证券代码:300369 证券简称:绿盟科技
北京神州绿盟信息安全科技股份有限公司
非公开发行股票募集资金使用的
可行性分析报告
(修订稿)
二〇一六年四月
1
一、本次非公开发行的背景和目的
(一)本次非公开发行的背景
1、国家政策营造了信息安全、云计算和大数据产业健康发展的良好环境,
信息安全成为国家和经济发展的重要保障
近年来,信息安全、云计算和大数据产业获得了国家战略层面的高度关注和
重视。2014 年,中共中央网络安全和信息化领导小组成立;2015 年,《网络安
全法(草案)》发布,体现出网络安全对维护国家利益、推动信息化发展的重要
作用,有助于提高全社会和各行业对网络安全的重视程度。网络安全对国家安全、
经济发展的保障作用得到广泛认可,关键信息基础设施和政府信息系统普遍加强
了网络安全防护体系的建设。
2010 年,《国务院关于加快培育和发展战略性新兴产业的决定》将云计算
纳入战略性新兴产业。2011 年,《国务院办公厅关于加快发展高技术服务业的
指导意见》将云计算列入重点推进的高技术服务业。根据工信部电信研究院发布
的《2014 年云计算白皮书》,目前我国公共云服务市场仍处于低总量、高增长
的产业发展初期阶段。2015 年,《国务院关于促进云计算创新发展培育信息产
业新业态的意见》提出要加快发展云计算,打造信息产业新业态,推动传统产业
升级和新兴产业成长,培育形成新的增长点,促进国民经济提质增效升级。
2014 年 3 月,中央《政府工作报告》提出设立新兴产业创业创新平台,在
大数据等方面赶超先进,引领未来产业发展。2015 年 6 月,《国务院办公厅关
于运用大数据加强对市场主体服务和监管的若干意见》要求以社会信用体系建设
和政府信息公开、数据开放为抓手,充分运用大数据、云计算等现代信息技术,
提高政府服务水平。2015 年 8 月,《国务院关于印发促进大数据发展行动纲要
的通知》要求健全大数据安全保障体系,加强大数据环境下的网络安全问题研究
和基于大数据的网络安全技术研究。2015 年 10 月,《中共中央关于制定国民经
济和社会发展第十三个五年规划的建议》对大数据战略、利用大数据技术作出明
确部署,指出“实施国家大数据战略,推进数据资源开放共享”、“运用大数据
技术,提高经济运行信息及时性和准确性”。
2
2、网络安全威胁不断演化,迫切需要安全防护体系和产品服务进行更新换
代
网络安全具备很强的对抗特征,安全防护体系、防护技术和产品、防护策略
规则等都需要持续、及时升级换代,以应对不断演化的新型网络威胁。随着云计
算、大数据、移动互联网、物联网等新技术的快速发展,信息安全行业也不断发
生变革,网络安全整体防护体系所涉及到的技术越来越复杂,有效安全防护和威
胁响应所需的资源也越来越庞大。安全防护体系和产品服务需要更加智能、敏捷
和开放,以使安全厂商能够具备快速、可靠和低成本的安全产品和服务的交付能
力。
3、基于云计算和大数据的安全产品和服务具有广阔的市场空间
根据 IDC 研究报告预测,到 2019 年,国内信息安全市场总体规模有望达到
48.22 亿美元,2014 年到 2019 年的复合增长率为 16.6%。云计算、大数据技术的
不断发展和应用给信息安全行业带来了广泛、深刻的影响。当前信息安全领域正
在面临多种挑战。随着企业安全架构日趋复杂,各种类型的安全设备、安全数据
越来越多,传统的分析能力明显不足;为应对以高级持续威胁(APT)为代表的
新型安全威胁,安全防护系统需要储存和分析更多的安全信息并且更加快速的做
出判定和响应,大规模的安全数据需要被有效地关联、分析和挖掘,安全大数据
分析重要性日益突显。根据 Gartner 研究显示,到 2015 年,10%的 IT 企业级安
全产品功能将通过云服务提供,到 2017 年,全球基于云的安全服务市场产值将
超过 40 亿美元。云计算、大数据技术的快速发展和应用也将促进信息安全行业
的发展,并为基于云计算和大数据的安全产品和服务创造广阔的市场空间。
(二)本次非公开发行的目的
1、提升公司网络安全技术优势,深化公司战略布局
在公司成长过程中,技术创新和领先一直是公司的关键战略,公司持续加强
产品研发和安全服务创新方面的投入,不断提升公司技术领先优势。“智慧安全
防护体系”在公司原有安全云服务基础上,进一步提升安全云服务的大规模交付
能力,以支持高效率的安全运营服务。“安全数据科学平台建设”通过对各类网
3
络行为数据的记录、存储和分析,结合安全技术和防护经验,可以从更高的视野
和角度、更广的维度上去发现异常、捕获威胁,实现威胁与入侵的快速监测、快
速发现和快速响应,更好地应对未来不断变化、日益增长的安全威胁。本次募集
资金投资项目的成功实施,将是对公司现有主营业务和产品线的有力丰富与补
充,可以极大提升公司的核心竞争力,帮助公司把握住包括云计算、大数据等先
进技术变革带来的重大机遇,深化公司战略布局。
2、为行业客户提供更有针对性的安全解决方案,实现行业深耕
公司主要客户为运营商、政府、金融、能源、互联网、教育等领域的企业级
用户。通过向客户提供差异化的产品和服务,公司一直走在行业创新发展的前列,
是国内安全厂家中较早推出网络入侵防御系统、Web 应用防护系统等产品的创
新型厂商,多项产品市场占有率位居国内前列。移动互联、云计算、下一代互联
网和大数据等新兴技术的蓬勃发展,极大地促进了信息的共享,同时也给运营商、
金融、能源、互联网等行业的信息安全带来更大挑战。近年来基于开放性网络的
攻击入侵已经成为信息安全领域的一个关注焦点。本次募集资金投资项目的成功
实施,可以利用公司多年来在客户行业的深厚积累,结合客户行业大数据,进一
步提升公司安全云服务的大规模交付能力,为行业客户提供更有针对性的安全解
决方案,实现行业深耕。
3、紧跟行业趋势,提高公司盈利能力
公司在多年的发展中已经具备了较为完善、技术领先的产品线和解决方案,
