零信任安全将成为数字时代主流的安全架构.docx

一、零信任将成为数字时代主流的网络平安架构51.1 零信任是面向数字时代的新型平安防护理念51.2 “SIM”为零信任架构的三大关键技术61.3 零信任平安应用场景丰富10二、零信任已从概念走向落地，迎来强劲风口 112.1 中美双双加码零信任平安112.2 零信任平安正在普及应用132.3 海外零信任产业已初具规模，国内即将步入建设高峰 15三、投资建议163.1 奇安信：网络信息平安龙头，专注于新型平安领域163.2 美亚柏科：国内电子数据取证行业龙头，大数据智能化、网络平安专家183.3 深信服：领先的信息平安企业，从零信任到精益信任203.4 启明星辰：老牌网络平安龙头，零信任管控平台为多种应用场景提供平安保障.213.5 安恒信息：网络平安后起之秀，新兴平安业务开展迅速223.6 绿盟科技：领先的网络平安解决方案供应商，产品逐步向零信任平安架构迁移.233.7 南洋股份：国内防火墙龙头企业，持续推动零信任平安理念的落地实践243.8 山石网科：边界平安领域领导厂商253.9 格尔软件：国内PKI领先企业 27风险提示28零信任架构具备多种灵活的实现部署方式，适应多场景。现代n"环境下，业务场景呈现多样化趋 势，根据访问主客体、流量模型以及业务架构可将这些场景归纳为三大类：业务访问、数据交换以 及服务网格场景。其中业务访问场景是指用户访问业务应用的场景，是零信任架构的主要应用场景, 包含移动办公、pc办公等各类子场景，成功的零信任解决方案能够满足不同访问主体（如内部员 工、临时员工以及外部人员等）、不同设备对各种应用协议的业务访问需求，在保持整体相同架构 情况下具有高度适应性。大数据时代下数据交换场景变得更加频繁，相应的零信任解决方案需要有 效应对接口多样化、运行环境多样化等挑战。服务网格场景，即数据中心内部服务器间的多方交互 场景，是对业务架构嵌入最深的场景，由于节点数量较多，对零信任架构中的动态访问控制引擎及 信任评估引擎要求更高。图11：零信任架构适应各类功能场景业务访问业务访问数据交换一外部网络数据来源：零信任架构及解决方案，东方证券研究所二、零信任已从概念走向落地，迎来强劲风口2.1 中美双双加码零信任平安2019年起美国相欠组织陆续发布了多项零信任相关的报告或标准。2019年4月，ACT-IAC （美 国技术委员会一行业咨询委员会）发布了零信任网络平安当前趋势，对当前零信任的技术成熟 度及可用性进行评估，随后DIB （国防创新委员会）、NIST （美国国家标准委员会）均发表了零信任相关 的报告或标准，其中零信任架构标准正式版也于今年8月11日发布，此外，Forrester在2019年度预 测：转型走向务实中明确指出零信任将在美国某些特定的领域成为标准的、阶段性的网络平安架构。表2：美国各组织发布的零信任相关报告数据来源：互联网，东方证券研究所报告时间相关机构I 1 一 1内容零信任网络平安当 前趋势2019.4ACT-IAC评估零信任技术和服务的技术成熟度和可用性零信任平安之路2019.7DIB指导国防部网络实施零信任架构零信任架构(ZTA)建议2019.10DIB建议国防部将零信任实施列为最高优先事项并在整个国 防部内迅速采取行动实现零信任架构(草案)2020.3NIST为配合零信任标准的推进工作征求公开评论，瞄准的是 零信任架构的落地实践，希望实现平安性与用户体验的 兼得零信任架构标准 正式版2020.8NIST给予零信任架构(ZTA)的抽象定义，并给出了零信任 可以改善企业整体信息技术平安态势的普遍部署模型及 应用案例值得注意的是,美国国防部已明确将零信任实施列为最高优先事项。无论是D旧(国防创新委员会) 提出的零信任架构(ZTA)建议还是2019年美国的国防部数字现代化战略中，均将零信任实施列为 最高优先事项，侧面反映出美国政府及军队对于零信任架构的深刻认知和重视。