1、1 证券研究报告 作者： 行业评级： 上次评级： 行业报告 | 请务必阅读正文之后的信息披露和免责申明 计算机计算机 强于大市 强于大市 维持 2020年08月02日 （评级） 分析师 沈海兵 SAC执业证书编号：S01 分析师 缪欣君 SAC执业证书编号：S03 零信任零信任SaaS：美国经验与中国特色：美国经验与中国特色 行业专题研究 摘要 2 请务必阅读正文之后的信息披露和免责申明 1、从、从IP信任到身份信任：信任到身份信任：扩容复杂且疫情下远程办公内外网边界模糊，且个人操 作复杂。现在和未来为零信任现在和未来为零信任SaaS，零信任假设所有

2、人不可信，通过模型对不同 设备和不同身份，根据行为实时动态进行认证和评估根据行为实时动态进行认证和评估。 2、美国最大的安全公司是零信任、美国最大的安全公司是零信任SaaS公司公司：自谷歌谷歌2011年年内部实施零信任架构 开始，过去两年零信任架构渗透率快速提升。已经和正在实施零信任SaaS超过 30%，还有44%客户正准备实施。典型零信任公司OKTA采用SaaS订阅模式，市订阅模式，市 值达值达250亿美元（超过防火墙等传统安全公司）亿美元（超过防火墙等传统安全公司）。 3、客户粘性和技术壁垒、客户粘性和技术壁垒：客户粘度极高，零信任SaaS深入企业业务流程和人员， 如OKTA收入续费率在收

3、入续费率在120%。技术壁垒而言，零信任SaaS要求企业掌握微隔离、 数据安全等技术，领军公司通常为对网络管理、防火墙、云安全网络管理、防火墙、云安全有深刻理解的公 司。 4、中国特色、中国特色：目前仍在导入期，渗透率极低 ，看好未来三到五年零信任零信任SaaS市市 场启动场启动。考虑技术积累和客户属性，白马推荐深信服、奇安信、美亚柏科，黑马白马推荐深信服、奇安信、美亚柏科，黑马 推荐格尔软件、数字认证。推荐格尔软件、数字认证。 风险提示：传统VPN替代不及预期；零信任SaaS市场竞争激烈；企业上云不及预期。 oPoRmMoRqPmOzRrOqMqPsR7NdN7NoMpPtRqQkPoOwO

4、lOnNqM6MqQxOwMoOqOMYnMsM 数据来源：Gartner，安恒信息官网，天风证券研究所 中国ICT技术成熟度曲线报告 图1：中国ICT技术成熟度曲线报告 目录 4 请务必阅读正文之后的信息披露和免责申明 1、何为零信任何为零信任 5、投资机会投资机会 2、零信任零信任SaaS过去和未来过去和未来 4、中国特色中国特色 3、零信任零信任SaaS的竞争格局的竞争格局 何为零信任何为零信任 1 5 1.1 零信任架构：未来安全架构的必然趋势 6 数据来源：天极网，天风证券研究所 加码零信任，厂商增加两倍：加码零信任，厂商增加两倍：2019年，RSAC上主打零信任的厂商约有3939家

5、家。截至目前，RSAC上打着零 信任标签的厂商就已经有9191家家之多，增长133%133%。 美国防部高度重视，零信任热度加速提升美国防部高度重视，零信任热度加速提升：美国国防创新委员会发布的零信任架构建议白皮书中建议 美国国防部应将零信任实施列为最高优先事项零信任实施列为最高优先事项。 而美国最大的安全公司不是防火墙公司，是零信任而美国最大的安全公司不是防火墙公司，是零信任SaaSSaaS公司公司。 39 91 0 20 40 60 80 100 20192020Q1 RSAC：零信任厂商 图2：各大厂商纷纷研发零信任，竞争愈发激烈 基于现有国防部（DoD）的网络脆弱性和网络脆弱性和 未来

6、的网络需求未来的网络需求，国防创新委员会（DIB） 建议国防部开始朝着非机密互联网协议路 由器网络（NIPRNET）和机密互联网协 议路由器网络（SIPRNET）的零信任安零信任安 全架构模型全架构模型迈进。 零信任架构建议 图3：美国国防部高度重视零信任架构 数据来源：昂楷科技官网，天风证券研究所 1.1 内涵是基于IP的信任转向基于身份和行为的信任 7 数据来源： 联软科技官网，天风证券研究所 过去过去企业身份管理为VPN，扩容复杂且疫情下远程办公内外网边界模糊，且个人操作复杂。 现在和未来现在和未来，零信任假设所有人不可信，通过模型对不同设备和不同身份，实时动态进行认证和评估。实时动态进