随着云计算、大数据、移动互联网、物联网等重大技术变革的逐步演化,安全行
业也正在发生变革,公司需要建设并实施符合行业趋势的研发项目以保持技术领
先地位,适应不断发展变革的产业环境。通过本次非公开发行,公司可以充实资
本实力,推动业务模式创新,拓展业务规模和市场空间,巩固和提升公司的行业
地位和核心竞争力,进一步提升公司价值,更好地回报上市公司全体股东。
二、本次募集资金使用计划
公司本次发行募集资金总额不超过 120,630.10 万元,扣除发行费用后用于以
下募投项目:
4
序号 项目名称 项目总投资额(万元) 拟投入募集资金数额(万元)
1 智慧安全防护体系建设项目 70,584.68 70,584.68
2 安全数据科学平台建设项目 30,045.42 30,045.42
3 补充流动资金 20,000.00 20,000.00
合计 120,630.10 120,630.10
若实际募集资金净额低于拟投入募集资金额,公司将根据实际募集资金净
额,按照项目的轻重缓急等情况,调整并最终决定募集资金的具体投资项目、优
先顺序及各项目的具体投资额,不足部分由公司以自有资金或自筹资金方式解
决。在本次非公开发行募集资金到位之前,公司将根据项目进度的实际情况以自
有资金或自筹资金先行投入,并在募集资金到位之后予以置换。
三、智慧安全防护体系建设项目
(一)项目投资概算
该项目投资总额为 70,584.68 万元,全部使用本次募集资金投入,项目投资
概算如下:
编号 投资项目 投资金额(万元) 占比
1 固定资产投资 3,449.00 4.89%
2 无形资产投资 149.00 0.21%
3 实施费用 52,986.68 75.07%
4 流动资金 14,000.00 19.83%
合计 70,584.68 100.00%
(二)项目实施主体
项目实施主体是绿盟科技。
(三)项目建设总体目标
本项目的建设包括云端能力和服务平台建设、客户侧部署解决方案两大领
域。
1、云端能力和服务平台建设
5
(1)云基础设施建设,包括数据中心和计算存储等基础设施的建设;
(2)云运营平台建设,包括基础设施作为服务(IaaS)、平台作为服务(PaaS)、
软件作为服务(SaaS)三个平台的建设;
(3)安全应用商店建设,包括用户管理、应用管理、应用编排、用户订阅
订购管理等;
(4)云协同交付系统建设,包括智能升级系统、移动管家系统、线上线下
协同系统等建设。
2、客户侧部署解决方案建设
(1)基于软件定义架构的控制平台,主要完成各种智能安全设备的管理、
服务编排等功能;
(2)安全大数据分析平台,主要完成安全数据收集和处理、大数据分析、
数据可视化等功能;
(3)态势感知预警解决方案,主要完成安全威胁从感知到理解和预警的模
型实现,以及相应的可视化;
(4)云安全解决方案,主要完成典型私有云和公有云环境下的网络安全解
决方案相关的开发和测试;
(5)基于云运营的 Web 安全解决方案,主要完成用于 Web 网站的抗拒绝
服务、Web 入侵检测防护,以及与云端系统的协同。
本项目的体系架构如下图所示:
6
(四)项目建设具体内容
1、云端能力和服务平台建设
公司云端系统包括提供底层计算、存储和网络支持的基础设施系统,以及利
用这些基础设施组件的中间件服务和运营平台。借助这些能力,安全业务部门可
构建各种安全 SaaS 和 MSS 服务,如安全应用商店、各类云端安全应用以及结合
升级、协作和移动 APP 的协同交付体系等。
(1)云基础设施
云端基础设施包括数据中心和机房建设,以及云计算虚拟化系统的部署。
云计算虚拟化系统采用业界流行的设施虚拟化框架 Openstack,构建了完整
的计算虚拟化、存储虚拟化和网络虚拟化组件,并针对每个组件的功能和业务需
求,部署了相应的虚拟化安全机制,如下图所示:
7
数据服务
控制处理
Dashboard
云控制管理系统
访问 安全 Web
虚拟机管理 块存储服务 虚拟资源组网
控制 审计 安全
动态迁移 对象存储服务 虚 拟 路 由
/LB/VPN 主机 入侵 身份
镜像存储服务
加固 检测 认证
计算虚拟化 存储虚拟化 网络虚拟化 虚拟化安全
在计算虚拟化方面,采用了 nova 组件,可支持租户虚拟机业务的自助开通,
虚拟机可热迁移到其他计算节点,提供兼容 Amazon EC2 的接口。
在存储虚拟化方面,可支持不同操作系统的多种不同镜像。使用 Ceph 分布
式存储技术,可提供面向对象存储的服务,兼容 Amazon S3 接口;可提供块存
储服务,弹性地增加虚拟机磁盘挂载功能。
在网络虚拟化方面,提供灵活的虚拟资源管理(Provision)进行组网,支持
如 Vlan、GRE、VxLan 等技术组建虚拟的覆盖网络,并支持虚拟路由器、负载
均衡和 VPN 等服务。
在虚拟化安全方面,提供全生命周期的应用身份认证和授权机制,面向虚拟
机和物理节点的主机加固机制,以及其他如访问控制、安全审计、入侵检测和
Web 安全等安全手段,对虚拟化系统中的虚拟资源或应用组件进行全方位的安
全防护。
(2)云运营平台
云运营平台构建在云基础设施之上,在体系架构上可以纵向划分成
IaaS/PaaS 子平台和 MSS/SaaS 子平台两部分。
IaaS/PaaS 平台的体系架构如下图所示,PaaS 中间件服务为上层的 SaaS 和
8
MSS 提供了所需的计算、数据和控制支撑,如分布式队列和调度服务、负载均
衡和分布式存储服务、分布式计算服务,以及其他服务。
弹性的 IaaS/PaaS 平台可实现安全业务快速部署和上线、业务规模的快速调
整,使系统具备敏捷的安全事件响应能力和大规模的安全分析能力。为了实现云
端海量数据的安全分析,PaaS 平台的分布式计算的模块需满足海量数据处理能
力需求,建设由分布式日志收集系统、分布式消息系统、分布式实时流式计算、
分布式文件系统、分布式批量计算系统、分布式数据查询引擎构成的分布式计算