图12：基于零信任架构的远程办公平安参考架构Technology Roadmap:ALWAYS CONNECTED, FRICTIONLESS SECURE ENVIRONMENTUniversal TransportRF & SATCOM ENHANCEMENTCELLULAR: 5G/LTEMAARemote Mobility TransportGrey Core & CommercialSolutions for Classified (CSfC)Browser IsolationNetwork ServicesMachine Learning & Artificial IntelligenceZero Trust ArchitectureSoftware Defined EnterpriseAccess) s Enabling ActivitiesEnterpnse Identity Provider (IdP)Rapid Acquisition and Technology AcceleratorsEnd PointComputing ServicesContinuous Multi-Factor AuthenticationIdentity Credential and Access Management (ICAM)BlockchainAssured Identity (L « Actively Engaged Q « Actively Pursuing s MonitoringMobility as a PlatformMulti-Class MobileNext Gen Host Security数据来源：美国数字现代化战略规划2019，东方证券研究所我国零信任亦紧锣密鼓地展开，标准及应用案例逐渐落地。2019年9月，工信部发布的关于促 进网络平安产业开展的指导意见(征求意见稿)中将“零信任平安”列入需要“着力突破的网络 平安关键技术”。2019年7月腾讯牵头提交的零信任平安技术一参考框架行业标准通过评审，成为我国首个立项的零信任平安技术行业标准。止匕外，奇安信发起的零信任首个国家标准信息安 全技术零信任参考体系架构已成功立项。同时，自2019年起国内局部机构也开始将零信任作 为新建IT基础设施的平安架构，能源、银行、通信等行业也针对新型业务场景开展零信任技术的 研究及试点工作。表3：我国零信任相关政策及标准数据来源：互联网，东方证券研究所报告时间相关机构意义关于促进网络平安产业开展 的指导意见（征求意见稿）2019.9工信部将“零信任平安”列入“着力突破的网络 平安关键技术”零信任平安技术.参考框 架2019.7腾讯牵头国内首个立项的零信任平安技术行业标 准。信息平安技术零信任参考 体系架构2020.5奇安信牵头国内首个立项的零信任国家标准零信任平安正在普及应用零信任架构成为企业IT平安建设的必然选择。2019年底，Cybersecurity Insiders联合Zscaler发布 的2019零信任平安市场普及行业报告指出，62%的受访者表示目前最大的应用程序平安挑战是 确保对分布在数据中心和云环境中的私有应用程序的访问平安，对此企业所采用的平安措施主要 是身份和访问管理（72%）、数据丧失预防（51%）、BYOD/移动平安（50%）等，这些措施均与 零信任相关。报告指出，78%的IT平安团队希望在未来应用零信任架构，19%的受访者正积极实施 零信任，而15%的受访者已经实施了零信任，零信任平安正迅速流行起来。团72%Identity andAccess Management山50%BYOD/mobile security图13：面对当前平安访问挑战所需的平安措施图14：采纳零信任平安模型的组织比例51%Data LossPrevention (DLP)I47%Securing access to private apps running on public cloud (1 Microsoft Azure. Amazon Web Services.GooqI# Cloud Platform)数据来源：2019零信任平安市场普及行业报告，东方证券研究所数据来源：2019零信任平安市场普及行业报告，东方证券研究所数据来源：2019零信任平安市场普及行业报告，东方证券研究所此外，受访者表示零信任被看重的优点在于零信任平安访问能够提供最低权限的访问来保护私有 应用程序（66%）、应用程序不再暴露给未经授权的用户或互联网（55%）以及访问私有应用程序 不再需要网络访问（44%） o而通过落地的零信任应用领域看，主要集中在平安访问运行在混合和 公共云环境中的私有应用程序（37%）、使用现代远程访问服务取代VPN （33%）,以及控制对私 有应用程序的第三方访问（18%）。