网络安全行业深度研究报告:七大核心赛道全面梳理
时间:
2022-06-20 22:25:19

  目前,网络安全已经成为网络、计算、存储外的第四大 IT 基础设施,根据 Gartner 的数据统计,2020 年全球安全市场规模达 1238 亿美元。而国内安全市场,从 2013 年开始,随着国家对网络安全重 视程度的不断提升,行业基本保持在年均 20%以上的中高速增长,且 能够预见到未来 5 年也将大概率延续这一高景气度,市场规模即将达 到千亿元量级。但与此同时,中国的安全支出占 IT 支出的比重仍远 低于美国以及全球平均水平,根据 IDC 的数据,我国安全支出占 IT 支出比重仅为 1.84%,相较于美国的 4.78%还有很大差距。从中长期 看,随着安全意识乃至安全采购需求的不断转变,国内网络安全占 IT 支出比重仍有很大的提升空间。

  从安全行业的驱动因素框架来看,我们认为网络安全行业的驱动力主要来自于三个方面,分别是政策合规驱动、IT 基础架构驱动和安全攻防驱动。三大驱动因素在短期、中期、长期,对于行业在总量以及 结构上,都会产生不同程度的影响。

  第一个驱动因素是政策合规,无论在全球还是在国内,政策合规都是 安全行业最直接的驱动力,能够在短期内直接刺激行业景气度的显著 提升。从 2017 年的《网络安全法》到 2019 年的“等保 2.0”,再到今 年出台的《数据安全法》和工信部《网络安全行动计划》,政策频出 叠加近年来常态化开展的 HW 行动,都通过直接或间接的方式带动了 下游政企安全支出的不断增加。从全球市场来看,政策与合规同样也 是安全采购的核心驱动力,最典型的就是 2018 年欧盟出台的通用数 据保护条例 GDPR,GDPR 在全球范围内拥有广泛的影响力,所有涉 及在欧洲用户及相关业务的企业都会受到 GDPR 的限制。对于违反 GDPR 条例的公司,最高处罚金额达到年度营业额的 4%或 2000 万欧 元,包括万豪、英国航空、谷歌等全球知名企业都曾被处以巨额罚款。 GDPR 直接带动了相关机构安全支出的快速增长,包括德勤、毕马威、 IBM、埃森哲等全球顶尖的咨询公司的安全咨询业务在 2017-2018 年 的增长都非常的亮眼。

  第二个驱动因素是 IT 基础架构的演进,每一轮 IT 产业浪潮的背后, 都会伴随网络安全行业的快速发展。网络安全产业的第一轮快速发展 期从 1990 年前后开始到 2000 年代中期,信息化和网络基础设施的建 设带动了安全产业从 0 到 1 的发展;第二轮加速成长期从 2010 年开 始,本质上是云计算、移动互联网、物联网、工业互联网等新一轮 IT 基础设施的驱动,目前我们仍处在第二轮加速成长期的中期;展望未 来,5G、AI、万物互联以及企业的数字化转型有望驱动网络安全产业 进入第三轮快速成长期。

  第三个驱动因素是安全攻防的驱动,不同的时期存在不同的安全威 胁,而不同的安全威胁又会催生出不同形式的安全需求和安全技术。

  在 2000 年前后,病毒、木马、蠕虫是主要的安全威胁,带来对防火 墙、防病毒等安全工具的需求;到了 2007 年,应用层安全攻击包括 网页入侵、网站钓鱼等开始变得频繁,带来了 web 应用防火墙等 web 安全产品的需求,包括主打应用层安全的下一代防火墙也是在这一时 期诞生;到了 2010 年前后,网络流量攻击开始流行,催生出抗 D 的 需求;到了 2013 年前后,APT 威胁迅速升级,催生了高级威胁检测 的需求;近年来供应链攻击、勒索病毒等新的安全威胁又带来了新的 安全需求。由于安全威胁和安全攻击的长期存在,安全技术和安全工 具也会随之不断的更新迭代。

  从我国的安全行业的发展历史来看,国内安全产业从 1995 年前后开 始萌芽,到现在一共经历了两轮大的加速成长期。从 1995 年开始到 2005 年前后,在上网工程和信息化建设的驱动下,国内安全产业从 0 到 1 实现了跨越式发展,而在信息化渗透率提升到一定程度以后,行 业增速在 2008 年后开始逐渐放缓;从 2013 年开始,在云计算、移动 互联网等新一轮 IT 基础设施的驱动下,同时叠加棱镜门事件后国家 对网络安全重视程度的显著提升,具体包括国家网络安全小组的成 立,以及网络安全法,公安部 151 号令,等保 2.0,数据安全法等政 策的频繁出台,行业整体增速又重新提升到了 20%以上。

  在网络安全行业持续保持高速增长同时,行业竞争格局上仍呈现出产 品碎片化、集中度偏低的特点。根据第三方机构安全牛的分类,网络 安全行业可划分为 14 项一级安全分类,106 项二级子行业,以及近 300 家安全企业和相关机构。产业格局的碎片化导致了行业集中度偏 低,同时也限制了安全厂商成长的上限,因此无论是在全球市场还是 国内市场,一直都没有诞生真正意义上的“安全巨头”。历史上规模 最大的安全厂商,包括全球市场的赛门铁克、IBM,以及国内市场的 奇安信、启明星辰,其市占率基本处于 5%-10%这一区间,行业前五 大厂商合计占比约为 20-30%。

  什么因素导致了网络安全产业格局的碎片化?网络安全涉及到众多 的细分领域,从网络、终端、身份、数据、应用的安全,再延伸到云、 工控、物联网等不同场景下安全,解决的问题不同,所涉及的安全产 品和安全技术也会有所差异。并且用户在采购安全工具之后,还需要 在安全团队、安全策略、安全培训、安全体系等方面进行持续投入, 因此用户需求的多样化直接导致了安全产业格局的碎片化,而网络安 全的两个特性又进一步加剧了行业碎片化的格局:

