络安全服务行业研究告：络安全行业的制高点

告综述：

为什么说安全服务是络安全行业的制高点：

1）在政策合规和产业升级两大因素的驱动下，政企用户对安全服务的需求正在迅速提升。安全服务目前已经成为络安全市场热度最高，潜在空间最大的赛道，是安全厂商的重要增长点。

2）除了直接采购在持续增加之外，安全服务能够有效提升用户粘性，对安全厂商而言具备极大的战略价值。头部安全厂商也正在通过顶层设计、平台建设以及运营服务的组合，持续卡位政企用户的安全预算。我们对全球安全服务产业从发展历史，竞争格局等角度进行了深度复盘，以系统性思考国内安全服务产业未来的发展路径。

什么是络安全服务？ 络安全服务指为增强和完善用户络信息系统所提供的一系列的服务，通常情况下，安全服务由安全咨询、安全运营、安全集成三大部分构成，无论是在 Gartner 还是 IDC 的口径下，安全咨询、安全运营、安全集成都占据了安全服务市场 90%以上的份额。除了传统安全服务之外，安全即服务（SECaaS，Security as a Service）作为新兴的安全服务模式，通过云服务的形式为用户交付安全能力，在广义上也属于安全服务的范畴。

中美安全服务产业比较：从市场规模、产业结构和竞争格局视角看国内安全服务市场的差距与空间。1）从规模上看，全球安全服务市场占据了全球络安全市场一半以上的份额，2019 年规模达 600 亿美金，而国内的安全服务的市场规模仅 100 亿元左右，占比在 20%左右；2）在市场结构上，全球市场安全咨询和安全运营等附加值较高的安全服务占比达到三分之二，而国内市场实施与系统集成占据了主要份额，体现出了在产业成熟度上的巨大差距；3）从竞争格局来看，综合型 IT 厂商、咨询公司以及电信运营商是欧美安全服务市场的主要参与者，而国内市场则由安全厂商占据主导地位。随着近年来安全厂商对安全服务投入的不断加大，专业安全厂商在国内安全服务赛道上将占据更加重要的位置。

我们认为，国内外安全服务市场存在差异的主要原因在于：1）缺乏安全意识：国内许多政企客户过去络安全预算非常有限，绝大部分的预算都用于采购安全工具，以应付合规和审查，没有主动提升安全能力的诉求；2）没有付费意愿：在国内安全咨询、安全运营等专业服务经常被安全厂商作为采购安全设备的附赠品，企业用户甚至不需要向安全服务单独付费，而实际上单独的咨询规划和运营服务的价格并不低于设备采购；3）产业生态不成熟：国内安全服务市场从起点上就跟欧美市场存在天然的差距，缺少类似 IBM、Dell、德勤、埃森哲等大型厂商对安全服务市场的培育，导致国内政企用户对安全服务的接受度普遍偏低。

在政策合规和产业升级两大因素的驱动下，国内安全服务市场的景气度正在迅速提升。同时安全厂商通过为政企用户提供安全顶层设计、安全运营等服务，能够有效提升用户的“粘性”，进而带动对自身安全产品和解决方案的持续采购。因此目前国内头部安全厂商正在加大在安全服务赛道上的布局：在安全咨询市场，用户对安全咨询的需求正在从过去数据安全治理、渗透测试、漏洞评估等专项建设逐渐向顶层设计演进，而头部厂商也将安全咨询能力的建设作为重点发力的方向，以卡位“十四五”开局头部政企用户的安全顶层设计；在安全运营市场，国内安全厂商正在探索更加适应于本土市场的安全运营模式，其中最典型的就是城市安全运营中心。

在传统安全服务之外，安全 SaaS 作为新兴安全服务，已经成为了全球络安全市场的重要产业趋势。虽然早期欧美企业用户对安全 SaaS 在安全性、可靠性等方面也存在诸多顾虑，但随着 IT 基础架构逐渐向云上迁移，安全 SaaS 的渗透率也随着迅速提升。络安全虽然是 ICT 产业中转云最晚的赛道之一，但其转云的速度却超出了市场预期。全球范围内，安全 SaaS 的渗透率已经达到 10%以上（Gartner 预计 2019 年安全 SaaS 的渗透率为 12%）。包括 Okta、Crowdstrike、Zscaler 等云原生的安全厂商正在快速替代传统厂商的市场份额，近年收入增速基本保持在 40%及以上，展现出了远高于传统安全厂商的成长性，而且在增长的持续性和用户粘性等方面都要明显优于传统厂商。

目前国内安全 SaaS 尚处在萌芽期。虽然许多头部安全厂商也推出了包括云抗 D、云漏扫、云 WAF、云站监测等远程安全服务，包括奇安信、安恒信息、深信服、绿盟科技、启明星辰等头部厂商都在安全 SaaS 领域做出了不同程度的探索，但目前国内安全 SaaS 在边界安全、终端安全以及身份安全等主要赛道上的渗透率还不到 1%，绝大部分政企用户仍倾向于本地部署。我们预计，在未来 3-5 年，国内安全产业云化进程有望加速，安全 SaaS 将从萌芽期逐渐走向成长期。

1 安全服务：新趋势，新方向

1.1 什么是安全服务？

什么是安全服务？广义上，络安全服务指为增强和完善用户络信息系统所提供的一系列的服务，通常情况下，安全服务由安全咨询、安全运营、安全集成三大部分构成。从 Gartner 和 IDC 两大机构的统计口径来看：IDC 认为安全服务包括安全咨询、安全运营（MSS）、安全集成、安全教育及培训四个部分，而 Gartner 认为安全服务主要由安全咨询、安全外包（含 MSS 及驻场服务）、安全集成、硬件维护与支持四部分构成。虽然两家机构在统计口径上存在一定差异，但无论是在 Gartner 还是 IDC 的口径下，安全咨询、安全运营、安全集成都是最主要的三个部分，占据了安全服务市场 90%以上的份额。

在传统安全服务之外，络安全即服务（SECaaS，Security as a Service）作为新兴的安全服务模式，正在成为全球络安全市场的重要趋势。SECaaS 最突出的特点就是安全的云化和服务化，将安全产品以云服务的形式交付给用户，是安全产品与安全服务的深度融合，因此在广义上也属于安全服务的范畴

