【研報】計算機行業專題研究：零信任SaaS美國經驗與中國特色-20200802[42頁].pdf

1、1 證券研究報告 作者： 行業評級： 上次評級： 行業報告 | 請務必閱讀正文之后的信息披露和免責申明 計算機計算機 強于大市 強于大市 維持 2020年08月02日 （評級） 分析師 沈海兵 SAC執業證書編號：S1110517030001 分析師 繆欣君 SAC執業證書編號：S1110517080003 零信任零信任SaaS：美國經驗與中國特色：美國經驗與中國特色 行業專題研究 摘要 2 請務必閱讀正文之后的信息披露和免責申明 1、從、從IP信任到身份信任：信任到身份信任：擴容復雜且疫情下遠程辦公內外網邊界模糊，且個人操 作復雜?，F在和未來為零信任現在和未來為零信任SaaS，零信任假設所有

2、人不可信，通過模型對不同 設備和不同身份，根據行為實時動態進行認證和評估根據行為實時動態進行認證和評估。 2、美國最大的安全公司是零信任、美國最大的安全公司是零信任SaaS公司公司：自谷歌谷歌2011年年內部實施零信任架構 開始，過去兩年零信任架構滲透率快速提升。已經和正在實施零信任SaaS超過 30%，還有44%客戶正準備實施。典型零信任公司OKTA采用SaaS訂閱模式，市訂閱模式，市 值達值達250億美元（超過防火墻等傳統安全公司）億美元（超過防火墻等傳統安全公司）。 3、客戶粘性和技術壁壘、客戶粘性和技術壁壘：客戶粘度極高，零信任SaaS深入企業業務流程和人員， 如OKTA收入續費率在收

3、入續費率在120%。技術壁壘而言，零信任SaaS要求企業掌握微隔離、 數據安全等技術，領軍公司通常為對網絡管理、防火墻、云安全網絡管理、防火墻、云安全有深刻理解的公 司。 4、中國特色、中國特色：目前仍在導入期，滲透率極低 ，看好未來三到五年零信任零信任SaaS市市 場啟動場啟動?？紤]技術積累和客戶屬性，白馬推薦深信服、奇安信、美亞柏科，黑馬白馬推薦深信服、奇安信、美亞柏科，黑馬 推薦格爾軟件、數字認證。推薦格爾軟件、數字認證。 風險提示：傳統VPN替代不及預期；零信任SaaS市場競爭激烈；企業上云不及預期。 oPoRmMoRqPmOzRrOqMqPsR7NdN7NoMpPtRqQkPoOwO

4、lOnNqM6MqQxOwMoOqOMYnMsM 數據來源：Gartner，安恒信息官網，天風證券研究所 中國ICT技術成熟度曲線報告 圖1：中國ICT技術成熟度曲線報告 目錄 4 請務必閱讀正文之后的信息披露和免責申明 1、何為零信任何為零信任 5、投資機會投資機會 2、零信任零信任SaaS過去和未來過去和未來 4、中國特色中國特色 3、零信任零信任SaaS的競爭格局的競爭格局 何為零信任何為零信任 1 5 1.1 零信任架構：未來安全架構的必然趨勢 6 數據來源：天極網，天風證券研究所 加碼零信任，廠商增加兩倍：加碼零信任，廠商增加兩倍：2019年，RSAC上主打零信任的廠商約有3939家

5、家。截至目前，RSAC上打著零 信任標簽的廠商就已經有9191家家之多，增長133%133%。 美國防部高度重視，零信任熱度加速提升美國防部高度重視，零信任熱度加速提升：美國國防創新委員會發布的零信任架構建議白皮書中建議 美國國防部應將零信任實施列為最高優先事項零信任實施列為最高優先事項。 而美國最大的安全公司不是防火墻公司，是零信任而美國最大的安全公司不是防火墻公司，是零信任SaaSSaaS公司公司。 39 91 0 20 40 60 80 100 20192020Q1 RSAC：零信任廠商 圖2：各大廠商紛紛研發零信任，競爭愈發激烈 基于現有國防部（DoD）的網絡脆弱性和網絡脆弱性和 未來

6、的網絡需求未來的網絡需求，國防創新委員會（DIB） 建議國防部開始朝著非機密互聯網協議路 由器網絡（NIPRNET）和機密互聯網協 議路由器網絡（SIPRNET）的零信任安零信任安 全架構模型全架構模型邁進。 零信任架構建議 圖3：美國國防部高度重視零信任架構 數據來源：昂楷科技官網，天風證券研究所 1.1 內涵是基于IP的信任轉向基于身份和行為的信任 7 數據來源： 聯軟科技官網，天風證券研究所 過去過去企業身份管理為VPN，擴容復雜且疫情下遠程辦公內外網邊界模糊，且個人操作復雜。 現在和未來現在和未來，零信任假設所有人不可信，通過模型對不同設備和不同身份，實時動態進行認證和評估。實時動態進