  1)网络安全的木 桶原理:即信息系统整体安全水平是由安全级别最低的部分所决定 的,这意味着构建一个成熟的安全体系,必须要进行全方位的投入, 方方面面都要涉及到,不能有明显的短板;

  2)网络安全的本质是攻 防对抗:即安全威胁和攻击方式是在不断演进的,从动态视角来看, “绝对安全”并不存在,因此用户必须对新的安全技术和工具保持足 够的敏感,并且长期持续在新的安全技术上进行投入。

  行业的碎片化显著加大了网络安全公司的研究难度。过去对网络安全 公司的研究,特别是一些产品线较完整的综合性的安全厂商,很难对 其产品线做到非常细致的拆分,更多时候是对政策、渠道、订单、业 绩等进行动态跟踪,并且结合管理层、公司治理、企业文化等因素来 综合判断公司的竞争力。而对于产品线的研究,我们认为需要建立一 个更加有效的视角,通过对各个赛道的合理划分,基于“抓大放小” 的思路去进行研究。

  如何对安全赛道进行有效划分?我们认为应该基于底层技术协同和 应用场景协同,即将解决同类问题,应用同类场景的产品纳入到一个 统一的视角。而且从一个安全公司的成长路径来看,基本上都是从单 一产品出发,然后复用底层技术来扩张产品线,最后再进行跨赛道跨 领域的横向扩张,这样的划分方式也符合网络安全厂商的发展规律。 因此我们从技术栈和安全域的视角出发,将网络安全行业分为网络边 界安全、终端安全、身份安全、安全管理、数据安全、应用安全及安 全服务 7 大方向,其中:1)网络边界安全;2)终端安全;3)身份安全;4)安全管理;5)数据安全;6)应用安全;7)安全服务。

  一大传统赛道:网络边界安全。边界安全作为网络安全行业规模最大 的赛道,包含防火墙、IDPS、上网行为管理、VPN、抗 D 等多个“重量级”产品,整体市场规模在 200 亿以上,而且单看防火墙就有百亿 以上的市场规模。因此对于国内的头部安全厂商而言,网络边界安全 无疑是“兵家必争之地”。从赛道整体的成长性来看,虽然防火墙、 上网行为管理、VPN 等已经是安全行业的“老产品”,但作为政企用 户安全建设的刚需,近年来也一直保持较稳定的增长。

  两大高成长赛道:安全管理、安全服务。安全管理和安全服务是近年 来国内网络安全行业最热门的两大赛道。其中,安全管理的主要推动 力来自于态势感知的建设,并且目前的建设方向正在从监管侧转向行 业级用户,此外 AI/ML、UEBA 及 SOAR 等技术的成熟也提升了安全 管理平台的可用性,加速了安全管理平台的落地。而安全服务市场则 是受政策合规和产业升级两大因素的共同驱动,近年来的增速在不断 提升。目前头部安全厂商正在通过安全顶层设计、安全平台建设、安 全运营服务的组合,持续卡位政企用户的安全预算,因此安全管理和 安全服务两大赛道不仅具备很高的景气度,而且其战略价值也在不断 的凸显。

  1)终端安全 是国内网络安全市场最受益国产化的赛道之一,包括奇安信、亚信安 全、深信服等国产终端安全龙头厂商的份额近年来都在持续提升,而 且未来对外资厂商的替代仍有一定的空间;

  2)数据安全在今年业界 关注度最高的细分方向,伴随《数据安全法》的出台以及滴滴事件的 催化,未来政企用户在数据分级、数据治理,以及数据全流程管理、 数据保护体系的建设将成为安全支出的重点,进而带动整个赛道的景 气度的提升;

  3)身份安全包含的细分子领域较多,过去行业整体增 长较为平稳,但是随着近年来身份安全重要性的不断提升,以及零信 任在国内头部政企用户中的落地,正在牵引网络安全架构从过去的 “网络中心化”逐步走向“身份中心化”。

  新安全”和“传统安全”的关系?“新安全”是否会对“传 统安全”的研究框架造成破坏?通常情况下“新安全”可分为三大类, 即新安全场景(如云安全、工控安全、移动安全等)、新安全技术(如 EDR、UEBA、SOAR、零信任等)和新安全模式(主要为安全 SaaS)。 我们认为,新安全场景和新安全技术,很难超出网络、终端、身份等 安全赛道的基本逻辑框架,而安全 SaaS 目前已经对网络安全的产业 逻辑产生了重大影响,并带来了行业竞争格局的重大变化。

  安全新场景:新的安全场景一般包括云安全、移动安全、工业安全、 物联网安全、区块链安全等领域,虽然在场景上和传统安全场景存在 一定差异,但在这些新场景下应用的很多安全工具从底层技术上看并 没有超过“传统安全”的范畴,比较典型的就是云安全场景中虚拟化 防火墙和工业安全领域的工控防火墙,即可以概括为“用老方法解决 新问题”。可以看到虽然近年来诞生了很多专注在新场景下的新兴安 全厂商,但是头部安全厂商依然在很多新场景下占据主导地位,并且 由于很多新场景的市场空间有限,专注在单一赛道的新兴安全厂商也 会很快面临成长天花板的问题。总而言之,新场景安全给行业带来了 一定增量,但并未真正改变安全行业的竞争格局。

  安全新技术:网络安全作为一个技术快速迭代的行业,每年都会有许 多新的安全概念出现和新的安全技术诞生,但是真正像下一代防火墙 和端点检测与响应 EDR 这样能够对产业格局产生重大影响的新技术 少之又少,绝大部分的新技术最后并没有形成独立赛道和独立产品, 而是最终融入到了“传统”的安全产品中,即以“新技术融入老产品” 的方式带来了安全产业的不断进化。而且即使像下一代防火墙和 EDR 这样的“重磅产品”,最终也是逐渐融入到了防火墙和终端安全这两 大“传统赛道”之中。

