1、 证券研究报告证券研究报告 请务必阅读正文之后第请务必阅读正文之后第 30 页起的免责条款和声明页起的免责条款和声明 信息安全：信息安全：防护手段防护手段&策略均面临变革，板策略均面临变革，板块迎来配置时机块迎来配置时机 全球 SaaS 云计算产业系列报告 622023.1.17 中信证券研究部中信证券研究部 核心观点核心观点 陈俊云陈俊云 前瞻研究首席 分析师 S01 许英博许英博 科技产业首席 分析师 S41 刘锐刘锐 前瞻研究分析师 S01 云化的渗透、远程办公的普及、云化的渗透、远程办公的普及、IT 技术堆栈的复杂化，使

2、得传统信息安全体系技术堆栈的复杂化，使得传统信息安全体系在面对复杂、隐蔽、高频的恶意软件攻击愈加力不从心，在面对复杂、隐蔽、高频的恶意软件攻击愈加力不从心，安全防御体系亟待变安全防御体系亟待变革革。在防护手段方面，我们看到在防护手段方面，我们看到数据驱动下的主动防御渐成主流，防御体系延数据驱动下的主动防御渐成主流，防御体系延展至云端负载展至云端负载；在防护策略方面，零信任和；在防护策略方面，零信任和 SASE 的渗透显著缓解了企业对于的渗透显著缓解了企业对于IT 边界拓展的担忧。在行业变革期，我们看到边界拓展的担忧。在行业变革期，我们看到新一代安全厂商持续获得市场份新一代安全厂商持续获得市场份

3、额，且头部厂商凭借其额，且头部厂商凭借其性能性能、品牌、客户等优势持续扩大领先优势。、品牌、客户等优势持续扩大领先优势。立足当立足当下，尽管宏观环境带来了一定压力，下，尽管宏观环境带来了一定压力，行业的行业的内在逻辑并未变化。中长期来看，内在逻辑并未变化。中长期来看，安全在企业安全在企业 IT 开支中的优先地位、以及防范手段开支中的优先地位、以及防范手段&策略变革驱动的成长并未发策略变革驱动的成长并未发生改变，生改变，当前当前较低的估值水平提供了较优的较低的估值水平提供了较优的配置配置时机。时机。安全重要性日益凸显，底层技术面临变革安全重要性日益凸显，底层技术面临变革。1）外部变化：在企业数字

4、化、云化加速推进的大背景下，伴随全球数据量以及 IT 技术堆栈的迅速增加，恶意软件攻击的频次、隐蔽性日益上升，企业因恶意软件入侵造成的经济成本和社会成本也在快速增加，信息安全重要性愈加凸显。2）内部变化：根据 IDC 的调研数据，到 2024 年，欧美企业 IT 部署中 44%将为公有云，较 2020 年的 25%提升近 80%。传统的安全防御体系难以对云端负载执行有效的防御策略，云原生技术的渗透、多云战略的普及更是增加了安全防御的难度。与此同时，随着云计算和移动设备的快速普及，企业计算环境日益分散，网络边界日益模糊，传统基于网络位置的信任策略面临挑战。传统安全防御体系亟待变革，新一代信息安全

5、厂商应运而生。防护手段：防护手段：数据驱动下的主动防御渐成主流，防御体系延展至云端负载数据驱动下的主动防御渐成主流，防御体系延展至云端负载。1）端点安全：随着恶意威胁由原来的盲目、直接转变为目标精确、持久隐秘，传统端点安全产品机制被动、低效且臃肿的问题愈发突出。而下一代端点安全产品 EDR（端点检测与响应）通过轻量级的前端代理收集数据，在后端云平台执行数据的集成和分析，实现基于“行为”的主动防控。IDC 预计全球企业端点安全市场规模将在 2026 年增长至 206 亿美元，2021-2026 年 CAGR 为14.9%。2）XDR：XDR（扩展检测与响应）作为 EDR 的自然演进，能够整合多源

6、、孤立、海量的告警，并进行数据集成与综合关联分析，提供更加精准与有价值的告警。据 IDC 数据，2021 年-2026 年，全球云原生 XDR 市场规模预计将从 1.7 亿美元快速增长到 21.2 亿美元，对应 CAGR 为 66.1%。3）云安全：伴随数字化、云化的持续渗透，多云/混合云/微服务架构显著增加了 IT 堆栈的动态性及复杂度，传统安全防护难以胜任，云安全因此迅速崛起。据 IDC统计，2021 年全球云工作负载安全市场规模为 22 亿美元，预计到 2026 年将增长至 51 亿美元，对应 CAGR 为 18.5%。防护策略：防护策略：零信任与零信任与 SASE 迅速普及显著缓解了迅

7、速普及显著缓解了企业对于企业对于 IT 边界拓展的担边界拓展的担忧忧。1）零信任：零信任网络访问（ZTNA）基于端点、网关、身份认证工具的集成，实现了基于身份而非网络位置的新一代防护策略。根据 Gartner 预测，到 2023 年，将有 60%的企业逐步淘汰远程 VPN 访问，转向零信任网络访问。ZTNA 核心组件为身份认证和访问管理（IAM）和安全网关产品，分别负责验证用户身份与确保合法用户仅在允许范围内进行精细访问。2）SASE：SASE（安全访问服务边缘）强调将 SDN（软件定义网络）能力和各类网络安全能力融合至各个边缘节点中，实现端点安全的集中化、一体化控制，这一方面将使得网络安全厂

8、商加速平台化的整合，技术能力全面的头部厂商有望强者恒强；另一方面也在持续推动网络安全产品软件化、云化的进程。市场格局：市场格局：新一代安全厂商快速获得份额，新一代安全厂商快速获得份额，头部效应明显。头部效应明显。伴随着防范手段和 全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 2 防范策略的全面变革，行业格局将迎来重塑，顺应行业趋势的新一代厂商有望快速获得份额。头部厂商将通过内部研发和外延并购等手段实现功能扩充与平台化的延展，并依赖集成交付的产品组合及客户、品牌、数据积累层面的领先优势持续扩大市场份额。2021 年，在端点安

9、全领域，我们看到微软、Crowdstrike、SentinelOne 等具有新一代端点安全方案的厂商在快速获得份额，而 Trend Micro、博通（收购赛门铁克）、Trellix 等传统端点安全厂商则在逐步失去份额；在 IAM 市场，微软、Okta 等现代身份认证厂商实现了份额的显著增长，而博通（收购 CA）、Oracle 等传统方案的份额则持续下降。估值估值&业绩：业绩：板块估值显著回调，配置价值显现。板块估值显著回调，配置价值显现。估值方面，估值方面，目前美股安全板块 EV/S NTM 为 5.8x，显著低于 2015 年至今 8x 左右的平均估值水平；如果将增速纳入考量，目前美股安全板

10、块 EV/S/G NTM 为 0.26x，距离 2015 年至今 0.4x 左右的平均估值水平亦差异显著。此外，结合财务/战略收购领域对标的的估值水平，目前板块整体估值亦处于历史低位。考虑到企业安全开支的刚性以及板块中长期的高确定性趋势，我们认为估值进一步向下的空间有限，而向上的弹性则较为明显。业绩方面，业绩方面，22Q3 财报披露完成后，板块 CY 2023 平均收入增速一致预期出现了明显下调，绝大多数个股也在进行业绩预期的持续修正。从近期安全板块的整体增长情况来看，疫情后加速增长的情况已经过去，而宏观环境对下游需求的压制亦逐渐体现。我们判断，2023H1，宏观环境仍将对板块业绩造成持续的压

11、力；而进入下半年，伴随经济环境的逐步复苏以及基数压力的明显减弱，板块增速有望实现反弹。从中长期的角度，安全在企业 IT 开支中的优先地位、以及防范手段&策略变革驱动的成长并未发生改变，当下较低的估值水平提供了较优的配置时机。风险因素：风险因素：原油价格上行导致欧美高通胀进一步失控风险；美债利率快速上行风险；针对科技巨头的政策监管持续收紧风险；全球宏观经济复苏不及预期风险；宏观经济波动导致欧美企业 IT 支出不及预期风险；全球云计算市场发展不及预期风险；云计算企业数据泄露、信息安全风险；行业竞争持续加剧风险等。投资策略投资策略：疫情后数字化、云化的加速推进，以及远程办公场景的迅速渗透，使得企业信

12、息安全的重要性日益凸显。而端点侧、云侧、威胁数据侧的防范手段正在经历重大变革，ZNTA、SASE 等新一代防范策略亦在迅速渗透。市场空间不断延展，竞争格局亦迎来新一轮洗牌。立足当下，尽管宏观环境带来了一定压力，但内在逻辑并未变化。中长期来看，安全在企业 IT 开支中的优先地位、以及防范手段&策略变革驱动的成长并未发生改变，当下较低的估值水平提供了较优的配置时机。从短期配置的角度，我们认为 Crowdstrike、微软、Palo Alto 等盈利能力较优、平台化进展顺利的企业在当下时点更为稳健；而Zscaler、Sentinelone、Cloudflare 等增速较快、盈利能力偏弱的标的则有望在

13、下半年实现更优的弹性。重点公司盈利预测、估值及投资评级重点公司盈利预测、估值及投资评级 公司公司 代码代码 市值（亿美市值（亿美元）元）估值方法估值方法 估值估值 2021A 2022E 2023E 2024E 微软 MSFT.O 17,833 P/FCF 27.7 26.2 22.0 18.0 Fortinet FTNT.O 382 P/FCF 33.9 28.0 20.8 22.2 Zscaler ZS.O 155 PS 14.2 10.1 7.8 6.0 Cloudflare NET.N 144 PS 22.0 14.8 11.0 8.2 Palo Alto Networks PANW.