1.2 安全服务产业比较：市场规模与产业结构

安全服务是用户安全能力提升的必然选择。从企业安全能力提升的路径来看，安全工具只是构建安全能力的基础，在采购安全工具之后，如何用好安全工具，如何发挥安全工具最大的价值，往往需要在安全团队、安全策略以及安全体系等方面进行持续投入。对于大多数企业用户而言，面临的现实问题是自身安全能力和安全预算的不足，往往需要借助第三方专业安全厂商，来帮助自己实现安全体系的建设和安全运营的外包。根据 Cisco 的统计数据，在全球范围内，每年有 90% 以上的企业和政府机构都会采购包括安全咨询、安全监测、事件响应、威胁情等各类安全服务，完全不采购安全服务的企业占比仅 6% （2017）。而且对安全越重视，安全能力越强的企业用户，往往安全服务在其安全预算中的占比也会越高。因此在整个产业不断走向成熟的过程中，安全服务的占比也将持续提高。

从市场规模来看，安全服务占据了全球络安全市场的半壁江山。根据 Gartner 的统计数据，2019 年全球安全市场总规模约 1209 亿美金，其中安全服务市场的规模达到 620 亿美金，占比 51%。而且除了传统服务之外，Gartner 预计 2019 年基于云模式交付的安全的渗透率达到 12％，因此如果将 SECaaS 考虑在内，全球安全服务的占比将达到 60% 以上。未来随着 SECaaS 渗透率的不断提升，安全服务的占比还将持续提高。

从市场结构来看，安全咨询和安全运营占据了全球安全服务市场约三分之二的份额。根据 IDC 的统计数据，安全咨询、MSS 和安全实施的占比分别为 21.9%，44.4%和 33.7%；根据 Gartner 的数据，安全咨询、安全外包服务（包括 MSS）及安全集成占比分别为 36.3%、35.8%， 27.9%。无论是按照 Gartner 还是 IDC 的口径，安全咨询和安全运营的合计占比均达到了三分之二。

国内安全服务市场无论从市场总规模，还是从市场结构来看，跟欧美市场相比，都存在非常明显的差距。首先在市场规模上，根据 IDC、赛迪股份等机构的统计数据，目前安全服务市场总规模约在 100 亿元左右，占安全行业总体比重仅 20%，远低于全球平均水平。同时在国内安全服务市场，安全咨询和安全运营等附加值较高的安全服务占比较低，安全实施和系统集成占据了大部分的市场份额，体现出了国内外安全服务市场在产业成熟度上的差距。

我们认为，导致目前国内安全服务市场与欧美市场存在明显差距的主要原因在于：

1）缺乏安全意识：国内许多政企客户过去络安全的预算非常有限，绝大部分的预算都是用于采购安全工具，以应付合规和审查。除了金融电信等大型用户对于安全较为重视之外，大部分机构都将安全作为成本项，没有主动提升安全能力的诉求，因此也缺乏采购安全服务的动力。

2）没有付费意愿：在国内安全咨询、安全运营等专业服务经常被安全厂商作为安全设备采购的附赠品，企业用户甚至不需要向安全服务单独付费，而实际上单独的咨询规划和运营服务的价格并不低于设备采购。

3）产业生态不成熟：国内安全服务市场从起点上就跟欧美市场存在天然的差距，欧美的安全服务市场建立在其成熟的 IT 及咨询产业之上，经过 20 多年的发展，已经形成了成熟的产业生态。而国内缺少类似 IBM、Dell、德勤、埃森哲等大型厂商对安全服务市场的培育，缺少好的安全服务提供给用户，而且在定价上也不够市场化，因此国内政企用户对安全服务的接受度普遍偏低。

1.3 安全服务产业比较：竞争格局与主导厂商

全球络安全产业建立在 IT 产业的基石之上。以美国市场为例，美国络安全产业的发展包含了 IT 产业创新所必须的全部关键要素，包括一流的教育科研机构、成熟的风险投资、有机的商业环境，以及鼓励创新、宽容失败的硅谷文化。美国络安全产业从诞生开始就带有美国 IT 产业的鲜明烙印，包括 IT 行业巨头、电信运营商、咨询公司、国防外包承包商都是络安全市场的重要参与者，产业链分工协作，界限分明。在全球络安全市场，包括 IBM、微软、德勤、埃森哲等 IT 业和咨询业巨头正在不断延伸自身的业务布局。

在全球安全服务市场，综合型 IT 厂商、咨询公司以及电信运营商占据主导地位，而大多数的专业安全厂商都是纯粹的安全产品供应商，并不是安全服务市场的主要参与者，这与国内络安全市场有着非常显著的差异。

国内安全服务市场在竞争格局上，展现出了与欧美市场截然不同的态势，绿盟科技、奇安信、启明星辰、安恒信息等专业安全厂商占据了市场主导地位。而且随着近年来安全厂商对各自安全服务业务投入的不断加大，其在国内安全服务行业的市场地位还将进一步提升。

根据 IDC 的统计数据：

1）安全咨询：2020 上半年绿盟科技在国内市场占有率位居第一，份额达到 8.1%，奇安信以 6.8%的市场份额排名第二，德勤、普华永道及启明星辰的市占率分别为 6.4%、5.7%及 5.5%；

2）托管安全服务：2020 上半年，安恒信息以 9.6%的份额排名第一；绿盟科技市占率达到 8.6%，排名第二，其他厂商包括启明星辰、安信天行和 IBM 分别占据 7.9%、4.8%和 4.5%的份额；

3）安全集成：以集成商和渠道商为主，主要厂商有太极股份、腾讯、中国软件、东华软件、东软集团等。

1.4 安全服务正在成为安全行业的战略制高点

国内安全服务市场目前已经进入快速发展期，受到政策合规和产业升级两大因素的驱动，安全服务已经成为国内络安全市场增速最快，发展空间最大的赛道。

1）政策合规：等保 2.0、关键基础设施保护条例、密码法、络安全审查办法以及在 2021 年即将落地的个人信息保护法、数据安全法等法规条例的相继出台，政企用户对安全评估、安全测试、安全战略、安全规划的需求得以迅速提升。同时 HW 行动及重大活动络安保驱动了应急常态化和防护实战化，无论是国家络安全主管机关还是各相关企事业单位，对于攻防演练、安全评估、安全运营的需求也正在持续增加。