  安全新模式:安全 SaaS 作为一种新兴的安全模式,与传统安全方案 相比,最大的不同在于安全 SaaS 能够通过云服务的形式将安全能力 交付给用户。相较于传统的本地部署的模式,安全 SaaS 厂商在敏捷 性、易用性、可扩展性等方面相较于传统安全厂商具备明显的优势, 目前安全 SaaS 已经成为了全球网络安全市场的重要趋势,安全 SaaS 厂商竞争壁垒的提高,提升了安全厂商成长的天花板,并且已经带来 了行业竞争格局的显著变化。

  安全 SaaS 厂商竞争壁垒的提高体现在以下三个方面,分别为:基于 轻量化部署所带来的边际成本的显著降低,基于数据在线所带来的网 络效应,以及基于云原生架构所带来的安全能力的动态迭代。

  通过对网络安全行业近 40 年发展历史的复盘能够看到,多赛道多安 全域多技术栈的特点限制了安全厂商的横向扩张,加上传统安全厂商 难以单纯依靠技术优势来建立竞争壁垒,限制了安全厂商成长的天花 板。随着全球范围内安全 SaaS 渗透率的不断提升,网络安全的产业 结构和竞争要素正在发生重大变化,在未来千亿美金规模的全球网络 安全市场,将有很大概率能够跑出收入规模超百亿美金的安全巨头。 而目前国内安全 SaaS 产业尚处在萌芽期,安全 SaaS 在边界安全、终 端安全以及身份安全等主要赛道上的渗透率还不到 1%,在未来 3-5 年,随着 IT 基础架构的不断演变,以及头部安全厂商开始在安全 SaaS 领域展开布局,安全产业云化的进程未来有望加速。

  网络边界安全指针对网络边界进行安全防护的安全软硬件,包含了防 火墙、IDPS、上网行为管理、VPN、抗 D 等多个“重量级”产品。网 络边界安全是网络安全行业规模最大的赛道,整体市场规模在 200 亿 以上。

  防火墙是企业网络边界防护的基础工具,通过在可信任内部网络与不 可信任的外部网络(如互联网)之间建立了一道屏障,以达到隔离和 保护企业内部网络,并阻断外部安全威胁的目的。

  防火墙这个术语最初是用来描述用于抵御火灾的物理形态的墙,在 20 世纪 80 年代末防火墙技术首次引入了计算机网络,发展至今已经有 30 多年的历史,其历史演变过程大致可分为以下三个阶段:

  1)防火墙的诞生:防火墙技术出现于 20 世纪 80 年代末,并在 90 年 代开始逐渐分为包过滤防火墙和代理防火墙两大分支。1994 年以色列 网络安全厂商 CheckPoint 开发出了第一个商业版本的状态检测防火 墙,正式开启了防火墙商业化的浪潮。继 Check Point 之后,Cisco 及 Netscreen 等厂商后来也成为了防火墙市场的重要参与者。在 90 年代 末,Netscreen 推出了基于 ASIC 架构的硬件防火墙。

  2)统一威胁管理(UTM):随着新型应用发展及攻击方式逐渐多样化, 安全威胁从网络层扩展到应用层,催生了用户对多功能安全网关的需 求。2004 年 IDC 首度提出“统一威胁管理”的概念,指在防火墙基 础功能之上,提供包括 IPS、反病毒、VPN 等多项安全功能,将多种 安全特性集成于一个硬件设备,代表厂商为 Fortinet。UTM 作为 “All-in-One”的安全设备在一定程度上解决了用户在进行安全规划时 需要采购和部署多个安全设备的痛点。

  3)下一代防火墙(NGFW):由于 UTM 是多个安全引擎的简单叠加 及其串行处理机制,导致了用户在开启多个功能时系统性能会出现较 大损耗。因此随着 UTM 在性能和功能上的矛盾逐渐显著,下一代防 火墙技术诞生。Gartner 在 2009 年首次定义了下一代防火墙(NGFW), 代表厂商为 Palo Alto Networks。下一代防火墙采用一体化引擎,能够 对数据流进行一次性的识别和扫描,进而降低了防火墙性能的损耗。 此外下一代防火墙在应用识别与可视化、细粒度控制等方面也要优于 UTM,因此在 2010 年后,下一代防火墙在全球范围内的渗透率开始 迅速提升。

  目前来看,防火墙市场仍然是国内网络安全大厂的“兵家必争之地”, 主要原因在于:

  1)规模大:防火墙是国内网络安全行业最大的赛道, 也是唯一一个超过百亿体量的赛道;

  2)利润率高:得益于赛道的规 模以及产品化程度,防火墙市场的利润率是网络安全行业最高的细分 赛道之一。其中最典型的就是全球防火墙龙头厂商 Checkpoint,其净 利率和 ROE 能持续多年分别保持在 40%和 20%以上;

  3)成长性好:与普遍认知有所不同,防火墙虽然是最基础的安全工具,但是近年来 一直保持着行业平均甚至略高于行业平均水平的增速,主要得益于一 方面防火墙作为政企安全建设的“标配”,将直接受益上云带来的行 业景气度提升,另一方面,防火墙对多个安全功能的集成,间接替代 了 IPS、VPN 等独立安全产品的空间。

