1、4I D C 观 点 应用广泛下一代防火墙在全球IT系统边界防御中不可或缺全球防火墙、UTM市场规模中国防火墙、UTM市场发展情况机 遇 难 得 下 一 代 防 火 墙 助 力企 业 数 字 化 转 型数字化原生企业政府行业能源行业金融行业教育行业价 值 提 升 主 动 安 全 防 御 体 系之 重 甲 智能化可视化虚拟化协同前 景 广 阔 下 一 代 防 火 墙 市 场保 持 高 速 发 展 趋 势 下 一 代 防 火 墙 市 场 未 来 展 望 全球防火墙、UTM市场发展情况中国防火墙、UTM市场发展情况3 6 0 企 业 安 全 集 团 新 一 代 智 慧防 火 墙 最 佳 实 践 成功

2、案例分析IDC调研北京邮电大学校园网及数据中心边界安全防护的情况关 于 3 6 0 企 业 安 全 集 团 360企业安全集团业务简介关于360企业安全集团新一代智慧防火墙协同联动构筑“边界塔防”云端协同本地协同终端协同基于NDR模型的自适应威胁管理智慧发现及时预警高级威胁智慧调查高效分析威胁事件智慧处置快速执行隔离阻断智能化的运维管理可视化管理安全策略核查全景式集中管理研 究 方 法 关 于 白 皮 书 目 录781 11 11 21 31 41 51 51 51 51 71 71 81 92 42 42 42 62 85图 目 录26778891 01 61 71 82 12 52 71中

3、国行业数字化转型的增量商机2第三平台技术32016年全球IT安全硬件市场规模概况4全球IT安全硬件市场各子市场份额，20165中国IT安全硬件、软件、服务市场2016年厂商市场规模概况6中国IT安全硬件市场各子市场份额，201672016-2017中国政府发布重要政策法规8复杂应用蕴藏漏洞9主动安全防御之重甲10全球防火墙/UTM市场预测11中国防火墙/UTM市场预测12北京邮电大学校园网及数据中心网络拓扑13360企业安全集团“边界塔防”体系14360企业安全集团NDR模型12能 源 行 业能源行业的业务系统属于我国关键信息基础设施之一，在网络安全法对关键信息基础设施有如下描述“第三十一条国

4、家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。”在能源行业中，电力行业的IT安全建设处于领先的地位，从2000年起，电力行业针对电力生产运行中发现的一些实际问题，深入开展了电力监控系统安全防护工作，制定并印发了电力监控系统安全防护规定等相关法规和规范性文件，2014年电力行业又发布电

5、力行业网络与信息安全管理办法（国能安全2014317号）和电力行业信息安全等级保护管理办法（国能安全2014318号）两个信息安全管理办法文件。电力行业各单位按照“安全分区、网络专用、横向隔离、纵向认证”的安全防护总体策略，持续开展工作，基本建成了覆盖全行业的安全防护体系，有效保障了电力监控系统等关键信息基础设施的安全运行和电力的可靠供应。但是，在2016年国家能源局发布的电力企业网络与信息安全专项监管报告中，提及多家电力企业在“电力监控系统安全防护、信息安全等级保护等方面存在问题”，“互联网出口防护、设备远程维护、工控设备漏洞整改等方面较为薄弱”。电力系统边界安全问题突显。国家能源局副局长王

6、晓林在接受中电新闻网记者采访时提及：“尽管我们在网络安全工作方面取得了一定的成效，但也应看到，由于网络安全发展水平不平衡、网络安全基础工作开展不到位、部分核心技术和关键设备受制于人等原因，当前我国电力行业网络安全工作依然存在较多的不足和薄弱环节，突出体现在部分单位对网络安全工作的重要性认识不足、网络安全责任未切实落实到位；部分单位网络安全从业人员的专业素养和技能还不能适应和满足自身岗位职责的要求；电力行业网络安全防护体系抵御APT（高级持续性威胁）攻击的能力还需要进一步提升等”。事实上，石油、石化、煤炭、新能源等行业的IT系统也都面临相同的边界安全、APT攻击的网络安全问题。当前，边界安全问题