7、行认证和评估。 图4：传统VPN无法识别可疑用户 数据来源： H3C，useit，天风证券研究所 图5：云计算时代网络边界正在消失，VPN已无法提供云安全 1.1 零信任：假设所有人都不可信的新一代网络安全架构 8 数据来源：NIST零信任架构草案第二版，天风证券研究所 图6：零信任架构（ZTA）逻辑示意图 数据来源：深信服官网，天风证券研究所 图7：零信任必须先验证身份后，再授权 与传统网络安全区别：与传统网络安全区别：传统，先访问资源再验证身份；零信任，先验证身份先验证身份再授权访问资源 以身份为中心：以身份为中心：经过“预验证”“预授权”“预验证”“预授权”才能获得访问系统的单次通道。

8、最小权限原则：最小权限原则：每次赋予用户所能完成工作的最小访问权限最小访问权限。 业务安全访问：业务安全访问：所有访问通道都是单次的单次的，强制访问控制。 传 统 零 信 任 1.2 场景价值：云计算业务天然需要零信任SaaS 数据来源：深信服官网，昂楷科技官网，安全内参，Cybersecurity Insiders，Zscale，新华网，天风证券研究所 图8：零信任与传统安全边界防护对比 企业上云已成趋势：企业上云已成趋势：预计2025年将有85%以上企业将应用 部署到云上。 传统安全边界模糊：传统安全边界模糊：云化业务与移动互联网、IOT 等技术 的结合使得各类端点设备与业务系统的数据交互

9、不再受地不再受地 理位置或时间理位置或时间的限制。 软件定义边界基于零信任模型：软件定义边界基于零信任模型：用身份的细粒度身份的细粒度访问代替 广泛的网络接入广泛的网络接入。 SAAS化的零信任化的零信任：所有与安全相关的活动都在云中执云中执 行行，如授予数据中心或公/私有云内的访问权限。只有认 证通过后，才能与服务器建立联系。 对于员工，单点登录，不用重复输入密码，提高使用效率，更适配不断增长的云应用对于员工，单点登录，不用重复输入密码，提高使用效率，更适配不断增长的云应用/Web应用。应用。 对于企业，动态认证和授权对于企业，动态认证和授权(授权颗粒度最小化授权颗粒度最小化)，事中转事前，

10、安全性提升。，事中转事前，安全性提升。 37% 33% 18% 12% 访问云应用替代VPN 控制第三方访问其他 零信任应用于零信任应用于云应用云应用的案例最多的案例最多 附 数据输入：八大数据源 10 数据来源：NIST零信任架构草案第二版，天风证券研究所 信息源是零信任架构的输入值，有赖于CDM、SIM、TI、IDMS等系统的强大识别和管理能力 序号序号数据源数据源数据内容数据内容 1CDM系统系统-持续诊断和缓解系统持续诊断和缓解系统关于企业系统当前状态的信息企业系统当前状态的信息，并对配置和软件组件应用已有的更新 2行业合规系统行业合规系统 企业遵守可能需要遵守的任何监管制度任何监管制

11、度（如 FISMA、HIPAA、PCI-DSS 等），包 括企业内部制定的合规策略规则 3TI-威胁情报源威胁情报源 外部外部威胁威胁信息信息，帮助策略引擎做出访问决策，如DNS黑名单、发现的恶意软件、以 及已知的其他设备攻击 4数据访问策略数据访问策略企业围绕着企业资源而创建的数据访问的属性数据访问的属性、规则和策略规则和策略 5SIM系统系统-安全信息管理系统安全信息管理系统以安全为核心以安全为核心、可用于后续分析的信息可用于后续分析的信息，用于优化策略并预警。 6IMS系统系统-身份管理系统身份管理系统企业用户账户和身份记录企业用户账户和身份记录 7网络与系统行为日志网络与系统行为日志资

12、产日志、网络流量、资源授权行为和其他事件 8PKI-企业公钥基础设施企业公钥基础设施由企业颁发给资源、访问主体和应用程序的证书证书 表1：数据源系统的能力决定了权限决策的能力 附 数据输出：信任算法 11 数据来源：NIST零信任架构草案第二版，天风证券研究所 信任算法（信任算法（Trust Algorithm）：）：PE决策引擎的实现过程决策引擎的实现过程，根据数据源做出决策，传递给PA决策管理器。 根据根据NIST标准第二版，基于上下文和分数的标准第二版，基于上下文和分数的TA安全效果最好。安全效果最好。防止时间不一致性和访问者对系统的恶意训练 加权得分高于 企业设置的阈 值 PA配置PE