体系结构。
MSS/SaaS 子平台的体系架构如下图所示。主要包括面向客户侧安全产品的
MSS 服务模块,以及云端用户自助的安全 SaaS 服务模块,所提供服务以统一的
形式进行封装,以面向用户的 Web 门户、移动 APP 等形态对外交付。
9
除了 MSS 和 SaaS 服务模块外,子平台包括若干基础模块,例如客户管理、
服务管理、事件管理、报表管理、设备管理和订单管理,向客户提供统一、高效
的基础服务功能。一些新型的基础模块,如在线支付、支持第三方账户的客户管
理,结合有强烈客户需求的安全业务,可有效地将业务拓展到更多传统行业和渠
道外的中小型企业,大大降低边际成本。
(3)安全应用商店
安全应用商店可将云端安全应用通过互联网推送到客户侧,并完成应用的部
署和启动;运行时可自动从云端获得更新和推送,实现应用和安全策略的升级。
与传统的安全交付模式不同,这种模式无需长达数月的采购流程,可大大缩短安
全能力从公司到客户的转移时间。
安全应用商店的功能主要包括:
1)云端安全应用管理,如应用存储、下载、创建和删除等;
2)用户管理,如用户注册、更新和认证等;
3)支持应用编排的部署模式,即多种应用可以叠加同时实现多种业务,如
编排调度、任务增加、删除和执行等;
10
4)用户端应用管理,包括向云端注册、认证和购买,应用的搜索、更新、
部署和操作。
(4)云协同交付系统
当云端具备了强大的海量数据分析和处理的能力,这些安全能力可以通过应
用商店快速分发,可以辅助专家进行安全快速响应;同时,公司专家团队的分析
报告、检测结果和响应方案,从云端和移动端的入口,将多方位、无缝的推送给
广大的客户,有助于在小时级时间尺度防护绝大多数的恶意攻击。
云协同交付系统除了安全应用商店和云端平台支撑外,还包括以下部分:
1)智能升级系统
除了安全应用可通过安全应用商店进行在线升级外,具有安全检测和防护功
能的安全设备也需要具备可更新的能力,特别是引擎、规则库等组件的更新,可
使其性能和功能得到增强,具备快速响应的能力。
每次安全设备在新版本发布后,智能升级系统可推送给客户侧设备可用的更
新,当设备完成更新后,其防护效率、防护性能都能得到进一步提升。
当突发安全事件发生时,经过专家团队协同配合后,智能升级系统可确认用
户设备的规则或安全策略是否需要更新,如是则通知用户,并向设备推送相应的
新规则和策略,在较短时间内即可对大规模的安全设备更新防护机制,从而抵御
短时间内爆发的恶意攻击。
2)移动管家应用
与 Web Portal 相比,移动端的 APP 具有两个优点:第一,随时随地在线,
推送及时。对于不能 7x24 小时在线的运维人员(如中小型企业)可及时获知其
资产安全性,并授权公司云端运营人员进行维护;第二,视图直观,用户界面美
观,方便操作。移动安全管家应用具有三大功能:安全资讯、应急响应端点、便
携式的 MSS&SaaS。安全资讯包括安全事件介绍、安全教程,以及其他业界相关
的安全新闻,可体现公司的经验积累、行业视野和态势感知能力。应急响应包括
在安全事件出现后对客户的提醒功能,以及在安全事件全周期中给客户提供及
11
时、透明的展现功能。安全 MSS&SaaS 可让客户在移动设备上随时方便地查看
自己服务的状态和安全运营状态,可通过简单配置启用安全服务的功能;并可使
公司云端运营团队通过用户授权进行安全运营。
安全资讯组件、应急响应组件与 MSS&SaaS 组件还可相互配合以使得服务
更能体现价值。
移动管家
APP 应急响应组件
判断用户的代维服务器是否存在
全周期推送该事 安全漏洞,如有则实时推送,并
通过 MSS 进行快速响应
件进展 发布安全事 授权云端处置
件告知客户
安全教程,品牌营销
安全资讯组件 MSS & SaaS 组件
安全插件支持即插即用, 支持第三方 友好高效的 运营授权/运营情
消息推送支持电话、短信、 账户关联, 服务查询和 况查询,支持多种
手机消息推送等 在线支付 管理 与专家的沟通途径
基础 ERP 订单 数据分析平 消息/插件 账户体系 7x24 安全运
各安全服务
设施 管理 台 推送 支付体系 营
人力 销售/客户关
团队 架构研发 专家/应急响应团队 编辑/营销/资讯源
系
3)线上线下协同系统
快速、完整的应急响应体系离不开安全专家团队,包括分析安全事件的研究
团队,开发、测试和部署针对该事件的检测/防护规则、产品的研发运营团队,
与客户对接的工程、销售和客服团队,面向市场宣传的营销团队。线上线下协同
系统可将人力资源快速有序组织。
线上线下协同系统包括若干子系统,如资讯发布平台、研究分析平台、验证
开发平台、运营平台和客户侧的安全控制平台。
12
营销团队 资讯发布平台
分析报告 PoC
检测工具/ 防护更新可用
研究团队 分析平台 产品更新可用
防护成功案例/
MSS&SaaS 更新
分析报告 安全事件全周期分
研发团队 析
验证、开发平台
部署工具、产品、规则
运营团队 运营平台 协同平台
对受影响客户推送工具、产
抵御攻击
品、规则
安全控制平台
客户
全程推送专题
授权
移动管家应用/Web Portal
漏洞曝光 技术确认 可检测漏洞 可防护漏洞 成功抵御攻击
安全事件的处理生命周期可分为:首先某漏洞被披露,然后研究人员从技术
上确认可行,接着研发团队开发出相应的检测和防护工具、产品和规则更新,部
署到运营平台。运营平台通过推送、通知等手段将上述更新部署到客户侧的安全
控制平台,或直接将 MSS 和 SaaS 服务升级,通过 Web Portal 或移动管家应用使
用户获知整个防护过程和当前状态。
线上线下协同系统可整合上述多个平台的功能,相关人员可在子平台上完成
自己相应的工作,该系统可自动化地分配任务、协调资源和通知相关人员。
同时,通过开放的设计,使得整个协同平台可灵活调整,根据 Web 安全事