  目前在国内防火墙市场占据主导的是以天融信、启明星辰、深信服、 奇安信为代表的安全厂商和以华为、新华三为代表的数通厂商,总体 来看,防火墙市场近年来竞争格局较为稳定。以华为和新华三为代表 的数通厂商的防火墙具备端口密度大、性能高、价格便宜等特性,主 要应用在运营商及数据中心网络出入口等场景,突出防火墙的包过 滤、NAT、访问控制等基础功能。同时,随着过去几年华为和新华三 将防火墙整合到自身的云计算整体解决方案中,其在防火墙市场的份 额有所提升。相较于数通厂商,安全厂商的防火墙产品更加强调防火 墙的安全功能,功能更加全面,能够快速跟上安全形势的变化,在企 业办公网络、中小企业及分支机构等场景则更具优势。

  IDPS(入侵检测与防御)由 IDS(入侵检测系统)与 IPS(入侵防御 系统)两类产品构成。IDS 指根据一定的安全策略,对网络和系统的 运行状况进行监控,以发现各种安全攻击的安全设备;而 IPS 则在 IDS 的基础上,具备即时阻断或隔离网络入侵行为的功能。IDS 与 IPS 在 产品功能、部署方式等方面均存在一定差异,从产品功能角度看,IDS 注重的是网络安全状况的监控,IPS 则侧重于对入侵行为的阻断,虽 然 IPS 能够实施安全防御策略,但由于其实时性要求较高,对设备性 能也有较高的要求,因此 IDS 及 IPS 均有各自的应用场景。如果用户 只需要监控网络安全的状况,则只需部署 IDS 即可,如果用户计划构 建完整的安全解决方案,即可在全网部署 IDS,同时在网络边界部署 IPS。

  在 IDPS 市场启明星辰和绿盟科技保持行业前二位置,二者分别在 IDS 和 IPS 市场保持领先。启明星辰作为国内 IDS 市场的先驱,拥有 IPS 和 IDS 两条独立的产品线,在 IDPS 市场持续多年保持行业第一。 而绿盟科技作为国内最早推出 IPS 产品的厂商,在 IPS 市场也具备很 强的竞争力。同时排名第三的新华三近年来市场份额也在不断提升, 总体来看前三家头部厂商的市场份额差距不大。近年全球 IDPS 的市 场规模呈现逐年下滑的趋势,一方面在于全球范围内随着下一代防火 墙、统一威胁管理等“All-In-One”的安全设备的渗透率在不断提升, 独立 IDPS 设备的应用场景受到挤压,另一方面,高级威胁检测相关 产品的兴起,对 IDPS 的市场造成了一定冲击。

  上网行为管理主要针对企业员工的上网行为进行安全管控,主要功能 包括网页过滤、内容审计、流量控制、防内网泄密等。上网行为管理 的诞生一方面来自于用户日益增长的上网需要和有限带宽之间的矛 盾,网络管理员需要对网络带宽资源进行分配、调节、优化,来提升 用户网络访问的速度,另一方面则是对员工上网行为进行管控,防止 与工作无关的网络访问影响工作效率、防止带宽资源滥用、管控外发 信息以降低泄密风险、记录上网轨迹以满足合规要求等。上网行为管 理作为具备较强本土特色的网络安全产品,其需求也受到相关法律及 政策制度的较大影响,包括近年来网络安全法、等保 2.0 等相关法律 法规的出台对于企业内部上网行为审计提出了更高的要求,推动了上 网行为管理市场持续稳健的增长。

  国内上网行为管理市场竞争格局较为稳定,深信服作为行业龙头持续 多年稳居行业第一,奇安信则排名第二。深信服是国内最早推出上网 行为管理产品的厂商,并且定义了 “上网行为管理”这一新的品类。 深信服一方面拥有完善的应用识别特征库和千万级的 URL 库,另一 方面通过不断研发投入持续紧跟下游用户对上网行为管理的需求,在 产品易用性以及功能丰富性上持续保持领先。根据 IDC 的数据,深信 服 2020 年市场份额占比达 21.3%。奇安信在收购了国内第二大上网行 为管理厂商网康后,在这一赛道上也持续保持第二的位置,2020 年占 比为 11.1%。此外这一赛道的头部厂商还有新华三、绿盟科技、安恒 信息等。

  DDoS(Distributed Denial of Service,分布式拒绝服务攻击)作为一 种常见的网络攻击方式,指处于不同位置的多个攻击者同时向一个或 数个目标发动攻击,通过消耗攻击目标的网络带宽或系统资源,导致 网络或系统瘫痪而无法提供正常的网络服务。而抗 DDoS 则指为了阻 断 DDoS 所使用的设备或服务。抗 D 市场主要由抗 D 硬件设备和抗 D 云服务两部分组成,根据安全牛的数据统计,二者各占抗 D 市场一半 左右的份额。其中抗 D 硬件设备的客户主要以运营商、IDC 为主,占 硬件采购市场的 90%以上,抗 D 云服务主要集中在大型互联网公司及 游戏公司,大约可占抗 D 云服务采购市场的 70%以上,剩余 30%的抗 D 云服务市场大致集中在金融行业、政府及消费级市场。

  抗 D 市场的主要参与者可分为以华为、绿盟、迪普科技为代表的硬件 设备厂商和以阿里云、腾讯云、电信云堤为代表的云服务厂商。DDoS 的实施成本较低,技术手段容易实现,因此目前已经成为了最为常见 的网络攻击方式。随着 DDOS 攻击流量和频率越来越大,全球许多大 型企业都饱受 DDoS 攻击,对于抗 DDOS 的需求也越来越强。虽然抗 D 硬件设备和抗 D 云服务各有其目标用户和应用场景,但总体来看, 由于抗 D 云服务厂商大多为运营商以及公有云厂商,能够依托自身的 网络资源来对抗大流量攻击,因此相较于抗 D 硬件设备,抗 D 云服 务近年来的占比在不断提升。