7、与对APT攻击的防御不再是彼此独立的事情，边界安全网关将作为其中的重要环节，协同沙盒等防御与监测体系共同提升能源行业对APT攻击的识别与防御能力。13金 融 行 业金融行业的业务系统属于我国关键信息基础设施之一，多年来金融行业用户对IT安全建设的重视程度保持着极高的状态，发布多项行业法规，包括：计算机信息系统安全等级保护基本要求、银行业金融机构信息系统风险管理指引、商业银行合规风险管理指引、证券期货信息安全管理办法、保险公司信息系统安全管理指引等。在银行业，2016年是中国银行业深化改革之年，中国银行业正在步入一个崭新的金融科技（FinTech）时代，以云计算、大数据、移动互联、区块链和人工智

8、能为代表的新一轮金融科技正在对中国银行业产生前所未有的冲击并将引发巨大的变革。2016年7月，中国银监会就中国银行业信息科技“十三五”发展规划监管指导意见（征求意见稿）公开征求意见，意见稿指出总体目标，包括信息科技治理有效性明显提升、信息科技服务能力持续提升、科技成为引领创新的关键引擎、网络和信息安全管控能力显著增强、信息科技风险管理“三道防线”协同水平持续提高。明确提出要求“主动开展架构转型，建立开放、弹性、高效、安全的新一代银行系统。”明确了科技引领金融创新的引擎作用与地位。由此突出网络和信息安全管控能力在银行业发展的重要性。在保险行业，2016年中国保险行业IT解决方案市场继续保持稳定增

9、长态势。同年，中国保监会公布了中国保险业发展“十三五”规划纲要，在“第八章夯实基础，持续改善保险业发展环境”中提及“加强信息安全基础设施建设，建立完善的信息安全保障体系，提升保险机构信息安全综合防范能力。”对于互联网金融，互联网金融的兴起正在对传统银行的渠道产生重大变革。中国银监会在银行业“科技十三五规划”中明确提出，鼓励“尝试信息科技公司化运作”，协同创新，跨界合作构建互联网金融生态圈。与此同时，2016年，中国多个部委对互联网金融进行专项整治，推进监管落地，确保互联网金融业务安全稳定的运行。整体上，金融行业对第三平台技术的需求尤为迫切，数据价值在金融行业将持续放大，甚至成为关乎企业生存的核

10、心资产，而对于数据的保护，不是单一数据加密技术可以解决的，数据安全同样需一套完整的IT安全防御体系架构，由于移动化应用在金融行业的广泛使用，企业边界外延至智能终端，边界网关除了起到对应用的内容识别与防护、数据传输过程的安全性保障、访问者身份的真实性验证等作用外，与各类终端间的协同、与全网IT监测防御系统的协同尤为关键，起到承上启下的作用。14教 育 行 业教育部早在2014年8月就发布了教育部关于加强教育行业网络与信息安全工作的指导意见并取得了一定的效果。随着网络安全事件对教育行业影响加大，2016年10月教育部办公厅成立教育部网络安全和信息化领导小组，旨在贯彻落实中央关于网络安全和信息化工作

11、的战略部署，切实做好新时期的教育系统网络安全和信息化工作，陈宝生部长亲自担任组长。2017年2月，教育部科技司在教育部科技司2017年工作要点中明确了“统筹教育信息化，维护行业网络安全”的重点任务。2017年7月教育部办公厅下发了各地开展学校大检查的通知，通知要求，各地教育部门和各级各类学校要切实树立“隐患就是事故”的观念，按照“全覆盖、零容忍”的总体要求，结合危险化学品综合治理和电气火灾综合整治工作，深入开展覆盖电气安全、校车安全、校舍安全、网络安全、食品及饮用水安全、传染病防控、危险化学品安全、特种设备安全及校园周边治理等领域的安全隐患全面排查工作。教育行业的IT安全建设进入新阶段。教育网

12、具备流量大、内容复杂的特点，内外部的边界安全网关可以有效隔离恶意软件在教育网内部的泛滥，而下一代防火墙智能化、可视化、协同特性对于提升边界安全防护效果具有积极的作用。另外，2015年，教育部办公厅印发2015年教育信息化工作要点中提及“完善教育资源云服务体系。提升国家教育资源公共服务平台技术水平和服务能力，建立健全国家平台运行、资源汇聚与服务的政策机制，实现与20个以上省级平台以及若干地区平台、企业平台的互联互通”。面向云环境，虚拟化特性将使得下一代防火墙可以运行在云平台上，在云边界起到安全防护的作用。22校园网边界部署新一代智慧防火墙 通过HA的方式部署360新一代智慧防火墙，在提供高性能、

