1、2022年中国云主机安全市场报告头豹研究院弗若斯特沙利文咨询（中国）重点关注：自适应安全、云原生安全、纵深防御等2022年12月报告说明沙利文联合头豹研究院谨此发布中国网络安全系列报告之2022年中国云主机安全市场报告年度报告。本报告旨在分析在中国云工作负载安全市场的现状、应用前景、技术动向及发展趋势，并判断云主机安全市场竞争态势，反映该细分市场领袖梯队厂商的差异化竞争优势。沙利文联合头豹研究院对云主机安全进行了下游用户体验调查。受访者来自金融、国央企、政务、电信、医疗、教育等不同行业，所在公司规模不一，细分领域有别。本市场报告提供的云主机安全发展趋势分析亦反映出云主机安全行业整体的动向。报告

2、最终对市场排名、领袖梯队的判断仅适用于本年度中国云主机安全市场发展周期。本报告所有图、表、文字中的数据均源自弗若斯特沙利文咨询（中国）及头豹研究院调查，数据均采用四舍五入，小数计一位。报告提供的任何内容（包括但不限于数据、文字、图表、图像等）均系弗若斯特沙利文及头豹研究院独有的高度机密性文件（在报告中另行标明出处者除外）。未经弗若斯特沙利文及头豹研究院事先书面许可，任何人不得以任何方式擅自复制、再造、传播、出版、引用、改编、汇编本报告内容，若有违反上述约定的行为发生，弗若斯特沙利文及头豹研究院保留采取法律措施、追究相关人员责任的权利。弗若斯特沙利文及头豹研究院开展的所有商业活动均使用“弗若斯特

3、沙利文”、“沙利文”、“头豹研究院”或“头豹”的商号、商标，弗若斯特沙利文及头豹研究院无任何前述名称之外的其他分支机构，也未授权或聘用其他任何第三方代表弗若斯特沙利文或头豹研究院开展商业活动。沙利文市场研读400-072-55883u中国云主机安全市场发展背景-5 宏观建设：云原生安全发展 微观协同：CWPP+CSPM+CASB 环境延伸：从传统主机安全到容器安全u中国云主机安全技术发展动向-9 中国主流服务商年度发展计划落实现状 中国云主机安全功能模块要点及发展动向 资产清点 入侵检测 风险探知 合规基线 境外主流服务商产品重点能力和竞争优势u中国云主机安全用户特征观测-16 云主机安全用户

4、需求特征观测u中国云主机安全市场竞争态势-18 云主机安全竞争力评价维度 云主机安全综合竞争力总览 云主机安全市场领导者 领导者：青藤云安全 领导者：亚信安全 领导者：奇安信（椒图科技）u名词解释-27u方法论-28u法律声明-29研究框架沙利文市场研读400-072-55884 图1：不同部署环境下主机安全责任机制和能力组成分布-6 图2：CWPP+CSPM+CASB防护策略协同-7 图3：主机系安全防护产品特征差异矩阵-8 图4：云主机安全能力发展计划及落实情况-10 图5：云主机安全功能应用现状及诉求要点-11 图6：境外主流服务商云主机安全产品重点能力及在中国市场竞争态势-14 图7：

5、不同领域用户对云主机安全产品及服务重点诉求显著性-17图表目录章节一市场发展背景1.1宏观建设：云原生安全发展1.2微观协同：CWPP+CSPM+CASB1.3环境延伸：从传统主机安全到容器安全鉴于中国市场在安全合规、市场习惯等方面存在的相对于境外市场的差异化特征，安全服务商在引进更为前瞻的技术策略时，宜在可用性和适用性之间进行权衡。从应用距离的角度而言，CASB更加靠近生产端，CWPP则更加靠近IT基础设施管理端。CASB的使用助力企业对云服务在业务中的渗透范围有了全域认知，CSPM在云负载全生命周期的应用过程中适应性不断增强，CWPP针对混合云架构下工作负载提供可视化的管控。400-072

