1、华西计算机团队华西计算机团队2022年10月30日请仔细阅读在本报告尾部的重要法律声明请仔细阅读在本报告尾部的重要法律声明证券研究报告|行业深度研究报告分析师：刘泽晶SAC NO：S02邮箱：网络安全行业深度报告(2)拨开云雾见天日，守得云开见月明核心逻辑:网络安全的核心逻辑:1、短期，事件驱动，安全事件层出不穷，我国面临严峻挑战，同时网络安全战争目前正在结合传统战争演变成数字战争，攻击手段层出不穷，应高度重视网络安全；2、中期，合规驱动:我们认为合规是网安的”利刃”，在合规的催化下，网络安全产品矩阵和安全场景愈发完善。同时每一次强制性法规的出现往往伴随着网安爆品的出现和

2、安全边界的拓宽，此外随着HW规模加大，网安驱动因素正逐步转向防护能力驱动；3、长期，技术驱动:网络安全一直存在”机会”的原因是基础架构升级带动安全产品升级和边界的拓宽，以大数据、云计算为主的IT技术正在重塑网安版图，日志审查、态势感知、DLP、XDR、MSS、SASE等代表产品正在快速放量，此外，云原生、零信任、隐私计算、车联网场景有望对行业产生革命性影响。全能型网络安全厂商受益于产品矩阵丰富，有望最先受益。直销:“国家队”背景的网安公司有望成为市场主要玩家，以中电子、中电科、移动、电信为首的国企纷纷入股安全厂商。我们认为安全行业对于数据较为敏感、合规更加严格，“国家队”背景具备相对优势，同时

3、国有企业有望对参股公司进行资源倾斜和战略体系协同发展；军团业务有助于结构化订单的落地，军团优势在于单点突破，优势产品交付速度快，用户粘性较强。渠道:“:“跑马圈地”进入后半场，全能型厂商渠道建设进入尾声，即将跨入收获的黄金时期。研发:研发平台效果初显，研发效率全面提升，降本增效成为常态；关注全能型厂商收入与利润剪刀差:我们认为网络安全正在逐步走出”增收不增利”的”阴霾”，伴随着军团体系关注结构化订单，各大网络安全厂商现金流回归平稳阶段，同时伴随着政府Q4招标在即，我们判断之前受疫情影响的需求即将爆发，全能型网络安全厂商正在步入正向循环，新安全业务收入快速增加+传统安全提供稳定现金流渠道+直销体

4、系建设完成导致研发费用率下降研发平台效果初现，研发费用率大幅下降归母净利润的上升，网络安全收入与利润的剪刀差的逻辑正在兑现！投资建议:受益标的为全能型网络安全厂商:奇安信、深信服、启明星辰、安恒信息、天融信、绿盟科技、亚信安全。风险提示:核心技术水平升级不及预期的风险、竞争加剧风险、政策推进不及预期的风险、新兴技术风险。2资料来源：华西证券研究所目录301 网络安全的核心逻辑02 拐点之时，格局之变03 投资建议04 风险提示01网络安全的核心逻辑41.1 网络安全的核心驱动因素短期驱动:事件驱动，网络安全事件好比网安行业的“催化剂”，网络安全事件促使合规及法律法规加速推进，进而促使网络安全产

5、品逐渐丰富。代表的安全事件有斯诺登、滴滴、俄乌战争等安全事件。中期:合规驱动，合规好比网安行业的“利刃”和“抓手”，运用强制手段促进网络安全的产品架构升级及应用场景的逐渐丰富。例如国家安全法网络安全法信息安全技术网络安全等级保护基本要求数据安全法等。长期:IT:IT架构升级驱动，IT T架构升级是网络安全的“根基”，以云计算、大数据等技术为首的新兴科技快速发展，为网络安全带来全新挑战，促使网络安全产品升级和应用场景逐渐丰富，例如态势感知、虚拟化云安全资源池、隐私计算、SASE、SOC等。5网络安全核心驱动因素资料来源：华西证券研究所1.2 事件驱动是网络安全短期的“催化剂”事件驱动往往带动网络

6、安全指数价格短期的变化:事件影响往往是合规驱动的前提，而合规驱动带来IT改造量的变动和产品的升级。随着云、大、物、移、工等场景和架构的升级，网络安全事件呈现几何倍数增长。透过现象看本质:1、网安事件发生频率增多，根据CPR数据，2022年第二季度全球网安攻击次数同比增长32%，全球机构平均遭遇攻击约1200次。2、网安攻击呈现多元化趋势，网安攻击从单体作战转变成多人合作模式，攻击手段从传统的木马、蠕虫到APT、DDOS等。3、网络安全上升至国家战略高度，从最开始的个人信息泄露或财产损失上升到企业商誉损失，最后上升到国家战略高度。4、网络安全事件造成的损失正在逐步扩大，例如根据IBM的数据，20

7、22年数据泄露的平均成本高达435万美元。6网络安全事件资料来源：公开资料整理，华西证券研究所1.2.1 事件催化:斯诺登事件引发大网安时代事件起因:2013年6月，前中情局(CIA)职员爱德华斯诺登像卫报和华盛顿邮报披露美国国家安全局有代号为“棱镜”的计划。棱镜计划:是美国国家安全局(PRISM)自2007年开始实施的绝密电子监听计划，PRISM可以接触大量个人聊天日志、存储的数据、语音通信、文件传输、个人社交网络数据。其中包括个人电话的时长、通话地点、通话双方的电话号码。监控类型:电邮、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间和社交网络资料的细节。涉及公司:微

8、软、雅虎、谷歌、Facebook、PalTalk、YouTube、Skype、AOL、苹果等。针对中国:美国针对中国进行大规模网络进攻，并把中国领导人和华为公司列为目标。攻击的目标还包括商务部、外交部、银行和电信公司等。例如美国国家安全局入侵了移动、通信网络公司，监听了华为，获得客户资料和源代码等。7斯诺登事件时间线资料来源：百度百科，华西证券研究所2007年，棱镜计划由美国国家安全局开始实施。美美国国国家安全局可以获得的国家安全局可以获得的电子邮件、视频和语音交电子邮件、视频和语音交谈、影片、照片、内容等谈、影片、照片、内容等数据。数据。2009年，斯诺登利用为美国国家安全局服务的机会，接接

9、触并复印了大量监触并复印了大量监听计划的机密材料听计划的机密材料2013年5月20日，据称斯诺登带着秘密情报影印件从夏威夷潜逃香港6月06日，华盛顿邮报披露：美美NSANSA和和FBIFBI进入微软、进入微软、谷歌等九大网络巨谷歌等九大网络巨头的服务器，监控头的服务器，监控美国公民美国公民6月12日，斯诺登公布证据，表示美国政府表示美国政府网络入侵中国网络入侵中国网络至少有四网络至少有四年时间年时间6月16日，斯诺登爆料，英国政府英国政府20092009年年G20G20峰会期峰会期间，暗中截取与会间，暗中截取与会政要的通话，监控政要的通话，监控其互联网通讯其互联网通讯6月30日，英国卫报援引斯

10、诺登提供的情报披露，美美国对国对3838个驻美使馆个驻美使馆和外交办事处进行和外交办事处进行秘密监听秘密监听1.2.1 事件催化:斯诺登事件引发大网安时代“斯诺登事件”是国级网络安全发展史的里程碑，拉开了网络空间情报化和军事化的大幕。至此，各国政府加强了在网络空间的能力和建设，但同时加剧了网络安全的安全困境:大国战略博弈态势加剧:国际安全引发网络安全领域的博弈；国际机制构建对抗性突出:失灵的网络空间国际治理机制无法应对危机管控和冲突降级；低烈度冲突呈现常态化:国际网络安全特性引发大国在网络空间开展的低烈度对抗。国际网安的破局之路及后续影响:网络技术安全:技术是国级关系的重要变量，因此在斯诺登事

11、件后，各国高度重视网安，将具体的网安战略聚焦在网络数据和关键基础设施的防护。商业安全:由于斯诺登事件所揭露包括微软、推特、谷歌等公司，因此，网安的攻击对象不再是军队和政府，民用关键基础设施也成为保护对象，因此斯诺登事件极大促进网络安全对于军民两用的商业化。国际政治安全:斯诺登事件后，国家将关注重点聚焦在安全威胁上，因此现实主义的政治安全逻辑备受瞩目，进而推进网络安全走向战略博弈、军备竞赛等方向。8斯诺登事件引发的后续资料来源：安全内参，华西证券研究所1.2.1 事件催化:斯诺登事件引发大网安时代“斯诺登”事件后，“保障信息安全，实现核心软硬件的自主可控”上升至国家战略高度，国家安全法、网络安全

12、法等法规陆续出台，为我国加强信息安全保障体系、加强网络和信息开发应用、实现网络安全和信息技术的自主可控保驾护航。资本市场也迎来了长达两年的行情，2013年5月至2015年6月的网络安全指数从2232.08上涨至27503.64，上涨11.32倍。9斯诺登后续网络安全指数价格资料来源：WIND，华西证券研究所斯诺登事件后，保障信息安全上升至国家层面。斯诺登事件后，国家安全法、网络安全法等法规陆续出台。1.2.2 事件催化:滴滴事件引发数据安全时代事件起因:2021年6月30日，滴滴“突击”赴美上市，网信办随即在 7月2日发出公告，启动对滴滴的网络安全审查，同时停止新的用户的注册。此后数日，系列监