14、O 420 P/FCF 24.7 22.0 18.4 15.8 Crowdstrike CRWD.O 233 P/FCF 51.3 36.7 27.7 20.8 Sentinelone S.N 40 PS 19.8 9.6 6.2 4.3 资料来源：彭博，中信证券研究部 注：股价为 2023 年 1 月 13 日收盘价；预测数据来自彭博一致预期 SXkXpNsQVVmVvZYXuW6MbPaQtRmMmOtQkPqQpOfQrQoR8OrQqOuOrMxOuOnOqN 全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 3 目录

15、目录 安全重要性日益凸显，底层技术面临变革安全重要性日益凸显，底层技术面临变革.6 外部变化：恶意软件攻击日趋复杂，信息安全重要性日益凸显.6 内部变化：企业上云、远程办公对信息安全提出了新的挑战.9 防护手段防护手段&策略均面临变革，行业竞争格局迎来重策略均面临变革，行业竞争格局迎来重塑塑.10 防护手段：端点安全由静态变为动态，从被动变为主动.10 防护手段：XDR 成为主流发展趋势，渗透率有望快速提升.13 防护手段：云安全迅速崛起.17 防护策略：零信任、SASE 迅速普及.19 防护策略：SASE 将整合的网络安全能力推向边缘.21 市场格局：新一代安全厂商快速获得份额，市场份额持续

16、向头部集中.23 板块估值显著回调，配置价值显现板块估值显著回调，配置价值显现.24 板块估值：回调至历史低位.24 板块业绩：不利宏观环境下增速承压，中长期趋势依然明朗.26 风险因素风险因素.28 投资策略投资策略.28 全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 4 插图目录插图目录 图 1：全球数据量及同比增速（ZB，%）.6 图 2：网络安全关键词在企业文档中的出现频次.7 图 3：后疫情时代企业最需要购买/建立的 IT 应用（%）.8 图 4：全球应用工作负载部署位置（%）.9 图 5：云迁移对于公司安全开支

17、的影响（%）.9 图 6：在云计算推动下，预计支出将获得增加的安全技术（%）.9 图 7：欧美远程办公的劳动力占比（%）.10 图 8：针对端点的攻击组成.11 图 9：端点安全产品发展进程.12 图 10：海量数据具有规模效应，竞争壁垒不断强化.12 图 11：20152021 年商用 PC 出货量及增速（百万台，%）.13 图 12：全球端点安全市场收入规模及增速（十亿美元，%）.13 图 13：On-Premise 与 SaaS 软件总体成本占比（3 年）.13 图 14：XDR 模型架构.14 图 15：2022 年 Gartner 安全运营成熟度曲线.16 图 16：云原生 XDR

18、市场总收入（百万美元）.16 图 17：SIEM 市场总收入及增速（百万美元，%）.16 图 18：Crowd XDR 联盟.17 图 19：全球云工作负载市场规模及增速（百万美元，%）.17 图 20：IaaS+PaaS 市场规模（十亿美元）.18 图 21：云安全占公有云市场（IaaS+PaaS）的比例（%）.18 图 22：全球虚拟机数量及增速（百万，%）.18 图 23：全球容器实例数量及增速（百万，%）.18 图 24：部署容器和 k8s 时面临的挑战.18 图 25：CWPP 能力金字塔模型.19 图 26：企业安全体系的演变进程.19 图 27：ZTNA 主要架构.20 图 28

19、：全球 IAM 市场规模及增速（百万美元，%）.20 图 29：全球安全网关市场规模及增速（百万美元，%）.21 图 30：SASE 的主要参与方.22 图 31：全球网络安全软件市场规模及增速（百万美元，%）.23 图 32：全球安全即服务（Security as a Service）市场规模及增速（百万美元，%）.23 图 33：2021 年全球端点安全市场份额（%）.24 图 34：2021 年全球端点安全市场份额获得者及丢失者 Top5.24 图 35：2021 年全球 IAM 市场份额（%）.24 图 36：2021 年全球 IAM 市场份额获得者及丢失者 Top5.24 图 37：

20、美股软件 SaaS 板块 EV/S NTM 及十年期国债收益率（%）.25 图 38：美股安全板块 EV/S NTM 表现.25 图 39：美股安全板块 EV/S/G NTM 表现.25 图 40：美股安全板块重点公司 EV/S NTM 水平.26 图 41：美股重点软件 SaaS 公司 CY 2023 平均收入增速一致预期变化（%）.27 图 42：美股主要安全类软件 SaaS 公司 CY 2023 平均收入增速一致预期变化（%）.27 图 43：美股主要安全类软件 SaaS 公司 CY 2023 收入增速一致预期调整（%）.28 全球全球 SaaS 云计算产业系列报告云计算产业系列报告 6

21、22023.1.17 请务必阅读正文之后的免责条款和声明 5 图 44：美股安全板块平均 Billings 增速水平（%）.28 表格目录表格目录 表 1：主流恶意软件类型.6 表 2：2021 年全球信息安全大事纪.7 表 3：EDR 的核心功能.12 表 4：XDR 的核心能力.14 表 5：XDR 与 SIEM 对比.15 表 6：IAM 各细分市场介绍.21 表 7：SASE 的关键组件.22 表 8：全球信息安全领域大型并购估值.26 表 9：安全领域重点跟踪公司盈利预测.29 全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责

22、条款和声明 6 安全重要性日益凸显，底层技术面临变革安全重要性日益凸显，底层技术面临变革 外部变化外部变化：恶意软件攻击日趋复杂，：恶意软件攻击日趋复杂，信息信息安全重要性日益凸显安全重要性日益凸显 伴随移动互联网和 AIoT 的蓬勃发展，以及企业数字化和云化的持续推进，全球数据量以及企业部署和管理的 IT 技术堆栈都在迅速增加。这一方面意味着恶意攻击者通过勒索软件、间谍软件等恶意软件行为满足自身利益的动机和诉求日益增强，恶意攻击的频次和隐蔽性日益上升；另一方面，也意味着企业或政府机构因恶意软件入侵造成的经济成本、声誉成本和社会成本也在快速增加。2021 年，根据 Check Point 发布

23、的Cyber Security Report 2022，我们看到恶意软件通过入侵网络管理平台 Solarwinds Orin 进而向 Solarwinds 本身以及 Solarwinds 所服务的客群进行入侵和破坏，导致全球近 2,000 家企业和机构受到波及，其中包括美国司法部下属的各执法机构；也看到全球最为流行的开源日志库产品 Apache Log4j 被报告存在远程代码/命令执行漏洞，攻击者能够利用该漏洞对被攻击服务器进行远程访问和控制，由于该漏洞的威胁面巨大并且全球存在大量未修补漏洞的系统，攻击者持续利用该漏洞尝试发起攻击并在此过程中影响许多企业机构。此外，REvil 勒索软件集团对肉

24、类加工巨头 JBS 以及 IT 公司 Kaseya 的企业客户发起的勒索软件攻击、Mirai 僵尸网络对某金融组织发起的有史以来最大的分布式拒绝服务(DDoS)攻击等均造成了广泛而严重的损失。图 1：全球数据量及同比增速（ZB，%）资料来源：IDC（含预测），中信证券研究部 表 1：主流恶意软件类型 恶意软件类型 介绍 案例 勒索软件 一种使用加密技术使目标无法访问其数据直到支付赎金的软件。受害组织在付款之前部分或完全无法运作，但不能保证付款会产生必要的解密密钥或所提供的解密密钥会正常运作 Ryuk 间谍软件 在用户不知情的情况下收集有关用户活动的信息，如密码、pin、支付信息和非结构化消息

25、Darkhotel 恶意广告软件 此类软件在安装后频繁弹出广告，消耗系统资源，让其运行变慢 Fireball 木马软件 把自己伪装成理想的代码或软件。一旦被下载，它就可以控制系统，达到恶意目的 Emotet 蠕虫病毒 针对操作系统的漏洞，通过网络、电子邮件和移动存储等进行复制和传熊猫烧香 0%10%20%30%40%50%60%70%80%90%100%0204060800180200全球数据量（ZB)同比增速 全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 7 播。可用于 DDoS 攻击、窃取敏感数据

26、、勒索软件攻击等 Virus Virus 一段代码，它将自己插入到应用程序中，并在应用程序运行时执行。一旦应用执行，病毒就可以被用来窃取敏感数据、发起 DDoS 攻击、进行勒索软件攻击。与木马和蠕虫不同，Virus 只有在应用程序运行时，方可进行执行或复制 CIH 病毒 Rootkit 使恶意行为者利用充分的管理凭证，远程控制受害者的计算机。Zacinlo Keyloggers 通过键盘记录器窃取密码、银行信息和其他敏感信息 Olympic Vision 僵尸网络病毒 根据命令执行自动任务的软件，可以用来执行 DDoS 攻击 Echobot 无文件非恶意软件 使用合法程序感染电脑。不依赖于文件

27、，并且留下很少的足迹，使其难以检测。Astaroth 资料来源：Check PointCyber Security Report 2022，中信证券研究部 图 2：网络安全关键词在企业文档中的出现频次 资料来源：Google Trend，中信证券研究部 表 2：2021 年全球信息安全大事纪 时间时间 事件内容事件内容 2021.01 2021 年 1 月，美国司法部证实，该公司受到 Solarwinds 供应链攻击的影响，3%的员工邮箱被侵入以窃取敏感数据。美国司法部在美国联邦调查局(FBI)、美国缉毒局(Drug enforcement Agency)和美国法警局(US Marshals

28、Service)等一系列执法机构拥有逾 10 万名员工。司法部是 SolarWinds Orion 的买家，该工具被黑客用来执行这次攻击，导致多达 18000名 SolarWinds 客户遭受攻击。美国司法部(Department of Justice)表示，它是在平安夜得知自己是受害者的，并透露其一小部分 Microsoft Office 365 电子邮件账户被入侵。2021.02 2021 年 2 月，流行音乐流媒体平台 Spotify 遭到了虚假认证攻击，而就在三个月前，类似事件也发生过。这次攻击使用了从 10 万名用户账户中窃取的凭证，并利用了一个恶意的 Spotify 登录数据库。S