图15：受访者看重的零信任优点图16:零信任主要的应用领域66%The ability to limitexcessive trustfrom employeesand partners66%The ability to limitexcessive trustfrom employeesand partners55%Applications areno longer exposedto unauthorizedusers or the Internet44%Access to privateapps will no longerrequire networkaccess37%Securing access to private appsacross multi-cloud environments趣33%Use modern remote accessservices as an alternative to VPN40%40%Can achieve more effective means of application segmentationModern services will help reduce the cost of traditional appliance-based technologiesThird-party access to private applications5%Accelerating M&A and divestitures by removing the need to converge networks数据来源：2019零信任平安市场普及行业报告，东方证券研究所数据来源：2019零信任平安市场普及行业报告，东方证券研究所数据来源：2019零信任平安市场普及行业报告，东方证券研究所零信任作为全新的平安理念，需要基于业务需求、平安运营现状、技术开展趋势等对零信任能力进 行持续完善和演进。零信任的迁移并不是一蹴而就，需要结合企业现状、同一目标和愿景进行妥善 规划和分布建设。Gartner的零信任访问指南认为到2022年，在向生态合作伙伴开放的新数 字业务应用程序中，80%将通过零信任进行网络访问，到2023年，60%的企业将采用零信任替代 大局部远程访问虚拟专用网（VPN ）。零信任作为全新的平安理念，需要基于业务需求、平安运营现状、技术开展趋势等对零信任能力进 行持续完善和演进。零信任的迁移并不是一蹴而就，需要结合企业现状、同一目标和愿景进行妥善 规划和分布建设。Gartner的零信任访问指南认为到2022年，在向生态合作伙伴开放的新数 字业务应用程序中，80%将通过零信任进行网络访问，到2023年，60%的企业将采用零信任替代 大局部远程访问虚拟专用网（VPN ）。图17：零信任迁移方法能力成熟度身份治理 全场景可信接入能力 场景化持续信任评估 全面可视化 平安编排及自动化高能力例如统一身份&权限管理传统业务平安接入自适应及持续认证中动态权限调整基于行为的信任分析 基础的统一账号管理 WEB及新应用平安接入 统一认证及访问控制低 多因子认证 终端可信环境感知小新业务 高敏业务中中敏业务 可改造业务大其他业务（1）确定愿景业务范围数据来源：奇安信，东方证券研究所海外零信任产业已初具规模，国内即将步入建设高峰海外零信任起步较早，目前已初具规模。Google、Microsoft等巨头率先在企业内部实践零信任并 推出了完整的解决方案；OKTA、Gentrify. Ping Identity等为代表的身份平安厂商推出“以身份为 中心”的零信任方案；Cisco. Symantec. VMware. F5等公司推出了偏重于网络实施方式的零信 任方案；此外Vidder、Cryptzone> Zscaler、lllumio等创业公司亦表现。