2）产业升级：随着国内络安全产业成熟度的持续提升，政企用户的安全重心，将逐渐从采购安全产品以满足合规要求，转移到采购安全服务以提升安全能力，这是产业发展的必然规律。特别对于国内许多头部企业而言，在经过多年的安全建设后，继续堆设备所带来的提升已经相当有限，当前的主要问题在于如何构建一套更为有效的安全体系，并且如何让这套体系持续高效运作，这也将直接带来对专业安全服务厂商的安全顶层设计、安全运营服务的需求。中长期来看，政企用户出于降低人力成本（安全厂商通过体系化管理实现规模效应），以及应对复杂威胁和管理复杂架构的需要（专业的人做专业的事），都将持续增加对专业安全服务的采购。

安全服务正在成为国内络安全市场的制高点，除了政企用户对安全服务的需求和采购在持续增加外，更加重要的原因是安全服务对头部政企用户“战略卡位”的重要性正在逐渐凸显。安全厂商通过为政企用户提供安全顶层设计，安全运营等服务，能够有效提升用户的“粘性”，进而带动对自身安全产品和解决方案的持续采购。因此，国内头部安全厂商目前都在持续加大在安全服务赛道上的布局。从安全咨询市场来看，一方面，新的安全法规条例近年来的不断出台直接提升了用户对安全咨询的需求，另一方面络安全在政府和企业内部的战略层级正在不断提升，用户对安全咨询的需求正在从过去数据安全治理、渗透测试、漏洞评估等专项建设向顶层设计升级，因此安全咨询服务门槛也在不断提升。包括奇安信、安恒信息、深信服、绿盟科技、启明星辰等头部厂商都将安全咨询能力的建设作为重点发力的方向，以卡位“十四五”开局头部政企用户安全顶层设计。目前许多头部安全厂商已经具备较为完善的安全咨询能力，以绿盟科技为例，绿盟已经具备覆盖政企用户安全建设全生命周期的安全咨询能力，涵盖安全规划、建设、运营各不同阶段，并且将安全咨询与新技术、新场景进行了深度结合。

安全运营服务是国内安全厂商近年来的重点布局方向，和海外市场更为流行 MSS（托管安全服务）不同，国内安全龙头厂商正在探索更加适应于本土市场的安全运营服务，其中最典型的就是城市安全运营中心。城市安全运营中心的服务主体以政府机关、监管部门以及关键信息基础设施为主，综合各个厂商的布局情况，预计全国已经有接近 100 个城市已建成或正在建设城市安全运营中心，而且各个厂商的打法也有一定差异，比较典型的有启明星辰和安恒信息的城市安全运营中心，360 的城市安全大脑，奇安信的应急响应中心，以及深信服“人机共智”MSS 服务等。

1）启明星辰城市安全运营中心

启明星辰于 2017 年 12 月在成都打造了全国首个城市安全运营中心，并在 2018 年将城市安全运营中心上升至公司的战略级业务。目前启明在全国范围内已经建设了成都、济南、宜昌、郑州、西宁、昆明、杭州等近 40 多个城市安全运营中心。其中许多区域的中心除了向用户提供安全运营服务之外，还需要承担安全培训、安全研究等职能。比如郑州安全运营中心就包含了运营中心和培训中心两个部分，其中运营中心还包含了安全检测中心、安全应急中心、安全研究中心、咨询服务中心、终端防护中心和云端防护中心六个子中心。启明星辰城市安全运营中心的用户主要分为三类，核心用户主要是城市政务云、大数据中心等，用户方是当地的政府相关委办局等，第二层是当地的关键基础设施、重要信息系统所属的企事业单位，最后是中小企业。城市安全运营中心采取三级联动的方式，包含了总部、省中心、地市中心三个层级，中心总部设在北京，同时在各个省会级城市形成二级区域运营中心，一个二级城市约需 10-20 人支撑，向政企用户提供包括 7x 24 安全运行监测和应急响应处置在内的信息系统规划、设计、建设和运行的安全托管运营和安全监管服务。

2）安恒信息城市安全运营中心

安恒信息近年来将城市安全运营中心作为安全服务业务发展的重点，目前已经在厦门、金华、衢州等十多个城市开展城市安全运营服务。主要内容包括：1）对全市关键信息基础设施、工业互联、城市监控等物联系统、党政机关和企事业单位重要信息系统进行全天候全方位的安全监测；2）提供络安全协同防御和应急响应服务，会同相关主管部门建立协调机制，建立统一的联动协同的应急响应组织； 3）提供集约化安全防护和处置服务，解决各单位自行建设导致的投入大、人员专业化能力不足、实际安全防御效果参差不齐等问题。

3）360 安全大脑

360安全大脑是 360 公司基于络安全方面的多年实战积累，凭借安全大数据、安全专家、攻防知识库等核心优势，面向政企用户打造出一套以“安全大脑”为核心的络安全能力体系。360 智慧城市安全运营中心涵盖了安全服务、安全攻防靶场、城市安全运营中心、安全人才培养、安全技术研发、初创企业扶持、安全检测等多个安全功能。目前 360 已建成和确定建设了智慧城市安全运营中心的城市包括重庆、天津、青岛、鹤壁、上海、苏州、郑州、贵州等。

4）奇安信应急响应中心

奇安信作为国内络安全行业龙头厂商，在实战攻击、漏洞挖掘、威胁情等领域已经构建了强大的安全实战能力。2016 年奇安信开始建设全国应急响应团队，目前已经建立了国内最大安全应急响应体系，按国家级、省级和地市级三个等级，主要的内容包括应急响应、重大活动保障、攻防演练和其他技术支持工作。目前奇安信应急响应体系已经覆盖全国 31 省市，拥有 2500 人以上的安全技术人员。在 2019年奇安信共参与处置了2000余起全国范围内的络安全应急响应事件，共支持 80 余个重要客户的实攻防演练工作，涉及 27 个部委、30 家央企以及 22 个省市客户的实攻防演练工作。目前奇安信在全国 10 余个城市构建了智慧城市安全运营中心。