13、管措施进一步出台，对“滴滴出行”APP 和其他滴滴系 APP 进行全网下架，并开展全方位调研。网络安全审查对象:网络安全审查办公室宣布对“运满满”、“货车帮”、“BOSS 直聘”实施网络安全审查，审查期间停止新用户注册，对个人信息安全保护的监管措施逐渐走向常态化。后续结果:7月9日，经网信办核实，“滴滴企业版”等 25 款 App 存在严重违法违规收集使用个人信息问题，通知应用商店下架此25 款 App，各网站、平台不得为已在应用商店下架的 App 提供访问和下载服务；7月10日，网信办发布关于网络安全审查办法(修订草案征求意见稿），要求掌握超过 100 万用户个人信息的运营者赴国外上市，必须

14、向网络安全审查办公室申报网络安全审查。2022年7月21日，中国网信办公布，对滴滴处予80.26亿元人民币的罚款。10滴滴完整时间线资料来源：公开资料整理，华西证券研究所2021年6月10日，滴滴出行向美国证券交易委员会提交了1亿美元IPO申请。6月30日，滴滴登陆纽交所成功，代码为(DIDI)，当日收盘价为14.14美元，市值681亿元。7月2日，国家网信办官网发布公告，网络安全审查办公室宣布对滴滴出行审查。7月4日，国家网信办通知应用商店下架“滴滴出行”App，要求滴滴出行认真整改，保护个人信息安全。7月5日，网络安全审查办公室宣布对“运满满”、“货车帮”、“BOSS 直聘”实施网络安全审

15、查。7月9日，国家网信办宣布经检测核实，“滴滴企业版”等 25 款 App 存在严重违法违规收集使用个人信息问题，通知应用商店下架此 25 款 App。7月10日，网信办发布关于要求掌握超过 100 万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。2022年7月12日，互联网信息办公室发布，对滴滴处予80.26亿元人民币罚款。1.2.2 事件催化:滴滴事件引发数据安全时代中美博弈、暗流涌动:此次针对滴滴的大力度整顿，看似突发应对之举，实则是中美双方在金融+科技领域的又一次交锋，可谓暗流涌动，外国公司问责法案 与数据安全法冲突不言而喻。20202020年5 5月,美国

16、提出外国公司问责法案提出:其中要求，在美上市的外国企业要向美国证券交易委员会（SEC）提交审计底稿。对于掌握大量关键数据的企业而言，这其实意味着国家层面的数据安全风险。20202020年6 6月,中国数据安全法审议:其中要求，“非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”滴滴事件后续影响与数据安全:本次滴滴事件凸显了我国数据安全极大的隐患，同时我国陆续实施和出台数据安全法网络安全审查办法个人信息保护法等强制性法规，标志着我国数据安全进入全面的法制化轨道，数据安全/审查被推上风口浪尖。个人层面:数据安全关系个人财产、个人隐私安全

17、。企业层面:数据安全关系企业的经济效益、商誉及经营能力。国家层面:数据安全与国家公共服务、社会治理、经济运行、国防安全等方面密切相关，更是数字经济和国家竞争力优势的体现。112021年部分海外资本市场上市的科技公司资料来源：WIND，华西证券研究所1.2.2 事件催化:滴滴事件引发数据安全时代“滴滴”事件后，保障数据安全、确保数据处于有效保护和合法的状态成为常态，同时在国家战略引导下，我国在国家安全、网络安全、数据安全、个人信息保护、关键信息基础设施等多个领域密集出台了多项法律法规和政策文件，有效促进了网络安全领域的技术创新和应用落地。资本市场也迎来了大约半年的行情，2021年7月2日至202

18、2年1月17的网络安全指数从13868.15上涨至17182.07，涨幅约24%。12滴滴事件后续网络安全指数价格资料来源：WIND，华西证券研究所滴滴安全事件后，保障数据安全和监管成为常态。数据安全法、网络安全审查办法、个人信息保护法等法规陆续实施或出台。1.2.3 事件催化:俄乌冲突，网络战正与传统战争结合网络战争正在结合传统战争，演变成数字战争:360创始人周鸿祎在中国经济周刊表示，俄乌冲突网络战已经刷新人们对战争的认知，网络战已经不是幻想，而是现实。俄乌冲突足以看清国家背景的APTAPT攻击已经成为大国对抗的主流，网络攻击目标、手法和产生的破坏都在不断突破常规。截至6月3日，俄乌冲突1

19、00天的网络攻击主要有以下关键点:网络空间动荡不安:网络攻击被广泛使用在虚假信息宣传，网络攻击被用作一种破坏、中断和数据泄露的手段；针对关键基础网络设施攻击较多:比如通信服务、发电站遭受攻击较多，乌克兰和俄罗斯的能源、矿业和金融部门都遭受了大量攻击；黑客集体发挥主要作用:反俄行为者开展的“黑客攻击和数据泄露”式攻击；亲俄行为者对乌克兰盟友开展的DDOS攻击。注:右图破坏、中断、数据泄露、虚假信息分别指数据或系统损坏的攻击、DDOS导致服务器或操作系统中断的攻击、数据泄露或窃取、虚假信息宣传。13资料来源：安全内参，华西证券研究所俄乌战争中的网络攻击和行动1.2.3 事件催化:俄乌冲突，网络战正

20、与传统战争结合网络安全事件上升至国家冲突，应高度重视网络安全:俄乌冲突中，网络安全攻击呈现有组织、有预谋、攻击速度快、规模庞大、影响后果严重等攻击形式，攻击方法多以APT、DDOS、数据泄露等方式，各个国家公众设施、能源、金融、媒体等分别受到不同程度的攻击，严重危害国家主权，此次俄乌冲突网安事件引起全球高度重视。通信服务受到影响:信息和通信技术是战争期间攻击目标的最显眼领域之一，例如在3月28日乌克兰一家主要网络提供商遭到袭击后，乌克兰发生了全国范围的网络中断，网络连通性崩溃至战前水平的13%，在最初中断发生约15小时后才得以恢复服务。能源、矿业和金融行业深感压力:目前已经记录了12起针对俄罗

21、斯组织的攻击，其中多数（8起）是黑客攻击及后续数据泄露，2起攻击导致网站/公共界面篡改。冲突升级，引入恶意擦除软件:随着冲突规模升级，破坏性网络攻击和行动被继续使用，例如4月8日，一次使用恶意擦除软件对乌克兰变电站的攻击被挫败，如果此次攻击成功，将导致大约200万人断电，恢复供电将十分困难；4月18日，一家俄罗斯银行的攻击导致了超过1TB的数据被泄露，其中包括财务报表、代币、税务表格、客户信息和敏感数据库14俄乌冲突中各行业受到的攻击资料来源：安全内参，华西证券研究所俄乌冲突中各国各行业受到攻击1.3 合规驱动是网络安全中期的“利刃”合规是网络安全建设的利刃，具有承上启下的效果:网络安全可以理

22、解成“半合规驱动型”行业，合规/法律往往承接“大安全”事件的发生，又以强制性的方式督促网络安全的建设、产品模块的升级、应用场景的丰富。透过现象看本质:1、法律法规具有连续性，网络安全的法律法规、监管体制逐渐健全，精细化程度、惩罚力度逐渐加强。2、在合规的强制性驱动下，网络安全产品矩阵逐步完善，安全边际和场景进一步拓宽，市场份额进而扩大。法规对产品具有“催化”作用:我们认为，近几年的法规可以理解成“3+1”层面，即“综合网络安全类型法规”、“数据安全类型法规”、“垂直场景类型法规”和“需求类型法规”，每一种类型的法规都有爆品出现、原有产品升级或安全边界的拓宽！15网络安全重点法规及其意义资料来源

23、：公开资料整理，华西证券研究所种类种类层面层面颁布颁布/实施时间实施时间政策名称政策名称内容内容/意义意义影响影响ITIT改造额改造额综合类国家层面颁布/实施:2015年7月1日国家安全法维护网络安全主权上升至国家战略和法律层面维护网络安全主权上升至国家战略和法律层面。较小综合类国家层面通过 2016年11月7日实施:2017年6月1日网络安全法从根本上填补了我国综合性网络信息安全基本大法从根本上填补了我国综合性网络信息安全基本大法、核心的网络信息安全法和专门法律的三大空白。较大综合类国家层面发布:2019年5月13日实施:2019年12月1日信息安全技术网络安全等级保护基本要求等保2.0明确

24、了网络系统的等级保护定级标准，尤其明确了云计算、物联网和工业控制系统的安全扩展要求极大数据类国家层面发布:2021年6月10日实施:2021年9月1日数据安全法数据治理权力、国家数据安全监管声明，为合法处理数据、保障数据处理安全等，均提供了充分的法处理数据、保障数据处理安全等，均提供了充分的上位法安全上位法安全。目前中等，即将爆发数据类国家层面发布:2021年11月16日实施:2022年2月15日网络安全审查办法对数据安全法进行的修订，进一步保障网络安全和数据安全，维护国家安全。进一步保障网络安全和数据安全，维护国家安全。中等垂直场景类部委层面发布:2022年9月16日国家车联网产业标准体系建