7、行認證和評估。 圖4：傳統VPN無法識別可疑用戶 數據來源： H3C，useit，天風證券研究所 圖5：云計算時代網絡邊界正在消失，VPN已無法提供云安全 1.1 零信任：假設所有人都不可信的新一代網絡安全架構 8 數據來源：NIST零信任架構草案第二版，天風證券研究所 圖6：零信任架構（ZTA）邏輯示意圖 數據來源：深信服官網，天風證券研究所 圖7：零信任必須先驗證身份后，再授權 與傳統網絡安全區別：與傳統網絡安全區別：傳統，先訪問資源再驗證身份；零信任，先驗證身份先驗證身份再授權訪問資源 以身份為中心：以身份為中心：經過“預驗證”“預授權”“預驗證”“預授權”才能獲得訪問系統的單次通道。

8、最小權限原則：最小權限原則：每次賦予用戶所能完成工作的最小訪問權限最小訪問權限。 業務安全訪問：業務安全訪問：所有訪問通道都是單次的單次的，強制訪問控制。 傳 統 零 信 任 1.2 場景價值：云計算業務天然需要零信任SaaS 數據來源：深信服官網，昂楷科技官網，安全內參，Cybersecurity Insiders，Zscale，新華網，天風證券研究所 圖8：零信任與傳統安全邊界防護對比 企業上云已成趨勢：企業上云已成趨勢：預計2025年將有85%以上企業將應用 部署到云上。 傳統安全邊界模糊：傳統安全邊界模糊：云化業務與移動互聯網、IOT 等技術 的結合使得各類端點設備與業務系統的數據交互

9、不再受地不再受地 理位置或時間理位置或時間的限制。 軟件定義邊界基于零信任模型：軟件定義邊界基于零信任模型：用身份的細粒度身份的細粒度訪問代替 廣泛的網絡接入廣泛的網絡接入。 SAAS化的零信任化的零信任：所有與安全相關的活動都在云中執云中執 行行，如授予數據中心或公/私有云內的訪問權限。只有認 證通過后，才能與服務器建立聯系。 對于員工，單點登錄，不用重復輸入密碼，提高使用效率，更適配不斷增長的云應用對于員工，單點登錄，不用重復輸入密碼，提高使用效率，更適配不斷增長的云應用/Web應用。應用。 對于企業，動態認證和授權對于企業，動態認證和授權(授權顆粒度最小化授權顆粒度最小化)，事中轉事前，

10、安全性提升。，事中轉事前，安全性提升。 37% 33% 18% 12% 訪問云應用替代VPN 控制第三方訪問其他 零信任應用于零信任應用于云應用云應用的案例最多的案例最多 附 數據輸入：八大數據源 10 數據來源：NIST零信任架構草案第二版，天風證券研究所 信息源是零信任架構的輸入值，有賴于CDM、SIM、TI、IDMS等系統的強大識別和管理能力 序號序號數據源數據源數據內容數據內容 1CDM系統系統-持續診斷和緩解系統持續診斷和緩解系統關于企業系統當前狀態的信息企業系統當前狀態的信息，并對配置和軟件組件應用已有的更新 2行業合規系統行業合規系統 企業遵守可能需要遵守的任何監管制度任何監管制

11、度（如 FISMA、HIPAA、PCI-DSS 等），包 括企業內部制定的合規策略規則 3TI-威脅情報源威脅情報源 外部外部威脅威脅信息信息，幫助策略引擎做出訪問決策，如DNS黑名單、發現的惡意軟件、以 及已知的其他設備攻擊 4數據訪問策略數據訪問策略企業圍繞著企業資源而創建的數據訪問的屬性數據訪問的屬性、規則和策略規則和策略 5SIM系統系統-安全信息管理系統安全信息管理系統以安全為核心以安全為核心、可用于后續分析的信息可用于后續分析的信息，用于優化策略并預警。 6IMS系統系統-身份管理系統身份管理系統企業用戶賬戶和身份記錄企業用戶賬戶和身份記錄 7網絡與系統行為日志網絡與系統行為日志資

12、產日志、網絡流量、資源授權行為和其他事件 8PKI-企業公鑰基礎設施企業公鑰基礎設施由企業頒發給資源、訪問主體和應用程序的證書證書 表1：數據源系統的能力決定了權限決策的能力 附 數據輸出：信任算法 11 數據來源：NIST零信任架構草案第二版，天風證券研究所 信任算法（信任算法（Trust Algorithm）：）：PE決策引擎的實現過程決策引擎的實現過程，根據數據源做出決策，傳遞給PA決策管理器。 根據根據NIST標準第二版，基于上下文和分數的標準第二版，基于上下文和分數的TA安全效果最好。安全效果最好。防止時間不一致性和訪問者對系統的惡意訓練 加權得分高于 企業設置的閾 值 PA配置PE

