威胁情报:对网安公司来说越来越重要(深度)| 国君计算机

（以下内容从国泰君安《威胁情报:对网安公司来说越来越重要(深度)| 国君计算机》研报附件原文摘录）
　　This browser does not support music or audio playback. Please play it in Weixin or another browser. 我着了你的道 音乐： 刘心宇 - 刘心宇翻唱集 1. 威胁情报对于网络安全产业越来越重要 1.1 威胁情报能够大幅提升网安防御能力 威胁情报是网络安全情报的一种，描述了针对数字资产的威胁或者危险。Gartner认为，威胁情报是一种基于证据的知识，包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现的针对资产的威胁或危险，并可以用于通知主体针对相关威胁或危险采取某种响应。这种说法比较绕口，通俗来讲，威胁情报可以帮助企业和组织快速了解到敌对方对自己的威胁信息，从而帮助他们提前做好威胁防范、更快速地进行攻击检测与响应、更高效地进行事后攻击溯源。生成威胁情报的过程通常遵循生命周期，其中包括指导、收集、处理、分析、生产、传播和反馈。 威胁情况对于网安客户提升本身的防御能力有很大帮助，比较常见的用法是向自有网络安全产品和服务赋能，比如威胁情报+网络流量检测、威胁情报+态势感知、威胁情报+SOC等。威胁情报会为客户安全团队提供详尽的信息，帮助他们了解哪些威胁最有可能影响客户所处行业及该企业本身环境。由此，客户可以只关注与其自身紧密相关的攻击产生的预警和通知。威胁情报可以用于评估系统、网络或组织面临的威胁和风险。它可以帮助识别和理解来自恶意行为者、漏洞利用和恶意软件等方面的潜在威胁。威胁情报可以用于检测潜在的攻击活动，并提供关于攻击者行为、攻击方法和攻击工具的信息。这有助于实时监测和识别恶意活动，支持快速响应和阻止潜在的攻击。威胁情报可以提供有关已知漏洞和弱点的信息，帮助组织及时采取措施修复漏洞。它可以帮助组织了解当前威胁景观中的漏洞情况，并指导漏洞修复的优先级。威胁情报可以提供有关已知恶意软件样本、攻击工具和攻击者行为的信息。这有助于进行恶意软件分析，识别新的威胁行为和恶意软件变体，并改进防护措施。 1.2 威胁情报可以分为三类 威胁情报可以分为三类：战略威胁情报、运营威胁情报和战术威胁情报。战略威胁情报提供了全球网络威胁和趋势的广泛概述。它侧重于对威胁参与者的战略和战术的长期、高层次见解。运营威胁情报提供有关特定网络威胁及其运作方式的详细见解。此信息包括威胁参与者使用的入侵指标 （IOC）、策略、技术和过程 （TTP）。它可以帮助网络安全团队准备、检测和响应这些威胁。战术威胁情报侧重于此时此地。它涉及有关组织面临的直接威胁的实时信息。战术情报可帮助一线安全团队了解和缓解最新的网络威胁。威胁情报赋能，意味着无论是做短期安全决策，还是制定长期安全策略，情报的参考权重都在大幅度上升。同时，随着威胁情报对攻击者追踪能力的不断增强，企业也将对战略层的、与企业组织相关度高的威胁情报报告产生更多需求。 1.3 威胁情报运营体系建立 在基础威胁情报能力的建设过程中，情报信息的采集与分析是威胁情报体系的基础，也是威胁情报体系建设过程中不可或缺的一个环节。通常，情报来源于内部和外部两个渠道，外部渠道包括公开漏洞、公开情报、网络攻击新闻、暗网信息、商业情报等，内部渠道包含攻击面、内部日志分析等。通过内部和外部两个渠道生产的威胁情报数据，融入加密威胁情报体系，引入大数据关联、AI深度学习、行为分析、同源分析等技术，提升对各类渠道获取的威胁情报进行分析研判效率，有效与安全运营中心及其他网络安全产品进行融合，提升威胁检测能力。 2. 威胁情报市场处于成长早期阶段 中国威胁情报订阅市场规模不到10亿人民币，奇安信、微步在线等公司是行业龙头。