25、设指南（征求意见稿）指南指出，建设网络安全标准主要包括证书密钥管理、网络安全防护2大类技术标准。我们认为我们认为是车联网场景对于安全的需求，安全边界进一步拓宽是车联网场景对于安全的需求，安全边界进一步拓宽目前较小、即将爆发垂直场景类部委层面发布:2022年11月24日工业互联网综合标准化体系建设指南（2021版）指南指出，安全体系是工业互联网健康发展的保障安全体系是工业互联网健康发展的保障，随着我国工业互联网的快速发展，安全问题将更加突出，需以安全分类分级标准规范为基础，进一步加快安全防护、安全管理、安全应用服务等标准研制。目前较小、即将爆发需求类部位层面实施:2016年至今HW行动是一场由公

26、安部组织的网络安全攻防演练，目的是针对全国范围的真实网络目标为对象的实战攻防活动，旨在发现、暴露和解决安全问题。我们认为我们认为HWHW行动意义在于证明网安行业不仅仅是合规驱动，行动意义在于证明网安行业不仅仅是合规驱动，还是实际安全需求驱动。还是实际安全需求驱动。中等1.3.1 综合类法规：基础产品升级+场景拓宽我们认为综合类法规是指对全行业基础网安产品升级和边界拓宽具有促进意义的法律法规。从事件梳理可以看出，综合类法规对网络安全定义进一步完善，对事件的惩罚力度进一步加强。16综合类法规事件结构梳理资料来源：公开资料整理，华西证券研究所1.3.1 综合类法规：基础产品升级+场景拓宽我们认为等级

27、保护2.02.0是强合规政策，是在网络安全法的背景下进一步规定了具体产品要求和应用场景。等保 2.0 2.0 关注点一,场景拓宽：明确新增云计算等新安全拓展要求从内容的结构上来看，新标准为安全通用要求+四大安全拓展要求（云计算、移动互联、物联网、工控），由此利好云计算、移动互联、物联网、工控四大信息安全新兴蓝海市场。等保2.02.0关注重点二，产品升级:具体包括系统管理、审计管理、安全管理（三级&四级）、集中管控（三级&四级），后两者突出了汇总分析的功能，明确的提及了对于网络中的链路、安全设备、服务器等的运行情况进行集中监测、对于审计数据进行集中分析。17综合类法规事件结构梳理资料来源：公开资

28、料整理，华西证券研究所等保等保1.01.0等保等保2.02.0保障体系被动防御:一个中心三重防护(防火墙、入侵检测、防病毒)，以防为主全方面主动防御:事前、事中、事后；感知预测、动态防护、安全监测、应急响应等定级对象信息系统基础信息网络、工业控制系统、云计算、移动互联网、其他网络、大数据等多个系统评测周期三级的每年一次、四级的半年一次三级以上系统每年一次技术要求包括技术要求(物理安全、网络安全、主机安全等)和管理要求(安全管理机构、安全管理制度、人员安全管理等)共290项更新为技术要求(安全物理环境、安全通信网络、安全计算环境等)和管理要求(安全建设管理、安全运维管理、安全管理机构和人员)共2

29、32项其他新增要求-新增对新型网络攻击行为防护和个人信息保护等信要求:新增入侵防范(防火墙、IDS、IPS等)、恶意代码防范(邮件防护)、集中管控(VPN、堡垒机、终端安全软件、SOC/态势感知等)、安全审计(日志审计)等1.3.1 综合类法规：基础产品升级+场景拓宽法律法规促使原有产品升级:新的法规出台行业往往根据针对性新增采购，同时产品升级带来的原有产品进行替换，例如下一代防火墙、终端安全管理。法律法规促使新产品成为爆品:态势感知、日志审查在19年成为检查重点，值得一提的是，根据数据内参数据，截至2020年9 9月，全能型厂商基本全部配备态势感知、日志审查产品。18综合类法规促使产品升级及

30、成为爆品资料来源：公开资料整理，华西证券研究所20年9月配备态势感知、日志审查的公司类型1.3.1 综合类法规：基础产品升级+场景拓宽法律法规促使安全边界进一步拓宽，随着边界的拓宽，市场份额进一步扩大，应用产品愈加丰富。19综合类法律法规促进安全边界拓宽资料来源：公开资料整理，华西证券研究所1.3.2 数据类法规:数据安全产品爆发+升级我们认为数据类法规是对数据安全类产品具有促进业务的法规，数据安全法出台后，明确数据安全的具体意义，通常指用于保护计算机系统中数据不因偶然和恶意的原因遭到破坏、更改和泄露的安全工具，以确保数据的可用性、完整性和保密性。数据安全的覆盖范围主要包含:数据处理，包括数据

31、的收集、存储、使用、加工、传输、提供、公开等。透过现象看本质:政策逐步覆盖基础设施、个人、出入境，应用场景进一步明确，政策频率明显加快，数据交换共享需求愈发强烈。惩罚力度逐渐加强、监管进一步加强、国家政策导向进一步推动数据3.03.0时代的加速到来。20数据类法规事件结构梳理资料来源：公开资料整理，华西证券研究所1.3.2 数据类法规:数据安全产品爆发+升级数据安全类法规同样是产品的催化剂，我们以数据安全法为时间界限大致梳理数据安全产品线:数据安全1.0:1.0:对应时间约为17年-18年，以数据库等单系统的安全为核心，这一时期数据安全强调针对边界的防护和审计，数据库、防火墙、IDS、入侵检测

32、、数据防泄漏、数据库审计等产品较为成熟。数据安全2.0:2.0:对应时间19年-21年，跨部门网络边界的数据流动成为常态，数据企业为核心，同时数据安全法的出台促使产品的加速落地，因此数据产品愈加丰富，态势感知、风险评估、数据安全平台、数据分级分类、身份识别管理等产品快速发展至成熟。数据安全3.0:3.0:对应时间未来近几年，数据脱离个人和企业层面，数据交易市场成型，隐私计算产品预计爆发！21数据类法规事件结构梳理资料来源：华西证券研究所1.3.3 垂直类法规:进一步拓宽安全边际我们认为垂直类法规是对安全边际及进一步的拓宽，安全边际进一步拓宽会催生出新的安全产品，例如车联网、工业互联网。车联网:

33、我们认为随着国家车联网产业标准体系建设指南(智能网联汽车)（2022年版）（征求意见稿）的出台，安全边际会以此为转折点，透过现象看本质:车联网安全具体安全产品建设指南逐渐健全，同时指南对于安全产品建设具有强制性和推荐性。目前来看，部分产品准则处于研判中，但是我们预计随着正式指南的出台，网络安全边界会正式进入车联网，产品体系从而健全，安全产品在车联网中会进入爆发期。22车联网垂直法律法规政策梳理资料来源：人民政府网，华西证券研究所国家车联网产业标准体系建设指南关于安全细节批露安全安全项目标准及分类项目标准及分类标准性标准性质质状态状态项目标准及分类项目标准及分类标准性标准性质质状态状态分类分级安

34、全防护分类分级安全防护安全管理安全管理工业互联网企业网络安全分类分级定级指南待制定工业互联网安全运维管理要求待制定联网工业企业安全防护规范待制定工业互联网安全风险评估规范待制定工业互联网标识解析企业安全防护规范待制定工业互联网企业安全上云实施指南待制定工业控制系统信息安全第 1部分：评估规范推荐已发布“5G+工业互联网”安全技术要求待制定工业控制系统信息安全第 2 部分：验收规范推荐已发布面向电网的 5G+工业互联网应用安全技术要求待制定信息安全技术数控网络安全技术要求推荐已发布工业互联网密码应用基本要求待制定工业互联网安全数据采集设备技术要求待制定“5G+工业互联网”安全技术要求待制定工业互

35、联网设备安全防护要求待制定工业互联网设备安全防护要求待制定工业交换机安全防护要求待制定 工业交换机安全防护要求待制定安全管理安全管理安全技术及产品应用安全技术及产品应用工业互联网安全态势感知系统技术要求推荐已发布工业互联网安全审计终端技术要求待制定工业互联网安全事件应急相应实施指南待制定工业互联网流量安全采集与分析技术要求待制定1.3.3 垂直类法规:进一步拓宽安全边际工业互联网方面，我们认为以工业互联网标准化建设体系为转折点，安全边际进一步拓宽，原因是建设体系明确规范了网络、边缘计算、安全标准和典型应用等方向，同时面向汽车、电子信息、钢铁、轻工家电、装备制造、等重点领域。透过现象看本质:工业

36、互联网呈现ITIT和OTOT融合态势:法规重点强调大数据、云、5G和工业互联网的融合。法规的出台规定了安全应用标准:安全应用标准有利于安全统一建设，标准出台催生着标品的产生。由于大部分工业互联网安全细责建设标准仍处于待制定，我们认为，随着统一建设体系的出台，工业互联网安全建设会正式进入爆发期。23车联网垂直法律法规政策梳理资料来源：人民政府网，华西证券研究所工业互联网标准化建设体系部分安全细则处于待制定状态1.3.4 HW行动:安全驱动由合规驱动逐步转向防护效果驱动HWHW行动使是一场由公安部组织的网络安全攻防演练，目的是针对全国范围的真实网络目标为对象的实战攻防活动，旨在发现、暴露和解决安全