29、potify 收到了该攻击的报告，这促使该公司对受影响的用户进行了密码重置，使被盗的证书无效。该公司在一份声明中表示这次攻击与 Spotify 自身的安全漏洞无关，网络犯罪分子利用人们在多个在线账户和平台上重复使用相同的密码来进行证书填充。攻击者只需构建自动脚本，系统地尝试窃取的 id 和密码，攻击各种类型的账户。2021.03 2021 年 3 月 2 日，Volexity 报告了对 Microsoft Exchange Server 漏洞 CVE-2021-26855、CVE-2021-26857、CVE-2021-26858 和 CVE-2021-27065 的大肆利用。进一步的调查发现

30、，攻击者利用零日漏洞窃取多个用户邮箱的全部内容。此漏洞可远程利用，不需要身份验证、特殊知识或对特定环境的访问。据估计，有 25 万台服务器成为攻击的受害者，其中包括美国约 3 万个组织的服务器和英国的 7000 台服务器。欧洲银行管理局、挪威议会和智利金融市场委员会(CMF)也受到了影响。2021.04 2021 年 4 月，美国国家安全局(NSA)、网络安全和基础设施安全局(CISA)和联邦调查局(FBI)发布了一份联合咨询警告，称 APT29 在针对美国目标的持续攻击中利用了五个漏洞。根据该报告，APT29 经常利用公开的漏洞对脆弱的系统进行广泛的扫描和利用，以获得认证证书，以便进一步访问

31、。APT29 最近的活动包括破坏 SolarWinds Orion 软件更新，通过部署 WellMess 恶意软件针对 COVID-19 研究机构，以及利用 VMware 漏洞（当时是零日漏洞）。2021.05 2021 年 5 月，一次勒索软件攻击关闭了 Colonial Pipeline 的日常运营，该管道运输了美国东海岸消耗的 45%的燃料，包括柴油、汽油和航空燃油。美国联邦调查局(FBI)发表声明确认，一个名叫“Darkside”的黑客团伙是这次攻击的幕后黑050000000250003000035000400004Q052Q064Q062Q074Q072Q084

32、Q082Q094Q092Q104Q102Q114Q112Q124Q122Q134Q132Q144Q142Q154Q152Q164Q162Q174Q172Q184Q182Q194Q192Q204Q202Q214Q212Q22网络安全勒索软件 全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 8 手。Colonial Pipeline 是美国最大的成品油管道，全长 5500 英里(8851 公里)，从德克萨斯州休斯顿市向纽约港输送超过1 亿加仑的原油。DarkSide 使用“勒索软件即服务”(RaaS)模式，依靠附属程序执行网络攻

33、击。Colonial Pipeline 支付了近 500 万美元的赎金，以换取解密密钥。随后，美国联邦调查局(FBI)宣布，他们已经取回了赎金账户的私钥，并追回了支付的 63.7 个比特币。2021.06 2021 年 6 月，美国肉类加工巨头 JBS 遭遇勒索软件攻击，影响了其北美和澳大利亚业务。联邦调查局将这次攻击归咎于 REvil 勒索软件集团。这次袭击迫使 JBS 暂时关闭了在美国的所有牛肉工厂。该公司在加拿大的一家工厂也受到了影响，该公司暂停了在澳大利亚的牛肉和羊肉捕杀，直到工厂恢复运营。6 月 9 日，JBL 在美国的首席执行官透露，该公司向黑客支付了 1100 万美元，这是一个“

34、非常痛苦但必要的决定”，尽管该公司能够从自己的备份中恢复其大部分系统。2021.07 2021 年 7 月，REvil 勒索软件集团针对多个托管服务提供商(MSPs)及其客户进行了供应链攻击。黑客成功植入了 IT 公司 Kaseya 的 VSA 补丁管理和客户端监控工具的恶意软件更新，其中包括恶意软件安装程序。估计有 1000 家公司受到了攻击。REvil 在 7 月 4 日的周末发动了大规模的供应链攻击，影响了 Kaseya 的众多客户，并要求数百万美元的赎金。Kaseya 在其网站上发布了安全建议，警告所有客户在调查期间立即关闭他们的 VSA 服务器，以防止攻击扩散。为了攻破 Kaseya

35、 内部的 VSA 服务器，REvil 使用了一个正在修复的零日漏洞。此前，荷兰漏洞披露研究所(DIVD)的安全研究人员向 Kaseya 披露了该漏洞，Kaseya 在向客户推出该补丁之前对其进行了验证。然而，REvil 勒索软件团伙比 Kaseya抢先一步，利用该漏洞实施了攻击，勒索金额从 4.5 万美元到 500 万美元不等。在对 Kaseya VSA 服务器的攻击中，REvil 的附属公司最初针对的是 Kaseya 的 MSSP，目的很明确，就是要向 MSSP 的客户传播信息。从 MSSP 到实际客户，攻击呈指数级增长。2021.08 有史以来最大的分布式拒绝服务(DDoS)攻击是在 20

36、21 年 8 月份检测到的，每秒有 1720 万次请求。此次攻击是由 Mirai僵尸网络促成的，目标是金融行业的一个组织。在这次特定事件中，流量来自全球 125 个国家的 2 万多个机器人，其中近 15%的攻击来自印度尼西亚，其次是印度、巴西、越南和乌克兰。Mirai 于 2016 年首次被发现，目标是物联网(IoT)设备，如闭路电视摄像头和路由器。此后出现了许多僵尸网络的变种，目标设备的列表扩大到包括 Linux 路由器和服务器，Android 设备等等。2021.09 在美国总统拜登宣布疫苗授权后，Check Point Research 发现全球范围内伪造新冠疫苗证书的黑市激增。黑市扩展

37、到 28个国家，包括奥地利、阿联酋、巴西、英国、新加坡等。伪造疫苗证书的价格也在全球范围内上涨，包括美国，从 100美元翻了一番到 200 美元。2021.10 2021 年 10 月，负责多次勒索软件攻击的 REvil 勒索软件团伙的基础设施在三个月内第二次被攻破并被强行摧毁，导致他们的行动陷入停顿。在此之前，REvil 的泄密网站“快乐博客”曾在 7 月份被关闭(同时，REvil 的一个帮派头目“UNKN”可疑失踪)，而在 9 月份，该网站又被其残存的一个帮派头目重新启用。2021.11 2021 年 11 月 14 日，历史上最臭名昭著的僵尸网络之一 Emotet 在 10 个月前被国际

38、联合执法行动摧毁后死灰复生。当已经感染了欺骗机器人木马的机器开始下载和执行最新版本的 Emotet 时，Emotet 利用欺骗机器人僵尸网络启动了它的操作。Emotet 本身的回归甚至比以前更加强大，它的工具箱中增加了一些新功能，比如更新的加密方案、控制流混淆和新的交付方法。2021.12 12 月 9 日，Apache 日志包 Log4j 2 2.14.1 及以下版本（CVE-2021-44228）中报告了一个急性远程代码执行（RCE）漏洞。Apache Log4j 是最流行的 java 日志库，从其 GitHub 项目下载了 40 多万次。Log4j 库几乎嵌入到我们熟悉的每一个互联网服务

39、或应用程序中，包括 Twitter、Amazon、Microsoft、Minecraft 等等。自疫情爆发以来，原始漏洞的新变体被迅速引入在不到 24 小时内超过 60 个。这显然是近年来互联网上最严重的漏洞之一。资料来源：Check PointCyber Security Report 2022，中信证券研究部 图 3：后疫情时代企业最需要购买/建立的 IT 应用（%）资料来源：IDC，中信证券研究部 14.98%15.70%18.89%21.25%23.29%23.79%25.49%26.76%31.05%36.05%0.00%5.00%10.00%15.00%20.00%25.00%30

40、.00%35.00%40.00%企业应用程序企业架构用户体验(UX)流程自动化软件开发技术支持人工智能数据分析IT 运维网络安全 全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 9 内部内部变化变化：企业上云、远程办公对：企业上云、远程办公对信息信息安全提出了新的挑战安全提出了新的挑战 IT 基础设施加速向云端迁移，基础设施加速向云端迁移，信息信息安全迎来变数和机遇。安全迎来变数和机遇。目前，IT 基础设施云化部署已成为高确定性趋势，根据 IDC 数据，存储在公有云中数据已经在 2020 年追平传统数据中心，且占比仍将不断提

41、升；同样根据 IDC 的调研数据，到 2024 年，预计欧美企业IT 部署中 44%将为公有云，较 2020 年的 25%提升近 80%。此前部署在本地的工作负载向云端的迁移，对企业传统的网络安全体系提出了挑战，一方面传统的安全防御体系主要用来保护本地部署的工作负载和数据安全，但难以对云端负载执行有效的防御策略；另一方面，云原生技术渗透带来的应用架构变革（容器、微服务等），以及多云战略的普及等，使得企业 IT 架构日趋复杂且动态，显著增加了安全防御的难度。但与此同时，公有云自身高弹性、高延展性的特点使得海量安全数据的储存、关联、分析成为可能，新一代安全厂商能够利用基于数据集持续训练和优化 ML

42、 算法，用基于 AI 的主动防御取代过去基于历史数据的被动防御，显著提升防范能力、规避相关损失。因此，我们认为云迁移带来的防御范围和防御难度的升级将显著增加公司的安全开支，而利用公有云优势提供防御服务的新一代安全厂商将受益最为明显。图 4：全球应用工作负载部署位置（%）资料来源：IDC（含 2024 年预测），中信证券研究部 图 5：云迁移对于公司安全开支的影响（%）资料来源：AlphaWise，中信证券研究部 图 6：在云计算推动下，预计支出将获得增加的安全技术（%）资料来源：IDC，中信证券研究部 0%10%20%30%40%50%60%70%80%90%100%截至2020截至2021截

