摘要
在新需求、新政策、新技术的共同促进下,2016年以后网络安全行业摆脱以前纯粹合规性需求驱动而进入加速发展期,未来网络安全占信息化开支占比有望提升到5%以上。2014年开始政府和企业进行数字化转型、信息系统逐步上云过程中,企业网络边界逐渐消失,“云大物移”新场景驱动下网络安全在防护对象、防护思想和防护技术上均发生较大变化,网络安全产品种类也大幅增加,网络安全逐步做到与IT信息系统同步规划,促进信息安全占IT支出占比逐步提升至5%以上。同时2017年~2019年《网络安全法》、等保2.0标准的推出,进一步扩大监管范围提升了监管标准,促进了网络安全市场整体加速增长尤其是态势感知类产品和主动防御市场的快速增长。新一代网络安全在大数据分析、人工智能技术新技术的发展使得网络安全防护思想、战略发生了变化,催生了网络安全行业新的投资机遇,促进态势感知、威胁情报、数据安全、身份认证与访问等网络安全新产品快速发展。2019年预计中国网络安全市场规模将达到602亿,保持21%的增长速度,IDC预计2018~2020年中国网络安全市场年复合增速将超过23%,新一代网络安全产品增长速度将远超传统边界安全产品。
面对日益复杂的网络环境和层出不穷的网络攻击威胁,政府和企业需要构建“低、中、高”三位能力的信息安全系统,预计未来低位安全即传统边界安全、终端安全将保持平稳增长,而中位、高位安全产品将获得快速增长,因此未来拥有大数据能力、威胁情报能力,同时云安全产品、主动防御产品占比较高的网络安全公司能获得超过行业增速的增长速度。低位能力强调基础架构的防护和纵深防御,中高位能力强调网络安全企业对海量数据的建模与分析能力、安全运营和安全分析能力、云端威胁情报与分析能力,能对基础设施防护产品提供支撑和决策。目前中位和高位的安全能力是信息安全企业普遍欠缺的,传统企业安全公司相对落后,互联网公司和基于大数据与情报能力的创业公司在中高位防御能力上有一定优势。动防御和预测类安全产品如态势感知、威胁情报分析、安全运维服务管理、数据安全等细分领域在近年取得快速增长。尤其是态势感知平台,2017~2018年政府部门监管侧态势感知平台、企业端主动防御用态势感知平台项目发展较快,几乎所有信息安全公司都参与到这个安全管理和监测平台建设中。
网络安全行业正在经历一个快速变革期,除了需求、产品、防护理念变化,行业竞争格局也在经历重大改变,我们预计2019~2022年会逐步看到国内网络安全收入排名前20的公司发生变化,同时网络安全巨头走向生态化和平台化竞争。依靠资本加持,借助人才优势以及品牌力量,互联网巨头迅速在企业安全市场崛起。以360、阿里巴巴、腾讯为代表的互联网公司网络安全收入增长较快,且引发了行业人才争夺战并促进了行业工程师整体薪酬快速提升。同时以360企业安全、阿里云为代表的互联网巨头通过不断投资并购在细分领域有独特优势的网络安全企业建立自己的网络安全生态体系,增强自身竞争优势,未来网络安全市场巨头间竞争逐步演变为生态竞争。目前中国市场公有云和私有云渗透率在2018年达到7%,随着越来越多的企业上公有云尤其是中小企业,公有云端安全产品未来将挤压传统线下企业网络安全市场。而私有云设备商如华为和新华三因为私有云产品线齐全、技术实力强,主打“云网融合”一体化解决方案,而网络安全作为混合云集成方案中重要模块进行销售,尤其在重视安全的政府、电信、教育、金融等领域取得了较高的安全市场份额。未来随着基础架构安全、被动防御市场增速逐步放缓,积极防御、威胁情报等产品迅速增长,基于积极防御类、大数据分析类安全产品的创业团队也获得快速增长。因此未来随着网络安全行业持续变革,网络安全公司、互联网公司、混合云提供商以及创业公司在规模和扩张速度上会逐步拉开差距,新白马和黑马投资机会都会涌现。
投资建议:在行业高景气和快速变革时期,我们建议投资者颠覆以往对网络安全行业的认知,全面了解产业链发展情况选择研发投入、技术积累和解决方案布局能跟上网络安全新变化趋势的网络安全公司,尤其是拥有中位和高位能力、在积极防御和大数据能力上具有优势的网络安全企业,请投资者重点关注360企业安全集团、深信服、启明星辰、安恒信息、观安信息等。
风险提示:
1)网络安全行业在新技术和新场景驱动下迭代速度越来越快,对网络安全公司研发和技术要求越来越高,行业内公司研发费用率整体提升从而造成净利率有可能有下降风险;
2)新一代网络安全技术发展较快,而传统边界安全产品增速放缓,造成以边界安全产品为主的公司收入增速会低于行业平均增速;
3)行业内部分公司存在商誉减值风险;
正文
1. 三大因素驱动中国网络安全市场变革,网络安全占信息化支出占比将逐步提升
2015年以前中国网络安全市场一直受到等保标准和条例驱动,市场发展较为平稳,网络安全占IT开支比例不足2%。信息安全等级保护是我国信息安全保障的一项基本制度,是国家通过制定统一的信息安全等级保护管理规范和技术标准,对国家重要信息、法人和其他组织及公民的专有信息以及公开信息在存储、传输、处理这些信息时分等级实行安全保护;对信息系统中使用的信息安全产品实行按等级管理;对信息系统中发生的信息安全事件分等级响应、处置。1994年《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)首次提出“计算机信息系统实行安全等级保护”的概念,此后1999年《计算机信息系统安全等级保护划分准则》、2005年《重要信息系统灾难恢复指南》、2007年《信息安全等级保护管理办法》、2008年《信息安全等级保护基本要求》、陆续发布,等保安全要求标准也逐步提高,涵盖的监管范围越来越完善,监管对象也逐步从政府各级部门、体制内企业扩展到全社会多个行业,如政府机关、金融行业、能源行业、电信行业、游戏行业、教育行业、电商行业、网贷行业、运输行业等。等保测评提出了技术要求和管理要求两大类,涵盖了物理(机房)、网络、主机、应用、数据安全、安全管理制度、安全管理机构、人员、系统建设、系统运维十个方面的内容。因此过去中国的网络安全市场增长主要依赖等保监管标准提升、覆盖范围扩大,政府机关、企业按照等保要求部署相应的网络安全设备和系统,因此市场增速较为平稳,网络安全占IT开支比例不足2%。
图表1:按照等保三级要求进行产品配置的一套企业网络安全产品组合
| 序号 | 建议功能或模块 | 重要程度 | 主要依据 | |||
安全层面 | 三级分项 | 三级测评指标 | 权重 | |||
1 | 边界防火墙与区域防火墙 (带宽管理模块) | 非常重要 | 网络安全 | 访问控制(G3) | a)应在网络边界部署访问控制设备,启用访问控制功能; | 0.5 |
| b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级; | 1 | |||||
网络安全 | 结构安全(G3) | f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段; | 0.5 | |||
| g)应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。 | 0.5 | |||||
2 | 入侵防护系统 | 非常重要 | 网络安全 | 入侵防范(G3) | a)应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等 | 1 |
| b)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间等,在发生严重入侵事件时应提供报警,及时进行处置。(落实) | 0.5 | |||||
网络安全 | 访问控制(G3) | c)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制; | 1 | |||
3 | 防病毒网关 | 重要 | 网络安全 | 恶意代码防范(G3) | a)应在网络边界处对恶意代码进行检测和清除 | 1 |
| b)应维护恶意代码库的升级和检测系统的更新。 | 0.5 | |||||
4 | WEB应用防火墙 (或防篡改) | 重要 | 数据管理安全 | 数据完整性(S3) | a)应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施; | 0.2 |
应用安全 | 软件容错(A3) | a)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求; | 1 | |||
5 | 终端管理软件 (补丁分发系统) | 重要 | 网络安全 | 边界完整性检查(S3) | b)应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。 | 1 |
主机安全 | 入侵防范(G3) | c)操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。 | 0.5 | |||
6 | 企业版杀毒软件 | 非常重要 | 主机安全 | 恶意代码防范(G3) | a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库; | 1 |
| b)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库; | 0.5 | |||||
| c)应支持防恶意代码的统一管理。 | 0.5 | |||||
7 | 网络准入系统 | 重要 | 网络安全 | 边界完整性检查(S3) | a)应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断; | 1 |
8 | 日志审计系统 | 非常重要 | 网络安全 | 安全审计(G3) | a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录; | 1 |
| b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 | 0.5 | |||||