37、问题，检验我国各大企事业单位、部属机关的网络安全防护水平和应急处置能力。一般持续时间2-3周。从现象看本质：HWHW行动的参与对象明显增多，从原来政府部门为主要参与机构转变为千行百业。HWHW行动的针对性明显加强，从原先的紧急备案、彩排转变为针对网络安全的重难点对象进行攻防对抗。我们判断HW真正在意的是攻防对抗演练的结果，从结果中查缺补漏，进而增强网络安全在实战中的对抗，因此，HWHW行动证明了网络安全不仅仅是合规驱动，也是真正意义上的防护效果驱动，同时HWHW行动也会进一步带动网络安全服务规模的加大。24HW行动事件梳理资料来源：公开资料整理，华西证券研究所1.4 IT基础架构驱动是网络安全

38、长期的”根基”网络安全一直存在“机会”的原因:网络安全属于伴生型行业，每一次ITIT基础架构升级都会带动网络安全产品的升级和应用边界的拓宽，进而促使网络安全投资额度增加，以云计算、大数据等为主的ITIT技术正在重塑网络安全的版图。正向循环:IT基础架构升级网络安全攻击愈发复杂网络威胁暴漏面增加网络安全产品升级分类:我们将网络安全IT架构升级分为4类，分别是“基础安全类”、“大数据类”、“云计算类”、“垂直场景类”。25中国网络安全市场规模(亿美元)资料来源：IDC，华西证券研究所33.5541.565770.187.03120.4143.4176.9215.8262.6317.30501001

39、50200250300350200022E2023E2024E2025E2026E中国网络安全市场规模(亿美元)垂直场景类:车联网、工控。基础网安:下一代防火墙功能升级大数据类:态势感知、日志审查、DLP、零信任等云计算类:安全资源池、SASE、XDR、MSS等1.4.1 基础网安类:下一代防火墙功能升级外因:1、物理边界变化:云原生、物联网兴起、网关需求；2、防护需求:更精准检测、加密溯源等；3、安全管理:部署规模加大、环境语法复杂，可持续的监管。下一代防火墙功能升级:定义为能够对流量执行深度检测，并阻断攻击。我们认为NGFW可以看作新环境下传统防

40、火墙的替代品，融合了NAT、VPN、IPS、IDS、UTM等技术，增强了传统防火墙的管控能力和集成能力。客户需求:基础网安产品平均替代周期为3年，为抵御更复杂的外部网络安全攻击，客户需要定制功能更为强大的终端、边界产品。此外，客户可以根据需求定制标准化的下一代防火墙，或者是根据需求定制功能更强大的VPN、IPS、NGFW等产品。网安公司:客户持续需求带动投资额度增加，下一代防火墙具有联动型，带动其他产品投资额度增加。26防火墙的升级路线图资料来源：公开资料整理，华西证券研究所客户对基础安全(终端、边界安全)的定制模式1.4.2 大数据类:覆盖数据全生命周期，搭建安全体系我国20152015年正

41、式进入大数据时代:随着芯片技术升级和数据规模呈现指数级别的增长，大数据进入千行百业，数据交换共享的需求更为强烈！由此而生的数据安全问题也被推到风口浪尖。大数据具有5V5V特征:Volume、Velocity、Variety、Value、Veracity分别对应大量、高速、多样化、价值、真实性。大数据技术为网络安全搭建全生命周期安全体系:随着大数据的愈发发达和数据量的增大，网络安全产品愈发繁荣，19-20年对应态势感知、日志审查类产品，21-22年对应DLP、数据库安全类别产品。根据IDC的报告称，未来近几年数据安全的变革型技术分别为隐私计算技术和零信任架构。272022年中国数据安全技术资料来

42、源：IDC，华西证券研究所大数据5V特征1.4.2 大数据类:态势感知、日志审查满足合规，具备”粘性”态势感知:是安全能力的落地，是基于环境的、动态、整体地洞悉安全风险的能力，是以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式，最终是为了决策与行动。具有针对攻击监测、快速安全决策和响应、全面掌握攻击者预防和攻击、完善防御体系等功能。日志审计:是用于全面收集企业IT系统中常见的安全设备、网络设备、数据库、服务器、应用系统、主机等设备所产生的日志并进行存储、监控、审计、分析、报警、响应和报告的系统。具有高频日志监测、事件快速分析、快速事件查询、快速存储能力监

43、测等功能。下游厂商满足合规需求:公司配备态势感知、日志审查系统满足网络安全法、等保2.0等法律法规的明确规定。下游厂商满足安全管理需求:日志审查和态势感知能够快速分析安全事件的事后分析，并做到快速响应。态势感知和日志审查具备产品粘性:产品需要连接资源层，包括基础产品、安全设备，比如防火墙、IDS、IPS产品等，对于网络安全厂商而言可以带动基础产品的出售。28奇安信态势感知平台架构资料来源：奇安信官网，阿里云官网、华西证券研究所阿里云日志审计服务架构1.4.2 大数据类:DLP、数据库安全为数据安全保驾护航数据泄露防护系统(DLP):(DLP):基于机器学习、关联分析、密码技术、访问控制、数据标

44、识等多种技术的综合性数据安全防护产品。对数据生命周期中的各种泄密途径进行全方位检测防护，起到对敏感数据泄露行为的事前发现，事中拦截以及事后溯源等功能。具有便捷灵活、透明加密、高度稳定性、强大兼容性、详尽日志审记、容灾备份等特点。目前全能型厂商天融信、启明星辰、奇安信、绿盟科技、亚信安全皆已配备，根据安全创客汇的数据，2021年中国DLP市场仅为13.7亿元，19-21平均增长率为18.7%。数据库安全:基于机器学习机制和大数据分析技术，提供数据库审计，SQLSQL注入攻击检测，风险操作识别等功能，保障数据库的安全。目前全能型厂商安恒信息、天融信、深信服、绿盟科技、启明星辰全皆已配备。根据安全创

45、客汇的数据，2021年中国数据库安全市场超过29亿元，同比增速高达23.9%。下游厂商满足合规需求:配备DLP和数据库安全满足数据安全法的需求。下游厂商的安全内生需求:根据安全内参数据，共收录全球政企机构重大数据安全报道420起，其中2019年286起，2020年1-8月134起；数据泄露相关安全事件高达406起，占总事件96.7%。此外根据IBM的数据，2022年数据泄露的平均成本高达435万美元。29启明星辰DLP解决方案资料来源：启明星辰官网、天融信官网，华西证券研究所天融信数据库审计与防护分布式部署架构图(注TA-DB数据库安全产品)1.4.2 大数据类:数据3.0时代即将到来，力推”

46、隐私计算”隐私计算:能在保证数据提供方不泄露原始数据的前提下，对数据进行分析计算，保障数据以”可用不可见”的方式进行安全流通。而且隐私计算中的多方安全计算技术也可以控制数据的用途以及用量，进而做到数据“用途可控可计量”。此外，隐私计算还可以强化在“数字身份、算法、计算、监管”等方面的信任机制，进一步完善数据要素的确权、定价与交易的可信体系建设。隐私计算的规模:根据Gartner数据，2024年全球市场规模可达150亿美元，此外，Gartner表示到2025年，将有60%的大型组织会在分析、商业智能或者云计算中使用一种或多种隐私增强的计算技术。根据安全创客汇数据，乐观估计，未来3年将达100-2

47、00亿元人民币的空间，甚至将撬动千亿级的数据平台运营收入空间。隐私计算三种技术架构:多方安全计算(MPC)、联邦学习(TFL)、可信执行环境(TEE)网络安全按厂商:我们认为网安厂商充当计算方，目前隐私计算在网安厂商正处于研发期，研发的全能型厂商有奇安信、安恒信息、启明星辰等。30隐私计算架构(注:网络安全公司充当计算方)资料来源：Gartner、艾瑞咨询、亿欧智库、华西证券研究所隐私计算三种技术架构1.4.2 大数据类:“新安全需求”，力推零信任零信任架构：一种数据安全的端到端方法，提供一系列组件及其交互关系，以消除针对信息系统和服务进行精准访问判定所存在的不确定性，相较于传统边界安全（如典

48、型的vpn），在架构导向和访问控制模式等方面进行了全面升级。零信任机构代表了新一代的网络安全防护理念，它的关键在于打破默认的“信任”，一言以蔽之：“持续验证，永不信任”。默认不信任企业网络内外的任何人、设备和系统，基于身份认证和授权重新构建访问控制的信任基础，从而确保身份可信、设备可信、应用可信和链路可信。随着大数据和云计算的广泛采用，零信任架构正在因其无边界和持续验证的属性受到主流机构的认可。根据Gartner预测，2022年将有80%的新数字业务采用零信任的方式进行网络访问；更重要的是，2023年将有60%的企业计划从传统VPN 向零信任架构迁移。根据MarketsandMarkets，全

49、球零信任安全市场规模预计将从2019年的156亿美元增长到2024年的386亿美元，年复合年增长率为19.9，同时全球零信任占整体安全市场规模比例有望在2024年达到15%。以此比例估算2024年国内零信任市场规模有望达百亿元人民币。31资料来源：公开资料整理，华西证券研究所零信任架构示意图传统安全与零信任对比传统安全传统安全零信任架构零信任架构以网络安全为中心以应用和数据安全为中心以信任为基础的访问控制以默认零信任为基础的访问控制资源对外可见不可用资源对外不可用/可用均不可见静态的访问控制策略基于信任的动态访问控制策略1.4.3 云计算类:云与安全的融合已成大势所趋云与安全的融合已成趋势:云

