1、计算机计算机 请务必参阅正文后面的信息披露和法律声明 1 / 27 计算机计算机 2020 年 09 月 23 日 投资评级：投资评级：看好看好（维持维持） 行业走势图行业走势图 数据来源：贝格数据 行业点评报告-阿里“犀牛工厂”正 式亮相，工业互联网大风已起 -2020.9.18 行业点评报告-网络安全行业正在 迎来积极变化-2020.9.3 零信任：网络安全理念的重塑零信任：网络安全理念的重塑 行业深度报告行业深度报告 陈宝健（分析师）陈宝健（分析师） 刘逍遥（分析师）刘逍遥（分析师） 证书编号：S0790520080001 证书编号：S0790520090001 零信任大风已起，有望开启

2、百亿市场空间零信任大风已起，有望开启百亿市场空间 零信任作为 IT 无边界化趋势下一种新安全理念，已经成为全球网络安全的关键 技术和大趋势。当前海外零信任市场已走向规模化落地，商业模式较为成熟，而 国内零信任市场刚刚兴起，腾讯、阿里等互联网巨头及深信服、奇安信、绿盟科 技等安全厂商均结合自身业务推出零信任产品和解决方案。 长期来看， 国内零信 任市场规模有望达百亿。推荐在零信任领域有前瞻布局的深信服、奇安信、安恒 信息、启明星辰，建议关注绿盟科技、南洋股份、美亚柏科、山石网科。 零信任：零信任：IT 无边界化趋势下的安全理念变革无边界化趋势下的安全理念变革 IT 无边界化大势所趋，高级网络攻击

3、肆虐，内外部威胁愈演愈烈，在此背景下 传统的边界安全体系需要迭代升级， 零信任理念应运而生。 与传统边界模型的 “信 任但验证”不同，零信任的核心原则是“从不信任、始终验证” 。目前零信任架 构建设已形成三大主要技术路径：软件定义边界（SDP） 、身份识别与访问管理 （IAM） 、微隔离（MSG） ，在业内被广泛认知与应用。 海外市场：海外市场：零信任已走向规模化落地，商业模式较为成熟零信任已走向规模化落地，商业模式较为成熟 1） 市场认知度较高， 已步入快速向零信任架构转型阶段。 根据 Gartner 预测， 2022 年将有 80%面向生态合作伙伴的新数字业务应用采用零信任网络访问。202

4、3 年 将有 60%的企业从远程访问 VPN 向零信任网络架构转型。2）市场参与者众多， 实现路径各有差异。 既有谷歌、 微软等率先在企业内部实践零信任并推出完整解 决方案的业界巨头，有“以身份为中心的零信任方案”的 Duo、OKTA、Centrify、 Ping Identity，也有偏重于网络实施方式的零信任方案的 Cisco、Akamai、 Symantec、VMware、F5 等。3）商业模式较为成熟，SECaaS 为主流交付模式。 国内市场：产品与解决方案快速涌现，国内市场：产品与解决方案快速涌现，重在探究与原有业务的结合重在探究与原有业务的结合 1）随着“攻防演练”的常态化推进及更

5、多企业的参与，减少暴露面及核心资产 隐藏的急迫需求，已经使零信任架构成为“攻防演练”取得高分的利器之一。同 时，零信任安全也引起了国家相关部门和业界的高度重视。2）以腾讯、阿里云 为代表的互联网巨头及深信服、 奇安信、 绿盟科技等安全厂商均结合自身业务推 出零信任产品和解决方案，并已逐步在中央部委、国家机关、中大型企业实践落 地。3）从交付模式来看，考虑国内信息化发展水平及对安全的重视程度，短期 内仍以解决方案为主，长期有望向 SECaaS 模式转变；4）零信任市场已经踏上 高速发展的起点，根据我们粗略测算，到 2024 年国内零信任市场规模有望达百 亿人民币。 风险提示：风险提示：疫情影响全