13、P，授权或拒绝该 主体、设备、环境对资源A的 请求 资源A 条件1 得分1 权重1 条件2 得分2 权重2 条件3 得分3 权重3 得分x 权重x 用户历史访问记 录 用户行为分析建 模用户行为方式 新请求vs建模结 果 图9：基于分数的信任算法：绝对合法性图10：基于上下文的信任算法：相对历史记录合法性 数据来源：NIST零信任架构草案第二版，天风证券研究所 数据库管理员： 每天进行策略开 发、交付 行为建模：数据 调用是合法的， 删库是不合法的 拒绝删库跑路 零信任零信任SaaS过去和未来过去和未来 2 12 2.1 零信任SaaS新蓝海：已诞生如OKTA等行业巨头 13 数据来源：安全牛

14、，wind，天风证券研究所 萌芽于美国国防部门，近萌芽于美国国防部门，近10年从概念到成功商业化。当前美国有三家零信任年从概念到成功商业化。当前美国有三家零信任SaaS企业登陆资本市场，以企业登陆资本市场，以 OKTA为例，市场高度看好，三年股价成长为例，市场高度看好，三年股价成长10倍，倍，07.06统计市值约统计市值约250亿美金（亿美金（PS 约约40倍）倍） 200420102011 201720182019 19942004年 探讨无界化网 络安全架构与 方案；2004年 NAC架构出现 2010年 Forrester Research 第一第一 次提出“零信次提出“零信 任”概念任

15、”概念 20112017年 Beyond Corp在 Google内部部 署，成为第一成为第一 个成功的零信个成功的零信 任实践任实践 2013年 CSA云安全联云安全联 盟成立盟成立SDP工工 作小组作小组，次年 发布SDP标准 规范1.0 2018年 Forrester提出 ZTX架构架构，从 微隔离拓展到 可视化、自动 化编排 2019年、2020年 美国商务部下属 的NIST连续发布 零信任架构标零信任架构标 准（草案）准（草案）的的 第一版、第二版第一版、第二版 2018年、2019 年美国三家初美国三家初 创零信任企业创零信任企业 完成完成IPO，零信 任成功商业化 美国国防部门开

16、展去边界化美国国防部门开展去边界化 的研究工作的研究工作 2020 图11：零信任是一片新蓝海 250 143 110 39 43 34 0 20 40 60 0 100 200 300 OKTAZscalercloudflare 市值（亿美元）07.06统计PS 14 零信任零信任SaaS行业的发展基本上是美国零信任行业的发展基本上是美国零信任SaaS行业发展的历程行业发展的历程：国防部在概念成型之前已开始相关研究； 概念提出后，谷歌、微软、Akamai内部实践基础上推出相关产品 ；思科、赛门铁克、派拓等企业通过收购建 立能力；三家零信任SaaS初创企业于20182019年集中上市，市值在1

17、00250亿美元。 企业类型企业类型代表企业代表企业 内部实践转换为商业产品谷歌、微软、Akamai 通过收购建立能力思科Cisco、赛门铁克Symantec， 派拓Palo Alto Networks、优利Unisys、 Proofpoint 初创企业Zscaler、Okta、Cloudflare、Illumio、 Cyxtera 表2：零信任SaaS的企业类型 数据来源：缔盟云实验室，天风证券研究所 2.1 美国零信任SaaS行业发展历程 15 多方参与教育市场，市场接受度高多方参与教育市场，市场接受度高：根据Cybersecurity Insider的调查，15%的受访IT团队已经实施零

18、信任 SaaS，44%表示准备部署，这与联邦政府、咨询机构、各类企业共同教育市场不无关系。 图12：美国企业IT从业者对零信任架构接受度高 数据来源：安全内参，Cybersecurity Insider，天风证券研究所 注： Cybersecurity Insider基于其2019年78月对美国315个IT和网络安全专家的调查 2018年 Gartner提出零信任是实践 持续自适应的风险和信任 评估（CARTA）的第一 步 ，推动零信任的市场认 知 2019年、2020年 美国商务部下属NIST连续 推出两版零信任架构标 准（草案），向市场传 达零信任架构的逻辑和价 值 2017年 Gartn