| c)应能够根据记录数据进行分析,并生成审计报表; | 1 | |||||
| d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等 | 0.5 | |||||
主机安全 | 安全审计(G3) | e)应保护审计进程,避免受到未预期的中断; | 0.5 | |||
9 | 数据库审计 | 重要 | 主机安全 | 安全审计(G3) | a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户; | 1 |
10 | 运维审计系统(堡垒机) | 重要 | 网络安全 | 网络设备防护(G3) | d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别; | 1 |
| e)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换; | 1 | |||||
主机安全 | 访问控制(S3) | b)应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限; | 0.5 | |||
11 | 网络管理系统 | 重要 | 主机安全 | 资源控制(A3) | c)应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况; | 0.5 |
| e)应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。 | 0.2 | |||||
12 | 异地备份方案 | 重要 | 数据管理安全 | 备份和恢复(A3) | a)应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放; | 0.5 |
| b)应提供异地实时备份功能,利用通信网络将数据实时备份至灾难备份中心 | 0.5 | |||||
资料来源:互联网资料整理,中信建投证券研究发展部
在新需求、新政策、新技术的共同促进下,2016年以后网络安全行业进入加速发展期。2014年开始政府和企业进行数字化转型、信息系统逐步上云过程中,催生出了新的网络安全需求,同时2016年年底《网络安全法》、等保2.0标准的推出,进一步扩大监管范围提升了监管标准,促进了网络安全市场整体快速增长尤其是态势感知类产品和主动防御市场的快速增长。大数据分析、人工智能技术新技术的发展也使得网络安全防护思想、战略发生了变化,催生了网络安全行业新的投资机遇,促进态势感知、威胁情报、数据安全、身份认证与访问等网络安全新产品快速发展。
1.1 国家、政府、企业面临的网络安全威胁日益增加,国家对网络安全重视程度提升
网络安全威胁事件频发,没有网络安全就没有国家安全,国家对网络安全重视程度进一步提高。2018年1月世界经济论坛最新发布的《全球风险报告》,阐述了全球企业所面临的风险,网络攻击和数据泄露排在最有可能发生的前五大风险第三位、第四位,首次进入前五大威胁。网络攻击、病毒爆发和数据泄露事件近年在全球范围内出现越来越频繁,造成的直接、间接经济损失也越来越高。Frost&Sullivan和微软的研究表明,网络安全问题给全球造成的损失2017年高达6000亿美元,预计2021年将增至1万亿美元,遭受网络攻击数据泄露或者病毒勒索,造成的直接经济损失包括企业的收入、生产力、罚款、诉讼和补救措施; 间接损失包括客户流失、声誉受损等。2015年至今网络安全威胁事件层出不穷,从沙特民航系统被黑、美国遭史上最大规模DDoS攻击东海岸网站集体瘫痪、乌克兰电网被攻击、俄罗斯央行被黑客入侵造成3100万美元损失、WannaCry病毒全球大爆发超10万机构组织被攻陷到中国社保系统被曝漏洞等等,从政府机关、金融、能源到互联网公司,各行业几乎都受到网络攻击、病毒的威胁。网络安全是经济全球化和社会信息化的前提,也是国家安全和社会稳定的基础,没有网络安全就没有国家安全,因此各国政府、企业都提高了对网络安全的重视。
图表2:2018年世界经济论坛将网络攻击、数据泄露首次列入全球企业所面临前五大风险
资料来源:财富杂志,中信建投证券研究发展部
图表3:针对工业控制系统的新型攻击武器Industroyer的攻击路径
资料来源:国家互联网应急中心,中信建投证券研究发展部
图表4:2015年至今全球发生重大网络攻击、安全漏洞、病毒入侵案例
| 时间 | 事件名称 | 攻击方法(原因)和影响 |
2015年1月 | 俄罗斯约会网站泄露2000万用户数据 | Topface网站被黑客攻击,2000万访客信息泄露;黑客可以使用这些账号来尝试获取银行、病例或其他敏感数据信息 |
2015年4月 | 中国社保系统被曝漏洞,社保成为个人信息泄露“重灾区” | 卫生和社保系统出现高危漏洞;数千万用户的社保信息可能泄露 |
2015年7月 | 意大利HackingTeam被黑,“互联网军火”泄露 | 黑客攻击;Hacking Team掌握的大量漏洞和攻击工具泄露,并在网络上广泛流传 |
2015年10月 | 美国全球数据服务集团益百利(Experian)公司遭到黑客入侵 | 黑客入侵;导致1500万用户个人信息泄露,包括用户姓名、出生日期、地址、社会安全号、ID号码(护照号或驾照号码),以及用户附加信息,如用于信用评估的加密方面资料等 |
2015年10月 | 中国某电信系统出现重大漏洞 | 电信系统重大漏洞;通过该漏洞可以查询上亿用户信息,涉及姓名、证件号、余额,并可以进行任意金额充值、销户、换卡等操作 |
2015年11月 | 中国香港伟易达Learning Lodge网站500万客户资料外泄 | 黑客入侵;全球大约500万客顾客账户以及儿童资料受到影响 |
2016年2月 | 孟加拉国SWIFT黑客时间爆发,多家银行损失巨款 | 黑客攻击;失窃8100万美元 |
2016年6月 | 欧洲全球银行业使用的恐怖嫌疑人数据库被泄露 | 数据库泄露;一个包含约220万条恐怖分子与“高风险个人及实体”记录的数据库被泄露在互联网上 |
2016年9月 | 美国雅虎曝史上最大规模信息泄露,5亿用户资料被窃 | 黑客入侵盗取用户信息;5亿条用户信息被窃取,其中包括用户姓名、电子邮箱、电话号码、出生日期和部分登录密码 |
2016年10月 | 美国遭史上最大规模DDoS攻击、东海岸网站集体瘫痪 | 恶意软件Mirai控制的僵尸网络发起的DDoS攻击;导致许多网站在美国东海岸地区宕机,如GitHub、Twitter、PayPal等,用户无法通过域名访问这些站点 |
2016年11月 | 德国90万家庭断网,遭遇黑客蓄意入侵 | 德国电网遭到网络故障;2000万固定网络用户中的大约90万路由器发生故障(约4.5%),并由此导致大面积网络访问受限 |
2016年12月 | 俄罗斯央行遭遇黑客攻击,3100万美元不翼而飞 | 央行电脑系统遭到黑客入侵,黑客通过伪造的用户证书进入账户;犯罪分子从银行的代理账户中窃走了20亿卢布(约合3100万美元)的资金 |
2017年2月 | 印度麦当劳 220W 用户收据遭泄露,系因API未受保护 | 应用漏洞引发的数据泄露;McDelivery应用泄露了220多万麦当劳用户的个人数据,包括:姓名、电子邮箱地址、电话号码、家庭住址、家庭坐标和社交个人资料链接 |
2017年2月 | 中国黑产团伙长期贩卖公民信息,泄露数据达50亿条 | 犯罪团伙利用超级SQL注入工具、网站漏洞扫描软件,批量扫描网站程序漏洞,非法获取网站后台用户注册数据;大量个人信息包括多个邮箱、社交软件的账号和密码泄露 |
2017年3月 | 美国“7号军火库”泄露 | 维基解密(WikiLeaks)网站公布美国CIA内部文件;美国CIA内部大量攻击技术泄露,包括8761份文件 |
2017年4月 | 美国影子经纪人入侵NSA黑客武器库 | 影子经纪人(Shadow Brokers)公开了一大批NSA(美国国家安全局)“方程式组织”(Equation Group)使用的极具破坏力的黑客工具;导致任何人都可以使用NSA的黑客武器系列攻击别人的电脑 |
2017年5月 | 加拿大贝尔遇黑客勒索,勒索不成用户数据遭泄露 | 黑客入侵;约190万个使用中的电子邮件地址和约1700名客户的名字和使用的电话号码泄露 |
2017年5月 | WannaCry病毒全球大爆发,超10万机构、组织被攻陷 | 由Windows系统漏洞引发的勒索蠕虫病毒攻击;全球范围受到影响,大量机构和组织被攻陷、勒索 |
2017年6月 | 美国2亿选民资料泄露马克龙深陷“邮件门” | 美国共和党全国委员会的承包商Deep Robot Analytics误配置数据库所导致信息泄露;约2亿人的投票信息泄露,包括美国选民的个人信息,姓名、出生日期、家庭地址、电话号码、选民登记详情等 |
2017年6月 | Petya勒索病毒变种肆虐 | Petya勒索病毒变种攻击;多家运营商、石油公司、零售商、机场、ATM机等企业和公共设施已大量沦陷,甚至乌克兰副总理的电脑也遭到感染 |
2017年10月 | 中国新型IoT僵尸网络快速扩张 | 僵尸网络利用路由器、摄像头等设备漏洞攻击;很多厂商的公开漏洞都已经被IoT_reaper病毒所利用,其中包括Dlink(路由器)、Netgear(路由器)、Linksys(路由器)、Goahead(摄像头)、JAWS(摄像头)、AVTECH(摄像头)、Vacron(NVR)等共9个漏洞,感染量达到近200万台设备,且每天新增感染量达2300多次 |
2017年12月 | Office高危漏洞导致恶意邮件正大规模窃取隐私 | 利用Office漏洞(CVE-2017-11882)实施的后门攻击;通过恶意文档诱骗点击并窃取隐私 |
2018年2月 | 美国安德玛事件 | 健康和健身追踪应用MyFitnessPal遭到黑客攻击;大约有1.5亿用户受到影响,泄露的信息包括用户名、电子邮件地址以及密码等 |