50、计算作为IT的底座，逐步普及到各行各业敏捷开发与业务创新，而云原生技术架构的出现，将安全能力和云平台真正的合二为一，实现内生安全。我国目前正处于第二阶段初期(安全虚拟化)。市场份额:根据艾瑞咨询数据，18至21年中国云安全市场平均年增长率约46.5%，24年中国云安全市场规模预计达到254亿元。安全虚拟化:虚拟化是云计算的基础，通过虚拟机共享安全资源，提高IT效率、安全性能、降低运维成本，代表产品为安全资源池；云原生:安全产品的设计在最初就考虑云环境，可以说是云安全能力和云平台能力的融合，是云安全的未来。云原生的出现打破传统安全架构，以应用软件为边界，大幅提高安全运行能力；同时云原生安全技术架

51、构通过弹性扩展更适合私有云、混合云的架构。代表产品为SASE、XDR、MSS等。322021年云安全技术成熟度曲线资料来源：Garnter，华西证券研究所云安全技术升级和代表产品示意图1.4.3 云计算:云安全资源池用”云”赋能”安全”云安全资源池:指的是安全能力的云化，是基于虚拟化的技术，在包括云环境在内的 IT 环境中提供安全检测与防护的资源整合平台。安全资源池可以与UTM、SOAR、日志审查、VPN等产品部分融合，产品形态包括软件和硬件产品。具有安全能力丰富、流量自动编排、灵活拓展等特点，解决云环境下安全响应不及时等难题。产品优势:1)1)实战能力:产品本身可用性、易用性、云化、服务化、

52、行业化、运营化和实战化需求提升；(2)(2)协同、丰富度能力提升:池内安全能力的丰富性、专业性，同时具备统一管理、协同联动能力；3 3）生态:打开了安全厂商和云服务提供商、运营商的生态合作能力。市场规模:根据IDC的数据，2020年中国安全资源池市场规模超过一亿美元，同比增速为26.5%。即使是在疫情的大背景下，仍保持快速扩张态势。未来随着政企上云节奏能力加快，安全协同联动和统一安全能力加强等内生需求，安全资源池市场将持续爆发。目前，全能型厂商皆已具有安全资源池能力。33天融信云安全资源池产品架构资料来源：天融信官网、深信服官网，华西证券研究所深信服云安全资源池产品架构1.4.3 云计算:安全

53、托管服务(MSS)实现”人机共智”安全托管服务(MSS)(MSS)：是由安全服务提供商提供的安全运维外包服务，云计算的出现和MSS服务可以帮助企业集中精力于安全优先级高的任务，提供商负责日常威胁管理、数据保护和持续的合规要求，实现“人机共智”，可以理解成安全运营中心(SOC)2.0版本。MSSMSS优势：1)1)降本增效:降低企业IT运维成本，提高IT人员效率；2)2)全天候监控：724小时的监控服务；3)3)及时风险监控和解决问题:有效风险监控和及时发现并解决安全问题。MSSMSS市场规模:根据IDC的数据，2021年MSS市场规模为5.48亿美元，同比增长61.2%，相较于2019年，实现

54、了92%的高增长。疫情下，MSSMSS远程托管服务以其效率高、成本低的优势迅速发展，被众多中小企业接受和使用；对大型企业来说，“驻场和远程的结合”成为了首选。未来，随着企业身上云节奏加快，MSS市场会持续爆发。34绿盟科技MSS服务示意图资料来源：绿盟科技官网，深信服官网，华西证券研究所深信服MSS服务示意图1.4.3 云计算:SASE架构是安全和网络的深度融合SASE(SASE(安全访问服务边缘):):是广域网(SD(SD-WAN)WAN)和网络安全的结合，可以理解成是云、网、边、安全的融合，可以将人员、设备、服务、物联网相关联，根据GARTNER2021年预测，SASESASE将在未来来2

55、 2-5 5年，产生革命性的影响。SASE的特点与优势如下:云原生安全架构:灵活性、安全可扩展、自适应性、自恢复能力和自维护能力极佳，SASE平台对于客户来说成本更低、效率更高。边缘节点广泛覆盖:SASE将安全能力(下一代防火墙、终端安全等)分布在边缘，提供更快接入、处理、执行能力和全网内低延时的安全访问，依托边缘云节点，保证任何地方可以提供网络和安全服务，满足企业数字化能力的同时实施全方位安全边界覆盖。网络即服务:可以通过轻量化边缘能力满足用户终端、数据中心的数据互通、加速等需求。安全即服务:通过轻量化边缘构建完整的安全能力，同时根据需求随时弹性扩展网安能力，满足运维需求。35深信服SASE

56、架构资料来源：GARTNER，华西证券研究所1.4.3 云计算:云原生架构使XDR成为检测与响应利器XDR(XDR(扩展检验响应):):是在云原生架构下实现的网络安全中台，是跨越多个安全层收集、并自动关联信息以实现快速威胁检测的方法。XDR理念由Palo Alto2018年提出，在2020年被Gartner命名为第一大安全趋势。产品角度:集成安全架构:融合了“EDR+NDR+SOAR+威胁情报+安全中台+X”的一站式安全检测与响应平台，同时支持传统IT、公有云、私有云、单云、多云、混合云架构，XDR 都能够更快、更准确地检测网络攻击活动。威胁监测效率大幅提高:XDR兼备数据互操作性和AI能力，

57、在兼具集成架构的同时，可以进行更快、更深的威胁发现，从而实现一处检测、全局响应，进而提升企业运营效率，同时配合终端基础设施优化企业支出。企业角度:节省开支:具备方案集成度高、部署成本极低，同时具备即开即用、弹性扩容、按量付费等优势。产品具备联动型:XDR中台需要连接传统资源层，例如WAF、NGFW，XDR解决方案可带动基础安全产品的出售。36资料来源：Garnter，华西证券研究所腾讯安全XDR架构图1.4.4 垂直场景类:车联网安全欲将爆发！我们认为垂直场景类是网络安全的安全边界的拓宽，相关场景正处于加速器或是探索期，例如车联网、工业互联网。我们认为随着重点车联网安全场景细分合规的落地，车联

58、网场景欲将成为网络安全下一爆发式场景，场景可分为三类:智能汽车:随着智能汽车高速智能化，我们可以将汽车理解成安全终端，相关操作系统、Tbox亦需要网络安全的加持。通信/数据传输:车路协同、人机协同等需求为大势所趋，域实现此项功能需要大量数据安全传输，通信、数据安全为众望所归。云端/服务器安全:我们认为可以将车辆云端服务器理解成服务器又一拓宽场景，相关中台产品或是云计算安全产品可以应用在此。目前车联网安全场景仍处于探索期，相关产品处于研发阶段，产品依旧具有不确定性，然而相关全能型网络安全厂商正在加速布局此类场景，例如奇安信、天融信、绿盟科技、安恒信息、亚信安全等。37车联网安全示意图资料来源：华

59、西证券研究所1.4.4 垂直场景类:工业4.0推动安全标准化产品出现我国目前正处于工业4.04.0的加速期，特点如下:传统OT正在和IT加速融合，相关5G、大数据、云安全技术正在高速融合进入工业互联网。工业4.0极大催化安全产业的繁荣。工业安全的痛点:工控安全下游产业类型较为复杂，例如水力、制造、交通、电子信息、钢铁等，每一种类型的产业需要的安全产品都属于定制化的安全产品。工业4.0 安全边际变化特点如下:工业4.04.0安全对于下游厂商来说是内生安全需求:针对关键基础设施的网络攻击，如对通信服务和发电站的攻击，这将直接影响到各行业的生产流程，进而影响企业的经营。例如伊朗国有钢铁公司胡齐斯坦因

60、遭遇网络攻击被迫停产、西北工业大学遭受境外网路攻击。工业4,04,0安全催生工业领域投资额度加大:由于内生安全需求，企业对于工业安全定制化产品的投资额度增加，例如大量购买工控漏洞扫描、工业防火墙、核心交换器、工业网闸等产品。大数据、云安全、5G5G催生工业领域标准化产品出现:随着云计算、大数据、5G等技术相继融入工业互联网，更多的服务器选择上云，上云导致对数据中台安全产品和云安全产品需求更多，相关领域产品更类似于标准化产品，例如XDR、态势感知、DLP等产品。38工控安全产品示意图资料来源：华西证券研究所1.5 网络安全板块回调的原因？我们认为网络安全板块回调的最主要因素分为以下两点:网络安全

61、公司陷入“增收不增利”困境；疫情导致网络安全下游展开安全建设困难。39网络安全板块回调原因资料来源：Wind，华西证券研究所网络安全厂商增收不增利疫情导致下游无法开展安全建设02拐点之时，格局之变402.1.1 网络安全竞争格局复盘网络安全行业一共经历了三个阶段，分别是“初始阶段”、“平稳发展阶段”以及“高速增长阶段”。初始阶段:1997年至2007年，市场依旧以反病毒、防火墙、密码学为主导，市场被外资厂商主导，例如思科等，早期安全巨头开始成立，例如启明星辰、天融信、绿盟科技。平稳发展阶段:2008年至2014年，增速平缓，行业集中度略有提升，国产化加速，外资行业份额下降，以第一家网安公司卫士