6、年业绩风险；市场竞争加剧风险；人才流失风险。 -14% 0% 14% 27% 41% 55% --09 计算机沪深300 相关研究报告相关研究报告 开 源 证 券 开 源 证 券 证 券 研 究 报 告 证 券 研 究 报 告 行 业 深 度 报 告 行 业 深 度 报 告 行 业 研 究 行 业 研 究 行业深度报告行业深度报告 请务必参阅正文后面的信息披露和法律声明 2 / 27 目目 录录 1、 零信任是安全建设思路的转变 . 4 1.1、 零信任诞生的背景：IT 无边界化 . 4 1.2、 零信任的核心原则：从不信任、始终验证 . 4 1

7、.3、 实现零信任的三大技术路径：SDP、IAM、MSG . 5 1.4、 零信任体系架构典型场景：远程办公、大数据中心、云安全平台 . 8 2、 海外零信任已走向规模化落地，商业模式较为成熟 . 10 2.1、 海外零信任市场参与者众多，实现路径各有差异 . 11 2.1.1、 谷歌 BeyongCorp：企业零信任体系建设的标杆 . 11 2.1.2、 Illumio：利用微隔离技术实现零信任防护 . 12 2.1.3、 Okta：领先的第三方企业身份管理平台 . 13 2.2、 SECaaS 成为海外零信任市场主流交付模式. 15 3、 国内零信任市场仍处于探索阶段，有望实现高速增长 .

8、 16 3.1、 国内零信任产品开始涌现，重在探究与原有业务的结合 . 17 3.1.1、 腾讯：国内最早落地零信任安全架构的探索者之一 . 17 3.1.2、 阿里云：全资收购九州云腾，构建云上零信任体系 . 18 3.1.3、 深信服：推出精益信任 aTrust 安全架构，获得用户认可 . 19 3.1.4、 奇安信：零信任解决方案已经在部委、央企、金融等行业进行广泛落地实施 . 20 3.1.5、 绿盟科技：拥抱零信任理念，重构安全体系架构 . 21 3.1.6、 启明星辰：已推出启明星辰零信任管控平台 . 21 3.1.7、 芯盾时代：引领零信任安全风向的创新型企业 . 22 3.2、

9、 国内零信任交付模式仍以解决方案为主，长期有望向 SECaaS 转变 . 23 3.3、 长期来看，国内零信任市场规模有望达百亿 . 23 4、 投资建议 . 24 5、 风险提示 . 25 图表目录图表目录 图 1： 传统边界安全架构无法适应当前业务体系 . 4 图 2： 零信任安全理念在国外逐渐被广泛认知. 4 图 3： 零信任逻辑组件基本关系及其相互作用. 5 图 4： 软件定义边界（SDP）模型包括三大组件 . 6 图 5： IAM 涉及四个领域的内容：IGA、AM、PAM 及认证权鉴 . 7 图 6： 零信任建设对 IAM 的需求 . 7 图 7： 微隔离技术重点用于阻止攻击者进入企

10、业数据中心网络内部后的横向平移 . 8 图 8： MFA 和 SSO 技术是目前零信任实施过程中最常用到的技术手段 . 8 图 9： 微隔离和 SDP 或将成为未来几年最受欢迎的技术 . 8 图 10： 基于零信任架构的远程办公安全参考架构 . 9 图 11： 基于零信任架构的大数据中心安全参考架构 . 9 图 12： 基于零信任架构的云计算平台安全参考架构 . 10 图 13： 零信任的采用才刚刚起步，但是其重要性已被多数企业认知 . 10 图 14： 2023 年预计将有 60%的企业从远程访问 VPN 向零信任网络架构转型 . 11 图 15： 海外零信任市场参与者众多 . 11 图 1

11、6： Google 的 BeyondCorp 取代 VPN 提供安全远程访问 . 12 mNtMqPnRsMmQsOnQmOqOtMbRaObRmOqQtRpPiNrRwPeRsQtP6MmMwOvPtPsMuOnNsR 行业深度报告行业深度报告 请务必参阅正文后面的信息披露和法律声明 3 / 27 图 17： BeyondCorp 组件和访问流程 . 12 图 18： Illumio 的核心产品就是其自适应安全平台 . 13 图 19： Illumio Edge 主要通过三个步骤来阻隔不必要的网络通信 . 13 图 20： Okta 在 Gartner 定义的 AM 魔力象限中地位领先 .