根据Forrester在2020 年二季度对于零信任产业的统计数据，按照零信任解决方案收入规模，市场的供应商可分为三类, 其中零信任相关营收超过1.9亿美元的厂商已超过10家，海外零信任已经进入规模化产业开展 阶段。表4：海外零信任解决方案市场供应商分析数据来源：Forrester,中国信通院，东方证券研究所公司规模等级公司列表（字母排序）营收标准大型AkamaiCiscoFortinet、Google、 Iliumio MicrosoftOkta> Palo Alto Networks> Proofpoint> Unisys收入超过1.9亿美元中型AlgoSec> Armis、Centrify Check Point SoftwareTechnologies> FireMon> Forcepoint> Forescout> Gigamon> GitLab Ionic Security> Mobilelron> Tufin、Venafi收入在0.351.9亿美元小型A10 NetworksAppGate Awingu Axis Security> BlackBerry> Clearedln、ColorTokens Edgewise Guardicore> HyperQube> IDENProtect> lnfocyte> ShieldX Networks > ThreatLocker Zentera Systems收入小于0.35亿美元国内平安厂商积极布局零信任。尽管Forrester Wave的零信任扩展的生态系统平台提供商矩阵中 未见国内平安厂商身影，但奇安信、深信服、启明星辰、绿盟科技等厂商始终关注国际网络平安技 术开展趋势，均推出了相应的零信任整体解决方案。此外，山石网科、云深互联等厂商亦积极推动 SDP、微隔离等零信任技术方案的落地应用。在零信任快速普及的背景均有望迎来良好的开展机 遇。图18：零信任扩展的生态系统平台提供商（2019Q4）Strong Challengers Contenders PerfonnersLeadersWeaker current offen ngWeaker strategy Stronger strategyMarket presence 00©O数据来源：Forrester Wave,东方证券研究所三、投资建议数字时代下云大物移等新兴技术的融合与开展使得传统边界平安防护理念逐渐失效，而零信任 平安建立以身份为中心进行动态访问控制.必将成为数字时代下主流的网络平安架构。当前海外 零信任产业已进入规模化开展阶段，国内厂商已陆续推出自身的零信任产品或解决方案。在零信任 平安逐渐普及的背景下，我们认为两类厂商最为受益：一是综合实力强劲并已有相应产品或解决方 案推出的网络平安公司，建议关注奇安信U（688561,未评级）、深信服（300454,增持）、启明星辰 （002439,未评级）、安恒信息（688023,未评级）、绿盟科技（300369,未评级）、南洋股份（002212, 买入）;二是在SDP、IAM、MSG或是某一应用场景具备突出优势的厂商，建议关注美亚柏科（300188, 买入）、山石网科（688030,未评级）、格尔软件（603232,买入）。3.1 奇安信：网络信息平安龙头，专注于新型平安领域奇安信业务布局完整，公司处于快速成长期，现已成为国内网络平安龙头。公司针对云计算、大 数据、物联网、移动互联网、工业互联网和5G等新技术下产生的新业态、新业务和新场景，为 政府与企业等机构客户提供全面、有效的网络平安解决方案。公司主营业务可分为平安产品、安 全服务、硬件及其他三大局部，现已打造出具备内生平安能力的协同联动防护体系。2019年，公 司实现营收31.54亿元，同比增长74%。20172019年公司保持高速增长态势，三年里复合增速达 到 56.62% o图19：奇安信协同联动防护体系平安服务体系数据来源：奇安信招股书，东方证券研究所在零信任架构下，奇安信推出一系列平安解决方案。