[中报]亚信安全(688225):2024年半年度报告
原标题:亚信安全:2024年半年度报告 2024年半年度报告 重要提示 一、 本公司董事会、监事会及董事、监事、高级管理人员保证半年度报告内容的真实性、准确性、完整性,不存在虚假记载、误导性陈述或重大遗漏,并承担个别和连带的法律责任。 二、 重大风险提示 公司已在报告中详细描述可能存在的相关风险,敬请查阅第三节管理层讨论与分析“五、风险因素”部分内容。 三、 公司全体董事出席董事会会议。 四、 本半年度报告未经审计。 五、 公司负责人马红军、主管会计工作负责人汤虚谷及会计机构负责人(会计主管人员)蔡洪伟声明:保证半年度报告中财务报告的真实、准确、完整。 六、 董事会决议通过的本报告期利润分配预案或公积金转增股本预案 无 七、 是否存在公司治理特殊安排等重要事项 □适用 √不适用 八、 前瞻性陈述的风险声明 √适用 □不适用 本报告所涉及的公司未来计划、发展战略等前瞻性陈述,不构成公司对投资者的实质承诺,请投资者注意投资风险。 九、 是否存在被控股股东及其他关联方非经营性占用资金情况 否 十、 是否存在违反规定决策程序对外提供担保的情况 否 十一、 是否存在半数以上董事无法保证公司所披露半年度报告的真实性、准确性和完整性 否 十二、 其他 □适用 √不适用 目录 第一节 释义 ......................................................................................................................................... 4 第二节 公司简介和主要财务指标 ..................................................................................................... 6 第三节 管理层讨论与分析 ............................................................................................................... 10 第四节 公司治理 ............................................................................................................................... 49 第五节 环境与社会责任 ................................................................................................................... 51 第六节 重要事项 ............................................................................................................................... 52 第七节 股份变动及股东情况 ........................................................................................................... 79 第八节 优先股相关情况 ................................................................................................................... 85 第九节 债券相关情况 ....................................................................................................................... 85 第十节 财务报告 ............................................................................................................................... 86
第一节 释义 在本报告书中,除非文义另有所指,下列词语具有如下含义:
第二节 公司简介和主要财务指标 一、 公司基本情况
二、 联系人和联系方式
三、 信息披露及备置地点变更情况简介
四、 公司股票/存托凭证简况 (一) 公司股票简况 √适用 □不适用
(二) 公司存托凭证简况 □适用 √不适用 五、 其他有关资料 □适用 √不适用 六、 公司主要会计数据和财务指标 (一) 主要会计数据 单位:元 币种:人民币
(二) 主要财务指标
公司主要会计数据和财务指标的说明 √适用 □不适用 2024年上半年,公司实现营业收入6.61亿元,同比增加17%。报告期内,归属于上市公司股东的净利润-1.92亿元,较上年同期降低12.11%;归属于上市公司股东的扣除非经常性损益的净利润-1.97亿元,和上年同期基本持平。报告期内经营活动产生的现金流量净额-3亿元,较上年同期有显著改善。 公司持续推进研发、销售体系建设及内部管理效率提升,销售费用、研发费用、管理费用合计同比增长6%。 七、 境内外会计准则下会计数据差异 □适用 √不适用 八、 非经常性损益项目和金额 √适用 □不适用 单位:元 币种:人民币
对公司将《公开发行证券的公司信息披露解释性公告第1号——非经常性损益》未列举的项目认定为的非经常性损益项目且金额重大的,以及将《公开发行证券的公司信息披露解释性公告第 1号——非经常性损益》中列举的非经常性损益项目界定为经常性损益的项目,应说明原因 √适用 □不适用 单位:元 币种:人民币