12、14 图 21： Okta 在 Forrester 定义的 IDaaS 象限中居领导者地位 . 14 图 22： Okta 拥有完整的身份认证管理平台 . 14 图 23： Okta Identity Cloud 用户覆盖广泛 . 15 图 24： CSA 将 SECaaS 细分为十个子集类别 . 15 图 25： 腾讯 iOA 打造零信任最佳实践. 17 图 26： T-Sec SDP “三唯”访问控制，护航移动办公全场景安全 . 18 图 27： 九州云腾产品分为生成令牌 IPG 和解析令牌 SPG 两大系列 . 19 图 28： 深信服精益信任 aTrust 安全架构在零信任的基础上做了

13、增强 . 19 图 29： 奇安信零信任解决方案整体架构 . 20 图 30： 奇安信零信任安全解决方案已在某头部客户的大数据中心部署 . 20 图 31： 绿盟发布零信任安全解决方案 . 21 图 32： 绿盟零信任解决方案通过增加零信任安全组件以实现零信任网络访问控制 . 21 图 33： 启明星辰零信任安全体系以“四横三纵”为主要逻辑框架 . 22 图 34： 芯盾时代拥有四大产品系列 . 22 图 35： 芯盾时代已五次入选 Gartner 报告 . 23 图 36： 缔盟云已开始尝试 SECaaS 的交付模式 . 23 图 37： 全球零信任安全市场规模预计到 2024 年将达 38

14、6 亿美元 . 24 表 1： 区别于传统安全架构，零信任的核心原则是“从不信任、始终验证” . 5 表 2： SECaaS 成为零信任主流的交付模式 . 16 表 3： 中性假设下，到 2024 年国内零信任市场规模有望达百亿人民币 . 24 表 4： 推荐深信服、奇安信、安恒信息、启明星辰，建议关注绿盟科技、南洋股份、美亚柏科、山石网科（截止 2020.9.23 收盘） . 24 行业深度报告行业深度报告 请务必参阅正文后面的信息披露和法律声明 4 / 27 1、 零信任零信任是安全建设思路的转变是安全建设思路的转变 1.1、 零信任诞生的背景：零信任诞生的背景：IT 无边界化无边界化 在

15、传统的安全体系下，内网用户默认享有较高的网络权限，而外网用户如异地 办公员工、分支机构接入企业内网都需要通过 VPN。不可否认传统的网络安全架构 在过去发挥了积极的作用， 但是在IT无边界化已经成为大趋势， 高级网络攻击肆虐， 内外部威胁愈演愈烈的环境下，传统的边界安全体系需要迭代升级，零信任理念应 运而生。 图图1：传统边界安全架构无法适应当前业务体系传统边界安全架构无法适应当前业务体系 资料来源：深信服 零信任的最早源自 2004 年成立的耶利哥论坛 （Jericho Forum） ， 其成立的使命是 为了定义无边界趋势下的网络安全问题并寻求解决方案。2010 年约翰金德维格 （John

16、Kindervag）首次提出了零信任安全的概念，其核心思想是企业不应自动信任 内部或外部的任何人/事/物，应在授权前对任何试图接入企业系统的人/事/物进行验 证。历经十年发展，零信任安全理念在国外逐渐被广泛认知。 图图2：零信任安全理念在国外零信任安全理念在国外逐渐逐渐被广泛认知被广泛认知 资料来源：云安全联盟 CSA、开源证券研究所 1.2、 零信任零信任的核心的核心原则原则：从不信任、始终验证从不信任、始终验证 根据 NIST 的定义，零信任（Zero trust）提供了一系列概念和思想，旨在面对被 行业深度报告行业深度报告 请务必参阅正文后面的信息披露和法律声明 5 / 27 视为受损的