件、移动端安全事件和高级持续威胁(APT)等典型场景设计相关的处理流程。
并且在每次安全事件之后,分析整体的响应流程,根据事件特点进行调整,以缩
短整体响应时间,改善客户体验。
2、客户侧部署解决方案建设
13
虽然不同行业客户的应用场景和网络环境各不相同,但大部分客户的共性安
全需求包括三点:保障 Web 应用的安全性与可用性;保护网络边界,及时发现
网络中的异常行为,确保数据不被泄露;以及通过可管理可编排的自动化安全平
台进行高效运营。针对这三种需求,需建设基于软件定义架构的控制平台、安全
大数据分析平台,以及态势感知预警解决方案。
公司部分企业客户已经部署或计划在短期内部署云计算系统,但云计算系统
安全一直困扰着企业的 IT 部门管理者和运营团队,并在很大程度上制约了关键
业务的云化。云环境的底层支撑技术、网络部署方案也大不相同,故需根据客户
的环境和安全需求,建设部署在客户侧的云安全解决方案或由公司运营的 Web
安全解决方案。
(1)基于软件定义架构的控制平台
公司构建了面向设施作为服务(IaaS)的软件定义安全的体系,其架构如下
图所示。
网络 APP 安全 APP 安全 APP 安全 APP
业务 业务 业务 业务
输入 输出 输入 安全 指令 安全 指令
输出
事件 事件
网络控制器 安全控 交换命令
制器 安全控制平台 租户 IaaS 网络
Agent
虚拟化
数据、拓扑
网络
交换 数据 安全 状态报告
命令 请求 策略
安全告警
状态统计
网络设备 安全设备 可疑数据
安全设备
数据流
安全设备
VM/Agent
安全数据流
1)安全控制平台架构
安全控制平台的内部模块组成和总体架构如下图所示,主要由若干核心模块
14
和面向不同场景的定制模块组成。每个模块可部署在不同节点,避免了单点失效
的问题,且与安全控制平台内部的模块或外部的安全或网络主体进行交互,生成
的数据保存到缓存或数据库中。
其中核心模块包含:
①分布式事件调度模块(Event Scheduler):接受各模块注册事件,将需处
理的事件分发给相应模块,触发事件处理机制;
②应用管理模块(APP Manager):管理北向的安全应用信息,接受应用的
可疑数据订阅,推送满足条件的可疑数据;
③设备管理模块(Device Manager):管理南向的设备应用信息,在策略解
析等模块中提供所需的安全设备;
④策略解析模块(Policy Resolver):将安全 APP 的抽象策略分解为网络设
备或安全设备可执行的具体命令。
此外,还有一些重要的定制模块(如数据收集、可疑数据监控和命令推送等)
在不同场景有特定的实现。例如,在 OpenFlow/SDN 的环境中,还包括流表获取
(Flow Polling)、流量监控(Flow Monitor)和流指令推送(Flow Pusher)三个
15
模块。在具体场景中,可能会存在额外的安全模块,例如日志记录和分析等,工
作流也可能存在一些差异。但每个模块实现自己的功能,相对独立。
2)安全设备资源池管理
若安全架构部署于云计算环境中,则可通过虚拟化技术实现安全设备的资源
池化,并通过控制平台与 SDN 控制器的协同,对流量按需调度,实现服务链
(Service Chain)。同时,根据应用所需的安全需求可以从资源池中找到相应资
源,而无需关心安全设备的物理部署和如何布线划区。
3)安全设备重构
软件定义安全架构具有控制与数据分离的特点,使得安全设备可重构。
当安全设备完成资源池化后,对上层应用呈现出的只有安全能力,表现形式
是向安全控制平台提供应用接口 API。当安全控制平台实现了策略管理、安全分
析、安全状态机和各类知识库和资产库,上层应用就可以基于这些公共中间件实
现各种功能,调用安全设备的应用接口,满足客户的不同需求。
安全设备可重构使得安全设备的设计逻辑简单、处理高效,不容易出现影响
系统稳定性的错误,同时避免了很多定制开发工作。
(2)安全大数据分析平台
网络中的所有攻击行为都会在网络或者系统中留有痕迹,且以多种方式表
现,如网络流量、系统日志、安全设备告警等,故可通过较为复杂的安全分析方
法,及时发现并阻止隐秘在企业内部的安全威胁。
安全大数据分析平台是基于云计算、分布式大数据处理等技术的新一代安全
运营和支撑平台。该平台的建设使传统安全硬件产品通过虚拟化以软件或服务形
式提供可定制、可管理的安全服务。安全大数据处理、分析和运营形成巨大的网
络安全资源池,使安全产品可定制、信息可关联、数据可分析、攻击事件可溯源、
威胁态势可展现。
(3)态势感知预警解决方案
态势感知预警解决方案系统总体架构自下向上可以分为数据采集层、检测引
16
擎层、数据预处理层、数据存储层、业务支撑层和业务处置层等 6 个功能层,如
下图所示:
业务处
安全监测 态势分析 通报预警 线索挖掘 调查处置
置层
业务支 安全事件 行为模型 态势预警 攻击取证 应用脆弱
撑层 获取 匹配 分析 溯源 性分析
大数据引擎
数据存
储层 安全威胁 重大安全 网络基础 木马/僵 重要系统 攻击个人
事件库 隐患库 资源库 尸库 信息库 /组织库
清洗、归并、关联、比对、标识
数据预
城域网检 应用检测 市平台上 部平台下 第三方威
处理层
测数据 数据 报数据 发数据 胁情报
检测引 流量检 恶意流量 已知攻击 未知攻击 应用检 脆弱性检 Web攻击
擎层 测 检测引擎 检测引擎 检测引擎 测 测引擎 检测引擎
数据采 运营商 联网应
流量镜像 流量分配 WEB应用 其它应用
集层 流量 用数据
其中,数据采集层是系统的基础数据源,包括了运营系统的出口流量镜像数
据和互联网重要信息系统的数据。检测引擎层主要实现对基础数据的安全检测,
包括对互联网流量的检测和对重要信息系统的检测。数据预处理层主要实现对攻
击和脆弱性数据的预处理,为下一步数据应用打下基础。数据存储层主要实现对
业务支撑的数据支持,一方面对预处理过的有效数据按照业务需求进行分类存