6、-55886q Agent全方位采集云端资产，应对多变的虚拟环境威胁。截至当前，中国云计算产业依旧保持较高速增长，预计在未来5年内，90%以上的企业将实现部分业务或关键性业务整体上云。在中国市场环境下，公有云环境可信度相对境外云环境仍存在差距。多数用户偏好“混合云”解决方案，包括传统设备主机、核心私有云、非核心资产公有云以及容器等承载环境。混合云部署方案下，安全防护相关的资产归属和控制机制对安全服务商和用户而言，存在更多合作的机遇和责任共担的挑战。鉴于中国市场在安全合规、市场习惯等方面存在地域性特征，安全服务商在引进更为前瞻的技术策略时，宜在可用性和适用性之间进行权衡。云原生安全机制的引入，给

7、予中国云安全市场更多的选择，云原生环境的安全事件存在于系统和组件之间，云工作负载安全类产品在对风险进行发掘和重构后，持续设计新的安全功能，最终实现安全机制与云原生系统的全面融合，确保用户安全访问使用云系统和云应用。q 云原生安全环境下的市场机会：持续交付场景下的实时安全：企业云上业务更新频率或达每日上百次、上千次，持续开发部署工具链各个环节相关安全检测、监控、防护手段更趋精细化和个性化。广域云工作负载安全防护：云工作负载环境形态更趋丰富，边界模糊性强，资产暴露面从静态文件至动态中间件皆面临广域的威胁形态，威胁探知能力和应急策略更待精进。1.1宏观建设：云原生安全发展图1：不同部署环境下主机安全

8、责任机制及云上相关服务和组件责任共担机制：安全服务商和产业用户共同分担IaaS、PaaS、SaaS不同层面的风险应用场景技术链：从检测、防护、运营、响应多个维度落实新技术应用SEVER EDR技术应用主动防御技术漏洞主动发现轻量化AgentAgent管理用户责任用户访问及身份安全、安全服务商责任PaaS平台、IaaS平台、PaaS应用、SaaS应用等终端检测：管道基础安全能力于云端复用微隔离技术主机安全大数据分析资源采集和控制、基础硬件安全管控、虚拟网络、虚拟云基础设施等数据安全管控、IaaS层应用、应用API、工作负载安全等防火墙IPS终端防护服务器监控EDRSIEM威胁监测工作负载安全用户

9、行为监控安全合规云工作负责安全能力新型云端管控工具CWPPCSPMCASB云边协同工具微隔离无服务防护：运营：响应：针对文件、进程、账号、版本等内容的细粒度探知，检测风险敞口、僵尸、木马、蠕虫等病毒针对业务系统层、基础网络层、业务应用层、业务数据层等不同板块特征提供安全防护策略提供多元化自动安全运营手段，如漏洞自动化补丁、自动化资产配置、安全数据可视化以及基线自动核查等对包括勒索、窃密、逃逸等攻击行为进行全链路溯源，针对威胁事件执行应急响应策略云端随工作负载形态不断演进，端点、网络、边界的层次趋于模糊，而承载计算的工作负载则需要不同层次的安全防护工具和策略。400-072-5588沙利文市场研

10、读7中国：网络安全系列1.2微观协同：CWPP+CSPM+CASB图2：CWPP+CSPM+CASB防护策略协同q CASB(Cloud Access Security Broker)云访问安全代理，是置于云服务消费者和和提供商之间的安全策略，其覆盖面包括了SaaS、PaaS和IaaS，主要提供针对于SaaS的安全控制。CASB主要具备以下功能：深度可视化、数据安全性、合规性、威胁防护。q CSPM(Cloud Security Posture Management)云安全态势管理，可同时适用于PaaS和IaaS，主要对基础设施安全配置进行分析管理，也可以强化和检查控制面的安全和正确配置。其安

