启明星辰 研发 关键信息 1. 计算机安全的防护产品从本地环境迁移至云上存在操作系统的适配问题及稳定性问题；解决适配问题需 连通接口；云端客户的性能要求有所不同；客户较强调整体资源消耗的情况；云端对稳定性的要求更 高；终端类型不同导致终端安全功能发生变化；云环境中终端类型更单纯，兼容性更强；云环境的终端 在向云原生的终端安全方向延伸；集中策略管理中心需采用原生的大数据架构；云化的终端安全产品的 客户类型及要求不同，初创企业存在弯道超车的机会；云化的终端安全需考虑云原生的方式 2. 终端安全的云防护市场包括私有云和公有云，本地即PC端的防护；传统的网络安全厂商独立占有公有云 市场的机会较小；容器安全是新的赛道；在技术路线方面，容器安全中不同的容器下层共用同一个操作 系统；在产品形态方面，容器安全涉及生态安全等传统的终端安全不涉及的内容，网络层的安全事件分 析与异常事件的阻断及方法较传统的终端安全有所差别；集中管理中心已变成大数据架构，迁移成本较 低；操作系统的适配、环境的适配及编排的适配的成本可控，迁移需0.5-1年，需研发及测试团队15-20人 3. WAF属于IT硬件市场中流量检测类，与防火墙属同一类；漏扫为平台类产品；边界防护各产品从传统环 境迁移至云端所需的技术改动及客户需求的变化相似；技术路线的改进存在较大的挑战；云端通过硬件 进行性能优化的方式不适用；若需达到较好的性能，工程改动量较大；云端中底层为虚拟交换机，其环 境适应性及高可靠性变化较大；需考虑与SDN进行策略编排；研发可使用的边界防护产品需0.5年的生命 周期；私有云中无法使用传统的WAF；主流厂商为躲避云厂商的产业优势，多采用云安全资源池的方式 进行云化的交付 4. 按照技术路线，安全产品分为串型的边界防护类产品、防御检测类产品、终端类产品及平台类产品；从 技术角度出发，平台类产品从传统环境迁移至云端的变化较小；本地的平台是天然的大数据架构的系 统，迁移过程中挑战较小；主要解决安全价值不同、采集的数据及分析的场景不同的问题；身份安全类 的产品在云端环境适配的难度较小；云端中身份的密钥的构建及分配存在一定挑战 5. 数据安全1.0为传统的产品形态，2.0为大视角的数据存储等问题；最新兴的赛道是数据安全管理平台，主 要解决数据流通的问题；在云环境下，进行数据库审计、脱敏及策略的管理时天然的需要分布式，需花 费1年开发底层架构；分布式产品物理位置不在同一处，逻辑是相通的；软件产品、平台类产品、身份 安全类产品及数据安全产品从本地环境向云端迁移过程较简单；操作系统的方式交付的产品工作量有所 增加；以操作系统方式交付并进行了大量优化的产品工作量较大 6. 攻防演练是护网行动前企业内部的演练；护网行动是由公安部发起的行动；两者内容相同，后者挑战更 大；安全服务与运营在传统环境与云端环境下工作量区别较小，落脚点均为服务器；物联网安全分为C 端市场与B端市场；传统厂商主要聚焦于政企客户、石油及石化等B端客户，解决通过物联网设备攻击传 统网络的问题，与云无关；大部分均以在物联网设备后对网络进行防护的方式交付；以视频安全的市场 最为明确；物联网场景与普通场景的准入在底层有较大变化；传统准入以客户端形式为主，物联网准入 采用无代理方式 具体内容 计算机安全的防护产品从本地环境迁移至云上存在操作系统的适配问题及稳定性问题；解决适配问题需连 通接口；云端客户的性能要求有所不同；客户较强调整体资源消耗的情况；云端对稳定性的要求更高；终 端类型不同导致终端安全功能发生变化；云环境中终端类型更单纯，兼容性更强；云环境的终端在向云原 生的终端安全方向延伸；集中策略管理中心需采用原生的大数据架构；云化的终端安全产品的客户类型及 要求不同，初创企业存在弯道超车的机会；云化的终端安全需考虑云原生的方式 1. 计算机环境安全的防护产品从本地环境迁移至云上的技术改动存在原来的EDR及桌管在终端上，需考虑 操作系统的适配问题及稳定性的问题，操作系统版本及环境不一样存在众多的售后问题 a. 