  VPN(虚拟专用网)作为常见的网络安全和网络访问工具,基本功能 主要是通过在公共网络上建立专用网络进行加密通讯,让远程或异地 员工能够实现对公司内网资源的安全访问。VPN 在大型跨国跨区域企 业及异地办公、远程办公等场景已经了得到广泛应用,近年来一方面 移动设备的快速增加推动了 VPN 市场的增长,另一方面远程办公也 成为了 VPN 增长的主要动力,特别是在疫情期间远程办公用户对于 VPN 的需求激增。在 VPN 的需求持续增长的同时,防火墙/UTM/下 一代防火墙等安全产品越来越多的集成了 VPN 的功能,独立 VPN 产 品的市场空间也受到了一定程度的挤压。

  国内 VPN 市场竞争格局较为稳定,深信服持续占据行业头部位置。深信服作为国内最早推出 VPN 的厂商,近 10 余年稳居 VPN 市场行 业龙头位置,在 VPN 产品市场具备非常强的竞争力,根据 IDC 的数 据,2020 年深信服的市场份额为 24.2%,遥遥领先于其他竞争对手。 其次启明星辰、天融信也是 VPN 市场的头部厂商,市场份额均在 10% 以内。

  终端安全指针对企业终端设备进行安全防护的工具,最主要的产品是 终端反病毒,此外还包括了终端设备控制、终端检测与响应(EDR)、 主机加固、终端漏洞评估等产品。终端安全防护的对象涉及两大类终 端,一类是 PC、笔记本电脑、移动设备,IOT 等终端,另一类是服务 器,包括物理机、虚拟机、容器和云工作负载。近年来全球终端安全 市场总体保持平稳,一方面,用户对病毒扫描、磁盘加密、设备控制 等终端安全的部分需求作系统本身内置的功能所替代,另一方面 包括 EDR 和 CWPP 等新兴技术的应用也正在带动终端安全市场的增 长。从市场规模来看,终端安全在全球范围内是一个百亿美金级的大 赛道,和防火墙在规模上处在同等量级。而在国内,由于消费级终端 安全市场商业模式的特殊性,其市场规模要远小于防火墙,规模仅在 防火墙的三分之一到四分之一。

  终端安全拥有比网络边界安全市场更“悠久”的发展历史,在互联网 诞生之前的上世纪 80 年代,病毒就已经开始通过一些硬件介质在计 算机终端之间传播,而在 80 年代末,全球防病毒产业开始萌芽。由 于传统防病毒产品是基于签名来识别恶意软件和恶意进程的,因此随 着近年来未知威胁的不断增加,防病毒对于病毒检测的效果开始逐渐 下降。以 EDR 为代表的新兴终端安全技术通过融合 AI、机器学习、 行为分析等技术,在检测未知威胁,以及针对安全威胁进行快速响应 等方面,对传统防病毒产品进行了有效的补充和优化。而在全球范围, 以 Crowdstrike 为代表的下一代终端安全厂商等凭借基于云端的轻量 化的终端安全解决方案及 EDR、威胁情报等技术,实现了对赛门铁克 等传统终端安全厂商的快速替代。

  终端安全产品具备较高的技术门槛,市场的主要参与者历史上看大多 为专业的反病毒厂商。由于反病毒引擎本身有一定的专利和技术的壁 垒,同时病毒库的更新维护需要大量的人力及其他资源的投入,因此 从历史上看少有跨界的厂商进入到终端安全市场。从国内来看,在 2010 年前,终端安全市场的参与者主要包括国产杀毒软件厂商金山、 江民、瑞星、冠群等以及国外终端安全巨头 Symantec、Trend Micro、 Kaspersky、McAfee 等。而在 360 凭借免费模式进入到杀毒软件市场 后,消费级终端安全市场的商业模式随之颠覆,360 也成为了国内消 费级终端安全市场的绝对龙头。近年来,金山、江民、瑞星等老牌厂 商的份额显著缩小,外资厂商包括 Symantec 以及 McAfee 等虽仍占据 一定的市场份额,但也呈现出逐渐下滑的趋势。

  身份安全指用于管理用户的身份和访问权限的一类软硬件产品,以确 保正确的个体,包括人、服务器、设备、API、应用,能够以正确的 原因在正确的时间访问正确的资源。身份安全一般又可称为身份与访 问管理(IAM),根据 Gartner 的分类,IAM 包含了身份管理、访问管 理、特权账号管理以及身份认证四个部分。而国内身份安全市场可以 大致分为两个大类:一类为认证类软硬件产品,包括公钥基础设施 (PKI),动态口令,数字证书,生物识别,硬件认证等产品,属于身 份安全的基础设施;另一类为集成账号、认证、授权、审计的集中管 理平台产品,一般包含 4A 平台,单点登录(SSO)等产品。而堡垒 机(运维审计系统)作为本土特色的安全产品,广义上属于特权账号 管理(PAM)的范畴,也可纳入身份安全的范畴。此外,零信任作为 新兴的身份安全架构,正在成为身份安全市场的重要组成部分。

  身份安全的基础设施类产品包含了传统硬件设备以及新兴的身份认 证技术,包括吉大正元、格尔软件、数字认证、飞天诚信等都是这一 赛道上的老牌厂商,市场竞争格局相对稳定。身份认证硬件设备主要 以设备认证、令牌和密钥 Key 为主,应用于政府、银行等重点行业, 占整个身份认证市场的绝大部分。新兴身份认证技术指生物识别、行 为分析等新兴技术,大多应用于互联网相关行业,虽然占比较小但应 用场景正在不断拓宽。身份认证基础设施类产品非常碎片化,大部分 情况是嵌入到其他产品及服务中。