11、全策略包括管理工作负载、合规评估、保障API完整和运营监控等。若发现不合规配置，CSPM将对其进行修正，并持续改进和适应云安全态势。q CWPP（Cloud Workload Protection Platform)云工作负载安全防护平台，主要聚焦于IaaS相关的工作负载安全，对云上工作负载提供全方位和多个维度的保护能力。其主要保护范围是IaaS层，可以横跨物理机、公有云、私有云等多种数据中心环境，部署方式因而更加灵活，防护面更广。CWPPCASB以保护云端工作负载为核心，聚焦IaaS层安全机制和安全策略。用户企业多采用IaaS层服务存储或处理业务敏感数据。结合网络分段、系统完整性保护、应用程

12、序控制、行为监控等反恶意软件防护手段抵御威胁。基于CASB产品特性，相关服务以SaaS层面应用场景为主，较少涉及IaaS和PaaS层应用。针对使用SaaS服务或依托SaaS工具存储业务数据的云端租户企业提供针对性服务。以数据为中心设置安全策略，通过审计、隔离、告警等策略控制提权等威胁行为。对IaaS领域安全管控进行补充，适用于多云环境，并于PaaS层面提供安全配置和完整性检测支持。针对在IaaS或PaaS不同层面处理企业敏感业务数据的用户提供安全配置检测工具。对账号特权管理、网络存储配置、安全配置等进行实时分析和修正管理，优化云安全态势。CSPM契合度较强契合度有待加强n 相对而言，CASB在

13、美国的应用更为成熟，而在中国，鉴于市场IT环境存在差异性，SaaS化办公场景仍待拓展，安全防护意识相对欠缺。n 中国市场通过促进本地化部署软硬件和SaaS化应用进程，加深对CASB的理解和应用。n CWPP已在中国市场展开广泛应用，能够有效助力用户进行IaaS、PaaS层数据安全控制，具体能力涉及容器、微隔离、内存、进程保护、EDR、微服务等。n CSPM更多涉及安全态势管理，于访问控制、网络、存储等层面强化安全配置管理。与中国市场契合度400-.3环境延伸：从传统主机安全到容器安全q 主机安全系产品核心模块及应用环境变化：基础类主机安全产品聚焦于检测、探知、盘点、合规四个

14、方面。技术叠加效用下，产品模块拓宽至蜜罐、内存码检测、病毒查杀等方面，而随用户侧业务上云、统一安全管理方案建设和产品聚合效用提升，主机安全能力更加收敛于四个核心模块，并在运行环境层面渗透云原生、供应链，头部服务商融合威胁情报系统优化主机产品的检测效率。q 主机安全系产品技术理念迭代：病毒查杀机制应用：风险查询和处置多以静态样本为依据，通过在计算机文件和病毒特征码之间进行比对确认风险，存在更新不及时、样本质量参差不齐的缺陷。白名单机制应用：相对病毒查杀在进程消耗、内存占用等方面可能对业务造成的影响，白名单机制的创建有利于防守加固和前置，降低木马程序对系统的危害。纵深防御机制应用：利用虚拟化、微隔

15、离、无服务等云原生技术，应对多云和跨云环境下的复杂攻击态势，纵深防御系统与完整性验证、EDR、HIPS等多层次防御策略融合。图3：主机系安全防护产品特征差异矩阵风险探知：衡量对全球风险的覆盖面网络边界：衡量不同部署形态下对流量控制的强度强隔离弱隔离风险强覆盖风险弱覆盖设备型主机安全容器安全云主机安全云化部署：逻辑统一物理分散传统主机安全：以病毒查杀为主，多为静态查验能力，攻防性质不足，不具备实时检测能力。云负载环境主机安全：解决方案持续优化，完整覆盖攻击链，支持实时检测和自动分析溯源。气泡大小代表安全防护手段丰富性强弱单位：月单位：周单位：日单位：小时随主机安全产品升级，从入侵至分析处置的周期