根据斯元商业咨询的研究，预计2023 年中国威胁情报订阅服务市场支出约为7.1 亿元，相比2022 年增长18.2%；对于威胁情报订阅服务的相关支出预计将在2027 年达到近13.1 亿元，年复合增长率约为15.6%；在订阅模式方面，相较于威胁情报平台等落地模式，威胁情报订阅模式正在为广大用户所接受。威胁情报查询TI Lookup 模式和威胁情报明文TI Feed 模式下，奇安信、微步在线等公司占据主要市场份额，海外企业也占据了一定市场空间。 3. 头部公司引领威胁情报产业趋势 3.1 奇安信威胁情报市场领先优势明显 奇安信连续三年获得IDC安全分析和情报市场份额排名第一。2023年4月，IDC发布《2022年中国IT安全软件市场跟踪报告》，报告显示，奇安信以8.4%的市场份额，居中国安全分析和情报市场份额排名首位。自2020年上半年起，奇安信集团连续3年荣膺该细分领域市场份额冠军。在威胁情报领域，得益于威胁情报中心提供的专业威胁情报服务及安全系列产品，使得奇安信在中国安全分析和情报市场傲居群雄。为满足客户对于具有高灵活性和可扩展性的SaaS化安全产品的使用需求，降低用户的IT成本和使用风险，奇安信威胁情报中心发布了威胁情报分析平台ALPHA，提供威胁情报高级分析应用及数据订阅服务，以海量多维度的网络空间安全数据为基础，实现报警研判、攻击定性、黑客画像以及威胁持续跟踪，并提供多维度的威胁情报数据和分析应用服务和分析报告，帮助安全分析师、事件响应人员对事件报警进行确认和优先级排序，同时通过关联分析以挖掘攻击事件背后更深层的信息。 奇安信威胁情报入选Gartner®《2023安全威胁情报产品和服务市场指南》。基于Gartner最新的预测显示：全球威胁情报支出正以15.5%的复合年增长率增长，到2026年有望达到28亿美元。奇安信漏洞情报服务，基于奇安信专业分析师团队和完善的漏洞情报运营流程，结合奇安信高精准的威胁情报数据，对已知公开影响较大、危害较大的漏洞，进行准确的实际安全风险判定，并提供漏洞风险通告，内容含漏洞危险级别、评分、影响版本、补丁等。对于影响面巨大，威胁等级最高的漏洞，在基础漏洞信息和修复缓解措施内容基础上，提供漏洞深度分析报告，可获得更丰富的技术细节、复现、缓解和防护信息，进而帮助企业在生产环境中对受影响资产进行漏洞检测、排查、监测、修复。与此同时，奇安信还提供灵活可用、便于使用的开放API接口，支持客户通过 Restful API 方式集成海量漏洞情报数据。 奇安信威胁分析平台ALPHA是面向安全分析师、事件响应人员的综合性威胁情报分析平台。以海量多维度的网络空间安全数据为基础，实现报警研判、攻击定性、黑客画像以及威胁持续跟踪，并提供多维度的威胁情报数据和分析应用服务，帮助安全运营者对事件报警进行确认和优先级排序，同时通过关联分析以挖掘攻击事件背后的深层信息。威胁研判分析平台ALPHA已成为构建新型安全架构的核心组件之一。 奇安信威胁情报 FEED，是奇安信威胁情报中心推出的以FEED方式提供的威胁情报数据订阅服务。面向客户提供高精准、多维度的威胁情报数据和丰富的上下文信息，可以用来进行报警研判、攻击定性、黑客画像，以及识别失陷主机、被控终端、钓鱼邮件等。提升客户安全防护体系的威胁情报自动化能力，使企业客户可以更快速的分析威胁事件、及时遏制未知高级威胁攻击扩散和核心资产损失等重大风险的发生。能力优势包括： 海量数据支撑，多年情报积累：依托国内首家商用威胁情报中心，数据采集维度覆盖全球上千个情报源，数亿级样本的云沙箱运行数据，百亿级的文件信誉情报，十亿级互联网资产及应用数据、万亿级历史 Passive DNS 和 WHOIS 数据； 威胁情报数据高精准、高可用：威胁情报中心拥有超百人的专业分 析师团队，及多款自有知识产权的创新检测分析引擎，基于 “人+工具+ 流程”的独有研判机制，生产出高价值、高可用的威胁情报数据。 