1、关于FreeBuf咨询FreeB是斗象科技旗下国内领先的网络安全行业门户， 每日发布专业的安全资讯、 技术剖析， 分享国内 外安全资源与行业洞见， 是深受安全从业者与爱好者关注的网络安全网站与社区。 FreeBuf咨询集结了全行业经验丰富的安全专家和分析师， 常年对网络安全技术、 行业动态保持追踪， 洞悉安全行业现状和趋势， 呈现最专业的研究与咨询服务。研究方法专家调研： 网络安全托管服务行业头部企事业单位及相关机构的专家定向访谈； FreeBuf咨询顾问团队与智库团队的观点支撑。结合定量分析与定性分析方法， 对调研资料进行归纳与概括， 对数据进行分析与综合， 从而展现中国网络安全托管服务MS

2、S的整体态势。数据分析： 统筹、 归纳与总结调研结果， 并以图表形式直观呈现分析结果。2022中国 网安宇宙 系列FreeBuf咨询在2022年将聚焦构建中国网安宇宙， 其观察维度仍然遵从技术成熟、 商业可行性、 市场增量空间三个维度。 依托于现在的底层技术、 商业可行性， 网安宇宙革命的全面革新仍较为久远。 实现突破性网安宇宙的核心框架包含： 硬件、 软件层、 协议和标准、 内容、 服务和资产、 从业者行为等。0203050607135高效运营从安全服务到MSS全球安全托管服务产业市场概况1.全球网络安全托管服务MSS产业发展整体情况2.全球网络安全托管服务MSS市场竞

3、争格局中国安全托管服务产业市场概况1.中国网络安全托管服务MSS产业发展整体情况2.中国网络安全托管服务MSS市场竞争格局3.中国网络安全托管服务MSS市场发展的四大驱动因素及市场规模预测行业洞察及公司业务财务拆分洞察网络安全托管服务MSS的基本概念与技术趋势1.网络安全托管服务MSS的概念界定标准2.网络安全托管服务MSS的核心要素及技术趋势网络安全托管服务MSS在中国市场的厂商案例及财报解读1.网络安全托管服务MSS的三重能力级别2.国内网络安全托管服务MSS厂商案例及财报解读奇安信深信服FreeBuf前瞻观察总结安全托管服务商 “圆桌论坛”目录C A T A L O GFreeBuf前瞻

4、观察37FreeBuf咨询访谈-斗象科技漏洞盒子团队高效运营从安全服务到MSS1.全球网络安全托管服务MSS产业发展整体情况高效运营从安全服务到MSS在我国网络安全基础建设与环境日趋完善的大背景下， 安全产业结构向服务端转型成为不可逆转的趋势。 2020年， 安全托管服务市场成为全球网络安全产品与服务市场中的最大子市场， 市场规模达到271亿美金； 中国网络安全托管服务 （MSS） 市场在智慧城市安全运营中心和云安全等因素的多重驱动下， 未来五年也将保持20%以上的高增速发展。 在此，FreeBuf咨询将在本份报告中详细解读中国安全托管服务市场， 其中涵盖网络安全、 终端安全、 安全分析、 情

5、报、 响应编排等相关技术应用点。国际安全托管服务市场起步较早， 云化及可扩展程度较高， 通过早年不断的整合、 兼并与收购， 已形成相对成熟的技术及服务体系， 其服务形态及定价标准均获得了普遍的市场认可。 目前网络安全托管服务MSS在国际市场占据超高的市场份额： IDC数据显示， 2020年安全托管服务市场成为全球网络安全产品与服务市场中最大的子市场， 占比超过20%。2020全球网络安全产品与服务市场规模分布$131.9B资料来源： IDC、 FreeBuf咨询托管安全服务其他网络安全终端安全20.55%14.23%11.12%10.91%9.21%33.98%安全分析、 情报、 响应与编排集

6、成服务02/全球安全托管服务产业市场概况2.全球网络安全托管服务MSS市场竞争格局全球互联网及云服务提供商、 电信运营商、 综合型网络安全厂商积极开展网络安全托管服务MSS业务， 呈现三分天下的局面：经多方资料汇总研究发现， 在全球市场内， 明晰的服务范围及定价标准是网络安全托管服务 （MSS） 实现大规模交付的基础。 国际网络安全托管服务MSS市场已设有衡量服务等级与质量的标准服务等级协议SLA （service-level agreements） ，根据安全事件的严重程度划分优先级， 并对不同级别的安全事件的平均检测/响应时间进行指标化的服务水平评分。资料来源： Gartner、 Free

7、Buf咨询资料来源： 公开数据、 FreeBuf咨询03/MSS服务的SLA参考标准优先级严重程度紧急1234高中低平均检测/响应时间10-60分钟60-180分钟4-12小时8-24小时服务水平满足 90-99%满足 90-99%满足 90-99%满足 90-99%互联网及云服务提供商： IBM、 Atos、 Dell电信运营商： AT&T、 Verizon、 NTT综合型网络安全厂商： Trustwave、 Symantec大型互联网及云服务提供商， 通过其广泛积累的客户资源， 可以实现统一、 规模化的安全运营管理。 其中， 国际领先的互联网服务商IBM在全球多地设有网络安全托管服务MSS

8、办事机构， 拥有五个24/7小时全天候运营的SOC， 能够同时覆盖多地、 多主体的安全托管服务。 以AT&T为代表的电信服务商拥有庞大的用户及网络基础， 大网资源、 渠道是其突出性优势。 而综合型网络安全厂商则在技术资源及人才专业性上发挥其长。整体而言， 三类服务提供商各具优势， 并通过相互合作， 不断拓宽其托管服务的能力及业务范围。 而网络安全托管服务MSS的服务边界也在不断被刷新与突破， 例如美国大型电信公司AT&T便在2021年分别与综合型网络安全厂商Fortinet、 Palo Alto Networks以及Cisco合作推出三款托管SASE产品， 以扩大其托管服务的业务范围。04/A

9、T&T与Paloalto合作的托管SASE产品资料来源： AT&T官网、 FreeBuf咨询中国安全托管服务产业市场概况1.中国网络安全托管服务MSS产业发展整体情况我国网络安全托管服务MSS市场目前尚处于初期探索阶段， 安全服务相关的评判标准体系尚未形成， 存在服务责任划分不明晰、 效果难评判的问题。 从网络安全整体的产业结构来看， 我国安全市场仍以软、 硬件产品为主， 安全服务市场占比落后于全球平均水平， 根据Frost&Sullivan,2019年中国安全服务市场占比28.5%， 全球同期安全服务市场占比51.6%。虽然我国网络安全托管服务 （MSS） 在市场份额上与国际市场尚存较大的差

10、距， 近年头部安全厂商开始调整供给结构向服务端转型； 启明星辰、 安恒信息、 绿盟科技2018-2020年的复合增长率分别高达30.3%、 50.3%与19.1%， 其增速远超网络安全行业平均增长水平。从产业构成层面来看， 当前我国在政府、 运营商、 医疗等重点行业率先实行安全托管服务 （MSS） 的落地实践， 其发展侧重也与国际市场有所不同， 典型应用包括重保、 智慧城市安全运营中心服务等场景。 以全国代表大会、 G20峰会、 一带一路国际合作高峰论坛为代表的重大会议及活动在我国频繁召开， 其短周期、 高频次的特点凸显了第三方安全服务的弹性优势， 而我国智慧城市建设的不断推进， 也加速了城市

