【研報】計算機行業網絡安全系列報告之三：零信任安全將成為數字時代主流的安全架構-20200817（30頁）.pdf

1、 東方證券股份有限公司經相關主管機關核準具備證券投資咨詢業務資格，據此開展發布證券研究報告業務。 東方證券股份有限公司及其關聯機構在法律許可的范圍內正在或將要與本研究報告所分析的企業發展業務關系。因此，投資者應當考慮到本公司可能存在對報告的客觀性 產生影響的利益沖突，不應視本證券研究報告為作出投資決策的唯一因素。 有關分析師的申明，見本報告最后部分。其他重要信息披露見分析師申明之后部分，或請與您的投資代表聯系。并請閱讀本證券研究報告最后一頁的免責申明。有關分析師的申明，見本報告最后部分。其他重要信息披露見分析師申明之后部分，或請與您的投資代表聯系。并請閱讀本證券研究報告最后一頁的免責申明。 深

2、 度 報 告 【 行 業 證 券 研 究 報 告 】 計算機行業 網絡安全系列報告之三：零信任安全 將成為數字時代主流的安全架構 核心觀點核心觀點 數字時代下舊式邊界安全防護逐漸失效， 零信任數字時代下舊式邊界安全防護逐漸失效， 零信任架構將成主流趨勢架構將成主流趨勢。 傳統的 安全防護是以邊界為核心的， 一定程度上默認內網是安全的。 而云大物移智 等新興技術的應用使得 IT 基礎架構發生根本性變化，可擴展的混合 IT 環 境已成為主流的系統運行環境，平臺、業務、用戶、終端呈現多樣化趨勢， 傳統的物理網絡安全邊界消失， 并帶來了更多的安全風險， 舊式的邊界安全 防護效果有限。 面對日益復雜的網

3、絡安全態勢， 零信任以身份為中心實現動 態訪問控制，被認為是數字時代下提升信息化系統和網絡整體安全性的有 效方式，逐漸得到關注并應用，呈現出蓬勃發展的態勢 零信任架構零信任架構適應多種業務環境及應用場景適應多種業務環境及應用場景。零信任架構的應用需要對 IT 基 礎設施與應用系統深度融合、全面覆蓋，根據 NIST 下屬的 NCCoE（國家 網絡安全卓越中心）發布的實現零信任架構（草案）項目說明書中，建 議零信任安全應用的八大應用場景， 囊括各類業務訪問、 數據交換以及服務 網格場景。在數據中心、遠程辦公等實際場景均有較好的解決方案。 零信任安全需求正零信任安全需求正快速快速普及。普及。2019

4、 年底，Cybersecurity Insiders 聯合 Zscaler 發布的2019 零信任安全市場普及行業報告指出， 78%的 IT 安 全團隊希望在未來應用零信任架構，19%的受訪者正積極實施零信任，而 15%的受訪者已經實施了零信任，零信任安全正迅速流行起來。Gartner 的 零信任訪問指南也認為到 2022 年，在向生態合作伙伴開放的新數字業 務應用程序中，80%將通過零信任進行網絡訪問，到 2023 年，60%的企業 將采用零信任替代大部分遠程訪問虛擬專用網（VPN）。 我國零信任政策及標準正逐步落地， 國內廠商積極布局零信任。我國零信任政策及標準正逐步落地， 國內廠商積極布

5、局零信任。 當前美國國 防部已明確將零信任實施列為最高優先事項，同時海外零信任產業已走向 規?；涞?，營收超過 1.9 億美元的廠商已超過 10 家。自 2019 年開始， 我國也加快了零信任相關政策及標準的落地，各個安全廠商亦陸續推出零 信任相關產品或解決方案，在零信任快速普及的背景下有望迎來快速發展。 投資建議與投資標的投資建議與投資標的 當前海外零信任產業已進入規?；l展階段，國內廠商已陸續推出自身的 零信任產品或解決方案。 在零信任安全逐漸普及的背景下， 我們認為兩類廠 商最為受益： 1） 綜合實力強勁并已有相應產品或解決方案推出的網絡安全公司，建議 關注奇安信-U(688561，未評