储,另一方面通过大数据引擎为业务支撑提供数据存取和分析服务。业务支撑层
主要实现对预警监控系统中各种安全应用的业务支撑。业务处置层主要实现预警
监测工作中的各种业务流程。
17
(4)云安全解决方案
在云计算系统的部署过程中,传统大企业因为数据安全、信任问题和合规性
要求通常会部署私有云或混合云,而中小企业出于降低开支的考虑,越来越多迁
移到公有云上,搭建 Web 站点或虚拟私有云。
公司云安全解决方案充分挖掘云环境中的客户安全需求,综合考虑各种云环
境中的网络拓扑和组网技术。云安全解决方案包括安全技术防护体系和安全技术
服务。
安全技术防护体系的架构如下:
运维管 客户程序软件 安全 安全运 云管理
评估 基 基
理平台 于 营平台 平台
界面 于
(SaaS) 表现形态 展示平台 访问 … 应 通 基
软件 框架 用 用 于
控制 … 云服务
故障 支 平 基 安全服
即服务 服务和 财务 交易 邮件 流量 础 目录管
管理 …… 撑 台 务管理
数据 应用 应用 应用 清洗 组 组 设 理
性能 件 件 施
管理 的 的 的 云服务
应 安全平
应用支 应用 数据 请求 搜索 应 应 台管理 开通
容量 用 用 用
撑组件 授权 交换 服务 服务
系
管理 (PaaS) 用户管
安全评 恶意代 … 统
平台 数据库 中间件 目录 日志 安全资 理
配置 通用平 估平台 码分析 …
即服务 平台 平台 服务 服务 源管理
管理 台组件 安全态势 异常流量监 资源管
操作系统 监测平台 测和清洗
事件 理
管理 安全事
务管理 计费管
(IaaS) 接口 …
指挥 抗 入侵监 理
调度 基础设 虚拟化和平台 DDoS 测/防护 …
施即服 安全策
综合 物理 云内 服务 云间 防火 Web应用 … 略管理 ……
务 存储
监控 资源 网络 器 网络 墙 防火墙 …
安全技术防护体系以用户风险为导向,将云计算系统网络划分为若干物理或
虚拟安全域,在每个安全域内部部署安全机制,如网络异常流量分析、抗拒绝服
务攻击、内网入侵检测、访问控制、Web 应用防护等。
安全技术服务包括虚拟化脆弱性评估、主机加固等,可有效解决客户在虚拟
化环境中遇到的安全问题。
(5)基于云运营的 Web 安全解决方案
为帮助企业解决基于互联网的 Web 服务安全问题并节省购置多种安全设备
的高昂费用,公司提出了基于云运营的 Web 安全解决方案。
18
1)DDoS 云清洗中心建设方案
目前,国内运营商正在与安全厂商合作建设面向骨干网的清洗中心,以抵抗
大容量的攻击。公司拟通过与运营商、云服务商、数据中心合作的方式,建立容
量为 100G+的独立云清洗中心和容量为 10G-40G 的分布式云清洗中心。
2)云清洗中心调度和集中运营方案
基于拟建立的分布式 DDoS 清洗中心,公司提出了云清洗中心调度和集中运
营方案,如下图所示。当被攻击业务侧的清洗中心的容量无法应对大容量攻击时,
可以基于主要攻击源的地理位置,调度各主要攻击源最近的多个分布式清洗中心
协同清洗,可以大大提升整个云清洗中心的容量。
随着清洗中心的逐步建立和业务的发展,公司需要不断完善云安全服务相关
的集中运营、攻击调度、大数据分析、API 等技术及客户自服务系统等平台。
(五)项目必要性分析
1、网络安全、云计算、大数据已成为国家战略,本项目的建设和实施符合
国家产业政策和行业发展规划
随着各国信息化建设的推进,网络安全已经上升到社会安全、经济安全甚至
19
国家安全层面,成为国家安全、经济实力等综合国力的重要组成部分。为全面提
高我国信息安全防护能力,保障重点基础信息网络和重要信息系统安全,创建安
全健康的网络环境,保障和促进信息化健康发展,《工业转型升级规划(2011-2015
年)》指出,必须加快发展信息安全技术、产品及服务,构建自主可控的信息安
全体系和架构,完善信息安全产品及服务认证制度,提高对国家安全和重大信息
系统安全的支撑能力。
工信部发布的《软件和信息技术服务业“十二五”发展规划》中将信息安全
软件与服务作为软件和信息技术服务业的发展重点,指出要加强网络安全、数据
安全、可信计算、安全测评等关键技术的研发与产业化,重点发展安全可靠的安
全基础产品、电子认证公共服务平台、网络与边界安全产品、信息安全支撑工具
等,发展云计算、物联网等新一代信息技术应用环境下的安全技术产品。
近年来,我国不断推出支持和鼓励大数据产业发展的相关政策。2014 年 3
月,中央《政府工作报告》提出设立新兴产业创业创新平台,在大数据等方面赶
超先进,引领未来产业发展。2015 年 6 月,《国务院办公厅关于运用大数据加
强对市场主体服务和监管的若干意见》要求以社会信用体系建设和政府信息公
开、数据开放为抓手,充分运用大数据、云计算等现代信息技术,提高政府服务
水平。2015 年 8 月,《国务院关于印发促进大数据发展行动纲要的通知》要求
健全大数据安全保障体系,加强大数据环境下的网络安全问题研究和基于大数据
的网络安全技术研究。2015 年 10 月,《中共中央关于制定国民经济和社会发展
第十三个五年规划的建议》对大数据战略、利用大数据技术作出明确部署,指出
“实施国家大数据战略,推进数据资源开放共享”、“运用大数据技术,提高经
济运行信息及时性和准确性”。本项目的建设和实施符合国家产业政策和行业发
展规划。
2、本项目的建设和实施有助于保持并加强公司技术领先优势,提升公司盈
利能力
网络安全具备很强的对抗特征,安全防护体系、防护技术和产品、防护策略
规则等都需要持续、及时升级换代,以应对不断演化的新型网络威胁。随着云计
算、大数据、移动互联网、物联网等新技术的快速发展,信息安全行业也不断发
20
生变革。
新的威胁和攻击方法从“被发现”或“曝光”到大范围的传播和爆发,留给
安全防护团队的时间窗口只有数小时甚至更短。这需要传统的安全防护体系做出