11、安全运营中心的发展。05/12.0010.008.006.004.002.000.00启明星辰安恒信息绿盟科技国内部分厂商安全服务收入情况(单位： 亿元）资料来源： 各公司年报整理、 Wind、 FreeBuf咨询CAGR： 30.3%201820192020CAGR： 50.3%CAGR： 19.1%资料来源： IDC、 FreeBuf咨询奇安信集团启明星辰集团8.8%7.4%安恒信息7.2%绿盟科技6.8%其他63.1%深信服科技6.7%2.中国网络安全托管服务MSS市场竞争格局不同于国际市场， 现阶段国内网络安全托管服务MSS市场玩家以综合型网络安全厂商为主。 据IDC公开数据， 奇安信

12、、 启明星辰、 安恒信息、 绿盟科技、 深信服为2021上半年中国安全托管服务市场份额前五的厂商。 这些厂商深耕安全行业多年， 具备全领域领先的技术优势以及专业的人才储备， 能够提供完善的运营流程及服务体系。纵观全球市场， 构成国内外市场竞争格局差异的主要原因在于， 全球安全市场成熟度相对较高， 随着产业分工的不断细化， 供应安全产品与供应安全服务的提供商开始出现分化。 天然具备服务属性的互联网及电信供应商相较于以技术为导向的垂直领域安全厂商更具有服务性优势， 并在不断融合安全能力后， 逐步建成能够与传统安全厂商抗衡的完善的网络安全托管服务体系。 IBM与AT&T在近年基本保持前二的市场份额也

13、能充分说明这一点。 国内头部互联网及电信服务商在近几年开始进军网络安全托管服务MSS市场。 360政企安全、 腾讯安全在重保、 智慧城市安全运营中心等领域均有一定程度的涉猎。 2019年中国联通与奇安信合资成立云盾智慧， 该合资行为的重要考量之一便是结合联通的链路及奇安信的技术能力为用户提供一站式的安全托管服务。 腾讯安全在2021年10月推出下一代安全托管服务MSS， 而中国电信也通过与地方安全厂商合作推出 “安全管家” 服务， 这些托管服务形态在不断完善中也为我国网络安全托管服务MSS市场结构转变提供良好的开端。 由此可以推断， 虽然受限于整体行业的成熟度， 短期国内网络安全托管服务MSS

14、市场将继续由网络安全厂商作主导， 然而随着企业的上云大趋势、 物联网场景的拓宽以及安全市场成熟度的整体提升， 云服务提供商与电信服务商将分别发挥网络链路、 规模经营及触达客户方面的优势， 网络安全托管服务 （MSS） 市场的竞争格局也将逐步与国际市场趋同。06/中国托管安全服务市场份额， 2021H13.中国网络安全托管服务 （MSS） 市场发展的四大驱动因素及市场规模预测根据IDC， 2021上半年中国安全服务市场规模约为71.5亿元， 较2020年同比增长110%， 若排除2020年疫情的特殊影响因素， 较2019年同期的同比增长也高达38%。 通过对于市场及整体网络安全环境的深度研判，

15、FreeBuf咨询总结了推动安全托管市场快速发展的四大驱动因素， 在这四大驱动因素的持续推动下， 我国安全市场结构的推演， 也将遵循国际发展趋势。数字经济的急剧扩张， 不断刷新社会治理路径与商业模式， 网络安全大环境也发生了巨大的革新。 随着资产数据的爆发式激增、 新型攻击形态不断出现， 近几年我国网络安全事件频发， 加之疫情常态化催生的远程、 混合办公需求， 传统的内外网边界趋于模糊， 为企业的安全治理带来了前所未有的挑战。 种种迹象表明， 仅仅依靠产品的堆砌来实现安全防护的手段， 已越来越难以应对愈发复杂的攻击形势， 主动、 流程化的安全运营体系成为刚需。目前国内企业在安全运营建设的过程中

16、面临两大挑战：将安全运营工作转由专业的安全团队进行一站式托管可以很好地解决以上两大难点。一方面， 安全托管服务商 （MSSP） 依托于自身的行业积累， 具备专业化的人才、 团队及资源， 经验丰富的安全人员通过专业视角， 能够有机结合安全运营过程中人、 工具、 流程等各个要素， 显著提升安全运营质量。 另一方面， 网络安全托管服务MSSP能够利用统一、 规模化的批量管理有效降低安全人员压力， 从而实现降低成本的效果。有关部门积极引导市场供给向服务化转型， 工信部在2021年7月发布的 网络安全产业高质量发展三年行动计划 （2021-2023年）（征求意见稿） （以下简称 计划 ） 中， 将 “引

17、导网络安全产品向服务化、 高级化转变” 在基本原则的内容中予以强调。政策牵引安全供给向服务端转型， 合规趋严带动第三方一站式托管服务需求3.1.中国网络安全托管服务 （MSS） 市场发展的四大驱动因素网络安全形势日趋严峻， 安全托管服务解决安全运营建设中的人才与成本两大挑战资料来源： FreeBuf咨询07/人才稀缺， 安全人员的经验及知识储备不足以对威胁的预警、 检测、 分析及响应全周期作出实时判断与决策。1企业自建安全运营中心在建设、 运作、 管理、 维护各层面均会产生巨大的成本。2在服务模式上，计划 将 “创新安全服务模式” 作为重点任务之一， 鼓励发展集约化、 云化的服务模式。 同时，

18、 支持提高安全运营服务的自动化、 流程化、 以及工具化水平， 为我国托管服务商确立了未来发展的大方向。另一方面， 我国网安整体政策环境的持续优化， 也对企业提出了更具体、 严苛的合规要求。 自 网络安全法 正式实施以来，数据安全法 、关键信息基础设施安全保护条例 、个人信息保护法 等一系列政策密集出台， 根据2022年中国信通院发布的 中国网络安全产业白皮书 统计， 我国目前已出台超过200部网络与数据安全的法律、 行政法规、 部门规章及规范性文件。 下游用户普遍面临认知无法跟上政策更新速度的问题， 大力牵引了第三方安全服务市场的需求， 而等保2.0所强调的主动式安全理念， 更是需要借助专业的

19、安全团队来贯彻执行， 一站式托管服务的优势也因此显现。资料来源： 中国信息通信研究院、 FreeBuf咨询08/我国网络安全法律法规体系文件名称法律法律办法条例意见解释细则规范预案机制方法目录指南通知公告其他规定涉及部门全国人大国务院中央网信办（国家互联网信息办公室）科技部工信部公安部国家安全部财政部中国人民银行国家市场监督管理总局国家能源局国家保密局国家密码管理局全国信息安全标准化技术委员会中国网络安全审查技术与认证中心其他国家发改委网络安全法数据安全法全国人大常委会关于维护互联网安全的决定个人信息保护法密码法国家安全法全国人大常委会关于加强网络信息保护的决定行政法规计算机系统安全保护条例计