13、缜密安全防护的同时，确保网络稳定性。360新一代智慧防火墙所采用第四代SecOS操作系统实现了管理平面、数据平面的独立运行，确保设备在极端条件下依然稳定可靠；通过启用360新一代智慧防火墙的漏洞防护、防间谍软件、反病毒、URL过滤功能，高效拦截常见的间谍软件、病毒、木马的入侵，防止内网用户访问钓鱼网站、恶意URL；360新一代智慧防火墙专属的“天御云”安全服务，可为360新一代智慧防火墙提供云端的协防能力。在360新一代智慧防火墙本地启用病毒云查杀、URL云识别后，将与“天御云”协同防御从而进一步增强边界防护能力；通过URL分类控制、网页内容关键字过滤等功能，对师生访问网络的内容进行控制，确保

14、合法用网。数据中心边界部署新一代智慧防火墙 360新一代智慧防火墙深度集成漏洞防护、间谍软件防护等应用层安全功能，通过单引擎一次性数据处理对穿越数据中心边界的所有流量进行深度威胁检测。启用入侵防御策略后，可对缓冲区溢出、跨站脚本、拒绝服务等3000余种漏洞利用攻击进行防护，同时，基于本地预置的恶意程序特征，通过双向检测恶意程序植入后可能产生的C&C（命令与控制）通信等异常行为，实现对已知的木马、间谍软件进行高效防护。基于威胁情报订阅服务，高确定性的情报IOC（黑域名、黑IP、黑文件MD5）将实时推送至360新一代智慧防火墙，由防火墙对命中的恶意流量进行实时阻断，进一步提升对流行威胁的防护能力。

15、同时，当突发漏洞大规模爆发后，“天御云”自动向360新一代智慧防火墙推送应急处置告警，信息中心管理员仅仅通过一键点击，设备即可自动完成特征库更新及策略加载，确保对最新的入侵行为准确、有效的识别，加快应急响应速度；23 360新一代智慧防火墙将对服务器外联产生的网络行为数据进行采集，并上报至“天御云”大数据分析引擎，“天御云”一方面通过大数据技术挖掘偏离正常基线的异常行为，另一方面，将行为数据与威胁情报进行对撞，从多个维度检测网内的失陷服务器，最终将检测结果回传至360新一代智慧防火墙并向管理员作出告警。价值分析北京邮电大学校园网边界安全防护建设是校信息中心经过几年的长期测试、反复验证后进行的，

16、用户认为“360企业安全集团新一代智慧防火墙在可视化、智能化、协同及稳定性方面表现出色，切实帮助用户发现并解决了网络中的安全问题”。综合来讲，客户认为360企业安全集团的新一代智慧防火墙所带来的价值如下：降低安全防护的TCO：过去信息中心曾经部署过传统的防火墙、IPS等产品，由于都是串联在网络中成本增加很多，现在通过一个设备替代了以前串联的网关设备，成本大幅降低；威胁感知能力大幅提升：过去网络发现问题时很难通过串联的安全设备分析问题，网络管理员排查问题难度很大。目前，采购360企业安全集团的新一代智慧防火墙后，能够通过产品的威胁感知能力和可视化特性，快速发现并定位问题；边界防护能力明显提升：3

17、60企业安全集团的新一代智慧防火墙与360“天御云”协同，能够快速防范全球最新流行的网络攻击。受访者认为：“目前现有网络的企业版杀毒软件采用的是360的天擎，而360最大的优势就是可以通过庞大的终端安全用户群积累大量的威胁特征，这些特征通过天御云同步到360新一代智慧防火墙中，能够使其在网络边界快速精准的识别恶意软件的入侵行为”。26本地协同针对隔离内网用户，360新一代智慧防火墙提供了与用户本地的“文件鉴定中心”、“天眼”等系统的数据共享和联动方案。“文件鉴定中心”可通过离线导入或单向摆渡的方式将数十亿的恶意文件样本特征、黑域名、黑IP等导入本地，并对防火墙开放调用，以进一步提升防火墙的威胁