19、er推出自适应安全 3.0的版本CARTA框架， 其思想与零信任一致，推 进了产业界的投入和研究 2018年 Forrester 开始发布零信 任扩展生态系统ZTX报 告，探索零信任架构在 企业中的应用，将市场 教育作为企业关键能力 2018年、2019年 3家初创企业集中IPO， 思科、赛门铁克、派 拓、Proofprint完成8起 零信任领域收购，引起 关注 图13：多方参与教育市场 数据来源：网络安全白皮书，缔盟云实验室，天风证券研究所 15% 19% 44% 19% 3% 美国企业美国企业IT达达78%接受零信任接受零信任 已经部署正在部署 准备部署暂无计划 不知道零信任 2.2 发展

20、现状：多方参与教育市场，市场接受度较高 2.34 5.01 9.82 15.15 24.86 38.07 114% 96% 54% 64% 53% 0% 20% 40% 60% 80% 100% 120% 0 5 10 15 20 25 30 35 40 2014A2015A2016A2017A2018A2019A 订阅收入（亿元）同比增长（%，右轴） 16 数据来源：Gartner，人民网，天风证券研究所 零信任零信任SaaS渗透率加速提升：渗透率加速提升：根据Gartner估计，到2022年，面向生态系统合作伙伴开放的80%的新数字 业务应用程序将通过零信任网络（ZTNA）进行访问。到20

21、23年，60%的企业将淘汰大部分远程访问虚拟 专用网络（VPN），转而使用零信任SaaS。 零信任零信任SaaS龙头公司龙头公司OKTA 2019年订阅收入规模年订阅收入规模38亿元，占营收亿元，占营收94.3%。 60% 40% 零信任 VPN 图14：到2023年零信任SaaS替代60%的VPN图15：OKTA订阅收入规模 数据来源：OKTA公司年报整理，天风证券研究所 2.3 零信任SaaS成长空间可观：2023年替代60%传统VPN 零信任零信任SaaS的竞争格局的竞争格局 3 17 18 3.1 群雄逐鹿，行业处在成长初期 行业处在成长期，份额分散：行业处在成长期，份额分散：根据Fo

22、rrester 2019Q4 报告，市场领导者和其他竞争者市场份额差距较小。创业 公司Illumio、Okta、传统公司思科、Palo Alto进入领导者象限。 数据来源：Forrester Wave，安全牛，天风证券研究所 创业公司创业公司成立时间成立时间市值市值零信任产品零信任产品 Zscaler2008年2018年Nasdaq上市，市值143亿美元ZPA 内部应用安全 访问 Okta2009年2018年Nasdaq上市，市值243亿美元Okta Identity Cloud 身份识别 Cloudflare2009年2019年NYEX上市，市值110亿美元Cloudflare Access

23、 边缘实施访问规则 Illumio2013年E轮,估值10亿美金Adaptive Security Platform 持续监控 系统 Cyxtera2017年2017年被BC Partner收购，作价28亿 美元 Appgate SDP 物联 网保护，客户主要 是联邦机构 图16：零信任SaaS市场竞争格局分散表3：创业企业已有一定规模，零信任SaaS行业处在成长初期 数据来源：缔盟云实验室，wind，天风证券研究所，市值数据截至2020年7月6日 表4：零信任SaaS可能面临的风险和响应解决方案 行业技术壁垒高行业技术壁垒高。数据安全、操作人员、设备安全面临较高的风险，根据Forrester

24、以上是最重要的性能标准。 而相应解决能力有赖于网络弹性技术、机器学习、加密流量的收集等技术，以及从实践方案中积累的经验。 因此，需要对安全或者网络的技术理解非常深刻需要对安全或者网络的技术理解非常深刻（除了创业公司，为思科、除了创业公司，为思科、Palo Alto） 数据来源：NIST零信任架构草案第二版，天风证券研究所 序号 风险原因解决方案 1PE/PA 配置错误有权限的企业管理员的进行不合法的配置记录任何配置修改，同时进行审计 2拒绝服务或网络中断 攻击者可能者破坏或阻断对PEP或PA的访问 （DoS攻击或路由劫持） 通过强制驻留在云中的策略，或根据网络弹性技 术规范地在几个位置进行复制

25、 托管提供商意外地将基于云PE或PA宕机严格评估选择托管商 由于攻击或大量使用，PA无法访问企业资源网络弹性 3凭证被盗/内部威胁外部攻击者伪装/内部人员删库跑路基于上下文TA 4部分网络不可见非企业设备资产&拒绝监控的应用程序产生的 流量无法监控 1. 收集有关加密流量的元数据，并用它来检测 2. 机器学习用于分析无法解密和检查的流量,允 许企业将流量分类为正常的或可能恶意的，并且 进行整治 5网络信息存储量更大， 风险暴露高 ZTA实时监控设备/用户/环境，产生大量数据并 用于后续分析，成为攻击目标 甄别数据价值等级，并制定相应的访问策略 6供应商风险产商可能有安全性问题或突然中断对供应商