九、 非企业会计准则业绩指标说明 □适用 √不适用 第三节 管理层讨论与分析 一、 报告期内公司所属行业及主营业务情况说明 (一)主要业务、主要产品或服务情况 公司专注于网络空间安全领域,主营业务为向政府、企业客户提供网络安全产品和服务。客户广泛分布于电信运营商、金融、政府、制造业、能源、医疗、交通等关键信息基础设施行业。 公司是中国网络安全软件领域的领跑者,作为“懂网、懂云”的安全公司,致力于护航产业互联网,成为在5G云网时代,守护云、网、边、端的安全智能平台企业。公司提出了“安全定义边界”的发展理念,以身份安全为基础,以云网安全和端点安全为重心,以安全中台为枢纽,以威胁情报为支撑,构建“云化、联动、智能”的产品技术战略,赋能企业在5G时代的数字化安全运营能力。报告期内,公司主营业务包括网络安全产品、网络安全服务、云网虚拟化产品三大部分。其中网络安全产品包括数字信任及身份安全产品体系、端点安全产品体系、云网边安全产品体系。 1、网络安全产品 (1)数字信任及身份安全产品体系 数字信任及身份安全产品体系以身份识别与访问控制、数据安全相关的产品为主,为用户提供与数字身份相关的账号管理、接入认证、权限控制、访问过程审计以及数据安全管控等功能,保障用户以可信的数字身份接入网络或系统,在授权的范围内操作系统、访问和使用资源,同时能够对用户访问记录和使用数据情况进行监控分析,从入口和出口两个方向为政企用户的系统和数据提供安全防护,为用户打造可信任的数字化应用体系。 产品主要解决客户在数字身份及数据资产管理的网络安全建设方面需求,如确保具备权限的用户才能访问网络、登录系统、访问资源和执行业务操作;对用户访问系统和数据的记录进行审计分析,防止敏感数据泄露等。该体系产品主要应用于电信运营商、政府、金融、能源等中大型企业。 (2)端点安全产品体系 端点安全产品体系以终端安全、云安全、高级威胁治理和边界安全产品为主,通过在不同的位置部署该体系产品,可以为用户的IT系统、资源和终端设备提供多方面的安全防护;通过在内网和外网的边界处部署高级威胁治理和边界安全产品,可以对进出组织的网络流量进行深度识别和分析,阻断带有一般恶意程序和高级威胁的流量进入内网;通过在终端设备上部署产品,可以有效发现和查杀入侵终端设备的恶意程序,保障终端设备的正常运转;通过在云主机、云计算服务器等介质上部署产品,可以增强云端资源抵御恶意程序攻击的能力。 该产品主要解决客户在终端、网络节点和云上的网络安全建设方面需求,该体系产品广泛应用于政府、电信运营商、金融、能源、医疗、制造业等各行业客户。 (3)云网边安全产品体系 云网边安全产品体系主要聚焦在5G技术发展体系和云网融合的网络架构演进趋势下,利用威胁情报及大数据技术,提供智能化的态势感知分析、安全事件闭环管理及综合性网络安全管理能力。云网边安全产品体系着重于从用户进行安全运营及网络管理的全局视角出发,解决网络空间资产及网络设备管理、安全事件及威胁情报的关联分析及决策响应、安全管理及运营自动化、基础网络运维管理等问题。综合采集处理多源数据,实现对安全对象的主动管理、安全空间内外部威胁与行为的实时监测,威胁事件智能分析和通报处置,联合威胁情报狩猎追踪,精密编排自动响应准确检测及制止威胁。 该产品主要解决客户在安全管理及网络管理的建设方面需求,如通过建设态势感知平台,联动其他安全设备能力,实现客户全天候、全方位的网络威胁识别、预警和处理能力;通过建设域名解析及网络准入系统,为运营者提供域名解析、安全防护、数据分析、安全监管等网络管理能力。该体系产品主要应用于电信运营商、政府、金融、能源、制造业等中大型客户。 2、网络安全服务 公司提供全面的网络安全服务,包括威胁情报、高级威胁研究、红蓝对抗、攻防渗透、互联网资产弱点分析、风险评估和安全培训服务等多项业务,通过这些服务,能够有效提高客户的安 全意识,增强客户抵御网络安全威胁的能力。 网络安全服务主要解决客户在网络安全服务方面的需求,主要应用于电信运营商、金融、能源、政府等中大型客户。该体系产品的主要交付形式为根据客户需求,通过专家团队及能力中心为客户提供网络安全咨询等一系列服务。 3、云网虚拟化产品 为满足现有客户提出的云化转型及安全合规的需求,公司拓展与云基础架构领导厂商的业务合作,共同推进运营商及行业客户云网基础设施和云化管理运维方案的落地,以及和公司现有安全产品服务结合的探索。用户通过将该产品安装在通用的物理服务器上,将计算、存储、网络等功能与物理服务器进行解耦,虚拟成可灵活调用的云端计算、存储和通信资源,增强其IT系统的灵活性和可拓展性。 云网虚拟化产品主要解决客户在云计算虚拟化基础设施建设方面需求。 (二)主要经营模式 1、销售模式 公司盈利主要来源于网络安全产品的销售,以及为客户提供专业的网络安全解决方案和安全服务。公司采取直销与渠道代理销售相结合的方式,对于电信运营商、金融、能源等领域的头部大型客户,公司一般采用直销的方式,安排专门的销售及业务团队为其进行服务。对于其他客户,公司一般采取渠道代理销售的方式。 2、采购模式 公司采购的主要内容为两大类:(1)服务器、U 盘、产品包装物及第三方软硬件等产品;(2)技术服务。公司制定了《采购管理制度》《供应商管理制度》及《招标管理制度》规范采购行为,需求部门提出采购申请后,由供应链管理统一负责采购的执行。供应链管理根据公司可能采购的所有货物进行详细的市场调研,明确不同供应商可能供应的材料的质量、价格及供应商的供货能力,制定采购策略并为公司提供决策依据。负责建立供应商管理档案,定期对供应商的货物品质、交货期限、价格、服务、信誉等进行分析,为公司采购优选供应商。最终公司主要通过招标、询 比价、议价谈判等市场化方式进行采购。针对部分项目采购,如果客户有明确要求,则会根据客 户的要求进行指定采购。 3、研发模式 公司的研发遵循统一的流程架构,同时对于网络安全产品和网络安全解决方案的不同特点和要求实行差异化的管理方式。 (1)统一流程架构 公司研发流程主要分为需求阶段、设计阶段、开发阶段、测试阶段及交付阶段。 