cncert/cc2017年网络安全工作报告

cncert/cc2017年网络安全工作报告篇一

2016-2017年网络安全行业分析报告

2016年12月出版

1云化是安全服务的发展大趋势 ......................................... 5

1.1云计算时代来临，SaaS服务迅速增长 ................................. 5

1.2安全云服务（SECAAS）应运而生 .................................... 10

1.3多方共赢，SECAAS是安全服务模式升级大趋势 ........................ 16

1.3.1网安企业经营成本降低 .......................................... 16

1.3.2安全业务外包是中小企业的必然选择，SECAAS渗透替换并不困难 ...... 19

1.3.3SECAAS也是云服务商加强自身防护的最佳途径 ...................... 21

1.4SECAAS是大量新型安全技术的最佳结合方式 .......................... 26

1.4.1大数据安全分析 ................................................ 27

1.4.2自适应安全架构 ................................................ 29

1.4.3情报感知与协同联动 ............................................ 31

2网安市场腾飞在即，SECAAS前景广阔 .................................. 33

2.1网安政策不断加码，《网络安全法》带来大机遇 ...................... 33

2.2网络安全大发展，市场增速迎拐点 .................................. 38

2.3安全云服务市场增速高、空间大 .................................... 39

2.4长尾市场前景广阔 ................................................ 40

3网安企业提供SECAAS服务已成潮流 ................................... 42

3.1海外网安龙头SECAAS已成规模并快速发展 ........................... 42

3.1.1传统安全厂商 .................................................. 42

3.1.1.1赛门铁克 .................................................... 42

3.1.1.2McAfee ....................................................... 43

3.1.1.3趋势科技 .................................................... 43

3.1.2新兴网安厂商 .................................................. 43

3.2国内网安企业纷纷布局SECAAS ...................................... 45

3.2.1360安全云平台 ................................................. 45

3.2.2绿盟云安全 .................................................... 48{cncert/cc2017年网络安全工作报告}.

3.2.3天融信安全云服务中心 .......................................... 50

3.3安全领域一级市场、创投圈里SECAAS已成热门 ....................... 51

4SECAAS的评价指标 .................................................. 54

5重点公司分析 ...................................................... 57

5.1绿盟科技 ........................................................ 57

5.2南洋股份 ........................................................ 58

5.3启明星辰 ........................................................ 58

图表1：我国2013-2016年各季度GDP增速 ............................... 5

图表2：2014-2016年我国中小企业景气指数 .............................. 5

图表3：SaaS模式vs传统软件许可模式 .................................. 6

图表4：企业选择公共云服务的原因 ..................................... 7

图表5：公共云服务对用户IT支出的影响. ............................... 7

图表6：部署SaaS产品的企业用户规模 .................................. 8

图表7：企业上云成熟度2014vs2015 ..................................... 8

图表8：用户对未来采用公共云服务的态度 ............................... 9

图表9：2011-2015年企业在线销售/采购情况 ............................. 9

图表10：我国云计算市场统计 ......................................... 10

图表11：安全云服务的五大特征 ....................................... 11

图表12：安全云服务系统架构 ......................................... 12

图表13：SECAAS主要的业务类型 ....................................... 13

图表14：安全云服务层次模型 ......................................... 15

图表15：差异化的云安全增值服务模型 ................................. 15{cncert/cc2017年网络安全工作报告}.