公司零信任平安解决方案主要包括 TrustAccess动态可信访问控制平台、TrustID智能可信身份平台、ID智能手机令牌及各种终端 Agent组成。公司的零信任平安解决方案将产品组件进行拆分和扩展，将其映射到零信任参考架 构上。同时，公司零信任平安解决方案和丰富的平安产品和平台之间可以实现联动，比方移动安 全解决方案、数据平安解决方案以及云平安管理平台等。图20：奇安信零信任平安解决方案图21：奇安信零信任平安解决方案与参考架构的关系MTESS Agent生H识别 2KS奇安信TrustID 智能可信身份平台 才份首届于系统权展蜃豆予系猊力与身份4适近层外*生5系氏：生物识小手机软3、PKLCA、累三方IAV其他平安分析平台数据来源：奇安信，东方证券研究所数据来源：奇安信，东方证券研究所为保障数字化业务开展，奇安信推出零信任远程访问解决方案。远程访问常态化打破了传统的物 理边界，因此需要全新的适用于新型IT环境的平安体系来应对日益严峻的网络威胁形势。根据 Gartner2020年度九大平安与风险趋势报告说明，零信任网络访问(ZTNA)技术现在已开始 取代VPN。奇安信推出的零信任远程访问解决方案聚焦远程访问场景，重点解决了边界易被攻 破、全面网络开放、使用不稳定、扩容不平滑、管理不便捷等典型问题，全面增强了自身攻击防 御能力。图22：奇安信零信任远程访问解决方案架构持续评估信任认证用户和终端I可信访问控制台TAC数据来源：奇安信，东方证券研究所3.2 美亚柏科：国内电子数据取证行业龙头，大数据智能化、 网络平安专家公司自成立以来深耕电子数据取证及大数据智能化业务现已成为国内电子数据取证行业龙头和 网络空间平安及大数据智能化等领域专家。公司以电子取证和大数据信息化为基本盘，为国内各级 司法机关和行政执法部门提供政务信息化服务。公司目前已开展成“四大产品”和“四大服务”体 系，其中电子取证业务以及大数据智能化平台是公司主要收入来源，2019年收入占比分别为40.4% 和 37.1%0图23：美亚柏科“四大产品”及“四大服务”数据来源：美亚柏科，东方证券研究所作为“新基建最大的服务对象，智慧城市正在步入开展快车道。“新基建”的核心是科技， 主要包括信息基础设施、融合基础设施、创新基础设施,建设的目的在于为开展数字经济提供基础。 数字化基础设施与智慧城市的建设是相辅相成的，因为建设智慧城市本身就是开展数字经济。当前, 公司正基于自身大数据技术优势和多年的行业积累，加快智慧城市的业务布局，并已参与多地智慧 城市规划和建设。表5：重大会议上提及“新基建”情况数据来源：公开资料，东方证券研究所时间会议会议相关内容2018年12月中央经济工作会议加大制造业技术改造和设备更新，加快5G商用， 加强人工智能、工业互联网、物联网等新兴基础设施建设2019年7月中央政治局会议加快推进信息网络等新型基础设施建设2020年3月中央政治局常委会会议加快5G网络、数据中心等新型技术设施建设进度公司重视零信任体系搭建，并将其拓展至智慧城市的建设中。面对复杂的接入环境、多样化 的接入方式和数量庞大的智能接入终端可能带来的未知平安威胁，传统网络平安模型逐渐失效，“零信任平安”日益成为新时代下网络平安问题的新理念、新架构。公司成立认证管理、权限管 理、审批管理、审计管理、平安策略控制、环境感知等基于“零信任体系”的六大产品中心，构 筑平安可信合规的纵深防御体系。公司把“零信任体系”拓展至“城市网络平安大脑”建设中， 使其实现态势感知、预警、分析、反制等能力，为智慧城市的网络平安构筑了一道有力的屏障。图24：美亚柏科城市大脑逻辑架构数据来源：美亚柏科，东方证券研究所深信服：领先的信息平安企业，从零信任到精益信任深信服专注于软件和信息技术服务行业，为政府部门、事业单位等企业级用户提供信息平安、云计 算、企业级无线相关的产品和解决方案。公司信息平安业务种类丰富，包括上网行为管理、下一代 防火墙、VPN、应用交付等多款产品，市占率常年保持行业领先。在云计算业务方面，公司已完成 企业级云、专属云、桌面云三朵云的业务布局。