解决适配问题需连通接口；其实现较困难，EPP及EDR均需从底层驱动获取流量及函数，不适配后调 整较大 b. 客户的性能要求有所不同；客户较强调整体资源消耗的情况，包括占用CPU及内存的大小；云端对稳 定性的要求更高，1台云服务器承载的业务更多，影响更大 i. 在本地服务器进行终端防护及云服务器进行终端防护后不存在稳定性的差异 ii. 本地服务器的终端防护市场较小，更多的采用WAF及独立设备防护 2. 从产品形态的角度出发，传统的终端安全更多面向PC端的防护，云环境中的终端以服务器视角为主，终 端类型不同导致终端安全功能发生变化；云环境中终端类型更单纯，兼容性更强；从环境角度出发，云 环境的终端在向云原生的终端安全方向延伸，需考虑容器安全等内容；从产品化角度出发，集中策略管 理的平台变化较大，集中管理中心及分析中心均需采用原生的大数据架构 a. 云主机偏向于服务器性质 b. 集中策略管理的平台需构建云端可适配的底层架构及可集成的接口 3. 从用户角度出发，云化的终端安全产品的客户类型及要求不同，初创企业存在弯道超车的机会；在安装 部署模式方面，传统的终端安全通过集中管理中心分发及安装，云化的终端安全需考虑云原生的方式； 在环境适应性方面，PC时代的终端安全以面向Windows及信创的终端适配为主，云化的终端安全需适配 的云中的操作系统 终端安全的云防护市场包括私有云和公有云，本地即PC端的防护；传统的网络安全厂商独立占有公有云市 场的机会较小；容器安全是新的赛道；在技术路线方面，容器安全中不同的容器下层共用同一个操作系 统；在产品形态方面，容器安全涉及生态安全等传统的终端安全不涉及的内容，网络层的安全事件分析与 异常事件的阻断及方法较传统的终端安全有所差别；集中管理中心已变成大数据架构，迁移成本较低；操 作系统的适配、环境的适配及编排的适配的成本可控，迁移需0.5-1年，需研发及测试团队15-20人 1. 终端安全的防护市场可拆分为分为云市场与本地市场两部分，云包括私有云和公有云，本地即PC端的防 护；传统的网络安全厂商独立占有公有云市场的机会较小，与资本进行合作后有占有公有云市场的机 会，原因为1）生态相对封闭，2）公有云的客户以中小企业为主，无合规性要求 2. 容器安全是新的赛道；在技术路线方面，传统的终端安全仅需在操作系统上安装应用，容器安全中不同 的容器下层共用同一个操作系统；在产品形态方面，传统的终端安全主要以桌管、杀毒及安全检测响应 分析功能为主，容器安全涉及镜像安全及生态安全等传统的终端安全不涉及的内容，网络层的安全事件 分析与异常事件的阻断及方法较传统的终端安全有所差别 a. 特权容器与报销系统的容器相平行，需生成获取操作系统的权限更多 b. 生成容器及销毁容器均属于容器安全的范畴，容器安全需监控容器的生命周期 c. 容器安全属于CWPP的上层应用的防护范畴 3. 传统PC端的厂商在向云端迁移时原本的集中管理中心已变成大数据架构，该项迁移成本较低；操作系统 的适配、环境的适配及编排的适配的成本可控；若有终端的积累及代码，传统厂商向容器安全方向迁移 需0.5-1年，需研发及测试团队15-20人 a. 网络安全领域中，20人的产品迭代的团队为大团队  b. 除平台类外的研发团队相较于投入的人数更注重于前期的积累、关键点的突破及稳定性 WAF属于IT硬件市场中流量检测类，与防火墙属同一类；漏扫为平台类产品；边界防护各产品从传统环境 迁移至云端所需的技术改动及客户需求的变化相似；技术路线的改进存在较大的挑战；云端通过硬件进行 性能优化的方式不适用；若需达到较好的性能，工程改动量较大；云端中底层为虚拟交换机，其环境适应 性及高可靠性变化较大；需考虑与SDN进行策略编排；研发可使用的边界防护产品需0.5年的生命周期；私 有云中无法使用传统的WAF；主流厂商为躲避云厂商的产业优势，多采用云安全资源池的方式进行云化的 交付 1. 