6、級)、深信服(300454，增持)、啟明星辰 (002439，未評級)、安恒信息(688023，未評級)、綠盟科技(300369， 未評級)、南洋股份(002212，買入)； 2） 在 SDP、IAM、MSG 或是某一應用場景具備突出優勢的廠商，建議關 注美亞柏科(300188，買入)、山石網科(688030，未評級)、格爾軟件 (603232，買入)。 風險提示風險提示 網絡安全政策落地不及預期；零信任安全發展不及預期。 行業評級 看好看好 中性 看淡 (維持) 國家/地區 中國 行業 計算機行業 報告發布日期 2020 年 08 月 17 日 行業表現行業表現 資料來源：WIND、東方證券

7、研究所 證券分析師 浦俊懿 021-63325888*6106 執業證書編號：S0860514050004 證券分析師 游涓洋 010-66210783 執業證書編號：S0860515080001 聯系人 陳超 021-63325888*3144 聯系人 徐寶龍 021-63325888*7900 有關分析師的申明，見本報告最后部分。其他重要信息披露見分析師申明之后部分，或請與您的投資代表聯系。并請閱讀本證券研究報告最后一頁的免責申明。 HeaderTable_TypeTitle 計算機行業深度報告 網絡安全系列報告之三：零信任安全將成為數字時代主流的安全架 構 2 目 錄 一、零信任將成為數

8、字時代主流的網絡安全架構 . 5 1.1 零信任是面向數字時代的新型安全防護理念 . 5 1.2 “SIM”為零信任架構的三大關鍵技術 . 6 1.3 零信任安全應用場景豐富 . 10 二、零信任已從概念走向落地，迎來強勁風口 . 11 2.1 中美雙雙加碼零信任安全 . 11 2.2 零信任安全正在普及應用 . 13 2.3 海外零信任產業已初具規模，國內即將步入建設高峰 . 15 三、投資建議 . 16 3.1 奇安信：網絡信息安全龍頭，專注于新型安全領域 . 16 3.2 美亞柏科：國內電子數據取證行業龍頭，大數據智能化、網絡安全專家 . 18 3.3 深信服：領先的信息安全企業，從零信

9、任到精益信任 . 20 3.4 啟明星辰：老牌網絡安全龍頭，零信任管控平臺為多種應用場景提供安全保障 . 21 3.5 安恒信息：網絡安全后起之秀，新興安全業務發展迅速 . 22 3.6 綠盟科技：領先的網絡安全解決方案供應商，產品逐步向零信任安全架構遷移 . 23 3.7 南洋股份：國內防火墻龍頭企業，持續推動零信任安全理念的落地實踐 . 24 3.8 山石網科：邊界安全領域領導廠商 . 25 3.9 格爾軟件：國內 PKI 領先企業 . 27 風險提示 . 28 qRmPqNnQnPmNtPmRyQwPtQ7N8Q6MpNqQoMpPkPnNuMlOmNwPaQoOvMMYrRmMwMoO

10、pR 有關分析師的申明，見本報告最后部分。其他重要信息披露見分析師申明之后部分，或請與您的投資代表聯系。并請閱讀本證券研究報告最后一頁的免責申明。 HeaderTable_TypeTitle 計算機行業深度報告 網絡安全系列報告之三：零信任安全將成為數字時代主流的安全架 構 3 圖表目錄 圖 1：零信任概念演進歷程圖 . 5 圖 2：傳統邊界安全防護架構 . 6 圖 3：云計算等新興技術帶來傳統安全邊界消失 . 6 圖 4：零信任架構總體框架圖 . 7 圖 5：實現零信任架構的三大關鍵技術“SIM” . 7 圖 6：SDP 的組成架構 . 8 圖 7：零信任身份與訪問管理 . 9 圖 8：基于