变革,例如需要更加敏捷和开放的架构、需要更加友好的社区协同、需要支持威
胁情报的共享。安全防护体系的变革进一步要求安全产品和服务进行变革,安全
云和客户侧安全防护设备分工合作,在安全决策智能性、协同性和运营效率方面
实现明显的提升。另外,网络安全整体防护体系涉及的技术越来越复杂多样,有
效安全防护和安全应急响应所需的资源也越来越庞大。例如,作为安全对抗的基
础,安全威胁情报的收集、分析处理、分发消费、评价反馈等各个环节都需要大
量专业知识和系统建设,即使对规模化的专业团队也非常具有挑战性。由于威胁
响应时效性的要求,7x24 小时的全天候高质量安全监控和运营非常关键,一般
客户自行组建规模化的专业安全团队和搭建安全系统平台的成本将非常昂贵,这
为专业化的安全运营服务提供了广阔的市场空间。
近年来,公司不断探索新型的在线服务业务模式并取得一定成果。本项目将
在公司原有安全云服务基础上,基于云计算和大数据技术的安全平台架构,致力
于实现“云”(线上环境或云端)、“地”(线下环境或客户侧)、“人”(专
家团队)、“机”(安全防护设备)协同体系,最大限度发挥安全云系统、客户
侧安全设备、专家团队等的协同效应,进一步提升公司在云端的威胁情报感知能
力、基于线上线下互动的安全应急响应能力、安全云服务的大规模交付能力,保
证安全云业务的先进性和丰富性,并支持应急响应设备的在线升级改造,以提供
高效率的安全运营服务,从而保持公司技术领先地位并提升公司盈利能力,使公
司适应不断变革演化中的产业环境。
(六)项目可行性分析
1、智慧安全防护体系具有广阔的市场空间
信息安全行业正在进行变革,为了应对新的安全威胁,传统的基于安全硬件、
相对封闭、大量手工孤立运维的安全防护技术架构,正在转向以智慧安全防护体
系为代表的新架构。
21
一方面,安全防护系统越来越复杂,产生的海量日志和信息对采用传统 SQL
数据库架构的安全信息和事件管理系统的性能产生了巨大的挑战,迫使安全厂商
开始采用大数据技术改造相关安全系统,大幅提高其数据处理能力和响应时效
性。另一方面,随着攻防技术的发展,传统基于攻击手法的检测和防护模型遇到
了挑战,安全厂商开始研究并采用异常检测、威胁情报和信誉库等技术来变革防
护体系,带动了安全数据分析和安全数据可视化技术的发展,以优化安全决策、
提高安全运维效率。上述安全业务应具备对海量数据的快速处理能力以及多种安
全场景下的建模和自动化处理能力。
信息安全行业的以上变革必将带来大量的新市场需求,为公司业绩的持续增
长创造有利条件。
2、公司在智慧安全防护体系相关领域具有丰富的技术积累和运营经验
本项目成功实施的关键技术包括安全攻防、云安全、大数据、安全运营服务
等核心技术。
自公司成立以来,围绕安全攻防的研究、以及以攻防为主要特色的安全产品
和技术服务一直是公司“技术领先”的核心内容。近年来,在以对抗高级持续威
胁(APT)为主要方向的研究开发方面,公司研究开发了威胁分析中心(TAC)
新产品以及下一代威胁防护(NGTP)解决方案,涵盖了动态检测、静态检测、
信誉云、多引擎智能分析、威胁情报分享等先进攻防技术领域,并在政府、金融、
运营商、能源等行业具有高等级安全需求的客户中成功部署,得到了市场认可。
公司自2009年启动云安全相关研究工作,公司是国际权威组织云安全联盟
(CSA)在中国的第一个企业会员,参与和领导了一系列相关技术标准研究开发
项目,已向客户提供基于云计算技术的网站照料服务。公司在2012年开展软件定
义网络(SDN)相关技术的跟踪研究,成功提出和实现了业界领先的软件定义安
全的框架,并开始对主要产品进行架构升级、虚拟化研发。公司还与多家业界领
先的云计算服务提供商、云计算解决方案提供商展开了多层面的技术和商业合
作。公司在云安全领域的技术积累将成为本项目成功实施的重要基础。
在关键技术环节之外,安全运营体系的高效与成熟也是本项目成功实施的关
键。公司已开展多年网站照料服务,并成功推出了基于 OpenStack 架构的企业
22
私有云、具备先进云安全服务架构的公司云端系统。这些云安全运营经验以及和
多家业界领先的云计算提供商的合作,都将为本项目的成功实施提供保障。
(七)项目经济效益分析
经测算,本项目从实现收入年度起,预期可实现年均销售收入 56,366.67 万
元,年均净利润 18,466.66 万元,静态回收期(含建设期)为 4.94 年,内部收益
率为 20.45%。
通过本项目的建设和实施,公司可紧跟信息安全行业发展趋势,将十余年研
发与创新过程中已经积累的核心技术、产品和服务用大数据、云计算、虚拟化等
设计理念予以完善和改造,有助于彻底解决孤立防护带来的应急响应时间较长的
缺点,为企业级客户提供及时、全天候的安全防护,在有效提升客户体验与粘性
的同时推广公司新的产品和服务,稳步提升公司现有的盈利能力。另外,本项目
有助于公司将服务于企业级客户的信息安全防护能力向更多客户推广。公司通过
云端服务以较低的边际成本将安全服务提供给成本敏感的中小微企业,可以扩大
公司客户群体,拓展新的盈利渠道。
四、安全数据科学平台建设项目
(一)项目投资概算
该项目投资总额为 30,045.42 万元,全部使用本次募集资金投入,项目投资
概算如下:
编号 投资项目 投资金额(万元) 占比
1 固定资产投资 7,166.00 23.85%
2 无形资产投资 189.00 0.63%
3 实施费用 16,690.42 55.55%
4 流动资金 6,000.00 19.97%
合计 30,045.42 100.00%
(二)项目实施主体
项目实施主体是绿盟科技。
23
(三)项目建设总体目标
本项目的总体建设目标是基于大数据平台技术,建立公司自身的安全大数据
体系和标准,开发和实践安全大数据的商业价值与社会价值。
本项目计划建设的安全数据科学平台具有以下特点:
1、高性能、大容量:平台提供大容量安全数据的收集、处理、分析、存储