图表16：企业使用的MSS选项分布 ..................................... 17

图表17：2016年全球安全服务投资份额 ................................. 18

图表18：中小企业安全业务外包意愿 ................................... 20

图表19：安全外包子业务需求分类统计 ................................. 20

图表20：2015年中国企业网络安全服务采用情况 ......................... 21

图表21：2005年-2015年移动互联网而已程序数量走势 ................... 22

图表22：2004年-2015年DDoS攻击最大强度记录. ....................... 22

图表23：近年来互联网服务商爆出的网络安全问题 ....................... 23

图表24：用户选择云计算服务商的考虑因素 ............................. 23

图表25：暗网上出售的僵尸网络服务 ................................... 24

图表26：暗网上出售的DDoS攻击API服务 .............................. 24

图表27：中国公共云市场规模及增速（亿元） ........................... 26

图表28：Gartner2016-2017网络安全新趋势 ............................. 27

图表29：大数据安全分析内容. ........................................ 28

图表30：安全狗使用大数据分析平台提供安全云服务 ..................... 29

图表31：自适应安全架构 ............................................. 30

图表32：青藤云漏洞扫描SECAAS已上线阿里云市场. ..................... 31

图表33：威胁情报平台 ............................................... 32

图表34：情报感知与协同联动在G20安保中的应用 ....................... 33

图表35：2015年网络安全事件造成的经济损失（亿美元） ................. 34

图表36：近年美国安全产业促进政策 ................................... 34

图表37：《网络安全法》部分条款和语句 ............................... 37

图表38：全球各区域网络安全市场规模及增速 ........................... 38

图表39：2011-2018年我国网络安全市场规模 ............................ 39

图表40：全球云计算市场规模vs云安全服务市场规模 .................... 39

图表41：我国云计算市场规模及增速 ................................... 40

图表42：启明星辰营收行业构成 ....................................... 41

图表43：绿盟科技营收行业构成 ....................................... 41

图表44：SECAAS的长尾市场 ........................................... 42

图表45：三家新兴网安公司SECAAS业务营收占总营收比重 ................ 44

图表46：三家新兴网安公司SECAAS业务营收及增速 ...................... 45

图表47：360安全云平台架构 .......................................... 46

图表48：360安全云服务项目 .......................................... 46

图表49：360天眼威胁感知系统 ........................................ 47{cncert/cc2017年网络安全工作报告}.

图表50：绿盟云安全平台主要服务项目 ................................. 48

图表51：绿盟云安全服务平台能力 ..................................... 48

图表52：绿盟云安全SaaS解决方案 .................................... 49

图表53：亿赛通文档安全云服务入驻华为企业云 ......................... 50

图表54：天融信SECAAS方案 .......................................... 51

图表55：2014-2015年安全产业重要收购 ................................ 52

图表56：2015年安全产业的重要融资 ................................... 53

图表57：我国近年来云安全、SECAAS类企业融资情况 ..................... 53

图表58：2010-2016年网络安全企业融资数量 ............................ 54

图表59：2010-2016年网络安全企业融资金额 ............................ 54

图表60：传统软件盈利模式 ........................................... 55

图表61：SaaS盈利模式 ............................................... 55

图表62：SECAAS盈亏平衡点模型 ....................................... 55

图表63：SECAAS多用户现金流模型 ..................................... 56

1云化是安全服务的发展大趋势

1.1云计算时代来临，SaaS服务迅速增长

随着我国经济增长持续降速，经济发展进入新常态，人口红利迎来拐点，劳动力成本不断攀升，借助新技术提高管理效率、控制管理成本成为我国广大企业的必然选择。而随着传统产业的日趋凋零，支持中小创企业进行业务、技术创新发展也日益显得更加重要，但随着宏观经济形势恶化全国中小企业景气指数最近一年来长期徘徊在临界值100以下。在这个经济大背景下，不论是响应国家号召还是从企业自身发展角度，信息化和互联网+战略是众多企业增效和转型的大方向，解决企业痛点需求的软件即服务（SoftwareasaService，SaaS）将迎来大发展的时代。

图表1：我国2013-2016年各季度GDP增速

图表2：2014-2016年我国中小企业景气指数

cncert/cc2017年网络安全工作报告篇二

多级反馈的网络安全态势感知系统

多级反馈的网络安全态势感知系统

源于联想网御神州专家新论

E×perts、F0rum{cncert/cc2017年网络安全工作报告}.

多级反馈的网络安全态势感知系统

郭锡泉1’2，罗伟其1，姚国祥1

(1暨南大学。广东广州510632；2广州番禺职业技术学院，广东广州511483)

摘要:从系统论，控制论的一般观点出发，研究防火墙。入侵检测系统、入侵防御系统、统一威胁管理系统等网络安全设备的发展与应用，揭示反馈控制在包过滤防火墙向状态检测防火墙演进，入侵检测系统向入侵防御系统演进过程中的重要作用。把反馈控制的原理应用到网络安全态势感知系统中，提出一种多级反馈、协同工作的网络安全态势感知系统结构，该系统能更有效地收集网络信息来进行安全态势评估。

关键词: 网络安全；多级反馈；协同工作；态势感知

【中图分类号】TP393．08 【文献标识码l A 【文章编号l 1009—

8054(2010)01-0061-03

Network Situation Awareness System of Multi—Level Feedback

GUo Xi—quanl”，LUo Wei—qil，YAo Guo—xian91

(1Jinan University，Guangzhou Guangdong 5 l 0632，China；

2Guangzhou Panyu Polytechnic Guangzhou Guangdong 5 1 1 483．China)