62、通上市为开始，预先上市的公司开始兼并收购，加速行业整合。高速增长阶段:2015年至今，以斯诺登事件为开始，阿里、华为、腾讯等互联网和ICT厂商进入市场，行业竞争加剧，同时，随着云计算、大数据等新兴技术兴起或者工业互联网等新兴领域，市场进入高速成长期。412000年网络安全应用格局资料来源：GARTNER，华西证券研究所37.50%27.30%31.30%1.60%2.30%反病毒防火墙商用密码CAIDnA2015年至今华为、阿里、腾讯安全格局互联网或互联网或ICTICT巨头网安产品体系巨头网安产品体系阿里阿里腾讯腾讯华为华为基础安全基础安全漏洞扫描、资产分析、端点安全、基础建设安全等基础安全基

63、础安全Web应用防火墙、DDOS防护、网络入侵防护、高级威胁监测系统、主机安全、堡垒机、数据安全审计、数据安全治理等防火墙及应用防火墙及应用安全网关安全网关下一代防火墙、AI防火墙等应用程序安应用程序安全全系统安全、移动安全、应用安全、IoT安全安全云服务安全云服务乾坤云服务解决方案数据安全数据安全媒体安全、密态计算、隔离计算、离线数据共享、保密等级鉴别等业务安全业务安全借贷反欺诈、注册保护、登录保护、安全平台等DDOSDDOS攻击防御攻击防御DDOS防御系统内容安全内容安全图像/热视频分析、自然语言处理、音频技术大数据分析及大数据分析及APTAPT防御防御沙箱智能风控智能风控防欺诈、恶意行为

64、等安全服务安全服务安全专家服务、凭据管理服务、钥匙管理系统、云加密机、渗透测试服务等安全管理安全管理日志审计系统AIAI安全与治安全与治理理AI鲁棒性及安全防护、算法公平性与可解释性等2.1.2 网安行业的”破局”之路综合性网络安全厂商的兼并收购:我们对“综合性安全厂商”的定义是无论是产品广度、业务广度还是市场占有率都处于龙头地位，综合性网络安全厂商通过融资兼并收购来弥补自己安全领域的短板，提高产品的丰富度，来保持强者恒强的地位。布局新兴网络安全的综合性厂商:基础网络安全的市场增速已经明显进入放缓阶段，然而新安全的市场前景依旧广阔，增速较快。唯有布局新兴安全领域的厂商才有更广阔的市场空间，我们

65、新兴安全领域有数据安全、平台类安全、云安全与云计算。布局新安全的厂商有:数据安全:奇安信、安恒信息、天融信、启明星辰、绿盟科技等；平台安全(SOAR类产品、例如态势感知、XDR等):奇安信、启明星辰、天融信、安恒信息、绿盟科技、亚信安全等；云安全:深信服、天融信、奇安信、安恒信息、启明星辰、绿盟科技等；云计算:深信服、天融信等。42综合性网络安全厂商的兼并收购资料来源：WIND，华西证券研究所全能型厂商全能型厂商时间时间控股控股/参股厂商参股厂商领域领域股份份额股份份额启明星辰2012年8月网御星云网络安全产品100%2014年11月合众信息商用密码领域51%2015年6月书生电子商用密码领域

66、75%2016年6月川陀大匠信息技术咨询100%2016年9月Clouldminds云安全、移动安全3.5%2017年1月智为信息抗DDOS服务30%2019年7月赛博兴安技术开发与信息服务100%绿盟科技2014年9月亿赛通数据防泄漏100%2014年10月安华金和数据库安全25%2014年11月敏讯科技计算机服务及设备55%2015年3月金山安全信息服务19.91%2015年4月邦盛金融反欺诈11.56%2016年3月阿波罗云云计算(SDN)15.89%2016年4月NopSec威胁情报何风险管理9.57%2016年9月易霖博安全培训10%2017年1月九州云腾云安全13.60%2017年

67、5月Zenlayer云计算(SDN)4%2018年6月杰思安全安全检测与响应14.29%2.2.1 网安硬件:竞争格局稳定、强大的现金流支撑网络安全根据产品何服务方式可以分为硬件、软件、安全，根据IDC的数据，2021年市场规模分别为37.7、34.2、28.61亿美元，占比分别为37.5%、34%及28.5%。硬件:我们认为硬件市场格局区域稳定，颠覆者寡，且硬件多为半标品，具有快速复制性，硬件为王的厂商可以为企业提供庞大的现金流，但是由于硬件多为集成，毛利率较低，且市场增速较低。UTM+UTM+下一代防火墙:市场规模较大，整体增速约等于硬件增速，竞争格局稳定，颠覆者寡，代表厂商为天融信和启明

68、星辰。入侵检测与防御+上网行为管理:由于市场受到功能融合类产品冲击，增长乏力，规模增速低于硬件市场增速。VPNVPN：受到远程办公、零信任、密码评测三重因素推动，市场增长快速，规模增速高于硬件增速，约为20%。432017-2021年网络安全硬件市场规模及增速(亿美元)资料来源：IDC，华西证券研究所硬件市场规模及2021年竞争格局27.928.2130.8532.7437.70%2%4%6%8%10%12%14%16%05540200202021IT安全硬件市场规模(亿美元)增速全能型厂商全能型厂商奇安信奇安信深信服深信服启明星辰启明星辰天融信天融

69、信安恒信息安恒信息绿盟科技绿盟科技亚信安全亚信安全硬件硬件市场份额市场份额(亿美元亿美元)占比占比下一代防火墙约12.2亿美元22.5%绝对龙头入侵检测与防御约4.7亿美元23.2%绝对龙头4.3%相对龙头18.6%绝对龙头UTM硬件约11亿美元11.7%相对龙头16.7%绝对龙头18.5%绝对龙头VPN硬件约2.6亿美元23.1%绝对龙头11.5%相对龙头7.7%相对龙头上网行为管理约6.6亿美元11.3%相对龙头21.2%绝对龙头2.90%4.60%2.2.2 网安软件:网络安全的核心利润来源网络软件是网安的核心收入来源:全能型网络安全厂商基本提供的产品是网络安全软件以及通过软件形态赋能的

70、硬件，根据IDC的数据，网络安全软件2021年市场规模为34.2亿元，同比增长31.7%。身份数字信任+终端安全:我们判断市场格局稳定且颠覆者寡，且市场增速趋于平缓。平台类别产品(日志审查、态势感知、XDRXDR等):):是网络安全的核心，受到市场监管的强要求以及云原生技术出现轻量化态势感知的产品(类平台)出现，备受市场关注和接受，大客户偏向定制化的解决方案，小客户偏向于轻量化解决方案，我们判断增速高于网安软件增速，且前景广阔。44资料来源：IDC，华西证券研究所软件市场规模及2021年竞争格局全能型厂商全能型厂商奇安信奇安信深信服深信服 启明星辰启明星辰 天融信天融信 安恒信息安恒信息绿盟科

71、技绿盟科技亚信安全亚信安全软件软件解释解释市场份额市场份额(亿亿美元美元)占比占比身份和数字信任身份管理、数字认证等约5.6亿11.3%绝对龙头终端安全包括个人终端安全、EDR、容器安全等约4.3亿19.4%绝对龙头4.90%7.00%平台类别产品(安全情报分析)态势感知(偏运营类别)、日志审查管理，更注重分析能力和事后管理约2.6亿9.0%绝对龙头5.60%7.5%相对龙头6.3%相对龙头3.80%平台类产品(响应与编排)态势感知(偏监管类别)、XDR等类别产品，更重视情报的威胁发现和及时处置能力约2.2亿16.1%相对龙头5.30%17.9%绝对龙头软件市场规模及2021年竞争格局2634

72、.20554020202021网安IT软件(亿美元)31.7%2.2.2 网安软件:网络安全的核心利润来源数据安全:数据安全包含数据全生命周期管理以及隐私计算和区块链安全等，随着十四五规划纲要数据安全法个人信息保护法等重要法律法规的催化下，数据合规变成刚需。此外，技术方面，数据安全和网络安全、服务、密码能力的融合逐步增强，云上数据安全能力进一步加强，我们判断数据安全增速高于网安软件增速，且市场空间极其广阔，随着隐私计算的到来具有爆发性。软件安全网关:软件(Saas)形态安全产品扮演日益重要的角色，政务云、公有云市场快速发展，软件网关产品快速发展，我们判断软件网关市场行业增

73、速略高于网安硬件增速。工控安全及车联网安全软件等:工控领域目前呈现碎片化的特征，软件方面以工控审计、运维监测系统为主，未来随着5G工业互联网时代的到来，类标品或将出现，安全欲将爆发；车联网安全产品目前仍处于试点阶段，我们判断随着法规逐渐健全，安全应用场景将愈发透明。45资料来源：IDC，华西证券研究所软件市场规模及2021年竞争格局全能型厂商全能型厂商奇安信奇安信深信服深信服启明星辰启明星辰天融信天融信安恒信息安恒信息绿盟科技绿盟科技亚信安全亚信安全软件软件解释解释市场份额市场份额(亿美元亿美元)占比占比数据安全数据全生命周期管理，包括数据库安全、数据防泄漏、数据脱敏，此外还包括区块链安全和隐