11、零信任架構的遠程辦公安全參考架構 . 10 圖 9：數據中心安全接入區案例示意圖 . 10 圖 10：基于零信任架構的云計算平臺安全參考架構 . 10 圖 11：零信任架構適應各類功能場景 . 11 圖 12：基于零信任架構的遠程辦公安全參考架構 . 12 圖 13：面對當前安全訪問挑戰所需的安全措施 . 13 圖 14：采納零信任安全模型的組織比例 . 13 圖 15：受訪者看重的零信任優點 . 14 圖 16：零信任主要的應用領域 . 14 圖 17：零信任遷移方法 . 14 圖 18：零信任擴展的生態系統平臺提供商（2019Q4） . 16 圖 19：奇安信協同聯動防護體系 . 17 圖

12、 20：奇安信零信任安全解決方案 . 17 圖 21：奇安信零信任安全解決方案與參考架構的關系 . 17 圖 22：奇安信零信任遠程訪問解決方案架構 . 18 圖 23：美亞柏科“四大產品”及“四大服務” . 18 圖 24：美亞柏科城市大腦邏輯架構 . 19 圖 25：深信服主營業務 . 20 圖 26：深信服精益信任解決方案架構 . 21 圖 27：深信服精益信任動態訪問控制 . 21 圖 28：啟明星辰全流程安全產品布局 . 21 圖 29：啟明星辰零信任體系架構 . 22 圖 30：零信任管控平臺典型應用場景 . 22 圖 31：安恒信息產品體系全線概覽圖 . 22 圖 32：安恒信息

13、依托零信任體系確保云上業務的接入訪問可信 . 23 圖 33：綠盟科技安全產品線 . 23 有關分析師的申明，見本報告最后部分。其他重要信息披露見分析師申明之后部分，或請與您的投資代表聯系。并請閱讀本證券研究報告最后一頁的免責申明。 HeaderTable_TypeTitle 計算機行業深度報告 網絡安全系列報告之三：零信任安全將成為數字時代主流的安全架 構 4 圖 34：綠盟科技安全運營架構 . 23 圖 35：綠盟科技零信任安全解決方案 . 24 圖 36：綠盟科技零信任網絡訪問控制 . 24 圖 37：天融信以下一代防火墻為基礎的安全防御體系 . 25 圖 38：天融信工控主機衛士系統

14、. 25 圖 39：山石網科主要產品及服務矩陣 . 26 圖 40：山石云 格主要功能 . 26 圖 41：格爾軟件 PKI 系統架構 . 27 表 1：微隔離三大技術路線 . 9 表 2：美國各組織發布的零信任相關報告 . 12 表 3：我國零信任相關政策及標準 . 13 表 4：海外零信任解決方案市場供應商分析 . 15 表 5：重大會議上提及“新基建”情況 . 19 表 6：零信任與 VPN 在通用辦公場景的對比 . 24 表 7：公司非公開發行預案募投項目一覽 . 27 有關分析師的申明，見本報告最后部分。其他重要信息披露見分析師申明之后部分，或請與您的投資代表聯系。并請閱讀本證券研究

15、報告最后一頁的免責申明。 HeaderTable_TypeTitle 計算機行業深度報告 網絡安全系列報告之三：零信任安全將成為數字時代主流的安全架 構 5 一、零信任將成為數字時代主流的網絡安全架構一、零信任將成為數字時代主流的網絡安全架構 1.1 零信任是面向數字時代的新型安全防護理念 零信任是一種以資源保護為核心的網絡安全范式。零信任是一種以資源保護為核心的網絡安全范式。 零信任網絡：在不可信網絡中構建安全系統 一書對零信任安全進行了簡要歸納和概況：1）網絡無時無刻不處于危險的環境中；2）網絡中自始 至終都存在外部或內部威脅；3）網絡位置不足以決定網絡的可信程度；4）所有的設備、用戶和網

16、 絡流量都應當經過認證和授權；5）安全策略必須是動態的，并基于盡可能多的數據源計算而來。 因此零因此零信任安全的核心思想是默認情況下企業內部和外部的所有人、 事、 物都是不可信的， 需要基信任安全的核心思想是默認情況下企業內部和外部的所有人、 事、 物都是不可信的， 需要基 于認證和授權重構訪問控制的信任基礎。于認證和授權重構訪問控制的信任基礎。零信任的雛形最早源于 2004 年耶利哥論壇提出的去邊界 化的安全理念，2010 年 Forrester 正式提出了“零信任”（Zero Trust，ZT）的術語。經過近十年的 探索，零信任的理論及實踐不斷完善，逐漸從概念發展成為主流的網絡安全技術架構

