股 票 研 究 计算机 [Table_MainInfo] [Table_Title] [Table_Invest] 评级： 2019.06.02 增持 上次评级： 增持 态势感知，预见未来 行 业 专 题 研 究 [Table_subIndustry] 证书编号 杨墨（分析师） 李沐华（研究助理） 相关报告 [Table_Report] 021-38676694 010-59312799 yangmo@gtjas.com limuhua@gtjas.com S0880517040004 S0880117080162 计算机： 《贸易战对计算机影响有限，激发 自主可控市场繁荣》 2019.05.26 计算机： 《首批企业利润增速和毛利率水平 较高》 2019.05.19 计算机：《等保 2.0 已落地，聚焦态势感知 新市场》 2019.05.19 计算机：《等保 2.0 即将发布，触发百亿新 增市场》 2019.05.12 计算机： 《基本面无虞，推荐金融 IT、云计 算等高景气领域》 2019.05.05 本报告导读：等保 2.0 如期落地，网络安全行业将从被动防御转向主动防 御，态势感知产品成为刚需，细分领域迎来发展良机。 m o c . 5 摘要： [Table_Summary]  态势感知的本质是主动防御，在未出现安全事件前预知威胁存在，是 传统被动防御策略的改进。态势感知原本是军事概念，引入信息安全 领域用来指代通过大数据技术来分析多个数据源的数据，以实现能够 在攻击方在实施攻击前就发现威胁并对风险进行处理。 证 券 研 究 报 告  目前市场上态势感知产品的需求方可以分为监管机构和企业两种。 一类是监管机构，它们受《网络安全法》的要求，必须建设态势感知 平台来实现对本地区或本行业关键信息基础设施的监控、通报和预 警。第二类是企业需要用态势感知产品来强化自己的安全能力，对内 网进行监控，它们更重视产品的效果，目前企业里最大的需求方是能 源企业。  传统安全厂商具备态势感知能力，但新兴厂商发展势头依然迅猛。目 前态势感知行业领军的是成立十年左右的新兴安全企业，它们面对新 的市场机会敢于投入，对于新技术的研发更加积极。根据安全牛的排 名，安恒信息和奇安信位居态势感知行业影响力前两名。此外，一些 仍然处于早期融资阶段的创业公司也在态势感知领域具备影响力。  投资建议：态势感知是新兴的网络安全细分领域，监管行业渗透率已 过拐点，处于高速成长期，企业渗透率尚且处于早期。传统网络安全 巨头、中生代企业和创业公司各具优势，未来一段时间市场仍将呈现 百花齐放的状态。推荐网络安全头部公司启明星辰、绿盟科技、深信 服、中孚信息。  风险提示：政策端发生变化的风险；新技术的颠覆性创新风险 b u h t i g 请务必阅读正文之后的免责条款部分 行业专题研究 目 录 1. 态势感知，从被动防御转向主动防御 ................................................. 3 1.1. 态势感知是被引入信息安全领域的军事概念 .............................. 3 1.2. 态势感知改变了传统被动防御的策略 .......................................... 3 1.2.1. 传统安全产品以单点防护为主 ............................................... 3 1.2.2. 态势感知的前提是对传统单点安全产品进行管理 ............... 4 1.3. 态势感知的目的是提前发现和解决问题 ...................................... 6 2. 渗透率视角：态势感知监管机构渗透率已过拐点 ............................. 7 2.1. 2020 年态势感知市场空间将达到 50 亿 ....................................... 7 2.2. 监管机构：对外网进行监控 .......................................................... 7 2.3. 企业端：对内网进行监控 .............................................................. 9 3. 市占率视角：“老中青”三代厂商同台竞技 ....................................... 10 3.1. 市场矩阵图能说明什么问题 ........................................................ 10 3.2. 新兴厂商大力投入研发态势感知产品 ........................................ 12 4. 投资建议 ............................................................................................... 14 5. 