2021年中国云安全行业研究报告

原创 艾瑞 艾瑞咨询

云安全丨研究报告

核心摘要：

云安全发展

政策加速引导，企业上云提速是中国云安全市场发展的主要驱动因素。云安全发展相较云资源与云能力产品发展存在滞后性，中国云安全市场相较于整体云市场体量较小，增长空间广阔。

云安全产品

从宏观云安全市场分类看，“软件定义”特征仍适用于云安全市场。当前，云安全产品结构仍以网关类产品为主，其他云安全产品市场份额较低。主要原因在于：1，互联网行业客户是云计算的主要使用者，因此对网关类云安全产品采购率高；2，伴随传统行业客户上云加速，网络安全从传统“转型”至云上，网关类安全产品亦成为投入重点。

云安全应用

传统企业在构建云安全体系时，不能采用传统的“头疼医头”，局部补短板式的安全措施，而需从下至上，从全局到细节，整体化的设计安全体系，更注重底层安全资源及安全能力的积累，不要让安全去追业务拓展的步伐，而要实现业务安全的拓展。

云安全展望

1）法律实施、行业规范，推进云安全责任共担模型落地，引导云安全产业健康有序发展，指导云厂商在推动“云+产业”结合的进程中，明确其安全责任。

2）安全产品协同能力加强、安全方案定制能力提升，从适用全行业的“大而全”走向聚焦某场景的“小而精”。

概念界定

融合云技术，采用云交付，保护云资源及云应用的安全产品

云安全是传统信息安全行业技术的升级，产品的丰富，也是云计算部署的焦点，服务的关键。因此，云安全是云计算与信息安全相互赋能所孵化的新概念。其一，云安全是云计算技术在安全领域的应用，即云安全应用。目的是利用云计算特征，将传统安全产品云化，来提供更能满足个人或行业需求的网络安全解决方案或安全服务。其二，云安全是安全技术在云计算领域的应用，即云自身安全。目的是应用安全技术，解决云计算的安全问题，包括云基础设施安全，云计算资源安全，云计算操作系统安全，云计算应用软件安全，用户信息安全等，提升云服务的可靠性，促进云计算行业的健康良性可持续发展。

云安全与传统安全差异

内深外宽、边界模糊、数智工具、责任共担

不论是云安全应用还是云自身安全，云安全与云计算紧密相连。云计算与传统计算在理念与技术上存在显著差异。系统平台开放化，计算网络存储虚拟化，数据所有权与管理权分离化等云计算的显著特征，导致传统的安全措施并不能满足云安全的需要。虽然云安全与传统信息安全相似，均是为了保护计算资源与信息数据的安全性。但是云服务提供商与传统安全厂商在设计云安全产品或提供云安全解决方案时应着重考虑云安全威胁的多样性与需求的独特性。

云安全市场规模

云安全市场空间广阔，产业升级、政策利好提供增长机遇

中国云安全市场相较于整体云市场体量较小，增长空间广阔。在云计算发展早期，云安全发展相较云资源与云能力产品发展存在滞后性，且安全产品及安全服务提供者集中于云服务厂商。伴随产业互联网深化，云计算广泛渗透带动云安全产品布局加快。一方面，“云+行业”推动云安全产品与时俱进，适用场景扩大、用户需求提升；另一方面，传统安全厂商陆续开始布局云安全领域。最后，中国云安全产业具有较强政策导向，近年来《网络安全法》、网络信息安全等级保护2.0、《数据安全法》的出台，驱动企业关注、提升安全能力，扩大安全领域支出。

云基础资源安全

伴随云原生应用下沉，云原生安全逐步成为云基础安全重点

云原生技术经过长足发展，已逐步被广泛应用，并逐步突破容器、微服务、DevOps等领域，开始形成更完整的云原生产品架构，云原生的应用在显著提升云计算产品能力的同时，也带来的更为复杂的安全需求。传统的安全防护理念，“非原生化”的安全产品与服务均不能满足云原生安全需求。为保障云原生安全，需要更深刻理解云原生架构，熟悉云原生特点，针对针对云原生不同产品特性，提供针对性安全对策，并从下至上构建完整解决方案。

云基础资源安全——产业图谱

网络安全

用“云化”的方式解决“云生”的网络安全威胁更行之有效

从传统网络安全时代，DDoS攻击便因为效果显著，难以抵御和追踪，成为黑客进行网络攻击的主要选择。伴随云计算的普及，一方面云平台成为新的攻击对象，另一方面云也被利用作为扩大网络攻击效果的工具。面对以云平台为媒介发起的DDoS攻击，传统抗D方式受限于资源性能，很难化解突发大流量攻击，而为抵御DDoS攻击而投入的设备和人员成本也非常高昂。因此，在云计算时代，针对“云生”的网络安全风险，企业应该选择云上的安全工具应对，才能事半功倍。

网络安全——产业图谱

数据安全

数据风险具有普遍性，需针对数据全生命周期构筑安全防御

在产业互联网背景下，数据已经被定义为新一代生产要素。伴随着《网络安全等级保护大数据基本要求》，《中华人民共和国数据安全法》等相关法规的出台，数据安全已成为企业和个人在提供和使用信息技术产品于服务是着重考虑的要素。在数据体量庞大，种类复杂的大数据时代，单一数据安全产品很难有效解决数据安全问题，需要搭配多种数据安全工具，围绕数据生命周期各环节构建数据安全解决方案，才能有效降低数据安全风险。

