中国云安全行业研究报告中国云安全发展环境中国云安全行业洞察中国云安全厂商案例中国云安全发展趋势概念界定融合云技术采用云交付保护云资源及云应用的安全产品云安全是传统信息安全行业技术的升级产品的丰富也是云计算部署的焦点服务的关键因此云安全是云计算与信息安全相互赋能所孵化的新概念其一云安全是云计算技术在安全领域的应用即云安全应用目的是利用云计算特征将传统安全产品云化来提供更能满足个人或行业需求的网络安全解决方案或安全服务其二云安全是安全技术在云计算领域的应用即云自身安全目的是应用安全技术解决云计算的安全问题包括云基础设施安全云计算资源安全云计算操作系统安全云计算应用软件安全用户信息安全等提升云服务的可靠性促进云计算行业的健康良性可持续发展云安全概念界定防护目标保护云计算基础设施或防护部署在云平台的相关应用技术能力结合云计算技术融合数智化工具具备云计算弹性敏捷等特征交付模式采用云交付模式可按需按量按时长付费并可根据云服务形式和部署模式不同灵活提供选择产品来源艾瑞咨询研究院自主研究及绘制云安全与传统安全差异内深外宽边界模糊数智工具责任共担不论是云安全应用还是云自身安全云安全与云计算紧密相连云计算与传统计算在理念与技术上存在显著差异系统平台开放化计算网络存储虚拟化数据所有权与管理权分离化等云计算的显著特征导致传统的安全措施并不能满足云安全的需要虽然云安全与传统信息安全相似均是为了保护计算资源与信息数据的安全性但是云服务提供商与传统安全厂商在设计云安全产品或提供云安全解决方案时应着重考虑云安全威胁的多样性与需求的独特性云自身安全与传统安全比较云安全安全内容云计算相关安全内容更加广泛需要格外关注虚拟化技术带来的安全挑战网络存储服务器虚拟化等传统安全传统的安全解决方案不考虑虚拟机安全云计算系统部署在包括大规模物理基础设施数据中心中其复杂性使安全问题并不局限在单一设施而是完整的系统安全传统的安全解决方案关注单机安全安全边界云计算的发展使云计算的应用场景不断拓展产品界限不断模糊安全解决方案往往不局限某一模块而是根据用户需要提攻供合解决方案传统的安全方案可以清晰划分出物理与程序的安全边边界安全技术云自身安全技术需要考虑云计算的分布式计算与存储网格式网络以及虚拟化与虚拟化管理平台等传统的安全方案主要关注安全软件技术和安全硬件技术面对安全风险往往采用后期升级或者补丁的形式安全技术并不复杂安全管理云自身安全管理复杂灵活需要根据部署模式与服务模式差异进行调整同时需要与租户及监管等多方配合传统的安全解决方案实施与管理相对简单清晰安全管理往往是用户承担主要责任安全规模来源艾瑞咨询研究院自主研究及绘制云安全行业发展历程由独立产品到综合解决方案由通用安全功能向定制化发展与云计算行业当前的云网端业务发展模式相反云安全行业的发展可以概括为端网云围绕主机安全为主的单机安全阶段安全防护措施主要以主机病毒查杀软件为主伴随互联网的出现网络安全逐步成为安全行业关注焦点网关类安全产品陆续出现安全防护重点从局域网逐步拓展至广域网云计算时期早期行业安全建设相较于云计算发展相对滞后产品类型仍以网关类为主主要依靠升级传统安全工具来适配云计算安全需求产业互联网时期云计算广泛渗透云安全伴随企业上云加速成为关注焦点在技术上云安全产品更立足于云计算特性并融入数智化工具在实践中产品能力进一步打通可根据行业特征及企业业务特性提供更强定制化能力云安全发展历程单机安全以主机病毒查杀软件网络安全云安全独立产品云安全协同方案安全范围从局域网走向广域网以网关类产品为主主要依靠升级传统安全工具来适配云计算安全需求立足于云计算特性融入