43、至2024本地部署场地租用托管公有云0%10%20%30%40%50%60%70%80%90%100%推动增加几乎无影响负面影响Oct-20Oct-210%10%20%30%40%50%60%70%80%全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 10 远程办公远程办公快速渗透，企业快速渗透，企业网络边界日益模糊网络边界日益模糊。传统的安全体系下，企业大部分开销被用于保障流量在网络内外的传输安全，即将所有企业流量汇集到网关，同时通过网络外围防火墙阻止所有不良流量。网络外围安全系统通过网络位置来划分“信任区域”，外部不受信

44、任，内部则属于受信特权网络。但这种基于网络位置的安全体系存在着天然缺陷，一旦被渗透到信任区域，将无法有效隔离和保护数据资产。随着云计算和移动设备的快速普及，企业计算环境日益分散，网络边界日益模糊，网络外围的安全也越来越难以得到保护：当员工开始移动时，VPN 通过扩展网络将内部信任扩展到远程员工，而攻击者会通过非法获取 VPN 凭据以滥用此信任；当需要外部访问时，服务又会移动到 DMZ（demilitarized zone，为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题而设立的一个非安全系统与安全系统之间的缓冲区）中，从而使它们暴露给攻击者。究其本质，过度的隐性网络信任，会产

45、生过度的潜在风险。在这种背景下，零信任网络访问（ZTNA）和安全访问服务边缘（SASE）应运而生并快速普及。图 7：欧美远程办公的劳动力占比（%）资料来源：IDC，中信证券研究部 防护手段防护手段&策略均面临变革，行业竞争格局策略均面临变革，行业竞争格局迎来重塑迎来重塑 防护手段：端点安全由防护手段：端点安全由静态变为动态，从被动变为主动静态变为动态，从被动变为主动 随着网络威胁行为从盲目粗暴转变为精确隐秘，端点安全产品不断进化，从静态变为动态，从被动变为主动，从基于“特征”变为基于“行为”。当前，端点安全市场处于变革时期，新一代端点安全产品将迎来高速发展。端点概念不断扩展，端点安全至关重要端

46、点概念不断扩展，端点安全至关重要。端点是用于访问组织数据和网络的任何连接设备，随着新设备的不断涌现，端点的定义持续扩大，包括服务器、移动设备、工业系统、物联网设备、汽车等。大多数企业通常都将安全工作和防御控制集中在网络边界，认为这是抵御潜在攻击者的最佳方式。但是一旦攻击者绕过公司防火墙和其他外围安全控件通过端点进入内网，往往就可以自由施0%10%20%30%40%50%60%70%全部美国欧洲疫情前2020H12H2020 全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 11 展了。更糟糕的是，尽管边界控制可能会阻止外部的不

47、良行为者闯入，但这无助于防止内部威胁。因此，端点安全是企业安全防护体系的重要一环。安全威胁形态演化升级，传统端点安全产品问题凸显。安全威胁形态演化升级，传统端点安全产品问题凸显。最早期的网络威胁源自所谓的病毒，因此最早的终端防护手段就是杀毒软件和防火墙。然而随着恶意威胁由原来的盲目、直接、粗暴转变为有目标、精确、持久隐秘，传统端点安全产品的问题愈发突出：（1）应对机制是被动的，只有受到攻击后才能感知和捕获；（2）无法有效防御具有针对性的攻击，例如利用恶意软件的变种、脚本化工具将恶意软件加壳使其随机产生新的恶意软件等；（3）传统防御产品依靠特征库的更新来发现新的恶意威胁，但随着攻击者们使用不同技

48、术逃避传统的检测和防御，同时每天新增恶意样本，这种检测手段显得力不从心，整体规模也愈发臃肿。EPP（终端保护平台）的出现一定程度上弥补了传统杀毒软件的劣势，但同样存在无法应对未知威胁、多个功能模块堆叠等问题。图 8：针对端点的攻击组成 资料来源：Kaspersky，中信证券研究部 基于行为进行主动防控，新一代端点安全产品优势显著。基于行为进行主动防控，新一代端点安全产品优势显著。在此背景下，下一代端点安全产品诞生并占据有利地位。其中最具代表性的便是 EDR（端点检测与响应），通过对端点进行持续检测，发现异常行为并对其进行分析，结合机器学习和人工智能检测和防护未知威胁。新一代端点安全产品具备两大

49、核心特征：（1）基于“行为”进行主动防控。EDR 不仅仅通过“特征”进行“预防”，更依靠“行为”进行“检测”，并且进行“响应”。同时，EDR 不仅着眼于单个终端的防御，而是对各个终端的事件进行关联分析，还原整个攻击的流程，描绘出攻击事件的全貌。（2）轻量级代理。利用轻量级引擎将经典安全功能进行一体化设计，降低客户部署及运维成本。长期来看，新一代端点安全产品具有的主动防御和轻量级代理两大特点已成为端点安全产品发展的趋势。全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 12 表 3：EDR 的核心功能 功能功能 描述描述 终端安

50、全行为数据的采集和存储 从全网的终端设备中持续收集安全相关数据，并实时的将采集到的终端安全数据统一存储在云端数据库中 实时分析和威胁检测 将终端数据与来自威胁情报服务的数据实时关联，使用高级分析和机器学习算法，在已知威胁或可疑活动发生之前实时识别 威胁事件的调查和分析 提供终端安全大数据搜索的能力，能够针对威胁事件进行深入的钻取分析，还原出威胁事件的时间轴，追溯其来源，分析影响范围、造成损失等相关信息 自动威胁响应 对威胁事件进行快速响应 资料来源：IBM，中信证券研究部 图 9：端点安全产品发展进程 资料来源：COMTACT，中信证券研究部 图 10：海量数据具有规模效应，竞争壁垒不断强化

51、资料来源：中信证券研究部绘制 利用海量数据训练算法行业领先的精确度、更低的误报率吸引更多客户从所有客户的端点中收集数据 全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 13 市场规模：市场规模：我们认为，新一代端点安全方案的渗透驱动了全球端点安全市场的持续快速增长：1）疫情催化下的远程办公场景催化了商业 PC 的需求，而物联网和智能汽车等新兴产业的发展也为端点安全市场的增长提供了强劲动力；2）部署在云端的现代端点安全方案提升了防范效果、降低了客户运维成本，整体 ARPU 较传统端点安全产品亦能够有一定程度的提升；3）轻量级的

52、代理以及统一的后端云平台显著降低了新功能 cross-sale 的难度及复杂度，进一步扩展了市场空间。根据 IDC 数据，2021 年-2026 年，全球企业端点安全市场规模预计将以 14.9%的年均复合增长率增长，从 103 亿美元增长到 206 亿美元；其中，服务器安全市场从 25 亿美元增长到 55 亿美元，年均复合增长率为 14.4%；其他端点安全市场从 78 亿美元增长到 152 亿美元，年均复合增长率为 16.6%。图 11：20152021 年商用 PC 出货量及增速（百万台，%）资料来源：IDC，中信证券研究部 图 12：全球端点安全市场收入规模及增速（十亿美元，%）资料来源：

53、IDC（含预测），中信证券研究部 注：2022 年及以后为预测 图 13：On-Premise 与 SaaS 软件总体成本占比（3 年）资料来源：Kaspersky，中信证券研究部 防护手段：防护手段：XDR 成为主流发展趋势，渗透率有望快速提升成为主流发展趋势，渗透率有望快速提升 可演进式集成安全架构，可演进式集成安全架构，有效提升有效提升安全防护的有效安全防护的有效性性。XDR（Extended Detection And Response：扩展检测与响应）于 2018 年由 Palo Alto 首席技术官 Nir Zuk 提出，其-6%-4%-2%0%2%4%6%8%10%12%14%1

54、0200202021商用PC出货量（除教育行业）YoY0%5%10%15%20%25%024682420252026服务器安全现代端点安全YoY12%54%9%21%9%36%12%22%25%0%10%20%30%40%50%60%70%80%90%100%On-PremiseSaaS软件许可/软件订阅硬件基础设施实施成本人力成本内部管理费用 全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 1

55、4 将检测范围扩大到终端之外，是一种跨多个安全层收集并自动关联信息以实现快速威胁检测的方法。XDR 是端点检测与响应（EDR）的自然演进，在发展过程中逐渐结合了安全信息和事件管理（SIEM）、安全编排自动化和响应（SOAR）、以及网络流量分析（NTA），集中安全数据和事件响应。面对不断加速的数字化转型和纷繁复杂的网络攻击，XDR 可促进威胁防御、检测、响应等安全功能之间的协同和互操作，帮助企业提升威胁检测和响应的效率和效果。图 14：XDR 模型架构 资料来源：腾讯安全网站，中信证券研究部 提供更多可见性和背景信息，通过整体检测和响应策略消除安全孤岛提供更多可见性和背景信息，通过整体检测和响应

56、策略消除安全孤岛。当前，传统安全系统面临着更加隐蔽、更加智能、更具破坏性的新一代网络攻击，高级威胁的发现越来越难以通过单一的安全能力来实现。多个安全设备产生的缺乏有效信息的海量告警、孤岛式安全能力建设的缺陷、现有安全产品自动化能力不高、企业被动的安全防御策略等现实困境，使得企业急需寻找一种新的网络安全防护措施。XDR 横跨各种端点、网络、SaaS 应用、云基础设施等各种可以处理的 IT 资源，将原本分布于各种检测系统的孤立海量告警进行整合，通过在各种检测系统之上的数据集成与综合关联分析，呈现给用户更加精准和有价值的告警，显著提高了安全人员的工作效率。同时，XDR 还具备与单一的安全工具之间的