20、算机网络国际联网管理暂行规定互联网信息服务管理办法计算机软件保护条例信息网络传播授权保护条例互联网上网服务营业场所管理条例 电信条例商用密码管理条例关键信息基础设施安全保护条例 计算机信息网络国际联网安全保护管理办法部门规章网络安全等级保护领域关键信息基础设施保护领域个人信息保护领域重要数据保护领域密码管理领域网络安全审查领域数据跨境传输领域行业数据监管领域网络安全漏洞管理领域电信业务资质监管领域互联网信息内容治理领域监测预警与应急处置领域网络关键设备和网络安全专用产品强制认证领域规范性文件资料来源： 360官网、 FreeBuf咨询智慧城市建设大力推进， 带动城市安全治理需求构建智慧城市是数

21、字时代强化城市职能、 提升社会治理及政务水平的关键一环。 根据公开数据统计， 中国在2019年成为了仅次于美国的全球智慧城市第二大支出国家， 弹性能源与市政设施、 数据驱动的公共安全以及智慧交通是中国市场的三大热门投资领域。 由此催生的安全需求推动城市安全运营中心的发展与建设。 城市安全运营中心的运作主要由网络安全托管服务商MSSP通过结合大数据与人工智能的分析手段， 有效调度、 管理城市级安全风险， 以达到保护城市重要数字资产、 基础设施及信息系统的目的。 启明星辰、 绿盟科技、 安恒信息、 奇安信、 深信服、 360政企安全等头部安全服务商纷纷入局建设城市安全运营中心， 为全国多地提供基础

22、安全信息与事件管理、 分析与响应等运营服务， 同时实行对智慧水务、 智慧交通、智慧社区等城市物联感知系统的安全管理， 保障智慧城市的有效运行。9/360政企安全城市大脑值得注意的是， 我国不同地区智慧城市建设的成熟度存在较大差距， 监管部门、 关键信息基础设施单位等不同主体也对城市安全运营中心提出了差异化的诉求。 不同地区安全运营中心建设标准不统一、 同一地区存在多个安全运营中心成为普遍现象， 为城市安全运营的统一管理带来挑战。与此同时， 智慧城市的安全治理也面临着安全运营流程中存在的共通性的挑战。 如何提升产品可持续的自动化监测响应能力、 培养人才体系、 发挥运营流程中各环节的最大协同效应是

23、现阶段智慧城市安全运营所面临的几大难点。整体而言， 我国智慧城市的安全建设仍然存在较大的增量空间。 提升人才质量与数量、 建立标准化的顶层设计以实现各运营中心的统一管理、 优化产品自动化能力、 有机结合安全运营全周期各影响要素， 从而建立主动、 纵深的安防体系， 将会成为城市安全运营中心未来的重点发展与改进方向。 在技术与服务模式的持续迭代更新下， 智慧城市将继续助推网络安全托管服务MSS市场的持续发展。云计算作为数字经济的关键性技术手段， 近年在我国得到快速发展， 企业上云也成为了不可逆转的趋势。 企业可以通过上云有效提升资源分配效率， 保障信息、 数据与业务之间连接通畅， 同时利用共建共享

24、的模式连接社会性资源并扩大业务范围。 据公开数据统计， 在2020Q1至2021Q1之间， 中国用云量指数增长高达57%。云进程的不断推进， 在帮助企业开拓市场、 提升竞争力的同时， 也为安全管理带来挑战。 云计算虚拟化的存储、 部署及运作模式； 数据所有权与管理权分离等特点， 使得云安全的运营及管理模式存在独特性及复杂性。很显然， 基于云的安全管理模式构建了一套全新的安全理念与架构， 传统安全措施无法满足云安全需求。 目前很少有国内企业能够通过自建安全团队来实现云安全的管理， 且配备这样的团队需要支付高昂的成本。不仅如此， 很多企业在上云初期便借助第三方团队来设立上云的方案规划与部署模式，

25、也自然有意向将对应的安全运营交由专业的安全团队一并托管。目前国内云托管业务尚未形成规模化的落地实践。 云业务场景的不断拓宽将持续刺激云安全与云托管服务需求， 伴随服务商自身技术水平及服务能力的提升， 云托管潜在增长空间显著， 将成为网络安全托管服务MSS市场增长的重要动力。企业上云增加安全管理难度， 云托管业务增长机会显著10/根据前文的分析， FreeBuf咨询推测中国安全托管服务市场将在我们所提到的四大因素的持续推动下， 继续保持快速的增长。若假设2021-2025年间业务规模增速与2020年持平， 中国网络安全托管服务 （MSS） 与中国整体安全服务产业增速持平，我们通过启明星辰、 安恒

26、信息、 绿盟科技所披露的安全服务收入及2020年增速情况， 并根据IDC 2021上半年对中国网络安全托管服务MSS服务的市场占有率的统计， 测算出其加权平均增速为29.0%。FreeBuf咨询认为， 头部上市企业得益于自身资源及规模的优势， 其规模扩张速度将领先于安全托管市场整体增长水平。 因此， 我们对整体行业增速做了一个向下15%的调整， 使其更符合行业平均水平。 经过计算， 我们预计2021-2025年网络安全托管服务MSS行业整体增速将达到24.7%在此阶段内， IDC同样预测， 在2021-2025未来五年内， 中国安全托管服务市场将保持20%以上高增速发展, 由此可见中国安全托管

27、市场拥有巨大潜力。资料来源： 公开数据、 FreeBuf咨询3.2中国网络安全托管服务MSS市场规模预测11/2021-2025年网络安全托管服务MSS行业增速预测启明星辰安恒信息绿盟科技加权平均增速估算整体增速调整复合增长率测算2019-2020年增速28.9%39.4%18.1%市场份额8.80%7.20%6.80%29.0%15.0%24.7%根据IDC的统计结果， 2020年中国IT安全服务整体收入规模达到20.16亿美元。 我们假设在中性情形下， 网络安全托管服务 （MSS） 作为安全服务的四个子市场之一， 其收入规模占安全服务整体规模的1/4， 在乐观与悲观情形下， 占整体安全服务

28、规模的1/3与1/5， 我们对2021-2025年安全托管服务的市场规模作出以下推算：资料来源： 公开数据、 FreeBuf咨询12/2021-2025年中国安全托管服务MSS市场规模预测托管安全服务规模测算-亿美元安全托管服务在安全服务的市场占比-乐观1/320202022420251/41/56.75.04.08.46.35.010.47.86.313.09.87.816.212.29.720.215.212.1安全托管服务在安全服务的市场占比-中性安全托管服务在安全服务的市场占比-悲观行业洞察及公司业务财务拆分洞察行业洞察及公司业务财务拆分洞察网络安全托管服务MSS

29、的基本概念与技术趋势1.网络安全托管服务MSS的概念界定标准网络安全托管服务MSS隶属于安全服务, 根据IDC, 安全服务共由安全咨询、 安全托管服务、 安全集成、 安全教育及培训四个部分组成。 安全托管服务强调对于安全运营全流程整体性、 集约性的管理， 其服务范围常常涵盖安全服务另外三个子市场的服务内容， 因此伴随安全服务整体成熟度的提升， 安全托管服务在安全服务所占比重也将持续增长。资料来源： IDC、 FreeBuf咨询14/安全服务的四个子集安全服务IDC将安全托管服务 （网络安全托管服务MSS） 定义为由服务商通过安全运营中心进行全天候监控和管理的 IT 安全服务， 可具体分为驻场安

