2021年中国网络安全集成服务基础能力探析

1www.leadleo.com2021年中国网络安全集成服务基础能力探析2021 China Cyber Security Integrated Service Capabilities Research Report2021年中国ネットワークセキュリティインテグレーションサービス基礎能力の研究报告标签：网络安全、集成服务、检测响应报告作者：唐英杰2021/02报告提供的任何内容（包括但不限于数据、文字、图表、图像等）均系头豹研究院独有的高度机密性文件（在报告中另行标明出处者除外）。未经头豹研究院事先书面许可，任何人不得以任何方式擅自复制、再造、传播、出版、引用、改编、汇编本报告内容，若有违反上述约定的行为发生，头豹研究院保留采取法律措施，追究相关人员责任的权利。头豹研究院开展的所有商业活动均使用“头豹研究院”或“头豹”的商号、商标，头豹研究院无任何前述名称之外的其他分支机构，也未授权或聘用其他任何第三方代表头豹研究院开展商业活动。1 2©2021LeadLeowww.leadleo.com头豹研究院简介头豹研究院是中国大陆地区首家B2B模式人工智能技术的互联网商业咨询平台，已形成集行业研究、政企咨询、产业规划、会展会议行业服务等业务为一体的一站式行业服务体系，整合多方资源，致力于为用户提供最专业、最完整、最省时的行业和企业数据库服务，帮助用户实现知识共建，产权共享公司致力于以优质商业资源共享为基础，利用大数据、区块链和人工智能等技术，围绕产业焦点、热点问题，基于丰富案例和海量数据，通过开放合作的研究平台，汇集各界智慧，推动产业健康、有序、可持续发展300+50万+行业专家库1万+注册机构用户公司目标客户群体覆盖率高，PE/VC、投行覆盖率达80%资深分析师和研究员2,500+细分行业进行深入研究25万+数据元素企业服务为企业提供定制化报告服务、管理咨询、战略调整等服务提供行业分析师外派驻场服务，平台数据库、报告库及内部研究团队提供技术支持服务地方产业规划，园区企业孵化服务行业峰会策划、奖项评选、行业白皮书等服务云研究院服务行业排名、展会宣传 园区规划、产业规划四大核心服务： 3©2021LeadLeowww.leadleo.com报告阅读渠道头豹科技创新网——www.leadleo.comPC端阅读全行业、千本研报头豹小程序——微信小程序搜索“头豹”、手机扫上方二维码阅读研报图说表说专家说数说详情请咨询添加右侧头豹研究院分析师微信，邀您进入行研报告分享交流微信群 4摘要聚焦网络安全：中国网络安全集成服务基础能力几何？在信息化深入各行业的过程中，网络安全成为首要重要的问题。中国网安市场增长迅速且远未饱和，市场结构也正处于产品向服务转型的过程中。本报告聚焦网络安全服务领域，从中国网络安全集成服务基础能力的角度去分析中国网安行业的发展情况。处于当前严峻的网络安全形势中，网络安全的防护重心由布置安全产品转向网络安全攻防的能力，防守方安全能力主要体现在威胁检测和应急响应的环节，本报告分别分析了这两个环节里的中国网安行业的技术发展和中国网安厂商的实际应用情况，从而探析安全集成服务理论技术层面及应用层面的能力。1. 中国网络安全行业处于起步阶段，安全服务未来前景大•网络安全总需求提升叠加市场由安全产品向安全服务转型，安全集成服务未来前景大：（1）中国网安行业起步晚，增长迅速且行业还远未饱和，处于行业追赶期，未来整体网络安全需求大。（2）强合规需求、云安全需求、新安全理念三大因素驱动中国网安行业由注重静态硬件部署转为注重攻防对抗能力，从而向主动防御、动态防御、一体化防御的方向发展。这需要覆盖各个细分领域的技术和产品，以及专业网安人员的运营，一般企业无法自己满足这些需求，因此网安行业服务化是大趋势。2.网络安全的本质是攻防对抗，攻防对抗能力是网安行业的实际安全能力•简单堆叠硬件产品已经无法解决当下的安全问题，购买安全产品在攻防对抗里发挥作用才是关键所在。衡量威胁检测和应急响应能力的关键指标分别是MTTD和MTTR，网络安全厂商们大力发展的威胁情报技术、SIEM、SOAR等均是用于改善MTTD和MTTR两个指标。3. 中国综合网安厂商和云服务提供商集成服务基础能力较强•综合网安厂商技术积累深厚，产品线齐全，有能力覆盖网安各个细分领域，提供安全集成服务，为企业提供一体化、协同、智能的防护；云服务厂商凭借其在自有云端的海量高质量安全大数据及与自身云平台的高度协同，在云安全领域有较强的集成服务能力。 5©2021 LeadLeowww.leadleo.com名词解释----------------------------------------06中国网络安全集成服务行业现状•定义及分类----------------------------------------07•市场增长速度及规模预测----------------------------------------08•中外市场结构对比----------------------------------------09•中国网络安全市场竞争格局----------------------------------------10•供应端：主要厂商分类及优势分析----------------------------------------11•需求端：主要客户分类及特征分析----------------------------------------12中国网络安全集成服务行业驱动因素•强合规需求----------------------------------------13•云安全需求----------------------------------------15•新安全理念需求----------------------------------------17从技术发展探析中国网络安全服务能力•检测和响应时间是衡量安全能力的关键标准----------