  身 份 安 全的 平台类产品 即 以 4A( 认证 Authentication、授权 Authorization、账号 Account、审计 Audit)平台为代表的统一安全 管理平台解决方案,代表厂商为亚信安全。在国内市场 4A 平台主要 应用于业务系统比较复杂和信息化水平比较高的行业,包括运营商、 金融及部分企业事业单位。目前这一赛道的龙头厂商亚信在 2007 年 就发布了国内第一个 4A 产品,并在 2015 年整合了趋势科技(中国) 后,结合自身在运营商市场的业务优势,在电信等行业的身份安全市 场占据了很高的份额。此外包括启明、华为、绿盟等 综合型安全厂商以及吉大正元等身份安全基础设施厂商也都有统一 安全管理平台相关的产品线,但从份额来看要低于亚信安全。

  堡垒机(运维审计系统)作为一类特殊的身份安全产品,主要功能是 对运维人员的运维操作权限进行控制和行为审计,启明星辰、安恒信 息、齐治科技、绿盟科技、圣博润等厂商是这一赛道的头部厂商。堡 垒机通过单点登录、实时监控、全程录像和指令查询等技术,不仅可 以明确每一个运维人员的访问路径,还可以将每一次访问过程变得可 审计,实现事前的授权、事中的监控、事后的审计。随着近几年运维 安全事故的频发,越来越多的政企用户意识到组织内部人员以及第三 方运维人员的违规操作将给组织带来巨大甚至难以逆转的经济利益 损失,因此政企运维过程中的安全也成为了近年客户所关注的重点, 运维安全管理市场因此整体呈现出快速发展的态势。

  除了传统身份安全产品之外,零信任作为一种新兴的安全范式,其本 质是以身份为中心进行动态访问控制,牵引网络安全架构从过去的 “网络中心化”走向“身份中心化”。目前国内主流安全厂商都已经 推出了零信任相关产品或解决方案,而以奇安信为代表的头部安全厂 商已经开始推动零信任架构在国内头部政企用户的落地,未来零信任 将有望成为国内安全行业的重要方向。

  安全管理类主要应用于企业安全运营中心,是企业安全管理人员进行 安全运营、威胁检测乃至应急响应的平台工具产品,主要包含 SIEM/SOC(安全管理平台)、态势感知、高级威胁检测、日志审计、 漏洞管理等产品。如果说边界安全、终端安全和身份安全是网络安全 的“底座”,那么安全管理就是网络安全的“皇冠”。

  安全管理类产品中最核心的产品就是安全管理平台,安全管理平台在 国外一般称为 SIEM(安全信息和事件管理),而在国内更习惯性的称 SIEM 为 SOC 或安全管理平台,实际上这也更加突出了 SOC 或安管 平台作为企业安全运营中心(Serurity Operation Center)的技术支 撑平台的功能。SIEM 是 SIM(安全信息管理)和 SEM(安全事件管 理)的融合体,主要功能是通过搜集来自异构数据源(通常包括路由 器或交换机等网络设备、防火墙或 IDPS 等安全设备、Web 或邮件服 务器、以及各类应用程序等)的相关信息(日志,事件,流量),对 数据进行关联和分析,以检测事件、发现威胁、识别异常行为和模式, 以供后续使用(报告,审查、取证)。而最近几年在国内热度很高的 态势感知,由于其底层平台大多也是 SIEM 或 SOC,因此也属于安全 管理平台的范畴。

  随着政企用户安全建设的重心的转变,安全管理成为了近年国内网络 安全行业景气度最高的赛道。虽然 SOC 在 2005 年前后就进入了国内 市场,但与防火墙、反病毒等自动化程度较高的安全工具不同,安管 平台对于企业用户自身的安全运维能力有较高的要求。而早期国内用 户由于安全预算的不足,以及国内安全服务生态的不成熟,安管平台在国内并没有实现很好的落地。最近几年随着 AI、大数据、UEBA(用 户及实体行为分析)及 SOAR(安全编排及自动化响应)等相关技术 的成熟,降低了安全管理平台的使用门槛,因此安管平台在国内的落 地效果开始出现显著的提升。具体体现在:

  1)态势感知平台的兴起:在 2015 年公安部开始率先推进态势感知和 通报预警平台的建设,随后态势感知逐渐向电子政务、网信、金融等 行业扩散,态势感知通过可视化的监控大屏等方式,让安全管理平台 的应用效果能够被更加清晰的感知,也间接促进了安管平台的采购, 目前来看泛行业态势感知的建设仍有很大的潜在空间。

  2)高级威胁检测需求的持续提升:随着安全形势日趋严峻,对于大 中型机构而言,建立面向实战化的威胁检测与响应能力已成为网络安 全体系建设的重中之重。且近几年攻防演练活动中,以攻防为主要场 景的高级威胁检测产品已经成为众多企业用户的核心需求。

  3)安全管理能力平台的轻量化落地:过去来看 SIEM/SOC 类产品涉 及到较多的定制化,一般的采购方主要为安全预算充足的大型企业和 机构。目前以 NDR+EDR+SOAR+安全分析等多种能力形式的 XDR 解 决方案开始在中型机构中快速落地。XDR 作为 SIEM/SOC 的替代, 方案简单、轻量、易用,且标准化程度更高,未来将成为国内安全市 场的重要趋势。

  奇安信、启明星辰和安恒信息目前占据了国内安全管理平台的前三位 置,其他头部安全厂商也已经把这一赛道作为重点发力方向。前三大 厂商均具备较强的竞争优势:

  1)奇安信的安全管理类产品主要包括 了 NGSOC、态势感知和威胁感知系统天眼,奇安信作为国内最早布 局态势感知市场的安全厂商之一,目前在态势感知市场的份额排名第 一,同时凭借在安全大数据以及高级威胁检测方面的能力,公司 NGSOC 和威胁感知系统天眼也是近年来的爆款产品,综合来看公司 在安全管理类产品在国内市场占据龙头地位;

  2)启明星辰作为国内 最早开发安全管理平台产品的厂商,在 2005 年前后就推出了国内第 一代安全管理平台“泰合”,同时在 2017 年启明作为首家中国厂商进 入了 Gartner SIEM 魔力象限,在安管平台领域有非常深厚的技术沉 淀;