16、持续缩短章节二技术发展动向2.1中国主流服务商年度发展计划落实现状2.2中国云主机安全功能模块要点及发展动向2.3境外主流服务商产品重点能力和竞争优势境外服务商在整体技术栈层面具备较为显著的创新力，在特定漏洞研究以及技术栈升级等方面始终处于领先的地位。境内服务商逐渐通过原厂研究、独立实验室孵化等方式加快技术栈布局。尽管在云原生技术方面，境内服务商多以贴合、跟进境外主流技术为主，但通过对境外核心技术进行分解或根据自有产线进行延伸，境内服务商更能根据境内安全环境、业务环境构建服务模式。400-072-55882.1中国主流服务商年度发展计划落实现状攻击链+情报数据主动防御技术融合计划结合攻击链模型

17、，剖析入侵轨迹，部署探针可扩展性安全前置性后期成本前期成本 工作负载安全产品功能细化，针对安全运维和运营团队提供优化方案；结合基础业务因素、安全合规要求，降低工作负载环境中风险传播范围。效率溢出安全分析前置融合扩展：需与漏洞探知和内存保护等能力进行融合图4：云主机安全能力发展计划及落实情况大数据分析技术融合计划轻量化Agent微隔离应用计划q 安全服务商能力进阶：安全分析工具和安全管控工具对用户业务场景适用性增强。安全服务商于2022年度持续优化云主机安全功能点，提供更加丰富的工作负载安全闭环管理方案，针对挖矿场景、APT攻击场景、勒索场景、窃密木马、常规木马、重保/护网场景等提供更具针对性的

18、防护方案，如收敛资产暴露面、漏洞发现、威胁情报探知、勒索治理、虚拟化补丁等。安全服务商助力用户依托大数据分析平台、机器学习分析引擎、集中部署微隔离策略、主动防御技术等，提升工作负载环境整体安全管控效率，解决传统运维管控方案中存在的难题，扩大自适应架构应用面，并强化主机安全产品与EDR、SOC、SIEM等防护体系的融合。漏洞探测技术融合计划低高通过对已上线和未上线的系统、设备进行漏洞检测、渗透测试，全面排查风险，并追踪漏洞修复情况。在业务层和工作负载层面进行更加细粒度的隔离，强化对工作负载之间访问关系的控制。依托大数据架构促进自适应安全架构的构建，结合安全日志进行全方位分析，准确定位主机失陷位置

19、。针对白名单、应用控制等处于相对稳态运营的环境，可依托主动防御技术应对较高的安全性需求。基于机器学习和自动化分析能力有效利用情报数据基于历史数据和实时数据对主机进行全面评估，应用扩展面较广可视化：依托微隔离技术的可视管控，收敛攻击面文件监控涉及文件目录、注册表、账号完整性等情况，并考虑白名单及敏感文件等设定。进程可信通过获取白名单进程，对非白名单进程进行有效控制（告警或禁止启动等策略）。漏洞实时监测安全配置缺陷多方位补足新业务及设备漏洞检测漏洞应急响应q 云端能力加持：通过轻量化Agent于工作负载和云端建立信息流，实现实时的监控、处理、分析和可视化。q 安全策略设置：通过集中部署网络隔离策略

20、，提升隔离规则的有效性。部署模式轻量化点对点漏洞修复400-072-5588沙利文市场研读11中国：网络安全系列q 功能特征：助力用户提升漏洞应急响应效率及业务影响分析能力相对传统物理服务器环境下的业务而言，云端业务所面临的安全态势更加复杂，云端资产中间组件存在漏洞频发的特征。2.2中国云主机安全功能模块要点及发展动向资产清点要点及用户进阶诉求图5：云主机安全功能应用现状及诉求要点资产清点要点入侵检测要点风险探知要点检测类型逻辑设计检测敏感度契合业务系统关键日志精细化梳理软件系统&安全系统一致性设计通用合规+业务合规产品端+应用端构建多元业务基线检测告警减少噪音通用合规基线特性优化风险定义行业