57、API 对接与基础的编排能力，从而能够快速地实施告警响应与威胁缓解。表 4：XDR 的核心能力 核心能力核心能力 具体描述具体描述 全局安全控制点 支持对终端、网络、云和工作负载的安全防护和控制能力，获取更大范围的安全可见性，支持跨产品、跨层级的安全数据获取、威胁检测和事件响应。安全集成和互操作能力 把各种安全日志、告警等数据进行汇总，以便于进一步的威胁分析；联动不同层面的安全产品，阻断不安全的访问请求、隔离被攻陷的主机、修复系统漏洞/问题、降低用户权限、下发检测策略等响应执行操作。大数据处理和机器学习分析能力 汇聚了全局的安全数据（包括各种安全日志、告警、网络流量、外部威胁情报等），比单个安

58、全产品提供更加强大的威胁检测能力。海量安全数据的处理需要 全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 15 核心能力核心能力 具体描述具体描述 具备大数据存储、传输、分析等能力，需要依赖机器学习等人工智能算法增强对高级威胁的分析、攻击杀伤链的理解和还原；让安全人员可以聚焦处理数量有限、真正有影响的安全事件。自动化编排能力 提供自动化的技术和工具，减少需要企业安全人员手动操作的频率和人为操作出错的概率，提高安全运营效率；XDR 支持安全响应任务的编排能力，让用户对文件、权限、主机和网络执行经过预先设计编排过的手动和自动的补

59、救措施，提高局部威胁发现、全局快速响应的的能力。威胁情报能力 通过提供或集成威胁情报服务，增强了企业用户的安全可见性，提升威胁检测时效性和能力。资料来源：Gartner，中信证券研究部 XDR vs SIEM：SIEM 从企业的几乎所有来源收集大量日志和数据并向安全人员发送警报，但未考虑数据的有效性，导致安全团队被许多无法分类或调查的警报淹没而忽略关键警报。此外，即使 SIEM 从诸多来源和传感器捕获数据，它仍然是一种发出警报的被动分析工具，无法跨多个端点自动协调对网络威胁的一致实时响应。而 XDR收集的数据比 SIEM 解决方案所收集的数据更精准，减少了需要大量手动集成和调整的工作，XDR

60、还能够分析多个来源的数据以验证警报，从而减少误报和整体警报量，提高了 SOC 的运营效率。另一方面，XDR 可以对网络和端点防御进行主动上下文感知调整以消除威胁，同时提醒 SOC 团队成员进行调查。综上，XDR 可以改进威胁检测和响应，使 SOC 实现流程的现代化、集成和自动化。尽管 SIEM 作为收集安全信息和事件最为全面的手段仍将持续存在，但效率更高、实时性更强的 XDR 方法料将对SIEM 的适用场景持续渗透，实现快速的增长。表 5：XDR 与 SIEM对比 产品产品 优点优点 缺点缺点 XDR 整合孤立的安全工具，提高威胁可见性、减轻安全人员的负担 通常只聚焦于威胁检测与响应；可能导致

61、对单一厂商过度依赖 SIEM 收集各类网络设备的日志数据，向安全人员发送警报，支持取证与合规 发出海量警报的被动分析工具，无法识别警报优先性，无法提供日志的上下文信息 资料来源：CrowdStrike 官网，中信证券研究部 XDR 成为业内主流发展趋势，成为业内主流发展趋势，渗透率有望进一步提升渗透率有望进一步提升。2020 年，Gartner 将 XDR 列为第一大安全技术趋势以及 2020-2021 年十大安全项目之一，并表示 XDR 解决方案将“提高检测准确性，并提高安全运营效率和生产率”。在 Gartner 技术成熟度曲线中，端点安全和安全运营两个领域在 2020 年和 2021 年都

62、提及了 XDR。2022 年，XDR 站上了安全运营成熟度曲线顶端，成为安全运营体系中最炙手可热的技术之一。根据 Gartner 的报告，2020 年使用 XDR 技术的组织少于 5%，但预计到 2027 年这一数字将上升至 40%。根据 IDC 数据，2021 年-2026 年，全球云原生 XDR 市场规模预计将以 66.1%的年均复合增长率增长，从 1.7 亿美元快速增长到 21.2 亿美元。全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 16 图 15：2022 年 Gartner 安全运营成熟度曲线 资料来源：Gar

63、tner，中信证券研究部 图 16：云原生 XDR 市场总收入（百万美元）资料来源：IDC（含预测），中信证券研究部 注：2022 年及以后为预测 图 17：SIEM 市场总收入及增速（百万美元，%）资料来源：Kaspersky（含预测），中信证券研究部 XDR 有望驱动行业平台化整合，份额向头部厂商集中有望驱动行业平台化整合，份额向头部厂商集中。由于 XDR 模型致力于实现跨各类安全产品的数据集成与综合关联分析，我们认为行业内的头部厂商将显著受益：一方面，头部厂商均积极推动产品平台化演进，能够提供多种安全产品和能力的整合交付，亦能实现自身产品的数据集成；另一方面，头部厂商亦能建立全面的合作生

64、态，与多个环节的供应商联合实现 XDR 的能力。2021 年 10 月，CrowdStrike 推出XDR 模块，同时发起成立 Crowd XDR 联盟，启动合作伙伴包括来自云、Web、电子邮件、身份、网络、ITOM 等安全和 IT 行业的领导者。该联盟为数据交换建立一个共享模式，通过特定供应商的安全遥测丰富底层 XDR 数据以进行关联分析，为跨域调查提供统一的控制台以实现威胁检测和响应。而 Palo Alto 和微软亦分别在 XDR 领域推出了 Cortex XDR 与 Microsoft XDR 产品。0%20%40%60%80%100%120%05000250020

65、22420252026市场规模YoY0%2%4%6%8%10%12%14%00400050006000700020212022E2023E2024E2025E2026E市场规模YoY 全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 17 图 18：Crowd XDR 联盟 资料来源：Crowdstrike，中信证券研究部 防护手段：防护手段：云安全云安全迅速迅速崛起崛起 云工作负载安全是针对部署在云端的虚拟机、容器等工作负载的安全解决方案，能够在漏洞风险、入侵威胁检测、主动防御、快

66、速响应以及安全管理等方面为工作负载提供全面的保护。我们认为，云工作负载安全市场增长主要受到以下几点因素的驱动：1）伴随数字化、云化的持续渗透，企业部署在云端的工作负载不断增加；2）多云、混合云的部署，以及微服务架构的持续渗透显著增加了 IT 堆栈的动态性及复杂度，亦显著提升了安全防范的难度和重要性。根据 IDC 数据，2021 年全球云工作负载安全市场规模为22 亿美元，预计到 2026 年将增长至 51 亿美元，2021-2026 年 CAGR 为 18.5%。我们认为，这一市场的增长空间可能被显著低估：根据 IDC，目前安全开支占企业 IT 总开支约 10%，但目前云安全占公有云市场（Ia

67、aS+PaaS）的比例则尚不及 2%。考虑到云环境本身动态、复杂的特点，以及 IT 基础设施上云的持续推进，我们认为云计算环境下的安全开支将持续增长。图 19：全球云工作负载市场规模及增速（百万美元，%）资料来源：IDC（含预测），中信证券研究部 0%5%10%15%20%25%0040005000600020212022E2023E2024E2025E2026E市场规模YoY 全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 18 图 20：IaaS+PaaS 市场规模（十亿美元）资料来源：IDC（含预

68、测），中信证券研究部 图 21：云安全占公有云市场（IaaS+PaaS）的比例（%）资料来源：IDC（含预测），中信证券研究部 图 22：全球虚拟机数量及增速（百万，%）资料来源：IDC（含预测），中信证券研究部 图 23：全球容器实例数量及增速（百万，%）资料来源：IDC（含预测），中信证券研究部 图 24：部署容器和 k8s 时面临的挑战 资料来源：IDC，中信证券研究部 0500300350400450PaaSIaaS0.0%0.2%0.4%0.6%0.8%1.0%1.2%1.4%1.6%20212022E2023E2024E2025E0%5%10%15%20%25

69、%00500600700虚拟机数量YoY-虚拟机数量0%10%20%30%40%50%60%70%004000500060007000容器实例数量YoY0%5%10%15%20%25%30%安全数据管理多云或多数据中心部署/管理/集成容器的可靠性/稳定性缺乏部署或管理容器基础架构的技能或再培训缺乏开发云原生或微服务应用程序的技能或再了解如何对容器中的应用程序进行故障排除现有应用程序与容器的兼容性实现容器的自动扩展联网容器化应用程序的监控实施持久存储实施灾难恢复满足合规性/监管要求实现容器编排文化/组织/态度改变实现日志记录 全球全球 SaaS 云计算

70、产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 19 图 25：CWPP 能力金字塔模型 资料来源：Gartner，中信证券研究部 防护策略：防护策略：零信任、零信任、SASE 迅速普及迅速普及 零信任：解决企业零信任：解决企业 IT 边界扩展忧虑边界扩展忧虑。零信任网络访问（ZTNA）假设外部和内部威胁每时每刻都充斥着网络，信任永远不应该是基于网络位置隐含的，而是要在基于细粒度的用户、设备的身份认证来获得的。因此，ZTNA 仅授予特定用户对于特定服务或是应用程序的访问权限，而不是如 VPN 授予对于整个网络的访问权限，这种架构将很大程度限制可利用攻

71、击面的范围。根据 Gartner 预测，到 2023 年，将有 60%的企业逐步淘汰远程 VPN 访问，转向零信任网络访问。图 26：企业安全体系的演变进程 资料来源：Okta 投资者日活动 全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 20 我们认为，ZTNA 的核心组件为身份认证和访问管理（IAM）和安全网关（SWG 和CASB）产品。其中，身份认证和访问管理产品能够通过生物特征、行为分析、地理位置、使用设备等多种方式验证用户身份，并使用访问控制引擎为多个应用场景（B2E、B2B和 B2C）的目标应用提供集中身份验证、

