种形态带来的收入为5亿到8亿元,约占整个安全市场的1.25%2%,未来随着大数据安全分析平台和态势感知平台快速发展,2020年预计威胁情报市场规模有望超过12亿元。

3)流量威胁监测工具、APT检测工具、勒索病毒检测工具等多项检测工具。再高级的攻击都会留下痕迹,因此分析检测类工具在实际安全服务中需求量较大,比如流量分析包括:流量威胁检测、流量日志存储与威胁回溯分析,发现告警机器和终端,根据发掘的新线索进一步发掘潜在威胁。而APT检测工具能够从文件特征与行为特征两种维度进行分析检查,快速提取出APT病毒的相关信息。

4)应急响应工具箱:可以提供标准化、规范化的应急处置流程,集网络安全应急响应只是和静态漏洞库于一身,还可以进行数据关联自动化分析,将损失降到最低。通过数据自动化采集汇总主机、中间件、Web、数据库等日志数据,并调用恶意代码检查工具、APT检查工具、WebShell检查工具、暗链检查工具等,检测木马病毒、勒索病毒等攻击事件。同时采用大护具威胁情报技术对主机、服务器、应用系统等进行自动化关联分析。

四、行业龙头加大安全服务投入,安全服务市场高增长助力龙头长期发展,得安服者得大客户市场

4.1启明星辰:首提第三方独立运营,城市安全运营服务中心业务将促进公司智慧城市大数据发展,为公司提供长期发展动力

作为国内网络安全领军企业,启明星辰走在智慧城市安全建设队伍的前沿,战略布局城市级安全运营中心,为智慧城市健康运营提供强力的网络安全事件防御能力。安全运营具体内容包括:1)围绕业务系统进行日常安全监测,做好随时发现问题的准备;2)如有问题,找到问题并分析原因,定制方案进行解决;3)通过持续运营方式(人员、流程,工具,平台等等);3)定期查看指标是否达成目标。

2016年开始启明星辰已开始在全国范围布局智慧城市的独立安全运营中心建设,首次提出了以“第三方独立安全运营”作为保障网络安全的重要手段,战略布局城市级安全运营中心,为智慧城市健康运营提供强力的网络安全事件防御能力。2017年12月,国内规模最大、最具专业实力的企业级安全运营中心——启明星辰北斗成都安全运营中心正式启动,成都安全运营中心是启明星辰集团打造的首个北斗安全运营中心,也是目前全国首屈一指的安全运营中心,占地约800平米。未来城市安全运营中心一方面将为公司带来海量各领域安全数据,为公司积累城市安全大数据,促进公司长期的数据安全分析能力提升和产品研究能力提升;一方面城市运营中心也将增加公司与当地客户的粘性,通过发现当地客户基础设施和网络中存在的安全漏洞和问题,给客户提供更完善的解决方案,为公司带来安全解决方案或者安全产品订单。

作为集团公司的战略新业务,全国范围内城市安全运营业务的开展在2018年取得了良好的效果,预计2019~2020年仍然较保持高速增长。2018年公司实现安全运营中心业务订单1.5亿,收入0.5亿元。从安全运营中心的业务形式来看,城市安全运营中心订单平均签订3年,每年确认1/3收入,未来能够创造持续性的收入。针对2018年底前已建成的安全运营中心,2019年上半年基本完成基础建设并完成团队组建,开始正式运营且运营情况良好,2019年上半年新增运营业务订单过亿元。按照公司的增长目标,安全运营中心业务2019年、2020年有望分别实现200%和100%的增速,对应1.5亿元、3亿元收入规模。目前,全国运营体系已基本形成北京、成都、广州、杭州四个运营业务支撑中心及二十余个城市级运营中心,并已形成成熟的标准化运营体系,未来在持续扩大已有运营中心业务的基础上,运营中心业务将向其他二三级城市拓展,目标35个运营中心。