18、识别能力。“天眼”新一代威胁感知系统则可将其检测出的高级威胁预警信息实时推送至防火墙，并由防火墙完成处置。与本地系统间的协同机制，使防火墙可以更加有效的利用外部数据源和计算资源，打破本地特征库检测的局限，进一步提升其在网络边界的威胁检出能力。终端协同针对终端系统的病毒防护、桌面管理在用户的安全防护体系中发挥着同等重要的作用，尤其是随着用户网络边界的模糊化、内网的“零信任”化，将安全防护边界下延至终端，实现精细化的网络管控和防御已成为迫切的刚需。利用“天擎”终端安全管理系统共享的数据，360新一代智慧防火墙可以准确识别网内的终端资产及健康状态，并针对不同风险级别的终端执行动态的访问控制。同时，基

19、于“天擎”的实时监测，终端发起外联行为的进程信息也将被同步至防火墙，防火墙则对此类信息进行“二次查验”实现协防。通过打通边界和主机两个原本割裂的防护体系，360新一代智慧防火墙犹如找到了一个“得力助手”，令其在网络边界监测和防护的范围变得更大、管控粒度更细。基于NDR模型的自适应威胁管理当前，被动防护无力对抗新型威胁已成为业界共识，边界安全同样需在被动防护的基础上叠加演进至积极防御。企业不但需要在网络边界构筑“塔防”体系，同时更应加强检测和响应能力的构建。28相较传统基于静态特征的防护和检测手段，由威胁情报驱动并充分利用大数据分析的威胁检测技术，通过在海量、多维的安全数据中寻找规律、建立关联、

20、发现异常并作出预警，实现了人类脑力和能力极限的超越，帮助用户“见所未见”，对潜伏和高隐蔽性威胁作出及时洞察。智慧调查高效分析威胁事件360新一代智慧防火墙提供了配套的威胁感知和分析平台，管理者可通过本地的“智慧管理分析系统（SMAC）”或云端的“云镜”网络威胁感知中心，对预警的威胁信息展开高效的关联分析、线索拓展、过程回溯等调查研判工作。得益于多类安全数据间的深度关联，系统提供了应用、用户、内容、威胁、地理位置等多维信息的图形化关联展现，并自动聚合了与威胁事件相关的各类日志，用户通过递进式的数据钻取和全局日志模糊搜索，实现针对异常主机、威胁事件的高效分析。利用对安全数据的分析结果和可视化呈现，

21、管理者可在短时间内完成专家级的安全分析工作，进而支撑安全管理决策。智慧处置快速执行隔离阻断随着突发性的安全事件呈现高发态势，唯有确保及时、准确采取处置措施，才能在争分夺秒的攻防对抗中争取主动。基于“360安全应急响应中心”的持续运营，当高危漏洞或恶性攻击事件发生后，云端将迅速通过更新威胁情报或特征签名的方式做出响应，并及时将应急响应通告和处置策略推送至360新一代智慧防火墙，用户通过“一键处置”确定后，系统将自动化的加载运用云端推送的情报、特征和策略，同时还将对处置策略的生效情况进行检测和反馈，确保网络边界在最短的时间内对新威胁完成免疫。由云端提供的应急响应支撑和“一键式”的处置操作，大幅降低

22、了用户应对突发事件的技术门槛和响应时间，将积极防御的对抗性思维运用于日常。智能化的运维管理“互联网+”时代，网络应用的空前繁荣使得边界安全管理不再墨守成规，防火墙正由原先的“冷系统”变得更具“热度”。360新一代智慧防火墙通过诸多智能化管理特性的设计，以专业化产品易用性的极大提升，满足用户日益多样的安全管理需求。29可视化管理“看见”网络内传输的各种流量，是对其执行精细控制的前提条件。360新一代智慧防火墙对网内的应用、用户、内容、威胁等提供了多种形式的可视化展现。设备所提供的“数据中心”和“分析中心”功能，分别实现了针对应用使用情况的监控统计和关联分析。“数据中心”可实时统计消耗带宽最多的应