30、全托管服务、 远程安全托管服务、 云安全托管服务三个子市场。 而Gartner对网络安全托管服务MSS的定义则更为严苛， 即安全服务商必须通过远程安全运营中心 （SOC） 的共享服务提供安全运营功能， 而不是通过现场人员或一对一交付给单个客户的远程服务。本次报告所涉及的网络安全托管服务MSS均趋同IDC的定义， 将驻场、 一对一定制化的托管模式与基于远程、 标准化的安全运营中心的统一托管一并纳入讨论范围。不同于全球以远程、 云端为主要部署及交付模式的网络安全托管服务MSS服务形态， 目前驻场托管更受国内市场的青睐。 中国与全球市场在服务模式上的偏好差异主要由以下两点原因构成：然而， 企业上云已

31、经成为了不可逆转的趋势， 并将持续带动云安全产业技术及服务模式的更迭。 在此基础上， 云托管业务的市场接受度有望提升， 网络安全托管服务MSS服务的市场结构也将逐步向云端倾斜。 中国用户对于企业内部信息及资产的敏感程度较高， 当前基于云的安全部署与交付形态尚未得到市场的广泛认可。 国内云安全市场在技术成熟度与服务形态上仍与全球市场存在差距， 从而影响了远程、 云托管业务的普及程度。资料来源： IDC、 Gartner、 FreeBuf咨询15/IDCGartner驻场安全托管服务（MSS-CPE）在用户本地驻场提供安全托管服务的单租户服务方案远程安全托管服务（MSS-Hosted）安全服务提供

32、商在自建安全运营中心统一进行远程服务交付云安全托管服务（CHESS）基于云环境交付服务内容， 最终用户全部基础设施须部署在云上IIIIIII托管监测与响应威胁情报威胁检测服务脆弱性管理协同服务安全设备管理SaaS安全服务应急响应SOC服务托管安全！技术与人是网络安全托管服务MSSP向下游用户输送的两项核心能力。 以底层技术平台与工具为基础， 搭配专业安全人员对于整个服务流程的规划、 分析、 判断与决策为客户提供一体化的托管服务。 充分发挥人与技术各自优势及它们之间的协同效应， 是各网络安全托管服务MSSP服务商的基本目标。一直以来， 安全信息和事件管理 （SIEM） 都是网络安全托管服务商MS

33、SP为客户提供全天候安全运营服务最热门的技术部件。 SIEM的基本运作流程可以大致分为三个步骤：在传统SIEM的框架下， 态势感知、 SOAR、 XDR等新型安全运营平台与形态不断涌现。 这些不同名称的安全运营形态/平台之间存在诸多概念与功能的交叉又在安全能力上各有侧重， 它们不是一种全新的安全运营理念， 而是结合大数据及人工智能的分析手段， 通过安全编排与自动化、 告警管理及分诊、 案件管理、 威胁情报以及跨终端、 网络、 云工作负载的分析能力， 全面提升传统SIEM安全分析及处置响应的水平， 是对于传统SIEM产品/平台的有效补充。同样， 新一代SIEM解决方案也在不断融入SOAR、 XD

34、R等工具的核心能力。 总体而言， 网络安全托管服务MSSP依据用户需求及厂商的实际情况， 为用户提供包含用户日常安全监控与威胁检测、 漏洞扫描与分析、 风险脆弱性评估、 安全事件检测与响应等形式的不同安全能力侧重的托管服务； 而近年来， 一站式的、 融合化的托管服务形式逐渐成为主流。 无论是SIEM产品/平台， 还是衍生出的态势感知、 SOAR解决方案， 其整体对于安全运营建设的核心目标是一致的。2.1网络安全托管服务MSS的底层技术平台2.网络安全托管服务MSS的核心要素及技术趋势资料来源： FreeBuf咨询16/通过采集应用系统、 网络设备、 安全设备等各类数据源及日志， 在标准化日志结

35、构后， 对日志进行存储。汇总所有历史及IT资源产生的安全信息， 利用上下文关联分析、 风险评估等手段对这些日志信息及事件进行统一监测、 分析、 审计与管理。根据分析结果生成告警报告， 并对威胁的严重程度进行分级以帮助安全人员作出更高效的决策与响应， 从而实现从威胁预警到处置响应全流程的安全把控。123专业的人才是网络安全托管服务MSS的核心优势， 人的经验与能力直接决定了网络安全托管服务MSS的服务质量。 以现阶段安全产品及运营平台的自动化程度而言， 大量的安全事件与告警最终都需要依托于人的判断来处置与响应。 更重要的是， 经验丰富的安全人员能够将安全运营全周期的技术、 工具、 流程进行有机结

36、合， 并帮助客户最大化发挥协同效应， 是实现整个安全运营体系互联互通的纽带。以目前的情况来看， 我国大多数服务商仍面临人才储备不充足、 人才培养体系不健全的问题， 不断涌现的新业务场景与技术形态不断对安全人员提出新的要求。 网络安全托管服务MSSP亟需一套完善的人才培训方法论， 在提升安全人才综合能力的基础上不断扩大人才供给。下图是FreeBuf咨询对于SIEM的基本架构与近年发展趋势的总结图。资料来源： 公开数据、 FreeBuf咨询17/2.2网络安全托管服务MSS的核心能力要素人才基础SIEM框架与近年发展趋势输出层计算分析层日志采集及处理数据源统计报告合规报告可视化展示告警管理日志维护

37、资产管理防火墙、 防病毒、 入侵检测系统.计算机平台实时计算平台日志处理采集方法Storm、 Spark、 Streaming、 FlinkHadoop、 Spark、 MapReduce将不同组件的安全能力通过API组合到一起,快速实现联动效应,同时利用告警分诊及告警管理提高告警质量,有效降MTTR,MTTD并实现全流程的自动化下一代威胁检测与响应利器， 支持对终端、 网络、云和工作负载的安全防护和控制离线计算平台日志结构识别日志过滤， 归并日志标准化处理设备安装代理网络协议数据库网络设备安全系统终端设备事件流协议SNMP、 Netflow、 IPFIX从存储访问计算方法规则引擎流量分析关联

38、分析通常采用SyslogSOAR运营架构优化XDR优化威胁情报平台接入分析手段优化UEBA、 大数据、 人工智能、 可视化分析IDC将安全托管服务 （网络安全托管服务MSS） 的能力分为三个级别： 一级安全托管服务 （网络安全托管服务MSS1.0） 以安全设备的托管与帮助客户满足合规需求为主， 配合初级的安全检测、 分析与响应工作。 二级安全托管服务 （网络安全托管服务MSS2.0） 是指对安全日志及事件编排、 威胁情报、 安全分析、 响应等环节的闭环服务， 三级安全托管服务 （网络安全托管服务MSS3.0） 在前两项能力的基础上突出主动防御体系的建立， 其核心在于利用已有资源， 最大化发挥人

39、、 技术、 工具的协同作用， 并构建自适应式的、 持续进化循环的检测及响应流程。目前大部分国内服务商仍以提供网络安全托管服务MSS1.0及网络安全托管服务MSS2.0服务为主。 多数供应商已具备向以合规需求为导向的下游用户输送安全服务的能力， 他们通过帮助客户梳理合规要点， 评估并判断用户的安全建设是否满足相关政策与标准要求， 并配合对于用户基础设备的初级运维与管理， 使企业的安全生态达到相应的合规标准。而对于以奇安信、 绿盟科技、 启明星辰、 深信服为代表的领军安全服务商而言， 它们基本都已具备一套724小时全天候的监控、 分析、 管理的闭环安全运营服务体系， 开始积极主动寻求迈入网络安全托