在产品的大类划分上，WAF与漏洞扫描不是同一类；WAF属于IT硬件市场中偏流量检测类，在防护效果 方面有网关的性质，与防火墙属于同一类；漏洞扫描产品形态以可安装的应用及程序为主，为平台类产 品 a. 在产品形态上，蜜罐与WAF不属于同一类，蜜罐是平台类产品 b. WAF与蜜罐在攻防视角的理解相同，需有黑客思维模式 2. 边界防护大类中各产品从传统的环境迁移至云端所需的技术改动及客户需求的变化相类似；技术路线的 改进均是将传统的软硬一体的盒子转变为虚拟机形式的改造；技术路线的改进存在较大的挑战 a. 在性能层面，传统的边界类产品的性能优化均是在硬件层面进行深入的优化，如在X86或intel网卡层面 进行优化，在云端该种优化方式不适用，硬件是通用的服务器 b. 在工程量方面，进行了驱动层面优化的产品在迁移至云端后，若需达到较好的性能，工程改动量较大 c. 边界类产品最大的难点为环境适应性，其会面临多种场景的网络结构；云端中底层变为了虚拟交换 机，其环境适应性及高可靠性较大的变化 d. 在集中策略管理方面，传统的边界类产品直接在管理界面实施策略，云端中需考虑与SDN进行策略的 编排；流量在按顺序与预期经过防火墙及WAF等产品时均会发生较大的变化 3. 通过向云端的WAF等产品及基础设施中添加流量的导向及编排的策略来解决技术路线改进的问题；不同 产品改进的时间周期及人力投入不同，研发可使用的产品需0.5年的生命周期，研发较好的产品需0.5+年 的生命周期及较高的持续投入；私有云中无法使用传统的WAF，仅能使用云WAF a. 较少的厂商在研发云WAF的兼容性；云WAF在公有云环境中使用较少 b. 私有云中可在云与物理的边界使用传统的防火墙；服务器云化后无法接管硬盒子的WAF的流量 c. 主流厂商为躲避云厂商的产业优势，较多采用云安全资源池的方式来进行云化的交付，目前效果较差 按照技术路线，安全产品分为串型的边界防护类产品、防御检测类产品、终端类产品及平台类产品；从技 术角度出发，平台类产品从传统环境迁移至云端的变化较小；本地的平台是天然的大数据架构的系统，迁 移过程中挑战较小；主要解决安全价值不同、采集的数据及分析的场景不同的问题；身份安全类的产品在 云端环境适配的难度较小；云端中身份的密钥的构建及分配存在一定挑战 1. 边界防护产品包括防火墙、WAF及IPS等；防御检测产品包括IDS等；按照技术路线，安全产品分为串型 的边界防护类产品、防御检测检测类产品、终端类产品及平台类产品 2. 从技术角度出发，平台类产品从传统环境迁移至云端的变化较小；本地的平台是天然的大数据架构的系 统，迁移过程中挑战较小 a. 本地的平台是由多个软件构成的分布式的数据处理系统 b. 迁移过程主要解决安全价值不同、采集的数据及分析的场景不同的问题 3. 身份安全类的产品属于单独的一类产品；在技术适配方面，云端环境适配的难度较小；云端中身份的密 钥的构建及分配存在一定挑战，不能采用传统的服务器来构建，存储在软件中存在风险；通过购买一系 列的服务器，插入具有密钥管理能力的硬件密码卡来提供云化的密码 a. 传统的环境中密钥用硬件的形式存储 b. 密码服务平台及身份认证服务器需密码卡来提供云化的密码 数据安全1.0为传统的产品形态，2.0为大视角的数据存储等问题；最新兴的赛道是数据安全管理平台，主要 解决数据流通的问题；在云环境下，进行数据库审计、脱敏及策略的管理时天然的需要分布式，需花费1 年开发底层架构；分布式产品物理位置不在同一处，逻辑是相通的；软件产品、平台类产品、身份安全类 产品及数据安全产品从本地环境向云端迁移过程较简单；操作系统的方式交付的产品工作量有所增加；以 操作系统方式交付并进行了大量优化的产品工作量较大 1. 数据安全类的产品属于单独的一类产品，分为1.0和2.0两类；数据安全1.0为传统的产品形态，如数据库 审计、数据库防火墙、数据库静态脱敏及数据库动态脱敏；数据安全2.0为大视角的数据存储等问题；最 新兴的赛道是数据安全管理平台，主要解决数据流通的问题，包括数据的产生、识别及安全隐私过程中 的问题 a. 