企业级无线业务主要由子公司信锐网科经营，产品 包括无线控制器、无线接入点等。2019年公司实现45.90亿元，同比增长42.35%。根据IDC数据， 公司2019年国内虚拟专用网产品的市占率24.8%,排名第一;在平安内容管理产品的市占率22.4%, 排名第一。图25：深信服主营业务SANGFOR信息平安业务云计苣业翳企业级无线业务元IVWB91 I m a数据来源：深信服招股书，东方证券研究所基于零信任的基础上，深信服推出精益信任aTmst平安架构。零信任解决了破碎边界的问题，但 平安不能被任意一个平安产品独立解决，而是需要一定的联动和协作。2019年，深信服推出精益 信任aTrust平安架构。精益信任aTrust平安架构主张零信任需要和其他平安的设备进行联动，形 成互补的平安体系，构建统一的平安。aTrust基于信任和风险的闭环，整合终端、边界、外网的 已有平安设备，进行统一联动，形成自主调优、快速处置的统一平安架构，最终实现内外网“精 确而足够”的信任。aTrust平安架构主要由全面身份化、多源信任评估、动态访问控制、统一安 全、可成长等五点组成。止匕外，公司还推出了零信任“VPN”，实现可信访问、智能权限等方面 的全面升级。图表目录图1：零信任概念演进历程图5图2：传统边界平安防护架构6图3：云计算等新兴技术带来传统平安边界消失6图4：零信任架构总体框架图7图5：实现零信任架构的三大关键技术“SIM”7图6：SDP的组成架构 8图8：基于零信任架构的远程办公平安参考架构10图9：数据中心平安接入区案例示意图10图10：基于零信任架构的云计算平台平安参考架构10图11：零信任架构适应各类功能场景 11图12：基于零信任架构的远程办公平安参考架构12图13：面对当前平安访问挑战所需的平安措施13图14：采纳零信任平安模型的组织比例 13图15：受访者看重的零信任优点 14图16：零信任主要的应用领域 14图17：零信任迁移方法14图18：零信任扩展的生态系统平台提供商（2019Q4） 16图19：奇安信协同联动防护体系 17图20：奇安信零信任平安解决方案 17图21：奇安信零信任平安解决方案与参考架构的关系17图22：奇安信零信任远程访问解决方案架构18图23：美亚柏科“四大产品”及“四大服务” 18图24：美亚柏科城市大脑逻辑架构 19图25：深信服主营业务20图26：深信服精益信任解决方案架构21图27：深信服精益信任动态访问控制 21图28：启明星辰全流程平安产品布局21图29：启明星辰零信任体系架构 22图30：零信任管控平台典型应用场景 22图31：安恒信息产品体系全线概览图 22图32：安恒信息依托零信任体系确保云上业务的接入访问可信23图26：深信服精益信任解决方案架构图27：深信服精益信任动态访问控制终端设备SSUHBAUfO 多 aaTrust®_平台平安陶柚桐授以家W证“点”统证柚'A»itBfllffiMS流版 量口下费避SA同关13E1AMi wfffiOBJJvTTa初漕建中心mm动态权限数据来源：深信服，东方证券研究所数据来源：深信服，东方证券研究所3.4 启明星辰：老牌网络平安龙头，零信任管控平台为多种应 用场景提供平安保障启明星辰是网络平安市场龙头企业，具有完善的专业平安产品线。公司完善的专业平安产品线横 跨网关、检测、数据平安与平台、平安服务与工具等技术领域，共有百余个产品型号。其中，入 侵监测与防御(IDS/IPS)、统一威胁管理(UTM)、平安管理平台(SOC)、数据平安、数据库平安审 计与防护、堡垒机、网闸等9项产品市场占有率常年保持第一。2019年度，公司实现营业收入 30.89亿元，同比增长22.51%,其中平安产品业务收入22.21亿，同比增长19.79%,平安运营 与服务业务收入8.48亿,同比增长31.67%。图28：启明星辰全流程平安产品布局无线平安无线平安监测业务平安监控防火墙应用性能管理边界平安UTM网络行为分析VPN入侵防御管控身份与网络管理运维平安管控终端平安终端管理互联网行为管控入侵检测检查Web核查应用平安Web应用防火墙应用平安交付配置核查数据平安漏洞扫描日志审计运推审计数据库审计DLP/透明加密平安指标评估: 平安风险评估数据来源：启明星辰，东方证券研究所启明星辰推出零信任管控平台,为多种应用场景保驾护航。