5）深信服“人机共智”安全运营服务

深信服在 2018 年发布了基于“人机共智”的安全运营服务，在长沙建设了全国安全运营中心，构建了 T1、T2、T3 三级专家团队共 100 余人，分为 T1 安全工程师组、T2 安全运营专家组、T3 首席安全专家组，面向不同的客户提供 7*24 小时的服务。相较于国外的托管安全服务更加侧重漏洞、威胁、事件的检测和分析，公司的安全运营服务则更加切合国内用户的实际情况，会根据企业用户安全能力强弱，联合合作伙伴配合客户做深浅程度不同的处置工作，帮助客户有效解决各种安全问题。由于深信服的安全运营服务主要通过远程安全运营中心来开展，因此能够规避堆人头的方式。2019 年下半年深信服的安全运营中心就已服务超 500 家客户，覆盖政府、央企、教育、医疗等多个行业。

随着国内安全行业向“体系化”和“实战驱动”演变，政府、央企及关键行业对于安全厂商从整体框架、技术整合到运营服务的需求正在快速增加，行业门槛也正在逐渐提升。由于头部安全厂商在品牌和整体解决方案能力上具备显著的优势，而且考虑到一些合规性的因素，其竞争力要明显强于中小型安全厂商。

1）安全服务能力的构建需要大量的初始资源投入：首先在人员方面，安全服务厂商需要大量的高级安全专家和一线安全运维工程师的配置，以及完善的人才培养机制，并且还要针对人员进行流程化管理，以及 KPI 的制定、运营指标的确立、组织文化的建设等；其次厂商需要设施齐备的 SOC 中心，强大的软件开发能力、络带宽保障、7 ×24 的工作时间保障等等；最后在安全服务机制和流程上，厂商需要将人和工具等不同的要素进行有效组合，并且围绕系统框架、规划方法、模型架构和项目管理等方面来构建流程化标准化的安全服务能力。目前头部安全厂商正在围绕人员、技术、流程三个维度来构建在安全服务市场的竞争力。

2）安全咨询和安全运营对厂商的背景和品牌影响力有较高的要求： 无论是政府还是企业用户，在选择安全咨询及安全运营服务时，首先面临的就是信任问题，因为安全服务商将掌握企业用户自身信息系统的运作流程和风险弱点，而大型厂商在面临信任问题时具备天然的优势，这也是为什么在全球安全服务市场占据头部位置的基本上都是 IBM、德勤、埃森哲，ATT 这类具备很高品牌知名度的厂商。而国内安全市场，头部安全厂商将成为安全服务市场的“关键先生”。

1.5 SECaaS 是引领全球络安全行业的新趋势在传统安全服务之外，安全 SaaS 作为新兴安全服务，正在成为全球络安全市场的重要产业趋势。虽然早期欧美企业用户对安全 SaaS的安全性、可靠性也存在诸多顾虑，但随着 IT 基础架构逐渐向云上迁移，安全 SaaS 的渗透率也随之迅速提升。络安全虽然是 ICT 产业转云最晚的赛道之一，但其转云的速度却超出了市场预期。在终端安全、身份与访问管理、络边界安全、SIEM 等络安全行业的主要赛道上，SECaaS 渗透率正在迅速提升。全球范围内，安全 SaaS 整体渗透率已经达到 10%以上（Gartner 预计 2019 年安全 SaaS 的渗透率为 12%）。根据 IDC 的数据，过去几年安全 SaaS 的复合增速在 20%以上，远超安全行业整体增速 7%，而且以 Crowdstrike 为代表的头部安全 SaaS 厂商的收入增长持续超出业绩指引。 Okta、Crowdstrike、Zscaler 等云原生的安全厂商正在快速替代传统厂商的市场份额，近年收入增速基本保持在 40%以上，目前已经成为了身份与访问管理、终端安全、络边界安全三个赛道上的领导厂商。除了成长性高之外，安全 SaaS 厂商在增长的持续性和用户粘性等方面都要明显优于传统安全厂商。同时以 Palo Alto Networks、 Fortinet 等代表的传统安全厂商也正在积极转云，包括 Palo alto networks 的订阅及服务占比目前也已经超过了 70%。

目前国内安全 SaaS 尚处在萌芽期，虽然许多头部安全厂商也推出了包括云抗 D、云漏扫、云 WAF、云站监测等远程安全服务，包括奇安信、安恒信息、深信服、绿盟、启明等头部安全厂商都在安全 SaaS 领域做出了不同程度的探索，但目前在国内市场，安全 SaaS 在边界安全、终端安全以及身份安全等主要赛道上的渗透率还不到 1%，绝大多数政企用户仍倾向于本地部署。我们预计，在未来 3-5 年，随着 IT 基础架构的不断演变，国内安全产业的云化进程有望加速，安全 SaaS 将从萌芽期逐渐走向成长期。

2 安全咨询

2.1 什么是安全咨询

什么是安全咨询？Gartner 将安全咨询分为三大类别，分别为治理、策略和评估（ Governance， Strategy， Assessment ）、业务操作（Operations）、事件与法律响应（Incident and Legal Response）服务。

1）治理、策略和评估（Governance，Strategy，Assessment）主要包括安全框架设计、安全策略及安全风险评估，并提供相应的解决方案；

2）业务操作（Operations）针对企业用户配置安全、设备安全、应用安全，以及在应对安全事故时提供技术支持，主要包括了威胁检测、渗透测试、漏洞扫描、代码检测等相关技术服务；

3）事件与法律响应（Incident and Legal Response）服务主要协助用户搜集与络安全事故相关的法律证据，对事件的原因进行调查和分析，并提供业务恢复和法律诉讼相关的服务。

全球安全咨询市场总规模在 2019 年达到了 230 亿美元，约占络安全整体规模的 20%，是络安全行业最大的赛道之一。安全咨询作为一个较为成熟的行业，近年来一直保持着平稳的增长，驱动安全咨询行业的主要因素来自于安全事件和安全政策。在 2017 及 2018 年，安全咨询行业增速高达 9.2%及 13.7%，相较之前几年增速有明显的提升，主要原因是欧盟《通用数据保护条例》（GDPR）的出台。GDPR 规定，任何存储或者处置欧盟有关公民个人信息的公司，即使在欧盟境内没有业务，都必须遵守 GDPR。而许多跨国企业都因触犯 GDPR 而面临巨额罚单，比如英国航空公司因 2019 年的数据泄露而面临近 2 亿欧元的罚款，万豪集团同样因为客户数据泄露被开出 1.2 亿美元的罚单。GDPR 作为有史以来处罚力度最大、覆盖范围最广的条例，直接带动了从 2017 到 2018 年全球安全咨询业务需求的快速增长。因此也能看出，即使在全球范围内，络安全依然是一个强合规的市场。