74、私计算等约12亿市场参与者众多，包括全能型厂商、专精型厂商和互联网大厂等，全能型厂商基本布局数据的全生命周期管理，例如奇安信、启明、安恒等。软件安全网关软件形态提供公有云或者SaaS防火墙、UTM、抗D等约3.7亿全能型网络安全厂商基本通过软件赋能硬件形态提供防火墙、UTM、抗D等，软件基本是SaaS化提供，以互联网和IDC大厂为主，例如阿里巴巴、腾讯、电信、华为等其他工业互联网及车联网产品等-工控领域，参与者众多，市场份额较为分散，然而以启明和天融信为代表的全能型厂商可以满足工控市场需求。车联网仍处于试点期，具体市场仍有不确定性。2.2.3 网安服务:以托管安全服务为代表进入快速爆发期网安服

75、务:网络安全服务进入快速爆发期，根据IDC的数据，2021年网安服务规模为28.61亿元，同比增长为41.7%，安全服务的优势在于毛利率颇高，且托管安全服务模式具有快速复制性。此外可以将安全服务拆解为托管安全服务(MSS)及咨询和运维服务。托管安全服务是安全服务爆发的首要驱动力:根据IDC的数据，2021年MSS市场规模为5.48亿美元，同比增长61.2%。全能型厂商皆已配备托管安全服务的能力，包括启明星辰、奇安信、安恒信息、深信服、绿盟科技、亚信安全和天融信。咨询和运维服务迎来数据安全的黄金期:随着数据安全法的颁布，由于数据安全的耦合度较强，了解业务、梳理资产、分类分级成为建设的前提，数据安

76、全体系建设规划、分类分级迎来发展的黄金期。HWHW等实战演习激发服务市场新需求:模拟演习、实战训练、攻防竞赛、科学验证、红蓝对抗、产品测试得到越来越多用户的认可，随着HW力度加大，服务市场迎来新需求。462020-2021年网络安全服务市场规模及增速(亿美元)资料来源：IDC，华西证券研究所20.16%28.61%0.00%5.00%10.00%15.00%20.00%25.00%30.00%35.00%20.1628.61IT安全服务(亿美元)41.7%2021年安全服务咨询和运维市场竞争格局2021年MSS竞争格局7.50%4.90%4.70%4.30%78.60%奇安信天融信启明星辰绿盟

77、科技其他12.40%9.80%8.30%7.80%7.70%54.10%启明星辰奇安信安恒信息深信服绿盟科技其他2.3.1 网安的销售模式:直销OR渠道？47资料来源：WIND，华西证券研究所网络安全直销和渠道区别全能型网安厂商直销渠道占比厂商厂商直销直销渠道渠道奇安信70.9%29.1%启明星辰72.6%27.4%安恒信息48.8%51.2%天融信82.0%18.0%绿盟科技32.1%67.9%亚信安全75.7%24.3%深信服96.3%3.70%网络安全销售方式分为两种，分别是直销和渠道，我们认为这与公司业务特点、产品特点及下游客户和公司定位有关。直销:对应客户为中大型客户，产品多以项目制

78、为主，定制化颇高，主要需求来自政府、金融、能源等机构，优势在于与大客户的粘性较强，可以随时为大客户提供服务和应急响应，财务报表体现在销售费用中。主直销代表厂商为奇安信、启明星辰、天融信、亚信安全。渠道:对应客户为中小型客户，产品多以产品制为主，标准化颇高，优点为降本增效，通过渠道可以对下沉市场进行快速覆盖，不需要花时间培养客户，进而节省人力成本和管理成本，销售费用低，渠道折扣体现在毛利率中，主渠道代表厂商为深信服。直销和渠道结合:代表厂商为安恒信息、绿盟科技。“国家队”有望成为市场主要玩家:过去两年，以中国电子、中国电科、中国电信、中国移动纷纷入股网络安全厂商，欲打造网络安全“国家队”。从网络

79、安全下游来看，政府、电信、金融行业是网络安全的主要行业客户，具有多链条产品和一体化的解决方案更容易受到青睐；同时这些行业对于数据相对敏感，对合规的要求程度更为严格。因此，“国家队”背景的网络安全厂商具有相对优势。内部需求:中国电子、中国电科是国产信息化的重要骨干，是网信体系的排头兵和主力军；中国移动和中国电信为国家运营商的主力军，由于网络安全贯穿信息化的全流程，信息化产业内部需求较为庞大，国有企业有望对自身参股公司进行资源倾斜。外部协作:中国电子、中国电科是国有科技力量的代表，业务覆盖、集成电路、信息化、电子装备等领域，电信、移动本身具有庞大的DICT业务体量，其业务体系网络安全需求较为庞大，

80、“国家队”背景的网络安全厂商有望与国企体系协同发展。2.3.2 直销:“国家队”网安有望成为市场主要玩家48资料来源：WIND，华西证券研究所“国家队”+网安有望成为市场主要玩家情况军团模式，聚焦行业进行单点突破:网络安全军团模式学习自华为，军团业务就是在服务重点客户的过程中，企业的营销、技术等资源，一切由所属领域“军团”统一规划、调配，军团中配备销售、产品、运营服务等业务人员，可以理解成一个军团就是一个“小公司”。由于每个网安下游结构分散，不同客户之间的需求差异较大，因此军团的优势在于单点突破，产品交付速度更快，用户粘性更强，交付流程进展大大提高。金融、电信、能源等行业:我们判断军团业务有助

81、于金融、电信、能源等行业快速开展业务，此类行业受疫情影响较小，且现金流能力较强，军团业务有助于订单快速落地。政府:短期地方政府虽然受到疫情影响，招标速度不及预期，但是我们认为网络安全需求常在，“积压”更多之后的是“释放”，政府Q4招标在即，同时随着政策持续推动，网络安全行业有望保持快速增长。2.3.2 直销:军团战略有助于结构化的订单落地49资料来源：IDC，Frost&Sulliva，华西证券研究所军团业务示意图2021年网安行业应用占比2026年网安行业应用占比预测23.70%15%14.40%7.80%7.00%32.10%政府电信金融能源教育其他25%20%16%40%政府金融电信其他

82、面对下游细分市场，渠道体系和营销体系一定程度决定了市场竞争力。全能公司建立渠道体系是为了向中小客户进行渗透:我们认为大客户的争夺进入尾声，所以更多的全能型厂商将目标放到下沉市场，从而进军更广泛的行业和中小客户。细分网络安全市场呈现分布广、通过代理商和合作渠道的方可以覆盖更宽广的客户群:渠道代理销售模式是业内较普遍的销售模式，因此，全能型厂商过去几年大力发展渠道以便提早开始客户资源的争夺和渗透。“跑马圈地”进入下半场，渠道建设进入尾声我们认为最早开始渠道建设的厂商是深信服，而且公司全面推行全渠道商的战略，这与公司产品相对标准化十分契合。我们各大全能型厂商的渠道建设进入尾期:以深信服、启明星辰、天

83、融信为主的安全厂商已经建立了相对稳定的渠道体系。2.3.3 渠道:”跑马圈地”进入下半场，渠道建设进入尾声50资料来源：深信服官网，华西证券研究所深信服渠道体系示意图研发平台本质是降本增效:传统网络安全依靠“人头”无法满足日益膨胀的网络安全需求，研发平台的本质是网络安全进行创新的底座，将已有知识和技术储备放到研发平台去，降低厂商对研发人员的“依赖”，进而达到长期的降低研发成本的效果，最终实现降本增效。我们认为以奇安信、天融信为首的网络安全厂商初具成效，未来随着全能型公司营收持续增加，研发费用处于上升状态，但是研发费用率会持续下降，研发效率会持续上升。奇安信:坐拥旗下八大研发平台，分别是鲲鹏网络

84、操作平台、诺亚大数据操作平台等，公司研发平台已具备量产功能，研发效率显著提升，研发费用率明显下降。天融信:具备硬件、软件、威胁情报知识平台和开发团队，在平台支撑下，产品开发团队无需过多考虑底层架构实现，更聚焦于产品本身核心功能和业务创新，有助于研发效率和质量的提升。2.3.4 研发:研发平台效果初显，研发效率全面提升51资料来源：IDC，Frost&Sulliva，华西证券研究所奇安信与天融信研发平台奇安信2019-2022H1研发费用及研发费用率天融信2021-2022研发费用及研发费用率奇安信研发平台奇安信研发平台天融信研发平台天融信研发平台鲲鹏网络操作平台大禹平台硬件平台诺亚大数据操作平

85、台 玄机平台软件平台雷尔可视化操作平台 千星平台威胁情报知识平台锡安云控操作平台川陀平台5.125.467.679.0852.54%54.23%52.68%46.13%0%10%20%30%40%50%60%0.002.004.006.008.0010.002019H12020H12021H12022H1研发费用(亿元)同比增长率研发费用率3.484.0249.39%45.66%0%10%20%30%40%50%60%3.23.43.63.844.22021H12022H1研发费用(亿元)同比增长率研发费用率营业收入:网络安全市场前景广阔，根据IDC的数据，2026年中国网络安全IT规模将达到