数据安全——产业图谱

应用和业务安全

结合业务场景特性，融合数智化工具，有效打击黑灰产业

业务安全主要用于解决由于企业某些业务场景中存在逻辑漏洞，导致被不法分子利用，获取利益的行为。业务安全相较于基础安全产品，与企业业务场景与业务需求耦合的更为紧密。因此，有效的业务安全产品需要以深入理解业务场景为前提。此外，相比于其他“黑客”攻击更多是技术类风险，“黑产”更多是针对资源类的威胁。因此，针对企业上云后用户资源，数据资源等更分散，需要更好的结合人工智能与大数据工具进行有效管理。

应用和业务安全——产业图谱

身份安全

针对用户身份生命周期各环节特征，构筑全面安全解决方案

相较于传统的本地部署，企业上云后将面对更多来自企业内部、外部不同类型的用户通过各种媒介对不同资源的访问需求。针对上述场景，IDaaS产品通过覆盖用户身份生命周期各个环节的统一身份管理，支持多种认证协议的统一认证能力，有效帮助企业统一本地及云端的身份管理及多云间的身份管理，兼顾访问效率及访问安全的平衡。

身份安全——产业图谱

安全服务与运营

传统行业云上安全管理运维经验缺失驱动云托管服务发展

传统行业虽然受数字化转型驱动，上云、用云热情高涨，但受制于有限的IT运维成本和IT运维团队规模，其网络安全运营管理能力较难匹配云计算安全运营需求。尤其是对价格敏感的中小企业，为兼顾业务需求和用云成本，必须更谨慎地分配预算。而云安全托管平台的出现，有效地帮助中小企业解决上述困境。由云厂商或传统安全厂商提供的安全托管服务，有效帮助中小企业减轻了用云成本负担，并保障业务在云上的安全可靠。

安全管理和运营——产业图谱

安全服务——产业图谱

金融行业安全特征与需求

安全威胁类型多样，数据安全是建设及投入重点

金融行业伴随数字化转型加速，金融科技与金融创新能力加强，金融企业云化程度显著提升。伴随业务上云后，随之而来的是风险暴露面积增多，安全威胁呈现多样化趋势。敏捷开发工具的应用带来产品的快速迭代，为金融企业安全运维管理带来压力。此外，多样化的业务场景下多终端设备间数据的传输和流通也带来更多潜在数据安全风险。近年来，个人身份信息泄露事件在金融行业时有发生，暴露出金融企业数据安全管理能力仍需加强。

工业行业安全特征与需求

明确主次，协同厂商，共建安全解决方案及安全生态

工业领域覆盖行业及企业非常丰富，从行业整体角度看，在构建解决方案过程中，首先应该明确主次。1）安全风险的主次，集中精力优先解决根本性质的安全问题。2）建设路径的主次，根据企业信息技术安全现状，优先升级薄弱环节。其次要协同厂商，工业产业链中厂商类型丰富，需要明确不同厂商所扮演的角色，所提供的服务边界，并协同各个厂商共同构建较为适用的安全行业标准，多方共建形成稳固安全生态，以此来屏蔽厂商因为技术能力参差不齐，安全产品标准要求差异造成的安全漏洞。

医疗行业安全特征与需求

强化基础设施安全，从下至上构建系统安全防护体系

医疗行业安全解决方案建设需要强调系统化，以强化基础设施安全能力为主，稳步向上形成系统的安全防护体系。在基础层面，需要保证物理设施安全和基础IT资源安全，搭建安全的物理环境并指定稳妥的灾备方案。在基础IT资源安全构件中更需注重均衡，在升级网关设备同时，兼顾计算设施。在顶层应用方面优化访问控制及身份管理，可采用IDaaS等方式更好地实现统一身份管理。最后，在引入安全工具的同时，完善安全管理制度，通过专业的安全部门统一负责管理安全运营，如没办法很好的平衡成本，也可在合规的前提下，利用云安全托管服务。

政务行业安全特征与需求

构建完善安全管理体系，有效协同管理、运营与技术

在政务平台建设中，由于提供的服务内容并不复杂，产品功能和服务场景相对有限。因此，政务平台安全技术架构整体比较完善。但技术能力仍集中在维护云基础资源安全为主，在后期升级过程中需要更好地引入PaaS层能力，从而进一步提升平台安全保障能力。在政务平台管理中，重点在于完善相关制度和体系，成立专业的管理部门，制定完善的管理制度，清晰权责。咱安全运营领域，由于运维成本较高，可采用部分安全托管，核心安全资产自管的混合方式更好地实现专业化的安全运营。

中国云安全发展趋势

法律全面，规范健全，权责清晰，助力构建安全可靠云服务

虽然责任共担模型并不是新概念，但在中国云服务市场的落地效果并不理想。伴随企业上云走向“精耕细作”，法律政策与行业规范日渐完善，责任共担模型将更好地指导云厂商在推动“云+产业”结合的进程中，明确其安全责任。同时，清晰的权责划分在云服务边界日渐模糊的发展趋势下，让云用户关心的数据资产，IT资产等所有权问题可以得到更好地保障，进而提升云用户对云服务，尤其是公有云的可靠性、可信性的理解。

传统行业上云加速，围绕云安全产品升级驱动云安全服务发展

产业互联网建设要求云厂商在业务布局中更多考虑将技术能力与业务场景结合，云安全产品的发展也将遵循产业互联网发展趋势，配合云服务行业解决方案，将通用云安全能力转为专业云安全能力。同时，根据行业易受安全威胁情况分析，云安全需求将更多集中在金融，制造等传统领域。此外，传统行业不仅安全产品面临升级，安全理念与安全组织架构也需要更新，由此带动云安全咨询、云安全托管等衍生需求。为此，云安全产品在能力上将走向专业化，内容上将走向生态化。

原标题：《2021年中国云安全行业研究报告》

阅读原文