北美和欧洲两大成熟市场占据全球安全咨询行业绝大部分的份额，包括中国大陆在内的新兴市场则展现出强劲的增长态势。根据 Gartner 的统计数据，目前北美是全球规模最大的安全咨询市场，2018 年占比达 44.8％，其次是西欧，占比为 31.3％。而大中华市场（包括中国大陆、香港、澳门、台湾等）占比仅 4%。虽然除了北美和欧洲之外全球其他区域安全咨询行业市场规模仍然偏低，但目前许多新兴市场也正保持着快速增长的趋势，2018 年大中华区安全咨询行业增速达到 20.7%，领跑全球其他国家和地区。

2.2 安全咨询的竞争格局及发展趋势

安全咨询行业的头部效应非常明显，安全咨询行业的“Top6”，包括四大咨询公司德勤、安永，普华永道和毕马威，以及两大 IT 服务商 IBM 和埃森哲合计占据安全咨询行业一半以上的市场份额。德勤、安永，普华永道和毕马威一直以来都稳定占据安全咨询行业前四的位置。根据 Gartner 统计数据，在 2018 年德勤安全咨询业务收入达 29 亿美金，持续多年排名行业第一，而安永，普华永道和毕马威则分别保持第二，第三和第四的位置，安全咨询收入分别为 22 亿、21 亿及 15 亿美金。紧随“四大”之后的是两大 IT 服务巨头 IBM 及埃森哲，其中埃森哲在 2018 年首次超越了 IBM，成为了全球第五大安全咨询厂商。除“Top6”外，其他头部厂商还有 IT 咨询公司凯捷、DXC， IT 分销商 Optiv、托管安全服务提供商 Secureworks，国防外包供应商 Booz Allen 等。此外，全球安全咨询行业还存在数千家中小型和区域型的安全服务厂商，包括咨询公司/外包商/集成商/分销商/MSSP 都是全球安全咨询行业的参与者，但总体而言，其他厂商无论在规模和竞争力上要明显逊色于 “Top6”。

德勤、安永，普华永道和毕马威四大咨询公司持续多年占据安全咨询行业前四的位置，一方面得益于四大在全球范围内的品牌影响力和全球化的业务布局，另一方面作为顶级咨询公司，四大拥有强大的咨询服务能力和垂直行业经验，能够将安全咨询作为整体方案的一部分提供给用户。

紧随四大之后的是两大 IT 服务厂商埃森哲和 IBM，相较于四大，埃森哲和IBM在ICT产业有着更深入的行业布局和更强大的技术实力，更能够向客户提供包括安全咨询、安全运营、系统集成、安全外包在内的端到端的络安全及 IT 服务。

近年来头部安全咨询厂商在络安全领域的并购步伐开始显著加快，背后的原因是客户对端到端的安全服务的需求在不断增加。对安全咨询的“TOP6”而言，一方面相较于原有的审计、IT 服务等业务，安全服务市场具备更高景气度，通过并购一些新兴的安全厂商能够加强自身的安全技术能力，以持续拓展具备更高价值的安全咨询业务，比如运营技术/物联（OT / IoT）的安全测试，云安全评估或 OT 环境的事件响应，而不仅仅是合规审计，配置评估等传统的安全咨询业务；另一方面通过并购能够完善对安全服务全产品线的布局，包括“四大” 目前的业务也早已不局限在安全咨询领域，其在安全运营服务等领域都已经进行了深度布局。

安全咨询行业的集中度正在稳步提升。在安全咨询行业，头部厂商因为其品牌影响力，跨业务的协同能力，领先的技术实力等因素，往往成为大中型客户的首选。而且近年来随着头部厂商不断加大了对于这一赛道的投入，包括对中小型安全厂商的收购，填补了业务范围和地域覆盖上的短板，因此带来了份额的持续提升。根据 Gartner 的数据，安全咨询行业的 CR5 从 2016 年的 42.7%提升到了 2018 年的 44.7%， CR10 从 2016 年的 52.6%提升到了 2018 年的 58.6%。与此同时，因为安全咨询对于安全服务人员的本地和现场服务有较高的要求，实现真正的全球化布局即使对于头部厂商而言也存在很大的挑战。而且头部厂商虽然在综合能力上有所领先，但也难以在所有的客户和项目上都能保持足够的资源投入，因此未来在安全咨询市场中小规模的安全服务商依然有其生存空间。

2.3 德勤：全球安全咨询行业龙头

德勤咨询是全球咨询行业龙头，持续多年收入体量保持在全球第一的位置。相较于管理咨询领域的 MBB（麦肯锡、波士顿、贝恩），IT 咨询领域的埃森哲及 IBM，德勤的咨询服务以综合性和全面性著称。

德勤的业务线共分为 5 大部分，分别为咨询(Consulting)、审计(Audit)、税务及法律(Tax&Legal)、风险咨询 (Risk Advisory)和财务咨询 (Financial Advisory)，络安全咨询(Cyber Risk Advisory)是德勤风险咨询业务最重要的组成部分。从德勤近年的发展情况来看，德勤的传统的审计业务目前已经非常成熟且稳定，根据德勤 2019 年财，公司审计业务在 2019 年仅增长了 3%，而咨询业务近年来的增速基本保持在 10%以上，是德勤的重要增长引擎。其中德勤的风险咨询业务 2019 财年的收入达 53 亿美元，其中络安全咨询占风险咨询业务的比重在 60%左右，是风险咨询业务中最重要的组成部分。德勤的络安全咨询与其风险咨询的其他四大板块，包括战略和声誉风险、监管风险、财务风险及运营风险咨询彼此相互关联，融合为完整的风险管理框架。

德勤在络安全行业的布局早已不局限于安全咨询业务，目前德勤已经具备从安全咨询到安全实施及安全运营的端到端的安全服务能力。德勤的络安全服务业务可分为安全战略（Cyber Strategy）、安全防护（Secure）、安全预警（Vigilant）、安全响应及恢复（Resiliant）四大模块。