更丰富详实的情报上下文信息：拥有全球近千个攻击团伙、恶意家族的 档案信息，经过红雨滴团队追踪分析，提供更完善的情报基础数据信息 与细粒度更高的情报上下文及高价值字段信息，帮助对安全事件的分析与溯源。 接入灵活，多种安全产品适用：近20 种情报 FEED 类型，覆盖网络流量检测、DNS 日志检测、NETFLO W检测、样本文件检测等使用场景，支持TXT、JSON、CSV 等格式集成，可以与多平台联动使用。 3.2 微步在线：威胁情报订阅服务先行者 与传统网安公司把威胁情报作为业务的必要组成部分之一来拓展不同，微步在线从诞生之日起就把威胁情报作为自己的核心主业。微步在线成立于2015年，2023年刚刚完成E轮5亿人民币融资。在威胁发现与响应领域，微步在线持续深耕，多次在市面上推出首创性产品：2017年研发面向流量检测与响应的威胁感知平台TDP和威胁情报管理平台TIP，2019年推出面向企业办公网的互联网安全接入服务OneDNS，2021年发布面向主机和服务器的威胁检测与响应平台OneEDR，2022年推出安全情报网关OneSIG和攻击面管理平台OneRisk，2023年发布面向PC终端的安全管理平台OneSEC。 微步威胁感知平台TDP获得全球客户认可。作为一款深度融合情报的实战化全流量检测与响应平台，微步TDP具备告警检测准确、面向实战、响应闭环及简单易用的优势，能够对漏洞利用、木马、蠕虫、挖矿、勒索病毒、高级针对性攻击(APT)等多种新型威胁和攻击手法进行快速、精准地检测响应，准确率可达99.97%，0day检出率＞81%；在响应侧，TDP能够有效与防火墙等第三方安全设备进行联动，提供99.99%的阻断成功率。自2017年推出以来，TDP已在金融、能源、电力、互联网、智能制造、地产等行业近500家标杆企业中落地，成为政企客户日常安全运营的重要抓手和流量检测响应的主要安全设备。国际知名咨询机构Gartner发布《流量检测与响应市场（NDR）客户之声报告》，微步旗下威胁感知平台TDP凭借优秀的产品与服务体验，入选报告“强劲表现者”象限，受到全球客户高度认可与肯定。 坚持云化和订阅制服务，微步在线商业理念国内领先。国内网安行业普遍以产品化的商业模式，但是威胁情报本身具备及时性强和需要定期更新的特点，非常适合订阅制商业模式。微步在线一直在坚持订阅制商业模式，区别于其他大多数网安公司，微步在线于2017年就成立了客户成功团队，是国内最早拥有此类团队的安全企业。 在云化典型案例方面，微步在线与亚马逊云合作，为某券商提供了威胁情报服务（微步在线官方公众号披露）。亚马逊云的Traffic mirroring能力允许客户在本地复制其网络流量，无需在 EC2 实例上安装和运行数据包转发代理，这意味着，该券商可以简单、高效地通过亚马逊云科技的Traffic mirroring能力将入站方向上的Nginx/WAF实例的ENI网卡流量镜像给流量检测设备，进行进一步分析。在流量检测设备选型上，该券商选择了微步威胁感知平台TDP，微步TDP可对网络流量进行全面检测，可在第一时间精准发现APT等攻击行为，并利用安装在主机上轻量级Agent快速定位失陷主机及进程，辅助安全管理员及时、高效地威胁处置。 3.3 腾讯安全：隐形网安巨头，发力威胁情报市场 威胁情报作为企业防护体系的一个重要组成部分，从情报生产的角度来说，有一些非常重要的要素。首先，是整个情报需要足够的丰富度，能够覆盖到客户所需要的各种场景和各个攻击面。第二，需要给客户去提供一个非常准确的情报，至少不能有误伤客户证据的行为。第三，要足够的快，从情报发生到生产情报到客户去使用这个过程越短，其实客户面临的风险越小。第四，可操作性是指单独给客户一个黑白的信息是不够的，还要给对应情报本身的一个丰富的上下文，这样保证客户使用的时候能基于这个上下文做对应的处置。 在这些之上，情报发挥更重要的作用包括另外两方面。