前言

自2015年ISC在国内举办首个威胁情报大会以来，威胁情报正式进入国内市场。2015-2017年是业界对威胁情报技术及落地的探索期。2018年威胁情报进入快速发展期，成为网络安全行业关注热点，同年10月我国首个“威胁情报标准”正式发布。随着网络安全厂商和高端用户对威胁情报应用的进一步理解和对其价值的认可，威胁情报的落地已经呈现出较为明显的格局，其中应用集成模式成为威胁情报应用的主流。为此，数世咨询在调查了20余家威胁情报提供商的基础上发布本指南，为业内人士提供参考。

一、能力点阵图

二、市场概况

• 经过调查与沟通，在20余家具备威胁情报能力的安全厂商中有11家入选本次威胁情报点阵图，分别为：安博通、安恒信息、安天、奇安信、观安信息、360、天际友盟、新华三、绿盟科技、微步在线、亚信安全。其中天际友盟和微步在线2家企业，是目前国内围绕威胁情报展开业务的厂商。另外9家网络安全企业均拥有不同特色的威胁情报数据，并将其赋能于其他安全产品。

• 2020年，威胁情报在数世咨询定义的市场成熟度阶梯图中处于“发展市场”的阶段。如下图所示：

• 威胁情报在数据咨询2020年发布的《中国网络安全能力图谱》中属于 “通用概念”维度中的“分析”中的二级分类。 

• 本次调研，对用户采购其他安全产品合同内含“威胁情报续订服务”的销售占比情况以及以“威胁情报”为关键能力的安全产品（如：威胁检测与响应工具/平台等）进行核算得出，2020年威胁情报市场规模约在6.8亿元左右。同时，威胁情报做为重要的安全基础能力，未来两到三年内还将保持较高的增长率。

三、应用场景

• 威胁情报的交付形态主要有SaaS/API的纯数据交付模式，集成式模式与自建威胁情报中心或平台。其中，应用集成模式成为威胁情报应用的主流（典型的如TI Inside），市场占比约为60%。

• 影响用户的选购的三大因素：情报准确率、安全能力的提升，和企业对安全的敏感程度。国内的威胁情报的用户主要集中在对威胁情报有独立应用能力的大型国企，以及对网络安全重视程度较高的互联网、金融、运营商、能源等行业。

• 超大型国企倾向于自建并运营威胁情报平台/中心，大部分机构则倾向于集成模式，即购买以威胁情报为重要功能的安全产品体系，威胁情报作为基础能力落地到具体安全产品和服务中，之后再订阅更新。因此，能够真正体现威胁情报价值的重要指标是续订率。

附：三大评价指标涵义

1.应用创新力

主要指技术方面的创新、前瞩、迭代能力，以及应用场景的领先度、深度和广度。

2.市场执行力

主要指产品方面的销售规模、迭代速度、服务能力，以及企业本身具备的人才、资金、知识产权、用户等资源的丰富程度和利用率。

3.心智占有力

主要指品牌知名度和影响力，包括用户口碑和同行评价。

▶ 相关文章

• 数世咨询：威胁检测与响应（TDR）市场指南
  

• 2020年度网络安全成熟度阶梯（完整版）
  

• 2020年度珍藏：中国网络安全能力图谱（完整版）
  

• 中国网络安全能力100强