40、管服务MSS高级阶段的方案。资料来源： IDC、 FreeBuf咨询18/网络安全托管服务MSS在中国市场的厂商案例及财报解读1.网络安全托管服务MSS的三重能力级别全球安全托管服务MSS的发展方向资料来源： 深信服、 FreeBuf咨询资料来源： 绿盟科技、 FreeBuf咨询如何建立人才制度、 如何有效管理告警， 减少误报与漏报率是网络安全托管服务MSSP突破瓶颈需要攻克的几个难点。以现阶段的情况来看， 中国的网络安全托管服务商MSSP在威胁管理持续关联、 溯源的能力， 安全分析水平智能及自动化程度， 安全事件监测及响应速度等方面尚存改进的空间， 使其与网络安全托管服务MSS3.0所要求的

41、主动纵深的安全防御体系存在差距。为进一步了解网络安全托管服务MSS在国内的技术发展趋势与实践情况， FreeBuf咨询针对IDC口径下2021年上半年网络安全托管服务MSS市场份额前五的厂商中的其中三家厂商： 奇安信、 绿盟科技、 深信服展开定向调研。 与此同时， 通过解读安恒信息安全服务业务的财务情况， 以分析网络安全托管服务 （MSS） 的商业可行性及盈利空间。 调研结果显示， 在团队建设与人员管理层面， 深信服、 启明星辰、 绿盟科技等头部托管服务商均对团队内安全人员采用分级制度， 根据安全人员的能力水平与擅长领域划分安全人员的层次， 分别由一线安全人员进行日常运维及初级分析，二线安全专

42、家完成安全事件监测与响应的闭环服务， 三线高级安全专家把控关键性决策， 帮助整个安全服务团队高效运转。 这种人员分配机制可以帮助利用每一个安全人员的专长与优势， 并最大化发挥稀缺型高级安全分析人才的作用。2.国内网络安全托管服务MSS厂商案例及财报解读19/深信服T1、 T2、 T3专家构成绿盟科技三级安全专家团队资料来源： 绿盟科技、 FreeBuf咨询资料来源： 奇安信、 FreeBuf咨询从网络安全托管服务 （MSS） 的部署形式上， FreeBuf咨询观察到， 近年来， 不少国内服务商开始探索适应我国本土环境的新型交付场景与 “云地结合” 的服务模式。 奇安信将 “纯云监测” 1.0时

43、代升级为 “云地结合” 2.0模式， 通过云端监测响应， 地端处置闭环为客户提供综合型服务； 绿盟科技通过将安全团队划分为云端安全运营团队、 用户方安全运营团队与本地安全运营服务团队， 打造 “云地协同” 的服务场景。 这种线上线下、 云端地端互联互通的服务形式， 通过用户方安全团队与客户建立信任机制， 并做到对安全事件的及时响应， 配合云端服务专家对于漏洞管理、 安全事件及攻击形势的深度分析， 有效弥补当前我国云托管服务市场存在的不足， 为我国从驻场模式走向远程、 云端服务模式搭建桥梁。20/绿盟科技 “云地协同” 全天候安全运营服务奇安信 “云地结合服务框架”长沙城市网络安全运营中心， 是

44、奇安信网络安全托管服务MSS作为具有中国特色的安全托管服务， 解决智慧城市网络安全问题的最佳实践。主要服务于长沙市大数据中心和全市各委办局已上云的各类信息系统， 开展网络安全运行保障和运营， 实现对政务网络、 政务云承载的所有终端， 不少于400个应用系统和数据进行安全监测和管理。 建设政务网络安全管理体系， 构建政务网络安全运营中心， 匹配专业安全运营技术团队。 以标准制度为依据， 以安全组织和流程为保障， 以安全运营和监管为抓手， 以安全能力交付为根本目标， 全面汇集云、 网、 端、 应用和数据层面的安全数据， 开展安全事件处理、 威胁猎杀、 攻击模拟、 策略优化等安全运营服务， 实施资产

45、安全管理、 安全监测分析、 安全评估验证、 安全应急响应以及安全技能和安全意识培训等服务， 开展政务网络安全顶层设计、 信息化系统建设阶段的安全方案审核论证、 运行阶段的攻防验证等安全监管服务， 实现整体政务网络安全运行的闭环。为有效保障业务安全， 某大型国际饮品企业选择了深信服的托管式安全服务 （网络安全托管服务MSS） ， 建设以安全运营平台、 安全管理流程、 安全运维人员为核心的安全体系， 能够针对各种安全事件进行有效防范、 响应处置。秉承着 “线上线下一体化作战” 的理念， 该饮品企业的安全团队以及深信服线上安全专家及线下安服工程师、 在安全运营机制下不断磨合。 饮品企业安全团队 “没

46、精力” 的部分交由深信服网络安全托管服务MSS安全运营平台及组件提供技术支撑、 释放精力； 将 “不好做” 的部分交由线上高级安全专家进行分析、 研判、 提供处置建议， 最终的处置动作由线下安服工程师、 饮品企业自身的安全团队快速配合。 目前， 该饮品企业的信息安全事件在8小时内可进行有效的闭环处置。与此同时， 7*24小时持续监测、 响应、 处置的运营流程及深信服 “人机共智” 的服务模式帮助该饮品企业在网页篡改处置效率较以往传统安全防护模式提高50倍以上， 针对紧急事件， 响应时间缩短到了原有的四分之一。 从 “资产、 漏洞、 威胁、事件” 四个方面建立了一套系统化、 标准化、 持续化的安

47、全风险管理和安全运营管理方案， 全方位地保障该企业的业务安全。此外， 由安全运营专家配合运营组件的安全大数据分析、 AI智能分析、 关联分析等分析能力做到持续在线研判、 主动式问题挖掘。 在防患未然的过程中， 该企业的安全防护效果得到持续提升， 进而确保了数字化转型中的网络安全建设可以紧跟信息系统及业务发展的步伐， 甚至因此促进和引领了部分业务的良性发展。智慧城市案例奇安信长沙城市网络安全运营中心企业一体化安全运营托管服务案例1深信服安全运营托管服务21/资料来源： 深信服、 FreeBuf咨询22/深信服网络安全托管服务MSS架构资料来源： 绿盟科技、 FreeBuf咨询具体案例： 绿盟科技

48、通过其安全运营平台， 检测到某用户内部主机存在挖矿行为， 在与客户联系协商过后， 应急专家完成了病毒清理与溯源工作， 并还原了攻击者的入侵路径， 帮助客户针对内网服务映射到公网且存在弱口令的问题进行修复整改， 完成了高效的检测、 响应及修复闭环， MTTD10分钟,MTTR3小时。 服务形式： 远程安全专家通过标准化工作流程对客户侧已有安全平台， 实现对威胁事件的监测、 分析、 处置全生命周期的管理， 其业务架构如下企业一体化安全运营托管服务案例2绿盟科技MDR服务23/资料来源： 绿盟科技、 FreeBuf咨询绿盟科技MDR服务架构绿盟科技MDR检测-响应闭环流程安恒信息深耕行业多年, 是国