德勤近年来通过不断收购新兴安全厂商以强化自身在络安全领域的技术能力及业务布局。2013 年，德勤收购了独立 MSSP 及安全监控和络威胁情厂商 Vigilant , 作为 IT 咨询厂商正式进入了 MSS（托管安全服务）市场；在 2016 年，德勤收购了加拿大托管安全服务市场的主要厂商之一 Integrity-Paahi Solutions，同年德勤还收购了知名数字鉴识和电子取证服务公司 I-Analysis Pte。在 2017 年德勤针对络安全领域的并购活动较前几年有所放缓，但其业务增速仍然高达 20%，内生增长的能力得以充分体现。2019 年，德勤收购了络安全公司 Converging Data，将其直接纳入到风险咨询框架下，并强化了在亚太地区市场的布局；2020 年，德勤收购了安全厂商 Zimbani，进一步加强了在澳洲和亚太地区的覆盖。

德勤强大的安全服务能力背后是其覆盖全球的络情中心（Cyber Intelligence Centers,CIC）。德勤目前在全球范围内拥有超过 31 个络情中心（CIC），其情中心络通过不断汇集关键威胁信息，对于了解潜在的安全威胁发挥了关键作用，同时德勤也会和其他第三方威胁情方共享情来提升风险识别的能力。基于络情中心（CIC），德勤能够向客户提供 24x7x365 的托管安全服务、安全事件管理服务和威胁情服务等。

德勤作为安全服务厂商，本身并不直接生产安全产品，但通过与全球多家领先的安全产品及技术提供商的深度合作，建立了强大的外部生态系统，联合生态合作伙伴向客户提供完整的络安全解决方案。在安全领域，德勤的主要的合作伙伴中包括 Palo Alto Network、Symantec 等安全产品供应商，HP、Oracle、SAP 等 IT 基础设施提供商，以及 AWS 等公有云厂商。

3 托管安全服务（MSS）

3.1 什么是 MSS MSS（托管安全服务，Managed Security Service）

指安全厂商通过统一的安全运营平台为客户提供一系列安全服务，以满足企业对安全人员、技术和流程外包的需要。

托管安全服务（MSS）的主要职能在于支撑企业安全运营中心（SOC）有效运行。安全运营中心（SOC）并非简单由安全产品或工具组成，而是人员、工具、技术、场地、流程的有机结合。SOC 通过集中统一管理安全工具，并且搜集所有 IT 资产的安全信息，不断监视和改善组织的安全状况，以及预防，检测，分析和响应企业所面临的络安全事件。目前大部分中大型企业已经具备了基础的安全防护措施，包括防火墙，IDS / IPS，防病毒，VPN 等工具已经成为标配，因此搭建 SOC，将安全工具进行统一管理的必要性也在逐渐提升。SOC 的底层平台称为 SIEM (安全信息和事件管理) ，SIEM 的主要功能在于搜集来自企业内部所有 IT 资源的异构数据源的信息（包括日志，事件，流量、行为等），使用户对整个络的运行状态进行实时监控和管理，并及时发布预警，提供快速响应能力。在国内安全行业习惯直接称 SIEM 为 SOC 或安全管理平台，实际上更加突出了 SIEM 作为安全运营中心底层支撑平台的功能。

一般情况下只有一些超大型企业会选择自建安全运营中心，并且能够持续有效运营，因为这类企业能够保证足够的 IT 安全预算和资源的投入，且对安全性和数据保护的要求非常严苛，因此对安全外包的选择上也会比较谨慎。对于大多数企业和政府机构而言，自建，实施，运行和维护 24/7 SOC 的成本都会过高，而且在专业性和实际效果上会明显逊色于外部托管服务提供商（MSSP）。

首先从成本角度来看，构建 SOC 首先需要满足三个最核心的要素：人员，流程和技术，三者缺一不可。目前 SOC 功能也在不断扩展，现在一个全功能的 SOC 至少需要配置 8 至 12 名全职员工，包含了各级安全分析师，事件处置/调查人员，安全专家及经理，这还不包括人员流动及休假等特殊情况。除了人员之外，构建 SOC 还包括了流程的建设，比如人员如何实现有效协同，如何分配权限等等，而且对 SIEM 的实施和管理都需要 IT 资源的持续投入。构建一个完善的 SOC 至少需要耗费上百万美金，而且短期还不一定能见到明显成效。对于一个专业的 MSSP 而言，因为能够同时服务多个客户，具有一定的规模效应，因此能够降低向客户提供安全服务的成本。

其次从专业性上来看，大多数企业实施、管理和应用安全管理平台（安全信息和事件管理（SIEM））的门槛都非常高。目前主流的安全管理平台，比如 LogRhythm 的 NextGen SIEM，IBM 的 Qradar SIEM， Splunk 的 Analytics-Driven SIEM，都会有合作的托管服务提供商（MSSP）来提供相应的运营服务，能够降低企业的实施和使用的门槛，而且 MSSP 能够帮助企业用户以相对较低的成本来利用一些新兴的安全技术。托管安全服务的另一个好处在于，企业自身的 IT 团队是很难实现 24/7 的安全检测，而对于像 IBM 这类大型 MSSP，他们的 SOC 都是分布在全球各个地区，能够横跨多个时区，轮流传递工作任务，真正实现 24/7 的全时间段覆盖。

因此全球范围内大多数企业通过与外部托管服务提供商（MSSP）合作，将自身的安全运营流程、人员、技术外包，已经成为了非常主流的选择。在采购 MSS 服务后，企业仅需要搭建一些基础的功能如 LM （日志管理），即可通过采购 MSS+MDR 服务来构建 SOC，或者企业在本地部署 SIEM，但采购第三方的 SIEM 管理服务（Co-managed SIEM）模式，让第三方来构建和运行 SOC。托管安全服务供应商作为企业安全团队的延伸，能够帮助企业搭建更加成熟的络安全体系，减轻安全运营团队的工作压力，使其更加专注于自身的核心业务。

MSS 作为百亿美金级的大赛道，近年来基本维持在 10%以上的快速增长。IDC、Gartner 两大机构对 MSS 的口径存在一定差异，其中 Gartner 对 MSS 有非常严格的定义，即 MSSP 必须通过统一的平台进行远程交付，且具备明显的多租户特征，对于一对一的定制化的模式，比如利用客户自己的 SIEM 解决方案交付的托管的 SIEM 服务则不包含在内，可以看做狭义的 MSS。相较而言，IDC 所定义的 MSS 的范围更加宽泛。根据 IDC 的口径，MSS 2018 年的市场规模达到 211 亿美金（Gartner 的口径下 2018 年 MSS 市场规模为 107 亿美元）。