启明星辰零信任管控平台能接收外部生 态系统的数据并进行精细化处理，通过访问控制服务，向策略执行组件提供策略信息和策略决策服 务；通过环境感知系统输送的环境信息和用户行为分析系统输送的审计分析信息，分析出高风险操 作行为；同时反哺权限管理模块，进一步动态调整用户权限。零信任管控平台为应用代理、API 代理、运维代理或其他代理组件提供策略执行依据，通过多种应用场景提供全方位的平安保障。图29：启明星辰零信任体系架构图30：零信任管控平台典型应用场景PCH移动修修动环境&需察信任*控平台，计理生懒识耀£1用户行为分析系线应用代理运见代理外修生公系晓:生，识81.手机检ey. PKVCA.第三方IAM其它代理敏感数据防护利应用制防泄密细位度访问控制M级.叨M访阳投5雌爆访问控Hai务级访网控，MMumti匕僧仍间细粒度操作审计应用访何僧1收庾审计i&ftBfWMUti数据来源：启明星辰，东方证券研究所数据来源：启明星辰，东方证券研究所安恒信息：网络平安后起之秀，新兴平安业务开展迅速安恒信息构建了以新场景及“新服务为方向的专业平安平台产品和服务体系，平台类产品 和网络平安服务业务增长迅速。公司一直以来聚焦于网络信息平安领域，主营业务为网络信息安 全产品的研发、生产及销售，并为客户提供专业的网络信息平安服务。公司的产品及服务涉及应 用平安、云平安、大数据平安、物联网平安、智慧城市平安和工'业互联网平安等新兴领域，构建 了以“新场景”和“新服务”为方向的产品体系。2019年，公司实现营收9.44亿元，同比增长 50.66%,其中网络平安平台产品以及网络平安服务业务增速分别为91.15%与62.03%o图31：安恒信息产品体系全线概览图大胴资金率总）星珞*， 9APrqt&(R«a''WV»t*史金星依I数据来源：安恒信息招股书，东方证券研究所云上业务天然存在平安风险和信任危机的隐患，公司利用零信任平安体系架构为云上业务提供动 态保护。在远程办公模式下，员工可能存在使用不平安终端或处于不可信环境下办公的情况，也 会存在员工身份鉴别不准确、账号权限控制缺乏、远程网络链路不平安等问题，这些都增加了云 内核心业务系统遭受恶意攻击的风险。在这种情况下，对员工身份的认证管理、账号权限的最小化控制和建立平安的传输通道尤为关键。在云平台产品中，公司通过建立健全零信任平安体系架 构，辅以VPN和主机平安(EDR)等专有平安措施，对远程接入终端进行检测、病毒查杀和加 固，同时将远程连接进行加密，保证数据在传输过程中不被第三方窃取。图32：安恒信息依托零信任体系确保云上业务的接入访问可信数据来源：安恒信息，东方证券研究所3.5 绿盟科技：领先的网络平安解决方案供应商，产品逐步向 零信任平安架构迁移绿盟科技是国内领先的企业级网络平安解决方案供应商，具有完善的平安产品线，并持续推进P2so战略。公司业务线分为平安产品和平安服务两大类，平安产品分别是检测防御、平安评 估、平安监管、平安实验室和平安平台五大类产品；平安服务包括客户服务、平安运营、平安服 务和云平安服务。2015年，公司正式提出“P2SO”战略，向平安解决方案和平安运营模式全面 转型。近年来，公司在工控平安、云平安等领域都取得不错进展，核心产品市占率也保持中国区 第一或领先位置。2019年，公司实现营收16.71亿元，同比增长24.24%。图33：绿盟科技平安产品线图34：绿盟科技平安运营架构绿盥科技平安产品系列NSFOCUS PRODUCT PORTFOLIO绿盥科技平安产品系列NSFOCUS PRODUCT PORTFOLIO数据来源：绿盟科技，东方证券研究所平安态势感知E 情报预& 资产督理？ 弱性管理数据来源：绿盟科技宜网，东方证券研究所绿盟科技借助已经部署的平安产品，将平安防护与零信任结合，面向未来构建平安架构。