启明星辰有算力安全实验室、云安全实验室、车联网安全实验室、工业互联网安全实验室及数据安全 实验室5大安全联合实验室 b. 成立大数据局后所有的政务数据均存放在大数据局，需保证数据在使用过程中的安全 c. 数据项目需投入大量的人力进行数据的识别、方案的指定及开发；目前许多的初创企业无能力投入大 规模的服务，技术不成熟 2. 数据库审计是典型的合规类产品；在传统环境下，数据库审计产品无需考虑分步式，在云环境下，进行 数据库审计、脱敏及策略的管理时天然的需要分步式；可直接将物理的数据安全产品迁移至云端，两者 效果差别不大，实际体验感存在一定差别；若整个节点均采用分步式需花费1年时间重新开发底层架构 a. 若直接将物理的数据安全产品迁移至云端花费时间较少，为0.5年；目前较多的厂商选择直接将数据安 全产品进行虚拟化后出售，存在一定的工作量 b. 云化后打开1个界面可统一管理所有的节点 c. 云化后需部署更多的数据库审计产品，不同的数据库审计产品接收到不同的审计数据，各审计数据天 然是一体的；分步式产品物理上的位置不在同一处，逻辑是直接相通的 3. 终端、漏洞扫描及堡垒机等软件方式的从本地环境向云端迁移的改动过程较简单；防火墙等以操作系统 的方式交付的产品从本地环境向云端迁移的改动工作量较软件有所增加；WAF及IPS等以操作系统方式 交付并进行了大量底层驱动优化的产品从本地环境向云端迁移的改动过程的工作量较大，存在一定的挑 战；平台类产品等天然是大数据架构的产品从本地环境向云端迁移的工作量较小 4. 身份安全类产品中除需密码卡外的产品天然为大数据架构，从本地环境向云端迁移的过程较简单；从管 理平台的角度出发，数据安全产品从本地环境向云端迁移的过程较简单，类似于平台类产品的工作量； 传统的数据库审计及数据库防火墙从本地环境向云端迁移的相对较少 攻防演练是护网行动前企业内部的演练；护网行动是由公安部发起的行动；两者内容相同，后者挑战更 大；安全服务与运营在传统环境与云端环境下工作量区别较小，落脚点均为服务器；物联网安全分为C端 市场与B端市场；传统厂商主要聚焦于政企客户、石油及石化等B端客户，解决通过物联网设备攻击传统网 络的问题，与云无关；大部分均以在物联网设备后对网络进行防护的方式交付；以视频安全的市场最为明 18582659756 确；物联网场景与普通场景的准入在底层有较大变化；传统准入以客户端形式为主，物联网准入采用无代 理方式 1. 护网行动在传统环境与云端环境下的工作量区别较小；护网行动的红方主要是通过工具扫描暴露面，发 现暴露面的漏洞，基于漏洞进行攻击；若漏洞多则工作量大，若网站建设的较规范则工作量少 a. 攻防演练是护网行动前企业内部自发的演练；行业内部会举办攻防演练 b. 护网行动是由公安部发起的行动，军队不参与公安部的护网行动 c. 护网行动与攻防演练的内容相同；护网行动的挑战更大，原因为其对手未知压力更大 2. 安全服务与安全运营在传统环境与云端环境下的工作量区别较小；在传统环境与云端环境下的落脚点均 为服务器 3. 物联网安全分为C端市场与B端市场；物联网的C端市场是传统厂商无法占有的，无交互形态；传统厂商 主要聚焦于政企客户、石油及石化等B端客户，包括智慧高速、电力的运维机器人及摄像头等物联网设 备，解决企业中通过物联网设备攻击传统网络的问题，与云无关；物联网安全的防护主要为在物联网设 备后对网络进行防护，目前大部分的交付形态均以该种方式交付 a. 传统厂商的视频安全的市场最为明确；如摄像头均在户外，黑客入侵摄像头后攻击传统网络 b. 目前存在以安全内生带的方式进行交付的形式；该种交付形式需对物联网设备进行改造 4. 物联网场景的准入与普通场景的准入在底层有较大的变化；传统的准入以客户端的形式为主，物联网准 入采用无代理的方式，通过扫描的方式代替客户端来获取指纹、行为、口令及高维端口，通过流量分析 端的行为，需加大对无代理的技术的积累；物联网的准入不在云端中；云端中有信息分析中心分析准入 设备的安全性