72、SSO（单点登录）、会话管理和授权实施。而安全网关产品能够对网络进行端到端分段，以确保合法用户仅对其特权凭据内允许的应用程序或者 Web 内容进行精细访问，其中 SWG（Secure Web Gateway）主要充当公司设备和互联网内容间的网关，而 CASB（Cloud Access Security Broker）主要充当公司设备和云服务间的网关。根据 IDC，全球 IAM 市场规模预计将在 2025 年达到 192 亿美元，2020-2025 年 CAGR 为 11.6%，其中云产品的 CAGR 为 18.6%；全球安全网关市场规模预计将在 2025 年达到 66 亿美元，2020-202

73、5 年 CAGR 为 10.3%。图 27：ZTNA 主要架构 资料来源：中信证券研究部绘制 图 28：全球 IAM市场规模及增速（百万美元，%）资料来源：IDC（含预测），中信证券研究部 0.0%5.0%10.0%15.0%20.0%25.0%05,00010,00015,00020,00025,000201920202021E2022E2023E2024E2025E身份管理身份验证B2C身份管理特权身份管理身份治理管理遗留方案YoY 全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 21 图 29：全球安全网关市场规模及增

74、速（百万美元，%）资料来源：IDC（含预测），中信证券研究部 表 6：IAM 各细分市场介绍 细分市场细分市场 主要功能主要功能 主要玩家主要玩家 访问管理 使用访问控制引擎为多个应用场景（B2E、B2B 和 B2C）的目标应用程序提供集中身份验证、SSO（单点登录）、会话管理和授权实施。多因素身份认证以及对现代身份协议（如SAML、OAuth2 和 OIDC）的支持均为访问管理的核心要素。Okta、微软、Ping Identify、IBM、Oracle、CA 身份认证 指代替传统密码的一系列身份验证方法以及解决方案，MFA（多因素身份认证）是目前最为主流的身份认证方案，通过生物特征、行为分析

75、、地理位置、使用设备等多种方式验证用户身份。MFA 是访问管理的核心要素。市场较为分散，访问管理厂商以及安全厂商均能提供身份认证解决方案 特权访问管理 特权账户是 IT 王国的钥匙，能够提供对 IT 基础设施、应用程序、DevOps 工具和关键业务数据的完全访问和控制，也是外部攻击者入侵和破坏的首要对象。而 PAM 提供了对特权管理员帐户的精准访问控制，可以最大限度地保护敏感数据及信息。CyberArk、Thycotic、BeyondTrust、Centrify、One Identify 身份治理管理 IGA 系统是 IAM 生态的重要组成部分，它们必须管理数量迅速增长的身份和权限的生命周期，

76、以使公司了解当前谁可以访问哪些资源，谁应该访问这些资源，以及如何使用这些资源。Sailpoint、Saviynt、IBM、Omada、One Identify、Oracle 资料来源：Gartner，中信证券研究部 防护策略：防护策略：SASE 将整合的网络安全能力推向边缘将整合的网络安全能力推向边缘 随着企业越来越多地依赖于基于云的应用程序，并支持分布式工作流以支持远程和移动端用户，企业网络迅速超出传统的网络边缘。尽管网络的发展速度足以支持远程端点的工作流程，但绝大多数安全工具并未跟上发展的步伐。为了保护现代企业网络下的网络安全，所有端点都必须使用与其本地基础架构相同的安全和网络策略进行保护

77、和管理，安全访问服务边缘（SASE）应运而生。SASE 是 Gartner 于 2019 年提出的一个新的网络安全类别，将 SD-WAN 和网络安全点解决方案融合到统一的云原生服务中。Gartner 预计，到 2024 年至少有 40%的企业将制定采用 SASE 的明确战略，而 2018 年底这一比例还不到 1%。0%2%4%6%8%10%12%00400050006000700020202021E2022E2023E2024E2025ECASBSWGYoY 全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声

78、明 22 图 30：SASE 的主要参与方 资料来源：Cato networks 由于 SASE 在底层基础架构中内置了完整的安全堆栈，所有边缘都享有统一策略的相同级别保护。当所有 WAN 和 Internet 流量通过 SASE 云平台时，IT 人员可以完全了解网络，使得 IT 部门能够通过单一管理平台保持对整个网络的控制。同时，网络和安全堆栈的简化，以及多个单点产品的整合，消除了任何资本支出采购以及内部管理和维护的需要，所有成本都转化为 Opex。我们认为，SASE 的趋势一方面将使得网络安全厂商加速平台化的整合，技术能力全面的头部厂商有望强者恒强；另一方面，SASE 也在持续推动网络安全

79、产品云化的进程，SASE 核心组件中的 FwaaS、CASB、ZTNA、SWG 均将加速云化。表 7：SASE 的关键组件 核心组件核心组件 组件功能组件功能 软件定义广域网(SD-WAN)SD-WAN 可实现最佳广域网管理。SASE 利用 SD-WAN 功能提供优化的网络路由、全球连接、广域网和互联网安全、云加速和远程访问 防火墙即服务(FWaaS)防火墙是任何网络安全堆栈的基础。SASE 利用 FWaaS 以提供数字业务所需的可扩展性和弹性，并在需要的地方扩展完整的网络安全堆栈 零信任网络访问(ZTNA)ZTNA 提供了一种现代方法来保护用户的应用程序访问，应用程序访问根据用户身份、位置、

80、设备类型等动态调整 云访问安全代理(CASB)CASB 帮助企业适应云计算带来的新威胁。作为 SASE 服务的一部分交付时，消除了将 CASB 与其他点安全解决方案集成的复杂性 安全 Web 网关(SWG)SWG 解决方案保护用户免受恶意软件、网络钓鱼和其他网络传播的威胁。SASE 为所有位置的所有用户提供 SWG 保护，并且无需跨多点解决方案维护策略 统一管理 SASE 解决了管理多个不同产品的复杂性。真正的 SASE 允许用户从单一管理平台监控和管理所有网络和安全解决方案 资料来源：Gartner，中信证券研究部 全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.

81、17 请务必阅读正文之后的免责条款和声明 23 图 31：全球网络安全软件市场规模及增速（百万美元，%）资料来源：IDC（含预测），中信证券研究部；注：主要指传统的防火墙软件等，不包括网关、IAM等产品 图 32：全球安全即服务（Security as a Service）市场规模及增速（百万美元，%）资料来源：IDC（含预测），中信证券研究部；注：AIRO 即 Cybersecurity analytics,intelligence,response,and orchestration；GRC 即 Governance,risk,and compliance software 市场格局市场格

82、局：新一代安全厂商快速获得份额，市场份额持续向头部集中：新一代安全厂商快速获得份额，市场份额持续向头部集中 我们认为，伴随着防范手段和防范策略的全面变革，行业格局将迎来重塑，顺应行业趋势的新一代厂商有望快速获得份额。与此同时，细分领域的头部厂商将通过内部研发和外延并购等手段实现功能的扩充及平台化的延展，并依赖集成交付的产品组合及客户、品牌、数据积累层面的领先优势实现份额的持续扩大。2021 年，在端点安全领域，我们看到微软、Crowdstrike、SentinelOne 等具有新一代端点安全方案的厂商在快速获得份额，而 Trend Micro、博通（收购赛门铁克）、Trellix 等传统端点安

83、全厂商则在逐步失去份额；在 IAM 市场，我们亦看到微软、Okta 等现代身份认证厂商实现了份额的显著增长，而博通（收购 CA）、Oracle 等传统方案的份额则持续下降。值得一提的是，尽管CyberArk 同样是 IAM 市场的子领域特权访问管理（IGA）市场领先的新一代供应商，但由于其能力逐步被 Okta、微软等行业领导者整合至统一的平台上，CyberArk 的份额亦被逐步侵蚀。0.0%5.0%10.0%15.0%20.0%25.0%30.0%35.0%05001,0001,5002,0002,5003,0003,5004,0004,50020202021E2022E2023E2024E2

84、025E软件云服务软件YoY云服务YoY0.00%5.00%10.00%15.00%20.00%25.00%0.0010,000.0020,000.0030,000.0040,000.0050,000.0060,000.0070,000.0080,000.0090,000.00100,000.0020212022E2023E2024E2025E2026EAIRO端点安全GRC身份认证管理信息和数据安全网络安全yoy 全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 24 图 33：2021 年全球端点安全市场份额（%）资料来源

85、：IDC，中信证券研究部 图 34：2021 年全球端点安全市场份额获得者及丢失者 Top5 资料来源：IDC，中信证券研究部 图 35：2021 年全球 IAM市场份额（%）资料来源：IDC，中信证券研究部 图 36：2021 年全球 IAM市场份额获得者及丢失者 Top5 资料来源：IDC，中信证券研究部 板块估值显著回调，配置价值显现板块估值显著回调，配置价值显现 板块估值：回调至历史低位板块估值：回调至历史低位 与软件板块整体表现类似，伴随疫情后联储降息以及数字化、云化进程的加速，安全板块估值水平在 2020-2021 年快速攀升。但伴随政策利率抬升、市场对宏观经济不确定性担忧的加剧，

86、板块估值在 2021 年 11 月之后迅速下行。目前美股安全板块 EV/S NTM 为 5.8x，显著低于 2015 年至今 8x 左右的平均估值水平；如果将增速纳入考量，目前美股安全板块 EV/S/G NTM 为 0.26x，距离 2015 年至今 0.4x 左右的平均估值水平亦差异显著。此外，结合财务/战略收购领域对标的的估值水平，目前板块整体估值亦处于历史低位。考虑到企业安全开支的刚性以及板块中长期的明确趋势，我们认为估值进一步向下的空间有限，而向上的弹性则较为明显。CrowdStrikeMicrosoftTrend MicroTrellixSophosBroadcom Software