1)需求阶段:公司的市场营销团队和售前团队主动调研客户的痛点和需求,作为设计产品和解决方案的基础;同时基于公司管理层与研发团队对于未来网络安全行业前沿技术发展的调研、理解与预测,提出针对性的研发需求。 2)设计阶段:基于前沿的网络安全技术与发展趋势,并结合客户和市场的需求,由研发团队进行需求与技术整合,完成规划方案,架构师根据规划方案进行架构设计。 3)开发阶段:由各研发团队相互配合,根据设计方案进行代码编写;交互设计团队负责产品方案整体交互、原型、视觉、页面效果设计、优化、开发工作,确保产品方案的可用性、易用性及美观性。 4)测试阶段:测试部门在产品方案开发完成后,对产品进行测试,保障产品方案的安全性和质量。 5)交付阶段:公司根据产品方案的实施难易程度,进行发货或派遣人员至客户现场实施安装适配工作。 (2)网络安全产品 公司在产品开发过程中,广泛采用持续集成、自动化测试、敏捷开发与瀑布开发相结合的方式,同时在部分产品开发中积极推进DevOps实践,以有效地提升研发效率,缩短产品的发布周期。 公司遵循产品质量和安全是不能逾越的红线原则,对于产品研发有着一套严格的过程管理和质量控制机制,所有产品在发布前,需经过产品经理、安全测试团队、第三方模块评审委员会、QA团队和技术支持团队的层层把关,只有符合发布标准的产品才会被推向市场,以保障产品交付版本的质量和安全性。 (3)网络安全解决方案 针对行业客户的网络安全解决方案,公司采用“产品研发+系统开发+专业服务”三位一体的研发体系。其中:产品研发以技术为驱动,负责统一框架、核心功能、标准化方案等的研发工作;系统开发以行业为驱动,负责行业场景方案设计、接口开发、方案交付等工作;专业服务以客户为驱动,负责客户关系、项目管理、项目实施、项目节点测试以及客户需求和反馈的收集。三个团队紧密配合,有力地保障了公司提供网络安全解决方案的过程组织能力、研发能力和质量管理能力。 4、生产模式 (1)安全产品生产模式 公司的产品生产主要包括纯软件模式和软件灌装模式:纯软件模式由公司根据合同约定向客户交付软件;软件灌装模式是由硬件设备供应商将软件产品灌装到外购的硬件设备(工控机、服务器等),再交付给客户。硬件设备作为安全软件的硬件载体,是为了方便客户部署和应用,使客户无需准备软件运行环境。 (2)安全服务模式 公司根据客户的实际需求,为客户提供的技术、咨询及安全保障等服务,包括咨询与规划、评估与测试、分析与响应、情报与运营等。公司与客户洽谈、沟通达成合作意向后,成立安全服务项目小组开展前期调研、制定服务方案及组织服务的实施工作。 5、盈利模式 公司的盈利模式分为三类,具体如下: (1)销售产品:主要系公司基于用户采购需求,向其销售产品,以产品销售方式与用户签署购销合同,产品的增值部分即为公司的盈利来源。 (2)提供解决方案:主要系针对客户需求,公司综合自身各个产品线和服务能力,为客户提供一揽子解决方案。公司盈利来源主要为项目收入与成本费用之间的差额。 (3)提供网络安全服务:根据用户需求,提供网络安全相关服务。公司盈利来源为网络安全服务收入扣减人员成本及项目费用后的差额。 (三)所处行业情况 1、行业的发展阶段、基本特点、主要技术门槛 (1)网络安全行业驱动力加速转向业务刚需,中国网络安全市场增速继续领跑全球。 在地缘政治冲突升级、供应链挑战加剧等多重冲击下,作为社会发展的基础性和战略性科技领域,网络安全产业发展面临的国际形势依然复杂严峻,网络安全成为大国角力和科技竞争主攻方向的趋势更加明显。与此同时,随着社会各领域向数字化、移动化、智能化的加速发展,千行百业逐渐加大对信息化建设与数字化转型的投入已成为共识,组织的信息系统及交互环境日趋多变复杂,业务场景发生较大变化,伴随的网络安全风险日趋严峻,安全能力建设从合规型转变为符合业务发展需要、抵御真实安全威胁的刚需型方向。网络安全企业积极应对市场需求,技术快速迭代和创新,从云安全到数据安全到人工智能的应用,前沿技术为网络安全领域注入了新的活力,从长期看网络安全产业仍处于较好的发展周期。 从全球网络安全市场来看,随着数字化、智能化的快速渗透,网络安全需求持续增长。根据IDC《全球网络安全支出指南》最新预测,2022年至2027年,全球网络安全IT总投资五年复合增长率(CAGR)为11.7%;中国网络安全市场规模五年复合增长率为13.5%,高于全球平均水平,未来中国网络安全市场将更加成熟,在整体技术市场组成中,安全防御硬件设备逐步云化,网络安全软件和服务市场持续增长,五年复合增长率分别为16.7%和16.3%。中国网络安全市场近年来基于数字化转型、业务内生安全的需求日趋强烈,对定制化解决方案能力、内生安全能力及与数字业务的深度协同等方面提出了更高要求,需求空间正在逐渐释放,未来将引导网络安全产业的长期增长趋势。中国网络安全市场增长的核心逻辑并没有变化,随着下游行业需求日渐复苏,中国网络安全市场仍将保持快速增长。 (2)网络安全法治体系日臻完善,新技术加速迭代升级,持续扩张行业发展机遇。 近年来中国网络安全法律法规、政策发布呈现高密度特征,数据安全领域、个人信息保护和数据跨境安全成为关注的热点。数字中国和行业安全类别的政策都突出了数据安全的重要性,反映了当前推动数据资源转化为经济新优势的大背景下,数据安全正在从传统网络安全中逐渐独立出来的趋势。数字中国领域也推出了多项重要政策,均涵盖了网络数据安全保障体系建设的内容,强调建立可信赖的数字安全防线。近年来,随着关键信息基础设施安全保护、网络安全审查、数据安全管理、个人信息保护等领域的一系列法律法规相继出台,不仅表明国家对网络安全行业监管呈现趋严、趋细的态势,也为相关企业提供了明确的指导和规范,行业健康发展得以有据可依、有法可循,有力地保障了网络安全行业的持续繁荣和健康发展。 全球各国加大对新兴技术的投研力度,零信任、生成式人工智能、隐私计算等网络安全新技术的布局与场景应用加速发展。网络威胁、安全态势以及攻防对抗力量的变化,持续推动着网络安全技术的创新。2023年以来,AIGC技术浪潮加快了网络安全知识和经验的大规模复制速度,提升了安全代码生成、智能研判等领域的实现效率,以ChatGPT为代表的生成式AI让行业看到了新的发展方向,并且正在尝试重新塑造网络安全产业技术方向。