城市安全运营中心业务将推动公司中期业务增长。根据公司公告安全运营中心前期综合毛利率约 30%-40%,后续约能达到 40%-50%的水平。由于城市安全运营中心建设期较长,目前正处于“跑马圈地”阶段,后续随着业务量的增长,盈利能力有望逐步改善。2017年11月,公司公开发行可转换公司债券募集资金,主要用于济南、杭州、昆明、郑州安全运营中心的建设,主要包括:安全检测中心、安全应急中心、安全研究中心、咨询服务中心、终端防护中心等的投建。拟投入募集资金104,500万元,项目全部达成后,预计四地带来年均净利润为2,122.17万元、6,282.96万元、13,241.99万元、14,659.69万元。

4.2奇安信:国内安全服务市场引领者和培育者,先进安全服务理念践行者,安全服务规模目前国内第一,预计未来仍然将持续快速扩张安服规模

奇安信网络安全服务产品覆盖齐全,安服人员数量和市场份额国内第一。奇安信是国内最大网络安全解决方案提供商之一,是国内最大的安全大数据与威胁情报提供商之一,国内最大的大数据协同安全技术提供商之一,也是国内最大的网络安全服务提供商之一。公司2018年实现营业收入23.9亿元,预计2019年有望实现营业收入37亿,目前拥有约7000名员工,专门为政府、企业,教育、金融等机构和组织提供企业级网络安全技术、产品和服务,已覆盖约90%以上的中央政府部门、中央企业和大型银行。公司目前安全大数据与威胁情报,从域名信息库、存活网址库、威胁情报存储量都是国内最高。公司的攻防安全能力和攻防渗透人员规模目前均处于国内第一,公司目前约有1000人从事攻防渗透工作,约有300人从事情报分析和情报检测,全球第一,约有200人专门从事APT防护国内第一;在手机端IOS系统漏洞挖掘全球数量第一,安卓系统处于领先地位。

2018年奇安信在国内安全服务市场份额为6%,排名第一,预计公司未来安全服务人员规模将持续扩张。奇安信网络安全服务覆盖咨询与规划、安全运营服务、专业技术服务、安全演练、安全数据分析以及考试与培训等一系列业务,可提供20余项安全服务细分产品,为企业提供专业安全服务。根据赛迪咨询统计,2018年奇安信在国内安全服务市场份额为6%,排名第一。《互联网周刊》&eNet研究院联合发布了“2019企业服务(TO B)排行榜”,其中奇安信位列“2019企业网络安全服务TOP10”榜单第一名。公司目前拥有国内最大的漏洞响应平台“补天”,目前平台已经为政企客户发现了50多万漏洞,注册白帽数量达到55000人,平台注册企业超过5500家。在态势感知平台部署上,奇安信已经为政府监管部门、央企总部、金融总部部署了将近50套态势感知平台,服务的监管体系覆盖了9000多家网络安全重点保障单位,为监管部门提供监测数据情报、事件上报、监管部门公告、预警和情报的共享。在2019年11月18日国际金融安全论坛中,公司表示未来仍然将进一步扩充安全服务人员。

4.3 深信服:2018~2019年发力安全服务,安全服务能力和人员规模增长迅速,有助于公司拓展大企业和政府市场

2019年安全服务上升到公司战略高度,今年深信服安服人员规模增长迅速,未来安服团队也将持续扩大。越来越多的网络安全领导厂商意识到安全服务的战略意义,因此2019年在安服人员扩张上都比较激进。2019年深信服安全运营服务业务发展迅猛,目前安服人员规模已经超过300人(包括安全技术支持、安全咨询顾问、应急响应、等保服务、攻防研究团队、安全服务工具开发、漏洞样本分析专家等),且还在全国各地大范围扩招安全服务人员。一年来用户数量快速增长,截至2019年9月,公司服务客户超500家,覆盖政府、央企、教育、医疗等多个行业。对于IT技术强的企业,公司以API接口的方式让企业调用安全功能自行开发;对于技术能力弱的中小型企业,则提供云化的安全产品,并以远程指导的方式,让广大的中小企业用户也能够共享安全专家资源