17、。 圖 1：零信任概念演進歷程圖 數據來源：中國信通院，東方證券研究所 數字時代下，舊式邊界安全防護逐漸失效數字時代下，舊式邊界安全防護逐漸失效。傳統的安全防護是以邊界為核心的，基于邊界構建的網 絡安全解決方案相當于為企業構建了一條護城河，通過防護墻、VPN、UTM 及入侵防御檢測等安 全產品的組合將安全攻擊阻擋在邊界之外。 這種建設方式一定程度上默認內網是安全的， 而目前我這種建設方式一定程度上默認內網是安全的， 而目前我 國多數政企仍然是圍繞邊界來構建安全防護體系，對于內網安全常常是缺失的，在日益頻繁的網國多數政企仍然是圍繞邊界來構建安全防護體系，對于內網安全常常是缺失的，在日益頻繁的網

18、絡攻防對抗中也暴露出弊端。絡攻防對抗中也暴露出弊端。而云大物移智等新興技術的應用使得 IT 基礎架構發生根本性變化， 可擴展的混合 IT 環境已成為主流的系統運行環境，平臺、業務、用戶、終端呈現多樣化趨勢，傳 統的物理網絡安全邊界消失，并帶來了更多的安全風險，舊式的邊界安全防護效果有限。面對日益面對日益 復雜的網絡安全態勢，零信任構建的新型網絡安全架構被認為是數字時代下提升信息化系統和網復雜的網絡安全態勢，零信任構建的新型網絡安全架構被認為是數字時代下提升信息化系統和網 絡整體安全性的有效方式，逐漸得到關絡整體安全性的有效方式，逐漸得到關注并應用，呈現出蓬勃發展的態勢。注并應用，呈現出蓬勃發展

19、的態勢。 有關分析師的申明，見本報告最后部分。其他重要信息披露見分析師申明之后部分，或請與您的投資代表聯系。并請閱讀本證券研究報告最后一頁的免責申明。 HeaderTable_TypeTitle 計算機行業深度報告 網絡安全系列報告之三：零信任安全將成為數字時代主流的安全架 構 6 圖 2：傳統邊界安全防護架構 圖 3：云計算等新興技術帶來傳統安全邊界消失 數據來源：H3C，東方證券研究所 數據來源：TechTarget，東方證券研究所 1.2 “SIM”為零信任架構的三大關鍵技術 零信任的本質是以身份為中心進行動態訪問控制。零信任的本質是以身份為中心進行動態訪問控制。零信任對訪問主體與訪問客

20、體之間的數據訪問 和認證驗證進行處理，其將一般的訪問行為分解為作用于網絡通信控制的控制平面及作用于應用 程序通信的數據平面。訪問主體通過控制平面發起訪問請求，經由信任評估引擎、訪問控制引擎實 施身份認證及授權，獲得許可后系統動態 數據平面，訪問代理接受來自主體的數據，從而建立一 次可信的安全訪問鏈接。過程中，信任評估引擎將持續進行信任評估工作，訪問控制引擎對評估數 據進行零信任策略決策運算，來判斷訪問控制策略是否需要作出改變，若需要作出改變時，將及時 通過訪問代理中斷此前連接，從而有效實現對資源的保護。綜上，可將零信任架構原則歸納為以下 五個： 將身份作為訪問控制的基礎：將身份作為訪問控制的基

21、礎：零信任架構對網絡、設備、應用、用戶等所有對象賦予數字身 份，基于身份來構建訪問控制體系； 最小權限原則：最小權限原則：零信任架構中強調資源按需分配使用，授予的是執行任務所需的最小特權， 并限制資源的可見性； 實時計算訪問控制策略：實時計算訪問控制策略： 零信任的授權決策根據訪問主體的身份、 權限等信息進行實時計算， 形成訪問控制策略，一旦授權決策依據發生變化，將重新進行計算，必要時將即時變更授權 決策； 資源受控安全訪問：資源受控安全訪問：零信任架構對所有業務場景及資源的每一個訪問請求都進行強制身份識 別和授權判定，符合安全策略才予以放行，實現會話級別的細粒度訪問控制，同時所有的訪 問連接