第一，情报要作为一个更高的维度去帮助客户，从更高维度去跟黑产做对抗，提升这种黑产对抗的成本。第二，也需要有一定的前瞻性，保证情报能够发现一些未知的威胁，这是腾讯安全对这个情报本身的能力建设的整体理解。 腾讯安全具备三点威胁情报能力建设优势。第一点，情报生产能够覆盖不同场景，这方面腾讯自己现在有云原生场景、办公网场景以及各种开源。这种数据就保证腾讯安全有一个丰富的触角，能够收集到更多信息，能够这样才能更好的去覆盖客户真正面临着的威胁。第二需要在攻防上面有足够的积累和实践，因为只有知道黑客如何去攻击，如何去利用，才能更好的去布好触点，去应用好通过各个场景来设计的数据，最终生产成情报，作为情报能力输出到网安产品之中，这方面腾讯安全也有很多积累，包括现在 BSCA 上的一些软件成分分析能力，以及整体在科恩攻防试点上也有一个足够的聚类。第三就是腾讯安全现在在各个场景下收集了大量数据，现在数据越来越多，如果纯靠之前这种规则或者人工，其实对于现有数据没办法做有效的应用，那么就要求对各种算法需要有充分的理解。 腾讯安全重新设计了一个新的情报能力建设构架。首先下图中间几块更多是整个情报生产的构架，包括对于各个渠道源数据的采集和规划。然后，规划之后会进入生产流程，这里就会使用实时专家模型，包括离线的算法分析、一些实体的关系扩展，最终会生成一个情报实体。那么这个实体再根据场景的需求不同，会做一些情报的封装、误报控制的预防以及整体的控制，最终生成整个运营情报以及TTP，包括一些事件中不同内部的情报，这些情报会输入到腾讯安全的情报产品中，最终根据不同产品去满足客户的需求。 腾讯安全设计了一个威胁实体的管理系统来配合运营系统，保证整个系统能够运正常运转。第一个是数据采集的模块。非常依赖于腾讯安全本身的攻防实践，这块的积累依托市面上流行的黑客或者攻击者，会考虑他当前是会用哪些漏洞去做一些攻击，然后才能针对性去部署一些探针。通过这些探针去在各个场景下去感知这些数据，才能真正的有效地采集到这些数据。从现在来说，各个安全产品其实都会上报一些日志，其实绝大部分的日志不太适合来做这种情报类的生产，需要依赖于自己的经验，对这些数据做一些清洗和聚类，最终在规划之后流转到后面的生产流程。经过腾讯最近半年的优化，整体在以云原生这个场景为例，整体有3倍的有效数据提升（腾讯安全威胁情报产品公开发布会披露）。 采集完足够数据之后，下一个很重要的环节就是生产环节。对于生产环节来说其实有两个需求，首先是对于现有发生的真实攻击需要尽快生产，把它转化成一个情报输出到产品中，能防范现有的一些威胁。腾讯安全会用实时流的生产流程，利用实时的一些专家模型，包括可疑行为分析、流量配套的分析以及像日志分析，同时也会根据当前的攻击态势，去针对当前比较流行的攻击点做一些专用手段。通过这种实时模型对当前数据做一个实时处理，之后就会很快的到情报产品中去满足快速防护需求。 除了实时数据之外，在历史上也积累有很多关联的数据，这需要离线的算法挖掘。腾讯会充分利用各种模型去对现有的数据做一些挖掘。一方面可以对现有的情报去做一个丰富，需要基于历史信息去通过算法深入挖掘。比如这个攻击到底属于什么样的团伙，历史上所重点关注或者重点攻击的行业，或者攻击点到底是什么，把这部分信息补充出来。同时也可以根据这种关联关系去发现一些这个团伙目前已经注册或者是已经具备的一些资产，实际上没有用到当前的攻击中，却有一个前瞻性的攻击能力。 情报生产出来之后会存储到数据实验室提供的一个存储平台中，最终从平台中输出产品。这里的环节有两方面考量。第一点是风险控制：疑似攻击中会用到很多资产，这些资产有一些是属于黑产专用的，有些资产是一些公共资产，就要基于这个情报本身的资产去做一个评估，考量这个情报如果用不同的方式输出去，是不是有不同的风险，会不会对客户的正常业务造成影响。经过这个判断之后，如果有影响，还要继续进行二次判断的逻辑。第二点是风险取向，客户所需要什么样的情报类型以及可能的更新方式。