87、ESET其他-3%-2%-1%0%1%2%3%4%MicrosoftOktaIBMRSAThalesOracleBroadcomCyberArk SoftwareSailPointOthers-2.0%-1.0%0.0%1.0%2.0%3.0%4.0%全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 25 图 37：美股软件 SaaS 板块 EV/S NTM 及十年期国债收益率（%）资料来源：彭博，中信证券研究部 图 38：美股安全板块 EV/S NTM表现 资料来源：彭博，中信证券研究部 图 39：美股安全板块 EV/S/G

88、 NTM 表现 资料来源：彭博，中信证券研究部 0.00.51.01.52.02.53.03.54.04.50.02.04.06.08.010.012.014.016.018.020.0Jan-15Jan-16Jan-17Jan-18Jan-19Jan-20Jan-21Jan-22EV/S NTM十年期国债收益率（%）0510152025Jan-15Jan-16Jan-17Jan-18Jan-19Jan-20Jan-21Jan-22安全板块EV/S平均EV/S00.10.20.30.40.50.60.70.80.9Jan-15Apr-15Jul-15Oct-15Jan-16Apr-16Jul-

89、16Oct-16Jan-17Apr-17Jul-17Oct-17Jan-18Apr-18Jul-18Oct-18Jan-19Apr-19Jul-19Oct-19Jan-20Apr-20Jul-20Oct-20Jan-21Apr-21Jul-21Oct-21Jan-22Apr-22Jul-22Oct-22安全板块EV/S/G平均EV/S/G 全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 26 图 40：美股安全板块重点公司 EV/S NTM水平 资料来源：彭博，中信证券研究部 表 8：全球信息安全领域大型并购估值 交易日期

90、交易类型 收购方 被收购方 EV/NTM交易收入倍数 NTM 收入增长率 EV/Sales/NTM 增长率 2013.05.20 财务收购/PE 支持 Vista Equity Websense 2.5x 0%NM 2013.07.23 战略收购 Cisco System,Inc.Sourcefire,Inc.8.1x 25%0.32x 2016.06.12 战略收购 Symantec Blue Coat 5.4x 13%0.40 x 2017.11.27 财务收购/PE 支持 Thoma Bravo Barracuda Networks 3.8x 6%0.63x 2018.10.10 财务收

91、购/PE 支持 Thoma Bravo Imperva 4.5x 13%0.35x 2018.11.26 战略收购 BlackBerry Cylance 8.2x 25%0.33x 2019.08.08 战略收购 Broadcom Symantec 4.5x-1%NM 2019.08.22 战略收购 VMWare Carbon Black 5.0 x 17%0.47x 2019.10.14 财务收购/PE 支持 Thoma Bravo Sophos 4.5x 10%0.45x 2020.07.15 财务收购/PE 支持 Advent International Forescount 4.9x

92、2%NM 2020.03.09 财务收购/PE 支持 Symphony Technology Group McAfee Enterprise 3.2x-7%NM 2020.03.21 财务收购/PE 支持 TPG Thycotic 9.3x NA NA 2021.03.03 战略收购 Okta Auth0 32.5x 60%0.54x 2021.04.27 财务收购/PE 支持 Thoma Bravo Proofpoint 9.4x 15%0.62x 2021.06.03 财务收购/PE 支持 Symphony Technology Group FireEyE Products 2.3x-4%

93、NA 2021.12.07 财务收购/PE 支持 Pemira Mimecast 8.8x 16%0.55x 2022.03.09 战略收购 Alphabet Mandiant 9.5x 17%0.56x 2022.04.11 财务收购/PE 支持 Thoma Bravo SailPoint 11.9x 20%0.60 x 2022.04.11 战略收购 Kaseya Datto 7.9x 18%0.45x 2020-至今平均，战略收购 16.6x 32%0.52x 2020-至今平均，财务收购/PE 支持 7.1x 7%0.59x 2020-至今平均，整体平均 10.0 x 15%0.55x

94、 2013-至今平均，战略收购 10.5x 22%0.44x 2013-至今平均，财务收购/PE 支持 5.9x 7%0.53x 2013-至今平均，整体平均 7.9x 14%0.48x 资料来源：路透，中信证券研究部 板块业绩：不利宏观环境下增速承压，中长期趋势依然明朗板块业绩：不利宏观环境下增速承压，中长期趋势依然明朗 伴随美国通胀数据拐点的确立，美联储本轮货币紧缩周期正接近尾声，2023 年大概024681012 全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 27 率的衰退情形成为投资者主要关心的问题。而根据我们的统

95、计，22Q3 财报披露完成后，安全板块 CY 2023 平均收入增速一致预期出现了明显下调，绝大多数个股也在进行业绩预期的持续修正。从近期安全板块的整体增长情况来看，疫情后加速增长的情况已经过去，而宏观环境对下游需求的压制亦逐渐体现。我们判断，2023H1，宏观环境仍将对板块业绩造成持续的压力；而进入下半年，伴随经济环境的逐步复苏以及基数压力的明显减弱，板块增速有望实现反弹。从中长期的角度，安全在企业 IT 开支中的优先地位、以及防范手段&策略变革驱动的成长并未发生改变，当下较低的估值水平提供了较优的配置时机。而从短期配置的角度，我们判断 Crowdstrike、微软、Palo Alto 等盈

96、利能力较优、平台化进展顺利的企业在当下时点更为稳健；而 Zscaler、Sentinelone、Cloudflare 等增速较快、盈利能力偏弱的标的则有望在下半年实现更优的弹性。图 41：美股重点软件 SaaS 公司 CY 2023 平均收入增速一致预期变化（%）资料来源：彭博一致预期，中信证券研究部 图 42：美股主要安全类软件 SaaS 公司 CY 2023 平均收入增速一致预期变化（%）资料来源：彭博一致预期，中信证券研究部 20.0%21.0%22.0%23.0%24.0%25.0%26.0%27.0%28.0%29.0%20.0%21.0%22.0%23.0%24.0%25.0%26

97、.0%27.0%全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 28 图 43：美股主要安全类软件 SaaS 公司 CY 2023 收入增速一致预期调整（%）资料来源：彭博一致预期，中信证券研究部 图 44：美股安全板块平均 Billings 增速水平（%）资料来源：彭博，中信证券研究部；注：大市值公司包括 ZS、PANW、FTNT、CRWD 风险因素风险因素 原油价格上行导致欧美高通胀进一步失控风险；美债利率快速上行风险；针对科技巨头的政策监管持续收紧风险；全球宏观经济复苏不及预期风险；宏观经济波动导致欧美企业 IT 支出

98、不及预期风险；全球云计算市场发展不及预期风险；云计算企业数据泄露、信息安全风险；行业竞争持续加剧风险等。投资投资策略策略 疫情后数字化、云化的加速推进，以及远程办公场景的迅速渗透，使得企业信息安全的重要性日益凸显。与此同时，我们观察到端点侧、云侧、威胁数据侧的防范手段正在经历重大变革，而 ZNTA、SASE 等新一代防范策略亦在迅速渗透，这一方面驱动了市-10.0%0.0%10.0%20.0%30.0%40.0%50.0%60.0%70.0%2022-03-252022-07-012022-09-302023-01-060%5%10%15%20%25%30%35%40%安全板块平均Billin

99、gs增速剔除大市值公司后增速 全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 29 场空间的不断延展，另一方面也带来了竞争格局的新一轮洗牌。立足当下，尽管宏观环境给板块业绩估值均带来了一定的压力，但板块内在的发展逻辑并未发生变化。从中长期的角度，安全在企业 IT 开支中的优先地位、以及防范手段&策略变革驱动的成长并未发生改变，当下较低的估值水平提供了较优的配置时机。而从短期配置的角度，我们判断 Crowdstrike、微软、Palo Alto 等盈利能力较优、平台化进展顺利的企业在当下时点更为稳健；而 Zscaler、Sen

100、tinelone、Cloudflare 等增速较快、盈利能力偏弱的标的则有望在下半年实现更优的弹性。表 9：安全领域重点跟踪公司估值情况 公司公司 代码代码 市值（亿美市值（亿美元）元）估值方法估值方法 估值估值 2021A 2022E 2023E 2024E 微软 MSFT.O 17,833 P/FCF 27.7 26.2 22.0 18.0 Fortinet FTNT.O 382 P/FCF 33.9 28.0 20.8 22.2 Zscaler ZS.O 155 PS 14.2 10.1 7.8 6.0 Cloudflare NET.N 144 PS 22.0 14.8 11.0 8.2

101、 Palo Alto Networks PANW.O 420 P/FCF 24.7 22.0 18.4 15.8 Crowdstrike CRWD.O 233 P/FCF 51.3 36.7 27.7 20.8 Sentinelone S.N 40 PS 19.8 9.6 6.2 4.3 资料来源：彭博，中信证券研究部 注：股价为 2023 年 1 月 13 日收盘价；预测数据来自彭博一致预期 30 分析师声明分析师声明 主要负责撰写本研究报告全部或部分内容的分析师在此声明：（i）本研究报告所表述的任何观点均精准地反映了上述每位分析师个人对标的证券和发行人的看法；（ii）该分析师所得报酬的任何

102、组成部分无论是在过去、现在及将来均不会直接或间接地与研究报告所表述的具体建议或观点相联系。一般性声明一般性声明 本研究报告由中信证券股份有限公司或其附属机构制作。中信证券股份有限公司及其全球的附属机构、分支机构及联营机构（仅就本研究报告免责条款而言，不含 CLSA group of companies），统称为“中信证券”。本研究报告对于收件人而言属高度机密，只有收件人才能使用。本研究报告并非意图发送、发布给在当地法律或监管规则下不允许向其发送、发布该研究报告的人员。本研究报告仅为参考之用，在任何地区均不应被视为买卖任何证券、金融工具的要约或要约邀请。中信证券并不因收件人收到本报告而视其为中信