2018年3月 | 美国大学事件 | 9名伊朗黑客发动黑客攻击;渗透144所美国大学、其他21个国家的176所大学、47家私营公司、联合国、美国联邦能源监管委员会以及夏威夷州和印第安纳州等其他目标,窃取了31TB的数据,以及预估价值30亿美元的知识产权信息 |
2018年3月 | 美国FACEBOOK数据泄密,五千万用户数据遭滥用 | Cambridge Analytica获得了Facebook的用户数据并违规滥用;Facebook上约有8700万用户受影响,欧盟声称Facebook确认270万欧洲人的数据被不当共享 |
2018年4月 | 美国纳斯达克数据中心被声音“攻击”,北欧交易全线中断 | 用于火灾报警系统释放灭火气体产生的巨大声响导致瑞典Digiplex 数据中心磁盘损坏;近三分之一的服务器意外关机,进而摧毁整个北欧范围内的纳斯达克业务 |
2018年5月 | 美国恶意软件VPNFilter事件 | 俄罗斯黑客攻击活动传播VPNFilter的恶意软件创建大规模的僵尸网络;僵尸网络可用于多种用途,包括启动网络操作或垃圾邮件活动、窃取数据、制定有针对性的本地化攻击等 |
2018年8月 | 台积电多个厂区电脑遭遇WannaCry病毒袭击,造成停工 | 8月3日傍晚台积电台积电多个厂区电脑遭遇WannaCry病毒感染造成宕机停工,据悉包括竹科(新竹科技园区)的晶圆12厂、中科(台中科技园区)晶圆15厂和南科(台南科技园区)晶圆14厂都受到此次电脑病毒感染影响,影响范围主要集中在7纳米制程。 |
2018年8月 | 华住酒店客人信息遭遇黑客盗取并在暗网出售 | 8月28日暗网上出现了华住旗下多个连锁酒店开房信息数据的交易行为,该事件涉及到的酒店有汉庭、美爵、禧玥、桔子、全季、星程、宜必思、海友等,有1.23亿条注册资料、1.3亿人身份信息和2.4亿条开房记录在黑市以8个比特币(约等于人民币35万元)的价格公开叫卖。9月18日华住酒店宣布暗网上试图兜售数据的犯罪嫌疑人已经被缉拿归案,其企图之交易未果 |
资料来源:互联网资料整理,中信建投证券研究发展部
境外APT攻击组织对中国及“一带一路”国家发动攻击趋于频繁,国家对抗的安全需求进一步提升。APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”,APT攻击一般经过长期的经营与策划,具备高度的隐蔽性,是国家对抗或者组织间对抗的网络战的一种具体表现形式。APT攻击类型主要分为六类:潜伏控制、潜伏窃密、通用破坏、工控破坏、政治影响和金钱利益。根据360 2016年发布的APT研究报告显示,2016年被APT攻击国家依次是:中国、美国、印度、俄罗斯、乌克兰、巴基斯坦、伊朗、韩国、日本、以色列、土耳其、埃及和沙特阿拉伯这13国家。从攻击目标上看,攻击政府、外交、军事领域的APT组织最多,其次是金融领域,接下来是能源、电力、医疗、零售、电商等基础设施。截至到2018年10月,360威胁情报中心已累计监测到的针对中国境内目标发动攻击的境内外APT组织38个,攻击范围遍布国内31个省级行政区。且针对中国境内的攻击活动在2018年异常频繁,活跃的攻击组织包括海莲花、蔓灵花、白象、DarkHotol等。中国周边的国家以及中国的"一带一路"国家,也成为APT组织重点关注的对象。
图表5:网络安全层次划分和分类
资料来源:360企业安全,中信建投证券研究发展部
网络空间战日益成为大国战略博弈的新战场,国家安全作为网络安全中最重要的组成部分,加强网络安全能力建设和投入才能匹配我国的大国地位。无论是发动APT攻击,还是披露APT攻击,均成为了现代国际关系中,大国政治与战略博弈的重要棋子,而整个网络空间就是大国战略博弈的新战场。美俄两国,特别是美国,非常善于通过公开威胁事件及情报共享等方式,提高国内机构与企业的整体安全防护水平,同时借此对其他国家施加政治压力。要对抗APT攻击需要网络安全企业拥有以下几种能力:1)充分的历史安全大数据储备能力;2)本地多维大数据的协同分析与处理能力;目前国内绝大多数安全企业提供的安全产品普遍缺乏数据联动分析能力,同时也严重缺乏多维度数据综合收集与处理的计算能力;3)具有云端威胁情报能力,目前在国内能够实现稳定商业运营的威胁情报中心厂商也非常少。未来国家必须要加强网络安全能力建设和投入才能匹配现在的大国地位。
图表6:2016年360威胁情报中心监测到APT攻击情况
| 被攻击目标国家 | 所属地区 | 相关报告数量 | 攻击组织数量 | 主要被攻击领域 |
中国 | 亚洲 | 26 | 9 | 政府、基础设施、教育、科研、大型企业 |
美国 | 北美 | 15 | 9 | 政府、金融、基础设施、大型企业 |
印度 | 亚洲 | 15 | 7 | 政府、军事、商业组织 |
俄罗斯 | 欧洲 | 15 | 6 | 政府、能源、军事、外交、金融 |
乌克兰 | 欧洲 | 14 | 5 | 政府、军事、电力、金融 |
巴基斯坦 | 亚洲 | 13 | 3 | 政府、军事、外交、能源、教育、科研 |
伊朗 | 亚洲 | 12 | 3 | 政府、外交、能源 |
韩国 | 亚洲 | 8 | 4 | 政府、大型企业 |
日本 | 亚洲 | 3 | 3 | 基础设施、组织机构、大型企业 |
以色列 | 亚洲 | 3 | 3 | 政府、军事、金融 |
土耳其 | 亚洲 | 3 | 2 | 政府、军事 |
沙特阿拉伯 | 亚洲 | 2 | 2 | 军事、金融 |
埃及 | 非洲 | 2 | 2 | 政府、军事、金融 |
资料来源:360安全研究院,中信建投证券研究发展部
图表7:2016年遭受APT攻击后感染专用木马用户最多的省级行政区依次是:广东、北京、浙江、江苏,也和我国企业信息化程度相关
资料来源:360网络安全研究院,中信建投证券研究发展部
图表8:2018年中国境内遭受APT攻击的行业分布
资料来源:360网络安全研究院,中信建投证券研究发展部
1.2 网络安全法规、政策近年密集出台,监管和处罚力度加大,下游被监管行业范围扩大,未来轨交和工控将成为信息安全市场潜力最大的下游行业
2014~2017年,国家密集出台加强网络安全建设的法规和政策,促进网络安全行业加速发展。2014年2月27日中央网络安全和信息化领导小组宣告成立并在北京召开第一次会议,中共中央总书记、国家主席、中央军委主席习近平亲自担任组长,李克强、刘云山任副组长。2015年十八届五中全会将“网络强国战略”纳入“十三五”规划。2016年12月国家互联网信息办公室《国家网络空间安全战略》,明确国家网络空间安全工作的战略任务是坚定捍卫网络空间主权、坚决维护国家安全、保护关键信息基础设施、加强网络文化建设、打击网络恐怖和违法犯罪、完善网络治理体系、夯实网络安全基础、提升网络空间防护能力、强化网络空间国际合作等9个方面。2017年2月,国家互联网信息办公室官网公布《网络产品和服务安全审查办法(征求意见稿)》,宣布将成立网络安全审查委员会,负责审议网络安全审查的重要政策,统一组织网络安全审查工作,党政部门及重点行业优先采购通过审查的网络产品和服务,不得采购审查未通过的网络产品和服务,同时金融、电信、能源等重点行业主管部门,组织开展本行业、本领域网络产品和服务的安全审查工作。
2017年6月《网络安全法》正式实施后,对违法网络安全法规的政府机关、企业处罚力度增加,促进企业合规性采购需求增加,2019年等保2.0将正式发布,进一步促进2019年~2020年信息安全市场快速增长。2008年发布的《GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求 》及其配套政策文件和标准统称为等保1.0。等保1.0在经历了多年的试点、推广、行业标准制定、落实工作后,由于新技术、新应用、新业务形态的大量出现,尤其是人工智能、大数据、物联网、云计算、全数字化仪控系统等的快速发展,安全趋势和形势的急速变化,原来发布的标准已经不再适用于当前安全要求,从2015年开始,等级保护的安全要求逐步开始制定2.0标准,包括5个部分:安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制安全扩展要求,丰富了防护内容和要求,通用要求中精简了多余或者不适用的内容,增加了无线网络、网络集中监控等的要求。2017年6月1日期《中华人民共和国网络安全法》正式开始实施,其中第二十一条明确:国家实行网络安全等级保护制度。在过去一年多的法律实践中,各地都陆续出现未落实等保的企业被有关部门责令整改、行政处罚、暂停注册、暂停运营等处罚,因此地方政府网信办、公安部门对违法企业处罚力度的加大也促进了政府《网络安全等级保护条例》即等保2.0标准已在国家安标委最终审批,将在近期正式出台。
图表9:2017年~2018年部分地方政府对企业未履行《网络安全法》要求的职责进行的较为严重的处罚案例统计
| 时间 | 处罚行为 | 处罚对象 | 处罚措施 | 执法机关 | 处罚依据 |
2017.7.22 | 未进行定级备案、等级测评,存在高危漏洞,造成网站发生被黑客攻击入侵 | 四川省宜宾市翠屏区“教师发展平台”网站 | 对直接负责的主管人员罚款5000,机构罚款10000元 | 四川省宜宾市网安部门 | 《网络安全法》第21条、第59条第1款 |
2017.8.12 | 未进行网络安全等级保护定级备案、等级测评 | 安徽省蚌埠怀远县教师进修学校网站 | 约谈学校法定代表人、怀远县人民政府分管副县长;对学校处以巧15000罚款,对负有直接负责的主管人员处到5000罚款 | 安徽省公安厅网络安全保卫总队;安徽省蚌埠市局网安支队 | 《网络安全法》第21条、56 条、第59条。 |
2017.8.30 | 未按照网络安全等级保护制度的要求落实网络安全主体责任,存在高危安全漏洞并被黑客攻击入侵,造成严重后果 | 哈尔滨方正县农业技术推广中心设立的“方正农业社会化服务平台” | 责令整改,并处罚 款20000元 | 黑龙江省哈尔滨市公安局网安支队 | 《网络安全法》第21条、第59条、第59条第1款 |