以上就是从情报数据的采集到整体生产再到出库这样一个完整的流程。 3.4 安恒信息：积极布局威胁情报市场 安恒信息数据安全能力中心威胁情报技术深度赋能各类产品。基于已构建的IP数据、域名数据、DNS数据、样本数据、漏洞数据、黑灰产数据、资产测绘数据、威胁数据、安全策略数据等海量基础数据与情报数据，安恒信息中央研究院利用聚合分析、同源分析、恶意基因检测、恶意家族识别、威胁数据分类等自主知识产权的威胁情报技术对基础数据与威胁数据进行建模、分析及研发，已形成具备采集、处理、分析、应用等一体化、标准化的“安全数据能力中心”，已赋能云安全、网络检测安全、边界安全、终端安全、运营安全等各类产品，并广泛应用于金融、能源、运营商、政府、医疗等领域。 安恒信息安全数据能力中心拥有情报数据“自我造血”与“自我迭代”能力。通过威胁情报引擎模块与AiLPHA态势感知平台、EDR、XDR、WAF、防火墙、漏扫、工控安全平台、物联网安全平台、网络犯罪行为查打平台等安全产品实现深度集成。通过威胁情报云API与安恒信息SaaS化安全服务平台（玄武盾的云监测与云防护）进行深度耦合。通过漏洞情报增强资产风险云监测能力、威胁情报增强云端主动安全能力、安全策略增强云防护规则能力、资产情报增强资产暴露面检测能力、“IPDRO安全运营框架”联动结构化情报数据，为不同行业客户提供“一站式、场景化”情报订阅服务（漏洞情报订阅、资产情报订阅、威胁事件订阅、云API订阅等）和多维度分析报告。 合规声明：本文节选自已经入库的正式研究报告，如需PDF原文请后台留言。 - end - 欢迎加入产业交流群！ 欢迎所有对计算机产业研究和投资感兴趣的盆友（包括云计算、网络安全、医疗IT、金融科技、人工智能、自动驾驶等）后台留言加入我们的产业交流群。我们的目标是建立系统的计算机产业研究框架，提高整个A股的IT行业研究水平，减少韭菜数量，普度众生。 网络安全相关报告 1. 为什么网络安全公司很难把渠道做好？| 产业调研 2. 甲方怎么看网络安全行业？| 产业调研 3. 海外网络安全和云计算大厂发展趋势（百页PPT） 4. 专家眼中疫情对网络安全行业的影响 | 产业调研 5. 网络安全公司的渠道战争已经打响 6. 为什么教育和医疗行业未来两年是网安公司必争之地？| 产业调研 7. 从网安龙头公司看渠道建设细节 | 产业调研 8. 一文读懂城市安全运营 | 产业调研 9. 读完此文，你还觉得启明星辰佛系吗？ 10. 安恒信息：我们心目中的未来大白马 11. 安恒信息：高质量的高增长，难能可贵 12. 绿盟科技：有一种上车机会叫低于预期（深度） 13. 态势感知行业还能高速增长多久？ 14. 南洋股份：防火墙之王，战略股东引发质变 15. 中国网络安全行业细分领域IDC数据大汇总 16.网络安全产品从入门到精通 17.海外专题：寻找中国网络安全公司中的Palo Alto（深度） 18. 奇安信基本面及虎符生态战略解密（30页PPT） 19. 迪普科技：中国应用交付产业的希望（深度） 20. 为什么网络安全公司纷纷布局EDR（深度） 21. 奇安信：六年磨剑，登顶江湖（深度） 22. Zscaler：云安全服务与接入领头羊（30页PPT） 23. Okta：身份认证独角兽（深度） 24.产业调研：寻找中国OKTA 25.深信服：SASE蓝海中的耀眼新星（深度） 26.奇安信：高增长的背后，探究网安龙头的成长密码（深度） 27.如何理解深信服的核心竞争力？ 28.如何研究一家网络安全公司？ 29.拥抱网络安全的小波段和大时代 30.奇安信：创新业务实力强大，助推公司成为全球网安龙头（深度） 31.产业调研：飞塔是个神奇的公司 32.产业调研：海外专家怎么看云计算和网络安全？ 33.数据安全法带来的一些变化 34.产业调研：等保测评升级，网安行业需求大提升 35.产业调研：甲方视角下的网安行业边际变化 36.产业调研：解密传说中的长亭科技 37.