13、P，授權或拒絕該 主體、設備、環境對資源A的 請求 資源A 條件1 得分1 權重1 條件2 得分2 權重2 條件3 得分3 權重3 得分x 權重x 用戶歷史訪問記 錄 用戶行為分析建 模用戶行為方式 新請求vs建模結 果 圖9：基于分數的信任算法：絕對合法性圖10：基于上下文的信任算法：相對歷史記錄合法性 數據來源：NIST零信任架構草案第二版，天風證券研究所 數據庫管理員： 每天進行策略開 發、交付 行為建模：數據 調用是合法的， 刪庫是不合法的 拒絕刪庫跑路 零信任零信任SaaS過去和未來過去和未來 2 12 2.1 零信任SaaS新藍海：已誕生如OKTA等行業巨頭 13 數據來源：安全牛

14、，wind，天風證券研究所 萌芽于美國國防部門，近萌芽于美國國防部門，近10年從概念到成功商業化。當前美國有三家零信任年從概念到成功商業化。當前美國有三家零信任SaaS企業登陸資本市場，以企業登陸資本市場，以 OKTA為例，市場高度看好，三年股價成長為例，市場高度看好，三年股價成長10倍，倍，07.06統計市值約統計市值約250億美金（億美金（PS 約約40倍）倍） 200420102011 201720182019 19942004年 探討無界化網 絡安全架構與 方案；2004年 NAC架構出現 2010年 Forrester Research 第一第一 次提出“零信次提出“零信 任”概念任

15、”概念 20112017年 Beyond Corp在 Google內部部 署，成為第一成為第一 個成功的零信個成功的零信 任實踐任實踐 2013年 CSA云安全聯云安全聯 盟成立盟成立SDP工工 作小組作小組，次年 發布SDP標準 規范1.0 2018年 Forrester提出 ZTX架構架構，從 微隔離拓展到 可視化、自動 化編排 2019年、2020年 美國商務部下屬 的NIST連續發布 零信任架構標零信任架構標 準（草案）準（草案）的的 第一版、第二版第一版、第二版 2018年、2019 年美國三家初美國三家初 創零信任企業創零信任企業 完成完成IPO，零信 任成功商業化 美國國防部門開

16、展去邊界化美國國防部門開展去邊界化 的研究工作的研究工作 2020 圖11：零信任是一片新藍海 250 143 110 39 43 34 0 20 40 60 0 100 200 300 OKTAZscalercloudflare 市值（億美元）07.06統計PS 14 零信任零信任SaaS行業的發展基本上是美國零信任行業的發展基本上是美國零信任SaaS行業發展的歷程行業發展的歷程：國防部在概念成型之前已開始相關研究； 概念提出后，谷歌、微軟、Akamai內部實踐基礎上推出相關產品 ；思科、賽門鐵克、派拓等企業通過收購建 立能力；三家零信任SaaS初創企業于20182019年集中上市，市值在1

17、00250億美元。 企業類型企業類型代表企業代表企業 內部實踐轉換為商業產品谷歌、微軟、Akamai 通過收購建立能力思科Cisco、賽門鐵克Symantec， 派拓Palo Alto Networks、優利Unisys、 Proofpoint 初創企業Zscaler、Okta、Cloudflare、Illumio、 Cyxtera 表2：零信任SaaS的企業類型 數據來源：締盟云實驗室，天風證券研究所 2.1 美國零信任SaaS行業發展歷程 15 多方參與教育市場，市場接受度高多方參與教育市場，市場接受度高：根據Cybersecurity Insider的調查，15%的受訪IT團隊已經實施零

18、信任 SaaS，44%表示準備部署，這與聯邦政府、咨詢機構、各類企業共同教育市場不無關系。 圖12：美國企業IT從業者對零信任架構接受度高 數據來源：安全內參，Cybersecurity Insider，天風證券研究所 注： Cybersecurity Insider基于其2019年78月對美國315個IT和網絡安全專家的調查 2018年 Gartner提出零信任是實踐 持續自適應的風險和信任 評估（CARTA）的第一 步 ，推動零信任的市場認 知 2019年、2020年 美國商務部下屬NIST連續 推出兩版零信任架構標 準（草案），向市場傳 達零信任架構的邏輯和價 值 2017年 Gartn