2017.7.21 | 未实名认证、未建立安全保护管理制度和安全保护技术措施 | 上海初生网络科 技有限公司(热拉) | 停机整顿6个月 | 上海公安网安部门 | 《计算机信息网络国际联安网安全护萨办法》第10条、第11条 |
2017.9 | 未落实实名制 | 深圳市三人网络科技有限公司 | 停业整顿,关闭网站 | 广东省通信管理局 | 《网络安全法》第24条、第61条 |
2017.8.17 | 未落实实名制 | 蘑菇互动网、虾米音乐网 | 暂停新用户注册7天 | 浙江网信办 | 《网络安全法》第24条、第61条 |
2018.1.10 | 未履行个人信息保护义务 | 支付宝、芝麻信用 | 约谈支付宝、芝麻信用有关负责人,要求加强专项整顿 | 国家网信办网络安全协调局 | 《网络安全法》第22条、第41、42、43条、第64条 |
2018.1.11 | 未履行个人信息保护的法律责任 | 北京百度网讯科技有限公司、蚂蚁金服集团公司(支付宝)、北京字节跳动科技有限公司(今日头条) | 约谈,责令整改 | 工业和信息化部信息通信管理局 | 《网络安全法》第22条、第64条 |
2018.1.11 | 未履行网络信息内容审核义务 | 万豪国际集团 | 责令万豪国际集团从当日18时起将官方中文网站、中文版APP自行关闭一周,开展全面自查整改,彻底清理违法违规信息,及时向社会公布事件调查结果和处置情况 | 上海市网信办 | 《网络安全法》第47条、第50条、第68条 |
2018.1.12 | 未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,致使网站遭到攻击 | 河南省新乡市封丘县图书馆网站 | 对封丘县图书馆给予款20000元、对直接责任人处以警告,并罚款5000元 | 封丘县公安局、封丘县文化广电旅游局 | 《网络安全法》第21条、第25条、第59条第1款 |
资料来源:互联网资料整理,中信建投证券研究发展部
网络安全法中首次明确了关键信息基础设施的原则性范围,未来城市轨道交通网络安全、工业控制安全市场潜力巨大且增长速度较快。《网络安全法》规定“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”新纳入进来且未来有较大增长潜力的行业包括城市轨道交通和工业控制的网络安全,如城市地铁的信号系统、综合监控系统、自动售检票系统等均需要部署网络安全防护系统,新规划的城市地铁就要将网络安全纳入到信息系统总体规划中,同时要求对于“关键信息基础设施的运行安全”从保护制度、职责分工、安全要求、统筹协调机制等方面作出了详尽的规定。2018年1月,工业和信息化部正式印发了《工业控制系统信息安全行动计划(2018-2020)》指出,到2020年建成工控安全管理工作体系,各级政府管理职责清楚,工作管理机制基本完善,将工控安全作为生产安全的重要组成部分,态势感知、安全防护、应急处置能力显著提升,全面加强技术支撑体系建设,建成全国在线监测网络,应急资源库,仿真测试、信息共享、信息通报平台(一网一库三平台)。我们预计未来五年城市轨道交通安全、工业控制安全将成为信息安全行业拓展潜力最大的下游行业。
图表10: 中国城市轨交信息化投资额(单位:亿元)
资料来源:中国产业信息网,中信建投证券研究发展部
图表11: 中国电力行业信息化开支(单位:亿元)
资料来源:中国产业信息网,中信建投证券研究发展部
1.3 “云大物移”等新场景和新技术促进信息安全防护理念变化,信息安全占IT开支比例未来有望提升至5%以上
“云大物移”新场景驱动下防护对象改变,企业网络边界逐渐消失,政府和企业网络安全防护理念发生较大变化,网络安全不再是“补丁”模式,而是与信息系统建设同时规划,促进信息安全占IT支出占比逐步提升至5%以上。2015年以前政企部署网络安全产品都在基础信息化部署完成之后,像打“补丁”一样将边界安全产品加到整体信息系统中进行防护和防御,因此网络安全投资占信息化整体投资比例一直低于2%。2015年以后,随着新的应用场景云计算、大数据、物联网和移动终端的普及,企业信息化程度逐步提升,网络安全领域出现了三大变化:
1)防护对象改变:从传统PC、服务器、网络边缘到云计算、大数据、泛终端、新边界;
2)防护思想变化:从“风险发现、查缺补漏”到“关口前移、系统规划”;
3)核心技术升级:从传统的围墙式防护到利用大数据等技术对安全威胁进行检测与响应
正是企业信息如今企业的信息网络边界逐步消失,网络安全必须和信息系统建设同时规划。数字经济给了企业安全一次新的机会,在数字化过程中把安全内置进信息系统,因此未来网络安全投资有望占IT信息支出占比达到5%以上。2019年预计中国网络安全市场规模将达到602亿,保持21%的增长速度,IDC预计2018~2020年中国网络安全市场年复合增速将超过23%。
图表12: 国家安全与政企数字化转型给网络安全领域提出了新的要求,网络安全领域出现的三大变化
资料来源:360企业安全,中信建投证券研究发展部
图表13: 中国网络安全市场规模在2019年达到602亿规模,保持21%的增长速度(单位:亿元)
资料来源:IDC,中信建投证券研究发展部
新监管需求、新技术、新场景驱动安全新产品快速发展,尤其是积极防御、威胁情报类、基于大数据技术的网络安全产品如态势感知平台、威胁情报、数据安全等安全智能类新产品增长迅速。过去安全防护的思路一直是以防御攻击为主导,且主要集中在基础架构防御上,导致网络安全预测领域、主动防御,很长一段时间内是企业安全防护的薄弱区,且传统信息安全公司在产品技术上也相对滞后。随着网络攻击越来越频繁、企业信息化越来越复杂、监管趋严,主动防御和预测类安全产品如态势感知、威胁情报分析、安全合规管理、安全配置核查等细分领域在近年取得快速增长。尤其是态势感知平台,2017~2018年政府部门监管侧态势感知平台、企业端主动防御用态势感知平台项目发展较快,几乎所有信息安全公司都参与到这个安全管理和监测平台建设中。随着态势感知平台发展快速发展的还有威胁情报产品,以前大型企业客户会每年订阅威胁情报产品服务,威胁情报需求只局限在大型企业。随着态势感知市场的扩大,威胁情报作为平台“API数据接口”的采购模式也呈快速上涨趋势,政府监管部门、企业尤其在金融、电信等领域需求量都在增加。而数据安全方面,除了过去传统的数据库防护、磁盘加密文档加密外,随着大型企业、政府相关部门上云形成自己的数据中台后,大数据平台的安全防护需求也将快速增加。
图表14: 网络安全防护的五层滑动标尺模型,积极防御、情报类和大数据类安全产品近年得到快速发展
资料来源:安天科技,中信建投证券研究发展部
2. 行业高景气和产业变革中,信息安全行业发展新趋势和投资机遇
2.1 构建完善的安全防护体系,需要 “高中低”三位一体能力,未来中高位积极防御能力成为网络安全能力发展关键
360企业安全曾提出,面对日益复杂的网络环境和层出不穷的网络攻击威胁,政府和企业需要构建“低、中、高”三位能力的信息安全系统。低位能力是传统的安全防御能力,包括传统的终端安全、网络安全、上网行为和移动安全等等,是数据采集层也是命令执行层,低位产品市场竞争较为激烈;中位能力是对海量数据的建模与分析能力,包括安全运营和安全分析能力;高位能力是云端威胁情报与分析能力,能对中位和低位提供支撑和决策,就像人的“大脑”,负责复杂的思考和下达行为指令。目前中位和高位的安全能力是信息安全企业普遍欠缺的,目前做的比较好的是互联网公司以及华为,传统企业安全公司相对落后。预计未来低位安全即传统边界安全、终端安全将保持平稳增长,而中位、高位安全产品将获得快速增长。
图表15:政府和企业需要构建“低、中、高”三位能力的信息安全系统
资料来源:360企业安全,中信建投证券研究发展部
凸显中位和高位能力的大数据安全分析产品如态势感知、威胁情报、大数据安全防护、APT检测增长迅速:
态势感知平台分为政府部门使用的监管平台和企业使用的实施监测预警平台,目前在公安部、网信办、金融、电信、能源等行业增长迅速。态势感知平台产品源于习主席在2016年4月19日在网络安全和信息化工作座谈会上发表重要讲话,为构建网络安全法律保障机制指明了方向,习主席提出:“要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力”。十三五规划中明确将“全天候全方位感知网络安全态势”列为健全网络安全保障体系要求。态势感知通报预警平台核心功能包括:等级保护、实时监测、威胁感知、通报预警、快速处置、侦查调查、追踪溯源、情报信息、指挥调度,可以帮助用户实时掌握全局网络安全态势,实时开展预警通报、快速处置和网络安全综合管理工作。态势感知平台是目前大数据安全领域规模增长最迅速的产品,据安全牛统计,2017年国内态势感知市场规模约计20亿人民币,占整个安全市场的5%左右,预计2020年态势感知整体市场规模将超过50亿。
(1)监管侧态势感知平台:在没有态势感知平台的时候,公安部和网信办缺乏漏洞发现、安全事件通告、安全事件应急处理和预警的能力,因此出于监管需求,从公安部、网信办到各省厅、地市公安局、网信办都在快速部署态势感知平台。网络安全态势感知与预警通报平台通常部署在地市公安局的核心网络机房,拥有需要部署硬件系统如服务器、探针,还需要安全监测、管理软件,配合大屏幕进行态势监测数据分析和展示,并使用专线对重点单位站点及业务进行监测。公安部和网信办都拥有统一的数据接口规范,将逐步构建部、省、市三级网络安全威胁数据共享与交换机制,形成覆盖全国的网络安全态势感知与预警监测通报体系。
(2)企业级态势感知平台:企业级态势感知平台基本是基于大数据架构构建的一套安全管理系统,对各种网络安全数据(来自内网和外网)进行分析处理,为安全管理者提供资产、威胁、脆弱性的相关管理,并能提供对威胁的事前预警、事中发现、事后回溯功能,贯穿威胁的整个生命周期管理。目前企业级态势感知平台在信息化程度较高的金融行业、电信行业部署较快。
图表16: 典型地市级公安态势感知平台架构示意图
资料来源:互联网资料整理,中信建投证券研究发展部
图表17: 企业态势感知平台架构
资料来源:360企业安全,中信建投证券研究发展部
图表18: 典型态势感知平台显示界面
资料来源:亚信安全官网,中信建投证券研究发展部