22、均須加密； 基于多源數據進行信任等級持續評估基于多源數據進行信任等級持續評估：零信任架構中訪問主體的信任等級是根據實時多源數 據（如身份、權限、訪問日志等）計算得出，人工智能技術提高了信任評估策略的計算效率， 實現零信任架構在安全性、可靠性、可用性及成本方面的綜合平衡。 有關分析師的申明，見本報告最后部分。其他重要信息披露見分析師申明之后部分，或請與您的投資代表聯系。并請閱讀本證券研究報告最后一頁的免責申明。 HeaderTable_TypeTitle 計算機行業深度報告 網絡安全系列報告之三：零信任安全將成為數字時代主流的安全架 構 7 圖 4：零信任架構總體框架圖 數據來源：奇安信，NIS

23、T，東方證券研究所 “SIM”，即”，即 SDP（軟件定義邊界）、（軟件定義邊界）、IAM（身份與訪問管理）、（身份與訪問管理）、MSG（微隔離）是實現零信任（微隔離）是實現零信任 架構的三大關鍵技術。架構的三大關鍵技術。NIST（美國國家標準委員會）在 2019 年發布的零信任架構 ZTA白皮書 中，總結出實現零信任架構的三大核心技術“SIM”，分別是“S”，即 SDP（軟件定義邊界）； “I”，即 IAM（身份與訪問管理）；“M”，即 MSG（微隔離）。 圖 5：實現零信任架構的三大關鍵技術“SIM” 數據來源：云深互聯，東方證券研究所 1） SDP（軟件定義邊界）（軟件定義邊界） SDP

24、 技術是通過軟件的方式，在“移動技術是通過軟件的方式，在“移動+云”的背景下構建起虛擬云”的背景下構建起虛擬 ，利用基于身份的訪問控制及，利用基于身份的訪問控制及 完備的權限認證機制提供完備的權限認證機制提供有效的隱身有效的隱身保護。保護。SDP 是由云安全聯盟（CSA）開發的一個安全框架， 有關分析師的申明，見本報告最后部分。其他重要信息披露見分析師申明之后部分，或請與您的投資代表聯系。并請閱讀本證券研究報告最后一頁的免責申明。 HeaderTable_TypeTitle 計算機行業深度報告 網絡安全系列報告之三：零信任安全將成為數字時代主流的安全架 構 8 其體系結構主要包括 SDP 客戶

25、端、SDP 控制器及 SDP 網關這三個組件，其中客戶端主要負責驗 證用戶身份，將訪問請求轉發給網關，控制器負責身份認證及配置策略，管控全過程，網關主要保 護業務系統，防護各類網絡攻擊，只允許來自合法客戶端的流量通過。SDP 可將所有應用程序隱 藏，訪問者不知應用的具體位置，同時所有訪問流量均通過加密方式傳輸，并在訪問端與被訪問端 之間點對點傳輸，其具備的持續認證、細粒度的上下文訪問控制、信令分離等防御理念可有效解決 企業業務拓展中的安全問題，成為了零信任理念的最佳踐行之一。 圖 6：SDP 的組成架構 數據來源：Quadrant Knowledge Solutions，東方證券研究所 2）I

26、AM（身份與訪問管理）（身份與訪問管理） 全面身份化是零信任架構的基石，零信任所需的全面身份化是零信任架構的基石，零信任所需的 IAM 技術通過圍繞身份、權限、環境等信息進行技術通過圍繞身份、權限、環境等信息進行 有效管控與治理， 從而保證正確的身份在正確的訪問環境下，基于正當理由訪問正確的資源。有效管控與治理， 從而保證正確的身份在正確的訪問環境下，基于正當理由訪問正確的資源。隨著 數字化轉型的不斷深入，業務的云化、終端的激增均使得企業 IT 環境變得更加復雜，傳統靜態且 封閉的身份與訪問管理機制已不能適應這種變化， 因此零信任中的 IAM 將更加敏捷、 靈活且智能， 需要適應各種新興的業務