19、er推出自適應安全 3.0的版本CARTA框架， 其思想與零信任一致，推 進了產業界的投入和研究 2018年 Forrester 開始發布零信 任擴展生態系統ZTX報 告，探索零信任架構在 企業中的應用，將市場 教育作為企業關鍵能力 2018年、2019年 3家初創企業集中IPO， 思科、賽門鐵克、派 拓、Proofprint完成8起 零信任領域收購，引起 關注 圖13：多方參與教育市場 數據來源：網絡安全白皮書，締盟云實驗室，天風證券研究所 15% 19% 44% 19% 3% 美國企業美國企業IT達達78%接受零信任接受零信任 已經部署正在部署 準備部署暫無計劃 不知道零信任 2.2 發展

20、現狀：多方參與教育市場，市場接受度較高 2.34 5.01 9.82 15.15 24.86 38.07 114% 96% 54% 64% 53% 0% 20% 40% 60% 80% 100% 120% 0 5 10 15 20 25 30 35 40 2014A2015A2016A2017A2018A2019A 訂閱收入（億元）同比增長（%，右軸） 16 數據來源：Gartner，人民網，天風證券研究所 零信任零信任SaaS滲透率加速提升：滲透率加速提升：根據Gartner估計，到2022年，面向生態系統合作伙伴開放的80%的新數字 業務應用程序將通過零信任網絡（ZTNA）進行訪問。到20

21、23年，60%的企業將淘汰大部分遠程訪問虛擬 專用網絡（VPN），轉而使用零信任SaaS。 零信任零信任SaaS龍頭公司龍頭公司OKTA 2019年訂閱收入規模年訂閱收入規模38億元，占營收億元，占營收94.3%。 60% 40% 零信任 VPN 圖14：到2023年零信任SaaS替代60%的VPN圖15：OKTA訂閱收入規模 數據來源：OKTA公司年報整理，天風證券研究所 2.3 零信任SaaS成長空間可觀：2023年替代60%傳統VPN 零信任零信任SaaS的競爭格局的競爭格局 3 17 18 3.1 群雄逐鹿，行業處在成長初期 行業處在成長期，份額分散：行業處在成長期，份額分散：根據Fo

22、rrester 2019Q4 報告，市場領導者和其他競爭者市場份額差距較小。創業 公司Illumio、Okta、傳統公司思科、Palo Alto進入領導者象限。 數據來源：Forrester Wave，安全牛，天風證券研究所 創業公司創業公司成立時間成立時間市值市值零信任產品零信任產品 Zscaler2008年2018年Nasdaq上市，市值143億美元ZPA 內部應用安全 訪問 Okta2009年2018年Nasdaq上市，市值243億美元Okta Identity Cloud 身份識別 Cloudflare2009年2019年NYEX上市，市值110億美元Cloudflare Access

23、 邊緣實施訪問規則 Illumio2013年E輪,估值10億美金Adaptive Security Platform 持續監控 系統 Cyxtera2017年2017年被BC Partner收購，作價28億 美元 Appgate SDP 物聯 網保護，客戶主要 是聯邦機構 圖16：零信任SaaS市場競爭格局分散表3：創業企業已有一定規模，零信任SaaS行業處在成長初期 數據來源：締盟云實驗室，wind，天風證券研究所，市值數據截至2020年7月6日 表4：零信任SaaS可能面臨的風險和響應解決方案 行業技術壁壘高行業技術壁壘高。數據安全、操作人員、設備安全面臨較高的風險，根據Forrester

24、以上是最重要的性能標準。 而相應解決能力有賴于網絡彈性技術、機器學習、加密流量的收集等技術，以及從實踐方案中積累的經驗。 因此，需要對安全或者網絡的技術理解非常深刻需要對安全或者網絡的技術理解非常深刻（除了創業公司，為思科、除了創業公司，為思科、Palo Alto） 數據來源：NIST零信任架構草案第二版，天風證券研究所 序號 風險原因解決方案 1PE/PA 配置錯誤有權限的企業管理員的進行不合法的配置記錄任何配置修改，同時進行審計 2拒絕服務或網絡中斷 攻擊者可能者破壞或阻斷對PEP或PA的訪問 （DoS攻擊或路由劫持） 通過強制駐留在云中的策略，或根據網絡彈性技 術規范地在幾個位置進行復制

25、 托管提供商意外地將基于云PE或PA宕機嚴格評估選擇托管商 由于攻擊或大量使用，PA無法訪問企業資源網絡彈性 3憑證被盜/內部威脅外部攻擊者偽裝/內部人員刪庫跑路基于上下文TA 4部分網絡不可見非企業設備資產&拒絕監控的應用程序產生的 流量無法監控 1. 收集有關加密流量的元數據，并用它來檢測 2. 機器學習用于分析無法解密和檢查的流量,允 許企業將流量分類為正常的或可能惡意的，并且 進行整治 5網絡信息存儲量更大， 風險暴露高 ZTA實時監控設備/用戶/環境，產生大量數據并 用于后續分析，成為攻擊目標 甄別數據價值等級，并制定相應的訪問策略 6供應商風險產商可能有安全性問題或突然中斷對供應商