[Abstract]From the viewpoint of system theory and cybemetics，the development and implementation of network security

equipments such as firewall and intrusion detection system is

analyzed．It is revealed that the feedback plays all important role in the functions of these equipments．And then anetwork situation awareness system of multi-level feedback and cooperative

work is proposed．This system is proved quite effective in collecting network information and assessing security situation．

[Keywords]network security；multi-level feedback；cooperative work；situation awareness system

O 引言

随着黑客文化的盛行、网络攻击工具软件的唾手可得，网络安全事件层出不穷、愈演愈烈。为了弥补TCP／IP协议安全方面的“先天不足”，各种网络安全设备应运而生，其中包括防火墙、入侵检测系统，入侵防御系统，统一威胁管理等。网络安全态势感知II’2J则是新兴的安全监测与预警技术，集防火墙，入侵检测系统，安全审计等功能于一身。这些网络安全系统大都经历了从简单到复杂的发展过程，智能化程度越来越高。

文中从系统论，控制论的一般观点出发，探讨了反馈控制在网络安全系统中的重要作用。

1 防火墙系统中的反馈控制

防火墙是网络安全的排头兵，往往是保护内网安全的第一道防线，一般部署在内网通往外网的要塞，对内外网的信息流起着分析器、过滤器、控制器的作用。防火墙的技术路线不断向前发展，经历了简单包过滤、代理、状态检测、综合智能化等多个阶段的发展。简单包过滤型防火墙的系统结构如图l(a)所示，接收部分的功能是捕捉网络中输入的数据包并提取必要的TCP／IP协议信息。策略与规则控制部分是根据网络管理员定义的策略与规则对数据包做出放行或拦截的判决，策略与规则的区别在于：策略对于任何数据包都适用，一般在缺省情况下使用；规则是网络管理员自行定义的，仅对满足预设条件的数据包适用。转发部分则对放行的数据包予以转发，数据包从一个网络接口进来，获得放行后，将从另外一个网络接口出去。由于防火墙有过滤作用，可以看到，从系统流(a)防．足墙f简单包过滤)

简单包过滤防火墙最初见于路由器，即通过路由器的访问控制列表

ACL(Access Control List)即可实现。但是，包过滤防火墙对信息流所能达到的控制粒度过粗，网络管理员无法定义合适的规则来控制动态打开端口的应用层协议，如常用的FTP协议，下面将加以说明。不同厂商的防火墙，在规则配置上可能有差别。但最终都落实到对属于某个套接字的数据包将如何处理。按TCP／IP协议，一个完整的套接字包含源IP、源端口、协议、目的IP、目的端口5个元素，于是可以有如下定义。

定义 防火墙的一条规则包含6个元素，即由源IP、源端口、协议、目的IP、目的端口、动作6个元素组成，记作{源IP，源端口，协议，目的IP，目的端口，动作}，其中，IP可以是单个IP，也可以是子网IP或任意IP；端口可以是单个数值，也可以是任意值；协议是TCP．UDP、ICMP等；动作是指放行(Permit)或拦截(Deny)。

若需允许某个主机访问某服务器的Web服务，可以使用{IPl，Any，TCP，

IP2，80。Permit}与{IP2，80，TCP，IPI，Any，Permit}两条规则(为方便讨论，下文仅指出一个方向上的规则)。对于FTP协议，它需要打开两个TCP连接，一个用于控制连接，这时服务器端使用2l端口。另一个用于数据连接，若使用主动模式，服务器端以20端口主动向客户端发起连接；若使用被动模式，服务器端I}缶时打开一个端口(网络管理员事先无法知道其数值，而且此数值是不断变化的)，等待客户端发起连接。

对于被动模式的FTP协议，网络管理员容易确定控制连接的规则，即{IPl，Any，TCP，IP2，2l，Permit}，却无法为数据连接定义合适的规则，因为服务器端临时打开的端口不可预知，即规则形如{IPl，Any，TCP，IP2，?，Permit}。以色列Check Point公司采用的状态检测技术率先解决了这个难题，状态检测防火墙的系统结构见图l(b)。状态检测防火墙能够深入分析FTP控制连接的数据包，并从中解读出其数据连接临时打开的端口号是什么数值，据此动态增加一条规则使数据连接的信息流得以放行，当数据连接释放后，此规则也随之被删除。譬如，状态检测防火墙解蒺出服务器端将打开60240端口，则自动增加规则 {IPl，Any，TCP，IP2，60240，Permit}，数据连接释放后，此规则也随即被删除。状态检测防火墙的控制效果之所以比简单包过滤防火墙要强，从系统结构上看，原因在于简单包过滤防火墙采用开环控制方式，而状态检测防火墙增加了从转发部分到策略与规则控制部分的反馈调节，构成了闭环控制。