86、318.6亿美元，全球占比为11.11%，五年CAGR约为21.2%；我们认为，传统产品可以为网安厂商提供稳定的现金流，同时，新兴产品以XDR、态势感知、日志审查、SASE、安全资源池等新安全产品正在进入爆发阶段，“零信任”架构和安全托管服务正在被客户接纳进，入快速放量阶段，未来云原生、零信任、隐私计算、车联网场景有望对行业产生革命性影响。我们认为，全能型网络安全厂商受益于产品矩阵丰富，有望最先受益。直销:以中国电子、中国电科、中国电信、中国移动为代表的公司纷纷入股网络安全厂商。内部，由于网络安全产业贯穿信息化的全流程，国企有望对自身参股公司进行资源倾斜。外部，由于网络安全厂商下游为政府、电信

87、、运营商等行业，往往对合规要求更为严格，“国家队”背景具有相对优势，同时，“国家队”背景的网络安全厂商有望与国企体系协同发展。渠道:渠道体系往往决定市场竞争力情况，全能公司建立渠道体系是为了向中小客户进行渗透，我们认为以深信服为代表的全能型网络安全“跑马圈地”的渠道建设基本完成，目前正是”收获“的黄金季节。研发:以奇安信为代表的全能型网络安全厂商的研发平台效果初步显现，研发效率全面提升，全能型网安厂商对研发人员的”依赖”大幅降低，降本增效的效果持续凸显。利润:我们认为网络安全正在逐步走出”增收不增利”的”阴霾”，伴随着军团体系关注结构化订单，各大网络安全厂商现金流回归平稳阶段，同时伴随着政府Q

88、4招标在即，我们判断之前受疫情影响的需求即将爆发，全能型网络安全厂商正在步入正向循环，新安全业务收入快速增加+传统安全提供稳定现金流渠道+直销体系建设完成导致研发费用率下降研发平台效果初现，研发费用率大幅下降归母净利润的上升，网络安全收入与利润的剪刀差正在兑现！2.3.5 利润:关注全能型网络安全收入与利润剪刀差52资料来源：，华西证券研究所03投资建议53核心受益标的包括全能型网络安全厂商:奇安信、深信服、启明星辰、安恒信息、天融信、绿盟科技、亚信安全。3.1 标的梳理及投资建议54资料来源：Wind，华西证券研究所全能型网络安全厂商A股受益标的梳理公司名称公司名称股票代码股票代码收盘价收盘

89、价市值市值(亿元亿元)EPS(EPS(元元)PE(PE(倍倍)2022/10/282022/10/282022/10/282022/10/28202220222022023 3E E2022024 4E E202220222022023 3E E2022024 4E E奇安信688561.SH55.66 379.65-0.82-0.060.47-118.4 深信服300454.SZ123.00 511.29 0.670.671.97183.6 183.6 62.4 启明星辰*002439.SZ23.93 227.96 0.931.091.3925.7 22.0 17.2 安恒信息*688023

90、.SH184.92 145.17 0.180.902.261027.3 204.9 81.9 天融信*002212.SZ10.76 127.51 0.200.450.6053.0 23.8 18.0 绿盟科技*300369.SZ10.99 87.76 0.440.500.6525.0 22.1 16.9 亚信安全*688225.SH18.92 75.68 0.500.460.6538.1 41.2 29.2 核心逻辑:一，奇安信产品角度优势:1)1)公司产品链条完整，产品覆盖终端安全、边界安全、数据安全、态势感知平台等。2)2)精准把握新兴安全方向，新安全产品正在进入快速放量阶段，例如：公司的

91、态势感知平台和数据安全产品。3)3)公司安全情报类别平台产品处于市场绝对龙头地位，同时受益于平台类别产品正在快速放量，同时平台产品具有粘性，有望带动公司基础产品销售额度的增加。二，奇安信自身公司战略+销售优势:1)我们认为，过去几年公司采取狼性+高举高打法，公司大力投入研发平台和销售体系的建设，目的是大幅抢占网安市占率。2)公司属于“国家队”背景，公司是中国电子参股公司，“国家队”背景有望得到国企自身资源倾斜和体系协同发展。三，我们认为奇安信收入和利润剪刀差正在显现，原因如下:1)公司军团体系架构已经形成，销售效率大幅提升，销售费用率有望改善:公司利用“冬奥会”经验优势，打通销售、产品、研发、

92、服务多个环节，降本增效的成果正在初步体现。2)研发平台效果初显，且具备快速复制性:公司旗下8款研发平台爆品有助于公司摆脱“人力陷阱”，研发效率大幅提高，公司H1研发费用率、销售费用率、管理费用率同比下降 6.54、5.97、5.27 PCT。3)在研发平台+军团体系架构加持下，我们认为公司业绩有望近年实现扭亏为盈。3.2.1 核心受益:奇安信55核心逻辑:一、深信服产品角度优势:1)深信服是数字时代的“卖铲人”，原意是公司产品网络安全、云计算皆为“数字基础设施”的主要组成部分。2)混合云时代，线上线下协同、多云切换成为关注点，公司托管云、桌面云、超融合等产品前景广阔。3)云计算时代，云与安全融

93、合趋势为大势所趋，超融合等新兴技术重塑网安底座，公司SASE、XDR正在快速放量，MSS为人机共智提供保障。二，深信服的自身公司战略+销售优势:1)销售模式为全渠道，下沉市场覆盖度较高:深信服是网络安全厂商中唯一一家全渠道战略厂商，渠道体系学习华为。2)渠道机制不同于分销代理，定位是“与合作伙伴共成长”:自身销售体系完备，公司与客户交互多，粘性强。三，我们认为深信服业务增速在H2回归在即，原因如下:1)战略再平衡，资源错配明显改善:公司在产品端、销售端的资源错配，当下已有明显改善。此外，公司战略再平衡，在绩效区产品投入更多资源，助力产品增速大幅提升。2)疫情技术影响减弱，助力渠道绩效增速回归:

94、从2022年Q3开始，基数影响逐渐减弱，同比增速更能真实体现公司增长情况，同时公司加大市场扩展力度，下半年助力产品增速回归。3.2.2 核心受益:深信服56核心逻辑:一、启明星辰产品角度优势:1)老牌综合类网络安全厂商，产品齐全，市占率较高:公司产品布局数据安全、工控安全、应用安全、安全管理等全方位网络安全领域。2)精准把握前沿安全，相关爆品正在快速放量:公司数据安全、态势感知平台产品正在进入快速放量期，同时公司布局前沿安全场景，例如隐私计算、密码安全等。二、与中国移动签署战略规划书，强强联手打开新征程:1)安全体系协同建设:移动作为运营商领军企业，内部安全需求十分可观。此外，移动将启明列入自

95、主产品清单，目的是加强自身“5G+算力网络+智慧中台”等新基建；未来三年，启明支持移动集团将关机保护采购自研率有望达到 20%。2)渠道拓宽和商业共享:移动DICT业务增速较快，且市场广阔，网安同样是DICT的“根基”，启明有望优先得到合作。双方有望在政务、金融、工业等重点行业打造 30 个千万元以上的行业示范项目，同时项目省份覆盖率达到70%。3)3)面向新兴安全，联手打造安全爆品:1、启明已经融入移动“连接+算力+能力体系”，双方有望打造云安全桌面、安全云等服务，为客户提供自主可控的云网产品；2、双方有意打造五款核心标杆的标准安全产品，且销量过亿；3、联合开展MSS服务，力争合作城市达到5

96、0个。4)4)安全前沿技术创新:双方将聚焦云安全等重点领域开发，将安全与基础网络相融合，围绕云原生安全、算力滥用监测、算网安全编排等关键技术，形成技术方案，研究制定网络安全技术发展路标。3.2.3 核心受益:启明星辰5704风险提示58风险提示核心技术水平升级不及预期的风险:网安相关产业技术壁垒较高，公司核心技术难以突破，进程低于预期，影响整体进度。竞争加剧风险:新兴网安厂商加速进入，对传统企业造成一定压力。政策推进不及预期的风险:受到宏观经济、财政、疫情影响，政策推进节奏不及预期。新兴技术风险：未来新的技术变革可能导致网络安全整体需求收缩的风险。59资料来源：华西证券研究所免责声明60分析师

97、分析师与研究助理简介与研究助理简介刘泽晶（首席分析师）2014-2015年新财富计算机行业团队第三、第五名，水晶球第三名，10年证券从业经验。分析师承诺分析师承诺作者具有中国证券业协会授予的证券投资咨询执业资格或相当的专业胜任能力，保证报告所采用的数据均来自合规渠道，分析逻辑基于作者的职业理解，通过合理判断并得出结论，力求客观、公正，结论不受任何第三方的授意、影响，特此声明。评级说明评级说明公司评级标准公司评级标准投资评级投资评级说明说明以报告发布日后的6个月内公司股价相对上证指数的涨跌幅为基准。买入分析师预测在此期间股价相对强于上证指数达到或超过15%增持分析师预测在此期间股价相对强于上证指数在5%15%之间中性分析师预测在此期间股价相对上证指数在-5%5%之间减持分析师预测在此期间股价相对弱于上证指数5%15%之间卖出分析师预测在此期间股价相对弱于上证指数达到或超过15%行业评级标准行业评级标准以报告发布日后的6个月内行业指数的涨跌幅为基准。推荐分析师预测在此期间行业指数相对强于上证指数达到或超过10%中性分析师预测在此期间行业指数相对上证指数在-10%10%之间回避分析师预测在此期间行业指数相对弱于上证指数达到或超过10%华西证券研究所：华西证券研究所：地址：北京市西城区太平桥大街丰汇园11号丰汇时代大厦南座5层网址：http:/