26、进行整体的评估，包括供应商安全控制、 企业转换成本、和供应链风险管理 7ZTA的非人类实体人工智能被用来管理企业网络上的安全性问题， 存在漏报/误报，被训练的风险 定期重新调整分析来纠正错误的决策并将其改善 3.1 兼具网络和安全的理解厂商有先发优势 20 数据来源：Forrester Wave，天风证券研究所 零信任零信任SaaS架构的实现依托于关键的技术架构的实现依托于关键的技术。根据Forrester,零信任SaaS系统商要对零信任有深刻的认识、 较强的微隔离能力、广泛的集成和API能力、识别并监控任何可能带来风险的身份的能力（不仅是IAM）。 国外领先企业通常为对网络管理、云安全、防火

27、墙网络管理、云安全、防火墙有深刻理解的公司 序号序号能力能力 1对零信任深刻的认知，并积极教育客户和市场积极教育客户和市场 2微隔离微隔离是必备的能力，不管是对客户、设备还是网络 3跨基础设施执行能力，要有强大集成和集成和API能力 4强大的判断风险点能力，识别和监控身份识别和监控身份的能力 表5：Forrester认为零信任SaaS供应商应具备的四大能力 数据安全, 17% 操作人员, 15% 设备安全, 14%网络安 全, 12% 负载安全, 12% 易管理和易用 性, 10% 自动化编排, 8% APIs集合能 力, 7% 可视化和分析 能力, 5% 数据来源：Forrester Wav

28、e，天风证券研究所 图17：Forrester性能评价维度和权重 3.1 零信任SaaS提供商需要具备的四大能力 21 从自适应安全业务出发，强大的集成能力，业务流程可视化从自适应安全业务出发，强大的集成能力，业务流程可视化：基于原有的端到端流量监控筛查能力端到端流量监控筛查能力，Illumio关 注基于客户当前的技术部署情况，进行零信任架构建设。根据Forrester, 公司强大的APIs能力受到广泛好评， 能够集成已部署的工具和设备，兼容性强。 数据来源：Illumio官网，天风证券研究所 图18：Illumio的ASP UI可视化和易操作性强 核心部件核心部件含义含义特点特点 PCE策略

29、计算引擎适用公有云、私有云；可运行 分布全球的25000个业务负载 VEN虚拟执行节点， 读取和执行 针对每一个请求的主机状态进 行防火墙编程：主机操作系统 中的第3层/第4层防火墙；负载 平衡器和交换机，容器化主机 和云安全组中的访问控制列表 策略生成器和 应用程序依赖 图建模 推荐最佳策略， 在实施前进行 效果建模测试 加快安全性工作流程，以减少 创建分段策略时出现人为错误； 防止策略不当造成实质性后果 丰富的UI和API便捷的PCE结 果呈现和交互 REST API通过客户端修改服务器 端的资源，并实时看到结果 数据来源：Illumio官网，天风证券研究所 表6：Illumio的性能强、

30、减少操作风险，使用体验佳 3.2 Illumio：强大的集成能力，负载和风险治理性能强，交互性好 22 公司拥有行业标杆性大客户，客户满意度高公司拥有行业标杆性大客户，客户满意度高：根据Gartner，Illumio ASP产品用户评价得分较高，在4.6分（满 分5分）；客户留存率98%。前期评估、集成和部署能力、服务和支持、产品性能为Illumio 得分较高的方面， 强大的集成能力，负载和风险治理性能强，交互性好为公司赢得行业标杆性大客户青睐。 数据来源：Illumio官网，Gartner Peer Insights，天风证券研究所 图19：Salesforce、国泰航空、英格兰银行等行业标

31、杆客户 数据来源：Illumio官网，天风证券研究所 图20：客户留存率达98%，客户评分接近满分 3.2 Illumio：强大性能带来标杆性大客户，满意度92%和留存率98% 23 根据亿欧，Okta客户平均拥有83个个云应用，其中9%的客户拥有200多个多个云应用。 从面向从面向SaaS产品的产品的SSO单点登录发展成身份认证和管理平台单点登录发展成身份认证和管理平台：2009年以来作为SaaS服务商与企业的中间产品 提供者，深耕云应用统一登录云应用统一登录领域。2018年收购云访问控制网络安全商ScaleFT后，构建起以身份认证为核心身份认证为核心 的零信任平台。根据Forrester，