17、网络时，减少在信息系统和服务中执行准确的、权限最小的按请求访问 决策时的不确定性。零信任架构（ZTA）是一种企业网络安全规划，它利用零信任 概念，并囊括其组件关系、工作流规划与访问策略。因此，零信任企业作为零信任 架构规划的产物，是指为企业准备的（物理和虚拟的）网络基础设施及操作策略。 图图3：零信任零信任逻辑逻辑组件基本关系及其相互作用组件基本关系及其相互作用 资料来源：NIST 与与边界模型的“信任但验证”边界模型的“信任但验证”不同，零信任的核心不同，零信任的核心原则原则是是“从不信任“从不信任、始终验始终验 证”证” 。传统上机构（及一般企业网络）都专注于边界防御，授权主体可广泛访问内

18、网 资源。而根据 Evan GilmanZero Trust Networks书中所述，零信任网络建立在五 个假设前提之下：1）应该始终假设网络充满威胁；2）外部和内部威胁每时每刻都 充斥着网络；3）不能仅仅依靠网络位置来确认信任关系；4）所有设备、用户、网 络流量都应该被认证和授权；5）访问控制策略应该动态地基于尽量多的数据源进行 计算和评估。 表表1：区别于传统安全架构，区别于传统安全架构，零信任零信任的核心的核心原则原则是是“从不信任“从不信任、始终验证”始终验证” 传统安全架构传统安全架构 零信任安全架构零信任安全架构 防护对象防护对象 以“网络”为中心的防护 以“数据”为中心的防护

19、“攻防对抗”为主 关注“应用/资源” 防护基础防护基础 基于“边界”的防护 “无边界”防护 以“信任”为基础 默认“不信任” ，最小权限 防护理念防护理念 一次认证、静态策略 持续评估、动态访问控制 被动、静态地防御 主动、自动化防御 资料来源：绿盟科技、开源证券研究所 1.3、 实现实现零信任零信任的三大技术路径的三大技术路径：SDP、IAM、MSG 零信任是一种理念，而不是一种技术零信任是一种理念，而不是一种技术。因此，没有单一的产品或解决方案能够 使企业独自实现零信任。但是，业内普遍认为软件定义边界（SDP） 、身份识别与访 问管理（IAM） 、微隔离（MSG）是实现零信任的三大技术路径

20、。 软件定义边界（软件定义边界（SDP） 软件定义边界（SDP）由云安全联盟（CSA）于 2013 年提出，用应用管理者可 控的逻辑组件取代了物理设备，只有在设备证实和身份认证之后，SDP 才提供对认 行业深度报告行业深度报告 请务必参阅正文后面的信息披露和法律声明 6 / 27 证基础设施的访问，SDP 使得应用所有者部署的边界可以保持传统模型中对于外部 用户的不可见性和不可访问性， 该边界可以部署在可以访问的任意位置， 如网络上， 云中，托管中心中，私有企业网络上，或者同时部署在这些位置。 SDP 改变了传统的网站连接方式改变了传统的网站连接方式。在传统的连接中，首先，客户端需要建立与 服

21、务器端的连接，这一步骤使服务端暴露在公网中，若服务端有漏洞，则有可能被 利用；其次，用户通过登录页面输入用户名和密码，这一步骤有可能使得用户名和 密码被窃取；最后，除用户名和密码外还可使用多因素认证，通过多因素认证，可 以抵抗用户名和密码的丢失，但是多因素认证对于用户而言不是很友好。而在 SDP 中，首先，客户端进行多因素认证，认证设备的可靠性等，这一步对用户而言是透 明的。认证通过之后，才进入用户登录阶段。这两步均是客户端与 Controller 进行交 互，不涉及对于具体服务的访问。当认证通过后，客户端才能够与可访问的服务建 立连接。 图图4：软件定义边界（软件定义边界（SDP）模型包括三