以量子计算、量子通信为代表的量子信息技术逐步走向落地应用,为网络安全技术的发展注入新动力。云安全、隐私计算、工业互联网安全、车联网安全、卫星互联网安全等创新应用场景也诞生了许多新解决方案,体现了各赛道为应对新形势、新风险的不断适应与创新,这为网络安全行业带来新的发展机遇。同时,随着“一带一路”倡议的深入推进,这一重要经济框架为相关国家的网络安全意识提升和网络安全市场拓展提供了契机,有助于推动我国网络安全行业的进一步发展壮大,中国网络安全公司日益加快布局全球化业务,抢抓出海机遇。 (3)大国博弈加剧网络空间竞争烈度,产业供应链风险提升,网络攻击技术快速演进升级,网络安全挑战复杂多变。 2022年以来,国家间网络攻防、供应链攻击、勒索软件、数据泄露、黑客攻击等安全事件层出不穷,危害性更强,大国竞争趋势更加明显,叠加地缘政治冲突等负面影响,网络空间安全成为大国对抗的重要战场。同时,供应链攻击已成为主要网络攻击手段,供应链条较长的产业将面临更加严峻的供应链安全风险。全球安全态势的不确定性将对中国网络空间安全防护、供应链的安全稳定提出更大的挑战。 随着新兴技术的迅猛发展和广泛应用,新型攻击者也层出不穷,生成式人工智能新威胁崭露头角,勒索软件仍为主要攻击方式,网络攻击的重点行业主要集中在政府、医疗、通讯、金融、能源、汽车等重要领域,这使得网络安全形势更加复杂和严峻。新技术、新应用的涌现带来愈来愈多的网络安全风险和挑战,需要政府和企业不断更新安全理念,形成合力,筑牢网络安全防线。 综上所述,我国网络安全产业发展面临的形势依然复杂严峻,既有政策法规的细化深入、数字经济赋能、技术迭代创新等发展机遇,也面临大国博弈激烈、网络攻击复杂多元、行业需求阶段性趋弱等诸多挑战,网络安全行业将在高度不确定性的环境中探索前行。 2、公司所处的行业地位分析及其变化情况 公司核心产品与技术以及公司整体市场影响力获得了国内外市场研究机构的广泛认可,在身份和数字信任软件市场、终端安全软件市场、云安全市场、态势感知、XDR等众多领域均表现突出,奠定了在中国网络安全软件市场的领先地位。本报告期内,公司新获以下第三方机构的奖项: (1)身份安全:市场份额位居第一 2024年5月在IDC《2023年下半年中国IT安全软件市场跟踪报告》中,身份和数字信任产品市场份额连续7年位居第一; (2)终端安全:市场份额位居第二 2024年5月在IDC《2023年下半年中国IT安全软件市场跟踪报告》中,终端安全产品市场份额连续多年位居第二; (3)身份安全(统一身份管理):市场份额位居第一 2024年5月在IDC《中国统?身份管理平台市场份额,2023:微服务化、标准化、智能化成为共识》中,身份安全产品市场份额位居第一; (4)云工作负载安全:私有云市场份额位居第三 2024年6月在IDC 《中国私有云云工作负载安全市场份额,2023:CNAPP助力企业实现全方位云原生安全防护》中,云主机安全产品市场份额位居第三; (5)XDR:位居领导者象限 2024年6月在《IDC MarketScape:中国扩展检测与响应(XDR)平台2024》中,XDR凭借综合实力荣登“领导者”象限,在营收规模、战略能力上均位列前茅; (6)WAAP:技术代表厂商 2024年05月在《IDC中国WAAP厂商技术能力评估 2024》中,亚信安全WAPP凭借WAF、BOT、威胁情报、行业应用等技术优势,斩获中国WAPP市场技术代表厂商,再次证明公司WAPP的技术领先优势; (7)邮件安全:技术代表厂商 2024年6月在《IDC 生成式AI推动下的中国网络安全硬件市场现状及技术发展趋势,2024》报告中,邮件安全DDEI凭借深度融合AI技术,荣获中国市场代表厂商; (8)数据安全:技术代表厂商 2024年6月在《IDC 中国数据安全隐私合规市场洞察,2024》中,数据安全隐私合规产品凭借突出的能力优势入围代表厂商; (9)2024年4月在《IDC Market Glance:中国数据安全市场概览,2024》中入围图谱3大领域12细类; (10)2024年1月在FreeBuf咨询 《CCSIP(China Cyber Security Industry Panorama)2023中国网络安全行业全景册(第六版)》中,亚信安全入围17大安全领域,75个细分领域; (11)2024年4月在安全牛《中国?络安全?业全景图(第??版)》中,亚信安全入围13大安全领域,实力占据62个细分领域; (12)2024年5月在数说安全《2024年中国金融行业网络安全研究报告》中,亚信安全凭借在金融行业的卓越技术实力与丰富实践案例入选报告,并在《2024年中国金融行业网络安全市场全景图》中入选8大安全领域,18个细分领域; (13)2024年6月在数世咨询的《新质·中国数字安全百强报告(2024)》中,亚信安全凭借突出的综合实力位列领导者阵营。 3、报告期内新技术、新产业、新业态、新模式的发展情况和未来发展趋势 (1)安全大模型的应用与大模型自身的安全正在深刻影响着网络安全行业 从安全防御视角来看,AI大模型带来的安全产品形态的改变,产品能力与响应效率的提升将带来竞争格局的改善。海外国际大厂AI+安全已初步形成生产力,以Microsoft Security Copilot和CrowdStrike Charlotte AI为代表,生成式AI技术广泛应用于安全产品与平台中,改善产品形态和功能,聚焦的功能主要在安全监控、威胁检测、资产风险、创建报告等,能够辅助安全管理人员提升安全运营的自动化水平。国内众多网络安全企业推出安全大模型,尚处于探索与测试阶段,应用方向领域相对有限,尚未真正形成生产力。 AI自身的安全也成为业内关注的热点。网络攻击的方式和手段,在人工智能技术的推动下也在不断演变,呈现出分布式、智能化和自动化的特点;同时,人工智能训练和应用过程中,会遇到数据非法获取、数据滥用、算法偏见与歧视以及敏感数据泄露等安全问题,进而带来行业总需求的提升,这将为网络安全厂商带来新的市场机遇。 (2)数据安全继续保持高热度,数据共享流通的安全成为焦点 2022年12月,中共中央、国务院发布了构建数据基础制度体系“数据二十条”,通过数据基础建设大力推进数据要素发展。随后数据要素发展进程明显加速,数据安全相关法律、法规和标准、规范也密集出台,针对数据安全的专项检查、监管和处罚明显增加。2023年10月25日,国家数据局正式挂牌,主要职责是负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等。至此,国家在数据领域的顶层规划设计已经基本成型。2023年是数据要素发展和数据安全的主要目标是完成顶层规划设计,2024年全面进入落地行动阶段。 在数据要素加速开放共享的新形势下,隐私计算正成为支撑数据要素流通的核心技术基础设施,该领域的技术如联邦学习、多方安全计算、可信执行环境等,在确保数据不泄漏、限定数据处理目的方面具有原生的优势。未来数据流通交易、数据安全保护等市场将掀起新一轮热潮。因此,如何实现数据的共享交易流通、如何建立起各行业的跨境数据安全保护机制以及如何以持续运营的思路开展数据安全治理工作等将成为未来的重点。 (3)云原生安全发展迅速,注重云环境安全可信 随着云计算技术得到更广泛的采用,越来越多的企业根据不同业务系统的特性选择多云或混合云的模式进行部署,更多敏感数据会存储到云端,但大部分组织缺乏云安全实时评估能力,云数据泄露事件高发、API安全成为云计算应用的重大隐患。同时,云原生技术的敏捷性、可观察性、性能效率和可移植性等技术优势,以及成本优势促使数字化转型中的企业积极拥抱云原生。云原生安全技术将持续发展并成为云安全领域的重要趋势,容器安全和微隔离安全等云原生安全技术将得到更广泛的应用部署。AI和机器学习技术在云安全领域的应用更加深入,实现更高效的威胁检测与响应机制,云安全技术向自动化方向演进,全面的云安全防护方案将成为主流。因此,云安全仍将是未来企业安全与风险管理支出中增长最快的领域之一。 (4)终端安全轻量化、一体化、智能化助力降本增效 数字化转型带来安全边界泛化,终端面临钓鱼攻击、无文件恶意软件、勒索软件、零日攻击、加密劫持等众多严峻的安全挑战,叠加组织的多个终端安全软件种类多、管理难度加大、黑产积极利用AI技术提高供给效率,这对终端安全防护技术提出更高要求。因此,新一代终端安全的轻量化、一体化、智能化发展,通过融合诸多终端安全能力、统一管控终端暴露面、智能化检测、持续优化检测响应框架等能力,将较大程度上解决上述安全挑战,从而帮助客户降本增效。 (5)身份安全建设优先性、主动性增强,零信任架构持续演进 根据中国信通院《2023年零信任发展研究报告》,零信任能力涵盖六大领域,数字身份是基础组件、是核心,联合网络环境安全、终端安全、数据安全、应用工作负载安全和安全管理五个关键能力,共同赋能整体安全防御。数字身份主要解决用户身份不统一以及架构中所有对象数字身份缺失、不合法等问题。针对身份基础设施的攻击很常见,防御者使用身份检测与响应(ITDR)等策略来应对攻击,身份安全正在成为安全的关键控制面。因此,IAM在组织安全中的作用越来越大,身份安全优先建设、由被动识别向主动检测和响应转变成为业界共识。 (6)网络战、勒索攻击将继续提振APT防护需求 国家间的网络攻防对抗成为必要的战争手段之一,且地缘政治冲突的紧张态势极大地加重了APT防护需求,作为一种针对特定目标的复杂、隐蔽和持久的网络攻击手段,高级持续性威胁(APT)攻击近年来已演化为集各种社会工程学攻击与零日漏洞利用的综合体,成为最严峻的网络空间安全威胁之一。同时,在全球经济发展不景气的影响下,网络犯罪团伙持续涌入勒索软件攻击领域以掠取丰厚的非法利润,国内高端制造业、金融业等行业面临非常高的挑战及风险,成为勒索团伙攻击的主要目标。勒索软件攻击不仅危害个人用户的隐私和财产,还可能影响关键基础设施行业的正常运行,甚至威胁到国家安全和社会稳定。随着勒索软件即服务(RaaS)运营模式不断成熟和勒索软件构件(IABs)的兴起,勒索软件的门槛和成本显著下降,勒索攻击活动更为猖獗。 该领域要求网络安全厂商具备全网安全大数据、威胁情报、攻防知识库以及具备实战化攻防能力的安全专家等,能够进行零日漏洞的挖掘、储备,漏洞利用程序的研究、分析等,帮助客户建立完备的响应机制和预案、立体化检测和防护方案及专业化安全服务支撑。 (7)安全建设的平台化、集约化特征进一步凸显 随着连接数量的增加以及SaaS和云应用的普及,组织机构面对的攻击面在不断扩大,因此需要提高可见性和打造中心化平台,持续地监测各类威胁与暴露面情况。组织机构在连续多年的安全建设中,配置了各类安全产品工具,但因数据孤岛、信息孤岛现象突出,且企业安全运维人员能力不足以应对海量的告警及处理高级威胁事件,因此推进安全供应商的整合、安全产品的融合平台化势在必行,原来碎片化的安全能力开始向集约化、整合化、平台化转换。安全平台的多源数据汇聚、数据分析、检测与响应、智运维等优势能力将极大地提高客户的安全能力,通过平台的搭建,将离散、碎片的安全能力最小化、组件化集成于平台之中,更好地匹配业务逻辑和特性,真正实现安全能力整合的要求。 二、 核心技术与研发进展 1. 核心技术及其先进性以及报告期内的变化情况 公司自成立以来一直高度重视研发创新,拥有美国软件工程学会颁发的CMMI5权威认证,在软件开发过程的改善能力、质量管理水平、软件开发的整体成熟度居于行业前列。公司紧跟人工智能技术的演进,结合现有云安全、身份安全、终端安全、安全管理、高级威胁治理、数据安全及工控安全的重要核心技术持续投入,推动大模型在网络安全领域的技术创新和升级,并形成了一系列具有自主知识产权的技术成果。 凭借在网络安全领域各技术方向的优势及产品全面能力,公司在中国信息通信研究院正式发布的《数字安全护航技术能力全景图》中,成功占据了12大安全领域、75个细分领域;同时,亚信安全信数数据安全运营平台产品(DSOP)获得了中国信通院组织的"首批数字安全护航计划技术支撑产品"功能认证。