功能,满足安全大数据的研究和使用需求。
2、技术先进:使用先进的分布式计算、分布式存储等技术,紧跟互联网技
术发展趋势,满足不同领域的应用需求。
3、易扩展:具有优秀的扩展能力,满足不断增大的服务需求。
4、高可用性:通过云计算技术,能够快速恢复故障系统,确保业务的连续
性。
5、安全:依托公司在安全领域十几年的积累和持续创新,对大数据提供全
面的安全保障。
本项目的体系架构如下图所示:
24
(四)项目建设具体内容
1、数据收集平台
数据收集平台通过主动探测、爬虫、反馈、威胁情况交换等多种方式,收集
安全设备、网络设备、行业专用设备、客户环境、社区/社交网络、互联网等多
种环境下经授权的基础数据。基础数据经过清洗、脱密、脱敏等各种数据预处理,
最终变成样本、网络数据、安全告警、行为等各种有意义的数据,并被传递、保
存到大数据平台。
2、大数据平台
大数据平台需要满足大容量的数据处理能力需求。公司将基于当前业内流行
的 Spark 生态圈技术,建设由分布式日志收集系统、实时流式计算系统、批量计
算系统、分布式文件系统、分布式数据查询引擎、科学计算工具包等构成的大数
据平台。
25
3、算法/模型体系
本项目面向国家经济建设和社会发展的重大需求,面向企业客户的安全大数
据实际需求,将研究大数据技术在具体业务场景的应用,并开发典型的模型算法,
形成自己独特的面向安全大数据的模型算法体系。例如,针对攻击识别场景,可
以基于“神经网络”、“深度学习”等典型分类算法,配合“逻辑回归方法”、
“贝叶斯方法”、“随机森林”、“支持向量机”等辅助算法,研发出不同攻击
类型的识别模型。
4、数据可视化平台
数据可视化平台主要提供数据可视化分析、数据可视化展现的功能。
(1)数据可视化分析
依靠大数据平台和算法/模型体系,将需要分析的数据量降低到安全专家团
队可以应对和处理的级别,在此基础上,结合可视化分析,使安全专家团队能够
快速、有效地对安全事件进行响应,发现潜在的安全风险。
(2)数据可视化展现
数据可视化展现功能旨在将网络安全威胁可视化,从而有效帮助使用者理解
复杂的安全问题和各种安全事件之间的内在联系。
5、数据服务
数据服务综合了大数据分析能力、算法模型能力、可视化能力、前沿攻防研
究及十余年的安全经验积累,针对公司内外部提供不同层次的数据服务。
针对公司内部,安全数据科学平台可为公司的各个产品团队提供通用数据服
务、算法模型支撑服务、特定行业深度安全解决方案,实现安全设备运维过程、
安全服务过程的闭环管理,从而使用户具备小时级的安全应急响应能力。
针对外部客户,面向国家相关部门、行业主管机构等用户,安全数据科学平
台提供的数据服务可以支持用户开展网络安全工作,使用户能够实时掌握安全态
势,及时了解重要信息系统的安全威胁;面向安全厂商、安全服务商等用户,安
全数据科学平台可提供威胁情报交互、推送服务;面向广大公众用户,安全数据
26
科学平台可提供开放数据服务,帮助用户直观了解当前的网络安全威胁水平,提
高用户网络安全意识,从而实践安全大数据的商业价值与社会价值。
安全数据科学平台数据服务主要进行以下研究:
(1)安全攻防研究
安全攻防研究通过安全大数据的挖掘、分析,对攻击的蛛丝马迹进行洞察,
针对攻击链进行建模分析,挖掘、分析涵盖威胁尝试进入企业阶段、在企业内部
进行扩散阶段、信息盗取阶段等,可显著提高企业对高级持续威胁(APT)的检
测和防护能力。安全攻防研究通过建立数据模型,运用回归、聚类、语义模型等
机器学习算法,提高不同攻防场景下的攻击检测的准确性和性能,是传统的基于
特征的检测方法的重要补充。
(2)态势感知研究
态势感知研究致力于掌握实时网络安全态势,及时应对重要信息系统相关网
络安全威胁风险,通过对漏洞、病毒、木马、网络攻击情况、主干网流量情况、
DNS 数据进行挖掘分析,发现网络安全事件线索,及时通报预警重大网络安全
威胁,帮助用户尽早发现安全威胁,提高用户安全防护能力。
(3)金融安全研究
金融安全研究旨在通过学术理论与行业实践的紧密结合,满足金融行业信息
安全的要求,开展针对金融应用的安全风险分析、安全应用的设计与开发、安全
防御技术的研究,并提出符合金融行业需求的信息安全防控体系方案。
(4)工控安全研究
为适应工业控制领域全方位、智能化的发展趋势以及网络信息安全技术发展
需求,工控安全研究致力于解决各行各业在工业控制过程中的信息安全问题。工
控安全研究计划在仿真环境下建设攻防演练安全防护方案,并进行通信网、通信
规约、工控终端安全性等的研究工作。
(5)互联网安全研究
互联网安全研究致力于从互联网的物理安全、网络拓扑结构安全、系统安全、
27
应用系统安全和互联网管理安全等方面对互联网的安全体系进行全面的研究。涉
及互联网信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都
是互联网安全研究的对象。
(五)项目必要性分析
1、本项目的建设和实施可以加强公司在网络安全检测、攻防对抗方面的技
术优势
数据驱动安全是大数据时代安全行业的共识。通过对各类网络行为数据的记
录、存储和分析,并结合安全技术和防护经验,可以使安全厂商从更广的维度发
现异常、捕获威胁,实现威胁与入侵的快速监测、快速发现和快速响应,更好地
应对未来不断变化、日益频繁的安全攻击。
本项目通过大数据技术、挖掘、建模技术,帮助安全专家团队更好地洞察威
胁,利用回归、聚类、语义模型等经典机器学习算法,使用分布式集群提供强大
的计算、分析能力,更好地解决传统安全检测体系下难以处理的问题。例如,通
过综合分析 DNS 日志、流量日志、各种攻击日志、用户访问行为等数据,实现
攻击溯源、获取黑客信息;通过算法、模型补充传统的基于特征的检测方法,提
高攻击检测的准确性和性能。
2、本项目的建设和实施可以为行业客户提供更有针对性的安全解决方案