在欧美 MSS 市场已经形成了非常成熟的定价和交付模式，安全服务商通过服务等级协议（SLA，service-level agreements），能够量化所交付的 MSS 的等级和质量。标准且清晰的行业规范和定价模式是支撑 MSS 持续发展的重要基础。托管安全服务提供商根据不同等级的 SLA 提供不同级别的服务，定价基准包括安全设备数量和规模、数据量、端点数量、员工数量、事件数量等，并且根据平均检测时间、平均响应时间、平均告时间等要求制定服务等级。企业客户也会评估 SLA 的价，对自身的可承受风险和成本进行权衡取舍，确定是否可以接受较低等级的服务，因此一般更昂贵的服务具有更短的响应时间和更高的服务质量。而在违反了约定的 SLA 时，服务提供商也将按照合同要求提供相应的额外服务或罚款。除了供需双方量化服务等级的要求之外，合规要求也是驱动 SLA 不断完善的重要因素，比如通用数据保护法规（GDPR）和支付卡（PCI）行业标准中都包含了 SLA 相应的规范要求。

从定价情况看，以全球知名的安全服务商 Alert Logic 为例，Alert Logic 针对客户提供基于 SIEM 的远程安全运营服务，包含了 Essentials，Professional 和 Enterprise 三条业务线，覆盖从中型企业到大型全球化跨国企业的一系列客户，公司针对这三类业务的定价参考（实际价格会根据 SLA 有所调整）为：Essential 主要包括漏洞管理和资产可视化等一些基础服务，价格在 550 美元/月；Professional 在 Essential 的基础上增加了安全威胁监测和事件管理等服务，价格在 2400美元/月；Enterprise在Professional基础上增加了托管WAF或SOC 等服务，价格为 4500 美元/月。

3.2 MSS 的竞争格局及发展趋势 MSS

市场整体竞争格局较为分散，全球前十的 MSSP 市场份额合计为 32.6%，前二十的 MSSP 市场份额为 47.2%，跟安全咨询相比，MSS 的集中度偏低。在 MSS 市场头部的厂商中，前二十大厂商仅 Symantec， Trustwave 是独立安全厂商，占主导的一类是 IT 服务商，包括 IT 咨询厂商、IT 外包服务商，主要有 IBM、埃森哲、Atos、DXC Technology、 Wipro、HCL、凯捷等，另一类是电信运营商，包括 ATT、NTT、BT、 Verison、DT 等。无论是 IT 服务商还是电信运营商，均将 MSS 业务作为其 IT 整体解决方案的一部分向用户提供。 MSS 行业集中度偏低的原因一方面在于，MSS 的业务模式已经非常成熟，且随着安全编排和自动化等技术的不断发展，MSS 中包括安全事件监控等基础业务变得逐渐标准化和同质化，门槛也有所下降，导致行业参与方在不断增加。全球来看绝大多数的大型电信公司，IT 外包商（ITO）和系统集成商（SI）都有涉及 MSS 的一些基础业务，而且许多企业因为各种原因，更愿意向综合型 IT 服务厂商采购一揽子服务，而非向专业 MSSP 进行采购；另一方面在许多国家和地区，受限于一些数据本地化相关的法律合规要求，用户只能向本地服务商进行采购。因此相较于安全咨询，MSS 厂商在全球化布局上会遇到更多的限制。

早期头部 MSSP 通过不断并购整合来完善产品线和区域覆盖能力，目前全球 MSS 市场竞争格局逐渐趋于稳定。从 MSS 行业的发展历程来看，MSS 在上世纪 90 年代末开始萌芽，并在 2001 年前后行业开始整合，大型的 IT 服务商和电信运营商包括 IBM、Verizon、BT、HP、 NTT 开始收购垂直领域的安全厂商。到 2010 年，MSS 市场逐渐从北美向全球其他区域拓展，Secureworks，Verizon，Symantec 开始确立自己的领导地位，而随后 IBM 和 AT＆T 凭借综合型 IT 服务厂商的优势逐渐赶超并且成为了行业份额排名前二的厂商，独立的 MSS 厂商随着市场不断的整合数量越来越少。目前来看 MSS 的竞争格局已经非常稳固，在最近几年内，大部分场的市场份额也一直相对停滞，大多在 0.1％和 0.2％之间波动。

随着安全技术的发展和安全形势的变化，MSS 在近年来也正在向更高层次不断演进。早期 MSS 主要是针对一线安全人员的基础安全运营工作，包括防火墙、入侵检测等安全工具的管理和配置等，主要处置设备管理和合规问题。随着安全技术的不断进步，MSS 也开始向安全信息与事件管理系统（SIEM）的管理，7 x 24 小时的持续监控和告警等服务演进，以提供安全分析、情、响应、编排的闭环服务为主。目前 MSS 正在向高级行为分析、大数据分析、托管检测与响应（MDR）、威胁情、威胁狩猎等新兴领域不断发展。

随着传统的 MSS 市场整体增长趋缓，以托管检测及响应 (MDR) 为代表的新兴 MSS 业务正在快速兴起。根据 Gartner 的统计，新兴 MSS 服务（包括 MDR，IaaS、SaaS、Iot、OT 等新型 IT 环境下的安全监测，以及托管的络流量分析及威胁情等服务）在整体 MSS 市场的占比达到了 11%，其中占主导的是托管检测及响应 (MDR)服务，年均增长在 20％以上，目前渗透率还不到 5%。相较于传统的 MSS 服务，MDR 能够为用户提供更深入更全面的安全服务，并和 EDR（端点检测与响应）等新兴技术相互融合，进一步增强了安全威胁检测和响应的能力。随着用户对 MDR 需求的不断增加，专业安全厂商在安全服务市场相较于综合型厂商的竞争力也有所增强，目前 MDR 服务的大部分提供者都是专业安全厂商。