在原有领先的技术基础上,公司通过自研网络安全技术持续更新迭代,在信立方大模型、终端安全(TrustOne)、XDR SaaS(ImmunityOne)、云安全(ForCloud)、勒索治理网关(AE/TDA)、身份与访问管理等产品均有大幅升级。在报告期内针对核心安全技术研发进展所涉及的主要领域的部分说明如下: (1)身份安全管理与认证技术 亚信安全将现有身份安全产品整合后推出了信磐统一身份认证与访问管理系统AIS IAM 6.0 产品,采用微服务架构,具备分布式部署能力,可全面适配物理机、虚拟机、云环境部署;增强了产品针对国产化服务器、中间件、国产终端和国产数据库的适配能力;增加了基于HTML5的跨平台、跨业务、跨浏览器的单点登录和访问控制能力;增加了web应用网关模块,实现无改造的web应用单点登录、无改造无感知的敏感数据自动发现和数据脱敏能力;发布了透明网关模块,实现用户可在终端打开工具直接访问服务器资产,同时实现网络隐身,在保障访问控制和安全审计的同时提升用户访问体验;发布webdb模块,解决国产服务器替代后,国产服务器上软件生态不健全的问题,弥补了数据库运维客户端工具的缺失;发布文件网关模块,可实现用户访问服务器数据时,数据不会落地到用户终端,通过安全云盘实现对数据的在线浏览、编辑、分享等能力,有效实现数据安全防护;同时,升级了与SDP的联动,落地了多个零信任实践案例。 (2)威胁情报数据湖和智能防护云技术 威胁情报数据湖基于底层先进的大数据技术,构建面向网络安全的威胁特征提取技术、误报检测与消除技术、规则库裁剪瘦身技术,在保证威胁检测高精准、强时效的前提下,降低误报率和安全软件资源占用量,有效提高了安全防护引擎整体可用性。智能防护云以混合云为底座,构建高精度威胁云查杀服务和全网免疫云服务。相比于本地特征库,云查杀服务检测率显著提升,例如当前亚信安全提供的云查杀服务可以检测出超过全球超过99%的各类病毒及变种;全网免疫云则依托于亚信安全云、管、端安全产品提供的情报数据触点,实时为亚信安全威胁情报数据湖补充海量高时效、强热点、高地域适配性的情报数据,经分析加工后再将情报分发给所有亚信安全产品,全面提升安全防护能力,实现“一点发现、全网免疫”。威胁情报数据湖把AI技术应用在情报生产和运营全过程,日处理情报近10亿条,为产品提供防病毒、漏洞防御、失陷检测、Web信誉标识、勒索风险预警等能力支持。截至2024年6月底,威胁情报数据湖已采集全球近20年内出现的病毒样本、数百亿域名基础数据以及42亿全球IP数据等。日情报采集和处理能力达到千亿条目级别,日增信息容量达到T级别。 (3)安全沙箱检测与分析技术 公司沙箱产品支持对Windows、Linux、Mac以及国产信创操作系统麒麟上的高级恶意软件、勒索软件、零日漏洞攻击、C&C违规外联、以及多阶段下载攻击等恶意威胁。支持多种操作系统平台组合分析、串并联分析,可以支持3种操作系统的任意组合,输出静态、动态、网络、沙箱对抗等恶意软件特征。支持 Windows可执行程序、Office文档、PDF文档、Web页面、URL等文件和各类压缩文档的检测,支持 Linux可执行程序检测、支持自定义密码解压功能,支持扫描优先级自定义,支持ICAP协议。使用多达5重侦测和防逃逸技术,病毒文件检测率高,误报率低,可以支持检测100多种常见的协议类型。 沙箱产品底层操作系统已完成国产信创化改造。 (4)基于机器学习的垃圾邮件和语义分析的钓鱼邮件检测技术 该技术结合公司多年的垃圾邮件数据,使用最新的基于机器学习的算法对垃圾邮件进行研判,实现了高检出、低误报的判定效果。公司持续推动反垃圾邮件的技术升级,在威胁响应上,实现了机器学习引擎与训练模型在线更新,每3小时一次的垃圾邮件规则库云端更新,产品组件无缝更新,达成了对客户邮件系统业务零干扰; 在钓鱼邮件检测方面,面对近年流行的图片二维码钓鱼攻击手法,能够针对各种绕过手法精准提取到钓鱼二维码,采用OCR方式识别二维码内容,并可对二维码中包含的链接做内容分析,底层研判引擎会下载钓鱼链接对应网页内容,并对页面内容进行识别。采用智能语义识别技术分析正文,附件文档,图片中的文本内容,研判发件人意图,并综合考虑发件人特征、消息头、收件人详细信息、加密特征等多个输入,利用机器学习算法构建了精准研判模型,实现了对钓鱼攻击的高质量判断识别;在客户部署上,可以同时支持邮件用户代理(MTA)、旁路、抄送三种部署方式,灵活适配企业网络环境和使用场景。此外,通过结合内置性能优越的沙箱研判能力,提升了APT攻击检测能力、降低了误报率低、削弱了反逃逸能力。垃圾邮件的判定有效率为97%,误报率低于2%,优于行业平均水平,机器学习引擎的扫描时间为毫秒级。 (5)下一代高级威胁治理引擎技术 公司的下一代高级威胁治理引擎,通过整合可疑文件分析、攻击流量识别、威胁情报碰撞、恶意行为检测和云端关联分析,构建了全面的立体防护体系。在可疑文件分析领域,采用文件脱壳、启发式规则、云查杀、虚拟执行和机器学习等技术,有效提升了对勒索病毒和WebShell脚本的检测能力,确保高检出率和低误报率;在攻击流量识别方面,利用机器学习、语义分析和大模型等深度技术,构建了超过数万条高品质攻击特征规则库,覆盖了近10年的高危漏洞和上百个网络侧攻击技术点,包括SQL注入、XSS等数十种常见攻击场景,显著增强了网络攻击的检测能力;在威胁情报方面,支持百余种内容及威胁类别,具备支撑百万级别的峰值时间每秒请求数量(QPS)和千万级别规则条数的分钟级的更新性能;在恶意行为检测方面,ATT&CK技术点覆盖度达到国内领先、其中涵盖十余个攻击阶段和数千的恶意行为规则库;通过多引擎检测日志的智能降噪、聚合和关联,构建出“签名规则+精准研判+行为分析+机器学习”的立体化网络威胁防御体系。 (6)勒索病毒行为分析与检测技术 通过文件脱壳、逆向工程、动态分析等技术,对长期积累的千万级别的勒索样本进行了深度分析,建立起了现代勒索病毒家族的恶意行为图谱。在应对威胁趋势变化过程中,结合静态检测、文件信誉和系统关键API监测等手段,持续迭代勒索病毒检测模型,在可靠性、实时性和性能开销方面达到了业界领先,是国内首家基于行为分析的勒索病毒防护方案。