103、证券的客户。本报告所包含的观点及建议并未考虑个别客户的特殊状况、目标或需要，不应被视为对特定客户关于特定证券或金融工具的建议或策略。对于本报告中提及的任何证券或金融工具，本报告的收件人须保持自身的独立判断并自行承担投资风险。本报告所载资料的来源被认为是可靠的，但中信证券不保证其准确性或完整性。中信证券并不对使用本报告或其所包含的内容产生的任何直接或间接损失或与此有关的其他损失承担任何责任。本报告提及的任何证券或金融工具均可能含有重大的风险，可能不易变卖以及不适合所有投资者。本报告所提及的证券或金融工具的价格、价值及收益可跌可升。过往的业绩并不能代表未来的表现。本报告所载的资料、观点及预测均反映

104、了中信证券在最初发布该报告日期当日分析师的判断，可以在不发出通知的情况下做出更改，亦可因使用不同假设和标准、采用不同观点和分析方法而与中信证券其它业务部门、单位或附属机构在制作类似的其他材料时所给出的意见不同或者相反。中信证券并不承担提示本报告的收件人注意该等材料的责任。中信证券通过信息隔离墙控制中信证券内部一个或多个领域的信息向中信证券其他领域、单位、集团及其他附属机构的流动。负责撰写本报告的分析师的薪酬由研究部门管理层和中信证券高级管理层全权决定。分析师的薪酬不是基于中信证券投资银行收入而定，但是，分析师的薪酬可能与投行整体收入有关，其中包括投资银行、销售与交易业务。若中信证券以外的金融机

105、构发送本报告，则由该金融机构为此发送行为承担全部责任。该机构的客户应联系该机构以交易本报告中提及的证券或要求获悉更详细信息。本报告不构成中信证券向发送本报告金融机构之客户提供的投资建议，中信证券以及中信证券的各个高级职员、董事和员工亦不为（前述金融机构之客户）因使用本报告或报告载明的内容产生的直接或间接损失承担任何责任。评级说明评级说明 投资建议的评级标准投资建议的评级标准 评级评级 说明说明 报告中投资建议所涉及的评级分为股票评级和行业评级（另有说明的除外）。评级标准为报告发布日后 6 到 12 个月内的相对市场表现，也即：以报告发布日后的 6 到 12个月内的公司股价（或行业指数）相对同期

106、相关证券市场代表性指数的涨跌幅作为基准。其中：A 股市场以沪深300 指数为基准，新三板市场以三板成指（针对协议转让标的）或三板做市指数（针对做市转让标的）为基准；香港市场以摩根士丹利中国指数为基准；美国市场以纳斯达克综合指数或标普 500 指数为基准；韩国市场以科斯达克指数或韩国综合股价指数为基准。股票评级股票评级 买入 相对同期相关证券市场代表性指数涨幅 20%以上 增持 相对同期相关证券市场代表性指数涨幅介于 5%20%之间 持有 相对同期相关证券市场代表性指数涨幅介于-10%5%之间 卖出 相对同期相关证券市场代表性指数跌幅 10%以上 行业评级行业评级 强于大市 相对同期相关证券市场

107、代表性指数涨幅 10%以上 中性 相对同期相关证券市场代表性指数涨幅介于-10%10%之间 弱于大市 相对同期相关证券市场代表性指数跌幅 10%以上 31 特别声明特别声明 在法律许可的情况下，中信证券可能（1）与本研究报告所提到的公司建立或保持顾问、投资银行或证券服务关系，（2）参与或投资本报告所提到的公司的金融交易，及/或持有其证券或其衍生品或进行证券或其衍生品交易，因此，投资者应考虑到中信证券可能存在与本研究报告有潜在利益冲突的风险。本研究报告涉及具体公司的披露信息，请访问 https:/ 本研究报告在中华人民共和国（香港、澳门、台湾除外）由中信证券股份有限公司（受中国证券监督管理委员会

108、监管，经营证券业务许可证编号：Z20374000）分发。本研究报告由下列机构代表中信证券在相应地区分发：在中国香港由 CLSA Limited（于中国香港注册成立的有限公司）分发；在中国台湾由 CL Securities Taiwan Co.,Ltd.分发；在澳大利亚由 CLSA Australia Pty Ltd.（商业编号：53 139 992 331/金融服务牌照编号：350159）分发；在美国由 CLSA（CLSA Americas,LLC 除外）分发；在新加坡由 CLSA Singapore Pte Ltd.（公司注册编号：198703750W）分发；在欧洲经济区由 CLSA Eur

109、ope BV 分发；在英国由 CLSA（UK）分发；在印度由 CLSA India Private Limited 分发（地址：8/F,Dalamal House,Nariman Point,Mumbai 400021；电话：+91-22-66505050；传真：+91-22-22840271；公司识别号：U67120MH1994PLC083118）；在印度尼西亚由PT CLSA Sekuritas Indonesia 分发；在日本由 CLSA Securities Japan Co.,Ltd.分发；在韩国由 CLSA Securities Korea Ltd.分发；在马来西亚由CLSA Se

110、curities Malaysia Sdn Bhd 分发；在菲律宾由 CLSA Philippines Inc.（菲律宾证券交易所及证券投资者保护基金会员）分发；在泰国由 CLSA Securities(Thailand)Limited 分发。针对不同针对不同司法管辖区的声明司法管辖区的声明 中国大陆：中国大陆：根据中国证券监督管理委员会核发的经营证券业务许可，中信证券股份有限公司的经营范围包括证券投资咨询业务。中国香港：中国香港：本研究报告由 CLSA Limited 分发。本研究报告在香港仅分发给专业投资者（证券及期货条例（香港法例第 571 章）及其下颁布的任何规则界定的），不得分发给零

111、售投资者。就分析或报告引起的或与分析或报告有关的任何事宜，CLSA 客户应联系 CLSA Limited 的罗鼎，电话：+852 2600 7233。美国：美国：本研究报告由中信证券制作。本研究报告在美国由 CLSA（CLSA Americas,LLC 除外）仅向符合美国1934 年证券交易法下 15a-6 规则界定且 CLSA Americas,LLC 提供服务的“主要美国机构投资者”分发。对身在美国的任何人士发送本研究报告将不被视为对本报告中所评论的证券进行交易的建议或对本报告中所述任何观点的背书。任何从中信证券与 CLSA 获得本研究报告的接收者如果希望在美国交易本报告中提及的任何证券应

112、当联系 CLSA Americas,LLC（在美国证券交易委员会注册的经纪交易商），以及 CLSA 的附属公司。新加坡：新加坡：本研究报告在新加坡由 CLSA Singapore Pte Ltd.，仅向（新加坡财务顾问规例界定的）“机构投资者、认可投资者及专业投资者”分发。就分析或报告引起的或与分析或报告有关的任何事宜，新加坡的报告收件人应联系 CLSA Singapore Pte Ltd，地址：80 Raffles Place,#18-01,UOB Plaza 1,Singapore 048624，电话：+65 6416 7888。因您作为机构投资者、认可投资者或专业投资者的身份，就 CLS

113、A Singapore Pte Ltd.可能向您提供的任何财务顾问服务，CLSA Singapore Pte Ltd 豁免遵守财务顾问法（第 110 章）、财务顾问规例以及其下的相关通知和指引（CLSA 业务条款的新加坡附件中证券交易服务 C部分所披露）的某些要求。MCI（P）085/11/2021。加拿大：加拿大：本研究报告由中信证券制作。对身在加拿大的任何人士发送本研究报告将不被视为对本报告中所评论的证券进行交易的建议或对本报告中所载任何观点的背书。英国：英国：本研究报告归属于营销文件，其不是按照旨在提升研究报告独立性的法律要件而撰写，亦不受任何禁止在投资研究报告发布前进行交易的限制。本研

114、究报告在英国由 CLSA（UK）分发，且针对由相应本地监管规定所界定的在投资方面具有专业经验的人士。涉及到的任何投资活动仅针对此类人士。若您不具备投资的专业经验，请勿依赖本研究报告。欧洲经济区：欧洲经济区：本研究报告由荷兰金融市场管理局授权并管理的 CLSA Europe BV 分发。澳大利亚：澳大利亚：CLSA Australia Pty Ltd(“CAPL”)(商业编号：53 139 992 331/金融服务牌照编号：350159)受澳大利亚证券与投资委员会监管，且为澳大利亚证券交易所及 CHI-X 的市场参与主体。本研究报告在澳大利亚由 CAPL 仅向“批发客户”发布及分发。本研究报告未

115、考虑收件人的具体投资目标、财务状况或特定需求。未经 CAPL 事先书面同意，本研究报告的收件人不得将其分发给任何第三方。本段所称的“批发客户”适用于公司法（2001）第 761G 条的规定。CAPL 研究覆盖范围包括研究部门管理层不时认为与投资者相关的 ASX All Ordinaries 指数成分股、离岸市场上市证券、未上市发行人及投资产品。CAPL 寻求覆盖各个行业中与其国内及国际投资者相关的公司。印度：印度：CLSA India Private Limited，成立于 1994 年 11 月，为全球机构投资者、养老基金和企业提供股票经纪服务（印度证券交易委员会注册编号：INZ000001

116、735）、研究服务（印度证券交易委员会注册编号：INH000001113）和商人银行服务（印度证券交易委员会注册编号：INM000010619）。CLSA 及其关联方可能持有标的公司的债务。此外，CLSA 及其关联方在过去 12 个月内可能已从标的公司收取了非投资银行服务和/或非证券相关服务的报酬。如需了解 CLSA India“关联方”的更多详情，请联系 Compliance-I。未经中信证券事先书面授权，任何人不得以任何目的复制、发送或销售本报告。未经中信证券事先书面授权，任何人不得以任何目的复制、发送或销售本报告。中信证券中信证券 2023 版权所有。保留一切权利。版权所有。保留一切权利。