数智化工具提供更强定制化能力来源艾瑞咨询研究院自主研究及绘制云安全发展特征供给中国云服务行业加速发展云安全较云行业增长存在滞后性伴随产业互联网发展中国云计算行业整体迎来发展加速期市场规模屡创新高行业应用不断落地伴随着云计算逐步成为数字经济的技术底座企业数字化转型的关键基础设施云计算所面对的潜在风险也显著提升从至年新增云计算通用组件漏洞增速达到漏洞数量的增多主要源于云计算已走出互联网行业向更多传统行业加速渗透应用场景更丰富导致所面临的安全威胁和攻击手段更加多元年中国整体云服务市场年中国新增云计算规模及增速通用组件漏洞数量及增速整体云服务市场规模亿元新增云计算通用组件漏洞数量个整体云服务市场增速来源艾瑞咨询研究院自主研究及绘制新增云计算通用组件漏洞增速来源艾瑞咨询研究院自主研究及绘制云安全发展特征需求伴随企业上云用云深化云安全关注度显著提升安全性长期是企业上云用云必须要考虑的内容在用户调研中位列企业上云挑战首位根据企业上云阶段不同在上云早期虽然企业首先聚焦于如何搭建和使用云计算但对其他云模块关注较为平衡但在企业用云扩张阶段上云中期和在完全上云后企业对云安全的关注显著提升由此可见云安全既是企业实现快速业务拓展的有效支撑也是保障业务顺利推进的可靠保障坚实的安全底座是企业助力企业更好发挥云服务能力的关键年全球不同上云阶段企业用云挑战年全球不同规模企业上云挑战安全性云支出管理合规缺少资源专业能力治理自带许可管理云迁移多云管理上云早期上云中期完全上云治理缺少资源专业能力云支出管理缺少资源专业能力安全性安全性云迁移云支出管理治理安全性治理合规云支出管理自带许可管理缺少资源专业能力来源艾瑞咨询研究院自主研究及绘制云安全市场规模云安全市场空间广阔产业升级政策利好提供增长机遇中国云安全市场相较于整体云市场体量较小增长空间广阔在云计算发展早期云安全发展相较云资源与云能力产品发展存在滞后性且安全产品及安全服务提供者集中于云服务厂商伴随产业互联网深化云计算广泛渗透带动云安全产品布局加快一方面云行业推动云安全产品与时俱进适用场景扩大用户需求提升另一方面传统安全厂商陆续开始布局云安全领域最后中国云安全产业具有较强政策导向近年来网络安全法网络信息安全等级保护数据安全法的出台驱动企业关注提升安全能力扩大安全领域支出年中国云安全市场规模中国云安全市场规模亿元中国云安全市场增速备注市场规模主要以狭义的云安全产品为主主要包括云基础资源安全产品云主机安全云原生安全云堡垒机网络安全产品中云云网络防火墙业务安全中云云厂商所提供的安全产品模块中数据安全产品业务安全产品安全服务除以上的泛云安全领域的产品及服务并未计入市场规模统计中来源互联网公开资料专家访谈艾瑞咨询研究院自主研究绘制中国云安全发展环境中国云安全行业洞察中国云安全厂商案例中国云安全发展趋势中国云安全行业洞察产品服务云安全产品结构身份安全应用及业务安全安全服务数据安全网络安全安全运营基础云资源安全物理设施安全备注由于物理设施安全主要由安全厂商云厂商或企业自行负责建设因此不作为独立云安全产品在本报告中讨论来源艾瑞咨询研究院自主研究及绘制云基础资源安全伴随云原生应用下沉云原生安全逐步成为云基础安全重点云原生技术经过长足发展已逐步被广泛应用并逐步突破容器微服务等领域开始形成更完整的云原生产品架构云原生的应用在显著提升云计算产品能力的同时也带来的更为复杂的安全需求传统的安全防护理念非原生化的安全产品与服务均不能满足云原生安全需求为保障云原生安全需要更深刻理解云原生架构熟悉云原生特点针对针对云原生不同产品特性提供针对性安全对策并从下至上构建完整解