该方案不仅能在勒索行为出现的30秒内检测并阻止其执行,同时,还能恢复在病毒在最初执行过程中已加密的Word、Excel、PPT等类型文档。截至2024年6月底,勒索“方舟”计划持续进化,提供全栈检测与多维度勒索信息“感知”,特别是针对勒索攻击链的难点——无文件攻击和进程注入,结合产品探针最新能力,建立起精准有效的早期检测防御模型,实现全面的勒索防护和攻击源头封堵,通过云网边端邮智能联动和本地+云端威胁情报,有效切断勒索攻击路径并拦截加密行为,并持续更新72个勒索检测技术点,构建起基于事前、事中和事后的多层次的立体防御能力。 (7)基于机器学习的安全分析和检测技术 区别于传统的基于特征码的检测技术,通过特征工程提取了巨量的黑白样本的元数据信息,加以聚类、降噪和多模型集成学习,机器学习算法可以更加精准地识别新兴的变种病毒;区别于传统机器学习的静态检测,公司的机器学习技术充分考虑了黑客主要攻击手段,引入了上下文情景(When/What/Who/Where)的概念。通过对网络数据包特征信息的离散抽取,配合预制的网络模型,可以对采用相似网络攻击方式进行检测,有效发现同源黑客团队作案的行动。机器学习算法通过结合云端部署提供了该方案的灵活性和计算能力的可扩展性,与其它厂商的机器学习算法相比,识别率最多可以提高2-5个百分点,客户端检测与阻断时间能达到5秒以内。截至2024年6月底,重新调整了防病毒机器学习模型算法,采用聚类分析方法,对银狐样本进行精细的聚类抽取,并结合高级数据挖掘技术,提取样本中的关键特征,推出了具有银狐强力查杀能力的新模型。离线的机器学习检测能力,其能力已经在多个主力产品中得到验证,可以构建起有效的应对离线环境中的未知威胁检测手段。 (8)终端检测与响应(EDR)端点安全技术 EDR技术通过在终端部署轻量级客户端,基于先进的高级威胁检测框架,并结合后端大数据处理,发掘和关联分析能力,确保对入侵攻击的快速检测和响应。EDR技术搭配的“海鸥”轻量化行为日志检测引擎,ATT&CK技术点覆盖度达到国内领先、十余个攻击阶段和数千条的恶意行为规则库。亚信安全的威胁情报数据湖收集了全球近20年的病毒样本,数百亿域名基础数据以及42亿全球IP数据等,EDR依托威胁情报数据湖,搭配“魔龙”引擎的近百种情报研判模型,为客户提供业界一流的安全检测能力。除了兼容各种主流操作系统之外,EDR也完成了对统信、麒麟等国产化操作系统的适配和双向认证;在部署模式上,EDR既支持传统的本地部署模式,也支持SaaS化的云端部署模式,配合专业的云端安全运营团队,客户通过一键式快速安装客户端,就可以享受7*24小时的安全防护。截止2024年6月底,EDR云端支持每天TB级别的海量数据处理能力,以及总量万亿级别的高清日志存储能力,并能依据客户体量自动弹性伸缩。 (9)无代理云安全防护技术 其在安全虚拟设备内进行安全扫描,结合容错设计,资源使用控制,降低了对业务虚拟机的影响;和虚拟化平台集成,支持快速部署,安全防护能力的部署方便高效,无需业务虚机的系统账户,不受业务虚机的网络拓扑限制;支持主流虚拟化平台和操作系统;支持异构混合云的统一安全管理,支持云环境的弹性伸缩、迁移等应用场景。无代理将虚拟机层能力下沉到宿主机和虚拟化层,安全防护全面一体化。截至2024年6月底,覆盖VMware、H3C CAS、紫光云CloudOS、华为 FusionCompute、中兴uSmart、标准KVM、联想AIO、电信CT云、ZStack、超聚变、锐捷、等11类以上的虚拟化平台的统一安全管理,同时具备文件和网络的实时威胁阻断能力。虚拟机操作系统覆盖10种以上主流Linux发行版和全Windows系统支持,具备国产操作系统和信创ARM(鲲鹏、 海光等)架构灵活适配能力。形成标准化的无代理方案,VMware网络安全防护不依赖NSX组件,防病毒不依赖GI组件,防护的虚拟机类型更广。 (10)基于大数据的关联分析检测技术和安全告警风暴治理 采用先进的自适应解析技术,平台全面整合并预处理各类安全设备生成的大数据,实现了对海量日志、网络流量、资产情报等多元数据的深度融合。内嵌智能告警模块,借助聚类、黑白名单、动态阈值及等级评价等手段,精准合并短期重复告警,过滤低风险高频告警,有效消除了告警风暴,提升了告警管理的精准度和可运营性。系统深入分析告警间的时空逻辑关系和因果链,构建了严密的可疑事件链,揭示潜在攻击路径模式,并将孤立告警有序联结成连贯安全事件。另外,采用基于机器学习的AI大数据三重降噪技术和智能研判功能,强化了攻击检测及威胁深度分析,确保精准识别有效安全告警,提高了安全运营的自动化效率。尤为关键的是,该平台能利用客户本地数据进行模型训练和自我学习,从而构建客户特定环境自适应威胁特性分析的智能模型。 截至2024年6月底,自适应解析技术已实现单台服务器告警处理能力高达3万EPS,当部署为3节点集群时,告警处理能力更是跃升至5万EPS;与此同时,关联分析引擎在建设过程中,不仅全面支持对多种来源、多种类型的安全数据进行一体化关联分析,更涵盖超过75类、共计800多种关联分析与融合建模应用场景;基于以上先进技术架构及其配套的精细化运维实践,针对一个典型中型企业,能够实现每天待处理的安全事件量锐减至仅100条,充分体现了其在提高安全运维效能方面的显著优势。 (11)安全服务链与安全事件处置响应编排技术 通过软件定义安全(SDS)控制技术实现安全能力的智能化管理,用户可根据业务需求,为保护对象(网段、租户或安全域)灵活选用不同种类的多种安全产品(覆盖网络安全等级保护三级要求),实现安全能力池化、自助使用、即开即用、即退即关的云化机制,解决了重复建设和能力碎片化的问题,为用户提供一站式的、综合的云安全综合解决方案。 截至2024年6月底,已完成170余款第三方安全设备与全部自有安全产品的联动处置响应对接,并研制编排出数十种通用安全场景剧本以及覆盖六大行业的近百种细分场景剧本。通过微服务架构提升联动处置并行度,使得并发执行能力可达5,000次/分。