21、级风险形态梳理风险分析风险评级和关联分析漏洞匹配业务内部漏洞外部系统漏洞风险探知机制建设基于风险梳理结果、漏洞匹配机制制定风险预警机制国内及国际通用基线行业安全基线定制化基线诉求合规基线要点云端资产中间组件漏洞频发技术栈组件资产进行全面盘点和链路呈现；展示中间组件、相关进程、文件关系q资产盘点+基线规划：通过日常化资产盘点协助用户判断版本安全性，更新安全交付基线规模。q资产清点+版本细化：针对资产版本信息滞后的问题，强化检测逻辑和准确性。通用合规基线：用户基本满足境内外通用网络安全等级保护要求，并于此基础上进行安全条件增补。行业合规基线：根据行业安全环境，自定义设置基线模版，并根据需求进行安全

22、条件增补。自研基线：对同类型安全组件和资产分配指定端口，于组件和端口之间建立映射关系，构筑基线优势项。风险可视+风险与资产关联定义入侵行为考虑不同业务系统设计模式考虑不同业务对操作行为的合规定义强化日志分析针对性有效应对特权账户行为（提权、高危命令等）结合自动化分析算法，清洗日志数据提升检测精准度；用户自定义威胁告警准则风险可视化增强考虑主机端风险与业务特征关联度提升安全事件分组、分类机制有效性风险探知与资产定位功能联动结合业务资产暴露面梳理结果，消除主机端内部漏洞与外部漏洞之间的结构性差异。漏洞评分机制准确度待提升，服务商持续扩展风险指标400-072-5588沙利文市场研读12中国：网络安

23、全系列在此背景下，云端资产盘点更需要针对漏洞影响面规划响应和分析方案。云业务环境所需要的资产清点功能，更需要对技术栈组件进行全面的盘点和进一步的链路呈现。用户诉求要点在于通过全面盘点和展示中间组件及相关进程和文件的连接关系，在漏洞发生时对相关资产进行快速定位、快速梳理。并且通过Agent充分展现资产所遭受风险的严重性和范围。并在此基础上，支持用户对漏洞作出更有效的快速响应。此外，日常化资产盘点流程能够协助用户规划基线，通过清点的功能，判断应用版本的安全性，进而更新安全交付基线模式。q 用户进阶诉求：云产业链安全逻辑协同，资产清点细化至版本层面。当前，多数服务商支持的资产清点模块在检测逻辑方面，

24、多以进程或目录为对象，存在版本判断准确性不足的痛点，存在版本信息滞后的问题，对用户资产清点结果造成干扰。此外，云端资产清点涉及开源性质文件，对版本盘点准确性的提升需要供应链上游服务商对应用目录进行更加标准化的处理。未来安全服务商或可通过与软件供应链上游参与者提升协同性和设计趋向等方式，提升云环境整体安全系统设计的一致性，进而助力下游用户在资产面和攻击面之间实现更加精准的映射分析，提升漏洞与资产类型之间的关联度。入侵检测q 入侵检测产品端与应用端：用户业务系统对入侵行为定义存在差异在入侵检测板块，服务商基本能够满足用户在检测类型、检测敏感度、检测告警方面的需求，入侵检测功能的应用痛点更多缘于不同

25、业务系统设计模式对操作行为合规定义的差异性。目前，应用端风险探知能力未能有效应对的入侵事件主要存在于特权账户使用行为(包括账户提权、高危命令执行等）。q 用户进阶诉求：强化日志分析针对性，构建多元业务基线安全服务商在对入侵行为定义细化的可行性方面能力有限，此外，造成入侵检测准确性偏差的因素更在于用户业务系统设计结构对风险行为定义的差异性。在部分应用场景下，业务系统常见的提权行为是基于业务后台（如脚本、工具、执行过程）正常实际要求而进行的，但在主机安全防护层面，针对该类偶发性正常提权行为进行规则定义和自动化剥离的可行性较低。基于应用端特征对入侵检测精准度提升的限制，安全服务商可将注意力集中在优化