公司主要客户为运营商、政府、金融、能源、互联网、教育等行业的企业级
客户。上述行业都是涉及国计民生的重要领域或行业,其网络安全威胁防护重要
性日益突显。例如,能源、高端制造等行业大量使用工业控制技术,部分工控设
备存在信息安全漏洞和隐患,成为安全防护体系的薄弱环节,外部安全风险极易
通过网络进入企业内部工业控制系统,进而形成巨大的安全风险。移动互联、云
计算、下一代互联网和大数据等新兴技术的蓬勃发展,极大地促进了信息的共享,
改变着经济社会的运行方式,但同时也给整个金融行业的信息安全带来更大挑
战。
本项目的建设和实施可以为公司行业客户提供更有针对性的安全解决方案。
例如,通过对工业控制领域的深刻研究,从海量数据中发现潜在安全风险,将危
28
险消灭于无形;利用多年来在金融行业的深厚积累,结合金融行业大数据,可以
从金融认证体系、征信体系、在线支付安全等方面提供有效的解决方案和建议等。
3、本项目的建设和实施可以提升公司的盈利能力,丰富公司的产品和服务
类型
本项目在市场层面上可以为公司带来良好收益,依托大数据及数据挖掘、建
模技术,既可以显著提高公司安全产品的检测能力,降低产品成本,又能通过云
端大数据与客户侧设备、环境的联动,提高客户的安全防护效果,增强公司产品
和服务的竞争力,从而提升公司盈利能力。本项目还可以丰富公司的产品和服务
类型,如知识产权授权使用、提供分析预测报告、提供数据接口服务等。
(六)项目可行性分析
1、本项目的建设和实施符合国家产业政策和行业发展规划
2014 年 3 月,中央《政府工作报告》提出设立新兴产业创业创新平台,在
大数据等方面赶超先进,引领未来产业发展。2015 年 6 月,《国务院办公厅关
于运用大数据加强对市场主体服务和监管的若干意见》要求以社会信用体系建设
和政府信息公开、数据开放为抓手,充分运用大数据、云计算等现代信息技术,
提高政府服务水平。2015 年 8 月,《国务院关于印发促进大数据发展行动纲要
的通知》要求健全大数据安全保障体系,加强大数据环境下的网络安全问题研究
和基于大数据的网络安全技术研究。2015 年 10 月,《中共中央关于制定国民经
济和社会发展第十三个五年规划的建议》,对大数据战略、利用大数据技术作出
明确部署,指出“实施国家大数据战略,推进数据资源开放共享”、“运用大数
据技术,提高经济运行信息及时性和准确性”。本项目的建设和实施符合国家产
业政策和行业发展规划。
2、公司已经具备建设和实施本项目的技术基础
本项目的实施需要运用分布式存储、分布式计算,模型、算法研究,安全攻
防等技术。其中,对于分布式存储、分布式计算技术,公司通过多年探索,已在
相关领域拥有深入的积累,核心技术主要通过自主研发的方式取得;对于模型、
算法研究技术,公司目前已经具备开展相关工作的基础,将主要通过自主培养和
29
外部招聘相结合的方式,补充模型、算法方面的专业人员;对于安全攻防技术,
公司是国内领先的、具有核心竞争力的企业级网络安全解决方案供应商,具有十
余年安全攻防方面的技术积累,能够满足本项目在安全领域方面的技术需求。
(七)项目经济效益分析
经测算,本项目从实现收入年度起,预期可实现年均销售收入 20,466.67 万
元,年均净利润 6,263.87 万元,静态回收期(含建设期)为 4.96 年,内部收益
率为 19.27%。
通过本项目的建设和实施,公司可深入挖掘大数据、分布式计算等技术在公
司多年来积累的安全攻防、安全检测等核心技术、产品和服务上的应用。一方面,
安全大数据平台的高性能、大容量、易扩展、高可用性,可以提升预测和处理能
力,有效降低公司和客户的防护成本,提升客户体验和粘性。另一方面,安全大
数据平台的海量数据、先进技术、开放接口等,也丰富了公司向客户提供的产品
和服务类型,进而提高公司盈利能力。
五、补充流动资金
公司拟使用本次募集资金中的 20,000 万元用于补充流动资金,增强资金实
力以支持公司的长远发展战略。
公司属于轻资产公司,公司资产主要由流动资产构成,非流动资产比例较小,
轻资产的特点决定了公司日常经营较多涉及现金支付,折旧、摊销类的非现金支
出相对较少,为了维持及拓展业务经营,须保有较多流动资金,对货币资金的需
求较大。
公司所处行业为技术、人才密集型行业,强大的技术研发能力是公司保持市
场竞争力与行业地位的关键。伴随本次募投项目的推进,未来公司将持续关注信
息安全领域的最新科研成果在产业界的应用,加大高端人才培养与引进力度,拓
展产学研合作范围,维持公司的核心技术优势。因此,公司需要持续高投入研发
经费,公司运营资金需求会不断增长。
综上,公司拟使用部分募集资金补充流动资金,有利于增强公司资金实力,
30
降低业务经营中的财务风险,促进公司研发实力的提升,支持公司的长远发展战
略。
六、本次非公开发行对公司经营管理和财务状况的影响
(一)本次发行对公司经营管理的影响
本次非公开发行募投项目符合信息安全行业发展趋势。随着募投项目的建设
和实施,公司将打造基于云计算和大数据技术的智慧安全防护体系,建立公司自
身的安全大数据体系和标准,有利于公司加快实施发展战略,不断提高安全攻防、
云计算、大数据等关键核心技术的水平,提升管理效率与人才聚集能力,满足不
同客户差异化需求,增强公司综合竞争力,进一步巩固和增强公司在信息安全行
业的优势地位。
(二)本次发行对公司财务状况的影响
本次发行募集资金投资项目实施后,公司资产规模、净资产规模将大幅增加,
资本实力进一步提升,营运资金更加充裕,资本结构更加稳健,财务风险降低,
偿债能力和后续融资能力增强。
七、募集资金投资项目涉及报批事项情况
本次非公开发行募集资金投资项目已经完成了相关报批备案手续。
综上所述,公司认为本次非公开发行股票募集资金使用具有可行性。
北京神州绿盟信息安全科技股份有限公司
董 事 会
2016年4月5日
31
首页
微信公众号
证券之星APP