32、其后台管理UI具有最佳的易用性和间接性；集成了几乎所有常见的外部应用。 数据来源：Okta官网，天风证券研究所 图21：公司核心产品是身份云，把控零信任的入口把控零信任的入口 数据来源：Okta官网，天风证券研究所 图22：Okta集成6500款云产品，一键登录 2018年收购云访问控制 网络安全商ScaleFT后 登录1 登录1 登录1 登录1 SSO单点登录 一次登录 全部调用 过去现在 3.3 Okta：深耕统一身份治理，强大的集成能力，最简洁的UI 更多集成 服务器 应用程序 设备 IaaS APIs 更深挖掘 设备状态 生物统计、 终端安全 移动安全 网络 用户行为 应用程序 登录

33、三方智能 更多应用 零信任 上下文分 析 安全分析 安全基础 设施 24 定价模式可持续性强，积极拓展产品线，定价模式可持续性强，积极拓展产品线，ACV增长显著增长显著：公司基本功能产品按照客户数每月收费，单价在几十 元每年；高级附加功能按照年收费，价格在8000美元以上。按照功能数阶梯定价，随着产品功能丰富，用户价 值提高，ACV增长空间较大。根据公司投资者大会，公司通过多种方式拓展产品线，成熟客户ACV增长在6X。 数据来源：Okta投资者交流材料，天风证券研究所 表7：基本功能按照用户数每月收费，按照功能阶梯定价 数据来源：Okta官网，天风证券研究所 图23：多角度拓展产品线,提升AC

34、V 产品产品价格价格备注备注 SSO、适应性 SSO$2/最终用户/月、 $5/最终用户/月 增加了基于上下文的分析功能 MFA、适应性 MFA $3/最终用户/月、 $6/最终用户/月 增加了新身份检测（设备、地理位置、 IP）、网络匿名和不合理访问模式的 检测 生命周期管理$4/最终用户/月、 $6/最终用户/月 $2/最终用户/月-附件 增加了可视化界面、无代码功能拓展 等功能 API 访问管理$2/最终用户/月公有云、私有云，无缝SSO/MFA，允 许自定义IAM流程 访问网关$3/最终用户/月无限制主机、应用、数据中心、服务 器连接 客户身份管理单个APP$1.2万起， 大企业$4.

35、2万/年起 支持10亿MAUs访问 3.3 Okta：双重定价法，积极拓展产品线，客户ACV增长在6X 服务周期长，客户转换成本高。服务周期长，客户转换成本高。根据NIST：“向零信任架构的转型是漫长的旅程而不是简单的置换企业现有 基础设施“。零信任架构的部署一般持续数年：以Google为例，零信任架构的转移共用6年时间年时间。这意味着 客户选择厂商时会较为谨慎，而一旦获客后单客户带来的收入稳定性也较高。相应的证据是是Okta dollar based留存率约留存率约120%。 图24：零信任架构的部署周期 数据来源：NIST零信任架构草案第二版，天风证券研究所 图25：Okta Dollar

36、-Based留存率均约120% 117%121% 数据来源：Okta投资者交流材料，天风证券研究所 3.4 优势可持续，客户粘度极高 中国特色中国特色 4 26 27 4.1 受限于C/S架构下产品接口不统一，但未来云应用有望解决 过去缺少统一技术标准，用户体验差过去缺少统一技术标准，用户体验差。由于各个软件接口之间缺少统一技术标准，部分厂商将零信任架构与现 有产品组合并未实现好的用户体验差。但在在WEB端云应用下零信任端云应用下零信任SaaS的用户体验有望解决。的用户体验有望解决。 图26：零信任SaaS缺少技术统一标准 数据来源：驱动中国，深信服官网，天风证券研究所 统一身份认证中心统一身

37、份认证中心 用户多因素身份 信息验证 单点登录 账号管理 持续评估信任持续评估信任 终端安全评估 行为检测分析 安全访问业务安全访问业务 开放融合：各类 安全产品联动 全局可视：内网 可视可控 动态访问控制动态访问控制 信任等级，身份 /环境/行为可信 应用资源分级 静态授权 底层技术能否适配：终端和通信协议种类多。 满足合规要求：实施过程中必须达到的安全核心技术要求。 具体落地：1）落地的成本是否低于传统VPN；2）业务的切割能否做到平滑的过渡； 3）用户的习惯是否可以体验更好。 28 4.1 企业应用SaaS化后，WEB端访问更适配零信任架构 单点登录更适合云应用、移动应用：单点登录更适合