23、用、发生频次最高的攻击等TOP信息，帮助用户洞察网络全局应用概况。“分析中心”则提供了针对网络活动的关联分析面板，可分别以应用、传输内容、URL、威胁等为主要条件，统计与其相关的多维度信息，并在此基础上提供以任意元素为条件的递进式数据钻取，满足网络管理者深入分析应用、用户、内容和威胁的需求。安全策略核查安全策略始终是边界防护的核心，而复杂网络环境下的安全策略规模则更为庞大，管理者往往难以从中发现冗余和疏漏，造成安全策略无法实现最佳管控效果。360新一代智慧防火墙通过对所有安全策略的规则条件进行智能分析，可快速发现存在冗余关系的安全策略并给出优化建议。同时，“天御云”可对网络应用、URL访问、文

24、件传输等行为命中的策略进行更为精细和长周期的监测，便于及时发现误被放行的越权访问。此外，系统提供的“违规配置核查”功能，能够对安全策略执行自动化的检查，例如检查设备是否配置有全通策略、或开放了高危端口的访问等。通过对设备管理漏洞的持续性、自动化监测，从而及时封堵疏漏环节。全景式集中管理对于分布式部署防火墙的用户而言，需要通过执行统一的安全策略，从而确保各节点防护强度的一致性。然而，在日常运维中，即便是对全网设备进行一次统一升级，或是紧急下发一条应急处置策略都困难重重。通过360新一代智慧防火墙配套的“智慧管理分析中心（SMAC）”，可对数百台防火墙进行分权分域的集中管理。利用SMAC强大的数据

25、存储和运算能力，可提供全网设备统一监控、全局威胁实时预警、安全配置违规核查、安全策略批量下发等智能化的运维管理功能，实现全网统一监控、统一管理和统一运维，大幅提升管理效率并确保全网安全的“一致性原则”切实落地。研 究 方 法本研究中所提供的信息是IDC对中国的IT安全市场信息持续研究的成果。IDC获取信息主要通过一手资料研究和案头研究，两种方法共用，相互关联、互相佐证，以确保信息的有效性和准确性。信息获取方式如下：IDC选取了若干行业客户进行调研分析，客户范围覆盖政府、金融、教育、运营商等多个行业，通过对CIO或IT主管的访谈，IDC获取了第一手研究资料，深刻剖析了行业客户对于信息安全防御体系

26、的诉求和建设状况。另外，IDC还通过案头研究，主要包括（但不局限于）互联网网站、厂商介绍和新闻稿件、IDC全球分析报告以及IDC专有数据库等，对研究主题提供进一步补充。关 于 白 皮 书本白皮书探讨了下一代防火墙在中国IT安全市场的现状和发展趋势，对下一代防火墙特点进行了说明，研究认为行业IT数字化转型过程中面临大量应用系统的迁移与重构，其中蕴含大量的应用安全漏洞，下一代防火墙在其中提供重要的安全防御能力。具备硬件与软件形态的下一代防火墙灵活适应不同的业务环节，无论在IT基础设施的建设过程，还是在IT业务系统的建设过程中都发挥着重要的作用。本白皮书旨在阐述下一代防火墙的重要性，说明行业用户根据

27、自身情况需要什么样的边界防御产品，重点阐述了边界防御应具备的特征，同时就中国行业用户在通过下一代防火墙构建边界安全防御体系过程中应注意的问题，给出IDC的建议和观点。31国际数据公司（IDC）是在信息技术、电信行业和消费科技领域，全球领先的专业的市场调查、咨询服务及会展活动提供商。IDC帮助IT专业人士、业务主管和投资机构制定以事实为基础的技术采购决策和业务发展战略。IDC在全球拥有超过1100名分析师，他们针对110多个国家的技术和行业发展机遇和趋势，提供全球化、区域性和本地化的专业意见。在IDC超过50年的发展历史中，众多企业客户借助IDC的战略分析实现了其关键业务目标。IDC是IDG旗下子公司，IDG是全球领先的媒体出版、研究咨询、及会展服务公司。关于IDCIDC ChinaIDC中国（北京）：中国北京市东城区北三环东路36号环球贸易中心D座1202-1206 邮编：100013 电话：+86.10.5889.1666 Twitter:IDCidc-insights-