伴随态势感知平台发展,威胁情报作为态势感知平台有效输入,获得进一步快速增长。威胁情报由第三方专业机构提供的网络安全威胁数据,可进行传输交换、关联分析、挖掘应用,以反映组织存在的网络威胁和安全影响,包括但不限于设备日志、报警或描述威胁事件等情报消息。威胁情报大致分为两类:1)人读情报,即提供给安全人员使用,主要描述行业综合网络态势的战略情报和描述某次攻击或者某一类攻击战术的TTP情报;2)面向机器的可机读情报,可机读情报更多为安全产品赋能,例如态势感知平台,使安全产品可以检测出更多的关键性威胁,从而提高设备检测和响应能力。当前国内威胁情报应用主要集中在 IT 成熟度比较高和安全需求较高的行业,如金融、政府、能源等大型企业。大部分威胁情报业务主要为“大数据安全分析平台”或态势感知平台作支撑,和内部数据进行关联分析,实现对网络威胁的全面感知。根据2017年威胁情报的各种形态带来的收入为5亿到8亿元,约占整个安全市场的1.25%到2%,未来随着大数据安全分析平台和态势感知平台快速发展,2020年预计威胁情报市场规模有望超过12亿元。
图表19: 安全智能产品分类
资料来源:安全牛,中信建投证券研究发展部
图表20: 针对金融领域的威胁情报服务
资料来源:平安金融安全研究院,中信建投证券研究发展部
数据安全:数据安全中最重要的就是数据库安全和正在快速发展的大数据平台安全防护。
1)数据库安全即以保护数据库系统,包括系统中数据的应用、存储和相关网络连接为目的,防止数据库系统遭到泄露、篡改或破坏的安全技术。数据库安全产品的形态主要有:数据库防火墙、数据库加密、数据脱敏、数据库安全网关、数据库漏洞扫描、数据库运维管理、数据库日志分析等。数据库安全厂商在产品完善程度上有着比较大的差异,但数据库审计产品几乎都有。大部分数据库安全厂商的产品形态还是以硬件设备为主,SaaS服务目前还较少。根据安全牛统计,2017年国内数据库安全市场规模约计5亿到8亿人民币,其中数据库安全审计产品占最大比例,约为80%。预计2020年数据库安全收入规模将超过12亿元。
2)大数据平台安全:企业营收体量和业务体量达到一定规模以后,完成核心业务迁移到混合云并建设自己的大数据平台和数据中台之后,大数据安全成为保护数据中台安全的重要卫士。目前大数据安全在信息化程度较高的政府、金融行业、电信行业、电力等行业推广都很迅速,这些行业中的企业大部分都实现了部分业务上云,且在逐步构建自己的数据中台,因此大数据安全是刚需。以运营商大数据安全解决方案为例,由于4G时代通信运营商内部网络规模迅速扩大,主机、网络设备、应用软件数量不断增多,业务资源访问、操作量不断增加,产生大量结构化和非结构化数据,因此三大运营商总部和省公司在过去几年都陆续完成了大数据平台的建设,大数据平台的安全防护也在快速部署和推进中。如观安帮助某运营商省公司建设的大数据安全解决方案,利用Hadoop技术搭建大数据分析平台,采用基于Hadoop架构的数据采集、预处理、统计及分析、挖掘等技术来对全网设备、应用以及网络中的各类操作数据进行全面的关联分析、安全审计。平台搭建完成后,可以通过对历史事件使用聚类分析等算法将其相关分析统计结果与实时数据进行拟合,通过机器自学习建模,将安全知识注入到大数据安全平台之中,找到安全可疑威胁,不仅能对当前捕获的安全事件和日志信息进行分析,还可以对相关信息进行全维度的关联分析,未来能规避诸如更复杂的APT类攻击,其次大大减少了安全专家检索分析大规模数据的事件,可以拿到需要的安全分析结果用于决策。
图表21: 数据安全产品分类
资料来源:安全牛,中信建投证券研究发展部
图表22: 运营商大数据安全平台解决方案
资料来源:上海观安,中信建投证券研究发展部
APT检测和防护: APT攻击是一个集合了多种常见攻击方式的综合高级攻击,来尝试突破网络防御,利用应用程序或操作系统的漏洞,利用传统的网络保护机制无法提供统一的防御的弱点,突破网络防护然后提取有价值的信息,APT攻击通常不容易被发现。近年来针对政府、企业、政治活动、科研活动的有目的有组织的黑客攻击的APT攻击越来越多,造成泄漏、损坏或篡改等严重损失,因此APT检测和防护在政府、企业、大型会议、重要活动的作用越来越重要。因此企业需要在其网络中部署威胁感知产品,及时发现潜在安全威胁,对受害目标及攻击源头进行精准定位,对入侵途径及攻击者背景的研判与溯源,从源头上解决企业网络中的安全问题,减少损失。比较全面的APT防护系统以360天眼威胁感知系统为例,基于360自有的多维度海量互联网数据,进行自动化挖掘与云端关联分析,提前洞悉各种安全威胁,并向客户推送定制的专属威胁情报。同时结合部署在客户本地的软、硬件设备,能够对未知威胁的恶意行为实现早期的快速发现,并可对受害目标及攻击源头进行精准定位,最终达到对入侵途径及攻击者背景的研判与溯源。
图表23: APT攻击特点
资料来源:互联网资料整理,中信建投证券研究发展部
图表24: 360天眼APT防护体系
资料来源:360企业安全,中信建投证券研究发展部
2.2 伴随安全预测和积极防御类网络安全产品快速增长,安全运营服务市场增长迅速
过去针对网络安全基础设施的防护的传统安全服务、安全体系咨询服务增长平稳。根据IDC统计2018年中国网络安全服务整体市场规模约为8.4亿美金,占网络安全服务总市场比例约为14%,相比美国安全服务市场占比达到30%还有较大差距。安全服务又分为安全咨询、安全运营和安全集成三部分。大部分做网络安全公司都会提供针对关键基础设施防护的安全服务,如风险评估服务、代码安全审计、安全扫描服务、渗透测试服务、安全加固服务、应急响应服务等。还有针对企业在部署网络安全产品前做咨询规划的服务,如等级保护咨询服务、安全体系咨询服务和安全培训等等。过去针对基础设施防护安全的服务增长一直比较平稳,保持8%~10%的增长速度。
图表25: 中国网络安全市场规模,服务占比仍然很低(单位:亿美金)
资料来源:IDC,中信建投证券研究发展部
图表26: 根据中国信通院数据,在安全服务三个分类中,过去一年安全运营服务收入增速最快
资料来源:中国信通院,中信建投证券研究发展部
以态势感知平台为代表的在各行业的快速拓展下,安全运营服务需求快速增长。随着以态势感知平台、APT防护为代表的主动防御类信息安全行业领导公司都纷纷推出网络安全运营驻场服务或者城市安全运营中心,帮助政府机关、企业进行专业的安全运维、数据分析支持,尤其是利用网络安全厂商大数据、AI能力提供事件分析与审计并做好预警服务。普通客户因为不具备对海量网络安全相关数据的分析能力,因此未来随着政府和企业客户网络安全系统越来越复杂,获得数据也越来越复杂,对第三方运营服务需求也会逐步增加。
目前安全运营服务主要分为三种模式:
1) 驻场运营服务:以360企业安全态势感知解决方案的驻场运维人员为例,运维服务包括协助用户运维人员,从事NGSOC平台的日常告警处置、定期统计报告、流量分析、安全规则调优等工作,与后端产品专家和安全专家建立快速响应通道,能够做到事件的及时反馈与处理,提升安全运营工作效率。因此驻场运维人员必须有云端强大的信息安全专家团队作为支撑。
2) 城市安全运营中心:以启明星辰推出的安全运营中心为例,运营中心的服务包括由专业安全团队进行全年不间断监测服务,可及时掌握网络现状及趋势,使企业做好预警、通报、处置等工作。实现对网络中各类海量网络数据的实时监测,对各类安全及情报的快速获取,通过专业安全团队,应用人工智能、大数据分析等技术,为用户可视化展现当前网络及业务系统的健康状态与未来走势,为各类业务系统建立可度量的风险模型,为用户提供事件分析与审计、风险评估与度量、预警与响应、安全态势分析等多项安全服务,并借助标准化的流程管理实现持续的安全运营。
3) 安全托管服务:以亚信安全和深信服的安全托管服务为例,采取基于云安全监测技术的服务模式对客户网站进行全托管管理。客户仅需提供网站的域名和对应IP地址,无需在网站上进行任何代码的改动,也无需安装任何服务端Agent,即可享受就7×24小时不间断的安全监测服务和安全专家的安全检测服务,并可定期获得一份专业的安全检测月度报告,作为向领导汇报、了解网站安全状况的有效途径。
未来随着政企对主动安全防护、预测性防护需求的提升和信息安全系统复杂化,所需高级安全服务需求也会提升。除了做好基础设施的网络安全防护,随着信息安全预测性防护需求增加,如对抗式演习服务、基于威胁情报的预警响应服务和工业控制系统信息安全服务需求也会逐步增加。
2.3 大数据和人工智能技术成为第三代网络安全技术核心
网络安全技术发展分为三个阶段:
第一个阶段是1987年-2000年,第一代网络安全技术核心是黑名单机制,策略是“非黑即白”。这个阶段病毒样本数量很小,每年病毒数量1万+,平均到每天高峰时也就几百个,增长速度很缓慢,多数电脑感染之后不是立刻发作,而是滞后几天、几周。且这个时期人工分析病毒的特征码,在电脑里通过扫描文件进行匹配、查杀。
第二个阶段是2001年-2015年,第二代网络安全技术白名单机制,策略是“非白即黑”,这个时期互联网迅速普及,出现了能自我复制、自我传播的蠕虫病毒。蠕虫病毒可以自动扫描并利用系统漏洞和服务端口,借助互联网、企业内网、电子邮件、网站挂马等方式进行传播,数十分钟就能蔓延至全球网络。同时流氓软件爆发,把木马数量进一步推高到每日峰值时期的近1000万个,导致病毒库无法及时更新,互联网安全公司利用搜索引擎、云技术、AI等工具建立白名单文件数据库,只要不在白名单中,就可能是新的木马病毒,进而限制其敏感操作。
第三个阶段是2015年之后,第三代网络安全技术核心是基于人工智能的大数据行为分析。2015年前后,APT攻击成为主流,黑客利用已知或未知的系统漏洞,把恶意程序注入到系统白文件中,操纵系统文件对系统进行攻击,让安全软件看上去是一个系统文件的正常操作,以躲避“查杀”。第三代技术突破了终端和边界的限制,通过尽可能全地收集大数据,对每个样本、ID、IP、流量进行计算,判断行为是否合法,把可疑行为找出来告警
图表27: 三代网络安全技术发展历程,第三代网络安全技术核心是大数据与人工智能
资料来源:360企业安全,中信建投证券研究发展部