  3)安恒信息作为新兴安全厂商,在 2014 年前后开始将态势感知 及安全管理平台作为重要发展方向。安恒从公安态势感知平台切入, 在打造标杆效应后,目前在重要行业成功落地态势感知案例 200 余个, 在监管侧态势感知市场排名第一。同时,安恒的大数据安全平台在多 源异构数据采集、海量数据存储、安全事件溯源分析等核心技术上也 具备一定的领先优势。除了前三大厂商之外,深信服作为安全管理赛 道的新进入者,凭借成熟的渠道体系,目前市场份额也正在迅速提升, 也进入到了前五的位置。

  网络安全服务指为增强和完善用户网络信息系统所提供的一系列的 服务,通常情况下,安全服务由安全咨询、安全运营、安全集成三大 部分构成。从 Gartner 和 IDC 两大机构的统计口径来看:IDC 认为安 全服务包括安全咨询、安全运营(MSS)、安全集成、安全教育及培 训四个部分,而 Gartner 认为安全服务主要由安全咨询、安全外包(含 MSS 及驻场服务)、安全集成、硬件维护与支持四部分构成。虽然两 家机构在统计口径上存在一定差异,但无论是在 Gartner 还是 IDC 的 口径下,安全咨询、安全运营、安全集成都是最主要的三个部分,占 据了安全服务市场 90%以上的份额。

  国内安全服务市场无论从市场总规模,还是从市场结构来看,跟欧美市场相比,都存在非常明显的差距。首先在市场规模上,根据 IDC、 赛迪股份等机构的统计数据,目前国内安全服务市场总规模远低于全 球平均水平。同时在国内安全服务市场,安全咨询和安全运营等附加 值较高的安全服务占比较低,安全实施和系统集成占据了大部分的市 场份额,体现出了国内外安全服务市场在产业成熟度上的差距。

  1)缺乏 安全意识:国内许多政企客户过去网络安全预算非常有限,绝大部分 的预算都用于采购安全工具,以应付合规和审查,没有主动提升安全 能力的诉求;

  2)没有付费意愿:在国内安全咨询、安全运营等专业 服务经常被安全厂商作为采购安全设备的附赠品,企业用户甚至不需 要向安全服务单独付费,而实际上单独的咨询规划和运营服务的价格 并不低于设备采购;

  3)产业生态不成熟:国内安全服务市场从起点 上就跟欧美市场存在天然的差距,缺少类似 IBM、Dell、德勤、埃森 哲等大型厂商对安全服务市场的培育,导致国内政企用户对安全服务 的接受度普遍偏低。

  1)在政策合规和产业升级两大因素的驱动下,政企用户对安全 服务的需求正在迅速提升。安全服务目前已经成为网络安全市场热度 最高,潜在空间最大的赛道,是安全厂商的重要增长点。

  2)除了直 接采购在持续增加之外,安全服务能够有效提升用户粘性,对安全厂 商而言具备极大的战略价值。头部安全厂商也正在通过顶层设计、平 台建设以及运营服务的组合,持续卡位政企用户的安全预算。

  安全咨询作为安全服务的重要组成部分,所涉及的内容非常广泛,最 常见的安全咨询服务包括安全战略规划,安全架构设计、安全测评(等 保)及合规审计等,此外技术类服务,包括渗透测试、漏洞评估、调 查取证、应急响应、攻防演练等一般也属于安全咨询的范畴。

  安全咨询市场近年来在政策驱动下正处于快速增长期。新的安全法规 条例近年来的不断出台直接提升了用户对安全咨询的需求,包括等保 2.0、关键基础设施保护条例、密码法、网络安全审查办法以及在 2021 年即将落地的个人信息保护法、数据安全法等法规条例的相继出台, 使得政企用户对安全评估、安全测试、安全战略、安全规划的需求得 以迅速提升。同时 HW 行动及重大活动网络安保驱动了应急常态化和 防护实战化,相关企事业单位对于攻防演练、安全评估的需求也正在 持续增加。

  目前国内安全咨询市场以奇安信、启明星辰、天融信、绿盟科技、安 恒信息等安全厂商占主导。根据 IDC 的数据,2020 年奇安信以 7.2% 的市占率在国内安全咨询市场位居第一,启明星辰以 5.7%的市场份额 排名第二,天融信、绿盟科技及新华三的市占率分别为 5.6%、4.7% 及 2.6%。随着网络安全在政府和企业内部的战略层级正在不断提升, 用户对安全咨询的需求正在从过去数据安全治理、渗透测试、漏洞评 估等专项建设向顶层设计升级,安全咨询服务的战略地位也在不断提 升,包括奇安信、安恒信息、深信服、绿盟科技、启明星辰等头部厂 商都将安全咨询能力的建设作为重点发力的方向。

  托管安全服务(MSS)指通过第三方安全服务厂商的远程安全运营中 心(SOC)交付的事件监控、分析、预警、响应等一系列服务。通常情 况下 MSS 包括:

  1)远程 24/7 小时对客户侧的安全事件和相关数据源 (包括日志、流量等)进行安全监控和威胁检测(Threat Detection);

  2)漏洞(弱点)评估与管理(Vulnerability Management)服务,包括 漏洞扫描,分析和补救;

  3)对客户的 IT 安全设备和工具,包括防火 墙、IDPS、SIEM、端点安全等进行管理;

  4)对客户的安全事件进行 响应。目前许多新兴的 MSS 服务已经超出了传统 MSS 的边界,包括 威胁情报服务,托管检测和响应(MDR)服务等。此外,通过驻场人 员现场交付的安全运营服务一般被称为安全外包或安全驻场服务。