26、進行整體的評估，包括供應商安全控制、 企業轉換成本、和供應鏈風險管理 7ZTA的非人類實體人工智能被用來管理企業網絡上的安全性問題， 存在漏報/誤報，被訓練的風險 定期重新調整分析來糾正錯誤的決策并將其改善 3.1 兼具網絡和安全的理解廠商有先發優勢 20 數據來源：Forrester Wave，天風證券研究所 零信任零信任SaaS架構的實現依托于關鍵的技術架構的實現依托于關鍵的技術。根據Forrester,零信任SaaS系統商要對零信任有深刻的認識、 較強的微隔離能力、廣泛的集成和API能力、識別并監控任何可能帶來風險的身份的能力（不僅是IAM）。 國外領先企業通常為對網絡管理、云安全、防火

27、墻網絡管理、云安全、防火墻有深刻理解的公司 序號序號能力能力 1對零信任深刻的認知，并積極教育客戶和市場積極教育客戶和市場 2微隔離微隔離是必備的能力，不管是對客戶、設備還是網絡 3跨基礎設施執行能力，要有強大集成和集成和API能力 4強大的判斷風險點能力，識別和監控身份識別和監控身份的能力 表5：Forrester認為零信任SaaS供應商應具備的四大能力 數據安全, 17% 操作人員, 15% 設備安全, 14%網絡安 全, 12% 負載安全, 12% 易管理和易用 性, 10% 自動化編排, 8% APIs集合能 力, 7% 可視化和分析 能力, 5% 數據來源：Forrester Wav

28、e，天風證券研究所 圖17：Forrester性能評價維度和權重 3.1 零信任SaaS提供商需要具備的四大能力 21 從自適應安全業務出發，強大的集成能力，業務流程可視化從自適應安全業務出發，強大的集成能力，業務流程可視化：基于原有的端到端流量監控篩查能力端到端流量監控篩查能力，Illumio關 注基于客戶當前的技術部署情況，進行零信任架構建設。根據Forrester, 公司強大的APIs能力受到廣泛好評， 能夠集成已部署的工具和設備，兼容性強。 數據來源：Illumio官網，天風證券研究所 圖18：Illumio的ASP UI可視化和易操作性強 核心部件核心部件含義含義特點特點 PCE策略

29、計算引擎適用公有云、私有云；可運行 分布全球的25000個業務負載 VEN虛擬執行節點， 讀取和執行 針對每一個請求的主機狀態進 行防火墻編程：主機操作系統 中的第3層/第4層防火墻；負載 平衡器和交換機，容器化主機 和云安全組中的訪問控制列表 策略生成器和 應用程序依賴 圖建模 推薦最佳策略， 在實施前進行 效果建模測試 加快安全性工作流程，以減少 創建分段策略時出現人為錯誤； 防止策略不當造成實質性后果 豐富的UI和API便捷的PCE結 果呈現和交互 REST API通過客戶端修改服務器 端的資源，并實時看到結果 數據來源：Illumio官網，天風證券研究所 表6：Illumio的性能強、

30、減少操作風險，使用體驗佳 3.2 Illumio：強大的集成能力，負載和風險治理性能強，交互性好 22 公司擁有行業標桿性大客戶，客戶滿意度高公司擁有行業標桿性大客戶，客戶滿意度高：根據Gartner，Illumio ASP產品用戶評價得分較高，在4.6分（滿 分5分）；客戶留存率98%。前期評估、集成和部署能力、服務和支持、產品性能為Illumio 得分較高的方面， 強大的集成能力，負載和風險治理性能強，交互性好為公司贏得行業標桿性大客戶青睞。 數據來源：Illumio官網，Gartner Peer Insights，天風證券研究所 圖19：Salesforce、國泰航空、英格蘭銀行等行業標

31、桿客戶 數據來源：Illumio官網，天風證券研究所 圖20：客戶留存率達98%，客戶評分接近滿分 3.2 Illumio：強大性能帶來標桿性大客戶，滿意度92%和留存率98% 23 根據億歐，Okta客戶平均擁有83個個云應用，其中9%的客戶擁有200多個多個云應用。 從面向從面向SaaS產品的產品的SSO單點登錄發展成身份認證和管理平臺單點登錄發展成身份認證和管理平臺：2009年以來作為SaaS服務商與企業的中間產品 提供者，深耕云應用統一登錄云應用統一登錄領域。2018年收購云訪問控制網絡安全商ScaleFT后，構建起以身份認證為核心身份認證為核心 的零信任平臺。根據Forrester，