零信任 架构需要多种平安产品和技术来构建，公司在原有的网络平安基础上，增加零信任平安组件，实 现零信任网络访问控制，构建以用户可信和设备可信为基础，持续评估访问行为可信，自适应访 问控制的架构体系。图35：绿盟科技零信任平安解决方案图36：绿盟科技零信任网络访问控制终端环境第知终端环境第知信任评估引学僚的控制引擎平安认证网关（SAG）统一身份认证平台（UIP）网络和应用环境忌知数据界面办公网终平安睛平安心跟（2）控制界面访问通道数据中心应用访询.访问控t喀！ © 0畲"辑析志/平安吟心比；NSFOCUS数据来源：绿盟科技，东方证券研究所数据来源：绿盟科技，东方证券研究所数据来源：绿盟科技，东方证券研究所绿盟科技推出零信任远程办公解决方案。随着上半年新冠疫情的爆发，远程办公已成为企业的首 选办公方式。但中大型企业VPN在远程办公过程中也暴露出难以连接VPN、VPN不稳定等问 题，同时也出现了内部人员利用VPN登入公司内网跳板机，报复性破坏客户数据的事件。相比传 统远程办公方式，零信任远程办公方案有更加突出的平安性、更低的网络质量要求等优势。据 Gartner预测，到2023年，全球将有60%的企业淘汰大局部VPN,转向使用零信任访问网络。表6：零信任与VPN在通用办公场景的比照鉴权设计鉴权设计会话加密认证方式授权控制基于VPN实现的远程办公一次访而鉴权成功,不再校哈，建立 隧道后即维持支持CBC. DES, AES等算法加密但I易被破解.SSLVPN支持SSL加密静态密码/OTP认证i多基于ip、端口进行授权控制.攻击 者突破VPN后容易内部横向移动行为风险评估不支持评估用户行为风险零信任理念的远程办公方案 对每次访问请求进行校睑,包括设备. 用户.权限等支持国密、SSL加密.加密复杂度较高支持多因子认证支持功能级API级数据级授权,可 实现最小化授权,防止内部横向移动 支持联动行为分析平台.评估行为风 睑,实现动态访问控制；支持联动环 境感知产品.实现用户分价及其访问 终端设备的双重可信,数据来源：绿盟科技，东方证券研究所3.6 南洋股份：国内防火墙龙头企业，持续推动零信任平安理 念的落地实践公司全资子公司天融信是国内防火墙龙头企业，平安服务快速增长。天融信是国内网络平安领域 的领先厂商，主要提供平安及大数据产品（包括平安网关、平安检测、数据平安、云平安等）以及平安服务（包括平安云服务、平安咨询与评估服务、平安运维服务等）两类产品。2019年，公 司网络平安业务快速增长，其中平安产品营收20.78亿元，同比增长33.81%；平安服务营收3.37 亿元，同比增长90.35%。公司防火墙市占率到达23.97%,排名第一，VPN与入侵防御硬件市占 率分别为6.55%和8.77%,分列市场第三和第四。图37：天融信以下一代防火墙为基础的平安防御体系多元联动多元联动协同防御数据来源：天融信，东方证券研究所数据来源：天融信，东方证券研究所天融信积极推动零信任理念与业务系统结合，推出工控主机卫视系统。公司结合零信任技术架 构、平安理念，积极探索新技术方向并推出下一代可信网络平安架构（NGTNA）,同时为客户提 供终端环境持续检测、访问行为基线判断、身份平安集中管理、业务风险动态评估、平安策略即 时下发等能力。公司推出工控主机卫士系统，采用零信任平安机制，对工控上位机及服务器实现 全方位平安防护，保障用户业务连续稳定运行。图38：天融信工控主机卫土系统上机上机生产HIV现场R ML：屋场数据来源：天融信，东方证券研究所数据来源：天融信，东方证券研究所3.8山石网科：边界平安领域领导厂商山石网科是我国网络平安行业的技术创新领导厂商，自成立以来一直专注前沿技术的创新。公司 提供包括边界平安、云平安、数据平安、内网平安在内的网络平安产品及服务，致力于为用户提 供全方位、更智能、零打搅的网络平安解决方案。公司产品主要分为三大类，分别为边界平安、云平安和其它类别的产品。2019年，公司实现营收6.75亿元，同比增长20.0%,近年保持稳定增 长，2016-2019年的复合增长率为27.4%。云平安和其它类别的产品。2019年，公司实现营收6.75亿元，同比增长20.0%,近年保持稳定增 长，2016-2