发布“人机共智”的安全运营服务,依靠AI和大数据技术不断完善人+自动化运营服务。公司认为传统人工安全服务以人为核心,服务水平参差不齐,因此2018年Q3深信服推出“人机共智”安全托管服务,整合了专家的安全经验和机器学习进化以及永不休息的优势,通过安全运营平台的7*24小时监测,帮助用户持续评估风险。针对客户的实际业务发展需求和网络情况,深信服通过在客户网络环境中部署安全组件,将收集到的安全日志汇聚到云端平台,形成客户内部的安全信息,达到知己的状态。同时云端平台实时采集外部的安全信息,观察大环境下当前有哪些安全事件,以及这些安全事件的行为特征、攻击路径、传播方式等信息,达到知彼的状态。将内部信息和外部信息通过AI引擎自动化分析后,形成针对客户特有的威胁消息,这些威胁消息就可以去推动安全管理体系中的人员、流程去跟进处置。通过从安全组件、云端研判、云端专家形成一套7*24小时的持续、闭环、主动、动态的安全运营体系,帮助用户提前预警,快速研判,精准响应,同时提供安全体系建设规划的数据支撑,为安全建设决策提供正确决策因素。未来公司将持续把安全专家的服务经验不断进行总结和优化,将落地实践的经验以流程方式固化到安全运营平台中,让服务流程体验更好。

加大安全运营中心建设,有助于公司深入服务政府、央企和大型企业,进一步拓展客户群。过去深信服通过参与20多个智慧城市安全运营平台积累了安全运营的经验,如深圳龙华智慧城市、神木智慧城市、青岛高新区智慧城市、二连浩特智慧城市、二道白河智慧小镇等,也因此在2018年与中国电信进一步在安全运营中深入合作。2019年10月,河北新龙科技集团将与深信服签署合作协议,双方将共同投资1.2亿元,利用三年的时间在全省11个地市及雄安、定州、辛集等地建设网络空间安全运营服务中心。随着公司安全运营中心建设加大投入和不断取得新成果,有助于公司未来深入服务政府、央企和其他大型企业,拓展公司客户群,促进公司收入规模长期增长。

4.4 安恒信息:顶级安全服务能力多次受到国家部委和机关认可,新一代网络安全产品具有领先优势

安恒信息安全服务收入快速增长,云安全、大数据安全、态势感知和服务产品具有领先优势。安恒信息网络安全服务主要包括 SaaS云安全服务、专家服务、智慧城市安全运营中心和人才培养等业务,可为用户提供从安全规划、安全设计、安全建设到安全运营的一站式服务。公司是国内较早利用云计算来提供集约化安全能力服务模式的企业,公司SaaS云安全产品实现了云监测、云WAF、云DDoS清洗以及云端威胁情报的服务能力,在市场居于领先地位。同时,云安全产品搭配公司城市安全大脑、全天候“三位一体”的态势感知以及国家级网络安保团队构筑了公司智慧城市安全运营中心服务能力。2018年公司网络安全服务业务实现收入1.63亿元,同比增长77.1%,近两年复合增长率为55.3%,保持快速增长。根据赛迪咨询统计,2018年国内安全服务市场规模约为59.1亿元,公司市场份额约为2.75%,已处于国内领先位置。

2019年大数据态势感知团队受到公安部网络安全保卫局表彰,安全服务团队和平台产品表现优异。公司深耕网络安全态势感知领域多年,参与了国家级态势感知平台规划并成为主要的技术支持单位,是公安和网信行业态势感知的重要建设和推动者,以及多项态势感知行业和国家标准的制定,是业内少数能够提供从底层数据采集、处理、存储、分析挖掘和上层业务应用建设全方位综合建设能力的安全企业。截至2019年三季度,安恒态势感知平台累计成功落地的实践案例中,公安行业120+,行业主管单位30+,政企单位60+,全面领先国内同类安全厂商。全天候监测全国6000在线系统;检测300+个重要网络出口流量;发现30万+起安全隐患事件;对2万单位发起通报预警;发起整改处置8000+起。协助全国各地公安发现安全事件1000+起,成功追溯打击案件50+起,累计抓捕黑客近两百人,真正将平台用于实战化。2018年成为安全牛市场研究报告中态势感知的第一品牌。

本报告分析师:石泽蕤,计算机行业首席分析师,执业证书编号:S1440517030001。香港中文大学电子工程硕士,专注于区块链,金融科技、信息安全、云计算、人工智能等领域的研究,2017年初加入中信建投证券。2017年《新财富》、2017~2018《水晶球》、2017~2018年wind最佳分析师通信第一名团队成员。

声明:本文来自中信建投计算机,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。