------------------------------18•威胁检测技术能力探析----------------------------------------20•应急响应技术能力探析----------------------------------------23从安全厂商能力探析中国安全服务能力•奇安信基础能力分析----------------------------------------25•启明星辰基础能力分析----------------------------------------26•阿里云安全基础能力分析----------------------------------------27•腾讯云安全基础能力分析----------------------------------------28方法论----------------------------------------29法律声明----------------------------------------30目录CONTENTS 6©2021 LeadLeowww.leadleo.comwww.leadleo.com等保2.0：全称网络安全等级保护2.0制度,是我国网络安全领域的基本国策、基本制度云计算：是基于互联网的相关服务的增加、使用和交互模式，通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。云是网络、互联网的一种比喻说法公有云：是指第三方提供商为用户提供的能够使用的云。公有云一般可通过互联网使用，可能是免费或成本低廉的，公有云的核心属性是共享资源服务私有云：私有云的设施只提供给一个包含许多用户的组织单独使用。它可以被该组织、第三方或两者共同拥有、管理和操作，并且可以是内置或外置的MTTR：Mean-Time-To-Resolution，平均响应事件，网络安全事故从被首次发现到最终被安全运营人员解决之间的时间跨度MTTD：Mean-Time-To-Detection，平均检测时间，攻击者使用战术和技术在目标网络上首次获得立足到最终被网络或终端安全设备检测出来所持续的时间Kill Chain：杀伤链，洛克希德·马丁公司开发的“网络杀伤链”模型描述了网络攻击从最早的阶段，从侦察到最终的阶段即数据提取。杀伤链有不同的步骤描述网络攻击的各个阶段生命周期IDS：IntrusionDetectionSystem，入侵检测系统，是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备SIEM：Security Information and Event Management，安全信息和事件管理，为来自企业和组织中所有IT资产（包括网络、系统和应用）产生的安全信息（包括日志、告警等）进行统一的实时监控、历史分析，对来自外部的入侵和内部的违规、误操作行为进行监控、审计分析、调查取证、出具各种报表报告，实现IT资源合规性管理的目标，同时提升企业和组织的安全运营、威胁管理和应急响应能力NTA：NetworkTrafficAnalysis，网络流量分析：通过监控网络流量、连接和对象来识别恶意的行为迹象痛苦金字塔：DavidBianco提出的模型，用于对IOCs进行分类并描述各类IOCs在攻防对抗中的价值SOAR：Security Orchestration, Automation and Response ，安全编排自动化与响应，是一系列技术的合集，它能够帮助企业和组织收集安全运维团队监控到的各种信息（包括各种安全系统产生的告警），并对这些信息进行事件分析和告警分诊。然后在标准工作流程的指引下，利用人机结合的方式帮助安全运维人员定义、排序和驱动标准化的事件响应活动名词解释 7©2021 LeadLeowww.leadleo.com来源：中国信通院，头豹研究院编辑整理网络安全集成服务定义及分类网络安全行业分类1.1 定义及分类•网络安全集成服务将硬件软件及服务有效集成，为客户提供一体化服务，提高客户网络安全性网络安全集成服务是指技术服务提供商按照网络安全工程规范，结合用户业务风险，把安全硬件、安全软件、安全服务等有效集成到用户信息系统，提高信息系统自身安全防护能力的过程和方法网络安全集成服务定义安全产品与服务安全系统安全管理系统安全监测与分析系统安全服务安全集成安全管理与检测安全咨询安全培训其他应用场景云安全移动互联网安全终端安全工控安全大数据安全5G安全应用安全物联网安全区块链安全数据安全基础安全网络安全基础技术身份认证密码安全审计 8©2021 LeadLeowww.leadleo.com来源：头豹研究院编辑整理从客户层面看，配合完成国家政策目标可能性极高：网安行业是客户驱动型，且下游政企大客户占比超65%，配合政策意愿强，政策目标达成可能性极大从政策层面看，近年颁布的重大网安政策将加速促进行业发展，市场规模增速预计提高：工信部表示2020年中国网安产业规模较2015年翻一倍，复合增长率为15%。但以等保2.0为代表、对网安建设提出硬性要求的政策2019年才开始颁布，且2019年当年网安行业市场规模同比增速就提升至50%，相比之前有明显加速，因此22.2%的增速预测较为保守合理从新应用场景和安全形势看，应用场景的扩张和安全形势的严峻化都将提升网安实际需求：当前网安应用场景在以“云大物移”为代表的新技术驱动下不断扩张，且以APT为代表的高级网络攻击日益增加，安全形势严峻，网安需求将随之增加1.2 中国网络安全市场增长速度及规模预测•中国网安市场处于高增速低饱和的追赶阶段，即将成为世界第二大网安市场，中国厂商未来发展空间辽阔2016年-2020年全球各地区网安支出增长速度比较中国网安支出低于世界平均水平：目前中国网络安全支出仅占IT总支出的2%，远低于美国的4.5%和全球平均的3.8%中国网安支出增速高且行业空间巨大，发展潜力大：中国网安支出近