  托管安全服务市场最大的驱动力是安全产业成熟度的提升。随着产业 成熟度的持续提升,政企用户的安全重心,将逐渐从采购安全产品以 满足合规要求,转移到采购安全服务以提升安全能力,这是产业发展 的必然规律。对于国内许多头部企业而言,在经过多年的安全建设后, 继续堆设备所带来的提升已经相当有限,当前的主要问题在于如何构 建一套更为有效的安全体系,并且如何让这套体系持续高效运作,这 也将直接带来对专业安全服务厂商的安全运营服务的需求。中长期来 看,政企用户出于降低人力成本(安全厂商通过体系化管理实现规模 效应),以及应对复杂威胁和管理复杂架构的需要(专业的人做专业 的事),都将持续增加对专业安全服务的采购。

  国内托管安全服务市场以启明星辰、奇安信、安恒信息、绿盟科技等头部安全厂商占据主导。根据 IDC 的数据,2020 年,启明星辰以 13.7% 的份额排名第一,奇安信和安恒信息分别排名第二和第三。国内安全 厂商近年来将托管安全服务作为重点布局方向,而且和海外市场更为 流行 MSS 的模式所有不同,国内安全龙头厂商正在探索更加适应于 本土市场的安全运营服务,比较典型的有启明星辰和安恒信息的城市 安全运营中心,360 的城市安全大脑,奇安信的应急响应中心,以及 深信服“人机共智”MSS 服务等。

  数据安全产品指保护 IT 系统和数据不因偶然和恶意的原因遭到破 坏、更改和泄露的安全产品,主要包括数据防泄漏 DLP、数据库审计、 文档加密,数据分级、数据治理和容灾备份等产品。数据安全所包含 的细分赛道较多,其中数据防泄漏 DLP 和数据库安全是数据安全领域 最大的两个子市场,市场规模均在 10 亿以上。由于数据安全整体框 架的实施需要前期做好数据摸底和数据分级,因此目前主要应用在企 业信息化水平和对保密要求较高的行业。随着《数据安全法》的出台 以及滴滴事件的催化,数据安全在今年成为网络安全行业关注度最高 的细分方向之一,政企用户在数据分级、数据治理,以及数据全流程 管理、数据保护体系的建设预计将成为安全支出的重点,包括在金融、政府等关键部门,以及电信、能源、医疗等行业都有着迫切的数据安 全建设需求。

  数据安全市场目前还是呈现出比较碎片化的特点,参与者既包括启明 星辰、绿盟科技等综合性的安全厂商,也包括许多垂直的数据安全厂 商,尚未形成绝对意义上的行业龙头。但未来随着下游用户对于数据 安全体系化建设重视程度的不断提升,头部厂商的优势将更加明显。

  数据库安全是数据安全的重要子市场,包含了数据库审计、数据库防 火墙、数据库加密、数据脱敏等多种安全产品,其中数据库审计是最 主要的产品。数据库审计的主要功能在于对数据库的访问行为进行监 管,通过镜像或探针的方式采集所有数据库的访问流量,记录下数据 库的所有访问和操作行为,在发生数据库安全事件(例如数据篡改或 泄露)后为事件的追责提供依据,并针对数据库操作的风险行为进行 告警。

  数据库安全审计市场的前两大厂商为启明星辰和安恒信息。启明星辰 持续多年保持数据库审计市场排名第一的位置,而安恒信息的市场份 额近年来持续提升,2017 年至今排名第二。同时以 IBM、Imperva、 Oracle 等为代表的国外厂商在银行等高端市场仍具备较强的竞争优 势,未来国产厂商在数据库安全市场仍存在一定的国产替代空间。

  数据防泄漏 DLP 指通过加密、隔离、内容识别、用户行为分析等, 防止敏感及重要数据在存储、传输及应用环节下被丢失或滥用。除了 DLP 之外,数据安全还包含文档安全、磁盘加密、数据库安全、容灾 备份等产品。目前 DLP 已经在政府及军工等保密机构、科研及制造业 等知识产权保护程度较高的企业得到了广泛应用。除了 DLP 整体解决 方案之外,部分数据泄露防护技术也可以作为功能组件包含在终端安 全、Web 安全相关产品中。根据赛迪顾问的数据,亿赛通(绿盟科技 子公司)以 17.1%的份额连续多年在 DLP 市场排名第一。此外 DLP 市场的头部厂商还有明朝万达、北信源、联软科技等。

  应用安全指针对应用程序进行防护的安全工具,而 Web 作为最重要的一类应用,是应用安全的重要组成部分。Web 安全包含了 Web 应 用防火墙(WAF)、网页防篡改、Web 反恶意软件、Web 内容过滤、 Web 扫描器等在内的多个产品,其中 Web 应用防火墙(WAF)是最 重要的产品。和防火墙不同,WAF 主要工作在应用层,作用于对非法 请求进行拦截,对非法连接进行阻断,从而使网站能够抵御各类如 DDOS、SQL 注入、Webshell 等攻击,对 Web 服务器进行保护。

  WAF 市场目前也主要分为传统的软硬件 WAF 及云 WAF。目前 WAF 已经成为网络安全市场云化程度最高的赛道之一,根据安全牛的数 据,目前国内 WAF 市场的云化比例已经超过 30%,且这一占比还在 不断提升,软硬件形态的 WAF 的市场空间则受到了一定程度的挤压。

  绿盟科技、安恒信息、启明星辰占据软硬件 WAF 市场前三位置,云 WAF 市场阿里云占据近一半份额。绿盟和安恒信息作为国内最早进 入 Web 应用安全的厂商,目前依然保持明显的头部优势,且安恒信息 的份额近年来仍在持续提升。以阿里云为代表的公有云厂商能够结合云抗 D、云安全托管、CDN 等多种云上服务向用户进行交付,相较于软硬件 WAF,云 WAF 厂商 的优势正在逐渐凸显。