49、内领先的综合型网络安全厂商。 近年企业积极跟随安全市场服务化转型的趋势， 调整产品结构。 根据公司财报披露， 企业安全服务主要分为SaaS云安全服务与专家服务两大类， 细分领域分别包含云监测服务、云防护服务、 威胁情报服务以及专业安全服务、 可信众测服务、 安全咨询服务、 平台运营服务、 应急响应服务、 国家重大活动网络安保服务、 智慧城市安全运营中心服务与网络安全人才培养服务。洞察财报看趋势-安恒信息24/saas云安全服务专家服务云监测服务专业安全服务可信众测服务安全咨询服务平台运营服务应急响应服务国家重大活动网络安安保服务智慧城市安全运营中心服务网络安全人才培养服务云防护服务威胁情报服务

50、资料来源： 安恒信息年报整理、 Wind、 FreeBuf咨询公司安全服务类收入占比呈现逐年上升的趋势。 其收入规模从2016年的0.67亿增至2020年的3.68亿， 复合增长率高达53.1%， 增速显著高于公司网络安全整体增速， 成为刺激公司收入持续增长的新动能之一。0.770.620.390.360.460.500.4025/安恒信息收入情况30.0%25.0%21.3%21.3%26.0%28.0%27.9%20.0%15.0%5.0%0.0%200192020安全服务增速0.670.671.632.643.68资料来源： 安恒信息年报整理、 Wind、 Free

51、Buf咨询安恒信息安全服务及网络信息安全业务增速对比0.50%0.60%0.70%0.80%0.40%0.30%0.20%0.10%0.00%20020网络信息安全增速安全服务占总收入比安全服务收入 （亿元）0.37资料来源： 安恒信息年报整理、 Wind、 FreeBuf咨询值得注意的是， 对比企业19、 20两年安全服务与网络信息安全整体的毛利情况， 安全服务的毛利水平要低于整体业务近3成， 与服务业高毛利的整体行业特点相违背。根据我们的推断， 安全服务的高成本主要来自于专家服务这一类别。 依托于多年的积累与发展， 企业的基础安全产品生产已经能够充分发挥规模效应， 做

52、到成本可控； 而我国网络安全人才稀缺的现状使得安全专家成本居高不下。企业安全服务在2020年的毛利水平基本与2019年持平， 约为54%， 这也意味着短期内安全服务的成本结构较难发生根本性的突破。从长期角度来看， 随着云安全需求的持续释放， 企业安全服务结构将逐步向SaaS云安全服务转移， 基于云的管理及交付模式能够大大降低运营人员成本。与此同时， 伴随安全托管服务在国内市场的不断成熟与落地， 企业将通过远程SOC实现集中式的规模化管理， 也可有效压缩单位人员成本。 安全服务低毛利的问题或将由此改善。由此可见， 安全服务成为以安恒信息为代表的大型网络安全企业的新收入增长点。 这些企业在前期以耗

53、费一定的人力成本为代价， 大力推进其产业供给的服务化转型进程， 而伴随安全托管服务的逐步规模化落地与安全服务的云化大趋势， 安全服务的利润水平在中长期也将得到提升， 做到扩大规模的同时有效控制成本。26/安恒信息安全服务及网络信息安全业务利润对比2019202050.0%60.0%70.0%54.3%69.7%54.1%69.2%80.0%40.0%30.0%20.0%10.0%0.0%安全服务毛利率网络信息安全毛利率安全托管服务商 “圆桌论坛”安全托管服务商 “圆桌论坛”奇安信安全托管服务 （Managed Security Service,网络安全托管服务MSS） 是近几年网络安全行业备受

54、关注的领域 。 安全托管服务 （又常译作 “托管安全服务” ） ， 顾名思义即将网络安全运营等技术类工作委托给第三方代为管理， 以服务化的形式帮助用户发现和解决各类安全问题。在国内， 由于中国自身实际情况的特点， 相对 “远程服务” ， 国内更为青睐 “驻场运维” 模式。 目前， 一些网络安全服务商均提供网络威胁检测、 分析、 响应、 处置等多种能力， 但主要为相应安全产品的增值性服务， 以及提供威胁情报等。相对于国外安全产品及一揽子外包服务， 国内市场普遍更为倾向于本地驻场的安全运维模式， 依靠本地的安全网络安全管理平台等产品和驻场运维人员， 实现对本地网络设备、 网络安全设备流量和日志等的

55、采集处理、 深度分析和事件处置。 在安全分析需要依靠云计算技术实施的情况下， 倾向于选择以私有云方式提供服务， 以更好保障安全。相比国外发达的安全托管服务 （网络安全托管服务MSS） 市场， 以及在国内非常成熟与清晰的安全咨询服务、 安全集成服务、 安全教育培训服务， 安全托管服务在国内尚处在成长壮大阶段， 因此具有巨大的增长潜力与空间。为深入讨论安全托管服务MSS在中国网络安全市场的应用与前景， 聚焦目前中国安全托管服务MSS的具体落地途径、落地商业模式以及实际案例， FreeBuf咨询展开调研, 邀请业内服务商就以上问题进行深入研究。28/1.1安全托管服务： 本土特色与发展前景1.2托管

56、服务： 中国托管服务形式资料来源： 奇安信、 FreeBuf咨询29/奇安信网络安全托管服务MSS安全托管服务的不断围绕政企客户的需求进行改进， 已形成 “两种模式、 三种形态、 两化融合” 的具有中国特色的安全托管服务模式。 其中， 两种模式即直接服务模式与合作伙伴模式， 直接服务通过奇安信 “网络安全托管服务MSS+” 的模式， 联合奇安信NGSOC、 天眼、 天擎等产品， 形成 “组合拳” ， 构筑整体的安全托管服务； 合作伙伴模式是奇安信通过整体的技术体系、 产品体系、 服务体系的整合托管模式输出， 形成企业安全运营中心、 行业安全运营中心以及城市运营中心， 输出能力、 集约化服务。

57、而在各类运营中心中， 面向主管部门和总部机构的监管需求形成 “集中服务化” ， 统一监测、 预警与通报。 各所属机构在其中存在的服务需求， 可运用共享服务的理念， 利用运营中心将各单位的需求进行 “服务集中化” 予以提供， 具有服务标准统一、 服务质量可控、 资源高效利用等优势。在众多的用户需求中， 安全保障的基本需求是用户最根本的利益所在。 在这其中奇安信做了很多探索， 比如全新的 “云地结合” 服务模式， 从 “纯云监测” 1.0时代升级为 “云地结合” 2.0模式， 通过云端监测响应、 地端处置闭环为客户提供综合性服务； 更好的通过7x24的实时监测， 实现常态化的安全保障； 更为及时有

58、效的处置APT 事件、 网络攻击事件、 恶意软件事件及其他潜在安全风险； 为防止疫情对安全服务造成的影响， 通过视频一对一的方式与客户 “面对面” 沟通， 提供专家深度解读、 安全事件重点讲解， 指导客户安全事件闭环。1.3安全托管服务的两种模式与三种形态1.3.1通过托管解决安全的最核心需求1.3.2两种模式与三种形态奇安信网络安全托管服务架构30/通过寻求专业的、 可信任的合作伙伴推行网络安全托管模式， 可以帮助政企单位以更小资源的投入提升企业网络安全能力， 为平稳推进数字化升级转型保驾护航。 另外， 在业务、 资金、 人力等条件的受限的情况下， 安全托管模式还可以快速拉齐政企事业单位的网