32、其后臺管理UI具有最佳的易用性和間接性；集成了幾乎所有常見的外部應用。 數據來源：Okta官網，天風證券研究所 圖21：公司核心產品是身份云，把控零信任的入口把控零信任的入口 數據來源：Okta官網，天風證券研究所 圖22：Okta集成6500款云產品，一鍵登錄 2018年收購云訪問控制 網絡安全商ScaleFT后 登錄1 登錄1 登錄1 登錄1 SSO單點登錄 一次登錄 全部調用 過去現在 3.3 Okta：深耕統一身份治理，強大的集成能力，最簡潔的UI 更多集成 服務器 應用程序 設備 IaaS APIs 更深挖掘 設備狀態 生物統計、 終端安全 移動安全 網絡 用戶行為 應用程序 登錄

33、三方智能 更多應用 零信任 上下文分 析 安全分析 安全基礎 設施 24 定價模式可持續性強，積極拓展產品線，定價模式可持續性強，積極拓展產品線，ACV增長顯著增長顯著：公司基本功能產品按照客戶數每月收費，單價在幾十 元每年；高級附加功能按照年收費，價格在8000美元以上。按照功能數階梯定價，隨著產品功能豐富，用戶價 值提高，ACV增長空間較大。根據公司投資者大會，公司通過多種方式拓展產品線，成熟客戶ACV增長在6X。 數據來源：Okta投資者交流材料，天風證券研究所 表7：基本功能按照用戶數每月收費，按照功能階梯定價 數據來源：Okta官網，天風證券研究所 圖23：多角度拓展產品線,提升AC

34、V 產品產品價格價格備注備注 SSO、適應性 SSO$2/最終用戶/月、 $5/最終用戶/月 增加了基于上下文的分析功能 MFA、適應性 MFA $3/最終用戶/月、 $6/最終用戶/月 增加了新身份檢測（設備、地理位置、 IP）、網絡匿名和不合理訪問模式的 檢測 生命周期管理$4/最終用戶/月、 $6/最終用戶/月 $2/最終用戶/月-附件 增加了可視化界面、無代碼功能拓展 等功能 API 訪問管理$2/最終用戶/月公有云、私有云，無縫SSO/MFA，允 許自定義IAM流程 訪問網關$3/最終用戶/月無限制主機、應用、數據中心、服務 器連接 客戶身份管理單個APP$1.2萬起， 大企業$4.

35、2萬/年起 支持10億MAUs訪問 3.3 Okta：雙重定價法，積極拓展產品線，客戶ACV增長在6X 服務周期長，客戶轉換成本高。服務周期長，客戶轉換成本高。根據NIST：“向零信任架構的轉型是漫長的旅程而不是簡單的置換企業現有 基礎設施“。零信任架構的部署一般持續數年：以Google為例，零信任架構的轉移共用6年時間年時間。這意味著 客戶選擇廠商時會較為謹慎，而一旦獲客后單客戶帶來的收入穩定性也較高。相應的證據是是Okta dollar based留存率約留存率約120%。 圖24：零信任架構的部署周期 數據來源：NIST零信任架構草案第二版，天風證券研究所 圖25：Okta Dollar

36、-Based留存率均約120% 117%121% 數據來源：Okta投資者交流材料，天風證券研究所 3.4 優勢可持續，客戶粘度極高 中國特色中國特色 4 26 27 4.1 受限于C/S架構下產品接口不統一，但未來云應用有望解決 過去缺少統一技術標準，用戶體驗差過去缺少統一技術標準，用戶體驗差。由于各個軟件接口之間缺少統一技術標準，部分廠商將零信任架構與現 有產品組合并未實現好的用戶體驗差。但在在WEB端云應用下零信任端云應用下零信任SaaS的用戶體驗有望解決。的用戶體驗有望解決。 圖26：零信任SaaS缺少技術統一標準 數據來源：驅動中國，深信服官網，天風證券研究所 統一身份認證中心統一身

37、份認證中心 用戶多因素身份 信息驗證 單點登錄 賬號管理 持續評估信任持續評估信任 終端安全評估 行為檢測分析 安全訪問業務安全訪問業務 開放融合：各類 安全產品聯動 全局可視：內網 可視可控 動態訪問控制動態訪問控制 信任等級，身份 /環境/行為可信 應用資源分級 靜態授權 底層技術能否適配：終端和通信協議種類多。 滿足合規要求：實施過程中必須達到的安全核心技術要求。 具體落地：1）落地的成本是否低于傳統VPN；2）業務的切割能否做到平滑的過渡； 3）用戶的習慣是否可以體驗更好。 28 4.1 企業應用SaaS化后，WEB端訪問更適配零信任架構 單點登錄更適合云應用、移動應用：單點登錄更適合