通过引入配置模板框架和任务节点原子能力,优化配置操作和任务执行流程,进一步将单个复杂联动处置场景配置时间降低至20分钟以内,对于复杂响应的平均单任务执行过程也控制在3秒以内。 新增更广泛的业务能力原子化与编排响应能力,支持时间类、函数类、操作类、通知类、查询类等原子语句,其中信息查询类语句经大模型训练后,精准度持续提升;支持智能化场景编排,场景编排效率提升50%以上。 (12)用户与设备行为画像技术 基于场景驱动的UEBA框架是针对不同的场景设计不同的特征库、算法库和结果可视化方法,已构建了近40组场景特征和通用特征,对于预置场景,通过设计好的场景特征和UEBA检测算法(目前实现了数十种算法;基于阈值的检测算法,如箱型图,Z-score等,基于机器学习和深度学习的,如AE,孤立森林等)来实现无干预检测,同时,提供可指定的场景特征配置和算法选择,帮助客户快速适应新的场景需求,对于数据需求,通过特征驱动数据选择,用户也无需进行更多的参与,同时提供可选配置,用户也可指定数据进行UEBA场景检测。 (13)高并发DNS缓存解析技术 传统架构下域名缓存采用树形结构存储,随着域名缓存数量的增加检索匹配效率会严重下降。 公司域名解析产品采用新架构与新存储结构,极大降低了缓存数量的增加对匹配效率的影响,从而保证了大缓存场景下的高性能、低时延。公司域名解析产品可支持缓存超过4,000万条域名记录,在高并发处理场景下,DNS缓存应答处理时延低至1ms内。在国产化方面,产品兼容适配X86和ARM架构国产硬件、龙蜥&欧拉&CTyunOS国产操作系统,保证了高性能解析技术在不同硬件架构下都能达到较高的性能水平。2024年基于全新设计的框架,引入新的策略处理机制、新的策略匹配算法,减少内存资源占用,提升冷加载速率。突破DNS高速缓存产品瓶颈,持续保持业内领先,提升产品的竞争力。 (14)基于AI大模型的数据识别技术 在数据安全领域中,分类分级是基础,数据识别是核心。基于AI大模型的数据识别和敏感数据检测技术是突破传统识别技术人力和准确度瓶颈的关键点。通过AI大模型结合自然语言处理(NLP)中的语法分析、词性标注、实体识别、关系抽取等技术结合数据特征分析来扩充识别能力;通过智能化、多样化的数据提取方式,对数据库中的元数据、数据库中储存的表之间隐藏的关系、表存储的数据内容进行分析;为了提升敏感数据识别、分类分级的覆盖率和准确率,此前引入了大模型能力来实现。但是大模型对算力资源要求太高,客户无法基本无法提供需要的算力。为解决以上问题,研发通过对大模型进行裁剪和蒸馏,将大模型裁剪为小模型,再通过蒸馏技术将小模型蒸馏为大模型,从而在保证准确率的同时,大幅降低了算力资源的要求,实现了AI大模型数据识别引擎技术的落地应用。 截至2024年6月,目前已经完成基于向量库加小模型技术完成第一版AI大模型数据识别引擎(具备非结构化文件、图片识别能力),支持超过15个行业分类分级的标准模版、15000+行业敏感数据标签,新增多模版多数据源同时扫描,更灵活地满足客户对数据资产的分类分级需求,新增国产操作系统龙蜥、欧拉、麒麟的兼容,增加产品的国产化适配能力,增强市场竞争力。 (15)外部攻击面管理平台 外部攻击面管理平台是亚信安全北极狐高级攻防实验室在多年攻防对抗中的产物,平台设计参考国际上先进的攻击面管理框架,基于常态化、体系化和实战化的“三化”思想,以云原生为底座,结合大数据分析、机器学习等技术,打造出的新一代安全服务平台。目前平台具有“互联网暴露面资产梳理”、“商业泄密风险排查”、“自动化渗透”、“敏感信息泄露数据下架”四大主功能模块。 该平台旨在以攻击者视角来查看企业攻击面风险情况,协助企业以攻促防,常态化动态更新互联网暴露资产台账、发现并收敛暴露风险,进而为企业安全运营提效。目前该平台已为各行业等全国数百家关基单位提供服务。同时在2023年入围安全牛《攻击面管理技术应用指南》技术领域标杆厂商。 截至2024年6月底,完成产品化开发,支持本地化部署。新增自动渗透检测模块,覆盖5000+PoC。 互联网资产检测新增3种线索,产品指纹达到10000+。商业泄密检测新增6家数据源,累计40+。在数据全面性达到业内TOP1。 (16)工业互联网安全工业全流量压缩存储与回溯技术 该技术采用零拷贝、全程无锁化技术在线处理网络流量数据包,降低了系统负载,从而可以充分利用CPU向量化指令对各类模式进行识别或匹配,故即使在10Gbps~20Gbps流量情况下,也能保证系统整体处理零延时。同时基于大数据的架构,实现大规模数据存储和实时检索,数据压缩技术降低了10%~20%的存储空间需求,能够满足对180天以上周期内多维度的数据检索。回溯技术所涉及的数据检索技术提供交互式查询(DSL/SQL)语法,如对关键字、连接关系、属性值自动拆分识别、输入提示、格式校验,以及预置常用数据探索模板,减轻学习操作成本,提高事件回溯效率。截至2024年6月底,通过基树和位图,配合表达式引擎解决10Gbps以上流量情况下数据高效匹配问题,即使在配置10万级别白名单和黑名单的情况下,也能在1秒内完成匹配和检测,实现高效回溯。 (17)云原生安全(容器安全) 亚信安全对标Gartner的CNAPP模型,构建了一个全面覆盖从代码到云的全栈云原生安全体系,具备“资产管理与安全一体化、环境安全一体化、工作负载安全一体化、网络层安全一体化、应用安全一体化”五大核心特征,而且形成了一个高度集成的全栈云原生安全平台。 截至2024年6月,亚信安全通过将容器云平台的通用安全功能集成到一个“N合1”的安全基座中,巧妙地避免了单品堆叠的问题。这种设计使得一个单一的Agent能够全面覆盖主机安全、容器安全、网络微隔离、多租户管理、安全策略联邦、云原生安全合规性以及资产的精细化采集等关键需求。在应用安全领域,亚信安全通过结合外联WAF(云原生Web应用防火墙)和内联RASP(运行时应用自我保护),构建了一个“里应外合”的一体化“联防联抗”应用安全大基座安全方案,支持网络层微隔离协同联防联抗,同时针对“反序列化漏洞利用、内存马、WebRCE攻击”等高级攻击场景提供更精准、更强大的防护。(未完)  |