59、络安全防护能力， 实现各单位联防联控和信息共享。网络安全托管服务由网络安全专业化服务机构统一提供， 集中化开展安全事件分析和事件管理、 入侵检测、 入侵防御、漏洞和合规性管理等工作， 通过持续监控企事业单位的网络、 系统与数据， 帮助企事业单位在合规的要求下， 保护组织自身的信息与数据资产。网络安全托管服务既给企事业单位提供高质量的服务， 又节约了信息安全保障成本； 网络安全托管服务商提供的信息安全解决方案与产品， 以及辅助的安全平台工具和人员更具体系化； 更能提供及时可靠的信息保障， 可提供24小时全天候的服务响应， 应急处理安全事件； 通过合理的操作流程， 规范的安全策略， 积极的应对方案

60、， 确保信息安全服务的及时性、 可靠性。随着近几年的网络安全行业高速发展下， 数字化转型带来的城市、 政府、 企业实际安全需求推动了中国托管安全服务市场规模的快速发展。 然而， 目前大部分中国的托管安全服务还处于以合规为出发点的 设备托管+初级分析与检测+应急响应 的初级阶段。未来， 安全托管服务商应更加注重服务内容清单化、 服务流程标准化、 服务平台便捷化、 服务过程透明化、 服务体验智慧化和服务渠道多样化这六个方面， 真正帮助用户降本增效， 解决实际问题。近年来， 某驻澳央企认真贯彻落实国家和澳门 网络安全法 等相关要求， 坚持 “境外不例外， 网络安全从严” 的总体方针， 通过与奇安信集

61、团合作， 从理念、 技术、 实践等方面进行创新， 依托奇安信NGSOC(态势感知与安全运营平台)和网络安全托管服务MSS(安全托管服务)， 建成首个跨境云地一体化网络安全运营中心。 该集团安全运营中心采用 “云地结合” 模式， 7*24小时保障集团网络安全， 通过 “一线驻场快速检测收缩事件影响面， 二线人员快速处置处理安全事件， 三线专家指导后续安全整改” 流程化无缝联动， 做到安全事件 “可预测、 可检测、 可防御、 强响应” ,实现 “防护预防监测响应”全周期循环安全运营管理， 保障公司业务的持续、 稳定、 安全发展。1.4. 奇安信网络安全托管服务MSS 相关技术国内实践案例1.3.3

62、未来安全托管服务迎来六化深信服数字化转型是当前各行业生产力变革的重点方向， 在数字化转型过程中， 各行业用户面临着以下网络安全挑战：信息化的深入和数字化转型使得越来越多的资产数字化， 这也增大了攻击的暴露面， 使得安全风险越来越大。 网络攻击频发、 攻击多样化和复杂化也使得组织单位难以在日益猖獗的网络攻击面前独善其身， 伴随着安全威胁的不断升级， 数字化时代下的网络安全面临着愈发严峻的形势。数字化时代威胁不断升级国家陆续出台了 网络安全法 、贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见 等相关法律和文件要求， 十四五规划也强调， 要全面加强网络安全保障体系和能力建设，

63、各行业用户面临更高的合规监管压力。合规要求日益严格有关数据显示， 目前我国信息安全类毕业生每年毕业人员数量约5万人， 但根据IDC预测， 2023年我国网络安全人才缺口将会超过200万。 而安全效果的保障离不开人， 大量的网络安全人才缺口， 使得组织单位内部的人员难以有这样的环境和精力培养高端安全人员， 管理人员无法及时到岗， 出现安全事件更是难以及时处置。缺乏专业网络安全人才31/1.中国网络安全托管服务MSS服务发展前景深信服是国内率先布局网络安全托管服务MSS领域的综合型网络安全厂商， 自2018年就在国内推出了安全托管服务网络安全托管服务MSS， 目前已服务了政府、 中央企业、 知名企

64、业、 教育、 医疗等多个行业的超过千家政企机构。深信服网络安全托管服务MSS颠覆了以往以人工服务为主的传统模式， 以保障用户网络安全 “持续有效” 为目标， 围绕资产、 脆弱性、 威胁、 事件四个要素， 通过 “人机共智” 的模式整合技术、 专家和流程开展持续化的网络安全保障工作， 帮助用户构筑持续 （7*24小时） 、 主动、 闭环的安全运营能力， 保障可承诺的风险管控效果。IIIIII32/网络安全托管服务MSS市场高增长的背后， 是网络安全托管服务MSS实现了让用户能够复用网络安全托管服务MSSP厂商的安全能力， 从而快速扩张自己的安全团队， 以此有效保障单位的网络安全及业务系统持续正常

65、运行， 使用户能满足合规要求并面对日益复杂的安全威胁。 与此同时， 通过复用网络安全托管服务MSSP厂商的平台和工具以及流程， 能够更有效率开展安全管理工作， 未雨绸缪， 主动运营。2021年7月12日， 工信部发布 网络安全产业高质量发展三年行动计划 （2021-2023） 。 该 三年行动计划 不仅明确了重点行业在网络、 信息系统和数据安全方面的投入比例， 更在计划中明确指出： 安全企业应加强产品云化能力， 推出弹性、灵活的云模式网络安全服务。 其逻辑在于网络安全是一项强调运维、 运营且需持续投入和改进的系统性长期工程， 那么以云的形式将安全交付给企业便是极为理想的选择。 专业化的云端安全

66、团队能够以服务的形式介入企业安全， 更能通过服务的不断升级和持续运营帮助企业用户实现持续有效保护， 这也是网络安全托管服务MSS核心所在。业务系统是支撑单位业务得以持续发展的关键要素， 保障其安全稳定运行至关重要。 近年来， 外部安全形势严峻， 在黑客攻击下导致业务瘫痪的安全事件频繁发生， 单位网络安全团队面临的工作压力越来越大。深信服通过安全运营场景的服务方案帮助组织从资产、 脆弱性、 威胁及事件四个要素入手， 持续有效地保障业务的安全性， 保障安全运营的效果， 助力组织业务持续发展。网络安全压力逐年增加， 组织单位完全依赖自身的能力进行网络安全管理已经分身乏术。 在这种情况下， 网络安全托

67、管服务MSS安全托管服务成为各行业用户持续提升风险抵御能力、 化解安全压力的有效措施。借力网络安全托管服务MSS， 化解网络安全压力的有效措施1.2.深信服网络安全托管服务MSS服务核心应用场景1.2.1.安全运营场景2017年6月1日，网络安全法 正式实施， 网络运营单位必须履行网络安全保护义务， 保障网络免受干扰、 破坏或者未经授权的访问,防止网络数据泄露或者被窃取、 篡改。 拒不履行相关义务的单位和人员将面临处罚。1.2.2.等保合规场景近年来， 巨大的利益驱动和攻击手段的升级， 使得勒索病毒的爆发频率越来越高， 勒索带来的数据不可用和业务中断让广大客户谈之色变。深信服通过勒索病毒预防与