38、云應用、移動應用：零信任SaaS主要通過單點登錄，對WEB端有更好的支持，用戶體驗好 企業業務上云趨勢下，零信任企業業務上云趨勢下，零信任SaaS更好適配用戶需求更好適配用戶需求：企業應用云化，企業用戶主要通過WEB端訪問，打通應 用之間聯系。通過SaaS化零信任，用戶無需在內網部署任何軟硬件，直接通過SaaS零信任平臺訪問云端應用， 極速交付，即需即用，安全性極高（訪問控制由安全專家負責）。 圖27：對所用應用程序提供零信任SaaS訪問 數據來源：citrix官網.，天風證券研究所 圖28：零信任SaaS更適配云應用的使用 數據來源：聯軟科技官網，天風證券研究所 單點 登錄 29 4.1 除

39、了內生需求如遠程辦公，政策也在重視 政策首次提及零信任：政策首次提及零信任：2019年起草的關于促進網絡安全產業發展的指導意見(征求意見稿)首次將零信任安首次將零信任安 全列入網絡安全需要突破的關鍵技術全列入網絡安全需要突破的關鍵技術。今年網絡安全相關的政策也密集出臺，零信任有望得到政策推動。 圖29：過去一年半中國采招網上“零信任”詞頻統計 數據來源：中國采招網， 天風證券研究所統計 00 1 0 2 0 3 1 2 3 6 15 9 1 7 11 10 8 零信任詞頻統計（次) 30 4.2 零信任SaaS產品2019年開始推出，市場處在萌芽期 國內企業2019年開始推出零信任產品，目前大

40、多處在實踐落地期，初創企業規模較小，行業處在導入期 表8：零信任產品自2019年開始加速落地，但市場仍處于萌芽階段 梯隊梯隊 企業企業公司主營公司主營零信任產品零信任產品市值市值成立時間成立時間 零信任產品推出時間零信任產品推出時間 一級 深信服 信息安全（62%）、云計算、 基礎網絡與物聯網 aTrust安全架構創業板上市，市值776億元 2000年20192019年年 美亞柏科電子取證（40%）-創業板上市，市值190億元1999年20192019年年 格爾軟件PKI（67%）-主板上市，市值53.23億元1998年 20192019年開始構建，年開始構建，20202020 年推動落地年推

41、動落地 數字認證數字認證（33%）-創業板上市，市值81億元2001年20202020年重點研究年重點研究 奇安信新一代網絡安全（78%）零信任身份安全解決方案 科創板6月23日過會， 擬發行1.02億股 2014年 20182018年開始構建，年開始構建，20192019 年推出年推出 二級 聯軟科技 信息安全， 網絡安全（并購而來） UniSDP 新三板退市，19年12月獲達晨創 投6000萬融資 2003年20192019年，已有實踐落地年，已有實踐落地 山石網科邊界安全（86%） 山石云格微隔離零信任模 型 科創板上市，84億元2011年20182018年年 云深互聯SDP網絡隱身深云

42、SDPC輪2012年20182018年或更早年或更早 締盟云零信任零信任網絡訪問抗DDoS未融資，100個企業客戶2017年- 數據來源：各公司官網，各公司年報，wind，天風證券研究所 31 4.2 深信服：技術完善的零信任平臺，未來安全有望SaaS化 深信服精益信任深信服精益信任aTrust安全架構：安全架構：在零信任的基礎上做了增強，通過自適應策略，結合按需擴展的功能組件， 通過私有化、云化私有化、云化等多種部署方式，實現信任和風險的精益控制，形成自主調優、快速處置的統一安全架構。 公司在身份行為管理、網絡安全和可擴展性、云等產品技術積累雄厚，身份驗證、行為測試能力強；同時 aTrust

43、可與公司其他安全產品（EDR等）互聯聯動，安全效應增強。 數據來源：深信服官網、天風證券研究所 圖30：強調集成組合能力、可視化和身份檢測能力集成組合能力、可視化和身份檢測能力的aTrust圖31：aTrust 動態權限+統一的安全 數據來源：深信服官網、天風證券研究所 32 4.2 深信服：未來零信任SaaS化收入保守估計在30億元 數據來源：深信服官網/公告/微信公眾號，數字認證招股說明書，國務院，溫州財經網，北京大學口腔醫院官網等，天風證券研究所 圖32：深信服未來零信任SaaS收入預測 根據公司微信公眾號，公司已有近根據公司微信公眾號，公司已有近50000企業級用戶。同時公司已覆蓋企業

44、級用戶。同時公司已覆蓋90%政府部委單位，政府部委單位，90%銀行、證券、銀行、證券、 保險單位，保險單位，90%雙一流高校，雙一流高校，90%醫療百強機構，醫療百強機構，95%三大運營商集團。三大運營商集團。 客戶穩定下，看好公司未來零信任客戶穩定下，看好公司未來零信任SaaS收入保守估計在收入保守估計在30億元，增加公司長期市值空間。億元，增加公司長期市值空間。 33 4.3 奇安信：專注新業務場景下的零信任SaaS 專注新業務場景下的零信任專注新業務場景下的零信任SaaS ：面向人員、外部應用、外部數據平臺對內部數據、應用和API接口的調用， 適用于云計算、大數據等新業務場景下的動態可信