风险提示 ............................................................................................... 14 m o c . 5 b u h t i g 请务必阅读正文之后的免责条款部分 2 of 15 行业专题研究 1. 态势感知，从被动防御转向主动防御 1.1. 态势感知是被引入信息安全领域的军事概念 态势感知本身是一个军事概念，最早是美国空军提出来用于分析空战环 境来对当前和未来形势作出判断的一种方法，于上世纪九十年代被引用 到信息安全对抗领域。目前对态势感知普遍采取的定义是系统工程学博 士 Endsley 所给出的，即态势感知是感知大量的时间和空间中的环境要 素，理解它们的意义，并预测它们在不久将来的状态。网络安全态势感 知本质上是获取大量的网络安全数据，对其进行关联分析以理解当前的 安全状态，并且对未来的安全状态进行预测。把态势感知引入到安全领 域的目的是可以让防御一方能更好的知道现在的形势，并且还能帮助防 御者对未来发展方向做一个预判，这样防御方就能更好的制定防御策略。 图 1：态势感知的三个子要素 m o c . 5 b u 数据来源： 《网络安全态势感知研究综述》 ，国泰君安证券研究 h t i g 1.2. 态势感知改变了传统被动防御的策略 1.2.1. 传统安全产品以单点防护为主 传统的网络安全产品核心理念是被动防御。以防火墙、防病毒软件和入 侵检测/防御为代表，传统网络安全产品的设计理念是被动防御和单点防 护。  防火墙。防火墙是基于内外网隔离的理念进行防护的，也就是建一 面“墙”圈出一个内部网络来，它的防御方法是假定内部网络可信 外部网络不可信，然后根据包过滤机制制定访问控制策略，只允许 “合格”的数据进入内网，防火墙是根据数据包的起点和终点（IP 地址、端口号等信息）来把关内外网“大门”的；  入侵检测。IDS/IPS 一定意义上可以看成防火墙的衍生品。它一般是 要部署在在流量必经的链路上对网络流量进行监测，常见的一种比 喻是： “如果把防火墙看做大楼的门锁，IDS 就是大楼的监控系统”， 根据部署方式不同，IDS/IPS 可以分为基于网络的和基于主机的，根 据监测方法和安全策略的不同，IDS/IPS 可以分为异常入侵监测和 误用入侵检测。 表 1：入侵检测有两种监测方法 异常入侵检测 误用入侵检测 行为模型 建立正常行为模型 建立入侵行为模型 安全策略 告警不符合模型行为 告警符合模型行为 请务必阅读正文之后的免责条款部分 3 of 15 行业专题研究 优点 关键问题 可检测未知攻击 准确率高 具有自适应、自学习能力 算法简单 要建立完整的攻击特征库 要选择“正确”的行为特征 要选择合适的统计算法、统计点 特征库要不断更新 未知攻击无法识别 数据来源：CSDN，国泰君安证券研究  防病毒软件。防病毒软件是一种通过实时监控和磁盘扫描的方式把 文件和自身的病毒特征库进行对比，来发现和消除恶意程序。因为 病毒一般都是通过个人终端进行传播的，为了避免病毒通过办公区 域的终端绕进内网，一般都会在办公区域的终端侧部署防病毒软件。 1.2.2. 态势感知的前提是对传统单点安全产品进行管理 SOC/SIEM 是基础安全产品的管理工具。当企业分了不同的区域进行防 护，装上了各种各样的设备，复杂性的提升就带来了体系化管理的需求， 目前我国有安全管理建设需求的单位通常都是 IT 应用成熟度较高的大 型企业，它们通常是建设一个 SOC/SIEM 来作为安全管理的基础设施， 通过这种产品可以实现诸如日志集中管理、统一配置、进行初步的不同 产品和系统的协同、设备自动发现等功能。 m o c . 5 b u 人力现在成了提高安全效率的最大约束。安全管理产品只是进行安全设 备和安全事件的管理，而不直接解决特定的安全问题。解决问题的人力 成了提升安全能力的最大约束， 往往甲方公司在使用了 SOC/SIEM 以后， 大量实时的告警被集成到平台上来，一天的告警数量从几千条到数百万 条的都有，安全运维人员处理一条告警就要几天的时间，一条一条去手 动处理 SOC/SIEM 里的告警不现实。而且现在组织机构的运维人员本身 数量就较为稀缺，根据我们的产业调研，大型公募银华基金 IT 运维人员 仅有三人。一家海外的安全事件编排厂商 Demisto 通过调研发现，大约 有 80%的公司没有充足的运维人员去运营 SOC，培训一个合格的 SOC 运维人员要 8 个月，但是平均两年内 25%的 SOC 运维人员会转岗，结 果 就 是 甲 方 公 司 平 均 每 手 动 处 理 一 个 告 警 就 需 要 4.35 天 ， 所 以 SOC/SIEM 产品对国内甲方的实际安全防护水平的提升是非常有限的， 核心的限制因素是企业的安全人员数量不够以及企业内缺乏必要的安 全管理流程制度。 h t i g 请务必阅读正文之后的免责条款部分 4 of 15 行业专题研究 图 2：一般大中型企业的安全架构已经较为复杂 m o c . 5 数据来源：CSDN，国泰君安证券研究 现在市场上的态势感知产品一般是由三部分组成,实现数据采集-数据 分析-可视化展现三大功能。  日志审计（日志探针和关联规则引擎）：