边界防护智能化,下一代防火墙通过人工智能深度分析,推算新的变种,准确检测未知病毒/变种勒索病毒等威胁,同时云端数据持续为本地设备更新安全规则。随着网络的发展,基于2-4层进行安全防护的传统防火墙,已无法有效防护来自应用层的网络威胁, 黑客越来越多的采用应用层攻击方式突破传统防火墙的防御策略。下一代防火墙除具备传统防火墙基本访问控制功能之外,WAF、IPS、防病毒等安全功能逐渐融合到一体化引擎中。更重要的是下一代防火墙利用算法自动化提取病毒行为特征,依托机器学习的泛化能力,根据已知的变种特征,通过人工智能深度分析,推算新的变种,准确检测未知病毒/变种勒索病毒等威胁。以深信服下一代防火墙为例,其基于业务自学习的WAF引擎,采用机器学习方式,通过大量拟真的业务环境攻防演练,充分掌握业务特点及响应方式,实现业务内容的深度还原,大幅提高威胁识别率、降低误判漏判;并以人工智能算法,融合词法、语法算法,对威胁深度分析,防御未知威胁。同时在云端的安全云脑持续为本地设备更新安全规则,持续增强防火墙对热门威胁的检测和防御能力;并结合安全专家的持续监督,不断提炼算法模型,导入到下一代防火墙设备,使防火墙智能不断升级。
基于人工智能查杀病毒的下一代终端安全EDR,智能检测未知威胁。以深信服下一代终端安全产品EDR为例,采用无特征检测技术,通过构建包含攻防专家、数据科学家和安全分析师在内的三位一体架构,并结合外部多维度威胁情报,使该引擎具备持续学习、自我进化能力,面对层出不穷的新威胁,可以帮助用户更为有效的鉴定未知病毒,其检出率已达到98%,同时该下一代终端安全应通过一体化统一管理方式进行应用,实现全网终端资产全面盘点,使得每一台终端上的资产信息清晰同时能够对终端进行统一的管控,如合规审查等。
图表28:深信服下一代防火墙防御体系
资料来源:深信服官网,中信建投证券研究发展部
3. 行业需求变化和技术变革引发网络安全行业竞争格局分化
3.1 安全行业竞争格局之变1:互联网巨头入局,投资并购协同生态发展,借助资本力量和数据优势获得爆发性增长
资本加持,借助人才优势以及品牌力量,互联网巨头迅速在企业安全市场崛起。以360、阿里巴巴、腾讯、百度为代表的互联网公司都在几年前就开始布局企业安全市场,尤其引发了行业人才争夺战并促进了行业工程师整体薪酬快速提升。以360企业安全集团为例,过去3年融资金额达数十亿元,伴随资本推动大量招揽来自互联网、传统企业安全、外资背景信息安全公司的优秀技术和销售人才,借助自身在终端安全、大数据处理和分析、威胁情报领域优势,快速拓展在党政军、金融、公安、电信等行业的信息安全市场,实现销售额4年6倍的增长速度。而阿里巴巴、腾讯也几乎招揽了行业内最优秀的白帽黑客、对抗领域专家、顶尖的信息安全架构师等,从资本和人才上对传统信息安全公司构成威胁。
图表29: 360奇安信部分全资和投资公司梳理
| 企业名称 | 出资额(万元) | 出资比例 |
北京网康科技有限公司 | 10,000 | 100.00% |
北京云脑安御信息技术有限公司 | 3,000 | 100.00% |
北京天目恒安科技有限公司 | 1,000 | 100.00% |
南京安贤信息科技有限公司 | 1,000 | 100.00% |
上海桉软网络科技有限公司 | 1,000 | 100.00% |
天津思可信科技发展有限公司 | 560 | 100.00% |
北京铠信神州科技有限责任公司 | 369.23 | 100.00% |
山东安云信息技术有限公司 | 834.88 | 59.30% |
北京同功四益科技有限公司 | 165.3332 | 44.17% |
北京天广汇通科技有限公司 | 510 | 38.83% |
北京至善名德科技有限公司 | 136.91 | 38.05% |
上海犇众信息技术有限公司 | 361.304 | 36.13% |
北京奇悦网络科技有限公司 | 350 | 35.00% |
北京椒图科技有限公司 | 1,997.91 | 34.78% |
北京天空卫士网络安全技术有限公司 | 352.3809 | 29.75% |
北京和信创天科技股份有限公司 | 972.1322 | 24.30% |
北京威努特技术有限公司 | 241.1037 | 20.09% |
北京永信至诚科技股份有限公司 | 545 | 17.30% |
北京谷安天下科技有限公司 | 40.5 | 7.49% |
北京新昕欣盛科技有限公司 | 0.15 | 5.00% |
以360企业安全、阿里云为代表的互联网巨头通过投资并购建立自己的网络安全生态,增强自身竞争优势,未来网络安全市场巨头间竞争逐步演变为生态竞争。除去一些通用和普适性产品如防火墙、杀毒、上网行为管理、应用交付、数据安全等,网络安全领域存在大量客户个性化需求和细分的网络安全产品品类,尤其是在大型解决方案和项目中,很难做到一家厂商提供齐备的安全产品,尤其在网络安全需求越来越多样化的今天,因此通过投资并购手段将自身缺乏的网络安全产品纳入到生态中共同发展,成为了互联网巨头过去几年的发展策略。过去4年360企业安全通过并购和投资了数十家企业,构建逐步庞大的网络安全航母,一方面完善自身的网络安全解决方案,一方面利用360企业安全大的平台与渠道,被投资公司也能获得迅速成长。阿里云过去4年在国内外也有多次投资与并购,比较有名的投资标的包括安华金和、ThetaRay和安恒信息,同时阿里巴巴投资了以色列风投JVP,该风投投资了多家本土网络安全公司,借助阿里云庞大的用户和未来逐步爆发的混合云安全需求,阿里云生态下公司也有望获得高速增长。
图表30: 阿里巴巴近年在国内投资的网络安全相关公司
| 投资时间 | 投资对象 | 投资金额 | 细分领域 |
2018年3月 | Kloudless | 600万美元 | 数据安全 |
2016年6月 | 安华金和 | 5000万 | 数据库安全 |
2015年12月 | ThetaRay | 1500万美元 | 数据安全 |
2015年11月 | 安恒信息 | 亿元及以上 | 信息安全提供商 |
2015年6月 | 瀚海源 | 未披露 | APT攻击防护 |
2014年11月 | V-key | 1200万美元 | 移动安全软件公司 |
3.2 安全行业竞争格局之变2:公有云安全压缩传统企业安全市场,私有云解决方案提供商安全业务增长迅速,市占率逐步提升
公有云厂商提供较为完善的云端基础设施和网络安全防护产品,随着中小企业上公有云,公有云安全将挤压传统线下企业网络安全市场。公有云厂商利用自身资源优势提供DDoS高防IP、WAF、加密服务等,目前抗DDoS、WAF、漏洞扫描、主机安全、加密服务成为公有云厂商标配的安全产品,并为中小客户提供免费额度,目前有20万用户在使用阿里云安全服务。以阿里云为例,阿里云依靠电商平台网络安全长期积累起来的经验,目前云安全产品线最全,用户数最多。以抗DDoS产品为例,中国网站40%目前都放在阿里云上,阿里云每天承受攻击次数2000次,遭受300G以上的攻击数量占到全中国50%以上。目前阿里云盾目前可以45个安全功能和服务模块,覆盖了业务、运营、数据、网络等11个维度的产品,如果还是无法满足所有客户个性化的需求,也可以使用阿里云上 148家合作伙伴、350款安全产品,保证解决客户的多样化安全需求。随着中国企业不断上云,目前中国市场公有云和私有云渗透率在2018年达到7%,随着越来越多的企业上公有云尤其是中小企业,公有云端安全产品将挤压传统线下企业网络安全市场。
图表31: 腾讯云安全全景图
资料来源:腾讯云官网,中信建投证券研究发展部
图表32: 中国除去通信服务IT开支和云计算市场规模和渗透率,2018年预计公有云和私有云总渗透率7%
资料来源:中信建投证券研究发展部
私有云领域占据份额前二的华为、新华三近年在企业安全市场一直保持非常高的增长速度,2018年华为和新华三企业网络安全收入规模都在20亿以上。华为和新华三因为私有云产品线齐全、技术实力强,都主打“云网融合”一体化解决方案,而网络安全作为混合云集成方案中重要模块进行销售,尤其在重视安全的政府、电信、教育、金融等领域取得了较高的安全市场份额。目前两家公司在硬件防火墙、IDPS等标准化产品上增速较快且市占率较高。新华三2015~2017年安全业务整体增速都在50%以上, 2017Q3~2018Q3新华三防火墙收入增速达到48.1%,IDPS收入增长45.0%。而华为2016~2018年安全业务增速也高于网络设备30%的增长速度。新华三的云安全2.0方案,包括虚拟化的防火墙、负载均衡、入侵检测、WAF、堡垒机,等软件定义安全的虚拟化产品,已经是一套较为完善的基础设施和网络防护解决方案。由于大客户越来越依靠私有云解决方案提供商提供一整套交钥匙方案(包含网络、计算、安全等),因此私有云产品和解决方案提供商在硬件和标准化程度较高的网络安全设备上具有较大优势。
图表33: 2018年上半年中国安全企业50强,预计2018年企业网络安全收入规模超过20亿的公司预计有5家,华为、新华三超过20亿
资料来源:安全牛,中信建投证券研究发展部
图表34: 新华三云安全2.0整体解决方案
资料来源:新华三官网,中信建投证券研究发展部
未来云安全将保持快速增长,云平台安全、云基础设施及虚拟化安全、云用户安全以及云端态势感知需求将得到快速增长,数据安全、应用安全等云用户侧安全产品给第三方信息安全市场空间较大。Gartner预测,2017年全球云安全市场规模达到58亿美金,同比增长21%,预计2020年全球云安全市场将达到90亿美金,年复合增长速15%,而中国云安全产品市场增长速度在2018年达到40%以上,增速显著高于全球。云安全包含基础的云平台基础设施安全和虚机安全,主要涉及租户隔离、身份管理、云访问控制、审计服务、数据加密服务和借助云边界产品进行东西南北向的全方位防护,进行更智能的流量调度,实时检测整个安全体系的威胁情况,云平台和私有云厂商更注重基础性防护。而云用户侧和云安全资源池的安全架构更复杂,也给了第三方网络安全和应用安全公司更多发展空间。为了保证云用户安全需要保障大数据层的安全产品如保障存储安全、保障用户间隔离、访问控制、操作审计,同时也需要保障业务平台、应用系统安全的产品如钓鱼防护、后门防护、业务审计、数据库类安全产品等。