为什么 MDR 能够成为全球托管安全服务行业的重要趋势，主要原因在于 MDR 能够有效应对传统 MSS 在威胁检测和响应能力上存在的不足。MSS 业务重点在日志管理和设备管理上，而 MDR 的侧重点在威胁检测和响应上，会采取更主动的方法来检测安全事件。MDR 充分利用客户部署在端点及络层的工具，通过行为分析，络流量分析，威胁情以及与安全专家的组合，为客户提供更加深度和全面的威胁监视，检测和响应的服务，而不像 MSS 主要依靠客户现有安全工具生成的日志来监视和检测威胁。因此 MDR 非常适用于许多安全框架不完善以及内部 IT 安全资源投入不足的企业。

3.3 IBM：络安全行业的蓝色巨人

IBM 作为全球知名的信息技术产业巨头，以“蓝色巨人”之名享誉全球。在络安全产业，IBM 同样有着非常独特的地位。在 2019 年底 Symantec 的企业安全业务被博通收购之后，从收入规模来看，IBM 正式成为了全球规模最大的络安全厂商，而且能够同时在安全产品市场和安全服务市场均占据头部位置。

以 IBM 位于波兰弗罗茨瓦夫 X-Force 中心为例。IBM 的波兰弗罗茨瓦夫中心在 2017 年 6 月正式启动，雇用了超过 160 名络安全专家，与亚特兰大和哥斯达黎加的 SOC 并列为 IBM 的前三大的 X-Force 中心。弗罗茨瓦夫中心完全遵从欧盟的相关法规交付安全服务，客户数据驻留不会超出欧盟所要求的范围，主要任务是支持客户应对络安全事件，以应对 GDPR 法规并提供专业服务，并充当 IBM 全球络中心的枢纽。弗罗茨瓦夫的中心与其他八个 IBM X-Force 指挥中心通过全球络相连，每个月平均处理一万亿次络事件，覆盖来自 133 个国家/地区的客户，构建了 IBM 的全球络安全情络和交付平台。除了情及服务交付之外，IBM 的 X-Force 中心还承担了安全培训、安全研究等相关的职能。

IBM 的安全服务业务基于 IBM 的“安全大脑”QRadar SIEM 平台，能够为用户提供全生命周期的安全管理服务。无论客户是需要共享多租户服务，本地服务，还是混合服务，都可以通过 QRadar 对整个客户群进行统一管理。除了 IBM 自己的 QRadar 平台服务之外，IBM 还能够支持多种其他 SIEM 平台，包括 Splunk 和 ArcSight 的 SIEM 平台。 IBM 主要 MSS 业务还包括漏洞评估和管理服务，事件响应和情服务(IRIS)，以及综合威胁管理服务(XFTM)，而且 IBM 的认知计算系统 Watson 也会服务于络安全业务，以增强 IBM 的 MSS 能力。此外， IBM 的 X-Force 的平台整合了強大的合作伙伴生态体系，包含了 Carbon Black、Crowdstrike、Cisco、Palo Alto Networks、Fortinet、 Checkpoint 等顶级安全厂商，为用户提供全生命周期的安全服务。

4 安全即服务（SECaaS）

4.1 什么是 SECaaS

随着企业的 IT基础架构及安全架构逐渐向云上迁移，安全即服务（SECaaS，Security as a Service）正在成为全球络安全行业近年来最重要的产业趋势，引领了行业商业模式的变革。

在 SECaaS 模式下，安全能力集中托管在云上，基于多租户架构，以云服务的方式向用户动态分配安全资源。相比本地部署的安全架构， SECaaS 在节约成本、弹性部署、释放资源和提升能力等多个方面具备明显的优势。

1）节约成本：SECaaS 无需内部硬件或庞大预算即可集成安全服务，仅在需要时才支付所需的费用，而且基于云的安全产品和服务还可以避免用户对昂贵的安全专家的需求；

2）弹性部署：SECaaS 的另一大优势就是能够大幅减少产品部署的时间和成本，用户可以按需购买所需的安全资源，且能够动态扩展到平台所提供的其他安全功能模块；

3）释放资源：SECaaS 简化了企业内部 IT 与安全团队之间的工作，将安全解决方案的部署、配置、维护、更新和管理纳入到云安全厂商的业务范畴，让内部团队可以专注于更具战略意义的业务；

4）提升能力：SECaaS 厂商能够将其所覆盖的每台服务器、PC 及其他设备纳入自身的情络，在云端安全实时动态更新病毒库和特征库，向用户提供更强大的威胁情和安全专家服务。

全球范围来看，SECaaS 已经度过了萌芽期，目前正处于快速成长期。根据 IDC 的数据，2019 年全球 SECaaS 的市场规模已经达到了 93 亿美金，同比增长 18%，增速明显高于全球络安全行业的平均水平。从各个细分赛道的规模来看，AIRO(分析、情、响应、编排，主要包含 SIEM 和威胁情等产品)是目前 SECaaS 领域最大的细分市场，规模达到 27 亿美金，一定程度上得益于 SIEM 及威胁情相关服务天然适合于通过云的方式进行交付，其次为身份与访问管理（IAM）及终端安全市场（Endpoint Security），规模分别为 21 亿及 18 亿美金。从成长性来看，终端安全 SaaS 的增速排名第一，是各个细分赛道上云速度最快的一个，其次为 Web 安全及 AIRO。与此同时，络边界安全（Network Security）作为络安全行业规模最大的细分赛道，目前 SECaaS 的应用要滞后于终端安全和身份安全市场。虽然安全 Web 关及 WAF 的云化程度已经较高，但是络边界安全市场最大的赛道防火墙，受限于大流量高并发场景及内部隔离等场景对本地部署的刚性需求，其云化的难度要显著高于其他的赛道。

SECaaS 与托管安全服务（MSS）及云安全（Cloud Security）存在非常显著的区别：

1）SECaaS 与 MSS 的区别在于：MSS 更多是针对企业本地部署的安全工具，比如针对防火墙、入侵防御系统、SIEM 等提供安全监控、安全管理等服务，在某些情况下，托管安全服务提供商（MSSP）可能成为 SECaaS 厂商的下游客户，即 MSSP 可以将 SECaaS 作为整体解决方案的一部分提供给最终企业客户。而在 SECaaS 模式下，安全

声明：本站部分文章及图片源自用户投稿，如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢！

络安全服务行业研究 告： 络安全行业的制高点