68、响应的服务方案， 云端安全运营专家围绕用户的核心资产， 开展7*24H的勒索预防与响应，帮助用户补齐勒索预防、 监测、 处置能力的缺失。1.2.3.勒索预防与响应场景33/以往情况表明， 重大活动期间， 黑客组织往往会通过各种攻击手段破坏国内重要组织的网络系统， 以达到政治或获利的目的。 持续有效地应对高强度攻击威胁是重大活动期间安全保障工作的重中之重。深信服重保场景服务方案协助组织在国家重大活动、 节假日期间(如:全国两会、 国庆、 春节)或攻防实战演练中及时发现并处置网络安全隐患， 充分做好网络应急响应准备和安全保障工作， 避免出现黑客攻击入侵、 网页篡改、 敏感数据泄露等安全事件。1.2

69、.4.重保场景FreeBuf前瞻观察FreeBuf前瞻观察1.人机结合合力构建完善的服务流程是网络安全托管服务商MSSP未来发展的主要方向安全工具逐步走向智能化与自动化， 并不断覆盖一部分安全人员的基础工作， 实现从 “人” 向 “人机结合 “的转变成为全球与我国安全市场不可逆转的大趋势。 从技术发展的角度来看， 网络安全托管服务MSSP正积极开发与扩展底层技术平台的能力， 从传统的基础SIEM平台， 到不断融入或开发SOAR、 UEBA、 威胁情报、 XDR等工具， 技术工具的智能化及自动化程度正不断提高。然而， 目前我国绝大多数的网络安全托管服务MSSP还无法达到网络安全托管服务MSS3.

70、0所要求的主动、 纵深的服务能力， 服务工具的自动化及智能化程度也仍存在一定的改进空间。 不仅如此， 人才质量与数量的双重稀缺是我国安全市场整体面临的挑战。资料来源： FreeBuf咨询35/FreeBuf前瞻观察SOARUEBA威胁情报XDR基础SIEM平台网络安全托管服务MSSP在未来一方面应继续提升托管服务的底层工具的自动化及智能化水平， 另一方面应积极建立一套成熟的人才培养方法论， 并充分发挥人机协同效应， 进而建成具备集成情报论坛、 高级行为分析能力、 远程事件响应、 高级可视化分析能力、 威胁情报能力、 威胁狩猎能力、 扩展检测与响应能力等多项能力的主动式安全运营与服务体系。2.云

71、地协同搭建适应我国本土的安全托管部署形式不同于国际市场， 基于云的安全部署与交付形态尚未得到普遍的市场认可， 而我国云安全在自身技术的成熟度与服务形态上也仍与全球市场存在差距， 这使得我国现阶段的托管服务形式仍以驻场式托管为主。而以绿盟科技、 奇安信、 深信服为代表的安全服务商， 纷纷依照我国的安全环境， 构建适应我国本土的 “云地结合” 的安全托管交付模式， 为我国托管服务市场的云化进程搭建桥梁， 有效弥补当前我国云托管服务市场存在的不足。“云地结合” 以其兼具地端客户触达以及云端的统筹分析与管控的优势， 或将成为未来几年内我国最热门的安全托管部署形式。3.安全托管服务责任及定价标准与规范待

72、明晰明晰的责任划分机制以及定价体系是任何服务实现大规模交付的基础。 而托管安全服务因其底层技术架构、 运行理念与服务侧重的多样性， 本身就具备开放性高、 效果难评判的问题。 因此， 供给与需求两端都需要可量化的评判指标作保障。在国际市场， 以通用数据保护法 （GDPR） 为代表的法规就对安全SLA （服务等级协议） 作出了明确的规范， 而目前我国尚未形成标准化的服务评判标准与机制。当前有关部门已在 网络安全产业高质量发展三年行动计划 （2021-2023年） 中强调要引导网络安全产品向服务化转型， 若在未来针对这一发展方向出台进一步的标准及规范， 可以很大程度上同时刺激安全托管服务的供给与需求

73、。 与此同时， 随着网络安全托管服务MSS产业成熟度的不断提升， 各网络安全托管服务MSSP供应商能力的不断融合， 行业内或将凝结出共识性的标准， 也可作为安全托管服务实现量化交付的参考依据。36/服务形式：综上所有报告内容所述， FreeBuf咨询多次拜访斗象科技漏洞盒子团队安全专家交流心得， 并在观点的不断碰撞中， 形成一套对于中国MSS市场发展前景的判断逻辑。 安全专家还向我们展示了公司MSS服务从平台对接到最终交付的各个环节， 使我们对于托管服务MSS的具体运作流程有了充分的理解。 以下为斗象科技漏洞盒子网络安全托管服务MSS的具体形式：远程服务专家通过标准化服务流程对客户测已有PRS

74、平台及PVP蜜罐， 实现对网络攻击事件的监测、 分析、 处置生命周期管理。 通过对客户侧得SRC平台， 实现对自身系统漏洞的审核、 复现、 处置、 复测生命周期管理。资料来源： FreeBuf咨询37/FreeBuf咨询访谈-斗象科技漏洞盒子团队案例1斗象科技通过客户PRS平台的异常流量， 监测到某用户主机遭到log4j漏洞利用攻击， 在与客户联系协商后， 应急响应专家封锁攻击者源IP地址， 并还原了攻击者的入侵路径； 协助客户横向排查所有发布到公网且存在log4j漏洞的主机， 并修复整改， 完成了高效的监测、 响应、 恢复闭环。38/案例2斗象科技通过客户购买的SRC服务， 接收到白帽通过该

75、平台发现的客户发布到公网的漏洞， 通过审核和复现验证漏洞的真实性。 在与客户协商后， 漏洞修复专家协助客户对漏洞进行修复， 并进行复测验证修复的有效性， 高效得完成了漏洞的审核、 复现、 处置、 复测闭环。39/总结整体而言, 近年我国网络安全生态正逐步迈向主动式治理的高级阶段， 网络安全产业结构也不断从安全硬件、 软件产品向安全服务倾斜。 安全托管服务以其专业的人才、 技术及团队优势， 在整体网安及政策环境、 智慧城市与企业上云大趋势等多重因素驱动下得到快速发展。当前我国多数网络安全托管服务MSSP在人才的质量与数量， 技术水平的自动化及智能化程度， 主动、 纵深的安全运营流程建设能力上，

76、还存在较大的改进空间。 而行业缺乏相关责任划分标准及定价机制、 服务模式云化及规模化程度低是当前网络安全托管服务MSS市场普遍面临的几大问题。若要突破目前的局限性， 积极建立人才培养方法论， 不断提升底层技术工具的自动化、 智能化程度， 进而最大化发挥人机协同的运营流程至关重要。随着安全托管服务交付模式逐步从驻场向云端、 远程以及云地结合的部署形式倾斜， 未来相应定价标准的出台与完善，我国安全托管服务市场将逐步走向成熟， 成为构建高效安全运营环境的有效手段。免责声明本报告行业数据及相关市场预测为公司研究院采用桌面研究、 行业访谈、 市场调查及其他研究方法， 部分数据文字采集于公开信息； FreeBuf咨询对该信息准确性、 完整性或可靠性做最大的努力追求， 但不做任何保证。 在任何情况下， 本报告中的信息或所表达的观点不构成任何建议。40/