38、云应用、移动应用：零信任SaaS主要通过单点登录，对WEB端有更好的支持，用户体验好 企业业务上云趋势下，零信任企业业务上云趋势下，零信任SaaS更好适配用户需求更好适配用户需求：企业应用云化，企业用户主要通过WEB端访问，打通应 用之间联系。通过SaaS化零信任，用户无需在内网部署任何软硬件，直接通过SaaS零信任平台访问云端应用， 极速交付，即需即用，安全性极高（访问控制由安全专家负责）。 图27：对所用应用程序提供零信任SaaS访问 数据来源：citrix官网.，天风证券研究所 图28：零信任SaaS更适配云应用的使用 数据来源：联软科技官网，天风证券研究所 单点 登录 29 4.1 除

39、了内生需求如远程办公，政策也在重视 政策首次提及零信任：政策首次提及零信任：2019年起草的关于促进网络安全产业发展的指导意见(征求意见稿)首次将零信任安首次将零信任安 全列入网络安全需要突破的关键技术全列入网络安全需要突破的关键技术。今年网络安全相关的政策也密集出台，零信任有望得到政策推动。 图29：过去一年半中国采招网上“零信任”词频统计 数据来源：中国采招网， 天风证券研究所统计 00 1 0 2 0 3 1 2 3 6 15 9 1 7 11 10 8 零信任词频统计（次) 30 4.2 零信任SaaS产品2019年开始推出，市场处在萌芽期 国内企业2019年开始推出零信任产品，目前大

40、多处在实践落地期，初创企业规模较小，行业处在导入期 表8：零信任产品自2019年开始加速落地，但市场仍处于萌芽阶段 梯队梯队 企业企业公司主营公司主营零信任产品零信任产品市值市值成立时间成立时间 零信任产品推出时间零信任产品推出时间 一级 深信服 信息安全（62%）、云计算、 基础网络与物联网 aTrust安全架构创业板上市，市值776亿元 2000年20192019年年 美亚柏科电子取证（40%）-创业板上市，市值190亿元1999年20192019年年 格尔软件PKI（67%）-主板上市，市值53.23亿元1998年 20192019年开始构建，年开始构建，20202020 年推动落地年推

41、动落地 数字认证数字认证（33%）-创业板上市，市值81亿元2001年20202020年重点研究年重点研究 奇安信新一代网络安全（78%）零信任身份安全解决方案 科创板6月23日过会， 拟发行1.02亿股 2014年 20182018年开始构建，年开始构建，20192019 年推出年推出 二级 联软科技 信息安全， 网络安全（并购而来） UniSDP 新三板退市，19年12月获达晨创 投6000万融资 2003年20192019年，已有实践落地年，已有实践落地 山石网科边界安全（86%） 山石云格微隔离零信任模 型 科创板上市，84亿元2011年20182018年年 云深互联SDP网络隐身深云

42、SDPC轮2012年20182018年或更早年或更早 缔盟云零信任零信任网络访问抗DDoS未融资，100个企业客户2017年- 数据来源：各公司官网，各公司年报，wind，天风证券研究所 31 4.2 深信服：技术完善的零信任平台，未来安全有望SaaS化 深信服精益信任深信服精益信任aTrust安全架构：安全架构：在零信任的基础上做了增强，通过自适应策略，结合按需扩展的功能组件， 通过私有化、云化私有化、云化等多种部署方式，实现信任和风险的精益控制，形成自主调优、快速处置的统一安全架构。 公司在身份行为管理、网络安全和可扩展性、云等产品技术积累雄厚，身份验证、行为测试能力强；同时 aTrust

43、可与公司其他安全产品（EDR等）互联联动，安全效应增强。 数据来源：深信服官网、天风证券研究所 图30：强调集成组合能力、可视化和身份检测能力集成组合能力、可视化和身份检测能力的aTrust图31：aTrust 动态权限+统一的安全 数据来源：深信服官网、天风证券研究所 32 4.2 深信服：未来零信任SaaS化收入保守估计在30亿元 数据来源：深信服官网/公告/微信公众号，数字认证招股说明书，国务院，温州财经网，北京大学口腔医院官网等，天风证券研究所 图32：深信服未来零信任SaaS收入预测 根据公司微信公众号，公司已有近根据公司微信公众号，公司已有近50000企业级用户。同时公司已覆盖企业

44、级用户。同时公司已覆盖90%政府部委单位，政府部委单位，90%银行、证券、银行、证券、 保险单位，保险单位，90%双一流高校，双一流高校，90%医疗百强机构，医疗百强机构，95%三大运营商集团。三大运营商集团。 客户稳定下，看好公司未来零信任客户稳定下，看好公司未来零信任SaaS收入保守估计在收入保守估计在30亿元，增加公司长期市值空间。亿元，增加公司长期市值空间。 33 4.3 奇安信：专注新业务场景下的零信任SaaS 专注新业务场景下的零信任专注新业务场景下的零信任SaaS ：面向人员、外部应用、外部数据平台对内部数据、应用和API接口的调用， 适用于云计算、大数据等新业务场景下的动态可信