2入侵检测系统应用中的反馈控制

入侵检测系统也是常用的网络安全设备，通过收集网络中的信息流以发现入侵的行为或意图。基于网络的入侵检测系统，其系统结构如图2(a)所示。接收部分的功能是捕捉网络中的数据包并提取必要的TCP／IP协议信息入侵检测 部分通过误用检测分析或异常检测分析(或同时使用两种方法)来判断有无入侵的行为或意图；响应部分则根据用户的定义，对不同的入侵行为做出不同的响应，响应的措施包括系

统发出提示，向用户发送短信或邮件、与防火墙联动控制等。

仅采用入侵检测系统只能完成检测功能，无法进行控制，即入侵行为发生的时候，入侵检测系统虽然能够发现，却只能“眼睁睁”地看着入侵行为肆虐，因为入侵检测系统属于开环控制的结构。把入侵检测系统与防火墙联动起来，通过增加反馈调节构成一个多级的闭环控制系统后，入侵行为能被及时制止，如图2(b)所示，当入侵检测系统发现入侵的行为或意图后，将要求防火墙动态增加一条合适的规则，使属于入侵行为的信息流被拦截。

3 多级反馈的网络安全态势感知系统

3．1反馈控制的重要作用

控制论创始人维纳早年研究高射炮手协调行动时得出一个重要结论，就是自主运动的重要因素在于控制工程师的反馈作用。当我们期单按某个方式运动时，把期望的运动方式和实际完成的运动之间的差异当作新的输入来调节这个运动，使之更接近期望的运动。同理，在网络安全设备的应用中，为了进一步降低防火墙对信息流的控制粒度，使防火墙能更有效地监控信息流，状态检测技术使开环的简单包过滤防火墙有了反馈调节，从而增加了对动态打开端口协议的支持。为了使防火墙有检测入侵行为或意图的能力，通过增加入侵检测系统的反馈调节，使防火墙能够及时发现攻击并及时拦截。通过增加反馈控制，防火墙不断接近预期的目标——或对安全的信息流予以放行，或对攻击的信息流予以拦截。对上述两个实例的分析，揭示了反馈控制在网络安全设备中的应用，可以看出，网络安全设备从简单到复杂、从低级到高级的不断进化中。反馈控制起了非常重要的作用。

3．2多级反馈的安全态势感知系统结构

把反馈控制应用到网络安全态势感知系统中，提出一种多级反馈的安全态势感知结构，如图3所示。{cncert/cc2017年网络安全工作报告}.

在计算机网络结构中，增加三种类型的系统：节点传感器，内网分析器、互联网传感器。节点传感器部署在各个终端，通过软件实现，安装在每一台PC或服务器上，与内网分析器协同工侑互联网传感器收集整个互联网范围的安全态势信息，与各个内网分析器协同工作。考虑到终端使用Windows平台或Unix／Linux平台较为普遍，节点传感器可为不同的操作系统提供相应的软件版本。内网分析器还可以收集防火墙、入侵防御系统、UTM等安全设备的信息，综合内网终端节点传感器、互联网传感器的信息进行安全态势的评估。

4结语

通过对防火墙、入侵检测系统等发展历程的分析，揭示出反馈控制在网络安全设备中的重要作用。提出的多级反馈的安全态势感知系统吸收了反馈控制、协同控制的优点，能更有效地收集网络中的态势信息，较好地从网络结构方面解决了态势感知的问题，为网络安全态势感知系统中的态势理解、态势评估、态势预测等后续过程打下了坚实的基础。

参考文献

【l】陈彦德，赵陆文，王琼，等．网络安全态势感知系统结

构研究【J】．计算机工程与应用，2008，44(01)：100-

102．

【2】i余国勇．基于威胁分析的网络系统安全评估【J】．信息安

全与通信保密，2009(04)：50-52．

【3】Checkpoint．Stateful Inspection Technology[EB／OL]．

【2009—09-01】．http：／／

【4】维纳．控制论——或关于在动物和机器中控制和通信的科

学【M】．郝季仁，译．北京：北京大学出版社，2007．‘蹬

(上接第60页)

【2】Ross Anderson．Security Engineering[M】．

Second