图表35: 2017年全球云安全市场58亿美金,预计2022年达到120亿美金(单位:亿美元)
资料来源:Gartner, 中信建投证券研究发展部
图表36: 阿里云安全架构,其中云用户侧安全包含业务安全、安全运营、数据安全、网络安全、应用安全、主机安全和账户安全
资料来源:阿里云官网,中信建投证券研究发展部
3.3 安全行业竞争格局之变3: 2016~2018年全球信息安全融资额不断创记录,拥有高位和中位网络安全能力公司崛起,业务安全领域发展迅速
2016~2017年全球网络安全融资额和投资活动在数量不断创历史新高。根据中国产业信息网,2016年全球网络安全行业融资超过400起交易,共计35亿美元的交易额,2017年风投资本家给全球网络安全公司投资的资金量达到了去年的两倍,达到76亿美元,与网络安全相关的投资活动数量也增长到548起,成为网络安全初创企业风险资本融资创纪录的一年。而2018年一季度全球网络安全领域共发起176起融资,金额达到16.4亿美元。从投融资和被并购的热点细分领域可以看出,身份识别与访问管理、高级威胁分析、数据安全、内容安全、Web安全、安全托管服务都是热门的投资领域。
图表37: 2017年全球网络安全相关融资额和融资数量均创历史新高(单位:亿美元,起)
资料来源:中国产业信息网,中信建投证券研究发展部
图表38: 2017年全球安全细分领域融资数量
资料来源:中国信通院,中信建投证券研究发展部
安全防护体系逐步健全, 政府和企业越来越注重数据安全和积极防御,因此做态势感知产品、威胁情报、APT防护及数据安全创业公司增长迅速。基础架构安全、被动防御市场增速放缓,但是积极防御、威胁情报等产品迅速增长。不仅传统安全公司和互联网公司大量投入积极防御型和大数据安全产品的研发,创业团队也基于自己技术积累和资本杠杆,获得快速增长,如在APT防护、威胁检测引擎领域领先的安天科技,在数据安全和金融态势感知平台领先的观安,在态势感知平台和数据安全领先的安恒信息等。
图表39: 2018年中国企业安全市场细分领域有代表性的融资
| 融资时间 | 公司名称 | 融资轮次 | 融资金额 | 细分领域 |
2018.06 | 长亭科技 | B轮 | 亿元级 | Web安全、欺骗技术 |
2018.05 | 派盾科技 | 天使轮 | 数千万 | 区块链安全 |
2018.03 | HanSight瀚思 | B+轮 | 未披露 | 大数据安全分析 |
2018.02 | 青藤云安全 | B轮 | 2亿元 | 自适应安全、CWPP |
2018.02 | 观安 | B轮 | 1.3亿元 | 大数据分析+泛安全 |
2018.02 | 全知科技 | 天使轮 | 未披露 | 数据安全 |
2018.01 | 芯盾时代 | B+轮 | 1.2亿元 | 身份认证 |
2018.01 | 安赛 | A轮 | 1亿元 | 漏洞扫描、Web安全 |
2018.01 | 长扬科技 | 天使轮 | 未披露 | 工控安全 |
资料来源:中国网络安全产业联盟,中信建投证券研究发展部
由于网络边界逐步消失,零信任网络安全模型越来越被重视和广泛应用,基于金融、电信、公安和互联网等行业的业务安全快速增长,身份认证和访问、反欺诈等领域增长迅速。云计算、移动互联的快速发展导致传统内外网边界模糊,越来越无法基于物理边界构筑安全基础设施,因此企业安全的零信任模型是通过对人、终端和系统都进行识别、访问控制、跟踪实现全面的身份化,这样身份就成为了网络安全新的边界,以身份为中心的零信任安全成为了网络安全发展的必然趋势,2017年全球身份认证与访问市场达到88亿美金,并且将在2018~2020年保持13%的年复合增速。政府、涉密和军队领域身份认证与访问发展较早,近年随着金融、电信、公安等反诈骗、反欺诈需求提升,同时《网络安全法》中明确规定“国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。”针对这些垂直行业的身份认证和访问创业公司也不断涌现。随着零信任架构的发展,安全且简化的身份认证技术,必然会成为未来趋势,预计2020年中国身份认证规模可超过25亿元,目前身份认证国内领先的创业公司包括芯盾时代、众人科技、九州云腾等。
图表40: 以身份认证与访问为核心的零信任模型
资料来源:安全内参,中信建投证券研究发展部
图表41: 北美市场身份认证与访问市场规模和增速
资料来源:Grand View Research,中信建投证券研究发展部
4. 部分网络安全行业重点公司梳理
360企业安全集团
360企业安全集团是中国企业级网络安全市场的领军者,是专注于为政府和企业提供新一代网络安全产品和服务的综合型集团公司,也是积极防御、威胁情报和大数据安全领导者。360企业安全集团基于互联网海量4.部分网络安全行业重点公司梳理数据而来的攻防能力和终端防护优势巨大,利用数据驱动安全为技术思想,抓住了中国企业上云和数字化的过程中网络安全重要性提升的历史机遇实现快速扩张。公司一直致力于通过完善的“高中低”位防护体系为政府、企业客户做完善的网络安全解决方案,并致力于和行业一起提升网络安全支出占信息化开支占比。
图表42: 360企业安全与传统安全公司的区别
资料来源:360企业安全集团,中信建投证券研究发展部
公司一直大力投入新一代积极防御类安全产品研发,不断提升安全运营业务价值,我们预计公司将成为中国第一个网络安全收入突破80亿的安全公司。与传统企业安全公司不同,公司投入到传统边界安全产品上的研发投入较少,而研发主要投入到新一代积极防御产品和垂直行业解决方案上,如态势感知平台、大数据平台安全,因此公司规模增速快于网络安全行业增速且研发费用率高于同行业公司,公司在党政军市场优势明显,尤其在公安、网信办、军工、金融等垂直行业收入增长迅速,除了做好IT设施的网络安全防护,公司也逐步与行业客户业务结合,发展业务安全解决方案。随着新产品和解决方案市场的快速增长,我们预计公司有望成为中国第一家网络安全收入突破80亿的安全公司。
通过并购投资,公司逐步拥有庞大网络安全生态,有望成为网络安全平台型龙头厂商。由于网络安全市场产品极为碎片化,且新需求越来越多,过去4年360企业安全通过并购和投资了数十家企业,构建逐步庞大的网络安全航母,一方面通过与投资公司合作,公司能完善自身的网络安全解决方案,另一方面利用360企业安全大的平台与渠道,被投资公司也能获得迅速成长。
启明星辰
公司在党政军市场传统网络安全产品和解决方案具有明显领先优势,预计2019年来自军工、工控、城市轨交等行业订单将获得高增长,促进2019年公司收入达到接近27%增速。进入十三五后期,我们预计2019年来自军队、公安等领域信息化订单招标明显提速,而2018年上半年公司军工客户收入下滑26%。根据《网络安全法》城市轨交、工控也纳入信息安全重点防护行业,工控安全目前在电力、能源等发展较快,因此城市轨交新建工程和工控安全未来将成为网络安全发展潜力较大的两大行业,公司在城市轨交和工控布局较早,且在这两个行业收入规模提升较快,中长期看这些新关键基础设施行业为公司提供新增长动力。
图表43: 启明星辰工控安全解决方案
资料来源:启明星辰官网,中信建投证券研究发展部
公司积极布局城市运营服务中心,未来运营服务收入将快速增长,占营收占比也将逐步提升。伴随政府和企业“高中低”位一体化防护越来越重要,积极防御和主动防御体系内运营服务变得越来越重要,尤其在中西部地区政府和企业在安全经费、安全专业人才缺乏的状态下,网络安全公司提供的专业安全运营服务和融资租赁产品销售模式需求度较高。预计2019年年底公司城市运营中心将达到20个,运营服务收入有望突破1亿,远期运营服务收入有望达到10亿以上。
深信服
以客户需求为导向,将标准化新产品迅速推向市场获得高增长,预计2019年公司云安全、终端安全、SD-WAN设备、态势感知等新产品将持续保持高速增长带动公司网络安全业务实现27%高增长。公司在产品创新和满足客户需求方面一直走在网络安全产业前列,2016~2018年不断推出适应云大物移新应用场景的安全产品,2018年推出革命性的终端杀毒EDR产品,EDR与AF/AC/SIP等设备以及云端的安全云脑可以协同联动并响应,如威胁日志上报、自动接收外部设备威胁情报和自动响应指令等,从而形成应对威胁的云管端立体化纵深防护闭环体系。同时借助云脑关联在线数十万台安全设备的云反馈威胁情报数据,结合第三方合作伙伴交换的威胁情报数据,不再依赖传统的黑白名单和静态特征库,为已知/未知威胁检测提供有力支撑。2018年前三季度公司针对云大物移等新应用场景推出的新一点网络安全产品如云安全、终端杀毒、SD-WAN设备、态势感知平台等收入增速超过400%带动公司2018年网络安全收入增长超预期,预计2019年在行业高景气和公司新产品持续高增长情况下公司网络安全整体收入依旧能保持高于行业增速。公司庞大的销售渠道体系和对企业客户需求的充分理解在网络安全行业一直独树一帜,成为公司获得新产品快速增长的重要优势。我们预计公司未来网络安全收入有望达到70亿。
图表44: 深信服2018年推出的终端杀毒EDR后,结合传统安全产品形成了全网安全设备联动机制,形成了一整套的云管端闭环系统
资料来源:安全牛,中信建投证券研究发展部
图表45: 深信服新发布的企业级分布式存储 aStor-EDS
资料来源:深信服官网,中信建投证券研究发展部
企业云产品逐步完善,随着超融合架构私有云体系稳定性和技术进步,未来企业级市场有望进一步国进洋退,公司在企业级云市场空间潜力巨大。目前公司在企业云市场中和VMware、其他超融合公司、基于开源架构的私有云厂商如华为、新华三竞争较为激烈。保守估计中国区盗版VMware预计有超过百亿人民的市场,这部分客户未来有望转化为超融合用户。2018~2019年公司不断推出新云产品完善云生态,2018年推出了自主品牌交换机,2019年开年推出了企业级分布式存储aStor-EDS,可以支持数千节点集群部署,灵活扩展的同时保持更高的性能,可以实现一套硬件资源池上,可同时提供块、文件、对象三种存储服务,是一款性价比极高且存储效率高的分布式存储产品。未来随着产品和解决方案不断完善,教育、医疗、金融和政府市场更深入拓展,预计公司企业云业务将持续保持50%以上的增长速度。