45、訪問控制體系。解決方案已經在部委級客戶、能源企業、金 融行業等進行正式的部署建設或POC試點。 公司為網絡安全領域領軍企業，身份檢測也有完善的布局，在監控和識別關鍵風險點上能力突出。 圖33：以身份識別為基礎，已經在多部門實踐形成標準化解決方案 數據來源：奇安信官網，天風證券研究所 圖34：公司現有部分產品 政府、部委能源 金融、央企 數據來源：奇安信官網，天風證券研究所 34 4.3 美亞柏科：從大數據延伸到大數據安全（零信任SaaS 、態勢感 知） 大數據平臺跨多城市多部門：大數據平臺跨多城市多部門：對安全訪問要求高，同時對數據安全授權要求高；傳統VPN無法有效支撐訪問。 大數據安全規范：

46、大數據安全規范：引進“零信任”安全認證和權限分級管理機制，確保數據內容安全合規使用。 數據來源：美亞柏科官網，天風證券研究所 圖35：大數據涉及多城市多部門，對零信任要求高圖36：零信任技術已應用到產品 大數據中臺大數據中臺 衛計委衛計委 政務政務 公安公安 應急應急 軍工軍工 稅務稅務 數據來源：美亞柏科官網，天風證券研究所 35 4.3 格爾軟件：PKI龍頭，身份驗證管理優勢明顯 PKI龍頭：龍頭：PKI市占率第四，PKI是零信任八大數據源之一，是通過證書來獲取身份信息的方式。 穩步推進零信任，非公開募股投資項目之一：穩步推進零信任，非公開募股投資項目之一：2019年初開始，公司基于扎實的

47、客戶、技術基礎穩步推進零信任 SaaS 。 公司優勢公司優勢：零信任以身份為中心，公司具備身份認證管理技術先發優勢。 數據來源：IDC，天風證券研究所 圖37：格爾為身份和數字信任軟件行業領先企業圖38：公司穩步推進零信任SaaS事業 2019年12月， 公司啟動非公開增發， 零信任為計劃投資項目 之一，6月20日獲得證 監會批準 2020年初，公司年報 經濟計劃中表示今年開 始推進實踐落地 2019年初，公司經 營計劃中表示開始構 建基于零信任體系 數據來源：格爾軟件公司年報與公告，天風證券研究所 36 4.3 格爾軟件：看好中長期市值空間約230億元 根據格爾軟件招股說明書公司已有客戶，估

48、計公司目前客戶人群總數達1332萬人；并參考試點項目ARPU值 （人均約50元左右），未來格爾軟件SaaS收入保守估計在6.5億元，35X PS下，未來市值空間約230億元。 圖39：格爾軟件零信任SaaS市場估計 數據來源：格爾軟件公司年報與公告，數字認證招股說明書，wind企業庫等，天風證券研究所 37 4.3 數字認證：PKI龍頭，數字身份證書經驗可復制到零信任 PKI龍頭：龍頭：PKI市占率第二，同格爾軟件一樣，基于主營業務緊握技術先發優勢。 承擔十三五課題積累零信任技術，承擔十三五課題積累零信任技術，2020年零信任年零信任SaaS成重點研究方向：成重點研究方向：2020年公司將建立

49、研究院，將零信 SaaS任與車聯網、區塊鏈一起作為重點研究方向，實際上在此之前公司已經牽頭/參與了多項涉及零信任底層 技術的國家級研究課題，并在2019年提出建設零信任智慧醫院可信體系。 數據來源：數字認證公司微信公眾號，天風證券研究所 圖40：可信醫學數字身份建設表9：公司承擔多項國家級零信任底層技術課題 數據來源：數字認證年報，天風證券研究所 門類門類牽頭或參與的項目牽頭或參與的項目 國家重點研 發計劃“網 絡空間安全” 重點專項 “信息服務可信管理平臺研制平臺研制及應用示范” “信息服務可信管理分級分類分級分類體系研究” “信息服務實體管理及身份鑒別實體管理及身份鑒別體系研究” “億級規模億級規模網絡身份管理與服務身份管理與服務系統技術” 38 4.3 山石網科：專注云資產微隔離，面向業務持續監控，多個用例 山石網科在業界率先推出面向公有云及私有云的安全防護產品山石云山石網科在業界率先推出面向公有云及私有云的安全防護產品山石云格。格。多角度劃分云安全區域，幫助用戶解 決當前面臨的