26、通用合规行为定义层面，可依托自动化分析算法，结合不同行业业务特征对系统关键日志进行梳理，并通过对长期积累的日志数据进行清洗，形成基线和针对性告警机制。400-072-5588沙利文市场研读13中国：网络安全系列风险探知合规基线q 功能特征：基于通用性合规指标进行业务安全条件增补当前在合规基线模块，安全服务商基本能够助力用户满足国家网络安全等级保护以及CIS考核指标等要求，部分服务商协助用户在通用性标准基础上进行安全条件增补，根据所在行业安全环境自定义设置基线模板，并随自研基线应用的扩展，提升用户内部安全管理策略有效性。q 用户进阶诉求：推进自研基线，提升同类资产与指定端口归类统一性安全服务商尚

27、未对组件和端口进行关联性归类处置，不同的安全产品组件分布在不同端口运行，对用户而言，新安全组件增量交付时或面临较高的适应成本和运维成本。对安全运营能力较为成熟的用户而言，对同类型安全组件和资产分配指定端口的归类方式有助于降低运维成本。通过在组件和端口之间建立一一映射的关系，用户能够更加清晰地盘点资产、定位资产，实现合规基线检验有效性的提升。然而，当前自研基线理念对多数安全服务商而言，在设计逻辑层面存在较大差异性。但远期愿而言，自研基线生态产品的构建或成为安全服务商的优势项。q 用户诉求：风险展示界面优化+风险探知与资产定位联动性强化风险探知板块的能力更多体现在对风险的定义、风险漏洞评分和关联、

28、风险分析等方面。主机基础设施是企业建立在业务内部的运行基础，主机风险探测的方式与边界防火墙通过扫描探知风险的方式有较大区别。主机端所面临的风险类型与业务特征相关度较高，需根据业务资产暴露面梳理和判断主机所遭遇的漏洞与何类漏洞相匹配。部分服务商提供漏洞评分机制，但业务内部漏洞和外部系统漏洞之间存在结构性差异性，故而评分机制缺乏准确性。相对而言，公有云安全服务商在主机漏洞与外部漏洞匹配方面具备优势，可结合公有云上大部分租户对漏洞的判断和修补动作，为更多用户提供决策依据或风险指标。而在私有云环境下，服务商普遍根据用户内部风险面构建风险探知机制，对漏洞进行相应的匹配和分析，在风险展示能力方面略弱于公有

29、云安全服务商。此外，服务商需持续提升云主机端风险探知和资产清点功能的联动性，通过对资产更加精细化和准确的盘点，对风险和漏洞进行更强的关联，提升安全事件分组、分类机制的有效性。400-072-5588沙利文市场研读14中国：网络安全系列2.3境外主流服务商产品重点能力和竞争优势q Trend Micro：从防病毒技术栈出发，逐步建立风险预警机制、EDR等与态势感知及恶意行为检测关联度较高的能力。趋势科技产品线渗透端点安全、网络安全、云工作负载安全等广域业务环境，产品之间在底层引擎和上层应用等方面协同整合，作为物理资产虚拟化实践的主导者之一，未来趋势科技在物联网安全、容器安全等领域持续发挥实践引领

30、作用。图6：境外主流服务商云主机安全产品重点能力及在中国市场竞争态势价格灵活度待提升部署难易度待改善防病毒技术切入：产品以防病毒技术和系统为起步点融合EDR：在资产梳理基础上融合EDR形态防火墙技术切入：产品以防火墙技术和项目为起步点演进路线：该类境外厂商以防病毒能力作为基础，逐步构建风险预警和态势感知平台。中国市场现有竞争者相对竞争优势：在本土市场具备成熟的售前服务链；能够结合本土用户特征提供定制化服务策略；能够在安全事件发生时，保证较快的反应速度，提供长效覆盖的服务链。替代品成熟度：相对而言，中国本土产品成熟度有待提升，但在业务契合、项目落地等方面更加成熟。中国市场购买者特征：对于服务能力