亚信安全
亚信集团成立于1993年,2000年发力安全领域;2015年,亚信科技收购了全球最大的独立安全软件提供商——趋势科技中国,成立亚信安全,目前是运营商、金融行业网络安全领导者。亚信安全在云安全、身份安全、终端安全、态势感知、高级威胁治理,以及威胁情报领域等拥有多项全球领先技术,在核心技术领域持续领跑。 目前亚信安全拥有2000人专业安全团队,客户超过5万家,包括77%的上市百强企业。目前亚信安全在全国设有7个分支机构,3个技术服务中心和病毒监控实验室,2个独立研发中心,并与国家计算机防病毒应急中心共建网络安全实验室。在态势感知平台、安全运营服务、威胁情报、云安全等领域研发投入较为领先,预计未来持续受益于运营商、金融客户的云安全、态势感知平台、数据安全和安全运营服务投入的增加,而保持稳定的增长。
安恒信息
安恒信息成立于2007年,核心团队拥有多年应用安全和数据库安全的深厚技术背景以及最佳安全攻防实践经验,目主营业务涵盖云计算安全,大数据安全以及应用安全、数据库安全、移动互联网安全、智慧城市安全等。公司一直在网络安全新产品和技术上处于领先地位,以云安全产品“天池云安全管理平台”为例,为用户提供“一站式”的云安全解决方案,已被用于政务云、警务云、金融云、教育云、企业云等多个行业云平台安全建设当中。而公司在快速增长的安全态势感知产品、威胁情报分析、顶层设计等领域也获得高增长,尤其在网信办、公安等行业,态势感知平台市占率领先。我们预计未来公司以大数据安全、云安全解决方案优势,并借助阿里生态快速扩张,在政府、公安、金融等多个行业将保持快速增长。
观安信息
观安信息是2013年成立的精通大数据的安全公司,致力于“大数据+泛安全”领域,目前在金融、电信领域拥有较为领先的解决方案和较高市占率,且在态势感知平台、大数据平台安全拥有领先的技术与解决方案。虽然成立时间较短,且公司目前不做传统网络安全硬件产品,但是观安信息通过精准把握金融、电信等行业客户对大数据安全产品需求发展迅猛,过去几年收入增速一直保持翻倍增长。2018年观安信息现场与众人科技签署战略合作,与公安三所、平安科技、联合国培训署达成战略合作。合作各方将通过整合、发挥各自的资源优势,重点在生物识别技术、大数据分析、网络安全、政府关系及公安项目、平安金融等领域开展务实合作。预计未来除了持续深耕金融、电信行业网络安全需求,公司有望在公安、政府行业也取得突破。
蓝盾股份
受益于广东省信息化投入和网络安全投入持续高增长和新一代网络安全产品需求涌现,公司2018年上半年安全产品收入同比增长42%。由于信息化程度越高的地区越容易遭受网络攻击,过去广东地区一直是APT攻击数量排名第一的区域,因此近年伴随企业上云对网络安全需求与投资一直在增加,尤其是广东省政府的网络安全支出增速较快,受益于广东省网络安全投入和新一代网络安全产品需求的增加,公司2018年预计网络安全产品收入同比增速40%。基于下一代网络安全技术,公司近年推出了下一代智能防火墙、监管侧态势感知平台、AI安全云平台、为等保2.0推出的云安全产品等,并都陆续获得客户认可。我们预计未来公司安全业务将持续受益于广东省网络安全投入增长。
安天科技
安天是威胁检测、主动防御能力发展的网络安全国家队,核心产品是威胁检测引擎和端点防护,目前市场上很多网络安全公司态势感知探针的威胁监测产品使用的威胁检测引擎来自于安天,随着态势感知技术和威胁情报在政府、金融、电信、能源等行业快速发展,公司产品销售在近年也获得迅速增长。公司依托下一代威胁检测引擎等先进技术和工程能力积累,研发了威胁检测系统、威胁防御系统、终端防御系统和态势感知产品,为客户构建端点防护、边界防护、流量监测、导流捕获、深度分析、应急处置的安全基石。同时公司可以为客户建设实战化的态势感知体系,依托全面持续监测能力,建立系统与人员协同作业机制,指挥网内各种防御机制联合响应威胁,实现从基础结构安全、纵深防御、态势感知与积极防御到威胁情报有机结合,推动客户整体安全能力建设的叠加演进。安天为网信主管部门、军队、保密、部委行业和关键信息基础设施等高安全需求客户,提供整体安全解决方案,产品与服务为载人航天、探月工程、空间站对接、大飞机首飞、主力舰护航、南极科考等提供了安全保障。
5. 投资建议
在新需求、新政策、新技术的共同促进下,2016年以后网络安全行业摆脱以前纯粹合规性需求驱动而进入加速发展期,未来网络安全占信息化开支占比有望提升到5%以上。2014年开始政府和企业进行数字化转型、信息系统逐步上云过程中,企业网络边界逐渐消失,“云大物移”新场景驱动下网络安全在防护对象、防护思想和防护技术上均发生较大变化,网络安全产品种类也大幅增加,网络安全逐步做到与IT信息系统同步规划,促进信息安全占IT支出占比逐步提升至5%以上。同时2017年~2019年《网络安全法》、等保2.0标准的推出,进一步扩大监管范围提升了监管标准,促进了网络安全市场整体快速增长尤其是态势感知类产品和主动防御市场的快速增长。新一代网络安全在大数据分析、人工智能技术新技术的发展使得网络安全防护思想、战略发生了变化,催生了网络安全行业新的投资机遇,促进态势感知、威胁情报、数据安全、身份认证与访问等网络安全新产品快速发展。2019年预计中国网络安全市场规模将达到602亿,保持21%的增长速度,IDC预计2018~2020年中国网络安全市场年复合增速将超过23%,新一代网络安全产品增长速度将远超传统边界安全产品。
面对日益复杂的网络环境和层出不穷的网络攻击威胁,政府和企业需要构建“低、中、高”三位能力的信息安全系统,预计未来低位安全即传统边界安全、终端安全将保持平稳增长,而中位、高位安全产品将获得快速增长,因此未来拥有大数据能力、威胁情报能力,同时云安全产品、主动防御产品占比较高的网络安全公司能获得超过行业增速的增长速度。低位能力强调基础架构的防护和纵深防御,中高位能力强调网络安全企业对海量数据的建模与分析能力、安全运营和安全分析能力、云端威胁情报与分析能力,能对基础设施防护产品提供支撑和决策。目前中位和高位的安全能力是信息安全企业普遍欠缺的,传统企业安全公司相对落后,互联网公司和基于大数据与情报能力的创业公司在中高位防御能力上有一定优势。动防御和预测类安全产品如态势感知、威胁情报分析、安全合规管理、安全配置核查等细分领域在近年取得快速增长。尤其是态势感知平台,2017~2018年政府部门监管侧态势感知平台、企业端主动防御用态势感知平台项目发展较快,几乎所有信息安全公司都参与到这个安全管理和监测平台建设中。随着态势感知技术发展和强调积极防御,信息安全行业领导公司都纷纷推出网络安全运营驻场服务或者城市安全运营中心,利用网络安全厂商大数据、AI能力提供事件分析与审计并做好预警服务。普通政企客户因为不具备对海量网络安全相关数据的分析能力,因此未来随着政府和企业客户网络安全系统越来越复杂,获得数据也越来越复杂,对第三方运营服务需求也会逐步增加。
网络安全行业正在经历一个快速变革期,除了需求、产品、防护理念变化,行业竞争格局也在经历重大改变,我们预计2019~2022年会逐步看到国内网络安全收入排名前20的公司发生变化,同时网络安全巨头走向生态化和平台化竞争。依靠资本加持,借助人才优势以及品牌力量,互联网巨头迅速在企业安全市场崛起。以360、阿里巴巴、腾讯为代表的互联网公司网络安全收入增长较快,且引发了行业人才争夺战并促进了行业工程师整体薪酬快速提升。同时以360企业安全、阿里云为代表的互联网巨头通过不断投资并购在细分领域有独特优势的网络安全企业建立自己的网络安全生态体系,增强自身竞争优势,未来网络安全市场巨头间竞争逐步演变为生态竞争。目前中国市场公有云和私有云渗透率在2018年达到7%,随着越来越多的企业上公有云尤其是中小企业,公有云端安全产品未来将挤压传统线下企业网络安全市场。而私有云设备商如华为和新华三因为私有云产品线齐全、技术实力强,主打“云网融合”一体化解决方案,而网络安全作为混合云集成方案中重要模块进行销售,尤其在重视安全的政府、电信、教育、金融等领域取得了较高的安全市场份额。未来随着基础架构安全、被动防御市场增速逐步放缓,积极防御、威胁情报等产品迅速增长,基于积极防御类、大数据分析类安全产品的创业团队也获得快速增长。因此未来随着网络安全行业持续变革,网络安全公司、互联网公司、混合云提供商以及创业公司在规模和扩张速度上会逐步拉开差距,新白马和黑马投资机会都会涌现。
投资建议:在行业高景气和快速变革时期,我们建议投资者颠覆以往对网络安全行业的认知,全面了解产业链发展情况选择研发投入、技术积累和解决方案布局能跟上网络安全新变化趋势的网络安全公司,尤其是拥有中位和高位能力、在积极防御和大数据能力、运营服务能力上具有优势的网络安全企业,请投资者重点关注360企业安全集团、深信服、启明星辰、安恒信息、观安信息等。
6. 风险提示
1)网络安全行业在新技术和新场景驱动下迭代速度越来越快,对网络安全公司研发和技术要求越来越高,行业内公司研发费用率整体提升从而造成净利率有可能有下降风险;
2)新一代网络安全技术发展较快,而传统边界安全产品增速放缓,造成以边界安全产品为主的公司收入增速会低于行业平均增速;
3)行业内部分公司存在商誉减值风险;
公司VCS产品市场拓展不达预期风险;贸易战背景下北美地区销量下降风险。
分析师介绍
石泽蕤
计算机行业分析师,执业证书编号:S1440517030001。香港中文大学电子工程硕士,专注于产业互联网、信息安全、云计算、人工智能等领域的研究,。 2017年《新财富》、《水晶球》、wind最佳分析师通信第一名团队成员。
侯子超
计算机行业分析师,执业证书编号:S1440518110003。上海交通大学软件工程学士、金融学硕士,专注于人工智能、云计算、金融IT等领域研究。
声明:本文来自中信建投计算机,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
