【引言】

大家在日常生活中是否了解威胁情报呢？可能大家认为听上去很陌生，但其实威胁情报一直和我们生活和工作息息相关，威胁情报是产品和服务提供关于网络安全威胁和网络安全相关问题的信息，用来帮助企业了解及预防将要或当前针对企业网络安全威胁的信息并快速做出相对措施。

【中国威胁情报行业概览】

中国网络安全行业定义

网络安全，通常指计算机网络的安全，实际中亦可以指计算机通信网络的安全。网络安全可被定义为一个网络系统不受任何威胁与侵害，能正常地实现资源共享功能。这需要首先保证网络的硬件、软件能正常运行，其次需要保证的是数据信息交换的安全。其中，网络安全的安全状态包括有五个属性：保密性、完整性、可用性、可控性和不可抵赖性

网络安全包括硬件系统安全、操作系统安全、应用软件安全、数据库系统安全及电磁信息泄露的防护等。根据不同环境及应用场景分类可分为以下四种：系统安全、网络信息安全、信息传播安全及信息内容安全。网络安全作为原来的IT产业伴生需求，随着其重要性的提升，目前已经成为除了网络、计算、存储外的第四大IT基础设施。

频发的网络安全事件带来了各种风险，于消费者而言存在数据安全隐私风险，于企业而言存在数据泄露安全隐

网络安全解决方案，可对病毒进行防范与查杀，并建立外网访问机制，对企业的内部网络进行监管并且在发生入侵现象时技术做出应，从国内外关于网络安全存在的问题以及能够带来的价值来看，主要包括：

（1）建立云桌面: 云桌面对员工使用的是主机统一管理，根据级别划定操作权限，规定资料可否拷贝带走；

（2）组建办公网络：对恶意网站的自动过滤，防止Dos攻击和IPS入侵，对蠕虫病毒、邮件的检测和防范，对虚拟网络的保护，强大防火墙作用；

（3）保障内网安全：通过高性能的检索和分析能力，回溯任意时间段内的历史事件信息，提供安全问题的追溯和取证能力；

（4）网络流量监测：网络安全解决方案其中也包括对网络安全进行监测，以确保内部系统和过程中生成的数据的安全性。

我国网络安全市场的发展以频发的网安事件为起点，通过新技术方案及框架解决相应问题，在技术储备期后行业新制度政策落地推动网安行业规范性进一步完善。市场主要驱动因素包括：（1）事件的发生构成起因：当今世界处于“全球互联”的数字化大发展下，从个人或企业方面的网络攻击、数据窃取，到国与国之间的“网络战争”，网安威胁日趋复杂化与智能化。（2）政策的推动形成利好的行业环境：随着我国步入数字经济时代，万物互联、企业上云与威胁技术逐步升级，网络安全在我国上升到了战略层面，我国先后出台了多项政策为网安行业的发展创造了良好的成长环境。（3）新兴技术的发展推动网安行业前进：面对新兴技术所催生的一系列新型安全隐患问题，新的网络安全技术需要将计算系统、安全理论以及工程基础作为多学科课题进行整体研究与实践，通过一次次解决未来更高挑战的安全问题来攀升至新的技术高度，从而推动网安市场的前进与发展

未来中国网络安全行业将呈现三大趋势：网络安全架构向零信任安全概念动态演进，数字化推动网络安全概念升级以及从被动转为智能化、主动化网络安全技术

威胁情报产品和服务提供关于网络安全威胁和网络安全相关问题的信息，用来帮助企业了解及预防将要或当前针对企业网络安全威胁的信息并快速做出相对措施

从需求端来看，过去11年间，我国网安接收与处理数量呈大幅增长态势，但自2015年威胁情报在我国逐步得到应用后，网安事件数量有一定的下滑，威胁情报对企业的高价值不断驱动着行业的快速发展

从供给端来看，以微步在线为首所建立的威胁情报共享平台以及威胁情报产品化的不断成熟共同推动了我国威胁情报的发展。威胁情报产品化进程不断成熟的三大主要方向包括：（1）将威胁情报共享中心开放：越来越多的企业通过建立威胁情报共享中心，提升自身网络安全能力的同时对外开放威胁情报服务。基于对全网安全数据、开源情报的收集积累，综合运用静态分析、动态分析、大数据关联分析、深度学习、多源情报聚合等先进技术，结合网络安全专家一线实战攻防经验和安全研究能力，汇聚形成种类丰富的高质量威胁情报信息集合，并对外开放部分服务，如实时在线查询服务、在线沙箱样本分析服务等。（2）推出威胁情报平台产品：网络安全厂商不断推出威胁情报平台产品，协助企业构建威胁情报全生命周期管理能力。威胁情报平台是集情报汇聚、情报分析、情报检索、情报协同、情报分发等功能于一体的本地化威胁情报管理系统，协助企业建设、完善、优化威胁溯源、关联分析、攻击画像、事件通告、共享赋能等威胁情报运营能力，并具备与其他网络安全设备联动的能力，实现漏洞和入侵行为的快速研判并与全网共享。

（3）集成威胁情报数据模块：除威胁情报平台外，为进一步提升威胁防护能力，网络安全企业亦开发独立的威胁情报数据模块集成至多种网络安全产品与服务中，实现终端安全防护设备与威胁情报中心之间的“云地联动”，提升威胁发现和威胁处置效率

从政策端来看，威胁情报在海外亦是由政策驱动后率先兴起，随着我国对威胁情报相关法规的颁布，使得威胁情报的政策环境日益完善，保证了威胁情报行业的稳健发展。美国最早在2003年发布《网络空间安全国家战略》，该战略是美国保护国家安全整体战略的一部分，从政府内部开始建立完整威胁情报体系，同时又强调企业根据自身需求而建立的信息共享与分析将在国家网络安全扮演重要的角色；随后又在2010年发布《国土安全网络和物理基础设施保护法案》，凸显出威胁情报的重要性，到2015年，美国就已建立成全国性的网络威胁情报中枢，综合分析网络攻击相关情报同时美国也逐步完善了威胁情报相关标准，并在网络安全产品中添加了威胁情报的属性，为我国网络安全专家研究威胁情报提供了重要的参照。

随着威胁情报技术的不断成熟发展，未来将呈现出与知识图谱技术进一步的结合、产品需求分化、加快标准化建设、以及进一步夯实威胁情报技术能力的四大发展趋势，主要包括：（1）结合知识图谱技术，推动威胁情报利用；（2）威胁情报需求分化，分层发展趋势初显；（3）加快标准化建设，促进威胁情报共享融合；（4）夯实技术能力，赋能安全协同生态建设