亚信安全：懂网又懂云的网络安全公司（60页PPT） 38.从奇安信中报看新赛道布局的重要性 39. 《个人信息保护法》落地，网安行业变天了 40. 绿盟科技：励精图治，继往开来（深度） 41. 网安公司三季报分化之谜 42. 深信服：重构防火墙，用意深远 43. 读完Fortinet三季报，我对网安行业又有了信心（附纪要） 44. Palantir：野心贼大，想做世界的创新引擎（附纪要） 45. 从Crowdstrike看中国网安公司发展方向 46. 为什么中国没有真正的云安全公司？ 47. 产业调研：传统网络安全公司面临的困境——温水煮青蛙 48. 产业调研：数据安全吹得很热，未来如何落地？ 49. 产业调研：威努特董事长谈工控安全 50. 产业调研：再论数据安全 51. 绿盟科技：业绩预告验证景气度，网安行业不悲观 52. 山石网科：防火墙龙头，销售端发力助推高增长（深度） 53. 纬德信息：电力信息安全小巨人（深度） 54. 安恒信息：数据安全领头羊（深度） 55. 产业调研：HW具体怎么做？ 56. 天融信：国内防火墙龙头，创新业务高增长（深度） 57. 产业调研：网络安全运营中心如何建设？ 58. 产业调研：网络安全行业如何做信创？ 59. 产业调研：深信服SASE3.0要做什么？ 60. 产业调研：奇安信研发平台详解 61. 产业调研：深信服产品理念越来越像PaloAlto 62. 深信服股价见底了吗？ 63. 产业调研：深信服如何应对居家办公带来的IT需求？ 64. 产业调研：从销售视角观察，2022年网络安全行业景气度到底行不行？ 65. 安恒信息：研究框架（200页PPT） 66. 产业调研：数据安全一线专家眼中的市场 67. 全世界都在等奇安信盈利 68. 产业调研：网络安全行业有哪些新变化？ 69. 数据安全管理已经深入至工业领域 70. 商用密码行业未来三年景气度如何？ 71. 产业调研：工业数据安全的发展前景 72. 安博通：网安行业景气度修复，上游厂商最先受益（深度） 73. 云涌科技：电力信息安全头部厂商（深度） 法律声明： 本公众订阅号(计算机文艺复兴)为国泰君安证券研究所计算机研究团队依法设立并运营的微信公众订阅号。本团队负责人李沐华具备证券投资咨询（分析师）执业资格，资格证书编号为S0880519080009。本订阅号不是国泰君安证券研究报告发布平台。本订阅号所载内容均来自于国泰君安证券研究所已正式发布的研究报告，如需了解详细的证券研究信息，请具体参见国泰君安证券研究所发布的完整报告。本订阅号推送的信息仅限完整报告发布当日有效，发布日后推送的信息受限于相关因素的更新而不再准确或者失效的，本订阅号不承担更新推送信息或另行通知义务，后续更新信息以国泰君安证券研究所正式发布的研究报告为准。本订阅号所载内容仅面向国泰君安证券研究服务签约客户。因本资料暂时无法设置访问限制，根据《证券期货投资者适当性管理办法》的要求，若您并非国泰君安证券研究服务签约客户，为控制投资风险，还请取消关注，请勿订阅、接收或使用本订阅号中的任何信息。如有不便，敬请谅解。市场有风险，投资需谨慎。在任何情况下，本订阅号中信息或所表述的意见均不构成对任何人的投资建议。在决定投资前，如有需要，投资者务必向专业人士咨询并谨慎决策。国泰君安证券及本订阅号运营团队不对任何人因使用本订阅号所载任何内容所引致的任何损失负任何责任。本订阅号所载内容版权仅为国泰君安证券所有。任何机构和个人未经书面许可不得以任何形式翻版、复制、转载、刊登、发表、篡改或者引用，如因侵权行为给国泰君安证券研究所造成任何直接或间接的损失，国泰君安证券研究所保留追究一切法律责任的权利。

点此查看微信公众号原文全部内容>>

大部分微信公众号研报本站已有pdf详细完整版：https://www.wkzk.com/report/（可搜索研报标题关键词或机构名称查询原报告）