31、要求较高，偏好具备定制能力的解决方案；基础设施云化能力存在差异。境外安全厂商在中国云主机安全市场竞争因素防病毒风险预警态势感知+恶意行为发现演进路线：该类境外厂商以防火墙技术和经验为基础，融合容器安全平台，强化安全检测。融合容器化技术：传统工作负载安全结合容器化部署容器监测镜像安全防火墙容器平台演进路线：以资源发现、资源整理为核心，附加EDR防护能力，应对较高的风险暴露面。演进路线：与云原生环境平滑集成，构建容器检测、防御、事件响应的安全闭环。日志分析能力资产梳理资产发现EDR能力+漏洞管理+进程检测漏洞管理潜在进入者：更多专注于容器技术、云原生技术的厂商延伸产线，切入云主机安全市场，以占据细

32、分赛道为竞争策略，并通过贴合境外技术等方式探索产品边界。400-q Palo Alto：从防火墙业务起步，通过并购Twistlock容器安全平台，逐渐形成云原生安全服务能力。Paloalto构建一整套云原生环境安全策略知识库，通过订阅模式为用户提供体系完善、检索灵活的日志分析能力，并针对容器内应用程序活动、网络活动等，在事前提供有效的安全环境检测策略，是较早覆盖容器全生命周期安全管理的服务商之一。q Aqua：在全球范围内引领DevSecOps理念的落地，在产品能力构建方面强化流水线交付模式。着重对容器镜像库内部资源在持续集成和持续交付过程中涉及的安全指标进行有效管理。对于

33、镜像篡改特定进程、木马程序、恶意脚本植入等攻击形成全链路的管理。作为强调安全左移、持续集成的代表性服务商之一，Aqua针对开源环境下镜像、docker容器运行时场景，持续提升安全态势可视化能力，强化安全运营方案。q VMware：在管理Kubernetes应用全生命周期方面，VMware最早强调在应用部署前对风险进行分析和控制，支持开发早期文件的扫描和漏洞可视化呈现。在安全与开发运维协同方面，VMware通过前置安全功能，助力用户实现跨团队的风险识别、漏洞修复协作。：境外服务商在整体技术栈层面具备较为显著的创新力，在特定漏洞研究以及技术栈升级等方面始终处于领先的地位。境内服务商逐渐通过原厂研究

34、、独立实验室孵化等方式加快技术栈发展速度。：在采用安全运营管理新技术或对技术进行较大变革时，境外服务商能够为用户提供较好的服务支撑。：境外服务商在主机安全侧偏向于技术孵化，相对而言，境内服务商偏向于进行技术转化以及后期服务交付。境外服务商率先结合镜像扫描与运行时安全监测两个环节，并对全球安全产业输出技术理念。：境外服务商可提供一整套安全逻辑，推动用户适应安全视角的运行逻辑，并在此基础上提供相应的服务支撑。相对而言，境内服务商更多采取适应用户逻辑拓展安全产品覆盖面的模式。境外服务商相对优势境内服务商相对优势：尽管在云原生技术方面，境内服务商多以贴合、跟进境外主流技术为主，但通过对境外核心技术进行

35、分解或根据自有产线进行延伸，境内服务商更能根据境内安全环境、业务环境构建服务模式。：境内服务商在中国市场占有较为庞大的用户群体，快速推动新型安全产品线渗透，并具备较好的客户基础和商业渠道。相对而言，境外服务商当前在中国市场所部署的支持网络较为稀疏，服务推进力度较小。第三方兼容待提升微隔离策略应用需拓展部署难度略高第三方兼容待提升后期维护服务略弱同行使用者友好度提升章节三用户特征观测随着云主机安全用户群体业务上云加速，用户在安全数据统一面板、数据隔离、安全数据可视维度细化、结算数据防篡改、安全日志颗粒度细化、跨云防护机制等方面诉求显著性亦存在差异。400-072-5588沙利文市场研读17中国：