22、大组件模型包括三大组件 资料来源：CSA、关注网 身份识别与访问管理身份识别与访问管理（IAM） 身份识别与访问管理（IAM）具有单点登录、认证管理、基于策略的集中式授 权以及审计、动态授权等功能。它决定了谁可以访问，如何进行访问，访问后可以 执行哪些操作等。 IAM 涉及四个领域的内容：包括身份治理与管理涉及四个领域的内容：包括身份治理与管理 IGA、访问管理、访问管理 AM、特权访、特权访 问管理问管理 PAM 及认证及认证权鉴权鉴。1）身份治理与管理 IGA 用于跨企业不同应用和系统上提 供统一的用户的数字身份认证及访问控制权限的管理，涉及到的关键能力包括数字 身份的生命周期管理、权限管

23、理、角色和组织架构管理、访问控制请求、交互流程 的处理、日志审计和分析报告。2）访问管理 AM，由访问控制引擎来实现业务的访 问控制，包括统一集中认证、单点登录、会话管理和授权的策略的执行。3）特权访 问管理 PAM 保障特权人员对关键资产设备的安全管理， 国内一般叫堡垒机、 4A。 4） 认证权鉴包含支持的认证凭证及支持的认证方式，如静态口令、Token、生物特征的 验证方式。 行业深度报告行业深度报告 请务必参阅正文后面的信息披露和法律声明 7 / 27 图图5：IAM 涉及四个领域的内容：涉及四个领域的内容：IGA、AM、PAM 及认证权鉴及认证权鉴 资料来源：Gartner 作为零信任

24、体系的基础组件 IAM， 需要同步考量业务需求和 IT 环境变化带来的 新挑战，如满足更多用户群体在访问企业资源过程中的安全性和便捷性，以及满足 访问方式的多样化，接入资源多样化和分散化。 图图6：零信任建设对零信任建设对 IAM 的需求的需求 资料来源：绿盟科技、开源证券研究所 微隔离技术微隔离技术 微隔离是细粒度更小的网络隔离技术，能够应对传统环境、虚拟化环境、混合 云环境、容器环境下对于东西向流量隔离的需求，重点用于阻止攻击者进入企业数 据中心网络内部后的横向平移。 行业深度报告行业深度报告 请务必参阅正文后面的信息披露和法律声明 8 / 27 图图7：微隔离技术微隔离技术重点用于阻止攻

25、击者进入企业数据中心网络内部后的横向平移重点用于阻止攻击者进入企业数据中心网络内部后的横向平移 资料来源：FreeBuf MFA 和和 SSO 技术是目前零信任实施过程中最常用到的技术手段，而微隔离和技术是目前零信任实施过程中最常用到的技术手段，而微隔离和 SDP 或将成为未来几年最受欢迎的技术或将成为未来几年最受欢迎的技术。根据 Illumio 数据统计，目前多因素身份验 证 （MFA） 在使用它的受访者中占 70， 位居榜首。 紧随其后的是单点登录 （SSO） ， 达到 69。超过一半的受访者计划从下一年开始总体部署微隔离，通过阻止横向移 动来防止重大破坏。在大型组织中，拥有 2,500-

26、5,000 名员工的组织中有 70和超过 5,000 名员工的组织中 61都有微隔离部署计划。 图图8：MFA 和和 SSO技术是目前零信任实施过程中最常用技术是目前零信任实施过程中最常用 到的技术手段到的技术手段 图图9：微隔离和微隔离和 SDP 或将成为未来几年最受欢迎的技术或将成为未来几年最受欢迎的技术 数据来源：Illumio、开源证券研究所 数据来源：Illumio、开源证券研究所 1.4、 零信任体系架构零信任体系架构典型场景：远程办公、典型场景：远程办公、大数据中心、云安全平台大数据中心、云安全平台 任何企业网络都可基于零信任原则进行设计任何企业网络都可基于零信任原则进行设计。大多数组织的企业基础架构已经 具备了零信任的某些要素，或者正在通过实施信息安全、弹性策略和最佳实践来实 现零信任。目