决方案主机安全主机安全云堡垒机基础云资源安全产品漏洞扫描云原生安全容器安全零信任架构云原生安全发展重点及安全架构以云原生架构构建服务针对云原生产品特性搭建防御体系并利用云原生工具开发安产品基于云原生网络安全边界更模糊需要依托零信任理念打造适应动态灵活的安全安全模型云原生应用安全云原生数据安全安全运营运行环境安全零信任网络安全安全管理容器与编排工具安全基础安全来源艾瑞咨询研究院自主研究及绘制基于安全前置理念将安全能力与安全资源在软件开发中注入并打通开发及运维各环节来源艾瑞咨询研究院自主研究及绘制云基础资源安全产业图谱云主机安全堡垒机容器安全综合云厂商备注图谱中综合云厂商表明该厂商针对该领域业务场景均提供广泛的产品与服务支持其他业务板块中云厂商表明该厂商更专注于某一细分业务场景来源艾瑞咨询研究院自主研究及绘制网络安全用云化的方式解决云生的网络安全威胁更行之有效从传统网络安全时代攻击便因为效果显著难以抵御和追踪成为黑客进行网络攻击的主要选择伴随云计算的普及一方面云平台成为新的攻击对象另一方面云也被利用作为扩大网络攻击效果的工具面对以云平台为媒介发起的攻击传统抗方式受限于资源性能很难化解突发大流量攻击而为抵御攻击而投入的设备和人员成本也非常高昂因此在云计算时代针对云生的网络安全风险企业应该选择云上的安全工具应对才能事半功倍年中国境内云平台遭受各类网络安全事件占比云受攻击防护网络安全产品被篡改网站数量占比被植入后门网站数量占比大流量攻击事件占比年中国境内云被利用发起各类网络攻击事件占比云防火墙云被利用承载恶意代码数量占比发起攻击次数占比入侵检测被用于植入后门网站数量占比来源艾瑞咨询研究院自主研究及绘制来源艾瑞咨询研究院自主研究及绘制网络安全产业图谱防护云防火墙网络入侵检测综合云厂商备注图谱中综合云厂商表明该厂商针对该领域业务场景均提供广泛的产品与服务支持其他业务板块中云厂商表明该厂商更专注于某一细分业务场景来源艾瑞咨询研究院自主研究及绘制数据安全数据风险具有普遍性需针对数据全生命周期构筑安全防御在产业互联网背景下数据已经被定义为新一代生产要素伴随着网络安全等级保护大数据基本要求中华人民共和国数据安全法等相关法规的出台数据安全已成为企业和个人在提供和使用信息技术产品于服务是着重考虑的要素在数据体量庞大种类复杂的大数据时代单一数据安全产品很难有效解决数据安全问题需要搭配多种数据安全工具围绕数据生命周期各环节构建数据安全解决方案才能有效降低数据安全风险云加密机密钥管理年中国数据安全事件类型占比数据安全产品数据脱敏数据备份与恢复数据库安全数据泄露勒索攻击数据损毁数据篡改年安全事件类型占比年中国数据泄露各阶段占比数据防泄露证书销毁来源艾瑞咨询研究院自主研究及绘制其他年安全事件类型占比数据安全管理交换使用存储占比传输采集来源艾瑞咨询研究院自主研究及绘制数据安全产业图谱云加密机证书证书管理秘钥管理数据安全管理数据库安全数据脱敏数据防泄漏数据备份与恢复综合云厂商备注图谱中综合云厂商表明该厂商针对该领域业务场景均提供广泛的产品与服务支持其他业务板块中云厂商表明该厂商更专注于某一细分业务场景来源艾瑞咨询研究院自主研究及绘制应用和业务安全结合业务场景特性融合数智化工具有效打击黑灰产业业务安全主要用于解决由于企业某些业务场景中存在逻辑漏洞导致被不法分子利用获取利益的行为业务安全相较于基础安全产品与企业业务场景与业务需求耦合的更为紧密因此有效的业务安全产品需要以深入理解业务场景为前提此外相比于其他黑客攻击更多是技术类风险黑产更多是针对资源类的威胁因此针对企业上云后用户资源数据资源等