36、网络安全系列3云主机安全用户需求特征观测云工作负载安全用户在技术选型方面的诉求逐渐呈现出针对性强、颗粒度细、贴合云原生等特征。业务总体上云程度图7：不同领域用户对云主机安全产品及服务重点诉求显著性安全数据流统一面板政务教育智慧医疗通信金融智慧制造智慧交通数据隔离可视化维度管理数据加固安全日志颗粒度结算数据防篡改跨云防护机制色深越深，用户诉求显著性越强政务云领域服务能力较薄弱、核心技术应用渗透存在差距协同管道和边缘优势，整合通信产业链资源，从数据、设备、网络等多维度出发构筑安全体系金融领域对防御体系连贯性、入侵感知前置性、资产管理精细化程度要求持续提升高校、权威研究机构等组织内部安全意识及安全素

37、养仍待提升医疗系统及医疗物联网安全监测体系从一线城市向二三线市场拓展物联网端点数据交换频率高速提升，加密算法应用形态创新智慧车联系统广泛应用身份安全、通信安全、端点安全等领域技术0%100%0%100%0%100%0%100%0%100%0%100%0%100%400-072-5588沙利文市场研读18中国：网络安全系列方法论u 头豹研究院布局中国市场，深入研究10大行业，54个垂直行业的市场变化，已经积累了近50万行业研究样本，完成近10,000多个独立的研究咨询项目。u 研究院依托中国活跃的经济环境，从纵深防御、快速响应、轻量化部署等领域着手，研究内容覆盖整个行业的发展周期，伴随着行业中企

38、业的创立，发展，扩张，到企业走向上市及上市后的成熟期，研究院的各行业研究员探索和评估行业中多变的产业模式，企业的商业模式和运营模式，以专业的视野解读行业的沿革。u 研究院融合传统与新型的研究方法，采用自主研发的算法，结合行业交叉的大数据，以多元化的调研方法，挖掘定量数据背后的逻辑，分析定性内容背后的观点，客观和真实地阐述行业的现状，前瞻性地预测行业未来的发展趋势，在研究院的每一份研究报告中，完整地呈现行业的过去，现在和未来。u 研究院密切关注行业发展最新动向，报告内容及数据会随着行业发展、技术革新、竞争格局变化、政策法规颁布、市场调研深入，保持不断更新与优化。u 研究院秉承匠心研究，砥砺前行的

39、宗旨，从战略的角度分析行业，从执行的层面阅读行业，为每一个行业的报告阅读者提供值得品鉴的研究报告。400-072-5588沙利文市场研读19中国：网络安全系列法律声明u 本报告著作权归头豹所有，未经书面许可，任何机构或个人不得以任何形式翻版、复刻、发表或引用。若征得头豹同意进行引用、刊发的，需在允许的范围内使用，并注明出处为“头豹研究院”，且不得对本报告进行任何有悖原意的引用、删节或修改。u 本报告分析师具有专业研究能力，保证报告数据均来自合法合规渠道，观点产出及数据分析基于分析师对行业的客观理解，本报告不受任何第三方授意或影响。u 本报告所涉及的观点或信息仅供参考，不构成任何证券或基金投资建

40、议。本报告仅在相关法律许可的情况下发放，并仅为提供信息而发放，概不构成任何广告或证券研究报告。在法律许可的情况下，头豹可能会为报告中提及的企业提供或争取提供投融资或咨询等相关服务。u 本报告的部分信息来源于公开资料，头豹对该等信息的准确性、完整性或可靠性不做任何保证。本报告所载的资料、意见及推测仅反映头豹于发布本报告当日的判断，过往报告中的描述不应作为日后的表现依据。在不同时期，头豹可发出与本报告所载资料、意见及推测不一致的报告或文章。头豹均不保证本报告所含信息保持在最新状态。同时，头豹对本报告所含信息可在不发出通知的情形下做出修改，读者应当自行关注相应的更新或修改。任何机构或个人应对其利用本报告的数据、分析、研究、部分或者全部内容所进行的一切活动负责并承担该等活动所导致的任何损失或伤害。弗若斯特沙利文咨询（中国）头豹研究院https:/