45、访问控制体系。解决方案已经在部委级客户、能源企业、金 融行业等进行正式的部署建设或POC试点。 公司为网络安全领域领军企业，身份检测也有完善的布局，在监控和识别关键风险点上能力突出。 图33：以身份识别为基础，已经在多部门实践形成标准化解决方案 数据来源：奇安信官网，天风证券研究所 图34：公司现有部分产品 政府、部委能源 金融、央企 数据来源：奇安信官网，天风证券研究所 34 4.3 美亚柏科：从大数据延伸到大数据安全（零信任SaaS 、态势感 知） 大数据平台跨多城市多部门：大数据平台跨多城市多部门：对安全访问要求高，同时对数据安全授权要求高；传统VPN无法有效支撑访问。 大数据安全规范：

46、大数据安全规范：引进“零信任”安全认证和权限分级管理机制，确保数据内容安全合规使用。 数据来源：美亚柏科官网，天风证券研究所 图35：大数据涉及多城市多部门，对零信任要求高图36：零信任技术已应用到产品 大数据中台大数据中台 卫计委卫计委 政务政务 公安公安 应急应急 军工军工 税务税务 数据来源：美亚柏科官网，天风证券研究所 35 4.3 格尔软件：PKI龙头，身份验证管理优势明显 PKI龙头：龙头：PKI市占率第四，PKI是零信任八大数据源之一，是通过证书来获取身份信息的方式。 稳步推进零信任，非公开募股投资项目之一：稳步推进零信任，非公开募股投资项目之一：2019年初开始，公司基于扎实的

47、客户、技术基础稳步推进零信任 SaaS 。 公司优势公司优势：零信任以身份为中心，公司具备身份认证管理技术先发优势。 数据来源：IDC，天风证券研究所 图37：格尔为身份和数字信任软件行业领先企业图38：公司稳步推进零信任SaaS事业 2019年12月， 公司启动非公开增发， 零信任为计划投资项目 之一，6月20日获得证 监会批准 2020年初，公司年报 经济计划中表示今年开 始推进实践落地 2019年初，公司经 营计划中表示开始构 建基于零信任体系 数据来源：格尔软件公司年报与公告，天风证券研究所 36 4.3 格尔软件：看好中长期市值空间约230亿元 根据格尔软件招股说明书公司已有客户，估

48、计公司目前客户人群总数达1332万人；并参考试点项目ARPU值 （人均约50元左右），未来格尔软件SaaS收入保守估计在6.5亿元，35X PS下，未来市值空间约230亿元。 图39：格尔软件零信任SaaS市场估计 数据来源：格尔软件公司年报与公告，数字认证招股说明书，wind企业库等，天风证券研究所 37 4.3 数字认证：PKI龙头，数字身份证书经验可复制到零信任 PKI龙头：龙头：PKI市占率第二，同格尔软件一样，基于主营业务紧握技术先发优势。 承担十三五课题积累零信任技术，承担十三五课题积累零信任技术，2020年零信任年零信任SaaS成重点研究方向：成重点研究方向：2020年公司将建立

49、研究院，将零信 SaaS任与车联网、区块链一起作为重点研究方向，实际上在此之前公司已经牵头/参与了多项涉及零信任底层 技术的国家级研究课题，并在2019年提出建设零信任智慧医院可信体系。 数据来源：数字认证公司微信公众号，天风证券研究所 图40：可信医学数字身份建设表9：公司承担多项国家级零信任底层技术课题 数据来源：数字认证年报，天风证券研究所 门类门类牵头或参与的项目牵头或参与的项目 国家重点研 发计划“网 络空间安全” 重点专项 “信息服务可信管理平台研制平台研制及应用示范” “信息服务可信管理分级分类分级分类体系研究” “信息服务实体管理及身份鉴别实体管理及身份鉴别体系研究” “亿级规模亿级规模网络身份管理与服务身份管理与服务系统技术” 38 4.3 山石网科：专注云资产微隔离，面向业务持续监控，多个用例 山石网科在业界率先推出面向公有云及私有云的安全防护产品山石云山石网科在业界率先推出面向公有云及私有云的安全防护产品山石云格。格。多角度划分云安全区域，帮助用户解 决当前面临的