27、場景， 能夠采用動態的策略實現自主完善， 可以不斷調整以滿足實際的安 全需求。 有關分析師的申明，見本報告最后部分。其他重要信息披露見分析師申明之后部分，或請與您的投資代表聯系。并請閱讀本證券研究報告最后一頁的免責申明。 HeaderTable_TypeTitle 計算機行業深度報告 網絡安全系列報告之三：零信任安全將成為數字時代主流的安全架 構 9 圖 7：零信任身份與訪問管理 數據來源：云深互聯，東方證券研究所 3）MSG（微隔離）（微隔離） 微隔離通過細粒度的策略控制，可以靈活地實現業務系統內外部主機與主機的隔離，讓東西向流微隔離通過細粒度的策略控制，可以靈活地實現業務系統內外部主機與主

28、機的隔離，讓東西向流 量可視可控， 從而更加有效地防御黑客或病毒持續性大面積的滲透和破壞。量可視可控， 從而更加有效地防御黑客或病毒持續性大面積的滲透和破壞。 當前微隔離方案主要有 三種技術路線，分別是云原生微隔離、API 對接微隔離以及主機代理微隔離，其中主機代理微隔離 更加適應新興技術不斷更迭及應用帶來的多變的用戶業務環境。 表 1：微隔離三大技術路線 數據來源：深信服，東方證券研究所 有關分析師的申明，見本報告最后部分。其他重要信息披露見分析師申明之后部分，或請與您的投資代表聯系。并請閱讀本證券研究報告最后一頁的免責申明。 HeaderTable_TypeTitle 計算機行業深度報告

29、網絡安全系列報告之三：零信任安全將成為數字時代主流的安全架 構 10 1.3 零信任安全應用場景豐富 今年在疫情及新基建的雙重刺激下，遠程辦公、云計算得到快速發展，政府大數據快速推進，今年在疫情及新基建的雙重刺激下，遠程辦公、云計算得到快速發展，政府大數據快速推進，對于對于 零信任安全建設的必要性亦大大增強。零信任安全建設的必要性亦大大增強。 而而基于零信任的安全架構可以很好地兼容云計算、 大數據、基于零信任的安全架構可以很好地兼容云計算、 大數據、 物聯網等各類新興應用場景， 支持遠程辦公、 多云環境、 多分支機構、 跨企業協同等復雜網絡架構。物聯網等各類新興應用場景， 支持遠程辦公、 多云

30、環境、 多分支機構、 跨企業協同等復雜網絡架構。 如適用于遠程辦公的零信任安全架構，不再區分內外網，在人員、設備及業務之間構建虛擬的、基 于身份的邏輯邊界，實現一體化的動態訪問控制體系，不僅可以減少攻擊暴露面，增強對企業應用 和數據的保護， 還可通過現有工具的集成大幅降低零信任潛在建設成本。 在大數據中心的應用場景 中，東西向流量大幅增加，傳統以南北向業務模型為基礎研發的安全產品已不適用，零信任架構可 通過微隔離技術實現有效防護。 圖 8：基于零信任架構的遠程辦公安全參考架構 數據來源：中國信通院，東方證券研究所 圖 9：數據中心安全接入區案例示意圖 圖 10：基于零信任架構的云計算平臺安全參

31、考架構 數據來源：中國信通院，東方證券研究所 數據來源：中國信通院, 東方證券研究所 有關分析師的申明，見本報告最后部分。其他重要信息披露見分析師申明之后部分，或請與您的投資代表聯系。并請閱讀本證券研究報告最后一頁的免責申明。 HeaderTable_TypeTitle 計算機行業深度報告 網絡安全系列報告之三：零信任安全將成為數字時代主流的安全架 構 11 零信任架構具備多種靈活的實現部署方式，適應多場景零信任架構具備多種靈活的實現部署方式，適應多場景?，F代 IT 環境下，業務場景呈現多樣化趨 勢，根據訪問主客體、流量模型以及業務架構可將這些場景歸納為三大類：業務訪問、數據交換以 及服務網格場景。